COBIT 5 的促成因素:原则、政策和框架
原则和政策是指落实到位的用于传达治理机构和管理层的指导和指示的交流机制。
原则、政策和框架促成因素与通用促成因素比较的具体情况在下图中显示。原则、政策和框架模型的如下:
利益相关者
原则和政策的利益相关者可以是企业内部和外部的。他们包括董事会和高级管理层、合规人员、风险管理、内部和外部审计、服务供 应商和客户、和监管机构。 利害关系是双重的:一些利益相关者定义和制定政策,另一些人必须与政策保持一致, 遵守政策。
目标和评价指标
方针、政策和框架是传达企业规则, 以支持治理目标和企业价值观的工具,由董事会和高级管理层定义。原则需要:
- 数量限制
- 用简单的语言表达,尽可能清楚地表达企业的核心价值观
政策提供如何将原则付诸实践以及他们影响决策如何与原则一致的更详细的指导。良好的政策是:
- 有效的——实现既定的目的
- 高效的——他们保证以最高效的方式实施原则。
- 非侵入式的——它们对那些必须遵守他们的人来说看上去符合逻辑,也就是说,他们不造成不必要的阻力。
访问政策: 是否有一个在用的机制,为所有利益相关者提供方便的访问的政策呢?换言之, 利益相关者是否知道在哪里找到这些政策?
治理和管理框架应该为管理层提供结构、 指导、 工具等, 允许企业合适的 IT治理和管理。该框架应是:
- 综合的,涵盖所有必需的领域
- 开放的和灵活的,允许适应企业的具体情况
- 当前的,即反映了企业的当前方向和当前治理目标
- 对所有利益相关者可用和可访问
生命周期
该政策有一个生命周期来支持实施完成既定的目标。架构是关键,因为它们为统一指导提供了框架。例如,一个政策框架提供了可以建立和维持的一致政策的框架,同时它在个人保险之间也提供了一种简单的指向性标识。
根据企业运作的外部环境,它们为了加强内部的控制,会随着法规要求的程度不同而不同,结果造就了一个很牢固的政策框架。货币政策是政策框架要考虑的一个方面——如果当政策评估或更新时,是否有完善的机制来确保人们能够知道这些更新,这些最新版本是否很容易被接受,那些废弃的框架是否被归档或废弃?
好的实践
- 优良的实践要求,政策作为全部管理和管理框架的一部分,提供了一种所有政策都能适应的框架并且使这种联系基于以下原则。
- 作为政策框架的一部分,下面的条目需要指出:
- 作用域和有效性
- 不遵循政策的结果
- 例外处理的途径
- 政策的承诺方式需要检查和判断
- 一般公认的,在实际情况中管理和管理框架能够提供有价值的引导
- 政策应该和企业的风险偏好相契合。政策是企业内部控制系统的关键一环,其目的是管理和限制风险。作为风险管理活动的一部分,要确定企业的风险偏好,并且应该反映在政策中。一个不愿意承担风险的企业比激进的企业应该有更加严密的政策。
- 应该定期更新政策
与其他促成因素的关系
与其它促成因素的联系包括:
- 原则、政策和框架应该反映企业的文化与道德价值,并且应该鼓励他们所期待的行为。因此,在政策和文化、道德价值以及行为之间有很强的联系。
- 流程控制实践和活动对于执行政策是最重要的。
- 组织机构能够在它们的控制范围内确定和实施政策,并且他们的活动也由确定。
- 政策同时也是信息,所以所有与信息适应的实践也与政策相适应。
例:社会媒体
一个企业从员工到利益相关者正考虑如何处理快速发展的社会媒体和压力。直到现在,因为安全因素,这个公司还坚持远离这类服务。
关于社会媒体,有来自各个方面的压力。员工希望得到与在家相同级别的酬劳,而公司本身为了市场和提升知名度也想应用和开发社会媒体的效益。
在企业网络和系统中,这个决定被用来确定政策,包括公司提供给员工的笔记本电脑。新政策在“接收可用的政策”这一策略下,可以和既有的政策框架契合,而较之前的政策更宽松。结果,为了解释施行新政策的理由,通信得到了发展。同时,对其他促成因素也产生了影响:
员工需要学习如何应用新媒体以避免为公司造成困境。他们需要根据公司正在发展和实施的得体行为而学习得体的行为。
许多关于安全性的程序需要改变。数据对度媒体是开放的,所以安全设置和配置必须改变,并且一些补偿措施也需要重新定义。
最近更新于 2022-05-14, 由 孜孜不倦 于 2022-05-08 发布, 已阅 1209 次。