【正文】 ……. ?……. ?……. 績(jī)效指標(biāo) 對(duì)目標(biāo)的測(cè)量 KGIs ?關(guān)鍵實(shí)務(wù) ? ? ? ?……. 輸入 IT過程 輸出 角色與職責(zé) 評(píng)估 82 012345成熟度模型 對(duì)建立、計(jì)劃和追蹤當(dāng)前的及未來 的所需的成熟度進(jìn)行詳細(xì)描述 RACI 表 角色與責(zé)任 (R=職責(zé) , A=問責(zé) , C=咨詢 , I=通知 ) 關(guān)鍵角色 主要屬性： 屬性 參照 KPIs ?戰(zhàn)略方向 ?資源 ?能力 ?意識(shí) ?支持 ?政策 ?其他 … 關(guān)鍵成功因素 目標(biāo)與范圍 IT過程綜述 因果關(guān)系圖 ?……. ?……. ?……. ?……. ?……. ?……. ?……. ?……. 績(jī)效指標(biāo) 對(duì)目標(biāo)的測(cè)量 KGIs ?關(guān)鍵實(shí)務(wù) ? ? ? ?……. 用于詳細(xì)評(píng)估的可測(cè)量的屬性與組件 評(píng)估時(shí)可參照的業(yè)務(wù)標(biāo)準(zhǔn)及行業(yè)最佳實(shí)踐 可用于快速評(píng)估的初始標(biāo)準(zhǔn) 基于通用的組織流程圖 對(duì) CSF的分解 對(duì) IT過程的分解 對(duì) IT過程目標(biāo)的描述 對(duì) IT過程績(jī)效的描述 83 012345成熟度模型 對(duì)建立、計(jì)劃和追蹤當(dāng)前的及未來 的所需的成熟度進(jìn)行詳細(xì)描述 RACI 表 角色與責(zé)任 (R=職責(zé) , A=問責(zé) , C=咨詢 , I=通知 ) 關(guān)鍵角色 主要屬性： ?戰(zhàn)略方向 ?資源 ?能力 ?意識(shí) ?支持 ?政策 ?其他 … 關(guān)鍵成功因素 目標(biāo)與范圍 IT過程綜述 因果關(guān)系圖 ?……. ?……. ?……. ?……. ?……. ?……. ?……. ?……. 績(jī)效指標(biāo) 對(duì)目標(biāo)的測(cè)量 KGIs KPIs 屬性 參照 ?關(guān)鍵實(shí)務(wù) ? ? ? ?……. 我需要 什么 ？ 我必須 做什么？ 我需要提供什么？ 如何測(cè)量工作績(jī)效？ 如何 委派 工作？ 由誰來執(zhí)行？ 如何評(píng)估？ 84 ? IT過程成熟度模型 (CMM) ?定義 ? CMM制定了一個(gè)基準(zhǔn)，組織可以確定自己的等級(jí)，從而了解自身目前的狀況； ? 在確定 CMM基礎(chǔ)上確定組織的關(guān)鍵成功因素 (CSF)，通過關(guān)鍵績(jī)效指 (KPI) 進(jìn)行監(jiān)控 (事中控制 )，并衡量組織是否能達(dá)到關(guān)鍵目標(biāo)指標(biāo) (KGI)中所設(shè)定的目標(biāo) (事后控制 )； ? 34個(gè) IT過程的每一項(xiàng)都有一個(gè)遞增的測(cè)量尺度，基于“ 0”到“ 5”等級(jí)。 IT過程成熟度描述 CMM 85 ? 關(guān)鍵成功因素 (CSF) ?定義 ? CSF為管理部門實(shí)現(xiàn)對(duì) IT過程的控制提供指南，它們是實(shí)現(xiàn)IT過程目標(biāo)最重要的一系列因素，可以由戰(zhàn)略的、技術(shù)的、組織的或程序的各種活動(dòng)組成； ? 