Home / Resources / News and Trends / Industry News / 2018 / Process Capability Assessment Using COBIT 5 as a Compliance Requirement

以 COBIT 5 作为合规要求进行流程能力评估

Process Capability Assessment Using COBIT 5 as a Compliance Requirement
Author: Peter C. Tessin, CISA, CRISC, CISM, CGEIT
Date Published: 6 December 2018
English

澳门赌场官方下载信息技术的治理和管理 (GEIT) 是运用澳门赌场官方下载资源(动力)为澳门赌场官方下载利益相关方创造和提供价值的实践。ISACA 的 COBIT 5 GEIT 框架非常完善,从面世到 2017 年已达 20 周年,被广泛应用于世界各地的众多行业。

COBIT 5 的早期雏形是一种基于控制目标的审计师工具。经过这些年来的多次修订,它已从这一狭窄的应用领域发展为广泛的优秀实践集合,这些实践只需经过调整便能满足澳门赌场官方下载需求,而且能够不限于地理位置、行业或其他框架和标准进行应用。除了隐私行业以外,COBIT 5 现在也成为了政府机关对金融机构的强制性要求。COBIT 的设计者最初预期 COBIT 将会根据需要进行修改,而不是作为一项伪标准;然而上述转变为 COBIT 所引入的合规性用途,却是其设计者始料未及的。

2016 年 12 月,约旦中央银行 (CBJ) 颁布了一项指令,要求在约旦境内运营的所有银行使用 COBIT 5 和《COBIT 流程评估模型 (PAM):使用 COBIT 5》。这只是距今最近的一项政府要求使用 COBIT 的实例,但并不是首例。CBJ 条例中规定,银行必须使用 PAM 来确定其使用 COBIT 5 的程度,并给出具体的流程能力级别目标。

PAM 将评估定义为,参照流程能力级别定义来检查和衡量证据材料。一旦有证据证明某个流程确实存在,便可参照 5 个级别指定相应的能力级别。对于宣称已实施但没有足够的证据证明其已实现所述目标的流程,PAM 设定了 0 级能力。

设计澳门赌场官方下载的治理结构是一个多步骤的流程,最终往往会建立一套独特的流程来推动澳门赌场官方下载实现其目标。但话虽如此,如果政府实体或机关强制要求澳门赌场官方下载使用 COBIT 5 和 PAM 来衡量其流程能力,那么没有理由认为该框架无法使用。

设计澳门赌场官方下载的治理结构是一个多步骤的流程,最终往往会建立一套独特的流程来推动澳门赌场官方下载实现其目标。

COBIT 5 中现存的流程集合源自该框架多年来的演变历程,以及创造 COBIT 5 的资源所倾注的集中开发努力。在澳门赌场官方下载内直接应用这些流程可确保澳门赌场官方下载不会出现任何重大疏漏。治理从业者可能会马上辩驳,所产生的治理结构未经过优化,这一点是不可否认的。然而,从监管机构的角度而言,参照一个固定的标准来衡量所有市场参与者有着非常现实的价值。如果政府的目标是对金融行业实施更严格的管控,那么这一角度具有更广泛的有效性。

从业者如果必须在合规性环境中开展评估,他们需要完成的工作会更多一些,因为他们很可能需要参照 COBIT 5 中所有 37 个流程开展评估,而不是在从战略角度选择的范围内开展评估。尽管如此,COBIT 5 内的流程定义非常明确,评估者无需花费额外的精力学习澳门赌场官方下载独有 COBIT 5 设计和实施中存在的细微差别。

需要提醒评估者的是,评估必须按照现有状态进行,而不是按照评估者认为更适合该澳门赌场官方下载的设计进行,这一点非常重要。因此,监管机构严格遵循 COBIT 5 最终被证明是一项优势,而不是弊端。

从这个角度来说,评估者必须将焦点放在是否完成了流程的目标,而不是文档存在与否。评估者经常遇到的一个误区是,将 PAM 误解为一个流程必须存在那么多的实例,或者必须存在特定数量和类型的证据文档。要想以最佳方式评估流程能力,评估者必须经常询问,是否有可获取的证据证明已完成或实现流程的目标。如果是,则评估者可以开始考虑更高的能力级别,并寻找流程定义、流程绩效衡量等证据。

任何评估者(内部资源或其他资源)如果在合规性实务中面临使用 COBIT 5 来执行流程能力评估的任务,他们大可放心,这是一项非常直观的实务,不存在任何特别的困难。只需运用 PAM、框架和《COBIT 5:启用流程》便可迎刃而解。

Peter C. Tessin,CISA、CRISC、CISM、CGEIT

Tessin 是 Discover Financial Services 的一位高级经理。他负责领导商业技术 (BT) 风险部门内的治理小组。在此职位,他主要负责确保政策、标准和程序与澳门赌场官方下载目标保持一致。他既是负责监管考试管理的内部方,也是澳门赌场官方下载风险管理部门的内部联络人。在担任此职位之前,Tessin 是 ISACA 的一位技术研究经理,期间,他担任 COBIT 5 的项目经理,领导开发了其他 COBIT 5 相关的出版物、白皮书和文章。Tessin 还曾在 ISACA 网站 COBIT Online 的设计工作中担任核心角色,该网站提供了方便的途径访问 COBIT 5 产品系列,并且包含协助使用 COBIT 的交互式数字工具。在加入 ISACA 之前,Tessin 是一家内部审计事务所的高级经理,领导客户参与工作,并负责 IT 和财务审计团队。之前,Tessin 还曾担任多个行业职位,包括会计师、应用开发程序员、会计系统顾问和培训师、业务分析师、项目经理和审计师。他在原籍国美国之外的许多国家/地区有过丰富的工作经验,包括澳大利亚、加拿大、法国、德国、意大利、约旦、墨西哥和英国。