基于COBIT的信息系统管理_控制与审计的模型构建研究
COBIT信息系统治理流程浅析
会计信息化ACCOUNTING INFOR MATION120会计信息化ACCOUNTING INFORMATION ·我国按照行业划分标准,可以划分为工业、商业等几十个行业,且不同的行业有着不同的科目核算体系。
近年来会计准则也在不断的修订变化之中,对不同行业的会计科目名称和编码存在一定的影响。
在用友软件中,为适应这种变化,UFsystem数据库中预置了行业表(gl_btrade表)、科目类型表(gl_codeclass表)和科目模板表(GL_DPreCode表),当用户进行账套建立时,选择了具体的行业,系统首先在行业表中找到行业代码,按照此行业代码在科目类型表和科目模板表中确定此行业国家规定的有关科目代码和名称,存储到账套数据库UFDATA_***_****(前三个*表示账套号,后四个*表示年度)中的code表中,该表即为企业所使用科目的集合。
如图1所示。
新会计准则中主要的变化是增加了一个新的科目大类以及会计科目编码和名称的更改。
针对用友软件的修改,其设计的主要思路分两种情况:一种是对于已经建好账套的如何实现修改,另一种是在行业表中新增一个“2007新会计准则”大类,用户选择大类后,系统自动调用2007年新会计制度科目,即实现科目自动转换。
一、已建账套的修改总体的思路是在ufsystem数据库中找到科目类型表(Gl_clde-class),增加一个分类(共同类),使之符合新会计准则;然后对UFDATA_***_****账套库中的code表中的科目进行修改。
具体步骤新准则科目自动转换的SQL 语句运用初探武汉理工大学常剑峰内蒙古财经学院宋彪121。
基于COBIT信息系统审计研究
的重要参考 依据之一 , 是注册会计师借 助于 内部审计 报告来评估 I 也 T 控制 的重要证 据 ; 详细控制 目标详细介绍 了C BT I 过程所包括 的 O I的 T 详细控制 目标 , 是评价 I 管理和过程的具体参考标准 ; 指南从信 息 T 审计 管理人员 和审计 人员的角度说 明了如何实施对 I 控制的检查 , 出了 T 提 具体 的审 计方法 ; 施工具 集主 要包 括管理 认知 ( ngme t w r— 实 ma ae n a ae
ns)、T控 制 诊 断 (T cnrl ig ot s 、 施 指 南 ( lmet in es I I o t an s c) 实 od i i e na o mp t gie 、 ud )常见 问题 ( A s 、OBT案例研究 (ae tde) F Q )C I c ̄ u i 等工具 , s s 为快速 学习和运用 C BT提供了丰富的素材。 OI 三、 COBI T信息评价标准对注册会计师的指导意义
下审计测试 、 数据文件 实质性测试 方面提供 了许 多参考性 审计方 法。
[ 关键词 ] 息系统 信 COB T I 计算机 审计 注册会计 师
随着企业信 息化建设 的不 断深入 和飞 速发展 , 息系统 已经 成为 信 企 业 日常经 营管理 、 投资 决策 、 战略规 划所依据 的重要 平 台, 企业 管理 和决策信息 越来越多地 由计算 机化 的信息 系统传递 和生成 。然而 , 信 息技术在 为企业提供 了大量 有用信息 和管理便利 的同时 , 也带来 了巨
大的业务经营 、 法律和信誉风险 。作为第三方 的外 部注册 会计师 , 面对 各 种不 同类 型和功能 的信 息系统及其 所提供的数据 内容 , 在进行 审计 时遇到了极大的挑战。 信息系统环境下注册会计 师的审计风 险 《 中华人 民共和 国注册会计师法 》 第二 十一 条规 定了注册会计师的 审计责任 :注册会计师执行审计业务 , “ 必须按照执行 准则 、 规则确定的 工作程序 出具报告 。 中国独立审计准则 对注册会计 师的审计责任也做 ” 了详细 的规 定 : 注册会计 师的审计 责任是指注册会 计师按照 独立 审计 准则的要求 出具审计报告 , 并对发表 的审计 意见 负责。事实上 , 注册会 计师 的审计责任是不断发展 的 , 0 纪7 年 代以来 注册会计师的审 自2 世 O 计 责任演 变为以验证会计报 表 的公允性 为主 , 又要揭 露重大错误 和舞 弊 。由于基本会计数据 及其他管理数 据的庞大 以及 审计成本 的限制 , 现代审计多采用评价 内部控制基础上 的抽样 审计以获得支 持财务报表 的证据。在信息系统条件下 , 审计基础数据更加庞 大和复杂 , 内部控制 的 内容和方法也发生 了巨大变化 , 注册会计 师如何 获取基础审计数据 , 如何评价新 的内部控制结构 的效力 和证据 之间 的联 系 , 这些都构 成了 对注册会计师的极大挑 战。 我国 20 年发布的《 04 独立审计具体准则第 2 号一 计算 机信息系统 o 环境下的审计》 明确指 出, 注册会计师应 当充分关 注计 算机 信息系统环 境对被审计 单位会计信 息及 内部控制 的影 响。2 0 年发布 的《 06 中国注 册会计师 审计 准则第 13 号 电子商务对 财务报表审计 的影 响》 63 第十八 条指 出注册会计 师应 当关 注审计单位是 否运 用适当的安全基础架构和 相关控制 ; 第三 十二条 也指 出: 注册 会计师应 当考虑被审计单位实施的 信息安全 政策和控制措 施 , 是否 足以防止未经授权 修改会计 系统或会 计记 录 , 或修改 向会计 系统提供数据 的系统。 国际 审计 准则 1—— 电 《 5 子数据处理环境下 的审计》 明确指 出 , 一个 电子数据处理的环境 也 当在 下进行审计 时, 审计人员应 当对约定计划 中的计 算机硬件 、 软件和处理 系统有充 分的 了解 , 并且 要 了解 电子数 据对 内部控 制的研究 与评 价和 对审计程 序的实施有 怎样的影响 , 括计算机辅助 审计技术 。但 是我 包 国的独立审计具体准 则和国际 审计准则 都没 有给出审计测试的具体评 价标准 , 显然注册会计 师在评价计算机信息 系统 的安全 、 正确及有效性 方面遇到 了很大 的困难 。按照相关 审计准则 , 审计 人员虽然 可以考虑 和利用计算 机信息系统专 家的技能 和工作 , 但是却不 能将他对财 务资 料形成重要 审计结论或 形成和表示意 见的责任委 派给别人 , 审计 人员 必 须对专家执行的有关数据处理技术 的]作 能适合 他的 目的取得合理 一 的确信。 以上情况表 明 : 虽然 注册会计师可 能无需对信 息系统和信息 活动 本 身提 出鉴 证结论和咨询意 见 , 但必须 考虑信息系统 和信息活动对 被 审计 单位的影响和重大错报 的风险 , 因此 , 注册会计 师在面对复杂的信 息 系统时必须考 虑借用 有效的 I 标准来 对被审计系统进行 评价。当前 T 国际上普遍应用 的I 相 关标准众多 , I 硬件 标准 、 T 有 T 软件实现标 准 、 网 络 通信标准 、 服务标准 、 系统安全 及安全工程标 准等 , I T I T 但有关 信息 系统 管理及 如何对 信息 系统进行 审计 的标准相对 比较少 , 其中 I0 0 1 S 90 和软件成熟度模型 C M在对信息 系统可靠性 、 M 安全性 和有效性方 面有 定 的参 考意义 , 但对 审计人员来 说, OBTX 审计人员具有更强 的针 C I  ̄ 对性 , 其执业规 范和操作指南对审计人员提供 了重要参考价值 的标准 。