它們通常會(huì)涉及 IT能力和技能，簡(jiǎn)短而集中介紹企業(yè)為達(dá)到某方面的目標(biāo)必須重視的資源和必須實(shí)施的控制。 ?特征 ? 是 IT處理或支持的環(huán)境中最基本的促進(jìn)因素，是為提高 IT過程成功的可能性所要做的最重要的事； ? 是實(shí)現(xiàn)成功所需的一種條件，或是一種可取的活動(dòng)，具有可觀察或可測(cè)量的特征； ? 關(guān)注獲取、維護(hù)和利用 IT能力與技能，以 IT過程的術(shù)語(yǔ)而非業(yè)務(wù)術(shù)語(yǔ)來描述。 CSF COBIT引入的 CSF舉例 86 ? 關(guān)鍵目標(biāo)指標(biāo) (KGI) ?定義： ? 關(guān)鍵目標(biāo)指標(biāo)是對(duì) IT過程要達(dá)到何種目標(biāo)的一種表述，或者是對(duì)要完成結(jié)果的一種測(cè)度； ? 關(guān)鍵目標(biāo)指標(biāo) (KGI)主要在 IT過程實(shí)施之后，告訴管理部門該 IT處理是否滿足其業(yè)務(wù)需求，通常以信息標(biāo)準(zhǔn)的術(shù)語(yǔ)表述。例如： – 信息系統(tǒng)及服務(wù)的可用性； – 完整性缺失和機(jī)密性風(fēng)險(xiǎn)； – 信息處理和系統(tǒng)運(yùn)行的成本有效性； – 對(duì)可靠性、有效性和符合性的確認(rèn)。 KGI KGI舉例 87 ? 關(guān)鍵績(jī)效指標(biāo) (KPI) ?定義： ? 關(guān)鍵績(jī)效指標(biāo) (KPI)描述了在實(shí)現(xiàn) IT目標(biāo)的過程中執(zhí)行情況的好壞程度，是判斷目標(biāo)是否有可能實(shí)現(xiàn)的主要指標(biāo)，也是測(cè)定性能、慣例和技能的指標(biāo)。 ?特征 ? 是對(duì) IT過程執(zhí)行程度的測(cè)定； ? 可以預(yù)期將來成敗的可能性，是“先導(dǎo)性”指標(biāo)； ? 面向過程，由 IT驅(qū)動(dòng)； ? 以精確的、可測(cè)量的術(shù)語(yǔ)表述； ? 關(guān)注那些被認(rèn)為是對(duì)過程至關(guān)重要的資源； ? 對(duì)此指標(biāo)進(jìn)行測(cè)量并依此采取行動(dòng)，將有助于改進(jìn) IT過程。 KPI KPI舉例 88 確定需求 規(guī)劃具體方案 實(shí)施具體方案 規(guī)劃解決方案 IT治理實(shí)施路線圖 可持續(xù)的解決方案 ： ? 建立政策和目標(biāo) ? 實(shí)施政策、職責(zé)、過程和程序 ? 根據(jù)政策及外部最佳實(shí)施測(cè)量績(jī)效 ? 采取糾正及預(yù)防性措施并持續(xù)完善 反饋 實(shí)施后的評(píng)審： ? 對(duì)變更項(xiàng)目進(jìn)行測(cè)量 ? 對(duì)其他改進(jìn)項(xiàng)目提供反饋 （二） COBIT的應(yīng)用之一：建立 IT過程控制框架 89 ? 第一階段：確定需求 ?主要過程 ? 理解 IT治理項(xiàng)目的背景，為 IT治理實(shí)施項(xiàng)目設(shè)置可測(cè)量的業(yè)務(wù)目標(biāo)，增強(qiáng) IT治理意識(shí)，定義合理的項(xiàng)目組織； ? 理解業(yè)務(wù)目標(biāo)，并了解如何把業(yè)務(wù)目標(biāo)轉(zhuǎn)化為 IT目標(biāo)； ? 理解存在的潛在風(fēng)險(xiǎn)，以及他們是如何影響 IT目標(biāo)的； ? 