2017-03-05 10:11
IT治理的成功案例
孙强 郝亚斌 郝晓玲 孟秀转
IT治理及其模型COBIT在全世界许多国家的政府及公共机构、军方、企业、大学、银行、保险业等都已有大量成功的案例。由于某些客观原因,迄今为止,还缺乏在中国相关组织实行的案例,在此我们仅选美国参议院和科尔顿工业大学的IT治理作为案例。
案例一:美国参议院
摘要
美国参议院的总检察官(OfficeofInspectorGeneral)在寻求改进IT运作的方法。总检察官做出的大量初审报告都指出了参议院内部各种IT运作的缺陷,例如缺乏指导方针和过程规定(如系统开发生命周期),不理想的系统设计和开发,缺乏规划及绩效度量标准,大型机的混乱管理,缺乏足够的信息安全措施。为控制这种情况,并建立清晰的责任制度,需要采纳一种IT监管框架。COBIT恰是所需要的。
总检察官首先采纳COBIT作为其方针及流程手册的一部分,并且命令在所有IT审计中都采用COBIT作为其控制及审计原则。COBIT也应用于IT审计计划,IT审计技巧评估及培训。另外,COBIT还是总检察官报告的整体内容。结果是,提出了200多条建议,许多建议认为在操作中需要建立治理原则,政策,步骤的管理。于是,总检察官办公室用COBIT作为框架,建立所需的IT治理规划。
背景
1993到1994年间,参议院开始着手专业化运作的工作,通过添加新的岗位,首席行政官(首席行政官)及总检察官,以管理并监督参议院的行政工作。
参议院还任命总检察官完成参议院的首次审计,一个独立的财政审计及参议院20项运作的效能审计。这次审计指出了低效率的地方,潜在的节约开支的方法,并指出关于管理,信息技术,财政管理方面建立高级责任制度的迫切性。这次审计提出了200多条审计建议,其中许多是关于建立监管方针,政策及流程所需要的管理方法的。
就IT而言,COBIT作为IT治理框架使用,在COBIT的基础上,来建立适用于参议院的方针,原则和流程。总检察官已把COBIT纳入到其运作中去,并相信它能够帮助首席行政官的工作。总检察官与首席行政官讨论COBIT的优点,并得到了首席行政官的赞同。
过程
首席行政官实施
为介绍IT治理的框架及好处,参议院总检察官对参议院首席行政官及其主要成员做了一小时的基于COBIT实施工具集演示资料的介绍。
COBIT的主体及过程框架体现了在可管理及定义结构下的控制行为。高级详细的控制对象提供了全世界普遍接受的最好实践的标准及政策,并能够在标准或政策不存在或不充分的地方使用。因此,参议院认为接受COBIT是个理智的决定。
首席行政官迅速认识到COBIT有益于参议院的信息资源及财政机构。于是,首席行政官实施了COBIT,COBIT成为参议院内IT行为的通用治理部分。例如,信息资源部门将COBIT纳入到其系统开发生命周期(SDLC)过程中。早期的审计报告指出参议院不具备恰当的SDLC方法,财政系统不符合联邦或者参议院的既定方针,大型机资源未得到充分利用。SDLC的阶段及检查点提供了信息资源管理及系统开发的有组织可管理的方法。因此,他们采纳了SDLC方法及IT指导委员会(命名为信息资源管理建议委员会),总检察官是委员会的顾问。SDLC阶段对应于COBIT四个主体部分及相关的高级详细的控制对象。需要强调的是COBIT的监控部分对于确保关键SDLC的及时交付是非常关键的。
总检察官实施
总检察官将COBIT纳入到其政策及IT流程手册中,并使用它作为所有总检察官IT审计行为的通用资源。COBIT成为审计计划过程,职员技巧/知识评估,职员及审计报告过程的培训需求评估的关键因素。
审计计划
将COBIT作为审计计划工具使用,目的如下:
?对应早期审计与COBIT的主体及控制对象
?选择审计内容并建立详细的审计计划
?基于技术级别指定审计者
?为获得所需的经验指定审计者