备战COBIT企业IT治理知识点的深度解析与实践指南
备战COBIT企业IT治理知识点的深度解析与实践指南在当今信息化时代,企业对于IT治理的重要性越来越被重视。
而COBIT(Control Objectives for Information and Related Technologies,信息及相关技术控制目标)作为一种广泛应用于企业IT治理的框架,在实践中得到了广泛的认可和应用。
本文将对COBIT企业IT治理的关键知识点进行深度解析,并提供一些实践指南,以帮助企业更好地备战COBIT企业IT治理。
一、COBIT简介COBIT是由国际信息系统审计和控制协会(ISACA)开发的一种综合框架,旨在帮助企业有效地管理和控制其IT资源,以及实现业务目标。
COBIT框架建立在业务目标导向、风险管理和过程控制的基础上,可以帮助企业提高IT治理的效果和效率。
二、COBIT的核心原则1. 满足商业需求:企业IT治理的核心目标是为了满足商业需求,确保IT资源和业务目标的紧密衔接。
2. 覆盖企业全局:COBIT框架涵盖了企业IT治理的各个方面,包括战略规划、组织架构、流程管理、资源管理等。
3. 用途广泛、可定制:COBIT框架可以根据企业的具体需求进行定制,适用于各行各业的企业。
三、COBIT的知识域COBIT框架包含了各个方面的IT治理知识域,以下是其中一些重要的知识域及其相关知识点的深度解析:1. 企业治理和管理企业治理和管理是COBIT框架的核心,涉及到企业战略、决策制定、组织架构等方面。
企业治理和管理的关键知识点包括:企业目标的确定与分解、战略制定和执行、风险管理、组织架构设计等。
2. 信息架构与数据管理信息架构与数据管理是COBIT框架中重要的知识域,涉及到信息系统的架构设计、数据管理和数据保护等方面。
信息架构与数据管理的关键知识点包括:信息系统的架构设计原则、数据治理、数据安全与隐私保护等。
3. 业务流程管理业务流程管理是COBIT框架中关注的重点,涉及到业务流程的规划、执行和优化等方面。
COBIT背景下的审计模式研究
COBIT背景下的审计模式研究COBIT(Control Objectives for Information and Related Technologies)是一个旨在管理和监控信息技术(IT)服务和管理过程的框架。
它由国际信息系统审计与控制协会(ISACA)开发并于1996年首次发布。
COBIT主要用于帮助组织确保其IT系统的有效性、完整性、保密性和可用性,同时还能遵循各种法规和标准。
在COBIT框架下,审计是一个非常重要的环节,负责评估组织的IT管理实践是否符合COBIT的要求。
本文将就COBIT背景下的审计模式展开研究。
COBIT框架包含了一系列的控制目标(Control Objectives)和实施指南,帮助组织建立合适的IT控制体系。
审计是对这些控制措施的有效性和合规性进行评估的过程。
COBIT框架将审计划分为两个主要部分:内部审计和外部审计。
内部审计是由组织内部机构进行的审计活动,目的是评估和改进组织的运作效率和风险管理。
在COBIT框架下,内部审计主要关注以下几个方面:1.评估IT战略和目标是否与企业战略和目标保持一致。
2.评估IT资源的使用是否有效和高效。
3.评估IT系统的完整性和可靠性。
4.评估IT过程的有效性和合规性。
5.评估IT治理结构是否健全。
内部审计通过对组织内部控制措施的评估,帮助组织管理层监督和改进其IT环境。
其主要优点包括可以更好地了解组织的运作状况,及时发现问题并采取纠正措施,增强组织内部控制效果。
外部审计是由第三方审计机构或独立审计师进行的审计活动,目的是对组织的财务报表和财务信息进行审计,以确认其真实性、完整性和合规性。
在COBIT框架下,外部审计主要关注以下几个方面:1.评估财务信息和非财务信息的准确性和可靠性。
2.评估组织的风险管理和合规性。
3.评估组织的治理结构和运作情况。
4.评估组织与外部环境的关系和沟通。
外部审计通过独立的观察和评价,确保组织的财务信息和营运活动符合相关法规和标准,提高了组织的透明度和信誉度。
cobit与itil的相关研究以及两者间的区别和联系
COBIT 与ITIL的相关研究以及两者间的区别和联系AMT咨询COBIT与ITIL的相关研究以及两者间的区别和联系提交日期:2008年7月14日拷贝份数:*1. 文档控制文档更新记录文档审核记录文档去向记录目录1.文档控制 (2)2.文档说明 (4)3.COBIT的相关研究 (5)3.1.COBIT是什么 (5)3.2.COBIT的发展历程 (5)3.3.COBIT的基本概念 (5)3.4.COBIT的控制目标 (8)3.5.COBIT的用途 (8)3.6.COBIT的主要服务对象 (8)3.7.COBIT的业务需求 (9)3.8.COBIT的优点 (9)3.8.1.从COBIT自身的特点而言,它具有以下优点: (9)3.8.2.从COBIT对企业的作用而言,COBIT的优点主要如下: (10)3.9.COBIT的不足 (10)3.10.COBIT产品的分类 (10)4.ITIL的相关研究 (12)4.1.ITIL是什么 (12)4.2.ITIL的发展历程 (12)4.3.ITIL的目标 (12)4.4.ITIL的框架体系 (12)4.5.ITIL的十大流程 (13)4.6.服务支持方面的问题 (15)4.7.ITIL的特点 (15)4.8.附录——ITIL服务支持管理的流程 (16)5.COBIT与ITIL的联系与区别 (21)5.1.COBIT与ITIL的区别 (21)5.2.COBIT与ITIL的联系 (22)2. 文档说明文档说明。
3. COBIT的相关研究3.1.COBIT是什么COBIT是Controlled Objectives for Information and Related Technology的缩写,即信息及相关技术的控制目标。
COBIT是 ISACA(信息系统审计和控制联合会)制订的面向过程的信息系统审计和评价的标准。
对信息化建设成果的评价,按照系统属性可以划分为若干方面,如:对最终成果评价、对建设过程评价、对系统架构评价等。
IT审计与控制模型COBIT(同济大学 刘仲英教授)
Technology Facilities
Information Effectiveness Confidentiality Integrity Service Availability output Compliance Reliability
People
What you get
What you need
Business Processes Information Criteria effectiveness confidentiality integrity availability compliance reliability IT Resources IT Resources People Application Systems Technology Facilities Data Do they
