基于COBIT 框架的IT 治理与风险管理研究

孟凡菲

一、引言

随着IT 技术的普及和不断发展，越来越多的企业将信息系统作为企业日常运行的工具，所以信息系统能否安全、可靠、有效的运行，将关系到企业能否正常的运转。随着信息系统的不断使用，IT 治理和风险管理也就显得尤为重要，这一领域的专家学者也不断研究，制定了关于IT 治理和风险管理的参考框架，在诸多框架中，COBIT框架是一个比较权威并且被广泛使用的框架，所以本文以COBIT 框架为基础，讨论IT 治理和风险管理的相关问题。

二、相关理论及概念

（一）COBIT 框架

COBIT 的全称是信息及相关技术控制目标。它是国际公认的关于IT 治理和IT 控制方面的框架。COBIT 5.0 在2012 年发布，它由IT 治理协会的多方专家共同制定，这些专家来自学界、政府和实业的各个领域，他们通过深入研究之后，将各种适当的技术和专业标准结合起来。

目前在COBIT 5.0 的基础上，又发布了新版本，称为COBIT 2019。新版COBIT具有动态的IT 环境，它发生变化的速度非常快，所以用户很难匹配上它的更新速度[1]。新版本认识到了这些问题并解决了这些问题：通过使COBIT 成为一个动态的IT 治理框架，可以更快地更新并应用用户的输入内容，从而能保持它与COBIT 社区的相关性。

COBIT 2019 在这一领域建立并集成了25 年以上的发展，它结合了来自科学领域的新见解，而且还将这些见解落实为实际操作。在IT 审计社区的基础上，COBIT 已成为一个更广泛和更全面的IT 治理和管理框架，并继续将其自身构建为全球公认的模型。

COBIT 2019 可以描述为针对整个组织的企业IT 治理和管理的框架。企业IT 是指企业为实现其目标的所有IT 处理，换句话说，企业IT 不限于IT 部门的IT 管理。COBIT 2019 定义了构建和维持治理系统的组件：流程、政策、程序、组织结构、信息流、技能、基础架构以及文化和行为。这些被称为COBIT5 中的“启用码”。它还定义了组织应考虑建立最佳治理制度的设计因素[2]。

COBIT 2019 更新在以下几个方面改进了：首先，它更好地阐述了IT 治理对于企业的重要性。在董事会和执行管理层的支持下，为了实现效益，实现风险优化、资源配置优化、调整企业的业务和IT，制定IT 治理方案。将治理方案保持在能够持续改进的基础上。这对于企业来说，将是一个主要优势，并且它引领了技术方面的新趋势。例如，增加了开发业务和敏捷开发概念；考虑了场外业务；讨论了第三方供应商的影响[3]。

其次，它使用最新的标准和工作方法进行改进更新。COBIT 模型允许引用和与其他来源的概念相一致的其他信息的技术标准、规范条例。介绍了重点领域的概念。重点领域描述了一个特定的治理主题、领域或问题，可以通过将治理和管理目标的集合及其组合来解决。比如中小企业、网络安全、数字转换和云计算。重点领域可以包含通用治理组件和变化体的组合。重点领域的数量实际上是无限的，新的领域可以根据需要增加[4]。

最后，它更具有规范性。诸如COBIT 这样的框架可以是描述性的和指令性的。使COBIT 概念模型实例化，即定制的COBIT 组件被认为是如何为IT 建立定制的治理系统的一种处理方法。它是进行IT 治理的高性能工具。COBIT 性能的结构，将NCE 管理模型集成到概念模型中。为了更好地与能力成熟度模型集成保持一致，引入了成熟度和能力概念。它增加了新的在线协作功能。今后的更新将由COBIT 用户推荐，并由COBIT 指导委员会审查，以确保COBIT 核心框架的质量和更新的及时性[5]。