COBIT用来制定详细的审计计划。例如,认为商业冲击分析(BIA)审计是年度审计计划的一部分,并需要制定审计计划。计划包括参议院BIA过程的背景,以前的审计覆盖面,审计对象,审计职员需求及审计时间计划。特别的,审计对象关注评估BIA定义,并区分IT功能的关键级别的充分及完整性。这些对象对应于COBIT的主体及高级控制对象(这种情况下,应用了COBIT的三个主体部分及四个高级控制对象)。
详细的审计程序在COBIT的审计方针的基础上发展,纳入了联邦政府审计需求及计算机辅助审计技巧。
知识/技巧及培训需求评估
因为IT方面的审计工作需要专门的知识,于是COBIT用来进行知识/技巧评估,以确保审计者具有所需的经验,从而能够顺利的成功完成审计工作。总检察官使用COBIT来决定完成审计的培训需求。
审计者衡量自己的能力以配合COBIT主体,并审计特别的高级控制对象。每个审计者在IT的教育,培训及经验基于三种技巧集合来划分:
?基本理解-对IT过程,目的,对象及目标的广博知识
?工作知识-在IT过程中,识别内部控制实力及缺陷方面所显示的能力
?专业知识-设计并使用计算机辅助审计技巧,以识别并评估缺陷,推荐纠正措施的能力
为评估培训机会,课程数据库的维护基础是课程在提供支持COBIT主体及控制对象技巧方面的能力。其它的因素如课程开销,时间计划及教师表现也是考虑内容。在COBIT课程评估的基础上,管理者选择在合适的时间为审计者进行合适的课程培训。作为结果,建立了衡量审计者技巧,选择最佳IT培训课程的评估基础。
最后,总检察官的年度培训计划得以制定并被批准,以完成既定的年度审计计划。
报告
总检察官使用COBIT作为制定审计报告的内部控制及审计原则,使用COBIT主体及控制对象来方便报告的书写。例如,一个审计对象是衡量围绕WindowsNT客户机/服务器的通用控制环境的效果。虽然没有发现严重的缺陷,审计指出了三个需要改进的地方,与如下的COBIT主体相对应:
?计划及组织
?交付与支持
?监控
结果包括确保系统安全/病毒防护,使用标准命名惯例。最后的建议分成高,中,低三种优先级,从而管理者能够依据优先级完成改进措施。每种审计发现都是基于COBIT控制对象,这些控制对象及主体被看作审计标准。最后,建议也来自控制对象及审计方针。
总结
参议院发现COBIT对于参议院的运作及审计是一个有力的工具。首席行政官及高级管理人员和总检察官进行合作,使用COBIT来改进参议院的运作。作为结果,建立了IT监管框架,包括合理的SDLC方法,IT指导委员会(总检察官是咨询委员),来指导参议院的IT运行。
案例二:科尔顿工业大学
摘要
在寻找综合的IT治理方法论过程中,澳大利亚科尔顿工业大学,引入了COBIT。在检查了COBIT的框架之后,该大学的信息系统部门的总经理意识到COBIT将会极大提高接受程度,减少实施IT治理规划所需要的时间。COBIT是该大学成功取得IT治理主要目标的一个重要因素,即实现组织的转型,寻求改善的过程。
背景
科尔顿工业大学是西部澳大利亚最大的大学,在校学生超过31000人。科尔顿为850多名本科生和研究生开设商业、工程、保健科学、人文、科学、采矿、农业等方面的课程。内部组织结构由副大臣公署ViceChancellory(高级管理和中心管理)以及学术部门(学院和部门)组成。
科尔顿信息管理部门(IMS)支持大学的信息和通讯技术(ICT)基础设施。它也负责各种大学申请的实施,为副大臣公署ViceChancellory的员工提供桌面ICT支持服务。IMS提供中心帮助桌面,处理ICT基础设施和计算机问题。大约100个全职雇员组成IMS成员,由总经理领导。部门规范成4个导向:
应用支持和开发学院和相关领域的应用
技术基础设施支持和开发学院的ICT基础设施,包括服务器、网络、操作系统。
客户关系为副大臣公署ViceChancellory支持和开发桌面ICT,支持和开发课程设施、语音电话设施。