Advanced Information Technology and Management
IT Audit and Control Model of Information and Related Technology -----COBIT
Hu kejin Whzhu@
IT Audit
ISACA (Information Systems Audit and Control Association) CISA (Certified Information System Auditor)
COBIT---Control Objectives For Information and Related Technology
1. IT Audit Overview
Security Reliability Effectiveness
Auditing Objectives
国际标准与架构cobit基础
国际标准与架构cobit基础Cobit(Control Objectives for Information and Related Technology)是一种信息技术管理的框架,旨在为组织提供一种可行的方法来管理、监督和保护其信息技术资源。
Cobit是一种由信息系统审计和控制协会(ISACA)和IT Governance Institute(ITGI)开发和发布的框架,可用于提高信息技术保障和合规性控制,以及信息技术治理和管理的效能。
Cobit基于一个简单的理念,即组织的管理层需要确保信息技术资源的有效使用,以支持业务目标。
Cobit识别四个主要领域,即企业目标分类与治理、企业操作分类、企业治理框架分类、信息技术运营分类。
这些领域由某些结果导向的目标领域组成,如企业目标、IT目标、关键成功因素等,目标是通过一系列指南和实践来实现的。
Cobit不仅是一种框架,还包括指南、控制目标、管理实践等,旨在帮助组织管理信息技术。
它提供了一个基础模型来对信息技术进行管理,通过指出需要实现的控制目标和管理实践。
这些目标和实践是建立在“人、流程和技术”三个方面的基础上,涉及到整个IT生命周期。
与其他信息技术框架不同的是,Cobit不仅关注代码方面的安全性,也关注业务流程。
从这个意义上说,Cobit是与ITIL、ISO 17799/27001以及其他框架完善共享的。
Cobit是一种有助于组织提高信息技术治理和管理效能的框架。
它是一个有助于确保信息技术资源在遵循重新定义的业务流程、安全性和合规性方面实现最佳表现的框架。
Cobit在各种行业中广泛应用,为组织提供协助,以对其信息技术进行治理和管理。
在Cobit框架下的每个领域中,有一组控制目标和相关的管理实践,这些控制目标和管理实践是基于一组概念来设计的,包括:格局性的、计划性的、许可性的、支配性的、敏捷性的、透明性的、持久性的。
这些概念是与信息技术的治理和管理密切相关的,Cobit框架通过提供基于这些概念的控制目标和管理实践,为组织提供一个体系结构,以确保其信息技术资源的安全性、可用性、可靠性和合规性。
基于COBIT的网上银行控制目标体系研究
6《商场现代化》年月(中旬刊)总第5期一、引言随着我国银行业信息化服务体系的逐步完善,网上银行以低成本、高效益、方便快捷、应用广泛的特点,蓬勃发展显示出了强大的生命力。
在享受网上银行方便和效益的同时,也要认识到网上银行是建立在开放网络上的银行信息系统,风险的扩散性大,易发性强。
为了保证网上银行的安全、可靠和有效,需要进行严格的管理和控制,建立起一套安全有效的网上银行控制目标体系。
C O B I T(C ont r ol O bj ect ives f or I nfor m at ionandr elat edT echnol og y ,信息及相关技术的控制目标)是美国信息系统审计与控制基金会I SA C F (I nf or m at i on Syst em s A udi t and Cont r ol Founda t i on )与I T 治理研究所(I T G ove r nanc e I nst i t ut e )共同研究与开发的国际上公认的安全与信息技术管理和控制的标准。
它将组织(政府或企业)的信息化归纳为34个I T 处理流程,34个I T 处理过程按自然分组的方式划分到规划与组织、采集与实施、交付与支持、监控4个域中,全面介绍了如何控制、管理和测量每个流程。
CO BI T 考虑了企业自身的战略规划,将战略规划所产生的目标、政策、行动计划作为信息技术的关键环境,由此确定I T 准则。
在I T 准则指导下,利用C O B I T 模型来控制和管理信息资源,同时引入审计指南,从而保证I T 资源管理的安全性、可靠和有效性。
CO BI T 模型实现了企业战略与I T 战略的互动,并形成持续改进的良性循环机制,为企业提供了具有一定参考价值的解决方案,对推动信息技术的发展和应用具有十分重要的现实意义。
因此,通过将C O B I T 应用到网上银行信息系统的开发和实施环境,可以为强化和评估网上银行的管理和控制提供依据。
IT治理的核心模型COBIT的解读与应用
IT治理的核心模型COBIT的解读与应用COBIT的四个领域关注的是组织信息化建设的整个生命周期,因此对于我国的企业的信息化建设也具有指导意义。
一、COBIT的背景介绍从现有的控制框架来看,以COSO为代表的业务控制框架,主要是从受托责任方面来考虑一般控制的价值,缺少对IT控制的阐述和说明;以CICA的IT控制指南为代表的IT控制框架,侧重于对技术进行控制。
因此。
这两类模型都没有全面照顾到业务和IT。
COBIT的出现就是为了填补这个空白,它基于COSO,同时整合了全球所有主要的信息技术标准。
因此既能关注IT,又能与业务日标紧密联系,其任务就是研究、开发、出版和推动一个权威的、最新的、被国际上的企业,业务经理的日常使用、IT专业人上和鉴证专业认识所广泛接受的IT治理框架。
COBIT由ISACA开发与推广。
1976年,ISACA专门设立ISACF。
从事IT 的管理、控制和安全保证领域的研究。
同年。
ISACF发布COBIT1.0版本。
试图将它作为一种审计工具。
为了响应对IT进行控制的需要,1998年发布的COBIT2.0,在1.0版本的基础上增加了资源文件的数据,改进了高层控制目标和具体控制目标,增加了实施工具包。
1998年,ISACA 与ISACF合并设立了旨在促进IT治理原则推广和应用的ITGI,COBIT的后续的研究和更新就是由ITGI来完成的。
ITGI在2000年发布的COBIT3.0版本中增加了管理指南,还将ISACA 原始的“控制目标”修改为管理目标,同时还扩充和加强了对IT治理的关注。
使得COBIT演变为一个管理工具。
IT的日益广泛应用,增加了对IT治理的需求,ITCI于2005年在广泛调查和研究的基础上,推出了COBIT4.0版本,它站在IT治理的角度,从更高的层面上来指导管理层进行IT控制和信息系统管理,使之成为一个真正意义上的IT治理框架。
2007年5月,ITGI推出的COBIT4.1在4.0的基础上进行了微调,并无本质更新。
应用COBIT构建会计信息系统内部控制体系
指导着这些组织最大限度地利用信息技术带来的好处 ,同时 有效地管理与信 息相关的风险。
( )O I 的三 要 素 一 C BT
是否适合?
