IT治理：中國(guó)信息化的必由之道（五）

背景

IT治理的發(fā)展歷程

國(guó)際組織和各國(guó)普遍認(rèn)為公司治理機(jī)制對(duì)世界金融市場(chǎng)的穩(wěn)定及經(jīng)濟(jì)發(fā)展發(fā)揮了至關(guān)重要的作用，這直接促進(jìn)了IT治理機(jī)制的形成與發(fā)展。
在1999年，英國(guó)BIS發(fā)布了Internal Control: Guidance for Directors on the Combined Code( Turnbull Report, 1999)報(bào)告。該報(bào)告認(rèn)為：企業(yè)風(fēng)險(xiǎn)來(lái)自于許多活動(dòng)，不只是財(cái)務(wù)風(fēng)險(xiǎn)，因?yàn)槭聦?shí)說(shuō)明，在金融界所有過(guò)去的風(fēng)險(xiǎn)問(wèn)題都是由內(nèi)部控制疏忽、信息技術(shù)失敗引起的，而且所有企業(yè)最終依靠對(duì)信息技術(shù)基礎(chǔ)設(shè)施的依賴和新技術(shù)風(fēng)險(xiǎn)的脆弱性，并呼吁高層領(lǐng)導(dǎo)樹(shù)立風(fēng)險(xiǎn)意識(shí)。從此，公司治理和風(fēng)險(xiǎn)管理成為企業(yè)所有者與管理者日益重要的問(wèn)題。該報(bào)告引入了內(nèi)部控制的要求，對(duì)許多組織而言，信息與其支持技術(shù)代表該組織最有價(jià)值的資產(chǎn)，而且，競(jìng)爭(zhēng)和不斷變化的商業(yè)環(huán)境也要求企業(yè)能夠充分利用信息技術(shù)實(shí)現(xiàn)更快的交付和更低的成本。因此，有效的公司治理和風(fēng)險(xiǎn)管理必然需要有效的IT治理和風(fēng)險(xiǎn)管理。與此同時(shí)，BIS還簡(jiǎn)單陳述了關(guān)鍵的信息系統(tǒng)，如何確保治理應(yīng)該有效、透明，可以解釋，這也意味管理信息技術(shù)相關(guān)風(fēng)險(xiǎn)，實(shí)現(xiàn)信息技術(shù)價(jià)值的交付成為公司治理中重要的組成部分。

1999年下半年，ISACA成立了IT治理研究院，專門(mén)研究IT治理的概念，并提供了信息及其相關(guān)技術(shù)的管理體系模型和最佳實(shí)務(wù)，幫助企業(yè)領(lǐng)導(dǎo)層認(rèn)識(shí)有效實(shí)施IT治理的必要性與益處，從而保證長(zhǎng)期的可持續(xù)的成功，并且增強(qiáng)利益相關(guān)者的價(jià)值。目前，該體系已在世界100多個(gè)國(guó)家的重要組織與企業(yè)中成功運(yùn)用，指導(dǎo)這些組織有效利用信息資源，有效地管理信息相關(guān)的風(fēng)險(xiǎn)。因此，研究與探討IT治理，對(duì)于我國(guó)信息化的探索和實(shí)踐也有著重要的借鑒意義。

鏈接

國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)

國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)ISACA（Information System Audit and Control Association）成立于1969年，最初稱為EDP審計(jì)師聯(lián)合會(huì)，總部設(shè)在美國(guó)的芝加哥，是一個(gè)非盈利組織。目前在世界上100多個(gè)國(guó)家設(shè)有160多個(gè)分會(huì)，現(xiàn)有會(huì)員兩萬(wàn)多人，是全球公認(rèn)的在IT的管理、控制和保證領(lǐng)域的權(quán)威，ISACA的任務(wù)是：通過(guò)發(fā)展促進(jìn)對(duì)信息、系統(tǒng)、技術(shù)的有效管理與控制的研究、實(shí)施及標(biāo)準(zhǔn)、權(quán)限的制定來(lái)支持企業(yè)實(shí)現(xiàn)其目標(biāo)。這說(shuō)明該協(xié)會(huì)的存在就是為了幫助IT的管理控制及保證利益相關(guān)者妥善處理IT的管理、IT的風(fēng)險(xiǎn)、IT的運(yùn)作過(guò)程及協(xié)作控制、協(xié)作管理、協(xié)作風(fēng)險(xiǎn)和協(xié)作程序的相互作用。

