【正文】 ……. ?……. ?……. 績效指標(biāo) 對目標(biāo)的測量 KGIs ?關(guān)鍵實務(wù) ? ? ? ?……. 輸入 IT過程 輸出 角色與職責(zé) 評估 82 012345成熟度模型 對建立、計劃和追蹤當(dāng)前的及未來 的所需的成熟度進行詳細(xì)描述 RACI 表 角色與責(zé)任 (R=職責(zé) , A=問責(zé) , C=咨詢 , I=通知 ) 關(guān)鍵角色 主要屬性： 屬性 參照 KPIs ?戰(zhàn)略方向 ?資源 ?能力 ?意識 ?支持 ?政策 ?其他 … 關(guān)鍵成功因素 目標(biāo)與范圍 IT過程綜述 因果關(guān)系圖 ?……. ?……. ?……. ?……. ?……. ?……. ?……. ?……. 績效指標(biāo) 對目標(biāo)的測量 KGIs ?關(guān)鍵實務(wù) ? ? ? ?……. 用于詳細(xì)評估的可測量的屬性與組件 評估時可參照的業(yè)務(wù)標(biāo)準(zhǔn)及行業(yè)最佳實踐 可用于快速評估的初始標(biāo)準(zhǔn) 基于通用的組織流程圖 對 CSF的分解 對 IT過程的分解 對 IT過程目標(biāo)的描述 對 IT過程績效的描述 83 012345成熟度模型 對建立、計劃和追蹤當(dāng)前的及未來 的所需的成熟度進行詳細(xì)描述 RACI 表 角色與責(zé)任 (R=職責(zé) , A=問責(zé) , C=咨詢 , I=通知 ) 關(guān)鍵角色 主要屬性： ?戰(zhàn)略方向 ?資源 ?能力 ?意識 ?支持 ?政策 ?其他 … 關(guān)鍵成功因素 目標(biāo)與范圍 IT過程綜述 因果關(guān)系圖 ?……. ?……. ?……. ?……. ?……. ?……. ?……. ?……. 績效指標(biāo) 對目標(biāo)的測量 KGIs KPIs 屬性 參照 ?關(guān)鍵實務(wù) ? ? ? ?……. 我需要 什么 ？ 我必須 做什么？ 我需要提供什么？ 如何測量工作績效？ 如何 委派 工作？ 由誰來執(zhí)行？ 如何評估？ 84 ? IT過程成熟度模型 (CMM) ?定義 ? CMM制定了一個基準(zhǔn)，組織可以確定自己的等級，從而了解自身目前的狀況； ? 在確定 CMM基礎(chǔ)上確定組織的關(guān)鍵成功因素 (CSF)，通過關(guān)鍵績效指 (KPI) 進行監(jiān)控 (事中控制 )，并衡量組織是否能達到關(guān)鍵目標(biāo)指標(biāo) (KGI)中所設(shè)定的目標(biāo) (事后控制 )； ? 34個 IT過程的每一項都有一個遞增的測量尺度，基于“ 0”到“ 5”等級。 IT過程成熟度描述 CMM 85 ? 關(guān)鍵成功因素 (CSF) ?定義 ? CSF為管理部門實現(xiàn)對 IT過程的控制提供指南，它們是實現(xiàn)IT過程目標(biāo)最重要的一系列因素，可以由戰(zhàn)略的、技術(shù)的、組織的或程序的各種活動組成； ? 它們通常會涉及 IT能力和技能，簡短而集中介紹企業(yè)為達到某方面的目標(biāo)必須重視的資源和必須實施的控制。 ?特征 ? 是 IT處理或支持的環(huán)境中最基本的促進因素，是為提高 IT過程成功的可能性所要做的最重要的事； ? 是實現(xiàn)成功所需的一種條件，或是一種可取的活動，具有可觀察或可測量的特征； ? 關(guān)注獲取、維護和利用 IT能力與技能，以 IT過程的術(shù)語而非業(yè)務(wù)術(shù)語來描述。 CSF COBIT引入的 CSF舉例 86 ? 關(guān)鍵目標(biāo)指標(biāo) (KGI) ?定義： ? 關(guān)鍵目標(biāo)指標(biāo)是對 IT過程要達到何種目標(biāo)的一種表述，或者是對要完成結(jié)果的一種測度； ? 