COBIT 实施成功案例（By AMT 周瑛 编译）

COBIT 实施成功案例

By AMT 周瑛 编译

卢森堡Cedel集团

摘要
Cedel集团业务经营方式的重大改变使得它必须检查其控制模式，更新政策陈述。COBIT的成功实施源于高级管理层、IT和最终用户的共同努力。业务目标与审计和控制政策紧紧联系在一起，业务从IT审计和控制活动中得到增加的价值。

背景
Cedel集团成立于1970年，是全球66个主要金融机构的清算所，它能够使国际证券交易的风险最小化，尤其是在欧洲债券市场。它在卢森堡、杜拜、香港、伦敦、纽约、东京各地拥有800名以上的员工，与30多个国家的证券市场建立了联系。1997年结算量超过了15万亿美元，Cedel银行保管了1.4万亿美元的顾客证券。随着国际业务的增长，平均每个交易日可完成价值1000亿美元的交易。

虽然我们以前的IT环境是平稳可靠、满足业务需求的，但我们需要加强对IT环境的控制。在80年代后期，我们经历了新的业务机遇，需要更成熟的IT，需要开发新的客户/服务器应用，而PC和电信网络环境也发生了翻天覆地的变化。

在新的环境中，虽然Cedel集团的系统政策陈述仍然能够应用和执行，但进行控制的方法却不断出现问题。例如，与先前的DOS/Novell环境相关的政策不允许用户在同一时间多次登陆系统。这样，如果用户没有注销正常工作地点的登陆，那么他就不能在其他地点登陆系统。越来越多的问题要求舍弃和更改原来的政策。

过程
面临着制定和维护适用于技术、环境和流程变化的控制政策的挑战，我们利用这个机会对IT审计方法做了一个检查。我们研究了几个可能的替代方法，发现COBIT是最合适的一个。

我们在1996年的一次审计活动中开始使用COBIT，最后这次审计活动取得了成功。

由于这次审计活动的鼓舞，IT部门开始考虑将COBIT作为新的Cedel集团政策陈述的框架的可能性。负责这项活动的经理说：“COBIT用一种新的逻辑性的方式描述它的控制目标，很有实施可能。”

于是我们根据COBIT制定了Cedel的政策，这些新政策适用于所有的技术平台。另外高级管理层对风险和控制的关心也多起来了。随着经理们对控制的业务利益的认识加深，他们也能解决实现业务目标与管理控制之间的冲突了。

结论
当我们实施COBIT的时候，发现它对实用的业务和效率的强调是与其他方法不同的地方。根据COBIT的原则，我们现在根据受审者的业务和运营目标来设计审计活动。审计活动现在是自上而下的进行，而不是从中间层向下进行。COBIT被证明是一个十分有效的审计方法，高级管理层也从这种审计方法中找到了审计带来业务价值。

基于我们组织成功实施COBIT的经验，我鼓励同事从IT管理角度对COBIT进行更深入的研究。COBIT是一种维护和改进控制环境的灵活而可靠的方法。

美国麻萨诸塞州州立审计署

摘要
州立审计署是麻萨诸塞州政府的首要的政府审计实体。我们在审计选择、顾客和约、结果证实方面广泛地运用了COBIT。COBIT帮助我们识别IT审计活动，把这些活动区分为一个或几个领域或控制目标组。

背景
我们向政府、立法机关、受审者、检察实体和公众提供关于州职能和活动的独立评估。IT审计部门负责对600多个审计实体的多平台环境（包括20个大型数据中心和150多个中小型设备）进行集成的财务审计、运营审计和IT审计。

过程
我们IT审计团队采用了分阶段的实施方法，向一些审计员介绍了COBIT框架、控制目标、审计指南，要求他们在审计活动中采用。团队选择需要进行IT设备检查的审计和开发中系统的审计实施COBIT。

一旦管理团队和被选择的高级审计员对COBIT足够熟悉了，他们就对所有的IT审计员进行两天的控制模型和相关产品培训。经过了COBIT试用，管理团队和被选择的高级审计员对COBIT有了很好的洞察，也积累了如何进行培训的经验。

