¿Cómo se aplica COBIT en la gestión empresarial?
(A) Como modelo central de gobernanza de la tecnología de la información
La gobernanza de TI eficaz debe garantizar la coherencia de la estrategia organizacional y la estrategia de TI, y considerar la estrategia organizacional como la base de la construcción y guía de operación. Posicionar TI, crear principios rectores para la tecnología de la información desde una perspectiva empresarial, aprovechar al máximo los recursos existentes de la organización para satisfacer las necesidades clave y evitar sistemas de información que no puedan respaldar eficazmente la toma de decisiones de la organización.
COBIT posiciona los objetivos y el alcance del gobierno de TI y se coordina con los estándares de gobierno corporativo. COBIT cree que el gobierno de TI es responsabilidad de la gerencia y la junta directiva. Garantiza que la estrategia y los objetivos de la organización sean respaldados y ampliados a través del liderazgo, la estructura organizacional y los procesos correspondientes. Se trata de un sistema de control de calidad que integra gestión, rendición de cuentas y supervisión. COBIT integra e institucionaliza algunas de las mejores prácticas. Asegúrese de que la TI de la organización respalde los objetivos comerciales. Desde la perspectiva de las cinco áreas clave de gobierno de TI, coordinación estratégica, entrega de valor, gestión de riesgos, gestión de recursos y gestión del desempeño se ha establecido una relación de mapeo con los objetivos, estándares, prácticas y modelo de madurez de COBIT, haciendo que el gobierno de TI sea efectivo en la práctica. .
(2) Como guía para implementar la construcción de información empresarial
Los siguientes problemas son comunes en la construcción de información empresarial de mi país: falta de planificación general y a largo plazo; Gestión ligera; consideraciones de ingresos de luciérnagas, gestión ligera de riesgos y costos; más énfasis en la tecnología y las herramientas que en los procesos y el conocimiento causados por cambios importantes en las estrategias comerciales corporativas; La causa fundamental de estos problemas radica en la falta de mecanismos de control en la construcción y aplicación de los sistemas de información. Faltan objetivos de control en cada eslabón, el sistema de información no satisface las necesidades del negocio, o la eficiencia de uso es demasiado baja por falta de medios efectivos, afectando aún más el normal funcionamiento del negocio.
Las cuatro áreas de COBIT cubren el ciclo de vida completo de la planificación, construcción, operación y monitoreo de TI. Cada proceso tiene objetivos de control claros y modelos de madurez, y define los roles y responsabilidades del proceso. Todos los objetivos están unificados en el modelo de control COBIT. Estas características de COBIT permiten a las empresas analizar y diseñar sistemas de información desde la perspectiva de la estrategia empresarial y, con la ayuda de criterios de control y modelos de madurez, implementar mejor el principio de costo-beneficio en el proceso de construcción de información. La aclaración de los roles y responsabilidades del proceso no es solo la implementación de principios de gestión científica, sino que también puede compensar las deficiencias del sistema en el proceso de construcción de información.
(3) Como referencia para establecer y optimizar el control interno de TI
Muchos gerentes de empresas nacionales todavía tienen solo un nivel de control manual en su comprensión del control interno y no han establecido un Conjunto completo de controles internos de tecnología de la información para reducir los riesgos asociados con el uso de una gran cantidad de sistemas de información críticos. Esto se refleja principalmente en la falta de comunicación efectiva entre los departamentos de TI y entre los departamentos de TI y los departamentos comerciales, que no pueden garantizar que el trabajo del departamento de tecnología de la información pueda satisfacer plenamente las necesidades del negocio. La empresa carece de un mecanismo de auditoría interna de TI eficaz para supervisar el trabajo del departamento de tecnología de la información, carece de una gestión perfecta del control de acceso a los datos y del sistema, carece de una gestión eficaz de los cambios del sistema, carece de una gestión perfecta del desarrollo del sistema y carece de un control perfecto de la operación del sistema, lo que resulta en Cuando ocurre una falla en el sistema, la falla no se puede descubrir y resolver a tiempo, lo que resulta en la pérdida de datos (Gao Zhiwei, Li Ke, 2006). Estos problemas deben ser resueltos urgentemente por empresas nacionales que utilizan una gran cantidad de sistemas de información. De lo contrario, una vez que las amenazas de riesgo se transforman en pérdidas reales, el grado de pérdida puede ser insoportable para las empresas.
