基于COBIT的信息系统管理_控制与审计的模型构建研究
COBIT信息系统治理流程浅析
会计信息化ACCOUNTING INFOR MATION120会计信息化ACCOUNTING INFORMATION ·我国按照行业划分标准,可以划分为工业、商业等几十个行业,且不同的行业有着不同的科目核算体系。
近年来会计准则也在不断的修订变化之中,对不同行业的会计科目名称和编码存在一定的影响。
在用友软件中,为适应这种变化,UFsystem数据库中预置了行业表(gl_btrade表)、科目类型表(gl_codeclass表)和科目模板表(GL_DPreCode表),当用户进行账套建立时,选择了具体的行业,系统首先在行业表中找到行业代码,按照此行业代码在科目类型表和科目模板表中确定此行业国家规定的有关科目代码和名称,存储到账套数据库UFDATA_***_****(前三个*表示账套号,后四个*表示年度)中的code表中,该表即为企业所使用科目的集合。
如图1所示。
新会计准则中主要的变化是增加了一个新的科目大类以及会计科目编码和名称的更改。
针对用友软件的修改,其设计的主要思路分两种情况:一种是对于已经建好账套的如何实现修改,另一种是在行业表中新增一个“2007新会计准则”大类,用户选择大类后,系统自动调用2007年新会计制度科目,即实现科目自动转换。
一、已建账套的修改总体的思路是在ufsystem数据库中找到科目类型表(Gl_clde-class),增加一个分类(共同类),使之符合新会计准则;然后对UFDATA_***_****账套库中的code表中的科目进行修改。
具体步骤新准则科目自动转换的SQL 语句运用初探武汉理工大学常剑峰内蒙古财经学院宋彪121。
基于COBIT信息系统审计研究
的重要参考 依据之一 , 是注册会计师借 助于 内部审计 报告来评估 I 也 T 控制 的重要证 据 ; 详细控制 目标详细介绍 了C BT I 过程所包括 的 O I的 T 详细控制 目标 , 是评价 I 管理和过程的具体参考标准 ; 指南从信 息 T 审计 管理人员 和审计 人员的角度说 明了如何实施对 I 控制的检查 , 出了 T 提 具体 的审 计方法 ; 施工具 集主 要包 括管理 认知 ( ngme t w r— 实 ma ae n a ae
ns)、T控 制 诊 断 (T cnrl ig ot s 、 施 指 南 ( lmet in es I I o t an s c) 实 od i i e na o mp t gie 、 ud )常见 问题 ( A s 、OBT案例研究 (ae tde) F Q )C I c ̄ u i 等工具 , s s 为快速 学习和运用 C BT提供了丰富的素材。 OI 三、 COBI T信息评价标准对注册会计师的指导意义
下审计测试 、 数据文件 实质性测试 方面提供 了许 多参考性 审计方 法。
[ 关键词 ] 息系统 信 COB T I 计算机 审计 注册会计 师
随着企业信 息化建设 的不 断深入 和飞 速发展 , 息系统 已经 成为 信 企 业 日常经 营管理 、 投资 决策 、 战略规 划所依据 的重要 平 台, 企业 管理 和决策信息 越来越多地 由计算 机化 的信息 系统传递 和生成 。然而 , 信 息技术在 为企业提供 了大量 有用信息 和管理便利 的同时 , 也带来 了巨
大的业务经营 、 法律和信誉风险 。作为第三方 的外 部注册 会计师 , 面对 各 种不 同类 型和功能 的信 息系统及其 所提供的数据 内容 , 在进行 审计 时遇到了极大的挑战。 信息系统环境下注册会计 师的审计风 险 《 中华人 民共和 国注册会计师法 》 第二 十一 条规 定了注册会计师的 审计责任 :注册会计师执行审计业务 , “ 必须按照执行 准则 、 规则确定的 工作程序 出具报告 。 中国独立审计准则 对注册会计 师的审计责任也做 ” 了详细 的规 定 : 注册会计 师的审计 责任是指注册会 计师按照 独立 审计 准则的要求 出具审计报告 , 并对发表 的审计 意见 负责。事实上 , 注册会 计师 的审计责任是不断发展 的 , 0 纪7 年 代以来 注册会计师的审 自2 世 O 计 责任演 变为以验证会计报 表 的公允性 为主 , 又要揭 露重大错误 和舞 弊 。由于基本会计数据 及其他管理数 据的庞大 以及 审计成本 的限制 , 现代审计多采用评价 内部控制基础上 的抽样 审计以获得支 持财务报表 的证据。