【正文】 證實 ，通過分析技術(shù)和 /或咨詢可選的來源，證實控制目標(biāo)的風(fēng)險不存在。 （三） COBIT的應(yīng)用之二： IT審計 95 ? 審計模型 ?審計的目標(biāo)是： ? 為管理層提供控制合理性的保證 ? 何處存在重要的控制弱點，證實由此產(chǎn)生的風(fēng)險 ? 建議管理層采取糾正措施。 ?如何利用 COBIT？ ? 利用 COBIT控制目標(biāo)（ CO）和控制實踐（ CP）來對具體改進(jìn)項目的優(yōu)先級進(jìn)行排序，還可利用 COBIT管理指南中的 KPI、KGI這兩個指標(biāo)來對 IT過程進(jìn)行度量，以判斷其達(dá)成目標(biāo)的程度。 ? COBIT控制目標(biāo)（ CO）和控制實踐（ CP）為建立關(guān)鍵的控制環(huán)境提供了指南； ? COBIT框架中描述的信息質(zhì)量標(biāo)準(zhǔn)有助于定義業(yè)務(wù)價值和定義降低業(yè)務(wù)風(fēng)險的需求； ? IT資源標(biāo)準(zhǔn)有助于決定組織需要什么樣的資源來管理所提供的信息，以滿足業(yè)務(wù)價值和業(yè)務(wù)風(fēng)險的需要； ? IT過程標(biāo)準(zhǔn)有助于組織選擇適合自身的 IT過程。 KGI KGI舉例 87 ? 關(guān)鍵績效指標(biāo) (KPI) ?定義： ? 關(guān)鍵績效指標(biāo) (KPI)描述了在實現(xiàn) IT目標(biāo)的過程中執(zhí)行情況的好壞程度，是判斷目標(biāo)是否有可能實現(xiàn)的主要指標(biāo)，也是測定性能、慣例和技能的指標(biāo)。 IT過程成熟度描述 CMM 85 ? 關(guān)鍵成功因素 (CSF) ?定義 ? CSF為管理部門實現(xiàn)對 IT過程的控制提供指南，它們是實現(xiàn)IT過程目標(biāo)最重要的一系列因素，可以由戰(zhàn)略的、技術(shù)的、組織的或程序的各種活動組成； ? 它們通常會涉及 IT能力和技能，簡短而集中介紹企業(yè)為達(dá)到某方面的目標(biāo)必須重視的資源和必須實施的控制。 ? 此過程如何實現(xiàn)對業(yè)務(wù)加速器功能的描述（如何保持對 IT過程的控制，以確定是否達(dá)成業(yè)務(wù)目標(biāo)） 。 ?在必要時，對于制定長期計劃與短期計劃所基于的假設(shè)條件進(jìn)行驗證和變更 示例： 控制實踐 ?建立正式的監(jiān)控過程，階段性地對 IT計劃的反饋信息進(jìn)行收集、記錄、排序和溝通工作，此外還需要來自 IT、組織管理層和關(guān)鍵利益相關(guān)者的信息輸入，然后進(jìn)行評審工作，評審的內(nèi)容包括：短期計劃目標(biāo)的實現(xiàn)、與計劃相關(guān)的對業(yè)務(wù)風(fēng)險的管理，對業(yè)務(wù)過程可衡量的改善（成本、效率）和 IT投資所交付的價值。 74 ?框架示例 75 ? COBIT控制目標(biāo) ? COBIT提供了 34個高層控制目標(biāo)，每一個目標(biāo)對應(yīng)著一個 IT過程； ?控制目標(biāo)下，又定義了 318個具體的控制子目標(biāo)； 76 ? 每個子目標(biāo)從價值交付和風(fēng)險管理的角度，再將子控制目標(biāo)細(xì)化成可執(zhí)行的控制實務(wù) (Control Practice)，并為實施執(zhí)行提供業(yè)務(wù)指導(dǎo)。 ? 【主題】 – 提供所需服務(wù) – 建立服務(wù)支持流程 – 應(yīng)用系統(tǒng)的處理過程 ? 【問題】 – 交付的 IT服務(wù)是否與業(yè)務(wù)優(yōu)先順序相一致 ? – IT成本是否被優(yōu)化 ? – 員工是否能安全有效地使用 IT系統(tǒng) ? – IT系統(tǒng)是否具有充分的安全性、完整性和可用性 ? 68 ? 【控制目標(biāo)】 – DS1定義并管理服務(wù)水平 – DS2管理第三方服務(wù) – DS3績效管理與容量管理 – DS4確保持續(xù)性服務(wù) – DS5確保系統(tǒng)安全 – DS6確認(rèn)與分配成本 – DS7教育并培訓(xùn)客戶 – DS8為客戶提供幫助和建議 – DS9配置管理 – DS10 問題管理與緊急事件管理 – DS11數(shù)據(jù)管理 – DS12設(shè)施管理 – DS13運(yùn)營管理 69 ?