在审计准备阶段，COBIT帮助确定高风险的IT过程，评估IT控制环境。通过根据COBIT的高层控制目标和具体控制目标检查组织政策和IT政策，团队能够迅速集中精力在审计范围应包括的领域和潜在的管理咨询服务工作上。在审计准备阶段，我们团队使用COBIT框架和控制目标来指导访谈的准备。根据COBIT的业务信息需求来确定数据和信息需求及资源。这些有助于审计团队和受审组组织讨论控制目标和控制政策、程序、标准。

COBIT对控制目标及相关业务组织目标的关注，有助于审计工作采用列表审计之外的方法。我们还在遵从COBIT标准继续完善我们的审计计划，加深对基本的IT控制目标的理解。

结论
在审计工作开始的时候，审计团队在开始会议上介绍了他们主要审计标准之一COBIT。这样的做法确立了COBIT的权威地位，为建设性的审计工作提供了绝好的机会。而且，我们发现COBIT与COSO以及审计标准的改变（如SAS 70和80）是吻合的。COBIT审计指南也能够用来制定审计工作计划。

COBIT还能帮助受审组织评估和改进内部控制。这为它们接受下一次审计做好了准备。如果受审组织对审计标准十分清楚，那么也就意味着它们对IT过程控制的最佳实践十分清楚了。COBIT的组织方式使受审组织能够轻易地理解审计员的信息要求和审计建议。

我们的COBIT经验能够帮助审计员新手理解IT过程和具体控制目标，并把这些映射到受审组织和IT环境中。通过实施COBIT，我们发现了改进和加强审计准则、审计程序的需要。

最后我们在讨论IT领域、控制目标和IT控制时，意见比以前一致了。

 荷兰普华永道

摘要
普华永道在荷兰有100名EDP审计员从事计算机保证服务，这些审计员中大多数人对COBIT有了深刻了解，正使用它为客户进行服务。对大部分用户来说，我们使用下面的阶段性方法：
聚焦。识别IT的业务驱动力，评估与IT配置相关的业务风险水平。
评估。评估威胁和弱点，识别出控制标准不足或缺乏的地方，并找出深层次的原因。
改正控制缺陷。就行动计划达成协议，进行内部控制改进工作。
监控。通过对内部控制标准的充分监控保证持续的改进。

背景
我们为几个普华永道的顾客实施了COBIT，是这个框架的忠实支持者。我们的员工使用COBIT为客户制定IT部门的改进计划。具体控制目标能够帮助我们更好地评估客户的系统管理流程。

过程
COBIT在业务环境中成功使用的例子有：

• 航空公司。客户要求对其IT部门的有效性和高效性进行评估。我们首先进行了用户满意度调查，然后对调查结果进行分析，根据COBIT指南对IT过程进行了细致的检查。结果是，对IT部门的工作程序做了重大改进。
• 网络服务供应商。一个网络服务供应商按照ITIL进行系统管理。我们被要求作为第三方向该供应商的顾客提供评价和报告。我们的员工采用了COBIT框架来做这个审计。
• 非盈利机构。基于COBIT和ITIL准则，我们为IT部门做了改进计划。
• 商会。几次收购活动和重大的业务变化对组织的IT环境造成了影响。我们使用COBIT框架实施了一个合适的改进计划。
• 银行。一家荷兰银行要求我们给出几个平台的基本控制文档。我们对RS/6000、Windows NT服务器和一些网络组件的基本控制进行了描述。对于基本控制的系统管理部分，我们参考了COBIT的具体控制目标。

结论
COBIT的一个独特的优点就是，全球标准ITIL是COBIT的基础之一。ITIL是英国制定的，但在许多国家都是通用的。在荷兰，参加ITIMF.EDP（一个ITIL用户组）的审计员经常被要求对一些基于ITIL创建的IT过程进行审计。COBIT为这些审计活动提供了完美的框架。

 美国麻萨诸塞州波士顿咨询公司

摘要
自从Fidelity Investments（一个基于麻萨诸塞州波士顿公司的投资管理组织）采用了COBIT，审计工作开始变得十分一致，控制的自我评估也变得可行。

背景
Fidelity Investments在美国、加拿大、欧洲、澳大利亚和亚洲70多个城市拥有24000名员工。顾客资产总计约9050亿美元。

COBIT框架能够前摄性地改进控制环境和提供增值服务。它能够直接解决CIO和执行人员面临的通过持续改进IT系统支持业务目标的挑战。由于高层管理人员的支持和他们对持续改进的鼓励，我们在一段相对较短的时间内实现了审计流程的“COBIT化”。