ISACA通過(guò)提供各種有價(jià)值的服務(wù)（如：研究、標(biāo)準(zhǔn)、信息、教育、認(rèn)證、專業(yè)的遠(yuǎn)景）實(shí)現(xiàn)以上作用。協(xié)會(huì)幫助從事信息系統(tǒng)審計(jì)、控制、安全工作的人員，使之不僅注意IT、IT的風(fēng)險(xiǎn)與安全主題而且更要關(guān)注IT與商業(yè)、商業(yè)運(yùn)作及商業(yè)風(fēng)險(xiǎn)的關(guān)系。起主要工作內(nèi)容如下：
?
設(shè)定標(biāo)準(zhǔn)—— 一般作為世界范圍內(nèi)的IT審計(jì)、控制的指導(dǎo)方針。
?
一個(gè)令人尊敬的認(rèn)證項(xiàng)目CISA——在IS審計(jì)、控制、安全領(lǐng)域內(nèi)國(guó)際上承認(rèn)的認(rèn)證。
?
一個(gè)關(guān)于關(guān)鍵的管理和技術(shù)主題的專業(yè)的發(fā)展項(xiàng)目。
?
提供備受贊譽(yù)的技術(shù)出版物，包含最新的研究、案例學(xué)習(xí)、信息知識(shí)入門(mén)等。
?
指導(dǎo)會(huì)員專業(yè)的活動(dòng)和操行的職業(yè)道德準(zhǔn)則。

通過(guò)ISACA會(huì)員共同的努力，該組織超越了地理、文化和職業(yè)界限，他們代表各種不同的企業(yè)團(tuán)體，包括金融銀行協(xié)會(huì)、會(huì)計(jì)審核公司、政府公共部門(mén)、公共事業(yè)及制造業(yè)等，通過(guò)選舉或指定一個(gè)由全球的志愿者組成的團(tuán)體管理這個(gè)協(xié)會(huì)，把他們獨(dú)特的專業(yè)的見(jiàn)解帶到協(xié)會(huì)中并用來(lái)作出組織的決定，這就是國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)的國(guó)際委員會(huì)。

為了體現(xiàn)對(duì)中國(guó)事務(wù)的重視，ISACA 理事會(huì)成立了一個(gè)工作組，專門(mén)負(fù)責(zé)ISACA和IT 審計(jì)與控制職業(yè)在中國(guó)的發(fā)展。該工作組由來(lái)自中國(guó)和世界各地的致力于ISACA 在中國(guó)發(fā)展的代表組成。ISACA 理事會(huì)的副會(huì)長(zhǎng)Dean Kingsley擔(dān)任中國(guó)工作組的主席。

案例

IT治理的成功案例

IT治理及其模型COBIT在全世界許多國(guó)家的政府及公共機(jī)構(gòu)、軍方、企業(yè)、大學(xué)、銀行、保險(xiǎn)業(yè)等都已有大量成功的案例。由于某些客觀原因，迄今為止，還缺乏在中國(guó)相關(guān)組織實(shí)行的案例，在此我們僅選美國(guó)參議院和科爾頓工業(yè)大學(xué)的IT治理作為案例。

案例一：美國(guó)參議院

摘要

美國(guó)參議院的總檢察官（Office of Inspector General）在尋求改進(jìn)IT運(yùn)作的方法?？倷z察官做出的大量初審報(bào)告都指出了參議院內(nèi)部各種IT運(yùn)作的缺陷，例如缺乏指導(dǎo)方針和過(guò)程規(guī)定（如系統(tǒng)開(kāi)發(fā)生命周期），不理想的系統(tǒng)設(shè)計(jì)和開(kāi)發(fā)，缺乏規(guī)劃及績(jī)效度量標(biāo)準(zhǔn)，大型機(jī)的混亂管理，缺乏足夠的信息安全措施。為控制這種情況，并建立清晰的責(zé)任制度，需要采納一種IT監(jiān)管框架。COBIT恰是所需要的。