战略服务提供ICT培训和硬件、软件、管理财务、人力资源、IT相关领域,实施最佳实践,贯彻策略,规划ICT和管理大学的记录和档案。
过程
科尔顿大学内部审计团队的员工了解到COBIT,对其内容印象深刻,并使其引起IMS领导层的关注。领导者一直对IT治理表示持续的关注,经过认真审视之后,高层委员会决定采用COBIT作为学院标准。
该大学审计师开始用COBIT作为对中心的ICT组织科尔顿信息管理部门IMS正式审计的指南。科尔顿信息管理部门IMS总经理对COBIT框架有潜力引导实务的改善充满热情,并支持科尔顿信息管理部门IMS质量和策略团队。不久后,多套COBIT被发布到高层管理者手中。科尔顿信息管理部门IMS质量和策略团队然后通过在全体员工季度大会以及IMS行政大会上讲述COBIT的概览,提高意识训练。团队人员使用COBIT包中的PDF格式或文本格式来描述信息。在短期内,他们还邀请博学的外部审计咨询人员帮助进一步提高对COBIT管理框架和实施的认识。所有团队领导和关键成员都给了COBIT控制目标和管理指南手册的副本。这能够增强COBIT的可见性和鼓励其余的人员使用文档作为参考和资源。
目前科尔顿信息管理部门IMS总经理仍对实施COBIT的益处充满信心,并基于所选择的COBIT目标提供连续两年的过程审计/复审。
审计报告
科尔顿信息管理部门IMS由一个小的、很大程度上自我导向的质量/过程改善团队组成。这个团队实施审计,目前通常是指检查和复核,因为他们更倾向于合作的检查/规划,而不是敌对的审计。并且使用一个清晰的方法论搜集数据、对草案进行咨询和提供报告。它也参与到大学内部审计团队中,保证工作质量。
从2001年开始,科尔顿信息管理部门IMS质量和政策经理应用20多年组织的经验和知识开发了一个衡量每个目标的科尔顿信息管理部门IMS成熟度级别,目标是促进思考科尔顿信息管理部门IMS如何评价它的IT成熟规模。结果资料作为一个尝试性的练习,而非严格科学化的过程被共享,以促进IT相关问题的认识与思考。
这个实用的方法给与团队检查目标和鉴别改善路径一个有力的思想。
也是在2001年,员工从COBIT审计指南中用了多种衡量手段进行了检查/审计。尽管不是所有结果都令人满意,但是却有助于员工启动改善审计目标成熟度的策略。检查目标的选取主要依据最初成熟度评估的组成部分、高级员工的观点和可改进领域的期望。下半年,员工评估了改进和重新进行了优先排序,确定哪些是非常重要的。
2002年科尔顿大学开发了一个包括12个目标的审计新进度。员工持有这样的态度:将审计结果作为改进的机遇,而不是关注结果来责难团队。基于已经完成的检查,这个过程证明非常积极的、有益的。
每个COBIT审计评估现有的成熟度级别,也检查了内部证据来评级成熟度。每个审计都成为操作员工、股东和客户的教育性的、交流的练习。
2002年6月,从科尔顿大学内部审计部门的一个代表报告说,在他们执行详细的成熟度审计时,他们发现跨部门的成熟度级别的显著改善。
科尔顿大学认为由三个要素对COBIT的成功至关重要:
科尔顿信息管理部门IMS总经理个人领导能力和它实施COBIT的愿望。
在提出COBIT方面对成员持续的鼓励和监督。
COBIT作为一个工程实施,恰当的工程方法论和实行成为必然。
结论
从2001年起,科尔顿大学采用COBIT进行自审计它的信息通讯和技术(ICT)实践,并识别改善的机遇。由于每个目标不能每年都审计,科尔顿信息管理部门IMS管理者每年选取的目标通常是最有可能为机构和客户提供重要业绩衡量的目标。
科尔顿信息管理部门IMS管理者相信COBIT提供了一个经济的、持续改进的框架。从这个框架中,员工能够理解与实施拓展全球标准的方法,自我审计标准,最佳实践,以及需要指导大学改善过程每件事。COBIT是一个有用的工具,打破了多年来实践中的“近视”论点。它帮助雇员理解和接受实现任务和责任的改进的方法。总之,COBIT非常有价值。
本文原载于计算机世界