在信息系统条件下 , 审计基础数据更加庞 大和复杂 , 内部控制 的 内容和方法也发生 了巨大变化 , 注册会计 师如何 获取基础审计数据 , 如何评价新 的内部控制结构 的效力 和证据 之间 的联 系 , 这些都构 成了 对注册会计师的极大挑 战。 我国 20 年发布的《 04 独立审计具体准则第 2 号一 计算 机信息系统 o 环境下的审计》 明确指 出, 注册会计师应 当充分关 注计 算机 信息系统环 境对被审计 单位会计信 息及 内部控制 的影 响。2 0 年发布 的《 06 中国注 册会计师 审计 准则第 13 号 电子商务对 财务报表审计 的影 响》 63 第十八 条指 出注册会计 师应 当关 注审计单位是 否运 用适当的安全基础架构和 相关控制 ; 第三 十二条 也指 出: 注册 会计师应 当考虑被审计单位实施的 信息安全 政策和控制措 施 , 是否 足以防止未经授权 修改会计 系统或会 计记 录 , 或修改 向会计 系统提供数据 的系统。 国际 审计 准则 1—— 电 《 5 子数据处理环境下 的审计》 明确指 出 , 一个 电子数据处理的环境 也 当在 下进行审计 时, 审计人员应 当对约定计划 中的计 算机硬件 、 软件和处理 系统有充 分的 了解 , 并且 要 了解 电子数 据对 内部控 制的研究 与评 价和 对审计程 序的实施有 怎样的影响 , 括计算机辅助 审计技术 。但 是我 包 国的独立审计具体准 则和国际 审计准则 都没 有给出审计测试的具体评 价标准 , 显然注册会计 师在评价计算机信息 系统 的安全 、 正确及有效性 方面遇到 了很大 的困难 。按照相关 审计准则 , 审计 人员虽然 可以考虑 和利用计算 机信息系统专 家的技能 和工作 , 但是却不 能将他对财 务资 料形成重要 审计结论或 形成和表示意 见的责任委 派给别人 , 审计 人员 必 须对专家执行的有关数据处理技术 的]作 能适合 他的 目的取得合理 一 的确信。 以上情况表 明 : 虽然 注册会计师可 能无需对信 息系统和信息 活动 本 身提 出鉴 证结论和咨询意 见 , 但必须 考虑信息系统 和信息活动对 被 审计 单位的影响和重大错报 的风险 , 因此 , 注册会计 师在面对复杂的信 息 系统时必须考 虑借用 有效的 I 标准来 对被审计系统进行 评价。当前 T 国际上普遍应用 的I 相 关标准众多 , I 硬件 标准 、 T 有 T 软件实现标 准 、 网 络 通信标准 、 服务标准 、 系统安全 及安全工程标 准等 , I T I T 但有关 信息 系统 管理及 如何对 信息 系统进行 审计 的标准相对 比较少 , 其中 I0 0 1 S 90 和软件成熟度模型 C M在对信息 系统可靠性 、 M 安全性 和有效性方 面有 定 的参 考意义 , 但对 审计人员来 说, OBTX 审计人员具有更强 的针 C I  ̄ 对性 , 其执业规 范和操作指南对审计人员提供 了重要参考价值 的标准 。
备战COBIT企业IT治理知识点的深度解析与实践指南
备战COBIT企业IT治理知识点的深度解析与实践指南在当今信息化时代,企业对于IT治理的重要性越来越被重视。
而COBIT(Control Objectives for Information and Related Technologies,信息及相关技术控制目标)作为一种广泛应用于企业IT治理的框架,在实践中得到了广泛的认可和应用。
本文将对COBIT企业IT治理的关键知识点进行深度解析,并提供一些实践指南,以帮助企业更好地备战COBIT企业IT治理。
一、COBIT简介COBIT是由国际信息系统审计和控制协会(ISACA)开发的一种综合框架,旨在帮助企业有效地管理和控制其IT资源,以及实现业务目标。
COBIT框架建立在业务目标导向、风险管理和过程控制的基础上,可以帮助企业提高IT治理的效果和效率。
二、COBIT的核心原则1. 满足商业需求:企业IT治理的核心目标是为了满足商业需求,确保IT资源和业务目标的紧密衔接。
2. 覆盖企业全局:COBIT框架涵盖了企业IT治理的各个方面,包括战略规划、组织架构、流程管理、资源管理等。
3. 用途广泛、可定制:COBIT框架可以根据企业的具体需求进行定制,适用于各行各业的企业。
