cobit成功案例

               

卢森堡Cedel集团
摘要
Cedel集团业务经营方式的重大改变使得它必须检查其控制模式，更新政策陈述。COBIT的成功实施源于高级管理层、IT和最终用户的共同努力。业务目标与审计和控制政策紧紧联系在一起，业务从IT审计和控制活动中得到增加的价值。
背景
Cedel集团成立于1970年，是全球66个主要金融机构的清算所，它能够使国际证券交易的风险最小化，尤其是在欧洲债券市场。它在卢森堡、杜拜、香港、伦敦、纽约、东京各地拥有800名以上的员工，与30多个国家的证券市场建立了联系。1997年结算量超过了15万亿美元，Cedel银行保管了1.4万亿美元的顾客证券。随着国际业务的增长，平均每个交易日可完成价值1000亿美元的交易。
虽然我们以前的IT环境是平稳可靠、满足业务需求的，但我们需要加强对IT环境的控制。在80年代后期，我们经历了新的业务机遇，需要更成熟的IT，需要开发新的客户/服务器应用，而PC和电信网络环境也发生了翻天覆地的变化。
在新的环境中，虽然Cedel集团的系统政策陈述仍然能够应用和执行，但进行控制的方法却不断出现问题。例如，与先前的DOS/Novell环境相关的政策不允许用户在同一时间多次登陆系统。这样，如果用户没有注销正常工作地点的登陆，那么他就不能在其他地点登陆系统。越来越多的问题要求舍弃和更改原来的政策。
过程
面临着制定和维护适用于技术、环境和流程变化的控制政策的挑战，我们利用这个机会对IT审计方法做了一个检查。我们研究了几个可能的替代方法，发现COBIT是最合适的一个。
我们在1996年的一次审计活动中开始使用COBIT，最后这次审计活动取得了成功。
由于这次审计活动的鼓舞，IT部门开始考虑将COBIT作为新的Cedel集团政策陈述的框架的可能性。负责这项活动的经理说：“COBIT用一种新的逻辑性的方式描述它的控制目标，很有实施可能。”
于是我们根据COBIT制定了Cedel的政策，这些新政策适用于所有的技术平台。另外高级管理层对风险和控制的关心也多起来了。随着经理们对控制的业务利益的认识加深，他们也能解决实现业务目标与管理控制之间的冲突了。
结论
当我们实施COBIT的时候，发现它对实用的业务和效率的强调是与其他方法不同的地方。根据COBIT的原则，我们现在根据受审者的业务和运营目标来设计审计活动。审计活动现在是自上而下的进行，而不是从中间层向下进行。COBIT被证明是一个十分有效的审计方法，高级管理层也从这种审计方法中找到了审计带来业务价值。
基于我们组织成功实施COBIT的经验，我鼓励同事从IT管理角度对COBIT进行更深入的研究。COBIT是一种维护和改进控制环境的灵活而可靠的方法。

美国麻萨诸塞州州立审计署
摘要
州立审计署是麻萨