(A)作為信息技術治理的核心模式
有效的IT治理必須保證組織戰略與IT戰略的壹致性,並將組織戰略作為IT建設和運營的根本指導。定位IT,從業務的角度創建信息技術的指導原則,充分利用組織的現有資源滿足關鍵需求,避免信息系統不能有效支持組織的決策。
COBIT定位於IT治理的目標和範圍,並與公司治理標準相協調。COBIT認為IT治理是管理層和董事會的責任。它確保通過領導力、組織結構和相應的流程來支持和擴展組織的戰略和目標。這是壹個集管理、問責和監督於壹體的質量控制系統。COBIT整合並制度化了壹些最佳實踐。確保組織的IT支持業務目標。從IT治理的五個關鍵領域來看,戰略協調、價值交付、風險管理、資源管理和績效管理都與COBIT的目標、標準、實踐和成熟度模型建立了映射關系,使得IT治理在實踐中具有針對性。
(二)作為實施企業信息化建設的指南
我國企業信息化建設普遍存在以下問題:缺乏長遠和整體規劃;重建。輕管理;螢火蟲收入考慮,輕風險和成本管理;比過程和知識更重視技術和工具;企業經營戰略的重大變化帶來的困難。這些問題的根源在於信息系統的建設和應用缺乏控制機制。各環節缺乏控制目標,信息系統不滿足業務需求,或因缺乏有效手段導致使用效率過低,進壹步影響業務正常運行。
COBIT的四個領域涵蓋了IT規劃、建設、運營、監控的全生命周期。每個過程都有明確的控制目標和成熟度模型,並定義了過程的角色和職責,所有目標都統壹在COBIT控制模型中。COBIT的這些特點使企業能夠從業務戰略的角度分析和設計信息系統,並借助控制準則和成熟度模型,在信息化建設過程中更好地貫徹成本效益原則。流程角色和職責的明確不僅是科學管理原則的落實,也可以彌補信息化建設過程中的制度缺失。
(三)作為建立和優化IT內部控制的參考
國內很多企業管理者對內部控制的認識還停留在手工控制的層面,沒有建立壹套完善的信息技術內部控制來降低使用大量關鍵信息系統所面臨的風險。這主要體現在IT部門之間以及IT部門與業務部門之間缺乏有效的溝通,無法保證信息技術部門的工作能夠完全滿足業務的需求。企業缺乏有效的IT內部審計機制來監督信息技術部門的工作,缺乏完善的數據和系統的訪問控制管理,缺乏對系統變更的有效管理,缺乏完善的系統開發管理,缺乏完善的系統運行控制,導致系統出現故障時不能及時發現和解決故障,造成數據丟失(高誌偉,李克,2006)。這些問題是國內大量使用信息系統的企業迫切需要解決的,否則壹旦風險威脅轉化為現實損失,損失程度可能是企業難以承受的。
COSO雖然是壹個理解和評價內部控制的全球框架,但它是壹個高度抽象的概念框架,沒有為具體的控制目標和活動提供指導,也沒有對IT環境提出具體的控制要求,因此其對IT環境的應用價值大打折扣。COBIT是信息技術風險管理和控制框架,而不是內部控制框架。它仍然基於COSO框架,並圍繞IT控制環境的幾個方面提供壹般指導。COBIT不僅定義了其控制標準與COSO控制目標之間的明確聯系,還建立了其34個流程與COSO五要素之間的映射關系。COBIT為IT環境制定了壹系列詳細的控制目標,並將這些控制目標置於壹個邏輯控制結構下,具有很強的應用性。因此,可以說COBIT框架是COSO框架在IT環境下的有益補充。
對於沒有建立IT內部控制的企業,可以根據風險評估的結果對壹些關鍵控制點進行控制。對於已經初步建立了IT內部控制的組織。根據COBIT的要求,可以分析企業IT內部控制的現狀,找出差距,進而確定需要增加或改進的控制點。每個控制點的控制活動必須有清晰的描述和文檔記錄,並且這些控制活動必須是可操作和可測試的,最終形成壹個IT控制矩陣。企業必須完成壹套與IT控制相關的文檔,然後通過細致紮實的工作,落實已經確定的IT控制點,IT控制才能落到實處。
(D)作為信息技術審計的工具
IT審計的目的是從系統保障方面徹底解決信息系統規劃、建設、實施、維護和控制過程中與企業業務、管理和戰略的整合問題。通過量化的方法,可以平衡膳食信息系統對企業業務的影響,進而對這些影響物種的風險因素和價值因素進行評估,有目的地對信息系統的質量、方法、流程和績效出具類似財務審計意見的報告。從而使董事會和管理層能夠真正理解和掌握信息系統在企業中的核心作用。
IT業務流程是COBIT關註的重點,對於每壹個lT業務流程。COBIT提出了壹系列控制目標,實現這些控制目標的相應控制程序,以及壹系列評估這種控制程序是否存在並得到有效實施的審計程序。該標準為IT治理、安全和控制提供了普遍接受的標準,以幫助IT治理中的管理層。為了提高對IT流程模型的理解,COBIT定義了每個IT流程,描述了每個流程及其基本輸入/輸出和與其他流程的關系,並確定了它來自哪個流程,去往哪個流程,或者是否存在其他路徑。這些輸入和輸出的聯系使得COBIT中的關鍵流程得以確定。便於審計人員了解審計對象及其相關控制。
使用COBIT實施IT審計時,可以從COBIT相關流程中的控制目標入手,進行風險分析,得到與該流程相關的風險控制目標,再從風險控制目標中推導出與該目標相關的風險控制點。對於每個風險控制點,結合企業自身的技術特點,找出其包含的風險檢查點,風險檢查點可以形成相關部分的檢查表。根據檢查結果,對照COBIT相關部分中的要求,找出相關的薄弱點,並提出相應的改進建議。風控目標和風險槍檢之間主要有兩種推演方式。壹種是自下而上,即從具體的管理流程或技術實現措施上。得到相應的風險控制點,並進行細化。最後得出風險控制目標;壹種是自上而下。以風險控制的日常標準為基礎,分解得到相應的風險控制點,並進行細分,直到可以直接得到檢查點。最後,將風險控制的日常標準與COBIT相關流程的控制目標進行比較,以確保整個信息系統審計目標的完整性。