《COBIT信息系统治理流程浅析》由会员分享,可在线阅读,更多相关《COBIT信息系统治理流程浅析(2页珍藏版)》请在金锄头文库上搜索。
1、COBIT信息系统治理流程浅析信息系统治理已成为目前公司治理的重要部分,COBIT管理框架由执行概要、控制目标、审计指南、工具集和管理指南几个部分组成,并通过成熟度模型、关键成功因素、关键目标指标(KGI)和关键绩效指标等工具为公司信息系统治理提供可行的治理流程,为组织提供集成的IT管理。2002年,美国政府出台了SOX(sarbanes-Oxley Act)法案,其核心条款SOX-404对上市公司内部控制制度体系做出明确要求,以应对因失衡的公司治理给企业带来的巨大风险。在全球信息化背景下,组织对信息系统的依存度达到前所未有的高度,信息系统在提高工作效率的同时也带来了许多风险。IT治理即信息系
2、统治理因此应运而生,并且迅速成为公司治理中重要一环。IT治理关注信息资源管理、风险管理、IT策略以及IT控制目标,通过平衡IT过程的风险和回报以增加企业价值,实现企业目标。 一、COBIT模型及其优势 (一)COBIT模型简述COBIT(Control Objectives for InformationandRelatedTechnology)是美国IT治理研究院(rrGovernancelnstitu-te)开发与推广的一个信息系统治理的开放性标准,该标准为IT的治理、安全与控制提供了一个普遍适用的标准,以辅助管理层进行信息系统治理。COBIT管理框架包括执行概要、控制目标、审计指南、工具
3、集和管理指南几个部分组成,它将IT流程、IT资源及信息与企业的策略目标联系起来,为企业管理的成功提供了集成的IT管理。COBIT已在世界多个国家的重要组织与企业中成功运用,指导这些组织充分利用信息资源,并有效管理信息相关的风险。 (二)COBIT模型优势与其他IT治理模型比较,COBIT的优势主要体现在IT控制和IT的度量评价上。首先,该模型提供一个共同的标准,易于理解和实施,可以帮助管理层、IT工程师及审计人员之间交流,提供了彼此之间沟通的共同语言。其次,通过实施COBIT,增加了管理层对控制的感知和支持,即使组织的管理层即使不精通信息系统,也能理解信息系统带来的利益和花费的成本,明确其中存
4、在的风险,了解问题所在,从而做出正确的决策。另外,COBIT使信息系统管理和控制工作简易并量化,减轻对复杂信息系统管理工作的难度。通过采用该框架作为对一个责任矩阵分析的基础,可以对基于角色的信息系统管理和控制,定义过程措施,确保组织利益。该模型还有助于提高信息系统审计师的影响力,依据COBIT出具的信息系统审计报告更容易得到管理层的肯定。 二、COBIT信息系统治理流程 (一)识别IT资源,确定IT控制目标与过程目标COBTT过IT过程来管理IT资源以实现目标,从而满足业务需求。COBIT模型定义信息技术资源共有四项:应用系统(Applications):涵盖所有人工及自动化的作业程序;资料(
5、Information):数字、文字、图形及声音等广义的数据;设施(Infrastructure):硬件、操作系统、数据库管理系统以及存放及支持信息系统运作的所有资源;人员(People):具有规划、组织、取得、提供、支持及监督信息系统和服务所需的技术和能力。根据信息资源的管理和信息技术作业的生命周期,COBIT定义了IT过程来管理信息技术资源实现控制目标。IT过程共分为三个层次,即为四个域(mains)、34个处理过程(Piocesses)及318个任务活动(ActivitiesTasks)。在COBll模型控制目标体系中,信息技术资源和信息技术流程目标是为了满足业务需求。组织管理者期望信息