我们使用更少的资源完成了更多的审计工作，与其他审计小组在风险评估、审计规划、审计范围和审计问题交流方面的协调也得到了改进。我们使用COBIT获得的最大收益是完成高质量的工作带来的满足感。

过程
以前降低IT风险的任务是通过最佳实践和相关方法论解决的。我们的经理们强烈推荐持续的改进，并迅速认识到COBIT提供了一个通用的实用IT治理控制标准。COBIT通过提供与Fidelity业务目标直接相关的IT控制基准大大地改进了过程。

我们在1996年用COBIT框架做了一个评估，并证实了这个框架的有用性。在1997年，我们创建了一个COBIT领域、过程和控制目标的数据库。然后我们将这个数据库映射到我们进行的各种各样的审计工作上。

这些努力产生了许多有利的影响。审计计划和工作文档都根据框架进行更新。COBIT被写进我们的使命陈述里。合同备忘录现在会解释框架是如何使用的，我们也向受审组织提供框架文件以帮助他们更好地为审计做准备和理解审计带来的好处。

结论
通过实施COBIT，我们把关于控制的易于理解的知识整合进了审计活动。COBIT提供了IT控制的权威基准，帮助保证IT控制环境的完整性、高效性、一致性。

而且，我们计划使用COBIT进行控制的自我评估和控制环境的进一步优化。COBIT为衡量IT控制环境的状态提供了一个更好的标准，同时又足够灵活地支持我们在众多变化中实现目标。

美国国防部

摘要
美国国防部总监察长办公室使用COBIT标准定义IT审计领域。COBIT是用IT社区能够理解和支持的方式写成的。因此，能够制定保证审计范围有效性的战略计划。这个案例研究了如何运用COBIT进行IT战略规划、设立评估审计员技能的标准、选择最佳的IT培训课程。

背景
COBIT的领域和过程框架使用一种可管理和可定义的结构来描述控制活动。对于4个领域中的每一个，其控制目标都是根据总监察长办公室战略计划确定的时间进行评估的。我们的长期目标是对领域内的每一个控制目标进行评估。

过程
审计使用控制目标做标准。详细的审计程序是根据政府需求和计算机辅助审计技术等领域制定的。因为进行IT审计的审计员需要专业知识，所以我们使用COBIT来评估他们的技能，保证审计活动的顺利完成。审计员按照4个COBIT领域对他们的工作能力进行打分，使用高层控制目标评估他们的能力。每个审计员的IT教育、培训和经验是通过下面的3个技能集进行描述的：
基本的理解：关于IT过程、目标的广泛知识。
工作知识：识别一个IT过程的内部控制的优点和弱点的能力。
专业知识：设计和使用计算机辅助审计技术来识别、评估、纠正内部控制弱点的能力。

为了评估培训机会，我们根据审计员的能力维护一个课程数据库，提供支持COBIT领域和控制目标的技能集。其他诸如课程成本、时间和性能等因素也要加以考虑。按照COBIT课程评估，我们能够在恰当的时间选择最佳的课程进行培训。

结论
COBIT提供了一个IT社区能够理解和支持的框架。因此，它能够制定保证审计范围有效性的战略计划。而且，COBIT控制目标能够作为IT审计评估和审计员技能需要的基础，保证提供有效及时的培训以保证审计的顺利完成。

美国波士顿煤气公司

摘要
我们仔细研究了COBIT的好处，以确定它怎样才能使波士顿煤气公司受益最大。COBIT与内部审计部门一样是为了提供增值审计服务，它是控制的最佳实践的参考基准。

背景
波士顿煤气公司是一个公共事业公司，它的员工有1400名，每年利润是7亿美元。它为美国麻萨诸塞州大波士顿地区的74个城镇服务。它的IT环境主要由IBM主机、UNIX、Novell、NT平台和网络构成。

过程
当COBIT在1996年出版的时候，公司内部审计经理和信息系统审计员获得了一份。不久公司参加了ISACA举办的COBIT演示。

经理们相信COBIT能够为IT相关政策和程序的制定、IT审计工作的进行带来好处，他们向信息系统副总裁和信息系统员工介绍了COBIT原则。这次演示的结果是确定了几种COBIT的本地化的成功使用，包括：
内部审计经理指出，可以采用COBIT作为评价标准以便清晰地交流评估目标。
信息系统部门采用COBIT作为评估现有的和未来的信息系统功能和项目的标准。

