新岳乱合集目录500伦_在教室里被强h_幸福的一家1—6小说_美女mm131爽爽爽作爱

IT控制是企業(yè)內(nèi)部控制的重要領(lǐng)域。COBIT（信息及相關(guān)技術(shù)控制目標(biāo)，Control Objectives for Information and Related Technology）作為一個(gè)通用的IT控制框架，已在美國(guó)等180多個(gè)國(guó)家廣泛使用，正逐漸成為事實(shí)上的國(guó)際標(biāo)準(zhǔn)。COBIT框架以業(yè)務(wù)為中心、以流程為導(dǎo)向、以控制為基礎(chǔ)、以績(jī)效測(cè)評(píng)為驅(qū)動(dòng)，將企業(yè)內(nèi)部IT相關(guān)控制劃分為4個(gè)過(guò)程域、34個(gè)主要控制流程和310多個(gè)典型控制活動(dòng)，以確保IT 與業(yè)務(wù)保持一致，從而實(shí)現(xiàn)IT價(jià)值的最大化，同時(shí)保證了IT成本的合理確認(rèn)與分?jǐn)偂?br />
“DS6-IT成本確認(rèn)與分?jǐn)偂睂儆贑OBIT框架（4.1版）中第三個(gè)過(guò)程域“交付與支持（DS）”中的第6個(gè)IT控制流程。從IT治理的角度看，IT成本的確認(rèn)與分?jǐn)偭鞒套铌P(guān)注的是IT治理5大領(lǐng)域中的“資源管理”領(lǐng)域；其次關(guān)注的是“價(jià)值交付”和“績(jī)效測(cè)評(píng)”兩個(gè)領(lǐng)域，該流程主要關(guān)注IT成本確認(rèn)與分?jǐn)偭鞒痰男屎涂煽啃浴?br />
一、IT成本確認(rèn)與分?jǐn)偭鞒谈攀?br />
IT成本的確認(rèn)與分?jǐn)偭鞒讨饕獓@IT服務(wù)的界定、IT成本核算、IT收費(fèi)和IT成本模型的維護(hù)四個(gè)活動(dòng)展開。與企業(yè)內(nèi)其他所有流程一樣，該流程的執(zhí)行由一名流程所有者全面負(fù)責(zé)。首先，該流程所有者要識(shí)別所有的IT成本，并將它們映射到IT服務(wù)中，以支持一個(gè)透明的成本模型。將IT服務(wù)連接到業(yè)務(wù)流程中，使得業(yè)務(wù)部門能夠識(shí)別出相關(guān)服務(wù)成本的受益范圍。其次，IT成本的確認(rèn)與分?jǐn)偭鞒痰乃姓甙凑掌髽I(yè)成本模型獲取和分?jǐn)倢?shí)際成本，預(yù)測(cè)與實(shí)際成本之間的差異，并按照企業(yè)的財(cái)務(wù)報(bào)告體系進(jìn)行分析和報(bào)告。再次，該流程所有者建立和使用基于服務(wù)定義的IT成本模型，以支持按服務(wù)進(jìn)行內(nèi)部收費(fèi)率的計(jì)算。IT成本模型應(yīng)該確保用戶可以識(shí)別、計(jì)量和預(yù)測(cè)服務(wù)的收費(fèi)，促進(jìn)資源的合理利用。最后，流程所有者定期審查和校準(zhǔn)成本、計(jì)費(fèi)模型的適當(dāng)性，維護(hù)不斷發(fā)展的業(yè)務(wù)和IT活動(dòng)的相關(guān)性和適當(dāng)性。


設(shè)立“DS6-IT成本確認(rèn)與分?jǐn)偂绷鞒痰哪繕?biāo)是：使IT滿足業(yè)務(wù)需求，確保IT成本的透明性與可理解性，并通過(guò)使用快速?gòu)V泛的IT服務(wù)改進(jìn)業(yè)務(wù)流程的成本效益。該流程所有者通過(guò)關(guān)注獲取完整和準(zhǔn)確的IT成本，來(lái)建立各業(yè)務(wù)用戶統(tǒng)一、公平的成本分?jǐn)傮w系，并及時(shí)報(bào)告IT使用和成本分?jǐn)偟刃畔ⅰ?br />
二、流程控制及其實(shí)現(xiàn)

（一）信息流控制

在當(dāng)今日益復(fù)雜的信息化環(huán)境下，企業(yè)管理層需要不斷搜集簡(jiǎn)明、及時(shí)的信息，才可能實(shí)施恰當(dāng)、充分的IT成本控制。IT成本的確認(rèn)與分?jǐn)偹栊畔⒌膩?lái)源（輸入）和去處（輸出）如圖1所示。

