孟凡菲

一、引言

隨著IT 技術(shù)的普及和不斷發(fā)展，越來越多的企業(yè)將信息系統(tǒng)作為企業(yè)日常運(yùn)行的工具，所以信息系統(tǒng)能否安全、可靠、有效的運(yùn)行，將關(guān)系到企業(yè)能否正常的運(yùn)轉(zhuǎn)。隨著信息系統(tǒng)的不斷使用，IT 治理和風(fēng)險管理也就顯得尤為重要，這一領(lǐng)域的專家學(xué)者也不斷研究，制定了關(guān)于IT 治理和風(fēng)險管理的參考框架，在諸多框架中，COBIT框架是一個比較權(quán)威并且被廣泛使用的框架，所以本文以COBIT 框架為基礎(chǔ)，討論IT 治理和風(fēng)險管理的相關(guān)問題。

二、相關(guān)理論及概念

（一）COBIT 框架

COBIT 的全稱是信息及相關(guān)技術(shù)控制目標(biāo)。它是國際公認(rèn)的關(guān)于IT 治理和IT 控制方面的框架。COBIT 5.0 在2012 年發(fā)布，它由IT 治理協(xié)會的多方專家共同制定，這些專家來自學(xué)界、政府和實業(yè)的各個領(lǐng)域，他們通過深入研究之后，將各種適當(dāng)?shù)募夹g(shù)和專業(yè)標(biāo)準(zhǔn)結(jié)合起來。

目前在COBIT 5.0 的基礎(chǔ)上，又發(fā)布了新版本，稱為COBIT 2019。新版COBIT具有動態(tài)的IT 環(huán)境，它發(fā)生變化的速度非常快，所以用戶很難匹配上它的更新速度[1]。新版本認(rèn)識到了這些問題并解決了這些問題：通過使COBIT 成為一個動態(tài)的IT 治理框架，可以更快地更新并應(yīng)用用戶的輸入內(nèi)容，從而能保持它與COBIT 社區(qū)的相關(guān)性。

COBIT 2019 在這一領(lǐng)域建立并集成了25 年以上的發(fā)展，它結(jié)合了來自科學(xué)領(lǐng)域的新見解，而且還將這些見解落實為實際操作。在IT 審計社區(qū)的基礎(chǔ)上，COBIT 已成為一個更廣泛和更全面的IT 治理和管理框架，并繼續(xù)將其自身構(gòu)建為全球公認(rèn)的模型。

COBIT 2019 可以描述為針對整個組織的企業(yè)IT 治理和管理的框架。企業(yè)IT 是指企業(yè)為實現(xiàn)其目標(biāo)的所有IT 處理，換句話說，企業(yè)IT 不限于IT 部門的IT 管理。COBIT 2019 定義了構(gòu)建和維持治理系統(tǒng)的組件：流程、政策、程序、組織結(jié)構(gòu)、信息流、技能、基礎(chǔ)架構(gòu)以及文化和行為。這些被稱為COBIT5 中的“啟用碼”。它還定義了組織應(yīng)考慮建立最佳治理制度的設(shè)計因素[2]。

COBIT 2019 更新在以下幾個方面改進(jìn)了：首先，它更好地闡述了IT 治理對于企業(yè)的重要性。在董事會和執(zhí)行管理層的支持下，為了實現(xiàn)效益，實現(xiàn)風(fēng)險優(yōu)化、資源配置優(yōu)化、調(diào)整企業(yè)的業(yè)務(wù)和IT，制定IT 治理方案。將治理方案保持在能夠持續(xù)改進(jìn)的基礎(chǔ)上。這對于企業(yè)來說，將是一個主要優(yōu)勢，并且它引領(lǐng)了技術(shù)方面的新趨勢。例如，增加了開發(fā)業(yè)務(wù)和敏捷開發(fā)概念；考慮了場外業(yè)務(wù)；討論了第三方供應(yīng)商的影響[3]。

其次，它使用最新的標(biāo)準(zhǔn)和工作方法進(jìn)行改進(jìn)更新。COBIT 模型允許引用和與其他來源的概念相一致的其他信息的技術(shù)標(biāo)準(zhǔn)、規(guī)范條例。介紹了重點領(lǐng)域的概念。重點領(lǐng)域描述了一個特定的治理主題、領(lǐng)域或問題，可以通過將治理和管理目標(biāo)的集合及其組合來解決。比如中小企業(yè)、網(wǎng)絡(luò)安全、數(shù)字轉(zhuǎn)換和云計算。重點領(lǐng)域可以包含通用治理組件和變化體的組合。重點領(lǐng)域的數(shù)量實際上是無限的，新的領(lǐng)域可以根據(jù)需要增加[4]。