總檢察官首先采納COBIT作為其方針及流程手冊(cè)的一部分，并且命令在所有IT審計(jì)中都采用COBIT作為其控制及審計(jì)原則。COBIT也應(yīng)用于IT審計(jì)計(jì)劃，IT審計(jì)技巧評(píng)估及培訓(xùn)。另外，COBIT還是總檢察官報(bào)告的整體內(nèi)容。結(jié)果是，提出了200多條建議，許多建議認(rèn)為在操作中需要建立治理原則，政策，步驟的管理。于是，總檢察官辦公室用COBIT作為框架，建立所需的IT治理規(guī)劃。

背景

1993到1994年間，參議院開(kāi)始著手專業(yè)化運(yùn)作的工作，通過(guò)添加新的崗位，首席行政官（首席行政官）及總檢察官，以管理并監(jiān)督參議院的行政工作。

參議院還任命總檢察官完成參議院的首次審計(jì)，一個(gè)獨(dú)立的財(cái)政審計(jì)及參議院20項(xiàng)運(yùn)作的效能審計(jì)。這次審計(jì)指出了低效率的地方，潛在的節(jié)約開(kāi)支的方法，并指出關(guān)于管理，信息技術(shù)，財(cái)政管理方面建立高級(jí)責(zé)任制度的迫切性。這次審計(jì)提出了200多條審計(jì)建議，其中許多是關(guān)于建立監(jiān)管方針，政策及流程所需要的管理方法的。

就IT而言，COBIT作為IT治理框架使用，在COBIT的基礎(chǔ)上，來(lái)建立適用于參議院的方針，原則和流程。總檢察官已把COBIT納入到其運(yùn)作中去，并相信它能夠幫助首席行政官的工作?？倷z察官與首席行政官討論COBIT的優(yōu)點(diǎn)，并得到了首席行政官的贊同。

過(guò)程

首席行政官實(shí)施

為介紹IT治理的框架及好處，參議院總檢察官對(duì)參議院首席行政官及其主要成員做了一小時(shí)的基于COBIT實(shí)施工具集演示資料的介紹。

COBIT的主體及過(guò)程框架體現(xiàn)了在可管理及定義結(jié)構(gòu)下的控制行為。高級(jí)詳細(xì)的控制對(duì)象提供了全世界普遍接受的最好實(shí)踐的標(biāo)準(zhǔn)及政策，并能夠在標(biāo)準(zhǔn)或政策不存在或不充分的地方使用。因此，參議院認(rèn)為接受COBIT是個(gè)理智的決定。

首席行政官迅速認(rèn)識(shí)到COBIT有益于參議院的信息資源及財(cái)政機(jī)構(gòu)。于是，首席行政官實(shí)施了COBIT，COBIT成為參議院內(nèi)IT行為的通用治理部分。例如，信息資源部門(mén)將COBIT納入到其系統(tǒng)開(kāi)發(fā)生命周期（SDLC）過(guò)程中。早期的審計(jì)報(bào)告指出參議院不具備恰當(dāng)?shù)腟DLC方法，財(cái)政系統(tǒng)不符合聯(lián)邦或者參議院的既定方針，大型機(jī)資源未得到充分利用。SDLC的階段及檢查點(diǎn)提供了信息資源管理及系統(tǒng)開(kāi)發(fā)的有組織可管理的方法。因此，他們采納了SDLC方法及IT指導(dǎo)委員會(huì)（命名為信息資源管理建議委員會(huì)），總檢察官是委員會(huì)的顧問(wèn)。SDLC階段對(duì)應(yīng)于COBIT四個(gè)主體部分及相關(guān)的高級(jí)詳細(xì)的控制對(duì)象。需要強(qiáng)調(diào)的是COBIT的監(jiān)控部分對(duì)于確保關(guān)鍵SDLC的及時(shí)交付是非常關(guān)鍵的。