C BT O I认为在信息环境中 , 内部控制的三个要素 为业务需 求 , 资源和I@理过程 。三要素关系图如下: I T T 透过上图 , 我们不难看 出C BT O I的基本原 理 : 过I过程 通 T 图1C BT- O I ̄要素关系图
贷款高校应成立 以校 ( 长为组长 、 院) 主管财务 副校 ( ) 为 院 长 副组长 , 财务 、 建 、 察 、 基 监 审计 、 工会 等部 门负责为成员 的
贷款资金 管理领导小组 , 负责组织贷款项 目的论证 、 贷款资金 的使用、 管理与监督。建立“ 责权利” 借用还” 和“ 相统一的债务 管理机制 , 如项 目论证制 度、 民主决策制 度 、 贷款资金 的财务 管理制度 , 监督评价制度 等, 规范举债程序 , 控制债务规模 , 落
付等优质需求 。②信用需求 , 具有经 营效率 和效力 、 财务报告 可靠性 、 遵循法律规章等可信赖性需求 。③安全需求 , 具有隐
秘性 、 真实性 、 可用性等安全需求 。基于这三大需求 , O I又 C BT
管理l资源 , T 实现I ] 以满足业务需求。 TS标 1 . 业务需求 : 这是三个基本要素 中其他两要 素的基础 。为
出中, 但本金一次偿还时会造成高校财务支付困难。如有的高 校, 贷款本金 和利息是一个相对较大的数额 , 曾一度 使高校财
务 陷入 困境 , 响了学校正常的财务开支 , 影 挫伤 了教 职工 对学 校发展的信心。现行高校会计制度规定固定资产不提折 旧 , 固
3 立资产减值机制 、 确 维护资产安全 。未经授权不得直接
基于COBIT的信息系统内部控制风险研究
、
信 息化 风 险 研 究现 状 及C I 简 介 OB T
( ) 一 信息化 风险研究现状 目前 , 理论与实务界分别从加强信 息系统内部控制 、 R 对 企业影响 以及 中小 企业实施E P EP R 风险管 理等多个角度对信息化风险进行了不 同层次的研究 ,由此得 出多
种信息化风险分类方式。 如徐春丽《 纺织企业信息化风险评估 与控 制》 一文中, 从纺织行业 的视角将企业信息化风险划分为管理 领域 风险 、 业务流程风险 、 信息及信 息技 术风险和环境 风险四部分。 王 欣在其硕十论文《 国企业信息化风险剖析——模型与案例研究》 我 中提} 了企业信息化风险“ { | 钻石模型” 将企业信息化风险 的影响 , 因素主要归为以下四类 : 自服务提供商 的风险 、 自组织及变革 来 来 的风险 、 自管理及变革的风险 、 自技术及变革的风险。 来 来 另外 , 还 包括来 自外界环境的风险 , 以及其他一些无法确定的因素 的风险。 20 年 1月 , 0 5 2 同济大学管理学博士 肖荣在其博士学位论文《 企业信 息化风险治理研究》中指 出,这些研究大多是使用传统 的风险识 “ 别方法 、 风险清单法 , 利用专家的知识 、 经验和历史的数据信息 , 找
会计信息化 l C O N I G I O MA I C U T N NF R TON A
基于 C B T的信息系统内部控制风险研究 O I
重庆理工大学 陈 旭 张艳 芳
息 系统风险作为阻碍企业信息化发展的重要 因素 ,受到多
领 域 学 者 的关 注 。 本文 拟 以 国 际上 公认 的C Br 准 为 理 论 支 柱 , O I’ I 标
参 考 文献 :
通过分析技术和可选 的信息资产进行实质性测试 ,证实控制
基于COBIT的信息系统审计框架研究
作者简介: 张文 秀(9 5 17一 ) 女 , 西汾 阳人 , , 山 南京 审 计 学 院 国 际审 计 学 院 审计 系讲 师 , 博 士, 主要研 究方 向为 信息 系统 审计 、 内部 审计 ; 齐兴 利 (93 16 一 )女, , 黑龙 江哈 尔滨人 , 南京 审 ) 男, , 黑龙 江 计 学院法 学院书记 , 教授 , 主要 研 究 方 向 为政 府 审计 、 会 审计 ; 溶 冰 (92 社 黄 17 一
制、 安全 和 I 理等 主题上 , T管 发布 了《 信息及 相关 技 术 的控 制 目标 》( ot l Bete rnom . Cnr jcvso ra oO i f I f
t na drl e eh ooy, 称 C B T … 。 国 i n ea d T c nl o t g 简 O I)
运而生。随着经济管理与信息技术的不断结合与 日 益渗透 , 跨越传统审计理论、 信息系统管理理 论 、 为科 学理 论 和计 算 机科 学 四个科 学 领 域 的 行 信息系统审计 , 作为多学科融合的交叉学科 , 已成
为 国内外 的一个研 究热 点 。
评价指南》 G i eAs s et fTRs , ( u e o h s s n o I i 简 d tt em k
《 邦政府 AT) G O) 联
信息系统控制审计手册》 Fdr o ao y ( ee I r tnSs l f a nm i . t ot l A d au , e C n o uiM na 简称 FS A 。英国、 n rs t l I M) C
张文 秀 齐兴 利 黄溶 冰 , ,
( 南京审计学院 a 国际审计学院 ;. . b 法学院 , 江苏 南京 2 02 ) 10 9
基于COBIT框架的IT治理与风险管理研究
【摘要】企业信息系统能否正常、安全的使用对于企业来说是一个不容忽视的重要问题,本文通过梳理COBIT 框架的发展历程、IT 治理及风险管理的相关概念和理论,将COBIT 框架的内容应用到IT 治理和企业风险管理中,从多个角度分析了COBIT 框架使用中的优点及可行性,并提出了一些应用过程中的技巧和方法,以便于企业更好的将COBIT 框架应用到IT 治理和风险管理中。
【关键词】COBIT 框架;IT 治理;风险管理一、引言随着IT 技术的普及和不断发展,越来越多的企业将信息系统作为企业日常运行的工具,所以信息系统能否安全、可靠、有效的运行,将关系到企业能否正常的运转。
随着信息系统的不断使用,IT 治理和风险管理也就显得尤为重要,这一领域的专家学者也不断研究,制定了关于IT 治理和风险管理的参考框架,在诸多框架中,COBIT 框架是一个比较权威并且被广泛使用的框架,所以本文以COBIT 框架为基础,讨论IT 治理和风险管理的相关问题。