三、COBIT的知识域COBIT框架包含了各个方面的IT治理知识域,以下是其中一些重要的知识域及其相关知识点的深度解析:1. 企业治理和管理企业治理和管理是COBIT框架的核心,涉及到企业战略、决策制定、组织架构等方面。
企业治理和管理的关键知识点包括:企业目标的确定与分解、战略制定和执行、风险管理、组织架构设计等。
2. 信息架构与数据管理信息架构与数据管理是COBIT框架中重要的知识域,涉及到信息系统的架构设计、数据管理和数据保护等方面。
信息架构与数据管理的关键知识点包括:信息系统的架构设计原则、数据治理、数据安全与隐私保护等。
3. 业务流程管理业务流程管理是COBIT框架中关注的重点,涉及到业务流程的规划、执行和优化等方面。
COBIT背景下的审计模式研究
COBIT背景下的审计模式研究COBIT(Control Objectives for Information and Related Technologies)是一个旨在管理和监控信息技术(IT)服务和管理过程的框架。
它由国际信息系统审计与控制协会(ISACA)开发并于1996年首次发布。
COBIT主要用于帮助组织确保其IT系统的有效性、完整性、保密性和可用性,同时还能遵循各种法规和标准。
在COBIT框架下,审计是一个非常重要的环节,负责评估组织的IT管理实践是否符合COBIT的要求。
本文将就COBIT背景下的审计模式展开研究。
COBIT框架包含了一系列的控制目标(Control Objectives)和实施指南,帮助组织建立合适的IT控制体系。
审计是对这些控制措施的有效性和合规性进行评估的过程。
COBIT框架将审计划分为两个主要部分:内部审计和外部审计。
内部审计是由组织内部机构进行的审计活动,目的是评估和改进组织的运作效率和风险管理。
在COBIT框架下,内部审计主要关注以下几个方面:1.评估IT战略和目标是否与企业战略和目标保持一致。
2.评估IT资源的使用是否有效和高效。
3.评估IT系统的完整性和可靠性。
4.评估IT过程的有效性和合规性。
5.评估IT治理结构是否健全。
内部审计通过对组织内部控制措施的评估,帮助组织管理层监督和改进其IT环境。
其主要优点包括可以更好地了解组织的运作状况,及时发现问题并采取纠正措施,增强组织内部控制效果。
外部审计是由第三方审计机构或独立审计师进行的审计活动,目的是对组织的财务报表和财务信息进行审计,以确认其真实性、完整性和合规性。
在COBIT框架下,外部审计主要关注以下几个方面:1.评估财务信息和非财务信息的准确性和可靠性。
2.评估组织的风险管理和合规性。
3.评估组织的治理结构和运作情况。
4.评估组织与外部环境的关系和沟通。
外部审计通过独立的观察和评价,确保组织的财务信息和营运活动符合相关法规和标准,提高了组织的透明度和信誉度。
cobit与itil的相关研究以及两者间的区别和联系
COBIT 与ITIL的相关研究以及两者间的区别和联系AMT咨询COBIT与ITIL的相关研究以及两者间的区别和联系提交日期:2008年7月14日拷贝份数:*1. 文档控制文档更新记录文档审核记录文档去向记录目录1.文档控制 (2)2.文档说明 (4)3.COBIT的相关研究 (5)3.1.COBIT是什么 (5)3.2.COBIT的发展历程 (5)3.3.COBIT的基本概念 (5)3.4.COBIT的控制目标 (8)3.5.COBIT的用途 (8)3.6.COBIT的主要服务对象 (8)3.7.COBIT的业务需求 (9)3.8.COBIT的优点 (9)3.8.1.从COBIT自身的特点而言,它具有以下优点: (9)3.8.2.从COBIT对企业的作用而言,COBIT的优点主要如下: (10)3.9.COBIT的不足 (10)3.10.COBIT产品的分类 (10)4.ITIL的相关研究 (12)4.1.ITIL是什么 (12)4.2.ITIL的发展历程 (12)4.3.ITIL的目标 (12)4.4.ITIL的框架体系 (12)4.5.ITIL的十大流程 (13)4.6.服务支持方面的问题 (15)4.7.ITIL的特点 (15)4.8.附录——ITIL服务支持管理的流程 (16)5.COBIT与ITIL的联系与区别 (21)5.1.COBIT与ITIL的区别 (21)5.2.COBIT与ITIL的联系 (22)2. 文档说明文档说明。
