- 论坛徽章:
- 0
|
贴一部分概述:
1 执行概述
对于许多企业而言,支持其业务的信息与技术是最具价值的资产,但是这些资产通常得不到理解与重视。成功的企业已经意识到信息技术所带来的收益,并利用信息技术为利益相关方创造价值。此外,这些企业理解并管理相关风险,如法律法规符合性以及许多业务过程对于IT的严重依赖。
人们已经意识到企业治理的关键要素之一就是要保障IT价值、管理与IT有关的风险、增加对信息的控制要求。价值、风险和控制构成了IT治理的核心。
IT治理,是企业的管理者为保障企业IT支持组织战略和目标而进行的领导、组织架构设计和处理的过程。
此外,为了确保企业IT支持业务目标,IT治理融合了许多良好实践并将其制度化。因此,IT治理确保企业可以充分利用信息,进而实现收益最大化、充分利用机遇、获得竞争优势。这些结果需要一个IT控制框架,该框架可以满足并支持那些广为接受的企业治理及风险管理的控制框架,如COSO的内部控制-整体框架。
组织应象保证所有资产的一样,保证组织信息的质量、可信和安全需求。管理者应尽可能优化利用可获得的IT资源(包括应用系统、信息、基础设施和人员)。为履行职责、实现目标,管理者应了解企业IT架构的情况并决定提供什么样的治理和控制。
COBIT提供了跨领域和过程框架的良好实践,并以可管理和逻辑清晰的架构来展示活动。COBIT的良好实践代表了专家的一致性意见。他们更多的关注于控制而非执行。这些实践将有助于优化在IT保障的能力方面的投资、确保服务的交付,并进行测量以确定问题出现在何时。
为成功交付满足业务要求的IT服务,管理者应建立内部控制体系或框架。COBIT控制框架通过下列措施来满足这些需求:
与业务要求保持联系;
采用通用过程模型的方式来组织IT活动;
识别需要调节的重要IT资源;
规定管理者应考虑的控制目标。
COBIT的业务导向包括:建立IT目标与业务目标的联系,提供测量其结果的标准及成熟度模型,并确定业务和IT过程所有者的相关职责。
COBIT通过过程模型来标识其过程焦点。COBIT将IT进一步细分为34个域,其划分是从IT端到端的角度进行,并与策划、建设、运营和监控域的职责相一致。企业架构的概念有助于识别确保过程成功所需的关键资源,即应用系统、信息、基础设施和人员。
总之,为了提供实现企业目标所需的信息,需要采用自然分组的方式管理IT资源。
但是企业如何理解IT控制,这些控制如何确保IT可以交付企业所需的信息?如何管理风险并保障关键IT资源的安全?企业如何确保IT实现其目标并支持企业业务?
首先,管理者需要规定实施策略、程序、惯例和组织结构最终目的的控制目标,以提供下列方面的合理保证:
保障业务目标的实现;
预防、检测并纠正不期望事件。
其次,在今天复杂的环境下,管理者需要不断搜集简明、及时的信息,快速并明确的作出关于风险和控制的决策,尽管这个决策非常困难。度量什么,如何度量?企业需要一个客观的度量标准,以确定他们处于什么位置,哪里需要改进,那里需采取管理工具以监视这种改进。图1展示了一些传统的问题,以及用于寻求这些问题答案的管理信息工具。但是仪表盘管理需要指针,计分卡管理需要度量的标准,标杆管理需要相比较的标杆。
COBIT具体的定义回答了确定并监视适当的IT控制和绩效水平要求的问题:
IT过程能力的标杆管理:即成熟度模型,源自软件工程学院的能力成熟度模型;
IT过程的目标和标准:基于罗伯特.卡普兰和大卫.诺顿所创建的平衡计分卡的准则,规定并衡量他们的结果和绩效;
活动目标:基于COBIT的详细控制目标,对过程进行控制。
跟据COBIT成熟度模型对过程能力进行评估,是IT治理实施的关键要素之一。识别完关键IT过程和控制,成熟度模型可确保识别成熟度方面的差距并展示给管理者。然后可以开发改进计划以将这些改进到期望的能力等级。
COBIT通过提供框架来支持IT治理,进而确保:
IT与业务保持一致;
IT保障业务并实现收益最大化;
IT资源的充分管理;
适当管理IT风险。