總檢察官實(shí)施

總檢察官將COBIT納入到其政策及IT流程手冊(cè)中，并使用它作為所有總檢察官 IT審計(jì)行為的通用資源。COBIT成為審計(jì)計(jì)劃過(guò)程，職員技巧/知識(shí)評(píng)估，職員及審計(jì)報(bào)告過(guò)程的培訓(xùn)需求評(píng)估的關(guān)鍵因素。

審計(jì)計(jì)劃

將COBIT作為審計(jì)計(jì)劃工具使用，目的如下：

? 對(duì)應(yīng)早期審計(jì)與COBIT的主體及控制對(duì)象

? 選擇審計(jì)內(nèi)容并建立詳細(xì)的審計(jì)計(jì)劃

? 基于技術(shù)級(jí)別指定審計(jì)者

? 為獲得所需的經(jīng)驗(yàn)指定審計(jì)者

COBIT用來(lái)制定詳細(xì)的審計(jì)計(jì)劃。例如，認(rèn)為商業(yè)沖擊分析（BIA）審計(jì)是年度審計(jì)計(jì)劃的一部分，并需要制定審計(jì)計(jì)劃。計(jì)劃包括參議院 BIA過(guò)程的背景，以前的審計(jì)覆蓋面，審計(jì)對(duì)象，審計(jì)職員需求及審計(jì)時(shí)間計(jì)劃。特別的，審計(jì)對(duì)象關(guān)注評(píng)估BIA定義，并區(qū)分IT功能的關(guān)鍵級(jí)別的充分及完整性。這些對(duì)象對(duì)應(yīng)于COBIT的主體及高級(jí)控制對(duì)象（這種情況下，應(yīng)用了COBIT的三個(gè)主體部分及四個(gè)高級(jí)控制對(duì)象）。
詳細(xì)的審計(jì)程序在COBIT的審計(jì)方針的基礎(chǔ)上發(fā)展，納入了聯(lián)邦政府審計(jì)需求及計(jì)算機(jī)輔助審計(jì)技巧。

知識(shí)/技巧及培訓(xùn)需求評(píng)估

因?yàn)镮T方面的審計(jì)工作需要專門(mén)的知識(shí)，于是COBIT用來(lái)進(jìn)行知識(shí)/技巧評(píng)估，以確保審計(jì)者具有所需的經(jīng)驗(yàn)，從而能夠順利的成功完成審計(jì)工作?？倷z察官使用COBIT來(lái)決定完成審計(jì)的培訓(xùn)需求。

審計(jì)者衡量自己的能力以配合COBIT主體，并審計(jì)特別的高級(jí)控制對(duì)象。每個(gè)審計(jì)者在IT的教育，培訓(xùn)及經(jīng)驗(yàn)基于三種技巧集合來(lái)劃分：

? 基本理解－對(duì)IT過(guò)程，目的，對(duì)象及目標(biāo)的廣博知識(shí)

? 工作知識(shí)－在IT過(guò)程中，識(shí)別內(nèi)部控制實(shí)力及缺陷方面所顯示的能力

? 專業(yè)知識(shí)－設(shè)計(jì)并使用計(jì)算機(jī)輔助審計(jì)技巧，以識(shí)別并評(píng)估缺陷，推薦糾正措施的能力

為評(píng)估培訓(xùn)機(jī)會(huì)，課程數(shù)據(jù)庫(kù)的維護(hù)基礎(chǔ)是課程在提供支持COBIT主體及控制對(duì)象技巧方面的能力。其它的因素如課程開(kāi)銷，時(shí)間計(jì)劃及教師表現(xiàn)也是考慮內(nèi)容。在COBIT課程評(píng)估的基礎(chǔ)上，管理者選擇在合適的時(shí)間為審計(jì)者進(jìn)行合適的課程培訓(xùn)。作為結(jié)果，建立了衡量審計(jì)者技巧，選擇最佳IT培訓(xùn)課程的評(píng)估基礎(chǔ)。