3. COBIT的相关研究3.1.COBIT是什么COBIT是Controlled Objectives for Information and Related Technology的缩写,即信息及相关技术的控制目标。
COBIT是 ISACA(信息系统审计和控制联合会)制订的面向过程的信息系统审计和评价的标准。
对信息化建设成果的评价,按照系统属性可以划分为若干方面,如:对最终成果评价、对建设过程评价、对系统架构评价等。
IT审计与控制模型COBIT(同济大学 刘仲英教授)
Technology Facilities
Information Effectiveness Confidentiality Integrity Service Availability output Compliance Reliability
People
What you get
What you need
Business Processes Information Criteria effectiveness confidentiality integrity availability compliance reliability IT Resources IT Resources People Application Systems Technology Facilities Data Do they
Advanced Information Technology and Management
IT Audit and Control Model of Information and Related Technology -----COBIT
Hu kejin Whzhu@
IT Audit
ISACA (Information Systems Audit and Control Association) CISA (Certified Information System Auditor)
COBIT---Control Objectives For Information and Related Technology
1. IT Audit Overview
Security Reliability Effectiveness
Auditing Objectives
国际标准与架构cobit基础
国际标准与架构cobit基础Cobit(Control Objectives for Information and Related Technology)是一种信息技术管理的框架,旨在为组织提供一种可行的方法来管理、监督和保护其信息技术资源。
Cobit是一种由信息系统审计和控制协会(ISACA)和IT Governance Institute(ITGI)开发和发布的框架,可用于提高信息技术保障和合规性控制,以及信息技术治理和管理的效能。
Cobit基于一个简单的理念,即组织的管理层需要确保信息技术资源的有效使用,以支持业务目标。
Cobit识别四个主要领域,即企业目标分类与治理、企业操作分类、企业治理框架分类、信息技术运营分类。
这些领域由某些结果导向的目标领域组成,如企业目标、IT目标、关键成功因素等,目标是通过一系列指南和实践来实现的。
Cobit不仅是一种框架,还包括指南、控制目标、管理实践等,旨在帮助组织管理信息技术。
它提供了一个基础模型来对信息技术进行管理,通过指出需要实现的控制目标和管理实践。
这些目标和实践是建立在“人、流程和技术”三个方面的基础上,涉及到整个IT生命周期。
与其他信息技术框架不同的是,Cobit不仅关注代码方面的安全性,也关注业务流程。
从这个意义上说,Cobit是与ITIL、ISO 17799/27001以及其他框架完善共享的。
Cobit是一种有助于组织提高信息技术治理和管理效能的框架。
它是一个有助于确保信息技术资源在遵循重新定义的业务流程、安全性和合规性方面实现最佳表现的框架。
Cobit在各种行业中广泛应用,为组织提供协助,以对其信息技术进行治理和管理。
在Cobit框架下的每个领域中,有一组控制目标和相关的管理实践,这些控制目标和管理实践是基于一组概念来设计的,包括:格局性的、计划性的、许可性的、支配性的、敏捷性的、透明性的、持久性的。
这些概念是与信息技术的治理和管理密切相关的,Cobit框架通过提供基于这些概念的控制目标和管理实践,为组织提供一个体系结构,以确保其信息技术资源的安全性、可用性、可靠性和合规性。
