不断复杂化的技术和商业环境让经验丰富的cio和IT高管们颇受挑战。他们面临着的是逐渐缜密的法规环境、业务合并和收购，以及新的组织架构下IT的相关工作。通常在这些情况下，需要完成的是对IT组织结构、和业务部门的关系、整体控制环境的有效性评估。聪明的IT高管们发现，不管在增强IT组织的领导力方面，还是建立与外部审计师的关系并积极影响IT治理上，用COBIT的框架知识来武装自己都不失为一个强有力的方法和途径。
　　近年来美国一系列法规应运而生，如萨班斯法案（Sarbanes-Oxley Act）、爱国法案（Patriot Act）、支付卡产业法规遵从（payment card industry compliance）等等，他们的出现明显影响了新建企业和公司的商业操作。上市企业与未上市公司通常拥有一套复杂的、相互依赖的运营流程，以及与之相应的IT系统。新成立的公司面临着在快速增长的环境下将不正规的业务流程向高度组织化、和可审查化转变的压力，尤其当公司打算上市时，这种压力更为突出。在转变过程中，IT经理们发现他们其实是在与审计师、公司同事和外部董事会建立跨越职能部门的联系。同时，拥有一个评估有效性和IT部门所存在风险的方案结构也会非常有助于这一转变的达成。
　　COBIT评估框架
　　COBIT为我们提供了一个全面的涉及公司层面和整体运营的控制框架。COBIT关注的是IT控制，却是部分建立在COSO框架之上的，而COSO关注的是对财务流程的控制。证实财务数据和流程的准确性，必然需要对直接接触财务报告的信息系统控制有足够信心，因而COSO和COBIT的使用为我们提供了一个衡量业务和IT控制的工具。
　　COBIT控制框架是由概要的控制目标构成，然后再导出与该目标相关的风险控制点。IT经理们通过平衡和影响各个控制点之间的关系来评估当前的运营状况，并将其包含在应有的评估调研活动中。各位应该都注意到，这只是COBIT 4.0全部控制框架的一个子集，COBIT 4.0还发布了战略整合、政策开发和监控流程。
　　CIO们未必需要了解COBIT框架的全部细节，他们可以使用控制目标更高层面的内容来指导IT各职能部门的评估和调研项目。
　　公司层面战略、关系和沟通
　　综观整个COBIT框架，不管所属什么行业，我们都能很快辨识出能影响整体IT运营的IT关系和治理的主要范围。在企业控制层面，CIO们始终必须评估IT与业务的全面关系。企业层面的控制点通过IT治理委员会和其他相关部门来发布言论，诸如：IT组织与业务怎样顺利沟通，在建立IT项目当前状态时IT与业务关联的流程，如何同时有效地保障外部董事会和IT投IT组织怎样利用架构矩阵来衡量IT绩效和价值等等。对照高级别的公司层面控制点对业务合并进行通盘考虑，CIO将可以洞察到IT和业务在企业运营全局上的重要关系。
　　对比COBIT常规控制点评估IT流程
　　CIO们也可以依照COBIT去评估一些特殊的IT流程，例如：应用变化管理流程，问题管理流程和系统开发生命周期（SDLC）流程。IT内部安全职能部门和基础架构管理层实施都很繁杂，IT负责人可以根据常规控制目标来评估他们在遵循公司制度、保障持续的安全实施、和依照流程管理生产环境组织结构配置的变化等方面如何充分。评估数据管理和实施管理的控制目标也包括日常的电脑操作。
　　大多数IT组织都有这样的一个特点，拥有多种第三方关系：硬件、软件供应商，外包合作方，安全管理服务供应商（MSSPs），IT审计师等等。为了确保IT第三方供应商遵守公司政策，满足IT架构设计需求，并且在公司业务流程范围内实施，COBIT控制框架也覆盖了这一范畴。
　　合并和收购
　　一个企业面临的最大挑战之一是与另一个组织的业务合并或者收购。另一个组织IT实施中无法预见的问题或缺陷往往会破坏最终合并的成功，或者削弱合并的价值。此刻，CIO们察觉到身居此位必须要立即对欲被合并或被收购对象的IT运营做一次快速的、前瞻性的评估。就这方面来说，双方公司都已经实行了一套常规的审计框架，项目预先调研团队可以利用一个已有框架来评估IT运营。即使没有，COBIT框架同样能便利地为他们提供评估所需的任务清单。
　　为IPO做准备
　　上市公司CIO身上的压力在未上市公司里往往是感受不到的。上市公司如同被放置于显微镜下一般去表明自己的业务流程是有效的、并能够经得起审计的，同时也包括支撑业务流程的那些业务体系。为应对萨班斯（SOX）法案的产生，IT部门不得不从根本上变革一个甚至多个内部主要运营流程。
　　近期准备上市的公司需要准备一份谅解备忘录，以说明上市可能带来的公司运营及业务流程上的变化。基于和风险投资商的沟通，大家都会明确一点：对合规给予更多的重视其实是在提升公司的价值。
　　一个有头脑的管理团队能够在上市之前就做好定位，并在早期开始逐渐导入SOX法案合规流程，以帮助快速成长的公司顺应法规变化。此外，无论新上任的、或是资深的IT执行官都应该借助于外部审计熟悉的控制框架，最大化避免审计时返工。目前，COBIT已经是公认的、并为美国所有大型审计公司广泛使用的控制框架。
　　联合内部审计部门
　　同时，IT负责人可以寻求公司内部审计职能人员中的可用资源来帮助评估和实施COBIT框架。大多数大中型企业的内部审计人员都很熟悉内部业务审计操作，其中不乏一些还是了解IT审计框架的。
　　此时CIO们就可以通过在组织中采用IT审计框架来确立与内部审计部门有力有效的关系。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。