二、相关理论及概念(一)COBIT 框架COBIT 的全称是信息及相关技术控制目标。
它是国际公认的关于IT 治理和IT 控制方面的框架。
COBIT 5.0在2012年发布,它由IT 治理协会的多方专家共同制定,这些专家来自学界、政府和实业的各个领域,他们通过深入研究之后,将各种适当的技术和专业标准结合起来。
目前在COBIT 5.0的基础上,又发布了新版本,称为COBIT 2019。
新版COBIT 具有动态的IT 环境,它发生变化的速度非常快,所以用户很难匹配上它的更新速度[1]。
新版本认识到了这些问题并解决了这些问题:通过使COBIT 成为一个动态的IT 治理框架,可以更快地更新并应用用户的输入内容,从而能保持它与COBIT 社区的相关性。
COBIT 2019在这一领域建立并集成了25年以上的发展,它结合了来自科学领域的新见解,而且还将这些见解落实为实际操作。
在IT 审计社区的基础上,COBIT 已成为一个更广泛和更全面的IT 治理和管理框架,并继续将其自身构建为全球公认的模型。
COBIT的体系架构及解析
COBIT的体系架构及解析OBIT具有完整的体系架构,如图4—5所示。
上面的部分可以供董事会或者执行层参考.中间部分关注管理层,因为管理层重视测控和基准。
下面部分提供了对实施的详细支持,并确保有足够的IT控制和管理。
在使用COBIT时,可以综合使用各个部分进行管理,因为COBIT是面向过程的,所以可以用它来了解IT控制目标并控制与IT相关的商业风险.4.3。
2。
1 《执行概要》《执行概要》是对COBIT概念和原理的总体解释,《执行概要》定义了COBIT中的概念和原理以及其它各部分的大纲。
为了提供组织为达到其目标所需要的信息,IT资源需要由一套整合的流程来管理.其中,COBIT把信息标准定义为7种:有效性、效率性、机密性、完整性、可用性、符合性、可靠性。
IT资源定义为5类:人员、应用、技术、设施、数据。
IT过程分为四个领域:计划和组织、获取和实施、交付和支持、监控。
这个结构覆盖了信息及其支撑技术的各个方面。
4。
3.2。
2 《控制框架》COBIT的《控制框架》为企业过程拥有者提供了一个促进其履行职责的工具,提供信息化管控指导。
它指出这些IT过程影响到哪些信息标准,涉及到哪些IT资源,从而把IT过程、IT资源和信息连接到企业战略和目标上去,使计划和组织、获取和实施、交付和支持、监控IT绩效以最优的方式一体化,使企业充分利用其信息并因此而使利润最大化,抓住每一个机会,赢得竞争优势。
4。
3.2。
3 《管理指南》《管理指南》,是COBIT最近发展的理论,它进一步加强企业管理以更有效地处理业务需求和信息化管控要求.《管理指南》定义了IT过程的成熟度模型,为管理者评估IT过程的状态提供了标准。
同时也给出了一些重要的测度,这包括:关键成功因素、关键目标指标、关键绩效指标.帮助提供典型管理问题的答案:我们该控制IT到什么程度,成本和收益是否相符?有没有一个测量标准用于判断何时肯定会出现失败?怎样才算是好的性能?关键成功因素是什么?哪些是影响我们实现组织目标的风险,其他的组织在做什么?我们应该怎样进行测量与比较?COBIT尤其是《管理指南》搭建了贯通业务风险、控制需要和技术问题这三者之间的桥梁。
cobit-2019 治理和管理目标中文
cobit-2019 治理和管理目标中文COBIT-2019(Control Objectives for Information and Related Technologies)是一种信息技术治理和管理框架,旨在帮助组织有效地管理和控制其信息和相关技术。
COBIT-2019框架提供了一系列治理和管理目标,帮助组织实现信息技术的价值创造,并确保其与业务目标的一致性。
作为一种综合性框架,COBIT-2019涵盖了多个方面的治理和管理目标。
首先,它强调了对组织的治理和管理责任的重要性。
这意味着组织需要确立适当的治理结构和流程,以使其能够有效地决策和管理信息技术。
COBIT-2019还强调了对组织资源的合理分配和利用,以最大程度地提高信息技术的效益。
COBIT-2019强调了信息技术的风险管理。
组织需要识别和评估与信息技术相关的风险,并采取适当的措施来减轻这些风险。
这包括确保信息技术的安全性和可靠性,以及及时应对潜在的安全威胁。
COBIT-2019还关注信息技术的价值实现。
组织需要确保其信息技术的投资能够产生预期的业务价值,并与组织的战略目标保持一致。
为了实现这一目标,COBIT-2019提供了一系列的绩效指标和度量方法,帮助组织评估和监控信息技术的绩效。
COBIT-2019强调了信息技术的合规性和法规遵守。
组织需要确保其信息技术的运营和管理符合适用的法律法规和标准要求。
COBIT-2019提供了一系列的控制目标和实施指南,帮助组织确保其信息技术的合规性。
COBIT-2019的治理和管理目标旨在帮助组织实现信息技术的最佳管理和控制。
通过遵循COBIT-2019框架,组织可以确保其信息技术与业务目标保持一致,最大程度地提高信息技术的效益,并确保其合规性和法规遵守。
这些目标的实现将使组织能够更好地应对日益复杂和变化的信息技术环境,确保其持续增长和竞争力。
COBIT框架下管理信息系统内控的研究评述及展望
主 要 内控 缺 陷 , 内 控设 计效 力测 试结 果 。至 今 美 国 各 界 仍 在 争 论 组 织 规 模 3个 变 量 与 公 司 管 理 信 息 系 统 水 平 提 升 的 关 系 ,发 现 不休 , C O S O报告 、 S O X 4 4 条 款 对 世 界 各 国 的 企 业 内 控 规 范 制 完 全 非 正 式 地 正 相 关 。 0 定 产 生 了极 为 深 远 的影 响 。
在当前国内企业管理信 息系统全面升级 的背景下 ,国内尚
国 内管 理 信 息 系统 内控 的 现 状 与 C OBI T 的 提 出
管 理 信 息 系 统 的 发 展 模 式 是 :办 公 自动化 模 式— — 会 计 电 无 针 对 管 理 信 息 系统 内 控 操 作 层 i 酊的规 范 出 台 。C O B I T的 应 用
基于 C O S O. 美 国 I T G I信 息 科 技 管 理 研 究 所
控 制 目 标