基于COBIT的网上银行控制目标体系研究
6《商场现代化》年月(中旬刊)总第5期一、引言随着我国银行业信息化服务体系的逐步完善,网上银行以低成本、高效益、方便快捷、应用广泛的特点,蓬勃发展显示出了强大的生命力。
在享受网上银行方便和效益的同时,也要认识到网上银行是建立在开放网络上的银行信息系统,风险的扩散性大,易发性强。
为了保证网上银行的安全、可靠和有效,需要进行严格的管理和控制,建立起一套安全有效的网上银行控制目标体系。
C O B I T(C ont r ol O bj ect ives f or I nfor m at ionandr elat edT echnol og y ,信息及相关技术的控制目标)是美国信息系统审计与控制基金会I SA C F (I nf or m at i on Syst em s A udi t and Cont r ol Founda t i on )与I T 治理研究所(I T G ove r nanc e I nst i t ut e )共同研究与开发的国际上公认的安全与信息技术管理和控制的标准。
它将组织(政府或企业)的信息化归纳为34个I T 处理流程,34个I T 处理过程按自然分组的方式划分到规划与组织、采集与实施、交付与支持、监控4个域中,全面介绍了如何控制、管理和测量每个流程。
CO BI T 考虑了企业自身的战略规划,将战略规划所产生的目标、政策、行动计划作为信息技术的关键环境,由此确定I T 准则。
在I T 准则指导下,利用C O B I T 模型来控制和管理信息资源,同时引入审计指南,从而保证I T 资源管理的安全性、可靠和有效性。
CO BI T 模型实现了企业战略与I T 战略的互动,并形成持续改进的良性循环机制,为企业提供了具有一定参考价值的解决方案,对推动信息技术的发展和应用具有十分重要的现实意义。
因此,通过将C O B I T 应用到网上银行信息系统的开发和实施环境,可以为强化和评估网上银行的管理和控制提供依据。
IT治理的核心模型COBIT的解读与应用
IT治理的核心模型COBIT的解读与应用COBIT的四个领域关注的是组织信息化建设的整个生命周期,因此对于我国的企业的信息化建设也具有指导意义。
一、COBIT的背景介绍从现有的控制框架来看,以COSO为代表的业务控制框架,主要是从受托责任方面来考虑一般控制的价值,缺少对IT控制的阐述和说明;以CICA的IT控制指南为代表的IT控制框架,侧重于对技术进行控制。
因此。
这两类模型都没有全面照顾到业务和IT。
COBIT的出现就是为了填补这个空白,它基于COSO,同时整合了全球所有主要的信息技术标准。
因此既能关注IT,又能与业务日标紧密联系,其任务就是研究、开发、出版和推动一个权威的、最新的、被国际上的企业,业务经理的日常使用、IT专业人上和鉴证专业认识所广泛接受的IT治理框架。
COBIT由ISACA开发与推广。
1976年,ISACA专门设立ISACF。
从事IT 的管理、控制和安全保证领域的研究。
同年。
ISACF发布COBIT1.0版本。
试图将它作为一种审计工具。
为了响应对IT进行控制的需要,1998年发布的COBIT2.0,在1.0版本的基础上增加了资源文件的数据,改进了高层控制目标和具体控制目标,增加了实施工具包。
1998年,ISACA 与ISACF合并设立了旨在促进IT治理原则推广和应用的ITGI,COBIT的后续的研究和更新就是由ITGI来完成的。
ITGI在2000年发布的COBIT3.0版本中增加了管理指南,还将ISACA 原始的“控制目标”修改为管理目标,同时还扩充和加强了对IT治理的关注。
使得COBIT演变为一个管理工具。
IT的日益广泛应用,增加了对IT治理的需求,ITCI于2005年在广泛调查和研究的基础上,推出了COBIT4.0版本,它站在IT治理的角度,从更高的层面上来指导管理层进行IT控制和信息系统管理,使之成为一个真正意义上的IT治理框架。
2007年5月,ITGI推出的COBIT4.1在4.0的基础上进行了微调,并无本质更新。
应用COBIT构建会计信息系统内部控制体系
指导着这些组织最大限度地利用信息技术带来的好处 ,同时 有效地管理与信 息相关的风险。
( )O I 的三 要 素 一 C BT
是否适合?
