Cobit
所解释的第一个指南出版物是COBIT。COBIT是信息及相关技术控制目标的缩写。
文件分类
COBIT被看作是IT治理、控制和保证的公认的最佳实务文件集合。
发行者
COBIT的第一版由信息系统审计和控制协会(ISACF)于1996年发行。在1998年,第二版在增加了控制目标和实施工具集后出版。现在得到的第三版由IT治理研究院在2000年发行,增加了管理方针和其他详细的控制目标。
准则或指南出版物的目的
COBIT的任务是:研究、发展、宣传权威的、最新的国际化的公认信息技术控制目标以供企业经理、IT专业人员和保险专业人员每日使用。
驱动实施指南(包括典型情况)的业务需求
COBIT常常在下列情形中实施:
l 有IT治理的需求
l IT所提供的服务与企业目标一致
l 自动化/标准化IT程序的要求
l 需要有一个全面IT程序框架
l 过程要统一
l 需要有一个质量管理系统框架
l 定义一个结构性的审计方法
l 合并或购并在发生
l IT成本控制的需要
l 部分或所有的IT功能将外包
l 关注对外部要求的遵从
相关的非遵从风险:
l IT服务的偏离及分歧
l 由于偏离造成不能对企业目标支持
l 由于偏离浪费的机会
l 把IT作为一个黑箱来理解
l 存在与管理措施和管理期望间的差距
l 会造成只与关键个人而不与组织相联系
l 过量的IT成本和间接费用
l 错误的投资决策和项目
目标读者:
不同的组织、公众或私人公司和外部保险专业人员组成了相关的目标群体。在组织中,有三个层次:管理层、IT使用者和专业人员以及保险专业人员。
时效性:
尽管最近版本在2000年发行,它仍是较新的。在2003-04这个出版物出版时,对COBIT的最新修改包括:
l COBIT Quickstart
l COBIT在线
l IT治理实施指南
l IT控制实务
认证
CobiT审计指南依据控制目标提供相应的审计和自我评估条目。然而,CobiT的每一部分没有相应的认证。将来,在实施SAS 70检查的时候,注册会计师和特许会计师会经常使用CobiT架构。
作为CobiT的发明者——ISACA(国际信息系统审计与控制专业委员会)虽然没有针对CobiT的认证,但有相应的注册信息系统审计师(Certified Information System Auditor CISA)和注册信息系统安全管理员(Certified Information Security Manager CISM)。
通用性
COBIT在世界范围内使用。除了英文版之外,它还被译成西班牙语、德语、法语和其他几种语言。
完整性
如前所述,COBIT提出了一个IT管理责任的广阔范围。COBIT包括IT管理的所有重要部分,及由其他准则所涵盖的部分。尽管不包括技术性细节,但遵照控制目标的必要任务是不需加以说明的。因此,它被看作相对高的控制目标,目标是一般性而非具体性地完成。
可用性
可以登陆www.isaca.org/cobitonline 网站购买COBIT在线,COBIT在线允许使用者为他们的企业定制一个COBIT版本,然后储存和操作他们所想要的版本。它提供在线、实时调查和基准。COBIT的大多数部分是开放的,并且在ITGI 或ISACA的网站,www.itgi.org 或者www.isaca.org 能免费下载赠送版。对ISACA成员来说,已公布了审计方针的免费下载。作为选择,印刷本和全搜索CD-ROM可从ISACA的书店购买(bookstore@isaca.org).
指南及其内容叙述
企业治理(管理和控制组织的系统)和IT治理(管理和控制组织的IT的系统)是——从 COBIT的观点看——高度独立的。没有IT治理,企业治理是不充分的,反之亦然。IT能延伸和影响组织的绩效,但它必须有充分的治理。另一方面,经营过程需要IT过程带来的信息,这种相互关系必须要加以治理。
在这个题目下,计划—执行—检查—行动(PDCA)循环开始变得明显。PDCA循环的概念经常在结构化的问题解决和持续发展过程中使用。PDCA循环也称为戴明循环或持续发展过程的戴明轮。信息需求(公司治理)和信息提供(IT治理)必须与可衡量、建设性的指示器一起来规划(计划)。信息和可能的信息系统必须得到实施、发送和使用(执行)。发送和使用信息的结果按照在计划阶段所定义的指示器来衡量(检查)。产生的背离要得到调查并采取纠正行动(行动)。
考虑到这些独立性,很明显,IT过程不是它们本身的终结。它们是一种到达终点的手段,并和经营过程的管理高度整合。如下是IT治理研究院的定义:
IT治理是董事会和管理执行人员的责任。作为企业治理的一个不可分割的部分,它是一个由领导关系和组织结构过程所构成的体制,用于指导和控制企业,通过平衡信息技术与过程风险、增加价值来确保实现企业目标。
CobiT 架构
组织如同为所有的资产一样,也必须满足信息的质量、信用和安全要求。管理当局也必须充分利用可以得到的资源,包括数据、应用系统、技术、设施和人员。为履行这些责任并且达到它们的目标,管理当局必须了解它们自己的IT系统的状况并决定它们应提供什么安全和控制。
COBIT框架通过联结经营风险、控制需要和技术事务来帮助满足管理当局多样化的需求。它提供了通过一个范围和过程框架的良好的习惯做法,提供了在一个可控和逻辑结构内的活动。COBIT的良好的习惯作法反映了专家的一致意见,帮助充分利用信息投资活动,提供了判断如果事情作错了的措施。
(未完待续)
- 信息系统运维预算定额参考标准研究[04-09]
- 第2章 跨文化管理理论和实践[01-14]
- 16:什么是关键成功因素法(CSF)?[06-09]
- 24:eSCM-SP(服务提供商外包能力模型)有哪些…[06-10]
- 第4章 跨文化沟通[01-14]
- 治理评论第一期[01-20]
- 治理评论第二期[01-20]
- 治理评论第五期[01-20]
- 治理评论第三期[01-20]
- 治理评论第六期[01-20]
- 治理评论第四期[01-20]
- 太极凭什么中标12306? [09-26]
- 中国国际航空股份有限公司--书评[11-01]
