IT治理：中國信息化的必由之道（五）

背景

IT治理的發(fā)展歷程

國際組織和各國普遍認為公司治理機制對世界金融市場的穩(wěn)定及經(jīng)濟發(fā)展發(fā)揮了至關重要的作用，這直接促進了IT治理機制的形成與發(fā)展。
在1999年，英國BIS發(fā)布了Internal Control: Guidance for Directors on the Combined Code( Turnbull Report, 1999)報告。該報告認為：企業(yè)風險來自于許多活動，不只是財務風險，因為事實說明，在金融界所有過去的風險問題都是由內(nèi)部控制疏忽、信息技術失敗引起的，而且所有企業(yè)最終依靠對信息技術基礎設施的依賴和新技術風險的脆弱性，并呼吁高層領導樹立風險意識。從此，公司治理和風險管理成為企業(yè)所有者與管理者日益重要的問題。該報告引入了內(nèi)部控制的要求，對許多組織而言，信息與其支持技術代表該組織最有價值的資產(chǎn)，而且，競爭和不斷變化的商業(yè)環(huán)境也要求企業(yè)能夠充分利用信息技術實現(xiàn)更快的交付和更低的成本。因此，有效的公司治理和風險管理必然需要有效的IT治理和風險管理。與此同時，BIS還簡單陳述了關鍵的信息系統(tǒng)，如何確保治理應該有效、透明，可以解釋，這也意味管理信息技術相關風險，實現(xiàn)信息技術價值的交付成為公司治理中重要的組成部分。

1999年下半年，ISACA成立了IT治理研究院，專門研究IT治理的概念，并提供了信息及其相關技術的管理體系模型和最佳實務，幫助企業(yè)領導層認識有效實施IT治理的必要性與益處，從而保證長期的可持續(xù)的成功，并且增強利益相關者的價值。目前，該體系已在世界100多個國家的重要組織與企業(yè)中成功運用，指導這些組織有效利用信息資源，有效地管理信息相關的風險。因此，研究與探討IT治理，對于我國信息化的探索和實踐也有著重要的借鑒意義。

鏈接

國際信息系統(tǒng)審計與控制協(xié)會

國際信息系統(tǒng)審計與控制協(xié)會ISACA（Information System Audit and Control Association）成立于1969年，最初稱為EDP審計師聯(lián)合會，總部設在美國的芝加哥，是一個非盈利組織。目前在世界上100多個國家設有160多個分會，現(xiàn)有會員兩萬多人，是全球公認的在IT的管理、控制和保證領域的權(quán)威，ISACA的任務是：通過發(fā)展促進對信息、系統(tǒng)、技術的有效管理與控制的研究、實施及標準、權(quán)限的制定來支持企業(yè)實現(xiàn)其目標。這說明該協(xié)會的存在就是為了幫助IT的管理控制及保證利益相關者妥善處理IT的管理、IT的風險、IT的運作過程及協(xié)作控制、協(xié)作管理、協(xié)作風險和協(xié)作程序的相互作用。

ISACA通過提供各種有價值的服務（如：研究、標準、信息、教育、認證、專業(yè)的遠景）實現(xiàn)以上作用。協(xié)會幫助從事信息系統(tǒng)審計、控制、安全工作的人員，使之不僅注意IT、IT的風險與安全主題而且更要關注IT與商業(yè)、商業(yè)運作及商業(yè)風險的關系。起主要工作內(nèi)容如下：
?
設定標準—— 一般作為世界范圍內(nèi)的IT審計、控制的指導方針。
?
一個令人尊敬的認證項目CISA——在IS審計、控制、安全領域內(nèi)國際上承認的認證。
?
一個關于關鍵的管理和技術主題的專業(yè)的發(fā)展項目。
?
提供備受贊譽的技術出版物，包含最新的研究、案例學習、信息知識入門等。
?
指導會員專業(yè)的活動和操行的職業(yè)道德準則。