2 . 2 2 0 0 O 一2 0 0 8年 C O B I T引 起 重 视 . 介绍 C O B I T及 与 其 他 标 准
( T h e I T 进 行 比较
G o v e r n a n c e I n s t i t u t e ) 从 1 9 9 6年 开 始发 布 C O B T 信 息 及 相 关 技 术 I
个 内控 框 架 来 指 导 , 本 文 对 国 际 国 内的 相 关研 究进 行 了评 述 , 提 出 了今后 国 内相 关研 究 的展 望和 困难 。 以及 国 内企 业在 应
用 CoBI T 框 架 中应 注 意 的 问题
[ 关键词 ] C OB I T; 国 内企 业 ; 管 理 信 息 系统 ; 内控
基于COBIT框架的电信企业信息技术内部控制体系研究
、
、
、
做到更有效地利用信息资源 更有效地 管理 与信息相关 的
,
有效性 缺陷整改 长效推进等 系列活动来建立 与不 断完
一
、
、
风险 从而提升内部控制水平
。
。
善 信息技术内控体系建立 的实施路径如图 2 所示
。
。
企 业 的业 务 目 标 和 治 理 目标 ▲
. ● ●
图 1
C O B IT
控 制 框 架 的 详 细 目标
一
。
,
6 月 在北 京联 合发 布 了 《 企业 内部控制基 本规 范》要 求 国
,
行情况对体系架构进行持续优化 对
。
Байду номын сангаас
一
个庞大的企业 真正
内上 市公司与大型 央企 参考构建 以 内部环 境为重要基础
、 、
、
做到有效管控
2
。
以风 险评估为重要环 节 以 控制活动为重要手段 以信息与
沟通 为重要条件 以 内部监督为重要 保证 相互 联 系 相互
、
一
、
、
、
致性 和可 靠性 为根 本
、 ,
,
以 IrI' 资源 ( 应用程序 信息 基 础架构 人 员 ) 为基础 提 出
、 、
3
信 息 技 术 内控 体 系 建 立 方 法
内部控制体系的建立 是 个长期过程
一
了 计划与组织
“ ”
”
、
“
获得与实施
。
99
、
服务和支持
”
、
“
监控和评
,
根据每年企业
价 4 大控制 目标 如图 l 所示
cobit治理框架
cobit治理框架COBIT治理框架COBIT(Control Objectives for Information and Related Technology)是一种广泛应用于企业的信息技术(IT)治理框架。
该框架提供了一套指南和最佳实践,帮助企业管理和控制其IT资源,以实现业务目标并满足法规和合规要求。
COBIT框架的目标是建立一个可靠、高效、透明和可持续的IT环境,以支持企业的战略目标。
它强调了对IT资源进行全面管理和控制的重要性,以确保其与企业目标的一致性。
COBIT框架由五个基本原则组成,这些原则帮助企业实现其IT治理目标:1. 为业务创造价值:COBIT框架强调了IT对业务成功的关键作用。
它要求企业将IT视为业务创新和增值的重要驱动力,并确保IT战略与业务战略相一致。
2. 针对风险进行管理:COBIT框架强调了风险管理在IT治理中的重要性。
它要求企业识别、评估和管理IT相关的风险,并制定相应的控制措施,以确保IT活动的安全性和可靠性。
3. 资源优化:COBIT框架鼓励企业在IT资源的使用和配置方面实现最佳性能。
它要求企业合理规划、分配和监控IT资源,以确保其有效利用和最大化价值。
4. 保持整体一致性:COBIT框架要求企业在整个组织中实现一致的IT治理实践。
它强调了协调各个部门和业务单位之间的合作,以确保统一的决策和行动。
5. 反应变化:COBIT框架要求企业能够适应不断变化的业务和技术环境。
它强调了持续改进和创新的重要性,以保持IT治理的有效性和适应性。
COBIT框架包括五个主要的治理与管理过程域,它们分别是:1. 评估与管理:该过程域包括评估企业的当前状态,识别潜在风险和机会,并制定相应的管理措施。
它涵盖了策略制定、风险管理、资源管理和绩效评估等方面。
2. 规划与组织:该过程域涉及制定IT战略、规划IT资源、组织IT 部门和优化IT流程等活动。
它帮助企业确保IT与业务目标的一致性,并提供必要的人员和组织结构支持。
cobit5 治理和管理目标中文
目录1. 简介2. Cobit5的概念3. Cobit5的治理目标4. Cobit5的管理目标5. 结语1. 简介Cobit5是一种用于企业信息技术管理和治理的框架,它可以帮助组织实现其商业目标,并确保信息技术的有效使用和管理。
Cobit5框架包括一系列的治理和管理目标,以帮助组织建立和维护高效的信息技术体系。
本文将深入探讨Cobit5框架中的治理和管理目标,帮助读者更好地理解Cobit5的核心概念。
2. Cobit5的概念Cobit5是由国际信息系统审计和控制协会(ISACA)发布的一种框架,旨在帮助企业管理其信息技术资源并实现商业目标。
Cobit5框架主要包括5个原则,7个治理和管理环境因素,和7个支持流程。
其中,治理和管理目标是Cobit5框架的核心部分,它们为组织提供了规划、构建、运行和监控IT治理和管理的指导。
Cobit5的治理目标主要包括以下几个方面:1)治理框架建立和维护:确保组织对信息技术的治理框架有清晰的理解,并建立有效的维护机制。
2)治理组织结构:确保组织内部建立了适当的信息技术治理结构,并明确了治理职责和权力。
3)治理指引:确保组织建立了适应其业务需求和风险的信息技术治理指引,并确保这些指引得到有效执行。
4)信息技术决策制定:确保组织建立适当的信息技术决策制定过程,并通过决策评审过程来管理信息技术投资。
5)治理绩效评估:确保组织建立了有效的信息技术治理绩效评估机制,并能够及时调整其治理措施。
4. Cobit5的管理目标Cobit5的管理目标主要包括以下几个方面:1)满足利益相关者需求:确保组织的信息技术管理能够满足利益相关者的需求,并促进业务目标的实现。
2)管理IT投资:确保组织能够有效管理其IT资产,并在投资IT方面做出明智的决策。
3)管理IT资源:确保组织的IT资源得到适当的管理和使用,以支持业务目标的实现。
4)管理应用程序和技术:确保组织有效地管理其应用程序和技术,以满足业务需求并促进业务创新。
信息系统审计指南(COBIT 中文版)