監(jiān)控與評價 ? 【描述】 – 為了保證系統(tǒng)的質(zhì)量并滿足控制需求，所有的流程應(yīng)被定期評估。另外，這個域還包括對已有系統(tǒng)的變更與維護(hù)，以確保系統(tǒng)生命周期活動能持續(xù)進(jìn)行。 ? 次要的（ Secondary, 簡寫為 S） ——在這個程度上，定義的控制目標(biāo)只是在較小范圍或以間接方式滿足相關(guān)的信息標(biāo)準(zhǔn)。 (該域包含應(yīng)用系統(tǒng)對數(shù)據(jù)的實際處理，通常按應(yīng)用控制分類。 ? 獲取與實施 ——為實現(xiàn) IT戰(zhàn)略，需要識別、開發(fā)或采購 IT解決方案，并把它們集成到業(yè)務(wù)過程中去。 59 ? COBIT框架結(jié)構(gòu) ? COBIT由 IT的域、過程、活動三級自然組合而成，這與組織結(jié)構(gòu)的責(zé)任域相適應(yīng)，通常也與可以應(yīng)用到 IT過程的管理周期或生命周期相一致 IT系統(tǒng) IT域 IT過程 IT 控制目標(biāo) ?關(guān)鍵成功因素 ?結(jié)果測量 ?關(guān)鍵績效指標(biāo) ?成熟度模型 IT 控制實踐 60 ? COBIT框架三維表示 ? 可以用以下三個標(biāo)準(zhǔn)維組成： 信息標(biāo)準(zhǔn)， IT 資源， IT 過程。 ? 應(yīng)用系統(tǒng) ——可以理解為人工程序和計算機(jī)程序的總和。 ? 可用性 —在無論是在當(dāng)前還是將來，業(yè)務(wù)過程所需要的信息要隨時可用，同時還關(guān)系到對必要資源和相關(guān)能力的保護(hù)。 56 ? COBIT如何滿足業(yè)務(wù)要求 ?機(jī)密性 ?完整性 ?可用性 ?有效性 (效能 ) ?經(jīng)濟(jì)性 (效率 ) ?機(jī)密性 ?完整性 ?可用性 ?合規(guī)性 ?可靠性 (信息 ) ?質(zhì)量 ?成本 ?交付 ?運(yùn)行的有效性和經(jīng)濟(jì)性 ?信息的可靠性 ?與法律、法規(guī)的符合性 質(zhì)量需求 信譽(yù)需求 安全需求 57 ? COBIT信息標(biāo)準(zhǔn)的定義 ? 有效性 —處理與業(yè)務(wù)過程相關(guān)的信息，并以及時、正確、一致和可用的方式交付。 ?第二版于 1998年出版，修訂了高層控制目標(biāo)與詳細(xì)控制目標(biāo)，增加了實施工具集（ Implementation Tool Set） ?信息系統(tǒng)審計與控制基金會（ ISACA）及其相關(guān)的基金會在 1998年創(chuàng)立 IT治理研究院 (ITGI)，由 ITGI制定并發(fā)布了 COBIT第三版，加入了管理指南，以及擴(kuò)展和加強(qiáng)了對 IT治理的關(guān)注； ? COBIT基于 ISACF的建立的 IT控制目標(biāo)，參照了其他控制框架、行業(yè)標(biāo)準(zhǔn)； ? ITGI于 2023年底發(fā)布了 COBIT第四版，這一版對 IT某些過程進(jìn)行了調(diào)整，強(qiáng)調(diào)了 IT控制與 IT治理五個領(lǐng)域的對應(yīng)關(guān)系 52 ? COBIT的目標(biāo)使用者 ?管理層 幫助他們在不可預(yù)知的 IT環(huán)境中平衡風(fēng)險和控制之間的矛盾 (采用控制措施需要投入資金 )。 ? 評估治理績效時要評估五個因素，利用下表進(jìn)行對照比較。 ?治理工作流程應(yīng)當(dāng)能使委員會的每個人都向治理決策提供輸入，又能將他們的 IT決策結(jié)果發(fā)布出去。 37 ?雙寡頭制的決策結(jié)構(gòu) ? 決策團(tuán)隊如 IT理事會同時包含 IT人員和業(yè)務(wù)人員，把兩者融合起來，能夠在重要決策中把業(yè)務(wù)戰(zhàn)略和IT聯(lián)合起來。擁有 IT領(lǐng)導(dǎo)團(tuán)隊的企業(yè)具有更高的治理績效。 ? 大多數(shù)聯(lián)邦制的 IT組織設(shè)計的核心就是對數(shù)據(jù)和 IT基礎(chǔ)設(shè)施共享的要求。 – 高層管理團(tuán)隊中的一個小組專門負(fù)責(zé) IT問題。 ? 工作流程－用于保證日常行為和 IT政策相一致，并提供返回到?jīng)Q策的輸入信息的正式流程。 ? 