结论
COBIT标准能否成功、能否被内部审计和IT部门接受取决于他们对控制框架的熟悉程度、获得的培训和实施COBIT准则所花费的时间。COBIT既关注整个的业务目标又加强IT控制，为煤气公司增加了价值。

美国加利福尼亚Santa Barbara

摘要
Santa Barbara银行与信托机构使用COBIT来保证IT治理的有效性，以支持整个的业务目标。

背景
我们选择了COBIT方法，因为它关注于业务需求。毕竟我们首先是在经营业务。通过实施COBIT准则，我们采取措施保证信息系统环境在控制之下，从而保证了业务目标按轨道运行。

过程
我们的信息系统审计员以前着重于审计计算机系统或代码。实施COBIT准则后，他们根据业务流程进行审计，审计范围也变得易于理解，从而得到了业务经理的支持。例如，以前审计员可能关心“NT的控制”，现在他会关注“借贷应用的前端处理”。

部门经理现在也不再把信息系统审计看成是对业务的打扰，他们使用审计员的知识来增加价值、防范风险。

举个例子，经理们向审计员保证未授权的外部人员无法通过因特网上的公司网站访问公司内部计算机。但是审计人员发现email能够做到这一点，他们提醒经理们控制email系统，防止垃圾邮件堵塞服务器。

结论
COBIT实施之后，业务经理与信息系统审计员之间的合作和交流加深了。COBIT框架及其他组件帮助经理清楚地了解控制和安全问题如何使他们的部门受益。

当部门经理和信息系统审计员用同一种业务语言进行交流，那么审计流程会成为一种合作的工作，从而使整个银行受益。

国际银行金融电信协会（Society for Worldwide Interbank Financial Telecommunications， SWIFT）

摘要
SWIFT在其荷兰、新加坡、美国的客户支持中心的一次审计活动中使用了COBIT。

背景
SWIFT是一个由2465家银行组成的合作组织，总部在比利时，提供安全金融消息服务和接口软件。SWIFT的全球网络每天处理约250万条消息，平均日交易量为2.3万亿美元。

SWIFT的客户支持功能最近进行了重组，加入了新的工具和流程。审计计划为审计工具和流程保留了位置。COBIT被用来审计流程，但没有审计工具。

过程
最初由于时效性管理层对COBIT IT治理和控制模型的反映是十分冷淡的。但是受审者总是认为审计是在状态差的情况下进行。但是采用了COBIT之后，受审者的态度改变了，COBIT方法被很好地接受了。当高层管理员看到审计报告草案时，更证实了这种改变。

管理层对COBIT的流程导向尤其印象深刻，这与以往考察机密性、完整性、可用性的方式是不同的。COBIT方法最明显的作用是，访谈按照一种逻辑性的方式进行安排，从而使得流程更高效。

曾经为了使审计范围获得高级经理的通过进行了一场长时间的讨论，因为COBIT框架要引入对以前未曾涉及的领域的调查。经理们质疑审计团队在这些新领域进行客观审计的能力。以前只关心IT安全问题的部门，现在要将安全的概念广义化。COBIT方法着重于过程管理与过程控制问题。

我们使用COBIT控制目标建立了一个矩阵。一次风险评估帮助我们确定了审计活动中需要检查的目标。然后我们再反复核对保留下来的目标，核对主要是根据a）以前审计的范围，b）行业标准，c）外部审计员提供的检查列表。

根据这个矩阵，我们制定了审计计划。COBIT框架帮助我们区分审计活动的优先级和审查领域。

结论
对于审计员和管理人员来说，在这次审计中采用COBIT框架是一个主要的变化。虽然变化通常会带来不幸和批评，COBIT的流程导向迅速得到了管理人员的青睐，而且审计员们打算继续使用它。

在以后的审计中，COBIT的使用会越来越多，现在审计委员会已经批准将其作为IT审计参考指南。它被认为是SAS 70之类条例的好基础。同时，COBIT也在企业的IT组织中大行其道。除了CIO，IT服务经理们也对它开始感兴趣，因为它能够帮助他们引导IT组织向可衡量和过程完美的方向发展。

当CIO为一个新的系统规划小组定义使命和目标时，他找到我说：“给我你的COBIT具体控制目标，我需要它的帮助！”我只需向他指出PO1到PO5的目标。