確定要實(shí)施的 IT改進(jìn)項(xiàng)目應(yīng)涉及的范圍，識(shí)別要實(shí)施和完善的IT過程。 確定需求 90 ?如何利用 COBIT？ ? COBIT管理指南提供了關(guān)鍵目標(biāo)指標(biāo)（ KGI），關(guān)鍵成功因素（ CSF），這兩者可用來定義 IT目標(biāo)。 ? COBIT控制目標(biāo)（ CO）和控制實(shí)踐（ CP）為建立關(guān)鍵的控制環(huán)境提供了指南； ? COBIT框架中描述的信息質(zhì)量標(biāo)準(zhǔn)有助于定義業(yè)務(wù)價(jià)值和定義降低業(yè)務(wù)風(fēng)險(xiǎn)的需求； ? IT資源標(biāo)準(zhǔn)有助于決定組織需要什么樣的資源來管理所提供的信息，以滿足業(yè)務(wù)價(jià)值和業(yè)務(wù)風(fēng)險(xiǎn)的需要； ? IT過程標(biāo)準(zhǔn)有助于組織選擇適合自身的 IT過程。 第一階段詳述 91 ? 第二階段：規(guī)劃解決方案 ?主要過程 ? 對(duì)所選擇的 IT過程評(píng)估其成熟度當(dāng)前狀況（ Asis），制定適宜的未來目標(biāo) (Tobe)，； ? 基于 COBIT中控制目標(biāo)（ CO）和控制實(shí)踐（ CP）中的成熟度屬性（ CMM），對(duì)當(dāng)前狀況與未來目標(biāo)之間進(jìn)行差距分析，把差距轉(zhuǎn)化成改進(jìn)的機(jī)會(huì)。 ?如何利用 COBIT？ ? 這個(gè)階段用到了 COBIT中的管理指南中的關(guān)鍵成功因素（ CSF）和成熟度模型（ CMM）。 規(guī)劃解決方案 第二階段詳述 92 ? 第三階段：規(guī)劃具體方案 ?主要過程 ? 對(duì)所有可行的改進(jìn)方案進(jìn)行比較與識(shí)別，并轉(zhuǎn)換成合理的、具體可實(shí)施的項(xiàng)目計(jì)劃； ? 在得到管理層的批準(zhǔn)后，這些所有這些項(xiàng)目應(yīng)當(dāng)集成為一個(gè)總的改進(jìn)策略，并制定相應(yīng)的行動(dòng)計(jì)劃為具體實(shí)施作好準(zhǔn)備。 ?如何利用 COBIT？ ? 利用 COBIT控制目標(biāo)（ CO）和控制實(shí)踐（ CP）來對(duì)具體改進(jìn)項(xiàng)目的優(yōu)先級(jí)進(jìn)行排序，還可利用 COBIT管理指南中的 KPI、KGI這兩個(gè)指標(biāo)來對(duì) IT過程進(jìn)行度量，以判斷其達(dá)成目標(biāo)的程度。 規(guī)劃具體方案 第三階段詳述 93 ? 第四階段：實(shí)施具體方案 ?主要過程 ? 把計(jì)劃好的項(xiàng)目方案落實(shí)到日常運(yùn)行實(shí)務(wù)中去，以推動(dòng)具體項(xiàng)目的實(shí)施； ? 以 IT平衡記分卡的方式，對(duì)實(shí)施后的 IT過程進(jìn)行評(píng)審與監(jiān)督，以此作為反饋來保證 IT過程的持續(xù)可靠運(yùn)行。 ?如何利用 COBIT？ ? 在此階段，可以利用 COBIT管理指南中 KGI和 KPI來建立 IT平衡記分卡，進(jìn)行項(xiàng)目實(shí)施后的評(píng)審。 實(shí)施具體方案 第四階段詳述 94 ? COBIT審計(jì)指南 ?