在技術(shù)含量較低的 IT決策領(lǐng)域（ IT原則、業(yè)務(wù)應(yīng)用需求和 IT投資）很多組織更喜歡使用 IT雙寡頭模式進(jìn)行決策。 無政府制 每一個單獨的使用者。 封建制 業(yè)務(wù)單位領(lǐng)導(dǎo)，關(guān)鍵流程負(fù)責(zé)人或其代表。 模型 誰擁有決策權(quán)或輸入權(quán)？ 業(yè)務(wù)君主制 一群業(yè)務(wù)主管或者單個主管（ CXOs）。 ? IT原則至少要闡述三個對 IT的預(yù)期： ? 企業(yè)期望的運(yùn)行模式是什么？ ? IT如何支持期望的運(yùn)行模式？ ? 組織中如何資助 IT？ 22 ? IT架構(gòu) ?指導(dǎo) IT投資和設(shè)計決策的 IT框架，是建立企業(yè)信息系統(tǒng)的綜合藍(lán)圖，是對企業(yè)不同的信息視圖進(jìn)行架構(gòu)描述的綜合 。 ? 建立有效確定 IT決策權(quán)歸屬 和 責(zé)任分配 的框架，包括有效的治理制度安排與治理機(jī)制的設(shè)計。前者由 IT與業(yè)務(wù)的戰(zhàn)略一致性驅(qū)動，后者由企業(yè)內(nèi)部建立的責(zé)任驅(qū)動； ?這兩者都需要獲得足夠的資源并進(jìn)行績效測量，以保證獲得預(yù)期結(jié)果。 －引自彼得 .維爾和珍妮 .羅斯的 IT治理研究 15 ? 什么 IT治理？ ?德勤定義如下 : IT 治理是一個含義廣泛的術(shù)語，包括信息系統(tǒng)、技術(shù)、通訊、商業(yè)、所有利益相關(guān)者、合法性和其他問題。能搞掂就繼續(xù)合同，出問題就換一家 …… ” “公司很少討論 IT治理，系統(tǒng)只要不出事就好，出事了技術(shù)主管就麻煩大了！” …… 二、戰(zhàn)略層的 IT治理 反映出的問題 （ 1） IT資源在公司的戰(zhàn)略資產(chǎn)中地位受到一定的重視，但是具體情況不清楚； （ 2）缺乏 IT治理明確的概念描述和參數(shù)指標(biāo)； （ 3） IT治理需要的明確責(zé)任與職能不清晰。它有具體的概念和定義嗎 ?”“是不是公司治理 ?它與公司治理有區(qū)別嗎 ?” “ IT工作一直是公司戰(zhàn)略中的重點，具體的工作我不太清楚 ,分管副總知道。 ? 應(yīng)該逐步完善企業(yè)的 IT治理機(jī)制，實現(xiàn) IT與戰(zhàn)略、管理、業(yè)務(wù)運(yùn)營、信息安全的深度融合。 ? IT績效風(fēng)險－ 如果規(guī)劃不當(dāng)、控制不嚴(yán)， IT系統(tǒng)不能帶來預(yù)期的業(yè)務(wù)價值，巨額的信息化投入很可能造成新一輪的“投資黑洞”。 6 ? 企業(yè)風(fēng)險管理組成結(jié)構(gòu) ?風(fēng)險管理策略 組織對風(fēng)險的態(tài)度，對風(fēng)險管理的承諾 ?風(fēng)險控制過程 組織具體管理風(fēng)險步驟、做法及工具 ?風(fēng)險管理基礎(chǔ) 組織內(nèi)支持風(fēng)險管理的人員、組織、技術(shù)等，來協(xié)助驅(qū)動風(fēng)險管理 風(fēng)險模型舉例 7 ? IT風(fēng)險控制是企業(yè)風(fēng)險管理中的重要組成部分 公司層控制 應(yīng)用層控制 基礎(chǔ)層控制 IT控制層 COSO控制框架 ISMS、 ITSM、 BCP、 CMMI、 …… 8 ? IT面臨哪些風(fēng)險與挑戰(zhàn)？ ? 在信息與信息系統(tǒng)上的投資規(guī)模與成本都在不斷擴(kuò)大，高投入帶來了高風(fēng)險； ? 企業(yè)對 IT系統(tǒng)的依賴性越來越強(qiáng)的同時，面臨不斷增多的系統(tǒng)薄弱性和各種各樣的威脅， IT系統(tǒng)的停機(jī)將造成業(yè)務(wù)受到巨大損失、聲譽(yù)下降、競爭優(yōu)勢喪失； ? IT 應(yīng)用與業(yè)務(wù)需求之間邏輯錯位， IT設(shè)施最后成了擺設(shè)， IT建設(shè)缺乏績效評估機(jī)制； ? IT項目的高失敗率，使得企業(yè)無法實現(xiàn)其預(yù)期的創(chuàng)新與利益，不能實現(xiàn)對 IT的投資回報，或者不通對投資回報進(jìn)行測量； ? 不斷發(fā)展的科技潛力顯著地改變組織形式與商業(yè)模型，在創(chuàng)造出新的機(jī)遇并降低了成本的同時，也使得商業(yè)競爭不斷加劇 ?！败浛刂啤敝饕改切儆诰駥用娴氖挛?，如高級