最后，總檢察官的年度培訓(xùn)計(jì)劃得以制定并被批準(zhǔn)，以完成既定的年度審計(jì)計(jì)劃。

報(bào)告

總檢察官使用COBIT作為制定審計(jì)報(bào)告的內(nèi)部控制及審計(jì)原則，使用COBIT主體及控制對(duì)象來(lái)方便報(bào)告的書(shū)寫(xiě)。例如，一個(gè)審計(jì)對(duì)象是衡量圍繞Windows NT客戶機(jī)/服務(wù)器的通用控制環(huán)境的效果。雖然沒(méi)有發(fā)現(xiàn)嚴(yán)重的缺陷，審計(jì)指出了三個(gè)需要改進(jìn)的地方，與如下的COBIT主體相對(duì)應(yīng)：

? 計(jì)劃及組織

? 交付與支持

? 監(jiān)控

結(jié)果包括確保系統(tǒng)安全/病毒防護(hù)，使用標(biāo)準(zhǔn)命名慣例。最后的建議分成高，中，低三種優(yōu)先級(jí)，從而管理者能夠依據(jù)優(yōu)先級(jí)完成改進(jìn)措施。每種審計(jì)發(fā)現(xiàn)都是基于COBIT控制對(duì)象，這些控制對(duì)象及主體被看作審計(jì)標(biāo)準(zhǔn)。最后，建議也來(lái)自控制對(duì)象及審計(jì)方針。

總結(jié)

參議院發(fā)現(xiàn)COBIT對(duì)于參議院的運(yùn)作及審計(jì)是一個(gè)有力的工具。首席行政官及高級(jí)管理人員和總檢察官進(jìn)行合作，使用COBIT來(lái)改進(jìn)參議院的運(yùn)作。作為結(jié)果，建立了IT監(jiān)管框架，包括合理的SDLC方法，IT指導(dǎo)委員會(huì)（總檢察官是咨詢委員），來(lái)指導(dǎo)參議院的IT運(yùn)行。

案例二：科爾頓工業(yè)大學(xué)

摘要

在尋找綜合的IT治理方法論過(guò)程中，澳大利亞科爾頓工業(yè)大學(xué)，引入了COBIT。在檢查了COBIT的框架之后，該大學(xué)的信息系統(tǒng)部門(mén)的總經(jīng)理意識(shí)到COBIT將會(huì)極大提高接受程度，減少實(shí)施IT治理規(guī)劃所需要的時(shí)間。COBIT是該大學(xué)成功取得IT治理主要目標(biāo)的一個(gè)重要因素，即實(shí)現(xiàn)組織的轉(zhuǎn)型，尋求改善的過(guò)程。

背景

科爾頓工業(yè)大學(xué)是西部澳大利亞最大的大學(xué)，在校學(xué)生超過(guò)31000人?？茽栴D為850多名本科生和研究生開(kāi)設(shè)商業(yè)、工程、保健科學(xué)、人文、科學(xué)、采礦、農(nóng)業(yè)等方面的課程。內(nèi)部組織結(jié)構(gòu)由副大臣公署Vice Chancellory（高級(jí)管理和中心管理）以及學(xué)術(shù)部門(mén)（學(xué)院和部門(mén)）組成。

科爾頓信息管理部門(mén)(IMS)支持大學(xué)的信息和通訊技術(shù)（ICT）基礎(chǔ)設(shè)施。它也負(fù)責(zé)各種大學(xué)申請(qǐng)的實(shí)施，為副大臣公署Vice Chancellory的員工提供桌面ICT支持服務(wù)。IMS提供中心幫助桌面，處理ICT基礎(chǔ)設(shè)施和計(jì)算機(jī)問(wèn)題。大約100個(gè)全職雇員組成IMS成員，由總經(jīng)理領(lǐng)導(dǎo)。部門(mén)規(guī)范成4個(gè)導(dǎo)向：

? 應(yīng)用----支持和開(kāi)發(fā)學(xué)院和相關(guān)領(lǐng)域的應(yīng)用

? 技術(shù)基礎(chǔ)設(shè)施---支持和開(kāi)發(fā)學(xué)院的ICT基礎(chǔ)設(shè)施，包括服務(wù)器、網(wǎng)絡(luò)、操作系統(tǒng)。