C BT O I认为在信息环境中 , 内部控制的三个要素 为业务需 求 , 资源和I@理过程 。三要素关系图如下: I T T 透过上图 , 我们不难看 出C BT O I的基本原 理 : 过I过程 通 T 图1C BT- O I ̄要素关系图
贷款高校应成立 以校 ( 长为组长 、 院) 主管财务 副校 ( ) 为 院 长 副组长 , 财务 、 建 、 察 、 基 监 审计 、 工会 等部 门负责为成员 的
贷款资金 管理领导小组 , 负责组织贷款项 目的论证 、 贷款资金 的使用、 管理与监督。建立“ 责权利” 借用还” 和“ 相统一的债务 管理机制 , 如项 目论证制 度、 民主决策制 度 、 贷款资金 的财务 管理制度 , 监督评价制度 等, 规范举债程序 , 控制债务规模 , 落
付等优质需求 。②信用需求 , 具有经 营效率 和效力 、 财务报告 可靠性 、 遵循法律规章等可信赖性需求 。③安全需求 , 具有隐
秘性 、 真实性 、 可用性等安全需求 。基于这三大需求 , O I又 C BT
管理l资源 , T 实现I ] 以满足业务需求。 TS标 1 . 业务需求 : 这是三个基本要素 中其他两要 素的基础 。为
出中, 但本金一次偿还时会造成高校财务支付困难。如有的高 校, 贷款本金 和利息是一个相对较大的数额 , 曾一度 使高校财
务 陷入 困境 , 响了学校正常的财务开支 , 影 挫伤 了教 职工 对学 校发展的信心。现行高校会计制度规定固定资产不提折 旧 , 固
3 立资产减值机制 、 确 维护资产安全 。未经授权不得直接
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
基于COBIT的信息系统管理、控制与审计的模型构建研究金 文 张金城(南京审计学院 210029)【摘要】 随着信息时代的到来与发展,如何在信息系统的建设、应用与持续发展过程中,进行管理、控制与审计己成为当今一个重要的研究课题。
本文在COB IT研究的基础上,提出从信息系统生命周期出发,通过对生命周期各个阶段的任务与活动的有序排列,构建符合COB IT定义的信息技术过程和管理、控制与评价模型,并在此基础上,构建信息系统管理、控制与审计的模型。
【关键词】 信息系统 管理 控制 审计 一、引言随着信息时代的到来与发展,以计算机、网络、通讯等信息技术为基础的信息系统己成为国家和社会生活中不可缺少的基础设施。
一方面,随着新的信息技术不断涌现,人们为了追求更高的信息资源利用率,提高组织战略竞争力,正在不断地实施、更新信息系统,信息系统的发展己成为组织发展战略的一部分。
另一方面,人们对信息系统产生了依赖性,对信息系统的安全性、可靠性、有效性、持续性及性能要求也越来越高。
由于信息技术的复杂性与多样性,信息系统建设与应用受到各种因素的制约,如技术、管理与人力资源,因此,如何在信息系统的建设、应用与持续发展过程中,进行管理、控制与审计就成为当今一个重要的研究课题。
改革开放以来,我国将信息化建设作为国民经济发展战略的重要组成部分,使我国的信息化水平迅速提高。
但同时,也暴露出许多问题,主要有:信息化战略与组织战略脱节,信息系统建设目标错位;重技术,轻管理,风险控制与安全管理缺位;信息系统建设管理缺乏科学性,项目建设不能按计划的时间、质量和费用完成,建设结果不能达到预期的目标和服务水平;信息系统运行与维护过程不规范,系统生命周期较短。
上述问题是致使信息系统建设与应用成功率低、绩效差、安全得不到保证、对信息系统的审计与鉴证困难的重要原因,也是我国信息化水平与欧美发达国家的主要差距所在。
信息系统不仅仅是计算机、通讯、网络及相关软件等技术部件的集成,它是数据、应用系统、技术、设施和人员的总和。
它涉及到系统工程、信息技术和管理科学等多个学科,信息技术的日新月异、经济全球化和社会的复杂性使信息系统的建设与应用遇到很大挑战,通过对信息系统管理、控制与审计,使信息系统在其整个生命周期中与权益者对它的需求和前提条件相一致,并以合法的、高效的方式提供服务,以积极的方式影响组织机构的目标,是应对这种挑战的有效途径。
