新岳乱合集目录500伦_在教室里被强h_幸福的一家1—6小说_美女mm131爽爽爽作爱

信息系統(tǒng)治理已成為目前公司治理的重要部分，COBIT管理框架由執(zhí)行概要、控制目標、審計指南、工具集和管理指南幾個部分組成，并通過成熟度模型、關(guān)鍵成功因素、關(guān)鍵目標指標(KGI)和關(guān)鍵績效指標等工具為公司信息系統(tǒng)治理提供可行的治理流程，為組織提供集成的IT管理。2002年，美國政府出臺了SOX(sarbanes-Oxley Act)法案，其核心條款SOX-404對上市公司內(nèi)部控制制度體系做出明確要求，以應(yīng)對因失衡的公司治理給企業(yè)帶來的巨大風(fēng)險。在全球信息化背景下，組織對信息系統(tǒng)的依存度達到前所未有的高度，信息系統(tǒng)在提高工作效率的同時也帶來了許多風(fēng)險。IT治理即信息系統(tǒng)治理因此應(yīng)運而生，并且迅速成為公司治理中重要一環(huán)。IT治理關(guān)注信息資源管理、風(fēng)險管理、IT策略以及IT控制目標，通過平衡IT過程的風(fēng)險和回報以增加企業(yè)價值，實現(xiàn)企業(yè)目標。
　　
　　一、COBIT模型及其優(yōu)勢
　　
　　(一)COBIT模型簡述COBIT(Control Objectives for InformationandRelatedTechnology)是美國IT治理研究院(rrGovernancelnstitu-te)開發(fā)與推廣的一個信息系統(tǒng)治理的開放性標準，該標準為IT的治理、安全與控制提供了一個普遍適用的標準，以輔助管理層進行信息系統(tǒng)治理。COBIT管理框架包括執(zhí)行概要、控制目標、審計指南、工具集和管理指南幾個部分組成，它將IT流程、IT資源及信息與企業(yè)的策略目標聯(lián)系起來，為企業(yè)管理的成功提供了集成的IT管理。COBIT已在世界多個國家的重要組織與企業(yè)中成功運用，指導(dǎo)這些組織充分利用信息資源，并有效管理信息相關(guān)的風(fēng)險。
　　(二)COBIT模型優(yōu)勢與其他IT治理模型比較，COBIT的優(yōu)勢主要體現(xiàn)在IT控制和IT的度量評價上。首先，該模型提供一個共同的標準，易于理解和實施，可以幫助管理層、IT工程師及審計人員之間交流，提供了彼此之間溝通的共同語言。其次，通過實施COBIT，增加了管理層對控制的感知和支持，即使組織的管理層即使不精通信息系統(tǒng)，也能理解信息系統(tǒng)帶來的利益和花費的成本，明確其中存在的風(fēng)險，了解問題所在，從而做出正確的決策。另外，COBIT使信息系統(tǒng)管理和控制工作簡易并量化，減輕對復(fù)雜信息系統(tǒng)管理工作的難度。通過采用該框架作為對一個責任矩陣分析的基礎(chǔ)，可以對基于角色的信息系統(tǒng)管理和控制，定義過程措施，確保組織利益。該模型還有助于提高信息系統(tǒng)審計師的影響力，依據(jù)COBIT出具的信息系統(tǒng)審計報告更容易得到管理層的肯定。
　　
　　
　　二、COBIT信息系統(tǒng)治理流程
　　
　　(一)識別IT資源，確定IT控制目標與過程目標COBTT過IT過程來管理IT資源以實現(xiàn)目標，從而滿足業(yè)務(wù)需求。COBIT模型定義信息技術(shù)資源共有四項：應(yīng)用系統(tǒng)(Applications)：涵蓋所有人工及自動化的作業(yè)程序；資料(Information)：數(shù)字、文字、圖形及聲音等廣義的數(shù)據(jù)；設(shè)施((Infrastructure)：硬件、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)以及存放及支持信息系統(tǒng)運作的所有資源；人員(People)：具有規(guī)劃、組織、取得、提供、支持及監(jiān)督信息系統(tǒng)和服務(wù)所需的技術(shù)和能力。根據(jù)信息資源的管理和信息技術(shù)作業(yè)的生命周期，COBIT定義了IT過程來管理信息技術(shù)資源實現(xiàn)控制目標。IT過程共分為三個層次，即為四個域(mains)、34個處理過程(Piocesses)及318個任務(wù)活動(ActivitiesTasks)。在COBll模型控制目標體系中，信息技術(shù)資源和信息技術(shù)流程目標是為了滿足業(yè)務(wù)需求。組織管理者期望信息系統(tǒng)的服務(wù)質(zhì)量能不斷提高，功能逐漸強大，而同時維持較低的服務(wù)成本。這就需要信息滿足有效性(Effectiveness)、高效性(Efficiency)、保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、遵循性(compliance)、可靠性(Reliabihw OfInformation)的準則要求。IT資源、IT控制目標及業(yè)務(wù)目標關(guān)系如圖1所示。