通過ISACA會員共同的努力，該組織超越了地理、文化和職業(yè)界限，他們代表各種不同的企業(yè)團體，包括金融銀行協(xié)會、會計審核公司、政府公共部門、公共事業(yè)及制造業(yè)等，通過選舉或指定一個由全球的志愿者組成的團體管理這個協(xié)會，把他們獨特的專業(yè)的見解帶到協(xié)會中并用來作出組織的決定，這就是國際信息系統(tǒng)審計與控制協(xié)會的國際委員會。

為了體現(xiàn)對中國事務的重視，ISACA 理事會成立了一個工作組，專門負責ISACA和IT 審計與控制職業(yè)在中國的發(fā)展。該工作組由來自中國和世界各地的致力于ISACA 在中國發(fā)展的代表組成。ISACA 理事會的副會長Dean Kingsley擔任中國工作組的主席。

案例

IT治理的成功案例

IT治理及其模型COBIT在全世界許多國家的政府及公共機構(gòu)、軍方、企業(yè)、大學、銀行、保險業(yè)等都已有大量成功的案例。由于某些客觀原因，迄今為止，還缺乏在中國相關組織實行的案例，在此我們僅選美國參議院和科爾頓工業(yè)大學的IT治理作為案例。

案例一：美國參議院

摘要

美國參議院的總檢察官（Office of Inspector General）在尋求改進IT運作的方法?？倷z察官做出的大量初審報告都指出了參議院內(nèi)部各種IT運作的缺陷，例如缺乏指導方針和過程規(guī)定（如系統(tǒng)開發(fā)生命周期），不理想的系統(tǒng)設計和開發(fā)，缺乏規(guī)劃及績效度量標準，大型機的混亂管理，缺乏足夠的信息安全措施。為控制這種情況，并建立清晰的責任制度，需要采納一種IT監(jiān)管框架。COBIT恰是所需要的。

總檢察官首先采納COBIT作為其方針及流程手冊的一部分，并且命令在所有IT審計中都采用COBIT作為其控制及審計原則。COBIT也應用于IT審計計劃，IT審計技巧評估及培訓。另外，COBIT還是總檢察官報告的整體內(nèi)容。結(jié)果是，提出了200多條建議，許多建議認為在操作中需要建立治理原則，政策，步驟的管理。于是，總檢察官辦公室用COBIT作為框架，建立所需的IT治理規(guī)劃。

背景

1993到1994年間，參議院開始著手專業(yè)化運作的工作，通過添加新的崗位，首席行政官（首席行政官）及總檢察官，以管理并監(jiān)督參議院的行政工作。

參議院還任命總檢察官完成參議院的首次審計，一個獨立的財政審計及參議院20項運作的效能審計。這次審計指出了低效率的地方，潛在的節(jié)約開支的方法，并指出關于管理，信息技術，財政管理方面建立高級責任制度的迫切性。這次審計提出了200多條審計建議，其中許多是關于建立監(jiān)管方針，政策及流程所需要的管理方法的。

就IT而言，COBIT作為IT治理框架使用，在COBIT的基礎上，來建立適用于參議院的方針，原則和流程?？倷z察官已把COBIT納入到其運作中去，并相信它能夠幫助首席行政官的工作?？倷z察官與首席行政官討論COBIT的優(yōu)點，并得到了首席行政官的贊同。

過程

首席行政官實施

為介紹IT治理的框架及好處，參議院總檢察官對參議院首席行政官及其主要成員做了一小時的基于COBIT實施工具集演示資料的介紹。

COBIT的主體及過程框架體現(xiàn)了在可管理及定義結(jié)構(gòu)下的控制行為。高級詳細的控制對象提供了全世界普遍接受的最好實踐的標準及政策，并能夠在標準或政策不存在或不充分的地方使用。因此，參議院認為接受COBIT是個理智的決定。

