• Bookmark

GEIT 框架的实际应用,第 1 部分:识别问题

作者:Peter C. Tessin,CISA、CRISC、CISM、CGEIT

COBIT Focus | 2018 年 5 月 14 日 English

Peter C. Tessin 本文章是 6 篇系列文章的第一篇,主要介绍企业 IT 治理 (GEIT) 框架的实际应用。本文将讨论应用的起点 — 认识到问题的存在以及如何加以解决。后续文章将会依次介绍解决方案的计划和执行。具体而言,第二部分将计划解决方案,确定处理问题所需的角色,并描述支持解决方案所需的最终成果。第三部分将介绍如何制定项目计划,并展示实施提议的解决方案所需的工作和时间。第四部分将概述相关工作,描述每个独特角色的贡献。第五部分将描述如何检查结果并与初始要求进行比较,以及如何设置绩效衡量指标。最后一部分将详细介绍项目后期审查,并讨论如何通过此项目支持持续改进。


定义问题

案例情景的起源是,高级管理层收到一份来自董事会审计委员会的报告,指出内部控制环境的监督比较薄弱,并可能导致外部审计师执行的审计中出现重大缺陷。报告继续指出,必须确定导致此情况的根本原因,并尽快设计和实施解决方案。本系列文章将从该组织的高级管理层的角度出发,讨论需要采取哪些行动,以及如何对此情景实施全程管理。

高级管理层与内部审计 (IA) 团队会谈,讨论其发现的结果,并了解到团队已确定很多问题,并认为这些问题揭示了某种趋势。IA 在其报告中使用了根本原因分析,并指出组织面临的许多问题都是由于缺乏适当的监督而引起的。经过更严格的审查,高级管理层了解到,内部控制环境中的许多控制长期保持有机演变,即,管理层发现缺陷并建议采用新的或经修改的控制来应对这些观察结果,但除了监管合规以外,没有任何中央权威机构指导使其与企业目标协调一致。

控制的自然有机演变是一种可理解的常见动态,往往能促进更强大的总体控制环境。此方法的优势在于,控制需求和设计均源自最贴近和最了解工作的人员。但可能出现的问题是,管理层驱动型控制只能解决狭隘范围的利益,同时在企业的总体覆盖面留下缺口。
 

但可能出现的问题是,管理层驱动型控制只能解决狭隘范围的利益,同时在企业的总体覆盖面留下缺口。


对管理层驱动型控制的依赖与 IA 观察到的组织内缺乏监督的情况完全吻合。管理层确定并设计控制措施,而未安排任何人员从企业的角度负责监督控制组合。控制组合缺乏监督还会引入可能无法有效实现监管合规的风险


从治理和 COBIT 5 的角度重申问题

在审查 IA 的报告和分析之后,高级管理层需要从控制组合的角度把握内部控制环境的管理情况,并验证审计结果。验证审计结果包括提出和研究多个问题。

组织是否设有企业级别的风险管理职能部门?如果存在与此同名的职能部门,这一点当然是显而易见的。但同样的职能可能是在其他名称的职能部门下履行,这时就需要加以甄别。组织可能为此职能部门指定其他名称,例如“企业风险管理”、“运营风险管理”或“合规性管理”等。

如何制定和实施控制?对此问题,一些答案可能有些令人意外。较高层次的答案大多是已知的而且有完备的记录。但当利益相关方了解到,业务流程所有者虽然制定并执行了控制,但却弃用了在流程审查期间记录的控制,这时便出现了问题。记录在案的流程与实际执行的流程之间存在的这一差距会随时间的推移而扩大,并导致被 IA 职能部门甚至与外部监管机构发现合规问题。企业不能存在非正式的内部控制环境。

利益相关方的要求与内部控制和风险管理之间是否一致?如果这一问题没有得到明确的管理,那么实际发生的情况与董事会认为正在发生的情况可能并且往往存在很大的差异。高级管理层必须确认其了解利益相关方的相关需求。

在验证 IA 报告时讨论的所有问题都可归结为一个词语:治理。治理意味着了解利益相关方的需求并协调资源满足这些需求。可运用多种工具,尤其是标准,来协助确保形成有效的 IT 实践,提供需要的业务结果,并且这些结果符合合规要求。其中大多数工具旨在提供技术指导,例如,信息技术基础设施库 (ITIL) 服务转换详细说明了如何以最佳方法执行变更管理。这些资源说明了如何执行某些任务,但没有明确阐述是否正在执行正确的任务,或应该执行什么任务。而这正是 GEIT 框架的用武之地。

此练习使用的是目前全球最常用的 GEIT 框架 COBIT 5。回顾最初的审计结果和 IA 声称的缺乏监督,可以使用 COBIT 5 重申该问题。用执行 GEIT 实施的管理层的话来说,IA 发现的根本问题是对利益相关方需求的理解程度不够;缺乏这些需求与企业目标、IT 相关目标和动力目标之间的对应关系;以及缺乏指标,证明内部控制环境的设计和运行确实能够保证符合企业的合规性要求。解决这些问题正是 COBIT 5 的使命。


计划解决方案

此系列的下一篇文章将介绍如何设计 GEIT 解决方案来解决缺乏监督的问题(在本系列文章中我们称其为治理),谁需要执行此任务,以及应取得怎样的最终成果。

在利益相关方开始定义其需求时需要特别小心,因为在这种情况下,他们很自然地会产生好高骛远的想法,希望在太短的时间内解决太多的问题。这种做法有可能破坏项目的实施。接下来的讨论包括确定范围和扩展解决方案以作为概念验证,然后将其推广到更广泛的受众。要实现这些目标,需要在各个推行阶段动员利益相关方参与进来,并按照精心计划、合理安排且高度透明的沟通计划来执行。


Peter C. Tessin,CISA、CRISC、CISM、CGEIT

Tessin 是 Discover Financial Services 的一位高级经理。他负责领导商业技术 (BT) 风险部门内的治理小组。在此职位,他主要负责确保政策、标准和程序与企业目标保持一致。他既是负责监管考试管理的内部方,也是企业风险管理部门的内部联络人。在担任此职位之前,Tessin 是 ISACA ® 的一位技术研究经理,期间,他担任 COBIT 5 的项目经理,领导开发了其他 COBIT 5 相关的出版物、白皮书和文章。Tessin 还曾在 ISACA 网站 COBIT Online 的设计工作中担任核心角色,该网站提供了方便的途径访问 COBIT 5 产品系列,并且包含协助使用 COBIT 的交互式数字工具。在加入 ISACA 之前,Tessin 是一家内部审计事务所的高级经理,领导客户参与工作,并负责 IT 和财务审计团队。之前,Tessin 还曾担任多个行业职位,包括会计师、应用开发程序员、会计系统顾问和培训师、业务分析师、项目经理和审计师。他在原籍国美国之外的许多国家/地区有过丰富的工作经验,包括澳大利亚、加拿大、法国、德国、意大利、约旦、墨西哥和英国。