關(guān)鍵目標(biāo)指標(biāo) (KGI)主要在 IT過程實施之后，告訴管理部門該 IT處理是否滿足其業(yè)務(wù)需求，通常以信息標(biāo)準(zhǔn)的術(shù)語表述。例如： – 信息系統(tǒng)及服務(wù)的可用性； – 完整性缺失和機密性風(fēng)險； – 信息處理和系統(tǒng)運行的成本有效性； – 對可靠性、有效性和符合性的確認(rèn)。 KGI KGI舉例 87 ? 關(guān)鍵績效指標(biāo) (KPI) ?定義： ? 關(guān)鍵績效指標(biāo) (KPI)描述了在實現(xiàn) IT目標(biāo)的過程中執(zhí)行情況的好壞程度，是判斷目標(biāo)是否有可能實現(xiàn)的主要指標(biāo)，也是測定性能、慣例和技能的指標(biāo)。 ?特征 ? 是對 IT過程執(zhí)行程度的測定； ? 可以預(yù)期將來成敗的可能性，是“先導(dǎo)性”指標(biāo)； ? 面向過程，由 IT驅(qū)動； ? 以精確的、可測量的術(shù)語表述； ? 關(guān)注那些被認(rèn)為是對過程至關(guān)重要的資源； ? 對此指標(biāo)進行測量并依此采取行動，將有助于改進 IT過程。 KPI KPI舉例 88 確定需求 規(guī)劃具體方案 實施具體方案 規(guī)劃解決方案 IT治理實施路線圖 可持續(xù)的解決方案 ： ? 建立政策和目標(biāo) ? 實施政策、職責(zé)、過程和程序 ? 根據(jù)政策及外部最佳實施測量績效 ? 采取糾正及預(yù)防性措施并持續(xù)完善 反饋 實施后的評審： ? 對變更項目進行測量 ? 對其他改進項目提供反饋 （二） COBIT的應(yīng)用之一：建立 IT過程控制框架 89 ? 第一階段：確定需求 ?主要過程 ? 理解 IT治理項目的背景，為 IT治理實施項目設(shè)置可測量的業(yè)務(wù)目標(biāo)，增強 IT治理意識，定義合理的項目組織； ? 理解業(yè)務(wù)目標(biāo)，并了解如何把業(yè)務(wù)目標(biāo)轉(zhuǎn)化為 IT目標(biāo)； ? 理解存在的潛在風(fēng)險，以及他們是如何影響 IT目標(biāo)的； ? 確定要實施的 IT改進項目應(yīng)涉及的范圍，識別要實施和完善的IT過程。 確定需求 90 ?如何利用 COBIT？ ? COBIT管理指南提供了關(guān)鍵目標(biāo)指標(biāo)（ KGI），關(guān)鍵成功因素（ CSF），這兩者可用來定義 IT目標(biāo)。 ? COBIT控制目標(biāo)（ CO）和控制實踐（ CP）為建立關(guān)鍵的控制環(huán)境提供了指南； ? COBIT框架中描述的信息質(zhì)量標(biāo)準(zhǔn)有助于定義業(yè)務(wù)價值和定義降低業(yè)務(wù)風(fēng)險的需求； ? IT資源標(biāo)準(zhǔn)有助于決定組織需要什么樣的資源來管理所提供的信息，以滿足業(yè)務(wù)價值和業(yè)務(wù)風(fēng)險的需要； ? IT過程標(biāo)準(zhǔn)有助于組織選擇適合自身的 IT過程。 第一階段詳述 91 ? 第二階段：規(guī)劃解決方案 ?主要過程 ? 對所選擇的 IT過程評估其成熟度當(dāng)前狀況（ Asis），制定適宜的未來目標(biāo) (Tobe)，； ? 基于 COBIT中控制目標(biāo)（ CO）和控制實踐（ CP）中的成熟度屬性（ CMM），對當(dāng)前狀況與未來目標(biāo)之間進行差距分析，把差距轉(zhuǎn)化成改進的機會。 ?如何利用 COBIT？ ? 這個階段用到了 COBIT中的管理指南中的關(guān)鍵成功因素（ CSF）和成熟度模型（ CMM）。 規(guī)劃解決方案 第二階段詳述 92 ? 第三階段：規(guī)劃具體方案 ?主要過程 ? 對所有可行的改進方案進行比較與識別，并轉(zhuǎn)換成合理的、具體可實施的項目計劃； ? 