• Bookmark

以 COBIT 5 作为合规要求进行流程能力评估

作者:Peter C. Tessin,CISA、CRISC、CISM、CGEIT

COBIT Focus | 2018 年 2 月 12 日 English

Peter C. Tessin 企业信息技术的治理和管理 (GEIT) 是运用企业资源(动力)为企业利益相关方创造和提供价值的实践。ISACA 的 COBIT 5 GEIT 框架非常完善,从面世到 2017 年已达 20 周年,被广泛应用于世界各地的众多行业。

COBIT 5 的早期雏形是一种基于控制目标的审计师工具。经过这些年来的多次修订,它已从这一狭窄的应用领域发展为广泛的优秀实践集合,这些实践只需经过调整便能满足企业需求,而且能够不限于地理位置、行业或其他框架和标准进行应用。除了隐私行业以外,COBIT 5 现在也成为了政府机关对金融机构的强制性要求。COBIT 的设计者最初预期 COBIT 将会根据需要进行修改,而不是作为一项伪标准;然而上述转变为 COBIT 所引入的合规性用途,却是其设计者始料未及的。

2016 年 12 月,约旦中央银行 (CBJ) 颁布了一项指令,要求在约旦境内运营的所有银行使用 COBIT 5 和《COBIT 流程评估模型 (PAM):使用 COBIT 5》。这只是距今最近的一项政府要求使用 COBIT 的实例,但并不是首例。CBJ 条例中规定,银行必须使用 PAM 来确定其使用 COBIT 5 的程度,并给出具体的流程能力级别目标。

PAM 将评估定义为,参照流程能力级别定义来检查和衡量证据材料。一旦有证据证明某个流程确实存在,便可参照 5 个级别指定相应的能力级别。对于宣称已实施但没有足够的证据证明其已实现所述目标的流程,PAM 设定了 0 级能力。

设计企业的治理结构是一个多步骤的流程,最终往往会建立一套独特的流程来推动企业实现其目标。但话虽如此,如果政府实体或机关强制要求企业使用 COBIT 5 和 PAM 来衡量其流程能力,那么没有理由认为该框架无法使用。
 

设计企业的治理结构是一个多步骤的流程,最终往往会建立一套独特的流程来推动企业实现其目标。


COBIT 5 中现存的流程集合源自该框架多年来的演变历程,以及创造 COBIT 5 的资源所倾注的集中开发努力。在企业内直接应用这些流程可确保企业不会出现任何重大疏漏。治理从业者可能会马上辩驳,所产生的治理结构未经过优化,这一点是不可否认的。然而,从监管机构的角度而言,参照一个固定的标准来衡量所有市场参与者有着非常现实的价值。如果政府的目标是对金融行业实施更严格的管控,那么这一角度具有更广泛的有效性。

从业者如果必须在合规性环境中开展评估,他们需要完成的工作会更多一些,因为他们很可能需要参照 COBIT 5 中所有 37 个流程开展评估,而不是在从战略角度选择的范围内开展评估。尽管如此,COBIT 5 内的流程定义非常明确,评估者无需花费额外的精力学习企业独有 COBIT 5 设计和实施中存在的细微差别。

需要提醒评估者的是,评估必须按照现有状态进行,而不是按照评估者认为更适合该企业的设计进行,这一点非常重要。因此,监管机构严格遵循 COBIT 5 最终被证明是一项优势,而不是弊端。

从这个角度来说,评估者必须将焦点放在是否完成了流程的目标,而不是文档存在与否。评估者经常遇到的一个误区是,将 PAM 误解为一个流程必须存在那么多的实例,或者必须存在特定数量和类型的证据文档。要想以最佳方式评估流程能力,评估者必须经常询问,是否有可获取的证据证明已完成或实现流程的目标。如果是,则评估者可以开始考虑更高的能力级别,并寻找流程定义、流程绩效衡量等证据。

任何评估者(内部资源或其他资源)如果在合规性实务中面临使用 COBIT 5 来执行流程能力评估的任务,他们大可放心,这是一项非常直观的实务,不存在任何特别的困难。只需运用 PAM、框架和《COBIT 5:启用流程》便可迎刃而解。


Peter C. Tessin,CISA、CRISC、CISM、CGEIT

Tessin 是 Discover Financial Services 的一位高级经理。他负责领导商业技术 (BT) 风险部门内的治理小组。在此职位,他主要负责确保政策、标准和程序与企业目标保持一致。他既是负责监管考试管理的内部方,也是企业风险管理部门的内部联络人。在担任此职位之前,Tessin 是 ISACA 的一位技术研究经理,期间,他担任 COBIT 5 的项目经理,领导开发了其他 COBIT 5 相关的出版物、白皮书和文章。Tessin 还曾在 ISACA 网站 COBIT Online 的设计工作中担任核心角色,该网站提供了方便的途径访问 COBIT 5 产品系列,并且包含协助使用 COBIT 的交互式数字工具。在加入 ISACA 之前,Tessin 是一家内部审计事务所的高级经理,领导客户参与工作,并负责 IT 和财务审计团队。之前,Tessin 还曾担任多个行业职位,包括会计师、应用开发程序员、会计系统顾问和培训师、业务分析师、项目经理和审计师。他在原籍国美国之外的许多国家/地区有过丰富的工作经验,包括澳大利亚、加拿大、法国、德国、意大利、约旦、墨西哥和英国。