最后，它更具有規(guī)范性。諸如COBIT 這樣的框架可以是描述性的和指令性的。使COBIT 概念模型實例化，即定制的COBIT 組件被認(rèn)為是如何為IT 建立定制的治理系統(tǒng)的一種處理方法。它是進(jìn)行IT 治理的高性能工具。COBIT 性能的結(jié)構(gòu)，將NCE 管理模型集成到概念模型中。為了更好地與能力成熟度模型集成保持一致，引入了成熟度和能力概念。它增加了新的在線協(xié)作功能。今后的更新將由COBIT 用戶推薦，并由COBIT 指導(dǎo)委員會審查，以確保COBIT 核心框架的質(zhì)量和更新的及時性[5]。

（二）IT 治理

目前，對于IT 治理主要可以匯集成三類觀點：美國加州大學(xué)的教授Robert 認(rèn)為，IT技術(shù)的應(yīng)用對于組織來說在遠(yuǎn)景、使命、戰(zhàn)略目標(biāo)方面有著至關(guān)重要的作用。德勤認(rèn)為IT 治理的主要目的是使IT 與業(yè)務(wù)目標(biāo)保持一致，合理使用IT 資源，對由使用IT 技術(shù)產(chǎn)生的風(fēng)險進(jìn)行適當(dāng)?shù)墓芾?，從而可以推動業(yè)務(wù)的發(fā)展，實現(xiàn)利益最大化的商業(yè)目標(biāo)。國際信息系統(tǒng)審計與控制協(xié)會 (ISACA) 認(rèn)為，使用IT 治理對企業(yè)進(jìn)行指導(dǎo)和控制，通過平衡IT 技術(shù)的風(fēng)險，可以增加其使用價值，從而保證實現(xiàn)企業(yè)的目標(biāo)[6]。

（三）風(fēng)險管理

美國反虛假財務(wù)報告全國委員會的發(fā)起組織委員會 (COSO) 在2014 年發(fā)布了《企業(yè)風(fēng)險管理整合框架》(COSO-ERM) , 并在2017 年進(jìn)行修訂。修訂后的COSOERM 框架將“風(fēng)險”定義為事項發(fā)生并影響戰(zhàn)略和業(yè)務(wù)目標(biāo)實現(xiàn)的可能性。所有組織中都存在風(fēng)險, 風(fēng)險管理的最大挑戰(zhàn)是將風(fēng)險控制在組織偏好的范圍之內(nèi)[5]。近幾年許多風(fēng)險管理機(jī)制應(yīng)運(yùn)而生， 如PMI 2001、SAFE Methodology、Risk Diagnosing Methodology，這些都是經(jīng)典的循環(huán)性風(fēng)險管理機(jī)制[7]。

三、COBIT 5 的流程及重點

企業(yè)需要將COBIT 5 理解成一個端到端的框架，它將風(fēng)險優(yōu)化作為一個關(guān)鍵的價值目標(biāo)。COBIT 5 將風(fēng)險治理和管理視為企業(yè)IT 的總體治理和管理的一部分。

（一）COBIT5 的使用流程

COBIT 5 有兩個專門的流程：一個在治理領(lǐng)域，包括評估、指導(dǎo)和監(jiān)測，另一個在管理領(lǐng)域，包括匹配、計劃和組織，它們代表確定、優(yōu)化和管理風(fēng)險。這兩個專門流程可以在整個COBIT5 框架中嵌入風(fēng)險管理。治理流程旨在確保：與IT 相關(guān)的企業(yè)風(fēng)險不超過風(fēng)險偏好和風(fēng)險承受能力、與IT 使用相關(guān)的影響企業(yè)價值的風(fēng)險及其影響是最小化的可能性[8]。管理流程適用于：將與IT 相關(guān)的企業(yè)風(fēng)險管理與總體風(fēng)險管理集成在一起、平衡與IT 相關(guān)的企業(yè)風(fēng)險的成本和優(yōu)勢。