在得到管理層的批準(zhǔn)后，這些所有這些項目應(yīng)當(dāng)集成為一個總的改進策略，并制定相應(yīng)的行動計劃為具體實施作好準(zhǔn)備。 ?如何利用 COBIT？ ? 利用 COBIT控制目標(biāo)（ CO）和控制實踐（ CP）來對具體改進項目的優(yōu)先級進行排序，還可利用 COBIT管理指南中的 KPI、KGI這兩個指標(biāo)來對 IT過程進行度量，以判斷其達成目標(biāo)的程度。 規(guī)劃具體方案 第三階段詳述 93 ? 第四階段：實施具體方案 ?主要過程 ? 把計劃好的項目方案落實到日常運行實務(wù)中去，以推動具體項目的實施； ? 以 IT平衡記分卡的方式，對實施后的 IT過程進行評審與監(jiān)督，以此作為反饋來保證 IT過程的持續(xù)可靠運行。 ?如何利用 COBIT？ ? 在此階段，可以利用 COBIT管理指南中 KGI和 KPI來建立 IT平衡記分卡，進行項目實施后的評審。 實施具體方案 第四階段詳述 94 ? COBIT審計指南 ?審計指南是 COBIT提供的一個補充工具，以方便審計師在審計和評估活動中使用 COBIT 框架與控制目標(biāo)； ?由于審計指南與 COBIT 框架和詳細(xì)控制目標(biāo)集成在一起，因此審計指南為審計師準(zhǔn)備審計計劃、審計方案提供了指引； ? COBIT為 IT的安全與控制提供了明確的政策和良好的實踐，因此扎根于控制目標(biāo)的審計指南使審計師可以從審計結(jié)論中得出合理的審計建議，并參照權(quán)威的標(biāo)準(zhǔn)來完善控制過程。 （三） COBIT的應(yīng)用之二： IT審計 95 ? 審計模型 ?審計的目標(biāo)是： ? 為管理層提供控制合理性的保證 ? 何處存在重要的控制弱點，證實由此產(chǎn)生的風(fēng)險 ? 建議管理層采取糾正措施。 ?審計過程的公認(rèn)結(jié)構(gòu)是： ? 識別與文檔工作 ? 評價 ? 符合性測試 ? 實質(zhì)性測試 96 ? 審計指南三層結(jié)構(gòu) 第一層 通用 IT審計方法 ?COBIT框架 ?審計前的準(zhǔn)備 ?對控制的觀察 ?一般性審計指南 第二層 過程審計指南 ?詳細(xì)審計指南 第三層 補充詳細(xì)的控制目標(biāo)的審計關(guān)注點 ?當(dāng)?shù)貤l件 ?地區(qū)特定標(biāo)準(zhǔn) ?行業(yè)標(biāo)準(zhǔn) ?與特定平臺相關(guān)的因素 ?所使用的詳細(xì)控制技術(shù) 97 ? 審計前的準(zhǔn)備 定義審計范圍 ?相關(guān)的業(yè)務(wù)過程 ?支持業(yè)務(wù)過程的平臺、系統(tǒng)及系統(tǒng)間的互聯(lián) ?角色、責(zé)任及組織結(jié)構(gòu) 識別與業(yè)務(wù)過程相關(guān)的信息需求 ?與業(yè)務(wù)過程的相關(guān)性 識別固有的 IT風(fēng)險和各種級別的控制 ?最近在業(yè)務(wù)與技術(shù)環(huán)境中發(fā)生的變量與事件 ?有關(guān)審計、鑒定和自我評估的結(jié)果 ?管理層使用的 IT監(jiān)督措施 選擇要審計的 IT過程和平臺 ?IT過程 ?資源 設(shè)定審計策略 ?控制與風(fēng)險 ?步驟與任務(wù) ?決策點 審計過程詳述 98 ? 審計的一般過程 獲得 對業(yè)務(wù)需求有關(guān)的風(fēng)險、和相應(yīng)的控制方法的理解 。 評價 規(guī)定的控制的適宜性 。 評估 符合性，通過測試規(guī)定的控制是否按規(guī)定、一致的、持續(xù)的起作用 。 證實 ，通過分析技術(shù)和 /或咨詢可選的來源，證實控制目標(biāo)的風(fēng)險不存在。 一般性審計指南 99 ? COBIT推薦的 IT審計方法 審計指南示例 100 ? 案例研究 ?A公司利用 COBIT建立控制框架 ?B銀行的信息系統(tǒng)審計 101 演講完畢，謝謝觀看！