绩效评价是IT治理的关键。COBIT支持绩效评价。绩效评价包括设置和监测IT过程需交付的可测量的服务目标(过程结果)及IT过程如何交付服务(过程能力和绩效)。多项调研已经表明,IT成本、价值和风险管理缺乏透明是驱动IT治理的最重要的一个因素。
这些IT治理关注领域描述了管理执行者在企业内部进行IT治理时的主题。操作层管理者利用过程来组织、管理持续的IT活动。COBIT提供了一个通用的过程模型,该模型展示了IT职能的通用过程,为IT操作人员及业务管理者提供了一个利于理解的通用参考模型。COBIT过程模型已映射到IT治理关注的各个域(见附录II),这种映射提供了执行层期望的管理与操作层管理者需要实施的管理之间的桥梁。
为了确保有效治理,执行层期望操作层管理者在既定的控制框架内对所有的IT过程进行控制。COBIT通过IT过程来组织IT控制目标,因此,框架建立了IT治理要求、IT过程和IT控制之间的清晰联系。
COBIT定位于高端,主要关注于需要采取何种措施才能实现IT的充分管理和控制。COBIT还与其他更为详细的IT标准和最佳惯例保持兼容(见附录4)。COBIT作为这些不同参考材料的集大成者,总结了在一个伞状框架内的关键目标。
COSO(及类似框架)是通用的作为企业内部控制的一个框架。COBIT则是通用的IT控制框架。
COBIT的产品族分为三个层次,以支持:
执行经理及董事会;
业务经理和IT经理;
从事治理、保障、控制和安全的专业人士。
执行层的主要收益是:IT治理(第二版)委员会简介-用于帮助执行层理解IT治理的重要性、主要问题及他们的管理职责。
业务和技术管理者的主要收益是:管理指南-用于协助分配职责、衡量绩效、标杆管理和阐述能力差距的工具。指南提供了常见管理问题的答案:我们在IT控制方面应该走多远?如何判断成本收益?良好绩效的指标是什么?应用的关键管理实务是什么?其他方面应做什么?我们如何衡量和比较?
从事治理、保障、控制和安全的专业人士的主要收益是:
框架-解释了COBIT如何通过IT域和过程来组织IT治理目标和最佳实务,以及如何将他们与业务需求联系起来;
控制目标-提供了对于所有IT活动都适用的通用的最佳实务管理目标;
控制实务-提供控制措施为什么值得实施及如何实施他们的指南;
IT保证指南-提供了通用的审计方法和支持所有COBIT 的IT过程的审计指南;
SOX法案的IT控制目标-提根据COBIT控制目标如何确保符合IT环境的指南;
IT治理实施指南-提供了使用COBIT资源及支持性工具集来实施IT治理的常见路线图;
COBIT快速启动-提供小型组织的控制基线以及大型组织可能的第一个步骤;
COBIT安全基线-关注于在企业内部实施信息安全的关键步骤。
所有的这些COBIT组件互相关联,为不同的读者提供治理、管理、控制、和审计需求方面的支持,如图4所示。
COBIT是一个框架,其支持性工具集为管理者架起与利益相关方沟通控制要求、技术性问题、业务风险和控制等级的桥梁。COBIT确保在整个企业内建立清晰的IT控制策略和良好实践。COBIT也处于不断的更新当中,并与其他标准相兼容。因此,COBIT已经变成IT最佳实践的集大成者,其伞形的IT治理框架有助于理解并管理与IT有关的风险及收益。COBIT的过程框架及其高层业务导向的方法提供了一个端到端的IT视角,并作出与IT有关的决策。
将COBIT作为IT治理框架实施的收益包括:
跟据业务的关注点,做好更好的协调;
为管理者提供了一个更好的理解IT是什么的视角;
基于过程导向的清晰的所有者关系及职责;
易于被第三方及监管机构所接受;
基于通用的语言,可以被所有的利益相关方所理解;
满足COSO对于IT控制环境的要求。
本文档的其他部分描述了COBIT框架及其他的COBIT核心组件,为所有的主要COBIT指南提供了便利参考。后文的附录也提供了有用的参考文献。
ISACA/ITGI的许多产品支持COBIT的实施,包括:在线工具、实施指南、参考指南和教育资料。这些产品的最终信息可以参见www.isaca.org/cobit |
|
免费注册
发表于 2007-02-14 16:47
