Share on:


COBIT 5 — 如何激发热情

作者:Andrey Drozdov,CISA、CISM、CGEIT、COBIT 5 认证培训师

COBIT Focus | 2018 年 8 月 6 日 English

即使是一流的框架也要像一部优秀的小说那样令人振奋,如果面向的是从业者,则更要能够激发他们的阅读和使用热情。作为一名 COBIT 培训师,我在下面提供了一些建议,探讨如何将 COBIT 运用到 IT 治理相关的项目和专题研讨会中。


使用本地语言推广 COBIT 5 术语和概念

使用本地语言推广 COBIT 5 术语和概念是推动 IT 和业务专业人士广泛接受 COBIT 的一个关键成功因素。ISACA® 官方译文对于通过本地语言做出统一的解释和理解至关重要。


与所有学科和领域的利益相关方开展研讨会

在开始 COBIT 相关项目时,不妨与所有牵涉其中的利益相关方(尤其是来自各个业务线的代表,以及很可能不熟悉英语和/或 COBIT 的人员)召开一次初步研讨会。


利用痛点来激发兴趣

讨论痛点和触发事件是激发兴趣的一个良好开端。研讨会参与者提出的真实事例非常重要,有助于将业务目标与企业 IT 目标相对应,并进行 COBIT 目标级联。动员业务代表参与此项演练可确保业务目标与 IT 目标保持一致,并促进对彼此需求的理解。


了解内部和外部合规要求

当地法规和适用的全球法规(例如针对受特定法规监管的组织和金融行业组织的内部审计职能要求、全美反舞弊性财务报告委员会发起组织 [COSO] 的规定、巴塞尔银行监管委员会 [BCBS] 的规定、美国萨班斯-奥克斯利法案 [SOX] 等)可能鼓励组织采纳 COBIT 5 并将其作为整体控制环境中的 IT 相关部分来实施。在这些情况下,内部审计师、风险和合规官,甚至首席财务官 (CFO) 和首席执行官 (CEO) 都可提供支持。


鼓励 ISACA 证书持有人参与

让 IT 审计师,尤其是 ISACA 证书持有人参与 COBIT 5 实施项目或研讨会,可显著提高利益相关方之间的理解和沟通水平,从而推动 GEIT 的整体实施。


强调 COBIT 5 的适应性和评估工具

COBIT 5 与一般标准和最佳实践的区别在于,COBIT 5 针对用来支持实现目标和管理控制的流程和活动提供了具体的推进指导。《COBIT 5:启用流程》中 的指导内容提供了详细目标;关键绩效指标 (KPI) 和衡量标准;具体活动;以及 RACI(执行人、责任人、被咨询人以及被通知人)表。组织可利用辅助性指南来根据自身环境调整 COBIT 5。COBIT 5 评估计划和《COBIT 流程评估模型 (PAM):使用 COBIT 5》是评估 COBIT 5 中所述的企业 IT 及相关服务治理和管理流程的基础。借助流程能力评估,还可提供立足当前和未来状况解决缺漏的方法。


强调有效的企业 IT 治理需要群策群力

流程和信息是有效的企业 IT 治理 (GEIT) 的关键动力。但其他动力(如组织结构;文化、道德和行为;服务、基础设施和应用程序;以及人员、技能和能力)可能同样重要,具体取决于业务类型及其优先级。在这些情况下,组织可通过掌握控制有效性,同时评估 IT 治理的流程能力,全面了解当前状态和所需的改进。此外,内部审计职能部门可采用传统的控制评估方法并提出改进建议,对通过 COBIT PAM 推导的 PAM 能力级别进行补充。


COBIT 5 框架描述了七类动力:

  1. 原则、政策和框架是将理想行为转化为日常管理的实用指导意见的工具。
  2. 流程描述了一组为实现某种目标而安排有序的实践和活动,并生成了一组支持实现整体 IT 相关目标的输出内容。
  3. 组织结构是企业的主要决策实体。
  4. 个人和企业的文化、道德和行为作为治理和管理活动中的成功因素往往被低估。
  5. 在任何组织中,信息无处不在,包括企业生成和使用的全部信息。为保持组织运行和治理有方,信息必不可少,但在运营层面,信息往往是企业本身的主要产品。
  6. 服务、基础设施和应用程序包括为企业提供 IT 处理和服务的基础设施、技术和应用程序。
  7. 人员、技能和能力与人员有关,并且对于成功完成所有活动、做出正确决策以及采取纠正措施而言是必不可少的。

其中一些动力也属于需要管理和治理的企业资源,包括:

  • 需要作为资源进行管理的信息。某些信息项目(如管理报告和商业情报信息)是企业治理和管理的重要动力。
  • 服务、基础设施和应用程序
  • 人员、技能和能力

说明需要如何保持 GEIT 的敏捷性以支持创新

纵观最新的数字化转型趋势(有时甚至近乎炒作/潮流),如果其相关活动与经过实践检验的指导(如 COBIT 5 中的“APO04 管理创新”流程提供的指导)保持一致,其实现过程似乎更具结构性和逻辑性。COBIT 5、ISACA 信息系统审计和鉴证标准以及 ISACA 广泛的参考指南库提供了相关的技巧和建议来评估 IT 的目标实现情况。


图 1—COBIT 5 企业动力


资料来源:ISACA, COBIT 5, 美国,2012 年。经许可转印。


COBIT 5 不仅仅是一本出版物,而是一系列涵盖了广泛最佳实践的出版物和相关工具。


COBIT 5 产品系列包括:

虽然 COBIT 5 提供了大量关于治理需求的指导,但要成功实施 GEIT 框架,还需要结合最佳实践指南(如 COBIT 5)、相关的行业标准和法规,以及经验和常识。


Andrey Drozdov,CISA、CISM、CGEIT、COBIT 5 认证培训师

Andrey Drozdov 是 KPMG Russia 和 CIS 的高级经理。他是 ISACA 莫斯科(俄罗斯)分会的第一任副总裁。他是 COBIT 5 从业人员和培训师,也是 COBIT 5 翻译团队的成员,负责翻译和校审 COBIT 5 俄语译本。