信息系統治理已成為目前公司治理的重要部分,COBIT管理框架由執行概要、控制目標、審計指南、工具集和管理指南幾個部分組成,并通過成熟度模型、關鍵成功因素、關鍵目標指標(KGI)和關鍵績效指標等工具為公司信息系統治理提供可行的治理流程,為組織提供集成的IT管理。2002年,美國政府出臺了SOX(sarbanes-Oxley Act)法案,其核心條款SOX-404對上市公司內部控制制度體系做出明確要求,以應對因失衡的公司治理給企業帶來的巨大風險。在全球信息化背景下,組織對信息系統的依存度達到前所未有的高度,信息系統在提高工作效率的同時也帶來了許多風險。IT治理即信息系統治理因此應運而生,并且迅速成為公司治理中重要一環。IT治理關注信息資源管理、風險管理、IT策略以及IT控制目標,通過平衡IT過程的風險和回報以增加企業價值,實現企業目標。
一、COBIT模型及其優勢
(一)COBIT模型簡述COBIT(Control Objectives for InformationandRelatedTechnology)是美國IT治理研究院(rrGovernancelnstitu-te)開發與推廣的一個信息系統治理的開放性標準,該標準為IT的治理、安全與控制提供了一個普遍適用的標準,以輔助管理層進行信息系統治理。COBIT管理框架包括執行概要、控制目標、審計指南、工具集和管理指南幾個部分組成,它將IT流程、IT資源及信息與企業的策略目標聯系起來,為企業管理的成功提供了集成的IT管理。COBIT已在世界多個國家的重要組織與企業中成功運用,指導這些組織充分利用信息資源,并有效管理信息相關的風險。
(二)COBIT模型優勢與其他IT治理模型比較,COBIT的優勢主要體現在IT控制和IT的度量評價上。首先,該模型提供一個共同的標準,易于理解和實施,可以幫助管理層、IT工程師及審計人員之間交流,提供了彼此之間溝通的共同語言。其次,通過實施COBIT,增加了管理層對控制的感知和支持,即使組織的管理層即使不精通信息系統,也能理解信息系統帶來的利益和花費的成本,明確其中存在的風險,了解問題所在,從而做出正確的決策。另外,COBIT使信息系統管理和控制工作簡易并量化,減輕對復雜信息系統管理工作的難度。通過采用該框架作為對一個責任矩陣分析的基礎,可以對基于角色的信息系統管理和控制,定義過程措施,確保組織利益。該模型還有助于提高信息系統審計師的影響力,依據COBIT出具的信息系統審計報告更容易得到管理層的肯定。
二、COBIT信息系統治理流程
(一)識別IT資源,確定IT控制目標與過程目標COBTT過IT過程來管理IT資源以實現目標,從而滿足業務需求。COBIT模型定義信息技術資源共有四項:應用系統(Applications):涵蓋所有人工及自動化的作業程序;資料(Information):數字、文字、圖形及聲音等廣義的數據;設施((Infrastructure):硬件、操作系統、數據庫管理系統以及存放及支持信息系統運作的所有資源;人員(People):具有規劃、組織、取得、提供、支持及監督信息系統和服務所需的技術和能力。根據信息資源的管理和信息技術作業的生命周期,COBIT定義了IT過程來管理信息技術資源實現控制目標。IT過程共分為三個層次,即為四個域(mains)、34個處理過程(Piocesses)及318個任務活動(ActivitiesTasks)。在COBll模型控制目標體系中,信息技術資源和信息技術流程目標是為了滿足業務需求。組織管理者期望信息系統的服務質量能不斷提高,功能逐漸強大,而同時維持較低的服務成本。這就需要信息滿足有效性(Effectiveness)、高效性(Efficiency)、保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、遵循性(compliance)、可靠性(Reliabihw OfInformation)的準則要求。IT資源、IT控制目標及業務目標關系如圖1所示。