欧美发达国家对“信息系统管理、控制与审计”的研究与实践起步较早,也极为重视,从20世纪80年代中到现在,走过了“技术管理时期”、“多样化管理时期”和“专业管理时期”。
所谓“专业管理”就是除技术管理外,信息系统的功能管理和应用管理要以按照符合要求的标准或规范运行,这些标准与规范包括ISO9000、CMM、ISO/IEC17799、ITIL和COB IT等。
这些标准与规范来自于系统的理论研究和最佳实践归纳,是信息系统的质量、效用与安全达到一定水平的保证,也是评价信息系统的安全、风险和效用的参照标准,同时也是信息系统建设与维护过程中管理、控制的指标参数。
实践证明,系统应用这些标准与规范能极大地提高信息系统建设与应57用水平,信息系统的质量、效用、安全与可靠性获得很大提高,同时也为信息系统的审计与鉴证提供了基础。
二、COBIT 简介COB IT (Control Objectives For Information and Related Technology ),译为“信息及相关技术的控制目标”,由美国信息系统审计与控制协会(ISACA )出版,最早在1996年发布,现己发布了第三版,目前已成为国际上公认的最先进、最权威的信息技术管理、控制和审计的标准。
COB IT 将IT 过程,IT 资源及信息与组织的策略与目标联系起来,形成一个三维的体系结构。
其中,IT 准则维集中反映了企业的战略目标,主要从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性;IT 资源维主要包括人、应用系统、技术、设施及数据在内的与信息相关的资源;IT 过程维则是在IT 准则的指导下,对信息及相关资源进行规划与处理,从信息技术的规划与组织、采集与实施、交付与支持、监控四个方面确定了34个信息技术处理过程。
图1 COBIT 体系结构COB IT 的体系框架给出了“管理指南”和“控制指南”,为每个过程定义了具体的管理关键因素和指标(KPI 、CSF 、KGI )、控制目标以及审计方针,并采用CMM 成熟度模型来表示“过程的成熟度”,引入平衡经营记分卡以实现可跟踪的业绩衡量,评价企业目标的实现情况以及IT 绩效,使之可以通过对信息系统的过程、目标的控制与改善,进行持续的IT 管理,不断提升信息系统的成熟度。
COB IT 覆盖整个信息系统的全部生命周期,涵盖了战略、战术与操作的所有层次,处于各个阶段的信息系统都可以参照应用,它所带来的益处是十分明显的,它使IT 战略与组织战略紧密联系,在事业目标、信息系统、业务绩效目标之间维持平衡。
它为IT 过程提供了管理的要素、标准和控制目标,使复杂的管理控制结构化、模式化,为信息系统的安全、可靠、效用与效率达到预定目标提供了保障,并为信息系统的审计提供了指导和基础,使审计工作切实可行,审计结论更有说服力和影响力。
模型构建的方法与步骤COB IT 基于已有的许多架构,如SEI 的能力成熟度模型(CMM )、ISO9000等标准。
COB IT 在总结这些标准的基础上重点关注做什么,而不是如何做,它不包括具体的实施指南和实施步骤,它是一个控制架构(Control Framework )而非具体如何做的过程架构(Process Framework )。
如何将COB IT 应用于“信息系统管理、控制与审计”过程中去是众多信息系统的管理者与审计师更关注的问题。
由于组织结构与目标的多样性,信息技术与资源的复杂性,信息系统的管理、控制与审计的过程也是复杂的,以至于人脑难以掌握其所有的细节,因此,构建信息系统管理、控制与审计的模型是必要的,模型可以协调组织与相关人员对问题的理解,并指导具体方案的产生。
但是,同样由于其多样性和复杂性,没有一个独立的模型能够完全描述不同信息系统应用COB IT 的过程。
