请问下 COBIT在企业管理中是如何应用的?

请问下 COBIT在企业管理中是如何应用的?
请问下 COBIT在企业管理中是如何应用的?

请问下 COBIT在企业管理中是如何应用的?
谭小芳老师认为COBIT以其关注业务、面向过程、基于控制和度量驱动的主要特性,能够对IT和业务进行联系和控制.COBIT主要是一种IT治理工具,同时还可作为建立和改善企业的IT内部控制和进行IT审计的指南.COBIT的四个领域关注的是组织信息化建设的整个生命周期,因此对于我国的企业的信息化建设也具有指导意义.
(一)作为IT治理的核心模型
有效的IT治理必须保证组织战略与IT战略的一致性,以组织战略作为IT建设与运行的根本指导.对IT进行角色定位,从业务的视角创造信息技术指导原则,充分利用组织的现有资源来满足关键需求,避免建设的信息系统无法有效地支持组织的决策.
COBIT定位于IT治理的目标和范围,并与企业的治理准则相协调.COBIT认为IT治理是管理层和董事会的责任,它通过领导、组织结构和相应的过程来确保IT支持并拓展组织的战略和目标.它是一个集管理、问责制和监督为一体的质量控制系统.COBIT将一些最佳惯例进行整合并制度化.来确保组织的IT支持业务目标.从IT治理的五个关键领域来看,战略协调、价值交付、风险管理、资源管理和绩效管理都与COBIT的目标、标准、惯例和成熟度模型建立了映射关系,这使得IT治理在实践中可以做到有的放矢.
(二)作为企业信息化建设的实施指南
我国企业信息化建设普遍存在以下问题：欠缺长期的、整体的规划；重建设.轻管理；萤收益考量,轻风险与成本管理；重技术、工具,轻过程、知识；企业业务战略变化较大带来的用难.这些问题的根源在于缺乏对信息系统建设、应用的控制机制.缺乏每个环节上的控制目标,信息系统没有满足业务需求,或者在使用中由于缺乏有效手段,而导致使用效率过低,进而影响到业务的正常运作.
COBIT的4个领域涵盖了IT规划、建设、运行和监控整个生命周期,每个过程都有清晰的控制目标、成熟度模型,明确了过程的角色和职责,将各种目标统一于COBIT控制模型.COBIT的这些特性可以让企业从业务战略的高度来分析和设计信息系统,而且借助于控制只标和成熟度模型,可以让成本效益原则在信息化建设过程中得到更好的贯彻.过程角色和职责的明确,既是科学管理原则的贯彻,也能够弥补信息化建设过程中制度的缺失.
(三)作为建立和优化IT内部控制的参考
许多国内企业管理者对内部控制的理解目前仍停留在人工控制的层面,尚未建立一套完善的信息技术内部控制来降低大量使用关键的信息系统而面临的风险.这主要体现在：IT部门之间以及IT部门与业务部门之间缺乏有效的沟通来保证信息技术部门的工作能够充分满足业务的需要.企业缺乏有效的IT内部审计机制来监督信息技术部门的工作,缺乏完善的对数据及系统的访问控制管理,缺乏对系统变更的有效管理,缺乏完善的系统开发管理,缺乏完善的系统运行控制,导致系统发生故障时无法及时发现解决故障而造成数据的丢失等(高智纬,李可,2006).这些问题是那些大量应用信息系统的国内企业所亟待解决的,否则风险威胁一旦转变为现实的损失,损失程度将可能是企业难以承受的.
COSO虽然是理解和评价内部控制的全球性框架,但它是一个高度抽象的概念框架,没有对具体的控制目标和控制活动做出指引,更没有针对IT环境提出具体的控制要求,因而其对于IT环境的应用价值大打折扣.COBIT是一个信息技术风险管理和控制框架,而非内部控制框架,它依然是以COSO框架为基础,围绕IT控制环境的若干方面提供概括性的指引,COBIT不仅在其控制同标与COSO的控制目标之间定义了清晰的联系,而且还将它的34个过程与COSO的5个要素之间建立了映射关系.COBIT针对IT环境制定了一系列详细控制目标,并将这些控制目标置于一个逻辑性的控制结构下,其应用性较强.因此可以说,COBIT框架是IT环境下COSO框架的有益补充.
对于尚未建立IT内部控制的企业而言,可以根据风险评估的结果,对一些关键控制点进行控制.对于已经初步建立了IT内部控制的组织.可以参照COBIT的要求对企业IT内部控制现状进行分析,找出差距,进而确定需要增加或者完善的控制点,对每个控制点的控制活动必须进行清晰的描述和文档化,这些控制活动必须具备可操作性和可检验性,最终形成IT控制矩阵.企业必须完成一整套与IT控制相关的文档,随后通过细致扎实的工作落实已被确定的IT控制点,从而使IT控制得到贯彻实施.
(四)作为IT审计的工具
IT审计的目的就是要从制度保障方面,彻底解决信息系统规划、建设、实施、维护和控制过程中,与企业业务、管理和战略的融合问题.通过量化的方法,衡餐信息系统对企业业务带来的影响．进而评估这些影响种的风险因素和价值因素,有目的地对信息系统的质量、方法、过程和绩效,出具类似财务审计意见的报告.以便企业董事会和管理层能够真正了解和把握本企业内信息系统的核心作用.
IT业务流程是COBIT关注的焦点,对每一个lT业务流程.COBIT提出了一系列的控制目标、相应的实现这些控制目标的控制程序,评价这共控制程序是否存在,并被有效执行的一系列审计程序.该标准为IT治理、安全与控制提供了一个普遍适用的公认标准,以辅助管理层进行IT治理.为了改善对IT过程模型的理解,COBIT为每个IT过程进行了定义,对每个过程及基本输入/输出及与其他过程的关系进行了描述,确定它从哪个过程来,到哪个过程去,或是否有其它路径.这些输入,输出的连接使COBIT中的关键过程被确定下来.方便审计人员对审计对象及其相关控制的理解.
在运用COBIT实施IT审计时,可从COBIT有关过程中的控制目标入手,进行风险分析,得出与该过程相关的风险控制目标,再从风险控制目标中导出与该目标相关的风险控制点.针对每个风险控制点,结合企业自身的技术特色,找出其所包含的风险检杳点,风险检查点又可以组成对相关部分的检查表.针对检查的结果,与COBIT相关部分中的要求相比照,找出相关的薄弱点,并就此提出相应的改进意见.风险控制目标和风险枪查点之间的推导方式主要有两种,一种是自下而上,即从具体的管理过程或技术实施措施人手.从中得出相应的风险控制点,对相应的风险控制点进行提炼.最后得到风险控制目标；一种是自上而下.从风险控制日标出发．将其进行分解,得到相应的风险控制点并对其进行细分,直到能够直接得出检查点为止.最后将得到的风险控制日标与COBIT相关过程的控制目标相比较,以确保整个信息系统审计目标的完整性.