Aunque COSO es un marco global para comprender y evaluar los controles internos, es un marco conceptual altamente abstracto que no proporciona orientación para objetivos y actividades de control específicos, ni propone controles específicos para el entorno de TI. requisitos, por lo que su valor de aplicación para el entorno de TI se reduce considerablemente. COBIT es un marco de control y gestión de riesgos de tecnología de la información, no un marco de control interno. Todavía se basa en el marco COSO y proporciona orientación general sobre varios aspectos del entorno de control de TI. COBIT no sólo define una conexión clara entre sus estándares de control y los objetivos de control de COSO, sino que también establece una relación de mapeo entre sus 34 procesos y los cinco elementos de COSO.
COBIT formula una serie de objetivos de control detallados para el entorno de TI y coloca estos objetivos de control bajo una estructura de control lógica, que es altamente aplicable. Por lo tanto, se puede decir que el marco COBIT es un complemento útil del marco COSO en el entorno de TI.
Para las empresas que no han establecido controles internos de TI, algunos puntos de control clave pueden controlarse en función de los resultados de la evaluación de riesgos. Para organizaciones que inicialmente han establecido controles internos de TI. De acuerdo con los requisitos de COBIT, se puede analizar el estado actual del control interno de TI de la empresa, se pueden encontrar brechas y se pueden determinar los puntos de control que deben agregarse o mejorarse. Las actividades de control en cada punto de control deben describirse y documentarse claramente, y estas actividades de control deben ser operables y comprobables, formando en última instancia una matriz de control de TI. Las empresas deben completar un conjunto de documentos relacionados con el control de TI y luego implementar los puntos de control de TI identificados mediante un trabajo meticuloso y sólido, para que se pueda implementar el control de TI.
(D) Como herramienta para la auditoría de tecnologías de la información
El propósito de la auditoría de TI es resolver a fondo los problemas relacionados con el negocio empresarial en la planificación, construcción, implementación, mantenimiento y control. de los sistemas de información desde el aspecto de aseguramiento del sistema, gestión e integración de estrategias. A través de métodos cuantitativos, se puede equilibrar el impacto de los sistemas de información dietética en los negocios corporativos, y luego se pueden evaluar los factores de riesgo y los factores de valor que afectan a las especies, y se pueden emitir opiniones de auditoría financiera similares sobre la calidad, los métodos, los procesos y el desempeño de el sistema de información. Esto permite que la junta directiva y la gerencia comprendan y comprendan verdaderamente el papel central de los sistemas de información en la empresa.
El proceso de negocio de TI es el foco de COBIT, para cada proceso de negocio de TI. COBIT propone una serie de objetivos de control, los procedimientos de control correspondientes para lograr estos objetivos de control y una serie de procedimientos de auditoría para evaluar si dichos procedimientos de control existen y se implementan efectivamente. Este estándar proporciona estándares universalmente aceptados para el gobierno, la seguridad y el control de TI para ayudar a la administración en el gobierno de TI. Para mejorar la comprensión de los modelos de procesos de TI, COBIT define cada proceso de TI, describe cada proceso y sus entradas/salidas básicas y su relación con otros procesos, e identifica de qué proceso proviene, a qué proceso va o si existen otros caminos. La vinculación de estas entradas y salidas permite identificar los procesos clave en COBIT. Es conveniente que los auditores comprendan los objetos de la auditoría y sus controles relacionados.
Al utilizar COBIT para implementar auditorías de TI, puede comenzar con los objetivos de control en los procesos relacionados con COBIT, realizar análisis de riesgos y obtener los objetivos de control de riesgos relacionados con el proceso, y luego deducir los objetivos relacionados. a los objetivos desde los objetivos de control de riesgos. Puntos de control de riesgos relevantes. Para cada punto de control de riesgos, combinado con las características técnicas propias de la empresa, descubra los puntos de control de riesgos que contiene. Los puntos de control de riesgos pueden formar una lista de verificación de partes relevantes. Con base en los resultados de la inspección, compare con los requisitos en las partes relevantes de COBIT para identificar las debilidades relevantes y hacer las correspondientes sugerencias de mejora. Existen dos métodos principales de deducción entre los objetivos de control de riesgos y las inspecciones de riesgos. Uno es de abajo hacia arriba, es decir, a partir de procesos de gestión específicos o medidas técnicas de implementación. Obtener los puntos de control de riesgos correspondientes y perfeccionarlos. Finalmente, se derivan los objetivos de control de riesgos; uno es de arriba hacia abajo. Con base en los estándares diarios de control de riesgos, los puntos de control de riesgos correspondientes se descomponen y subdividen hasta que los puntos de control se puedan obtener directamente. Finalmente, los estándares diarios de control de riesgos se comparan con los objetivos de control de los procesos relacionados con COBIT para garantizar la integridad de todos los objetivos de auditoría del sistema de información.