ＣＯＢＩＴ在信息系統風險控制中的應用

關莉莉　辛　一　張高煜

摘 要:信息管理系統的高效運作離不開風險管理和控制,COBIT標準為信息系統的風險管理提供了一系列詳盡的控制措施和控制技術。參照COBIT信息準則,選出相應的IT過程,能夠有針對性地對目標信息系統進行有效的風險評估和控制。

關鍵詞:信息系統;風險控制;COBIT;風險管理

中圖分類號:TP311文獻標識碼:B

文章編號:1004-373X(2009)10-031-03

Application of COBIT in Information Systems′ Risk Control

GUAN Lili,XIN Yi,ZHANG Gaoyu

(Shanghai Finance University,Shanghai,201209,China)

Abstract:An efficient operation of information systems is depending on risks control and management.COBIT standards provide a series of detailed control measures and control technologies for information systems′ risk management.Selecting a corresponding IT process based on COBIT guidelines,it can respectively conduct efficient risks assessment and control upon targeted information system.

Keywords:information system;risk control;COBIT;risk management

0 引 言

信息管理系統的高效運作離不開風險管理和控制,COBIT標準為信息系統風險管理提供了一系列詳盡的控制措施和控制技術。參照COBIT信息準則,選出相應的IT過程,能夠針對性地對目標信息系統進行有效的風險評估和控制。COBIT實現了組織戰略與IT戰略的互動,并形成持續改進的良性循環機制,為企業提供了具有一定參考價值的解決方案。借鑒COBIT標準的信息系統風險控制,可以科學、系統地對信息及相關技術進行管理,逐步建立起信息系統的風險控制,是企業信息化的可靠保證。

1 信息系統控制風險分析

隨著社會信息化進程的不斷加劇,信息已經成為社會活動中的基礎資源,信息系統使信息資源的作用得以充分發揮,信息系統越來越趨向于大型化、網絡化和復雜化。信息系統是為完成諸功能而建立的,各種功能的實現給企業和社會帶來了方便和效益,這是系統的正面效應。但信息系統控制不當,會出現功能故障或停止運行,企業和社會就會產生混亂和損失,導致系統的負面效應[1],如圖1所示。

信息系統的脆弱性是指信息系統特性中本來就具有的弱點。信息系統依賴的硬件、軟件等IT技術,在建設和使用過程中都存在著大量的風險因素。這類風險客觀長期存在,既有系統硬件帶來的環境風險,也有系統軟件帶來的技術風險;既有系統建設過程中隱匿的風險,也有系統使用維護過程中凸現的風險;既有系統因為應用集中,自動化程度提高,導致的風險擴大,也有網絡的大量應用,導致的風險蔓延。信息系統的諸多不安全因素,若不進行必要的風險管理和控制,系統將會遭受到嚴重的侵擾和損壞。因此,有效管理和控制信息系統風險,確保信息系統的安全運行是進入信息化社會的可靠保障。

2 COBIT控制標準

在對信息系統風險控制的實施過程中要遵從一些準則,而COBIT標準(Control Objectives for Information and related Technology)是一套著名的信息和相關技術的控制目標體系,它是美國信息系統審計與控制協會ISACA(Information Systems Audit and Control Association)和IT治理研究所(IT Governance Institute)共同開發的[2]。

該標準體系已在世界100多個國家的重要組織和企業中運用,許多國際大型企業都利用它來控制信息和信息資源的風險,并取得了很好的效果,是一套權威的、最新的、國際性的、被企業管理者廣泛接受的,并能指導日常應用的國際標準。

系統的管理和控制是不可分割的,COBIT作為信息系統控制標準,主要有概述、控制目標、管理指南、審計指南以及工具集等幾部分組成。其核心部分是IT控制目標,管理和控制都以控制目標為核心,相輔相成,如圖2所示。

(1) 概述。提供了讓管理層了解COBIT關鍵概念和原則的綜合性信息,說明了4個控制域的體系結構。

(2) 框架。詳細描述了34個IT控制過程,指出IT控制過程、信息準則和IT資源三者之間的關系[3]。這34個過程也正是信息系統生命周期中的關鍵環節。信息系統的生命周期一般分為系統規劃、系統設計、系統實施、系統運行和系統評價5個階段。COBIT根據系統的生命周期將34個IT控制過程劃分在4個控制域中,規劃與組織域相對生命周期的規劃階段;獲取與實施域相對系統的設計和實施階段;交付與支持域針對運行維護階段;監控域則是覆蓋了對整個生命周期的控制。企業可通過對這34個環節進行控制和評價提高信息系統績效,評估信息系統價值,衡量信息化效益,如表1所示。

(3) 控制目標。為IT控制提供了一個用來明晰策略和實施的關鍵指導方針,包括318個具體的IT控制目標的詳細說明。

(4) 管理指南。包括成熟度模型(用來決定每一個控制階段和期望水平是否符合標準規范);關鍵成功要素(用來辨認在信息化過程中實現有效控制所必需的最重要的活動);關鍵目標指標(用來定義關鍵目標的績效衡量標準);關鍵績效指標(用來衡量IT控制程序是否能達到目標)。以上都是為了確保組織和企業能成功和有效整合業務流程和信息的系統。

(5) 審計指南。為了達到所期望的IT控制目標,必須要審計所有的IT程序。在審計指南中給出34個IT控制目標的審計步驟,用來協助信息系統的審計員檢驗IT程序是否符合318個控制目標,以提供管理上的保證和改進。