　　(二)運用軟件成熟度模型(CMM)，確定IT過程的治理級別成熟度模型(cMM)為每一個IT過程定義了六種成熟度級別，用于判斷當前企業(yè)的信息化水平。成熟度模型定義了0～5六個級別，0～5等級是基于一個簡單的成熟性量度，體現(xiàn)出處理如何從不存在發(fā)展到優(yōu)化級的管理過程，增加成熟度意味著增加管理風(fēng)險與提高管理效率。管理者可以評價本組織在該過程控制上所處的級別，然后通過與同行業(yè)標桿企業(yè)相比較，判斷自身所處的先進程度、競爭優(yōu)勢和改進方向。軟件成熟度模型制定了一個基準，企業(yè)可能根據(jù)上面的指標確定自己的等級，從而了解自身目前的處境。管理部門相對容易地依據(jù)等級制對自己定位，認清當前企業(yè)所處的形勢，并找出需要改善管理的地方。成熟度模型能以簡單方式測定差異，有助于確定有關(guān)信息技術(shù)管理、安全性。企業(yè)對自身進行差距分析以確定需要做哪些工作來達到所選級別。具體如圖2所示。
　　(三)根據(jù)IT治理級別，確定關(guān)鍵成功因素(CSF)關(guān)鍵成功因素(csF)著眼于“管理者應(yīng)當做什么”這個問題，是每一個IT過程中最重要的因素或控制活動，如最佳方案所要求的必備事項或條件、為提高成功的概率所必須完成的重要事項等。關(guān)鍵成功因素為管理部門控制信息技術(shù)及其處理過程提供了實施指南，它們是信息技術(shù)處理過程中的關(guān)鍵的要素，是戰(zhàn)略性的、技術(shù)性的過程或活動，勾畫出了IT的控制輪廓。關(guān)鍵成功因素應(yīng)與組織的目標保持一致，是組織和處理過程的可觀察可測量的特征，分布于企業(yè)的戰(zhàn)略層、戰(zhàn)術(shù)層、應(yīng)用層及組織的各個方面，可以通過目標分解與識別的方法選擇關(guān)鍵成功因素。關(guān)鍵成功因素所用的工具包括樹枝因果圖、標準控制模型和信息技術(shù)管理框架的目標與方針。
　　(四)實施績效管理，確定關(guān)鍵目標指標(KGI)與關(guān)鍵績效指標(KPI)確保組織能達到關(guān)鍵目標指標中所設(shè)定的治理目標，需要對關(guān)鍵績效指標進行監(jiān)控。IT治理的績效指標包括關(guān)鍵目標指標(KGI)和關(guān)鍵績效指標(KPI)。關(guān)鍵目標指標(KGI)著眼于IT過程“執(zhí)行后的結(jié)果應(yīng)該作到怎樣”。關(guān)鍵目標指標是處理目標的一種表達，明確要取得什么目標，并描繪處理的結(jié)果，進行事后評判即時體現(xiàn)處理過程的完成成功與否，間接體現(xiàn)處理帶給經(jīng)營活動的價值。它關(guān)注平衡計分卡的客戶與財務(wù)方面，面向信息技術(shù)，但驅(qū)動企業(yè)經(jīng)營活動。關(guān)鍵執(zhí)行指標或關(guān)鍵性能指標(KPI)著眼于怎樣判斷正在執(zhí)行的過程當前的狀態(tài)是否良好、是否需要調(diào)整。關(guān)鍵性能指標通過監(jiān)測某IT處理過程的執(zhí)行情況，告訴管理者該處理是否滿足其經(jīng)營需求。關(guān)鍵性能指標主要通過信息系統(tǒng)與信息服務(wù)的有效性，信息的機密與完整性，處理過程和操作的成本，信息的可信度、可靠性等來評價信息技術(shù)的績效，測定其是否真正達到預(yù)期處理目標，是否有助于管理者改進處理。
　　
　　(五)定期評估。衡量組織達到目標與否定期對信息系統(tǒng)進行內(nèi)部的IT審計或獨立的第三方IT審計和評估，以衡量組織是否達到設(shè)定的業(yè)務(wù)活動目標。IT審計是指根據(jù)公認的標準和指導(dǎo)規(guī)范對信息系統(tǒng)及其業(yè)務(wù)應(yīng)用的效能、效率、安全性進行監(jiān)測、評估和控制的過程，以確認預(yù)定的業(yè)務(wù)目標得以實現(xiàn)。Ⅱ?qū)徲媰?nèi)容包括了解該過程相關(guān)內(nèi)控，包括應(yīng)面詢的對象、問題，應(yīng)查閱的文檔，評價該過程的控制以及具體要核查的項目，執(zhí)行過程中常規(guī)的符合性測試項目及常規(guī)的實質(zhì)性測試項目等審計內(nèi)容。它從資產(chǎn)安全性(Asset Security)、有效性(Effeetively)、效率(Efliciency)、數(shù)據(jù)完整性(DataIntegrity)等方面出發(fā)，對其是否能夠有效可靠的達到組織的戰(zhàn)略目標進行全面的監(jiān)測和評估，并為改善和健全組織對信息系統(tǒng)的控制提出詳細的建議。