尽管如此,如果运用系统工程的结构化方法,针对具体的组织与信息系统的特点,在信息系统生命周期模型的基础上,依据生命周期不同阶段的任务和活动,构建符合COB IT 的过程管理模型,并运用模型指导信息系统的管理、控制与审计过程,则这个过程将会减少对人的依赖,并使之结构化、程序化,便于运用技术与工具进行管理,对有效地实施基于COB IT 的信息系统管理、控制与审计具有十分积极的意义。
运用系统工程结构化的方法,构建基于COB IT 的信息系统管理、控制与审计的过程模型,其步骤是:首先,在信息系统的生命周期模型的基础上,依据生存周期不同阶段的任务和活动,对照COB IT 的34个过程定义,构建具体的信息技术过程集。
然后,运用科学的管理体系和方法,构建以信息技术过程为基础的管理、控制和评价模型,最后,对上述步骤进行综合,形成信息系统的管理、控制与审计模型。
67 三、构建信息技术过程集信息系统的生命周期开始于信息政策形成的时刻,以及以使用为目的开发信息系统的时刻,结束于信息系统消失的时刻。
在信息系统的生命周期过程中,可划分为四个阶段:规划阶段、开发阶段、接收和实现阶段、运行和维护阶段。
它们之间的关系如图所示:图2 信息系统生命周期的各阶段及其关系 规划阶段的任务是:确定发展战略、制定总体方案、安排项目计划以及制定资源分配计划,明确前提条件和约束条件。
在这一阶段中所制定的政策与规划将指导系统的开发,而以后各阶段所需要的变更/修改,也要反馈到规划工作。
开发阶段的任务是:设计、获取组件和构建信息系统或项目。
重点强调有关信息技术的部分,如技术基础设施、数据基础设施和应用软件包。
只有这一阶段工作完成后才能进入接收和实现阶段。
接收和实现阶段的工作任务是:接收开发阶段设计和构建的信息系统或项目,检查它是否遵守所有的技术规范与标准,进行验收测试,系统初始化,新旧系统转换,制定对信息系统硬件、软件、数据、性能、安全、操作的管理规则,最后交付使用。
运行与维护阶段的任务是:保障信息系统的正常使用;对信息系统充分利用和持续发展的研究;完成根据前两个任务发生的变更/修改。
依据上述各阶段的任务,我们可以采用WBS (工作结构分解)工具描述具体信息系统建设的具体任务活动,例如,图3表示某企业管理信息系统的规划工作分解。
图3 某企业管理信息系统的规划工作分解 图3中的需求分析、可行性研究、制定规划和总体方案部分是规划的执行活动,规划管理部分是对前述执行部分的管理。
对照COB IT 的过程定义和图3所描述的规划活动,通过对活动的有序排列,可以获得一系列符合COB IT 定义的过程,例如,图4表示的过程是由上述规划阶段的若干活动组成,它符合COB IT 中PO1过程:定义IT 战略计划。
77图4 PO1:定义IT战略计划过程 图4所示是获取IT战略计划的执行过程,要使执行过程有效进展,达到过程目的,必须对过程实施有效的管理,图3所列的“规划管理”活动应贯穿整个过程,在这个过程中,管理、控制的要素和标准的科学设定是极为关键的,COB IT给出了要素与标准的设定指南,具体的设定要依据信息系统的发展阶段与目标水平。
在信息系统的建设与应用过程中,不是COB IT 的全部34个过程都必须应用,而是根据具体信息系统的建设与应用过程中的活动,构建一系列符合COB IT定义的过程,也就是说,应根据实际情况剪裁COB IT的过程,构建信息技术过程集。
四、构建信息技术过程的管理、控制和评价模型 通过构建信息系统建设与应用的信息技术过程集,我们可以把对系统的管理细化到各个过程,针对过程的管理是进行信息系统管理、控制和审计的基础,是否科学与完善,将对系统的管理、控制与审计的有效性产生重大影响,因此,必须采用科学的、为实践所证明的管理体系与方法。
项目管理作为一个面向过程的科学管理体系,近几十年来得到飞速发展,各行各业的广泛应用,使其知识体系和方法日趋完善。
目前,美国项目管理协会开发的项目管理知识体系PMBO K已作为项目管理的事实标准,在欧美国家的信息化项目广泛使用。
针对所构建的基于COB IT的信息技术过程,以PMBO K为指导,构建过程的管理模型,可以化繁为简,使复杂的信息系统管理、控制和审计结构化,使人们对信息系统的建设与管理有正确的管理思想为指导,并促进建立和健全管理机制,便于应用技术与工具,使管理过程规范化。