審計(jì)指南是 COBIT提供的一個(gè)補(bǔ)充工具，以方便審計(jì)師在審計(jì)和評(píng)估活動(dòng)中使用 COBIT 框架與控制目標(biāo)； ?由于審計(jì)指南與 COBIT 框架和詳細(xì)控制目標(biāo)集成在一起，因此審計(jì)指南為審計(jì)師準(zhǔn)備審計(jì)計(jì)劃、審計(jì)方案提供了指引； ? COBIT為 IT的安全與控制提供了明確的政策和良好的實(shí)踐，因此扎根于控制目標(biāo)的審計(jì)指南使審計(jì)師可以從審計(jì)結(jié)論中得出合理的審計(jì)建議，并參照權(quán)威的標(biāo)準(zhǔn)來完善控制過程。 （三） COBIT的應(yīng)用之二： IT審計(jì) 95 ? 審計(jì)模型 ?審計(jì)的目標(biāo)是： ? 為管理層提供控制合理性的保證 ? 何處存在重要的控制弱點(diǎn)，證實(shí)由此產(chǎn)生的風(fēng)險(xiǎn) ? 建議管理層采取糾正措施。 ?審計(jì)過程的公認(rèn)結(jié)構(gòu)是： ? 識(shí)別與文檔工作 ? 評(píng)價(jià) ? 符合性測(cè)試 ? 實(shí)質(zhì)性測(cè)試 96 ? 審計(jì)指南三層結(jié)構(gòu) 第一層 通用 IT審計(jì)方法 ?COBIT框架 ?審計(jì)前的準(zhǔn)備 ?對(duì)控制的觀察 ?一般性審計(jì)指南 第二層 過程審計(jì)指南 ?詳細(xì)審計(jì)指南 第三層 補(bǔ)充詳細(xì)的控制目標(biāo)的審計(jì)關(guān)注點(diǎn) ?當(dāng)?shù)貤l件 ?地區(qū)特定標(biāo)準(zhǔn) ?行業(yè)標(biāo)準(zhǔn) ?與特定平臺(tái)相關(guān)的因素 ?所使用的詳細(xì)控制技術(shù) 97 ? 審計(jì)前的準(zhǔn)備 定義審計(jì)范圍 ?相關(guān)的業(yè)務(wù)過程 ?支持業(yè)務(wù)過程的平臺(tái)、系統(tǒng)及系統(tǒng)間的互聯(lián) ?角色、責(zé)任及組織結(jié)構(gòu) 識(shí)別與業(yè)務(wù)過程相關(guān)的信息需求 ?與業(yè)務(wù)過程的相關(guān)性 識(shí)別固有的 IT風(fēng)險(xiǎn)和各種級(jí)別的控制 ?最近在業(yè)務(wù)與技術(shù)環(huán)境中發(fā)生的變量與事件 ?有關(guān)審計(jì)、鑒定和自我評(píng)估的結(jié)果 ?管理層使用的 IT監(jiān)督措施 選擇要審計(jì)的 IT過程和平臺(tái) ?IT過程 ?資源 設(shè)定審計(jì)策略 ?控制與風(fēng)險(xiǎn) ?步驟與任務(wù) ?決策點(diǎn) 審計(jì)過程詳述 98 ? 審計(jì)的一般過程 獲得 對(duì)業(yè)務(wù)需求有關(guān)的風(fēng)險(xiǎn)、和相應(yīng)的控制方法的理解 。 評(píng)價(jià) 規(guī)定的控制的適宜性 。 評(píng)估 符合性，通過測(cè)試規(guī)定的控制是否按規(guī)定、一致的、持續(xù)的起作用 。 證實(shí) ，通過分析技術(shù)和 /或咨詢可選的來源，證實(shí)控制目標(biāo)的風(fēng)險(xiǎn)不存在。 一般性審計(jì)指南 99 ? COBIT推薦的 IT審計(jì)方法 審計(jì)指南示例 100 ? 案例研究 ?A公司利用 COBIT建立控制框架 ?B銀行的信息系統(tǒng)審計(jì) 101 演講完畢，謝謝觀看！