圖1提供了IT成本信息審計(jì)與控制的途徑。系統(tǒng)所有者是IT成本的受益者。IT投資管理中的成本收益報(bào)告和IT預(yù)算提供了IT成本確認(rèn)與分?jǐn)偟闹苯右罁?jù)。詳細(xì)的項(xiàng)目報(bào)告提供了進(jìn)一步確認(rèn)和分?jǐn)侷T成本的基礎(chǔ)。服務(wù)水平協(xié)議為IT成本確認(rèn)與分?jǐn)偺峁┝撕戏ㄐ?、合理性證據(jù)。從以上四個(gè)信息源，IT成本確認(rèn)與分?jǐn)偟牧鞒趟姓呖梢越⒒蚓S護(hù)合理的IT成本確認(rèn)與分?jǐn)偰Ｐ?，并將IT成本確認(rèn)與分?jǐn)傂畔鬟f給IT投資管理和IT績(jī)效評(píng)價(jià)部門或人員。

（二）職責(zé)分離

實(shí)務(wù)界通常通過(guò)RACI矩陣描述企業(yè)流程的職責(zé)分離機(jī)制。IT成本的確認(rèn)與分?jǐn)傊械牡湫蜆I(yè)務(wù)活動(dòng)的RACI矩陣如表1所示。RACI 圖中，R代表Responsible，表示執(zhí)行；A代表Accountable，表示問責(zé)；C代表Consulted，表示協(xié)商；I代表Informed，表示告知。

（三）控制目標(biāo)與測(cè)量指標(biāo)

COBIT的基本特征之一是控制為基礎(chǔ)，該框架依次在三個(gè)層次上制定了控制目標(biāo)及其對(duì)應(yīng)的測(cè)量指標(biāo)。第一層次：IT 目標(biāo)和指標(biāo)，定義了業(yè)務(wù)對(duì) IT 的期望和如何測(cè)評(píng)；第二層次：流程目標(biāo)和指標(biāo)，定義了 IT 流程為了滿足 IT 目標(biāo)必須交付的服務(wù)和如何進(jìn)行評(píng)估；第三層次：活動(dòng)目標(biāo)和指標(biāo)，確定為達(dá)到所需性能而采取的流程內(nèi)活動(dòng)以及如何測(cè)評(píng)。IT成本確認(rèn)與分?jǐn)偭鞒淘O(shè)計(jì)的三層目標(biāo)及其對(duì)應(yīng)測(cè)量指標(biāo)如圖2所示。

（四）基于成熟度模型的流程控制評(píng)價(jià)

對(duì)流程能力進(jìn)行評(píng)估是企業(yè)內(nèi)部控制的關(guān)鍵要素之一。識(shí)別關(guān)鍵的IT流程和控制點(diǎn)后，成熟度模型用來(lái)識(shí)別各個(gè)流程成熟度的差別，并向管理層標(biāo)識(shí)差距的具體情況，幫助管理層制定相應(yīng)的行動(dòng)方案，提高IT成本確認(rèn)和分?jǐn)偭鞒痰男Ч?，使IT更好地滿足企業(yè)業(yè)務(wù)需求：確保IT成本的透明性和可理解性，以及通過(guò)IT服務(wù)快速?gòu)V泛地使用改進(jìn)成本效益，以期達(dá)到期望的成熟度級(jí)別。與其他流程一樣，IT成本確認(rèn)與分?jǐn)偭鞒炭梢猿霈F(xiàn)于0—5的6個(gè)級(jí)別中，各個(gè)級(jí)別的關(guān)鍵屬性特征闡述如下：

0—無(wú)級(jí)別：企業(yè)管理層完全缺乏任何可識(shí)別的流程。組織甚至沒有意識(shí)到用于確認(rèn)和分?jǐn)偹峁┑男畔⒎?wù)的成本。企業(yè)管理層甚至沒有傳達(dá)任何關(guān)于基本的IT成本核算存在有待處理的問題。

1—初始級(jí)：企業(yè)管理層對(duì)信息服務(wù)的整體成本有一個(gè)大致的了解，但是沒有按照每一用戶、客戶、部門、用戶組、服務(wù)功能、項(xiàng)目或可交付的服務(wù)對(duì)成本進(jìn)行細(xì)分。企業(yè)事實(shí)上不存在成本監(jiān)控，僅僅把整體成本報(bào)告給管理層。財(cái)務(wù)部門把IT成本作為一個(gè)運(yùn)行開銷分?jǐn)偅鳂I(yè)務(wù)部門提供有關(guān)IT服務(wù)成本或效益的所需信息。
2—可重復(fù)級(jí)：企業(yè)管理層對(duì)需要確認(rèn)和分?jǐn)偟腎T成本有一個(gè)整體的認(rèn)識(shí)。但是IT成本分?jǐn)偸腔诜钦降幕蛟嫉某杀炯僭O(shè)，如硬件成本，事實(shí)上沒有與價(jià)值驅(qū)動(dòng)連接起來(lái)；成本分?jǐn)偭鞒淌强芍貜?fù)的，而且，企業(yè)對(duì)標(biāo)準(zhǔn)的成本確認(rèn)和分?jǐn)偝绦驔]有正式的培訓(xùn)和傳達(dá)，也沒有分配收集和分?jǐn)偝杀镜呢?zé)任。