(二)運用軟件成熟度模型(CMM),確定IT過程的治理級別成熟度模型(cMM)為每一個IT過程定義了六種成熟度級別,用于判斷當前企業的信息化水平。成熟度模型定義了0~5六個級別,0~5等級是基于一個簡單的成熟性量度,體現出處理如何從不存在發展到優化級的管理過程,增加成熟度意味著增加管理風險與提高管理效率。管理者可以評價本組織在該過程控制上所處的級別,然后通過與同行業標桿企業相比較,判斷自身所處的先進程度、競爭優勢和改進方向。軟件成熟度模型制定了一個基準,企業可能根據上面的指標確定自己的等級,從而了解自身目前的處境。管理部門相對容易地依據等級制對自己定位,認清當前企業所處的形勢,并找出需要改善管理的地方。成熟度模型能以簡單方式測定差異,有助于確定有關信息技術管理、安全性。企業對自身進行差距分析以確定需要做哪些工作來達到所選級別。具體如圖2所示。
(三)根據IT治理級別,確定關鍵成功因素(CSF)關鍵成功因素(csF)著眼于“管理者應當做什么”這個問題,是每一個IT過程中最重要的因素或控制活動,如最佳方案所要求的必備事項或條件、為提高成功的概率所必須完成的重要事項等。關鍵成功因素為管理部門控制信息技術及其處理過程提供了實施指南,它們是信息技術處理過程中的關鍵的要素,是戰略性的、技術性的過程或活動,勾畫出了IT的控制輪廓。關鍵成功因素應與組織的目標保持一致,是組織和處理過程的可觀察可測量的特征,分布于企業的戰略層、戰術層、應用層及組織的各個方面,可以通過目標分解與識別的方法選擇關鍵成功因素。關鍵成功因素所用的工具包括樹枝因果圖、標準控制模型和信息技術管理框架的目標與方針。
(四)實施績效管理,確定關鍵目標指標(KGI)與關鍵績效指標(KPI)確保組織能達到關鍵目標指標中所設定的治理目標,需要對關鍵績效指標進行監控。IT治理的績效指標包括關鍵目標指標(KGI)和關鍵績效指標(KPI)。關鍵目標指標(KGI)著眼于IT過程“執行后的結果應該作到怎樣”。關鍵目標指標是處理目標的一種表達,明確要取得什么目標,并描繪處理的結果,進行事后評判即時體現處理過程的完成成功與否,間接體現處理帶給經營活動的價值。它關注平衡計分卡的客戶與財務方面,面向信息技術,但驅動企業經營活動。關鍵執行指標或關鍵性能指標(KPI)著眼于怎樣判斷正在執行的過程當前的狀態是否良好、是否需要調整。關鍵性能指標通過監測某IT處理過程的執行情況,告訴管理者該處理是否滿足其經營需求。關鍵性能指標主要通過信息系統與信息服務的有效性,信息的機密與完整性,處理過程和操作的成本,信息的可信度、可靠性等來評價信息技術的績效,測定其是否真正達到預期處理目標,是否有助于管理者改進處理。
(五)定期評估。衡量組織達到目標與否定期對信息系統進行內部的IT審計或獨立的第三方IT審計和評估,以衡量組織是否達到設定的業務活動目標。IT審計是指根據公認的標準和指導規范對信息系統及其業務應用的效能、效率、安全性進行監測、評估和控制的過程,以確認預定的業務目標得以實現。Ⅱ審計內容包括了解該過程相關內控,包括應面詢的對象、問題,應查閱的文檔,評價該過程的控制以及具體要核查的項目,執行過程中常規的符合性測試項目及常規的實質性測試項目等審計內容。它從資產安全性(Asset Security)、有效性(Effeetively)、效率(Efliciency)、數據完整性(DataIntegrity)等方面出發,對其是否能夠有效可靠的達到組織的戰略目標進行全面的監測和評估,并為改善和健全組織對信息系統的控制提出詳細的建議。