? 客戶關(guān)系---為副大臣公署Vice Chancellory支持和開(kāi)發(fā)桌面ICT,支持和開(kāi)發(fā)課程設(shè)施、語(yǔ)音電話設(shè)施。

? 戰(zhàn)略服務(wù)----提供ICT培訓(xùn)和硬件、軟件、管理財(cái)務(wù)、人力資源、IT相關(guān)領(lǐng)域，實(shí)施最佳實(shí)踐，貫徹策略，規(guī)劃ICT和管理大學(xué)的記錄和檔案。

過(guò)程

科爾頓大學(xué)內(nèi)部審計(jì)團(tuán)隊(duì)的員工了解了COBIT，對(duì)其內(nèi)容印象深刻，并使其引起IMS領(lǐng)導(dǎo)層的關(guān)注。領(lǐng)導(dǎo)者一直對(duì)IT治理表示持續(xù)的關(guān)注，經(jīng)過(guò)認(rèn)真審視之后，高層委員會(huì)決定采用COBIT作為學(xué)院標(biāo)準(zhǔn)。

該大學(xué)審計(jì)師開(kāi)始用COBIT作為對(duì)中心的ICT組織---科爾頓信息管理部門(mén)IMS正式審計(jì)的指南?？茽栴D信息管理部門(mén)IMS總經(jīng)理對(duì)COBIT框架有潛力引導(dǎo)實(shí)務(wù)的改善充滿熱情，并支持科爾頓信息管理部門(mén)IMS質(zhì)量和策略團(tuán)隊(duì)。不久后，多套COBIT被發(fā)布到高層管理者手中?？茽栴D信息管理部門(mén)IMS質(zhì)量和策略團(tuán)隊(duì)然后通過(guò)在全體員工季度大會(huì)以及IMS行政大會(huì)上講述COBIT的概覽，提高意識(shí)訓(xùn)練。團(tuán)隊(duì)人員使用COBIT包中的PDF格式或文本格式來(lái)描述信息。在短期內(nèi)，他們還邀請(qǐng)博學(xué)的外部審計(jì)咨詢?nèi)藛T幫助進(jìn)一步提高對(duì)COBIT 管理框架和實(shí)施的認(rèn)識(shí)。所有團(tuán)隊(duì)領(lǐng)導(dǎo)和關(guān)鍵成員都給了COBIT控制目標(biāo)和管理指南手冊(cè)的副本。這能夠增強(qiáng)COBIT的可見(jiàn)性和鼓勵(lì)其余的人員使用文檔作為參考和資源。

目前科爾頓信息管理部門(mén)IMS總經(jīng)理仍對(duì)實(shí)施COBIT的益處充滿信心，并基于所選擇的COBIT目標(biāo)提供連續(xù)兩年的過(guò)程審計(jì)/復(fù)審。

審計(jì)報(bào)告

科爾頓信息管理部門(mén)IMS由一個(gè)小的、很大程度上自我導(dǎo)向的質(zhì)量/過(guò)程改善團(tuán)隊(duì)組成。這個(gè)團(tuán)隊(duì)實(shí)施審計(jì)，目前通常是指檢查和復(fù)核， 因?yàn)樗麄兏鼉A向于合作的檢查/規(guī)劃，而不是敵對(duì)的審計(jì)。并且使用一個(gè)清晰的方法論搜集數(shù)據(jù)、對(duì)草案進(jìn)行咨詢和提供報(bào)告。它也參與到大學(xué)內(nèi)部審計(jì)團(tuán)隊(duì)中，保證工作質(zhì)量。

從2001年開(kāi)始，科爾頓信息管理部門(mén)IMS質(zhì)量和政策經(jīng)理應(yīng)用20多年組織的經(jīng)驗(yàn)和知識(shí)開(kāi)發(fā)了一個(gè)衡量每個(gè)目標(biāo)的科爾頓信息管理部門(mén)IMS成熟度級(jí)別，目標(biāo)是促進(jìn)思考科爾頓信息管理部門(mén)IMS如何評(píng)價(jià)它的IT成熟規(guī)模。結(jié)果資料作為一個(gè)嘗試性的練習(xí)，而非嚴(yán)格科學(xué)化的過(guò)程被共享，以促進(jìn)IT相關(guān)問(wèn)題的認(rèn)識(shí)與思考。

