基于COBIT 框架的IT 治理與風險管理研究

孟凡菲

一、引言

隨著IT 技術的普及和不斷發展，越來越多的企業將信息系統作為企業日常運行的工具，所以信息系統能否安全、可靠、有效的運行，將關系到企業能否正常的運轉。隨著信息系統的不斷使用，IT 治理和風險管理也就顯得尤為重要，這一領域的專家學者也不斷研究，制定了關于IT 治理和風險管理的參考框架，在諸多框架中，COBIT框架是一個比較權威并且被廣泛使用的框架，所以本文以COBIT 框架為基礎，討論IT 治理和風險管理的相關問題。

二、相關理論及概念

（一）COBIT 框架

COBIT 的全稱是信息及相關技術控制目標。它是國際公認的關于IT 治理和IT 控制方面的框架。COBIT 5.0 在2012 年發布，它由IT 治理協會的多方專家共同制定，這些專家來自學界、政府和實業的各個領域，他們通過深入研究之后，將各種適當的技術和專業標準結合起來。

目前在COBIT 5.0 的基礎上，又發布了新版本，稱為COBIT 2019。新版COBIT具有動態的IT 環境，它發生變化的速度非常快，所以用戶很難匹配上它的更新速度[1]。新版本認識到了這些問題并解決了這些問題：通過使COBIT 成為一個動態的IT 治理框架，可以更快地更新并應用用戶的輸入內容，從而能保持它與COBIT 社區的相關性。

COBIT 2019 在這一領域建立并集成了25 年以上的發展，它結合了來自科學領域的新見解，而且還將這些見解落實為實際操作。在IT 審計社區的基礎上，COBIT 已成為一個更廣泛和更全面的IT 治理和管理框架，并繼續將其自身構建為全球公認的模型。

COBIT 2019 可以描述為針對整個組織的企業IT 治理和管理的框架。企業IT 是指企業為實現其目標的所有IT 處理，換句話說，企業IT 不限于IT 部門的IT 管理。COBIT 2019 定義了構建和維持治理系統的組件：流程、政策、程序、組織結構、信息流、技能、基礎架構以及文化和行為。這些被稱為COBIT5 中的“啟用碼”。它還定義了組織應考慮建立最佳治理制度的設計因素[2]。

COBIT 2019 更新在以下幾個方面改進了：首先，它更好地闡述了IT 治理對于企業的重要性。在董事會和執行管理層的支持下，為了實現效益，實現風險優化、資源配置優化、調整企業的業務和IT，制定IT 治理方案。將治理方案保持在能夠持續改進的基礎上。這對于企業來說，將是一個主要優勢，并且它引領了技術方面的新趨勢。例如，增加了開發業務和敏捷開發概念；考慮了場外業務；討論了第三方供應商的影響[3]。

其次，它使用最新的標準和工作方法進行改進更新。COBIT 模型允許引用和與其他來源的概念相一致的其他信息的技術標準、規范條例。介紹了重點領域的概念。重點領域描述了一個特定的治理主題、領域或問題，可以通過將治理和管理目標的集合及其組合來解決。比如中小企業、網絡安全、數字轉換和云計算。重點領域可以包含通用治理組件和變化體的組合。重點領域的數量實際上是無限的，新的領域可以根據需要增加[4]。

最后，它更具有規范性。諸如COBIT 這樣的框架可以是描述性的和指令性的。使COBIT 概念模型實例化，即定制的COBIT 組件被認為是如何為IT 建立定制的治理系統的一種處理方法。它是進行IT 治理的高性能工具。COBIT 性能的結構，將NCE 管理模型集成到概念模型中。為了更好地與能力成熟度模型集成保持一致，引入了成熟度和能力概念。它增加了新的在線協作功能。今后的更新將由COBIT 用戶推薦，并由COBIT 指導委員會審查，以確保COBIT 核心框架的質量和更新的及時性[5]。

（二）IT 治理

目前，對于IT 治理主要可以匯集成三類觀點：美國加州大學的教授Robert 認為，IT技術的應用對于組織來說在遠景、使命、戰略目標方面有著至關重要的作用。德勤認為IT 治理的主要目的是使IT 與業務目標保持一致，合理使用IT 資源，對由使用IT 技術產生的風險進行適當的管理，從而可以推動業務的發展，實現利益最大化的商業目標。國際信息系統審計與控制協會 (ISACA) 認為，使用IT 治理對企業進行指導和控制，通過平衡IT 技術的風險，可以增加其使用價值，從而保證實現企業的目標[6]。

（三）風險管理

美國反虛假財務報告全國委員會的發起組織委員會 (COSO) 在2014 年發布了《企業風險管理整合框架》(COSO-ERM) , 并在2017 年進行修訂。修訂后的COSOERM 框架將“風險”定義為事項發生并影響戰略和業務目標實現的可能性。所有組織中都存在風險, 風險管理的最大挑戰是將風險控制在組織偏好的范圍之內[5]。近幾年許多風險管理機制應運而生， 如PMI 2001、SAFE Methodology、Risk Diagnosing Methodology，這些都是經典的循環性風險管理機制[7]。