首席行政官迅速認識到COBIT有益于參議院的信息資源及財政機構(gòu)。于是，首席行政官實施了COBIT，COBIT成為參議院內(nèi)IT行為的通用治理部分。例如，信息資源部門將COBIT納入到其系統(tǒng)開發(fā)生命周期（SDLC）過程中。早期的審計報告指出參議院不具備恰當?shù)腟DLC方法，財政系統(tǒng)不符合聯(lián)邦或者參議院的既定方針，大型機資源未得到充分利用。SDLC的階段及檢查點提供了信息資源管理及系統(tǒng)開發(fā)的有組織可管理的方法。因此，他們采納了SDLC方法及IT指導委員會（命名為信息資源管理建議委員會），總檢察官是委員會的顧問。SDLC階段對應于COBIT四個主體部分及相關的高級詳細的控制對象。需要強調(diào)的是COBIT的監(jiān)控部分對于確保關鍵SDLC的及時交付是非常關鍵的。

總檢察官實施

總檢察官將COBIT納入到其政策及IT流程手冊中，并使用它作為所有總檢察官 IT審計行為的通用資源。COBIT成為審計計劃過程，職員技巧/知識評估，職員及審計報告過程的培訓需求評估的關鍵因素。

審計計劃

將COBIT作為審計計劃工具使用，目的如下：

? 對應早期審計與COBIT的主體及控制對象

? 選擇審計內(nèi)容并建立詳細的審計計劃

? 基于技術級別指定審計者

? 為獲得所需的經(jīng)驗指定審計者

COBIT用來制定詳細的審計計劃。例如，認為商業(yè)沖擊分析（BIA）審計是年度審計計劃的一部分，并需要制定審計計劃。計劃包括參議院 BIA過程的背景，以前的審計覆蓋面，審計對象，審計職員需求及審計時間計劃。特別的，審計對象關注評估BIA定義，并區(qū)分IT功能的關鍵級別的充分及完整性。這些對象對應于COBIT的主體及高級控制對象（這種情況下，應用了COBIT的三個主體部分及四個高級控制對象）。
詳細的審計程序在COBIT的審計方針的基礎上發(fā)展，納入了聯(lián)邦政府審計需求及計算機輔助審計技巧。

知識/技巧及培訓需求評估

因為IT方面的審計工作需要專門的知識，于是COBIT用來進行知識/技巧評估，以確保審計者具有所需的經(jīng)驗，從而能夠順利的成功完成審計工作?？倷z察官使用COBIT來決定完成審計的培訓需求。

審計者衡量自己的能力以配合COBIT主體，并審計特別的高級控制對象。每個審計者在IT的教育，培訓及經(jīng)驗基于三種技巧集合來劃分：

? 基本理解－對IT過程，目的，對象及目標的廣博知識

? 工作知識－在IT過程中，識別內(nèi)部控制實力及缺陷方面所顯示的能力

? 專業(yè)知識－設計并使用計算機輔助審計技巧，以識別并評估缺陷，推薦糾正措施的能力

為評估培訓機會，課程數(shù)據(jù)庫的維護基礎是課程在提供支持COBIT主體及控制對象技巧方面的能力。其它的因素如課程開銷，時間計劃及教師表現(xiàn)也是考慮內(nèi)容。在COBIT課程評估的基礎上，管理者選擇在合適的時間為審計者進行合適的課程培訓。作為結(jié)果，建立了衡量審計者技巧，選擇最佳IT培訓課程的評估基礎。

最后，總檢察官的年度培訓計劃得以制定并被批準，以完成既定的年度審計計劃。

報告

總檢察官使用COBIT作為制定審計報告的內(nèi)部控制及審計原則，使用COBIT主體及控制對象來方便報告的書寫。例如，一個審計對象是衡量圍繞Windows NT客戶機/服務器的通用控制環(huán)境的效果。雖然沒有發(fā)現(xiàn)嚴重的缺陷，審計指出了三個需要改進的地方，與如下的COBIT主體相對應：