COBIT信息技术审计指南(34个控制目标)计划和组织(选择3/6/11)1 定义战略性的信息技术规划(PO1)PO域控制的IT过程:定义战略性的IT规划满足的业务需求:既要谋求信息技术机遇和IT业务需求的最佳平衡,又要确保其进一步地完成实现路线:在定期从事的战略规划编制过程中,要逐渐形成长期的计划,长期的计划应定期地转化成设置清晰并具体到短期目的的操作计划需要考虑的事项:企业的业务发展战略IT如何支持业务目标的明确定义技术解决方案和当前基础设施的详细清单追踪技术市场适时的可行性研究和现实性检查已有系统的评估在风险、进入市场的时机、质量方面,企业所处的位置需要高级管理层出钱、支持和必不可少的检查信息规范 IT资源P 效果 * 人员S 效率*应用保密 * 技术完整*设施可用 * 数据遵从可靠1.1 作为机构长期和短期计划一部分的IT高级管理层对开发和实施履行机构任务和目标的长期和短期的计划负责。
在这一方面,高级管理层应确保IT有关事项以及机遇被适当地评估,并将结果反映到机构的长期和短期计划之中.IT的长期、短期计划应被开发,确保IT的运用同机构的使命与业务发展战略相结合.1.2 IT 长期计划IT管理层和业务过程的所有者要对有规律地开发支持机构总体使命和目的实现的IT长期计划负责。
计划编制的方法应包括寻求来自受IT战略计划影响的相关内外部利害关系人引入的机制。
相应地,管理层应执行一个长期计划的编制过程,采用一种结构化的方法,并建立一个标准的计划结构。
1.3 IT 长期计划编制——方法与结构对于长期计划的编制过程来讲,IT管理层和业务过程的所有者应建立并采用一种结构化的方法.这样可以制定出高质量的计划,含盖什么、谁、怎样、什么时间和为什么等基本的问题。
IT计划的编制过程应考虑风险评估的结果,包括业务、环境、技术和人力资源的风险。
计划编制期间,需要考虑和充分投入的方面包括:机构的模式及其变化、地理的分布、技术的发展、成本、法律法规的要求、第三方或市场的要求、规划远景、业务过程再造、员工的安置、自行开发或者外包、数据、应用系统和技术体系结构。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
基于COBIT的信息系统管理、控制与审计的模型构建研究金 文 张金城(南京审计学院 210029)【摘要】 随着信息时代的到来与发展,如何在信息系统的建设、应用与持续发展过程中,进行管理、控制与审计己成为当今一个重要的研究课题。
本文在COB IT研究的基础上,提出从信息系统生命周期出发,通过对生命周期各个阶段的任务与活动的有序排列,构建符合COB IT定义的信息技术过程和管理、控制与评价模型,并在此基础上,构建信息系统管理、控制与审计的模型。
【关键词】 信息系统 管理 控制 审计 一、引言随着信息时代的到来与发展,以计算机、网络、通讯等信息技术为基础的信息系统己成为国家和社会生活中不可缺少的基础设施。
一方面,随着新的信息技术不断涌现,人们为了追求更高的信息资源利用率,提高组织战略竞争力,正在不断地实施、更新信息系统,信息系统的发展己成为组织发展战略的一部分。
另一方面,人们对信息系统产生了依赖性,对信息系统的安全性、可靠性、有效性、持续性及性能要求也越来越高。
由于信息技术的复杂性与多样性,信息系统建设与应用受到各种因素的制约,如技术、管理与人力资源,因此,如何在信息系统的建设、应用与持续发展过程中,进行管理、控制与审计就成为当今一个重要的研究课题。
改革开放以来,我国将信息化建设作为国民经济发展战略的重要组成部分,使我国的信息化水平迅速提高。
但同时,也暴露出许多问题,主要有:信息化战略与组织战略脱节,信息系统建设目标错位;重技术,轻管理,风险控制与安全管理缺位;信息系统建设管理缺乏科学性,项目建设不能按计划的时间、质量和费用完成,建设结果不能达到预期的目标和服务水平;信息系统运行与维护过程不规范,系统生命周期较短。
上述问题是致使信息系统建设与应用成功率低、绩效差、安全得不到保证、对信息系统的审计与鉴证困难的重要原因,也是我国信息化水平与欧美发达国家的主要差距所在。
信息系统不仅仅是计算机、通讯、网络及相关软件等技术部件的集成,它是数据、应用系统、技术、设施和人员的总和。
它涉及到系统工程、信息技术和管理科学等多个学科,信息技术的日新月异、经济全球化和社会的复杂性使信息系统的建设与应用遇到很大挑战,通过对信息系统管理、控制与审计,使信息系统在其整个生命周期中与权益者对它的需求和前提条件相一致,并以合法的、高效的方式提供服务,以积极的方式影响组织机构的目标,是应对这种挑战的有效途径。
欧美发达国家对“信息系统管理、控制与审计”的研究与实践起步较早,也极为重视,从20世纪80年代中到现在,走过了“技术管理时期”、“多样化管理时期”和“专业管理时期”。
所谓“专业管理”就是除技术管理外,信息系统的功能管理和应用管理要以按照符合要求的标准或规范运行,这些标准与规范包括ISO9000、CMM、ISO/IEC17799、ITIL和COB IT等。
这些标准与规范来自于系统的理论研究和最佳实践归纳,是信息系统的质量、效用与安全达到一定水平的保证,也是评价信息系统的安全、风险和效用的参照标准,同时也是信息系统建设与维护过程中管理、控制的指标参数。
实践证明,系统应用这些标准与规范能极大地提高信息系统建设与应57用水平,信息系统的质量、效用、安全与可靠性获得很大提高,同时也为信息系统的审计与鉴证提供了基础。
二、COBIT 简介COB IT (Control Objectives For Information and Related Technology ),译为“信息及相关技术的控制目标”,由美国信息系统审计与控制协会(ISACA )出版,最早在1996年发布,现己发布了第三版,目前已成为国际上公认的最先进、最权威的信息技术管理、控制和审计的标准。
COB IT 将IT 过程,IT 资源及信息与组织的策略与目标联系起来,形成一个三维的体系结构。
其中,IT 准则维集中反映了企业的战略目标,主要从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性;IT 资源维主要包括人、应用系统、技术、设施及数据在内的与信息相关的资源;IT 过程维则是在IT 准则的指导下,对信息及相关资源进行规划与处理,从信息技术的规划与组织、采集与实施、交付与支持、监控四个方面确定了34个信息技术处理过程。