這個(gè)實(shí)用的方法給與團(tuán)隊(duì)檢查目標(biāo)和鑒別改善路徑一個(gè)有力的思想。

也是在2001年，員工從COBIT審計(jì)指南中用了多種衡量手段進(jìn)行了檢查/審計(jì)。盡管不是所有結(jié)果都令人滿意，但是卻有助于員工啟動(dòng)改善審計(jì)目標(biāo)成熟度的策略。檢查目標(biāo)的選取主要依據(jù)最初成熟度評(píng)估的組成部分、高級(jí)員工的觀點(diǎn)和可改進(jìn)領(lǐng)域的期望。下半年，員工評(píng)估了改進(jìn)和重新進(jìn)行了優(yōu)先排序，確定哪些是非常重要的。

2002年科爾頓大學(xué)開(kāi)發(fā)了一個(gè)包括12個(gè)目標(biāo)的審計(jì)新進(jìn)度。員工持有這樣的態(tài)度：將審計(jì)結(jié)果作為改進(jìn)的機(jī)遇，而不是關(guān)注結(jié)果來(lái)責(zé)難團(tuán)隊(duì)?；谝呀?jīng)完成的檢查，這個(gè)過(guò)程證明非常積極的、有益的。

每個(gè)COBIT審計(jì)評(píng)估現(xiàn)有的成熟度級(jí)別，也檢查了內(nèi)部證據(jù)來(lái)評(píng)級(jí)成熟度。每個(gè)審計(jì)都成為操作員工、股東和客戶的教育性的、交流的練習(xí)。
2002年6月，從科爾頓大學(xué)內(nèi)部審計(jì)部門(mén)的一個(gè)代表報(bào)告說(shuō)，在他們執(zhí)行詳細(xì)的成熟度審計(jì)時(shí)，他們發(fā)現(xiàn)跨部門(mén)的成熟度級(jí)別的顯著改善。
科爾頓大學(xué)認(rèn)為由三個(gè)要素對(duì)COBIT的成功至關(guān)重要：

? 科爾頓信息管理部門(mén)IMS總經(jīng)理個(gè)人領(lǐng)導(dǎo)能力和它實(shí)施COBIT的愿望。

? 在提出COBIT方面對(duì)成員持續(xù)的鼓勵(lì)和監(jiān)督。

? COBIT作為一個(gè)工程實(shí)施，恰當(dāng)?shù)墓こ谭椒ㄕ摵蛯?shí)行成為必然。

結(jié)論

從2001年起，科爾頓大學(xué)采用COBIT進(jìn)行自審計(jì)它的信息通訊和技術(shù)（ICT）實(shí)踐,并識(shí)別改善的機(jī)遇。由于每個(gè)目標(biāo)不能每年都審計(jì)，科爾頓信息管理部門(mén)IMS管理者每年選取的目標(biāo)通常是最有可能為機(jī)構(gòu)和客戶提供重要業(yè)績(jī)衡量的目標(biāo)。

科爾頓信息管理部門(mén)IMS管理者相信COBIT提供了一個(gè)經(jīng)濟(jì)的、持續(xù)改進(jìn)的框架。從這個(gè)框架中，員工能夠理解與實(shí)施拓展全球標(biāo)準(zhǔn)的方法，自我審計(jì)標(biāo)準(zhǔn)，最佳實(shí)踐，以及需要指導(dǎo)大學(xué)改善過(guò)程每件事。COBIT是一個(gè)有用的工具，打破了多年來(lái)實(shí)踐中的“近視”論點(diǎn)。它幫助雇員理解和接受實(shí)現(xiàn)任務(wù)和責(zé)任的改進(jìn)的方法?？傊?，COBIT非常有價(jià)值。

全文完

瀏覽：IT治理：中國(guó)信息化的必由之道（一）

IT治理：中國(guó)信息化的必由之道（二）

IT治理：中國(guó)信息化的必由之道（三）