? 計劃及組織

? 交付與支持

? 監(jiān)控

結(jié)果包括確保系統(tǒng)安全/病毒防護，使用標準命名慣例。最后的建議分成高，中，低三種優(yōu)先級，從而管理者能夠依據(jù)優(yōu)先級完成改進措施。每種審計發(fā)現(xiàn)都是基于COBIT控制對象，這些控制對象及主體被看作審計標準。最后，建議也來自控制對象及審計方針。

總結(jié)

參議院發(fā)現(xiàn)COBIT對于參議院的運作及審計是一個有力的工具。首席行政官及高級管理人員和總檢察官進行合作，使用COBIT來改進參議院的運作。作為結(jié)果，建立了IT監(jiān)管框架，包括合理的SDLC方法，IT指導委員會（總檢察官是咨詢委員），來指導參議院的IT運行。

案例二：科爾頓工業(yè)大學

摘要

在尋找綜合的IT治理方法論過程中，澳大利亞科爾頓工業(yè)大學，引入了COBIT。在檢查了COBIT的框架之后，該大學的信息系統(tǒng)部門的總經(jīng)理意識到COBIT將會極大提高接受程度，減少實施IT治理規(guī)劃所需要的時間。COBIT是該大學成功取得IT治理主要目標的一個重要因素，即實現(xiàn)組織的轉(zhuǎn)型，尋求改善的過程。

背景

科爾頓工業(yè)大學是西部澳大利亞最大的大學，在校學生超過31000人?？茽栴D為850多名本科生和研究生開設商業(yè)、工程、保健科學、人文、科學、采礦、農(nóng)業(yè)等方面的課程。內(nèi)部組織結(jié)構(gòu)由副大臣公署Vice Chancellory（高級管理和中心管理）以及學術部門（學院和部門）組成。

科爾頓信息管理部門(IMS)支持大學的信息和通訊技術（ICT）基礎設施。它也負責各種大學申請的實施，為副大臣公署Vice Chancellory的員工提供桌面ICT支持服務。IMS提供中心幫助桌面，處理ICT基礎設施和計算機問題。大約100個全職雇員組成IMS成員，由總經(jīng)理領導。部門規(guī)范成4個導向：

? 應用----支持和開發(fā)學院和相關領域的應用

? 技術基礎設施---支持和開發(fā)學院的ICT基礎設施，包括服務器、網(wǎng)絡、操作系統(tǒng)。

? 客戶關系---為副大臣公署Vice Chancellory支持和開發(fā)桌面ICT,支持和開發(fā)課程設施、語音電話設施。

? 戰(zhàn)略服務----提供ICT培訓和硬件、軟件、管理財務、人力資源、IT相關領域，實施最佳實踐，貫徹策略，規(guī)劃ICT和管理大學的記錄和檔案。

過程

科爾頓大學內(nèi)部審計團隊的員工了解了COBIT，對其內(nèi)容印象深刻，并使其引起IMS領導層的關注。領導者一直對IT治理表示持續(xù)的關注，經(jīng)過認真審視之后，高層委員會決定采用COBIT作為學院標準。

該大學審計師開始用COBIT作為對中心的ICT組織---科爾頓信息管理部門IMS正式審計的指南?？茽栴D信息管理部門IMS總經(jīng)理對COBIT框架有潛力引導實務的改善充滿熱情，并支持科爾頓信息管理部門IMS質(zhì)量和策略團隊。不久后，多套COBIT被發(fā)布到高層管理者手中?？茽栴D信息管理部門IMS質(zhì)量和策略團隊然后通過在全體員工季度大會以及IMS行政大會上講述COBIT的概覽，提高意識訓練。團隊人員使用COBIT包中的PDF格式或文本格式來描述信息。在短期內(nèi)，他們還邀請博學的外部審計咨詢?nèi)藛T幫助進一步提高對COBIT 管理框架和實施的認識。所有團隊領導和關鍵成員都給了COBIT控制目標和管理指南手冊的副本。這能夠增強COBIT的可見性和鼓勵其余的人員使用文檔作為參考和資源。

