在七月份國際電腦稽核協會(ISACA)所出的「COBIT焦點」會訊中的焦點話題,是哥倫比亞國家石油公司資訊部門的IT法令遵循主管Alberto León Lozano, CISA, CGEIT, CIA, CRMA, 所撰寫「哥倫比亞國家石油公司如何將 IT 治理, 風險管理和合規與COBIT 5連結」, 這是一篇難得由實務界所提出成功導入COBIT 5 的案例,值得向國內業界推薦。如同策略更新的一部份,哥倫比亞國家石油公司(Ecopetrol)是一個垂直整合的能源公司,它開始以成長目標及加強內部控制系統來進行公司轉型,他們知道他們需要一個明確的資訊服務治理與管理方法,比照最好的全球標準與架構,因此,採用COSO與COBIT框架,協助整合強大的IT治理實踐與完整地配合公司內部控制的措施。
2007年,哥倫比亞國家石油公司更改它的公司經營策略,這需要重大的組織結構和流程變更來支持策略目標,因此,它的重要哩程碑,例如公司法人組織的改造,國際業務的啟動和採用COSO內部控制整合框架,進行適當地安排以強化內部控制制度,公司開始於2008年9月於紐約證券交易所(NYSE)上市公開交易股票。
對準策略藍圖,並及時提供有效回應該公司各種狀況所產生的需求,哥倫比亞國家石油公司的資訊技術部(DTI)決定在2008年整合IT管理系統,它是基於一個適當的框架, COBIT被選為合適於IT治理架構來實現其IT管理系統。
IT管理系統納入了COBIT 4.1框架,涵蓋了支持該公司資訊的可靠性和安全性的關鍵IT控制目標,在過去的五年IT管理系統的作業,IT風險管理和法規遵循已經獲得成功,然而,資訊部門一直不斷的在警惕公司所建立成長和營運卓越的挑戰,目的是將促進這些結果可持續性的最佳做法。
之後COBIT 5的發布,資訊部建立一套策略,以擴大目前的做法,保證了系統的一致性和穩定度,藉此擴大新的管理和治理措施。
本文作者想要藉此表現流程管理系統的實行和可持續性是基於COBIT和對企業的內部控制系統的可靠性之積極影響的結果;提出一套有效方法來實行COBIT 5 ,來決定用最新典範消除差距,以促進公司內企業資訊治理與管理(GEIT)不斷地持續改進,做為經營模式的延展;呈現出一個作業成熟度評估的結果,包括能力和功效,透過結合新的作業評估模型來做以及如何評估使企業能夠制定明確的行動,以關閉差距達到並保持在成熟的過程中預期的水平。
文章中特別強調為什麼哥倫比亞國家石油公司最後會選擇COBIT?主要是它們根據下面幾項特色來選擇COBIT做為適合的IT治理框架整合現有IT管理系統:
- 將資訊科技(IT)目標對映到營運目標(business goals)
- 根據營運重點做最好的調控
- IT所做觀點是可以受到管理階層理解的
- 根據流程導向明確地所有權及責任指向
- 普遍被第三方和監理單位接受
- 一種基於在所有利益相關者之間的共同語言所達成的共識
- COSO的推行及美國Sarbanes-Oxley法案對IT控制環境的要求
在2008年第四季,Ecopetrol的資訊部門定義出執行準則、作業流程、及控制目標,同樣的,資訊部門決定要支持制度執行的內部資源和分配資源來僱用所需要的外部顧問。他們成立一個專案,並且特別思考到下列幾個重要議題:
- 解決資源分配,並從參與IT各領域中的代表建立一個跨界團隊
- 定義與業務單位及其他支援單位的關係點,並與財務、風險、策略、品質、內部和外部稽核等主要領域,持續進行互動
- 與IT技術支援團隊在傳輸作業中整合與融合,引領期盼的COBIT實施工作
- 與營運專案一致,加強內部控制制度(COSO)和法規遵循(Sarbanes-Oxley法案),資訊部門考量各項業務計劃和正在進行的專案,以確保工作的協調和整合。
- 建立高階管理層報告,每週進行專案進度追踪會議上。
- 先確定對營運流程重要的應用系統(Sarbanes-Oxley法案,在SAP最主要的部份)和其他作業程序,與這些應用系統有關的人、資源及基礎架構相同的瞭解。
關鍵成功的要素
- 使用COBIT被建構成一個詳細的工作計劃,明確階段性目標,有奉獻精神和信賴於專案管理、風險管理、專案時間和交付控制的團隊分工。
- 專案團隊具有管理當局的全力支持,提供進度報告,並提出需要確認的任何偏差和改善行動。
- 公司聘請知名、專業的顧問公司,他們以豐富的知識和經驗來整合團隊。
- 該專案的規劃、發展和成果在公司內部進行有效的溝通。
- 由流程負責人和控制責任的作業方式應獲確保和正規化。
- 該專案良好整合,以各領域的參與和綜效應被充分利用,特別是與IT支援團隊的日常運行作業,其提供先前努力的結果,並保證企業用戶的觀點。
- 建立管理知識經驗分享交流社群。
- 制定流程可持續策略和進一步優化。
- IT部門與稽核團隊有效互動。
- 特別注重所賦予的職能分工、權限控管、營運持續規劃、軟體開發和資訊安全問題。
- 成熟度評估是由具備專業能力和獨立性的第三方單位執行。
- 必須要有20餘名員工通過ISACA的COBIT基礎考試認證。
- 有些員工必須要是ISACA的會員,讓他們可以容易獲得更多細部指導指引。
有關詳細內容,可以上ISACA網站搜尋!