企业IT架构.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * COBIT導向三：以控制為基礎 COBIT為34種通用IT程序分別制訂多項控制目標(control objective)，以PO1程序為例，有以下6項控制目標： PO1.1：IT價值管理。 PO1.2：企業與IT協調一致。 PO1.3：目前能量與效能之評估。 PO1.4：IT戰略性規劃。 PO1.5：IT戰術性規劃。 PO1.6：IT群組管理。 COBIT除了為每種IT程序制訂專屬的控制目標外，也制訂了6項適用於所有程序的通用程序控制(PC)(見次頁)。個別程序的專屬控制目標加上通用控制程序，構成完整的控制規範。 屏東商業技術學院 周國華 * 通用程序控制 COBIT制訂6項適用於所有程序的通用程序控制(process control, PC)： PC1：定義及傳達程序目的及目標。 PC2：指定一位程序負責人，並明訂其角色及責任。 PC3：程序應設計成可重複運作並產生一致的結果，並具有足夠彈性以處理意外狀況。 PC4：定義程序內的關鍵作業及最終產品，為關鍵作業指派角色及責任。 PC5：定義及傳達政策、計畫及程序如何驅動特定IT程序。 PC6：找出一組能對特定程序的成果及效能提供洞察力的衡量指標。 屏東商業技術學院 周國華 * RACI 圖表 COBIT使用RACI圖表來說明每個程序內各項作業的角色及責任，RACI代表： Responsible (R)：負責將任務完成。 Accountable (A)：提供指引及批准作業，負最終責任。 Consulted (C)：被諮詢。 Informed (I)：被告知。 例如，PO1程序的RACI圖表如下： 屏東商業技術學院 周國華 * 企業內控及IT控制 COBIT把企業內部控制系統對IT的影響分成三個層次： 高階主管層：企業高階主管負責制訂企業政策及目標，其中包含公司治理方法及控制架構。IT控制環境則由此套政策及目標所導引。 企業程序層：企業程序內的每一項作業都需要控制。大部分企業程序都已自動化，並且與IT應用系統整合，因此相關的控制也採自動化處理。企業程序層的控制稱為應用控制(application control)，包含由IT部門提供的自動化控制服務，以及仍有必要的人工化控制(例如：交易授權、工作劃分、人工調節等)。 IT整合性服務：企業各部門所使用的網路、資料庫及通用軟硬體等IT相關服務在大多數企業內是以整合性的方式由IT部門提供，IT部門對這些整合性的服務必須做適當的控制，這類控制稱為一般性控制(general control)。 一般性控制是應用控制的前提：唯有在一般性控制提供可靠性後，應用控制的可靠性才能達成。 屏東商業技術學院 周國華 * IT 一般性控制及應用控制 IT一般性控制內建在前述34種通用IT程序及服務內，例如： 系統發展。 變革管理。 安全性。 電腦運作。 IT應用控制內建在個別企業程序的應用系統內，例如： 完整性(completeness)。 精確性(accuracy)。 適當性(validity)。 已獲授權(authorization)。 工作劃分(segregation of duties)。 COBIT認為，IT一般性控制的責任在IT部門，IT應用控制的責任則由IT部門及企業各部門共同承擔。 屏東商業技術學院 周國華 * 應用控制目標 COBIT的核心內容是IT一般性控制，但它也提供了6項建議性的應用控制目標： AC1：原始資料編製及授權。 AC2：原始資料蒐集及登錄。 AC3：精確性、完整性及確實性檢查。 AC4：處理完整性及適當性。 AC5：輸出檢核、調節及錯誤處理。 AC6：交易授權及完整性。 屏東商業技術學院 周國華 * COBIT導向四：用衡量來驅動 管理當局必須對IT系統是否達到預期目標做出客觀的評價，以做為進一步改進的參考。 COBIT對於如何評價每一種IT程序的現狀及效能，提供一套系統性的方法： IT、程序及作業的績效目標及衡量指標(範例見次頁)。 成熟度模型(maturity model)：COBIT借用軟體工程領域的CMM方法，把IT程序的管理及控制成熟度分成(0)到(5)等六個等級： (0) 不存在：並無任何管理控制。 (1) 剛起步：有管控程序，但缺乏組織。 (2) 以直覺方式重複：管控程序已遵循某種樣式。 (3) 程序已定義：管控程序已文件化並在組織內傳達。 (4) 已管理並且可衡量：管控程序已受監督及衡量。 (5) 達到最適化：管控程序遵循最佳實務且自動化進行。 屏東商業技術學院 周國華 * 績效目標(goal)及衡量指標(metric)範例：PO1程序 屏東商業技術學