(6) 應用工具集。包括了管理意識、IT控制的診斷、應用指導、常見問題集、應用COBIT的企業個案研究及介紹COBIT的相關教材。這些新的工具組主要是讓COBIT的應用更為容易,讓組織能快速成功地從教材中學到如何在工作環境中應用COBIT,并且讓領導層思考COBIT對企業目標的重要性[4,5]。

3 COBIT在企業信息系統風險控制中的應用

上海通用汽車公司于2002年準備投資建立客戶關系管理系統(CRM),系統投入很大,而風險與投入成正比。因此,總公司建立專門機構統一部署,聘請專業IT審計師對信息資源投入的風險加以控制,確保投入的信息資源成為最有價值的資產。

作為企業級系統軟件,IT審計人員在進行風險管理時,需要確定系統的實施步驟和風險控制級別,不能僅審查應用程序的技術風險,而要將其與商業過程的控制目標聯系起來考慮,將企業所有的重要過程和步驟充分集成,能使企業運作更有效率。應用COBIT標準對系統進行審查,要根據自身組織的特性進行控制目標的確定。在審查初期就成功實施COBIT,解決管理人員的諸多問題,包括優化企業組件解決方案,滿足用戶需求,避免集成失敗,確保技術架構匹配,解決供應商的支持問題。

如圖3所示,有A,B,C三種控制方案或它們的組合。橫坐標表示控制級別,縱坐標表示風險額或控制成本額。圖3中三條曲線分別表示風險額、控制成本與總成本,坐標原點代表現狀。可見,現階段基本沒有采用IT審計風險控制,存在巨額風險,急需改進。橫坐標終點代表將風險額度控制近似為零,但付出了巨額的控制風險成本,成本大于效益顯然不可取。IT審計人員提供了A,B,C三種控制方案,對風險額和控制成本各有側重,上海通用以總成本為衡量指標,b″最小,因此B方案為最佳方案,控制級別B′為最優級別。

基于COBIT在上海通用客戶關系管理系統(CRM)IT審計的風險控制中,系統實施分為4個階段:第一階段和客戶數據庫,建立同一客戶信息中心;第二階段,優化和整合服務中心、銷售代表、零售商和市場促銷活動之間的業務流程;第三階段,開拓和強化客戶與公司的交互接觸功能,實現客戶信息的多點采集機制;第四階段,是對客戶信息進行挖掘,對采集的豐富客戶信息進行分析,將客戶分門別類,進行市場細分,據此實現個性化營銷。在整個系統實施中根據COBIT標準對信息資源進行嚴格的管理和風險控制,進行充分的系統測試,使系統達到預訂目標。這樣循序漸進,逐層審計控制風險,實現持續的投資回報,成為CRM系統成功的關鍵。

上海通用客戶關系管理系統(CRM)上線以來,基于呼叫中心應用的信息采集和發布機制已經相當成熟,客戶信息量日益豐富,尤其是百車通和客戶呼叫中心這兩個用戶接觸渠道,讓廣大潛在客戶與現實客戶同公司打交道時非常直接和方便。客戶請求也能及時傳到本地的零售代理和維修單位。對豐富的客戶信息進行數據挖掘,分析發現具有商業價值的客戶行為模式,

使得市場得以細分,CRM系統成為通用汽車的核心競爭力。

4 結 語

上海通用客戶關系管理系統(CRM)成功的關鍵是基于COBIT標準的信息系統設定了關鍵控制點。所謂關鍵控制點,是指在業務程序中,對于保護整個業務活動控制目標的實現起著至關重要影響的環節,是整個控制系統中的重點,往往決定著整個業務活動各項控制目標的實現。在評價內部控制系統時,要根據審計目的要求、業務類型的特點和網絡環境的特性等因素,確定某類具體業務處理程序中的控制要素準確地把握好內部控制。上海通用公司意識到CRM信息資源能夠產生潛在的收益,深刻理解信息資源投入的風險和管理好信息資源投入所帶來的風險。在投入信息資源時,不是求大求全,而是注重系統的應用性和復雜性,利用COBIT準則整合業務流程,進行機構重組。只有對信息系統的復雜性有了充分認識,注重對信息資源投入的相關風險管理,才能使信息系統獲得成功,取得效益。

綜上所述,COBIT實現了組織戰略與IT戰略的互動,并形成持續改進的良性循環機制,為企業提供了具有一定參考價值的解決方案。借鑒COBIT標準的信息系統風險控制,可以科學、系統地對信息及相關技術進行管理,逐步建立起信息系統的風險控制,是企業信息化的可靠保證。因此,基于COBIT的IT審計必將在企業信息系統建設過程中起到更為廣泛的應用。

參考文獻

[1]IT Governance Institute/ISACF.COBIT 4th Edition[EB/OL].http://www.isaca.org,2007.

[2]Ron Weber.Information Systems Control and Audit [M].Upper Saddle River,NJ:Prentice Hall Inc.,1999.

[3]胡克瑾.IT審計[M].北京:電子工業出版社,2004.

[4]郭順利,楊小虎.COBIT控制目標體系研究及在電子政務中的應用[J].計算機工程與設計,2004(3):447-450.

[5]胡克瑾.IT治理在電子政務中的應用[J].中國計算機用戶,2006(3):23-25.

[6]劉芳,周新耿.MAC地址與IP地址綁定在電子政務系統中的運用.現代電子技術,2005,28(1):79-81.

[7]陳亮亮,李芳.軟件風險管理過程的研究與應用.現代電子技術,2006,29(6):34-36.