图1 COBIT 体系结构COB IT 的体系框架给出了“管理指南”和“控制指南”,为每个过程定义了具体的管理关键因素和指标(KPI 、CSF 、KGI )、控制目标以及审计方针,并采用CMM 成熟度模型来表示“过程的成熟度”,引入平衡经营记分卡以实现可跟踪的业绩衡量,评价企业目标的实现情况以及IT 绩效,使之可以通过对信息系统的过程、目标的控制与改善,进行持续的IT 管理,不断提升信息系统的成熟度。
COB IT 覆盖整个信息系统的全部生命周期,涵盖了战略、战术与操作的所有层次,处于各个阶段的信息系统都可以参照应用,它所带来的益处是十分明显的,它使IT 战略与组织战略紧密联系,在事业目标、信息系统、业务绩效目标之间维持平衡。
它为IT 过程提供了管理的要素、标准和控制目标,使复杂的管理控制结构化、模式化,为信息系统的安全、可靠、效用与效率达到预定目标提供了保障,并为信息系统的审计提供了指导和基础,使审计工作切实可行,审计结论更有说服力和影响力。
模型构建的方法与步骤COB IT 基于已有的许多架构,如SEI 的能力成熟度模型(CMM )、ISO9000等标准。
COB IT 在总结这些标准的基础上重点关注做什么,而不是如何做,它不包括具体的实施指南和实施步骤,它是一个控制架构(Control Framework )而非具体如何做的过程架构(Process Framework )。
如何将COB IT 应用于“信息系统管理、控制与审计”过程中去是众多信息系统的管理者与审计师更关注的问题。
由于组织结构与目标的多样性,信息技术与资源的复杂性,信息系统的管理、控制与审计的过程也是复杂的,以至于人脑难以掌握其所有的细节,因此,构建信息系统管理、控制与审计的模型是必要的,模型可以协调组织与相关人员对问题的理解,并指导具体方案的产生。
但是,同样由于其多样性和复杂性,没有一个独立的模型能够完全描述不同信息系统应用COB IT 的过程。
尽管如此,如果运用系统工程的结构化方法,针对具体的组织与信息系统的特点,在信息系统生命周期模型的基础上,依据生命周期不同阶段的任务和活动,构建符合COB IT 的过程管理模型,并运用模型指导信息系统的管理、控制与审计过程,则这个过程将会减少对人的依赖,并使之结构化、程序化,便于运用技术与工具进行管理,对有效地实施基于COB IT 的信息系统管理、控制与审计具有十分积极的意义。
运用系统工程结构化的方法,构建基于COB IT 的信息系统管理、控制与审计的过程模型,其步骤是:首先,在信息系统的生命周期模型的基础上,依据生存周期不同阶段的任务和活动,对照COB IT 的34个过程定义,构建具体的信息技术过程集。
然后,运用科学的管理体系和方法,构建以信息技术过程为基础的管理、控制和评价模型,最后,对上述步骤进行综合,形成信息系统的管理、控制与审计模型。
67 三、构建信息技术过程集信息系统的生命周期开始于信息政策形成的时刻,以及以使用为目的开发信息系统的时刻,结束于信息系统消失的时刻。
在信息系统的生命周期过程中,可划分为四个阶段:规划阶段、开发阶段、接收和实现阶段、运行和维护阶段。
它们之间的关系如图所示:图2 信息系统生命周期的各阶段及其关系 规划阶段的任务是:确定发展战略、制定总体方案、安排项目计划以及制定资源分配计划,明确前提条件和约束条件。
在这一阶段中所制定的政策与规划将指导系统的开发,而以后各阶段所需要的变更/修改,也要反馈到规划工作。
开发阶段的任务是:设计、获取组件和构建信息系统或项目。
重点强调有关信息技术的部分,如技术基础设施、数据基础设施和应用软件包。
只有这一阶段工作完成后才能进入接收和实现阶段。
接收和实现阶段的工作任务是:接收开发阶段设计和构建的信息系统或项目,检查它是否遵守所有的技术规范与标准,进行验收测试,系统初始化,新旧系统转换,制定对信息系统硬件、软件、数据、性能、安全、操作的管理规则,最后交付使用。
运行与维护阶段的任务是:保障信息系统的正常使用;对信息系统充分利用和持续发展的研究;完成根据前两个任务发生的变更/修改。
依据上述各阶段的任务,我们可以采用WBS (工作结构分解)工具描述具体信息系统建设的具体任务活动,例如,图3表示某企业管理信息系统的规划工作分解。
图3 某企业管理信息系统的规划工作分解 图3中的需求分析、可行性研究、制定规划和总体方案部分是规划的执行活动,规划管理部分是对前述执行部分的管理。
对照COB IT 的过程定义和图3所描述的规划活动,通过对活动的有序排列,可以获得一系列符合COB IT 定义的过程,例如,图4表示的过程是由上述规划阶段的若干活动组成,它符合COB IT 中PO1过程:定义IT 战略计划。
77图4 PO1:定义IT战略计划过程 图4所示是获取IT战略计划的执行过程,要使执行过程有效进展,达到过程目的,必须对过程实施有效的管理,图3所列的“规划管理”活动应贯穿整个过程,在这个过程中,管理、控制的要素和标准的科学设定是极为关键的,COB IT给出了要素与标准的设定指南,具体的设定要依据信息系统的发展阶段与目标水平。
在信息系统的建设与应用过程中,不是COB IT 的全部34个过程都必须应用,而是根据具体信息系统的建设与应用过程中的活动,构建一系列符合COB IT定义的过程,也就是说,应根据实际情况剪裁COB IT的过程,构建信息技术过程集。
四、构建信息技术过程的管理、控制和评价模型 通过构建信息系统建设与应用的信息技术过程集,我们可以把对系统的管理细化到各个过程,针对过程的管理是进行信息系统管理、控制和审计的基础,是否科学与完善,将对系统的管理、控制与审计的有效性产生重大影响,因此,必须采用科学的、为实践所证明的管理体系与方法。
项目管理作为一个面向过程的科学管理体系,近几十年来得到飞速发展,各行各业的广泛应用,使其知识体系和方法日趋完善。
目前,美国项目管理协会开发的项目管理知识体系PMBO K已作为项目管理的事实标准,在欧美国家的信息化项目广泛使用。
针对所构建的基于COB IT的信息技术过程,以PMBO K为指导,构建过程的管理模型,可以化繁为简,使复杂的信息系统管理、控制和审计结构化,使人们对信息系统的建设与管理有正确的管理思想为指导,并促进建立和健全管理机制,便于应用技术与工具,使管理过程规范化。