用九個步驟來評估企業資訊治理作業(GEIT Processes)

原文[Nine Steps to Assess GEIT Processes] 摘要自ISACA COBIT FOCUS |9 March 2015

By Leela Ravi Shankar Dhulipalla, CGEIT, COBIT 5 Certified Assessor, Implementer and Accredited Trainer, PMP

WCSAG5-DOWNLOAD_頁面_01

COBIT 評估程序( COBIT Assessment Programme)是用來支持在於可理解的、邏輯性的、可重複執行的、及可靠的方法裡,評估資訊作業能力,它是根據國際 ISO/IEC 15504的標準),評估的結果可提供資訊作業能力的確認和用來作為流程改善,衡量目前或專案營運目標、標竿、一致的報告及組織法規遵循的達成。

這九個步驟分別包含:

  1. 針對利害關係人舉行COBIT 5 宣導教育訓練 – 確保所有關係人都會來參加,瞭解整個評估活動內容,是成功之鑰。
  2. 與營運單位和資訊部門負責小組訪談,瞭解目前困難問題之處和有機會的地方 – 透過這個方式進一步掌握企業內部管理的面向及解決問題的優先順序。
  3. 進行目標級聯機制來安排適用COBIT 5作業流程順序 – 讓組織套用COBIT 5目標級聯框架,以評估資訊相關作業是否有達到企業整體及利害關係人需求的目標。
  4. 取得與COBIT 5作業流程一致性的範圍及應該具備的能力水平 – 確保每項作業都有達到該設定水平標準,若未達標的處理方式為何?
  5. 識別各個流程作業的主管人員並做適當的簡介-要注意本項作業的焦點是放在評估流程是否符合營運目標,而不是在責怪個人作業績效。
  6. 取得需要的證據用來連結本次評估所採用的方法 – 相關證據的取得,皆可輕易連結到所涉入評估的流程作業。
  7. 使用直接及間接的方法驗證與收集額外證據的有效性—有些文件可以直接做為參考證據,但有些證據必須透過一些方法程序收集而得,例如測試結果等。
  8. 進行作業成熟度評比—針對每項作業給多適度的評比,看落在哪個成熟度水平階段。
  9. 呈報辨識出來的優缺點及改善的機會-評估結果必須要寫進輸出文件做為報告並提供給評估推廌者。

以上作業,皆必須透過合格認證的COBIT 評估員(Certified COBIT Assessor)來執行,相關資料請參考ISACA網站:http://www.isaca.org/COBIT/Pages/COBIT-Assessment-Programme.aspx

 

關於 David Chuang

CFE舞弊稽核師、資料分析與電腦稽核專家 現 任: 台北商業技術學院會計資訊系兼任講師 - 電腦審計 兆益數位股份有限公司 總經理 中華民國電腦稽核協會理事專業發展委員會主任委員 台灣舞弊防治與鑑識協會理事暨會員發展與服務委員會主任委員