6、系统的服务质量能不断提高,功能逐渐强大,而同时维持较低的服务成本。这就需要信息满足有效性(Effectiveness)、高效性(Efficiency)、保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、遵循性(compliance)、可靠性(Reliabihw OfInformation)的准则要求。IT资源、IT控制目标及业务目标关系如图1所示。 (二)运用软件成熟度模型(CMM),确定IT过程的治理级别成熟度模型(cMM)为每一个IT过程定义了六种成熟度级别,用于判断当前企业的信息化水平。成熟度模型定义了05六个级别,05等级是基于
7、一个简单的成熟性量度,体现出处理如何从不存在发展到优化级的管理过程,增加成熟度意味着增加管理风险与提高管理效率。管理者可以评价本组织在该过程控制上所处的级别,然后通过与同行业标杆企业相比较,判断自身所处的先进程度、竞争优势和改进方向。软件成熟度模型制定了一个基准,企业可能根据上面的指标确定自己的等级,从而了解自身目前的处境。管理部门相对容易地依据等级制对自己定位,认清当前企业所处的形势,并找出需要改善管理的地方。成熟度模型能以简单方式测定差异,有助于确定有关信息技术管理、安全性。企业对自身进行差距分析以确定需要做哪些工作来达到所选级别。具体如图2所示。 (三)根据IT治理级别,确定关键成功因素
8、(CSF)关键成功因素(csF)着眼于“管理者应当做什么”这个问题,是每一个IT过程中最重要的因素或控制活动,如最佳方案所要求的必备事项或条件、为提高成功的概率所必须完成的重要事项等。关键成功因素为管理部门控制信息技术及其处理过程提供了实施指南,它们是信息技术处理过程中的关键的要素,是战略性的、技术性的过程或活动,勾画出了IT的控制轮廓。关键成功因素应与组织的目标保持一致,是组织和处理过程的可观察可测量的特征,分布于企业的战略层、战术层、应用层及组织的各个方面,可以通过目标分解与识别的方法选择关键成功因素。关键成功因素所用的工具包括树枝因果图、标准控制模型和信息技术管理框架的目标与方针。 (四
9、)实施绩效管理,确定关键目标指标(KGI)与关键绩效指标(KPI)确保组织能达到关键目标指标中所设定的治理目标,需要对关键绩效指标进行监控。IT治理的绩效指标包括关键目标指标(KGI)和关键绩效指标(KPI)。关键目标指标(KGI)着眼于IT过程“执行后的结果应该作到怎样”。关键目标指标是处理目标的一种表达,明确要取得什么目标,并描绘处理的结果,进行事后评判即时体现处理过程的完成成功与否,间接体现处理带给经营活动的价值。它关注平衡计分卡的客户与财务方面,面向信息技术,但驱动企业经营活动。关键执行指标或关键性能指标(KPI)着眼于怎样判断正在执行的过程当前的状态是否良好、是否需要调整。关键性能指
10、标通过监测某IT处理过程的执行情况,告诉管理者该处理是否满足其经营需求。关键性能指标主要通过信息系统与信息服务的有效性,信息的机密与完整性,处理过程和操作的成本,信息的可信度、可靠性等来评价信息技术的绩效,测定其是否真正达到预期处理目标,是否有助于管理者改进处理。 (五)定期评估。衡量组织达到目标与否定期对信息系统进行内部的IT审计或独立的第三方IT审计和评估,以衡量组织是否达到设定的业务活动目标。IT审计是指根据公认的标准和指导规范对信息系统及其业务应用的效能、效率、安全性进行监测、评估和控制的过程,以确认预定的业务目标得以实现。审计内容包括了解该过程相关内控,包括应面询的对象、问题,应查阅的文档,评价该过程的控制以及具体要核查的项目,执行过程中常规的符合性测试项目及常规的实质性测试项目等审计内容。它从资产安全性(Asset Security)、有效性(Effeetively)、效率(Efliciency)、数据完整性(DataIntegrity)等方面出发,对其是否能够有效可靠的达到组织的战略目标进行全面的监测和评估,并为改善和健全组织对信息系统的控制提出详细的建议。