目前科爾頓信息管理部門IMS總經(jīng)理仍對實施COBIT的益處充滿信心，并基于所選擇的COBIT目標提供連續(xù)兩年的過程審計/復審。

審計報告

科爾頓信息管理部門IMS由一個小的、很大程度上自我導向的質(zhì)量/過程改善團隊組成。這個團隊實施審計，目前通常是指檢查和復核， 因為他們更傾向于合作的檢查/規(guī)劃，而不是敵對的審計。并且使用一個清晰的方法論搜集數(shù)據(jù)、對草案進行咨詢和提供報告。它也參與到大學內(nèi)部審計團隊中，保證工作質(zhì)量。

從2001年開始，科爾頓信息管理部門IMS質(zhì)量和政策經(jīng)理應用20多年組織的經(jīng)驗和知識開發(fā)了一個衡量每個目標的科爾頓信息管理部門IMS成熟度級別，目標是促進思考科爾頓信息管理部門IMS如何評價它的IT成熟規(guī)模。結(jié)果資料作為一個嘗試性的練習，而非嚴格科學化的過程被共享，以促進IT相關問題的認識與思考。

這個實用的方法給與團隊檢查目標和鑒別改善路徑一個有力的思想。

也是在2001年，員工從COBIT審計指南中用了多種衡量手段進行了檢查/審計。盡管不是所有結(jié)果都令人滿意，但是卻有助于員工啟動改善審計目標成熟度的策略。檢查目標的選取主要依據(jù)最初成熟度評估的組成部分、高級員工的觀點和可改進領域的期望。下半年，員工評估了改進和重新進行了優(yōu)先排序，確定哪些是非常重要的。

2002年科爾頓大學開發(fā)了一個包括12個目標的審計新進度。員工持有這樣的態(tài)度：將審計結(jié)果作為改進的機遇，而不是關注結(jié)果來責難團隊?；谝呀?jīng)完成的檢查，這個過程證明非常積極的、有益的。

每個COBIT審計評估現(xiàn)有的成熟度級別，也檢查了內(nèi)部證據(jù)來評級成熟度。每個審計都成為操作員工、股東和客戶的教育性的、交流的練習。
2002年6月，從科爾頓大學內(nèi)部審計部門的一個代表報告說，在他們執(zhí)行詳細的成熟度審計時，他們發(fā)現(xiàn)跨部門的成熟度級別的顯著改善。
科爾頓大學認為由三個要素對COBIT的成功至關重要：

? 科爾頓信息管理部門IMS總經(jīng)理個人領導能力和它實施COBIT的愿望。

? 在提出COBIT方面對成員持續(xù)的鼓勵和監(jiān)督。

? COBIT作為一個工程實施，恰當?shù)墓こ谭椒ㄕ摵蛯嵭谐蔀楸厝弧?BR>
結(jié)論

從2001年起，科爾頓大學采用COBIT進行自審計它的信息通訊和技術（ICT）實踐,并識別改善的機遇。由于每個目標不能每年都審計，科爾頓信息管理部門IMS管理者每年選取的目標通常是最有可能為機構(gòu)和客戶提供重要業(yè)績衡量的目標。

科爾頓信息管理部門IMS管理者相信COBIT提供了一個經(jīng)濟的、持續(xù)改進的框架。從這個框架中，員工能夠理解與實施拓展全球標準的方法，自我審計標準，最佳實踐，以及需要指導大學改善過程每件事。COBIT是一個有用的工具，打破了多年來實踐中的“近視”論點。它幫助雇員理解和接受實現(xiàn)任務和責任的改進的方法。總之，COBIT非常有價值。

全文完

瀏覽：IT治理：中國信息化的必由之道（一）

IT治理：中國信息化的必由之道（二）

IT治理：中國信息化的必由之道（三）