3—已定義級(jí)：財(cái)務(wù)部已經(jīng)定義和文檔化了信息服務(wù)成本模型。同時(shí)定義了將IT成本與提供給用戶的服務(wù)聯(lián)系起來(lái)的流程。財(cái)務(wù)人員對(duì)將IT成本分?jǐn)偟絀T服務(wù)有一個(gè)適當(dāng)水平的認(rèn)識(shí)。各業(yè)務(wù)部門提供成本的原始信息。


4—可管理級(jí)：企業(yè)管理層已經(jīng)定義信息服務(wù)成本管理的責(zé)任和義務(wù)，且被各級(jí)管理層充分理解，并得到正式的培訓(xùn)支持。直接和間接的成本被及時(shí)和自動(dòng)確認(rèn)并報(bào)告給管理層、業(yè)務(wù)流程的所有者和用戶。通常情況下，相關(guān)部門對(duì)成本進(jìn)行了監(jiān)控和評(píng)估，并且在發(fā)現(xiàn)成本偏離預(yù)算時(shí)采取了相應(yīng)的措施。將信息服務(wù)成本的報(bào)告與業(yè)務(wù)目標(biāo)和SLAa聯(lián)系起來(lái)，并且得到業(yè)務(wù)流程所有者的監(jiān)控。財(cái)務(wù)部門審核成本分?jǐn)偭鞒痰暮侠硇?。有一個(gè)自動(dòng)的成本核算系統(tǒng)，但它更關(guān)注性能信息服務(wù)功能，而不是業(yè)務(wù)流程。對(duì)成本測(cè)量的目標(biāo)和指標(biāo)達(dá)成了一致，但未得到一致性測(cè)量。

5—優(yōu)化級(jí)：所提供的IT服務(wù)的成本被識(shí)別、收集、總結(jié)并報(bào)告給管理層、業(yè)務(wù)流程所有者和所有用戶。成本被識(shí)別為可計(jì)費(fèi)項(xiàng)，并支持一個(gè)內(nèi)部服務(wù)計(jì)費(fèi)系統(tǒng)，基于用戶的使用情況對(duì)提供的服務(wù)進(jìn)行適當(dāng)?shù)氖召M(fèi)。成本的詳細(xì)說(shuō)明支持SLAs。服務(wù)成本的監(jiān)控和評(píng)估被用于優(yōu)化IT資源的成本。獲得的成本數(shù)據(jù)用于確認(rèn)組織在預(yù)算流程中所實(shí)現(xiàn)的效益。通過(guò)智能報(bào)告系統(tǒng)，信息服務(wù)成本的報(bào)告對(duì)業(yè)務(wù)需求的變化提供早期預(yù)警。由于每個(gè)服務(wù)的處理量不同，而采用了一個(gè)可變的成本模型?；诔掷m(xù)改善和借鑒其他組織的成果，成本管理被細(xì)化到一個(gè)行業(yè)實(shí)踐的水平。成本優(yōu)化是一個(gè)持續(xù)改進(jìn)的過(guò)程。管理層審核成本管理的目標(biāo)和指標(biāo)，并將其作為在重新設(shè)計(jì)成本測(cè)量系統(tǒng)時(shí)持續(xù)改善流程的一部分。

結(jié)論

通過(guò)信息流、RACI、控制目標(biāo)與測(cè)量指標(biāo)，以及成熟度模型四方面的控制和評(píng)價(jià)，IT成本的確認(rèn)與分?jǐn)偭鞒痰玫接行Ч芾砗涂刂疲瑥亩档土薎T風(fēng)險(xiǎn)，減少了企業(yè)內(nèi)部風(fēng)險(xiǎn)。

【參考文獻(xiàn)】

［1］ 中國(guó)銀監(jiān)會(huì).銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引［S］.2006.

［2］ 中國(guó)內(nèi)部審計(jì)協(xié)會(huì).信息系統(tǒng)審計(jì)準(zhǔn)則［S］.2008.

［3］ http://www.isaca.org/cobit ［EB/OL］.2010-11-06 .

［4］ 陳朝.我國(guó)信息化建設(shè)中信息系統(tǒng)審計(jì)問題研究［D］.東北師范大學(xué)，2006.

［5］ 呂凡.計(jì)算機(jī)輔助審計(jì)研究［D］.武漢大學(xué)，2005.

［6］ 陳婉玲，楊文杰.ISACA 信息系統(tǒng)管理準(zhǔn)則及其啟示［J］.審計(jì)研究，2006（增刊） .

［7］ 胡曉明，林娟.COBIT 4.0:解讀與啟示［J］.科技管理研究，2007（11） .

［8］ 吳炎太.COBIT控制思想在信息系統(tǒng)建設(shè)中的應(yīng)用［J］.財(cái)會(huì)通訊，2009（19）.