（二）COBIT5 的使用重點

COBIT 5 的重點是COBIT 5 框架中的風(fēng)險功能的關(guān)鍵支持過程。組織可以獲得特定風(fēng)險的產(chǎn)出，如風(fēng)險管理、風(fēng)險管理溝通計劃以及對風(fēng)險進(jìn)行反映和緩解的財務(wù)和預(yù)算要求。還可以幫助他們監(jiān)控風(fēng)險度量和目標(biāo)以及關(guān)于非規(guī)范性的報告中出現(xiàn)的問題和根本原因。這些過程包括但不限于：確保治理框架的設(shè)置和維護(hù)、確保效益交付、管理策略、管理預(yù)算和成本、管理關(guān)系監(jiān)測、評估績效和一致性監(jiān)測、評估和評估遵守外部要求的情況。另一個重點是通過風(fēng)險函數(shù)視角將COBIT 5 支持工具應(yīng)用于風(fēng)險管理，從而使風(fēng)險治理和管理功能具有效果和效率[9]。通過在COBIT5 中應(yīng)用核心風(fēng)險管理流程，以及通過使用風(fēng)險情景，確定如何識別、分析和應(yīng)對風(fēng)險的高級別指導(dǎo)，建立ERM 市場參考來源（標(biāo)準(zhǔn)、框架和實際指導(dǎo)）以及COBIT5 關(guān)鍵因素之間的聯(lián)系，來減輕風(fēng)險。

四、使用COBIT 5 進(jìn)行風(fēng)險管理

（一）將COBIT5 用于風(fēng)險管理的特點

COBIT 5 用于風(fēng)險管理的一個重要方面和顯著特點是，它提供了20 個風(fēng)險場景類別，以幫助組織更好地減輕風(fēng)險。這些風(fēng)險場景可以被它所熟悉。從而可以使用它來指導(dǎo)風(fēng)險管理活動[10]。與其他框架和標(biāo)準(zhǔn)不同，COBIT 5 中的風(fēng)險方案涵蓋100 多個風(fēng)險類型，如員工破壞和盜竊、數(shù)據(jù)中斷、商業(yè)間諜和對創(chuàng)新的支持等風(fēng)險。

（二）COBIT5 的使用技巧

所以在使用過程中，存在一些使用技巧。比如，鼓勵管理層支持風(fēng)險管理計劃。確定關(guān)鍵組織結(jié)構(gòu)以使風(fēng)險管理有效并高效的運(yùn)行[9]。COBIT 5 用于幫助組織通過提供每個結(jié)構(gòu)的特定描述來識別本組織的風(fēng)險管理。幫助組織建立風(fēng)險管理的防線。風(fēng)險管理必須嵌入到正常的過程中，并成為日常管理和實踐的一部分。在所有員工中建立風(fēng)險意識、增強(qiáng)文化影響行為。通過不斷溝通、執(zhí)行組織規(guī)則、條例和獎勵，提高員工對風(fēng)險和風(fēng)險管理及作用的認(rèn)識確定和開發(fā)作為關(guān)鍵風(fēng)險指標(biāo)的度量標(biāo)準(zhǔn)，以描述和跟蹤該風(fēng)險指標(biāo)[11]。確定企業(yè)總體目標(biāo)，并對與企業(yè)最相關(guān)的IT 風(fēng)險場景進(jìn)行分析。將IT 風(fēng)險情景與業(yè)務(wù)風(fēng)險聯(lián)系起來。一旦確定并制定了方案，通過評估頻率和影響進(jìn)行風(fēng)險分析。一旦確定風(fēng)險因素和進(jìn)行風(fēng)險分析，進(jìn)一步使用它們進(jìn)行風(fēng)險匯總和風(fēng)險緩解。

五、將COBIT 框架用于IT 治理的優(yōu)點

通過使用COBIT 框架，可以更好的實現(xiàn)IT 治理，主要體現(xiàn)在以下幾個方面：

（一）確定信息需求

在深入研究技術(shù)解決方案和技術(shù)之前，要完全確定組織的信息需求。應(yīng)用COBIT 5 的第一原則是滿足利益相關(guān)者的需求：了解信息需求是什么，信息的關(guān)鍵是什么，為什么和如何去管理。可以根據(jù)額外的規(guī)章和政策限制去適當(dāng)?shù)剡M(jìn)行這些工作。在組織中理解不同層次的信息質(zhì)量目標(biāo)是非常重要的。當(dāng)企業(yè)達(dá)到必要的質(zhì)量目標(biāo)時，信息是為企業(yè)帶來利益的資產(chǎn)或資源[12]。

（二）跟蹤信息

COBIT 5 使用目標(biāo)級聯(lián)來分析和說明信息資源的依賴性，同時展示信息是如何貢獻(xiàn)的，并且可以實現(xiàn)企業(yè)目標(biāo)。做到以上這些，就可以使利益相關(guān)者更加傾向于使用與之相關(guān)的治理[13]。

（三）確定利益相關(guān)者角色

在整個信息生命周期中，通過跨利益相關(guān)者群體進(jìn)行廣泛協(xié)商，以確定各種角色和職責(zé)。確定是否有信息模型和誰在信息生命周期的每個階段分別扮演什么角色[14]。在COBIT 中建議的一些角色包括：信息生產(chǎn)者、信息消費(fèi)者、信息所有者、信息獲取者、信息計劃員、信息用戶和信息保管者。