三、COBIT 5 的流程及重點

企業需要將COBIT 5 理解成一個端到端的框架，它將風險優化作為一個關鍵的價值目標。COBIT 5 將風險治理和管理視為企業IT 的總體治理和管理的一部分。

（一）COBIT5 的使用流程

COBIT 5 有兩個專門的流程：一個在治理領域，包括評估、指導和監測，另一個在管理領域，包括匹配、計劃和組織，它們代表確定、優化和管理風險。這兩個專門流程可以在整個COBIT5 框架中嵌入風險管理。治理流程旨在確保：與IT 相關的企業風險不超過風險偏好和風險承受能力、與IT 使用相關的影響企業價值的風險及其影響是最小化的可能性[8]。管理流程適用于：將與IT 相關的企業風險管理與總體風險管理集成在一起、平衡與IT 相關的企業風險的成本和優勢。

（二）COBIT5 的使用重點

COBIT 5 的重點是COBIT 5 框架中的風險功能的關鍵支持過程。組織可以獲得特定風險的產出，如風險管理、風險管理溝通計劃以及對風險進行反映和緩解的財務和預算要求。還可以幫助他們監控風險度量和目標以及關于非規范性的報告中出現的問題和根本原因。這些過程包括但不限于：確保治理框架的設置和維護、確保效益交付、管理策略、管理預算和成本、管理關系監測、評估績效和一致性監測、評估和評估遵守外部要求的情況。另一個重點是通過風險函數視角將COBIT 5 支持工具應用于風險管理，從而使風險治理和管理功能具有效果和效率[9]。通過在COBIT5 中應用核心風險管理流程，以及通過使用風險情景，確定如何識別、分析和應對風險的高級別指導，建立ERM 市場參考來源（標準、框架和實際指導）以及COBIT5 關鍵因素之間的聯系，來減輕風險。

四、使用COBIT 5 進行風險管理

（一）將COBIT5 用于風險管理的特點

COBIT 5 用于風險管理的一個重要方面和顯著特點是，它提供了20 個風險場景類別，以幫助組織更好地減輕風險。這些風險場景可以被它所熟悉。從而可以使用它來指導風險管理活動[10]。與其他框架和標準不同，COBIT 5 中的風險方案涵蓋100 多個風險類型，如員工破壞和盜竊、數據中斷、商業間諜和對創新的支持等風險。

（二）COBIT5 的使用技巧

所以在使用過程中，存在一些使用技巧。比如，鼓勵管理層支持風險管理計劃。確定關鍵組織結構以使風險管理有效并高效的運行[9]。COBIT 5 用于幫助組織通過提供每個結構的特定描述來識別本組織的風險管理。幫助組織建立風險管理的防線。風險管理必須嵌入到正常的過程中，并成為日常管理和實踐的一部分。在所有員工中建立風險意識、增強文化影響行為。通過不斷溝通、執行組織規則、條例和獎勵，提高員工對風險和風險管理及作用的認識確定和開發作為關鍵風險指標的度量標準，以描述和跟蹤該風險指標[11]。確定企業總體目標，并對與企業最相關的IT 風險場景進行分析。將IT 風險情景與業務風險聯系起來。一旦確定并制定了方案，通過評估頻率和影響進行風險分析。一旦確定風險因素和進行風險分析，進一步使用它們進行風險匯總和風險緩解。

五、將COBIT 框架用于IT 治理的優點

通過使用COBIT 框架，可以更好的實現IT 治理，主要體現在以下幾個方面：

（一）確定信息需求

在深入研究技術解決方案和技術之前，要完全確定組織的信息需求。應用COBIT 5 的第一原則是滿足利益相關者的需求：了解信息需求是什么，信息的關鍵是什么，為什么和如何去管理。可以根據額外的規章和政策限制去適當地進行這些工作。在組織中理解不同層次的信息質量目標是非常重要的。當企業達到必要的質量目標時，信息是為企業帶來利益的資產或資源[12]。

（二）跟蹤信息

COBIT 5 使用目標級聯來分析和說明信息資源的依賴性，同時展示信息是如何貢獻的，并且可以實現企業目標。做到以上這些，就可以使利益相關者更加傾向于使用與之相關的治理[13]。

（三）確定利益相關者角色

在整個信息生命周期中，通過跨利益相關者群體進行廣泛協商，以確定各種角色和職責。確定是否有信息模型和誰在信息生命周期的每個階段分別扮演什么角色[14]。在COBIT 中建議的一些角色包括：信息生產者、信息消費者、信息所有者、信息獲取者、信息計劃員、信息用戶和信息保管者。