（二）IT 治理

目前，对于IT 治理主要可以汇集成三类观点：美国加州大学的教授Robert 认为，IT技术的应用对于组织来说在远景、使命、战略目标方面有着至关重要的作用。德勤认为IT 治理的主要目的是使IT 与业务目标保持一致，合理使用IT 资源，对由使用IT 技术产生的风险进行适当的管理，从而可以推动业务的发展，实现利益最大化的商业目标。国际信息系统审计与控制协会 (ISACA) 认为，使用IT 治理对企业进行指导和控制，通过平衡IT 技术的风险，可以增加其使用价值，从而保证实现企业的目标[6]。

（三）风险管理

美国反虚假财务报告全国委员会的发起组织委员会 (COSO) 在2014 年发布了《企业风险管理整合框架》(COSO-ERM) , 并在2017 年进行修订。修订后的COSOERM 框架将“风险”定义为事项发生并影响战略和业务目标实现的可能性。所有组织中都存在风险, 风险管理的最大挑战是将风险控制在组织偏好的范围之内[5]。近几年许多风险管理机制应运而生， 如PMI 2001、SAFE Methodology、Risk Diagnosing Methodology，这些都是经典的循环性风险管理机制[7]。

三、COBIT 5 的流程及重点

企业需要将COBIT 5 理解成一个端到端的框架，它将风险优化作为一个关键的价值目标。COBIT 5 将风险治理和管理视为企业IT 的总体治理和管理的一部分。

（一）COBIT5 的使用流程

COBIT 5 有两个专门的流程：一个在治理领域，包括评估、指导和监测，另一个在管理领域，包括匹配、计划和组织，它们代表确定、优化和管理风险。这两个专门流程可以在整个COBIT5 框架中嵌入风险管理。治理流程旨在确保：与IT 相关的企业风险不超过风险偏好和风险承受能力、与IT 使用相关的影响企业价值的风险及其影响是最小化的可能性[8]。管理流程适用于：将与IT 相关的企业风险管理与总体风险管理集成在一起、平衡与IT 相关的企业风险的成本和优势。

（二）COBIT5 的使用重点

COBIT 5 的重点是COBIT 5 框架中的风险功能的关键支持过程。组织可以获得特定风险的产出，如风险管理、风险管理沟通计划以及对风险进行反映和缓解的财务和预算要求。还可以帮助他们监控风险度量和目标以及关于非规范性的报告中出现的问题和根本原因。这些过程包括但不限于：确保治理框架的设置和维护、确保效益交付、管理策略、管理预算和成本、管理关系监测、评估绩效和一致性监测、评估和评估遵守外部要求的情况。另一个重点是通过风险函数视角将COBIT 5 支持工具应用于风险管理，从而使风险治理和管理功能具有效果和效率[9]。通过在COBIT5 中应用核心风险管理流程，以及通过使用风险情景，确定如何识别、分析和应对风险的高级别指导，建立ERM 市场参考来源（标准、框架和实际指导）以及COBIT5 关键因素之间的联系，来减轻风险。

四、使用COBIT 5 进行风险管理

（一）将COBIT5 用于风险管理的特点

COBIT 5 用于风险管理的一个重要方面和显著特点是，它提供了20 个风险场景类别，以帮助组织更好地减轻风险。这些风险场景可以被它所熟悉。从而可以使用它来指导风险管理活动[10]。与其他框架和标准不同，COBIT 5 中的风险方案涵盖100 多个风险类型，如员工破坏和盗窃、数据中断、商业间谍和对创新的支持等风险。

（二）COBIT5 的使用技巧

所以在使用过程中，存在一些使用技巧。比如，鼓励管理层支持风险管理计划。确定关键组织结构以使风险管理有效并高效的运行[9]。COBIT 5 用于帮助组织通过提供每个结构的特定描述来识别本组织的风险管理。帮助组织建立风险管理的防线。风险管理必须嵌入到正常的过程中，并成为日常管理和实践的一部分。在所有员工中建立风险意识、增强文化影响行为。通过不断沟通、执行组织规则、条例和奖励，提高员工对风险和风险管理及作用的认识确定和开发作为关键风险指标的度量标准，以描述和跟踪该风险指标[11]。确定企业总体目标，并对与企业最相关的IT 风险场景进行分析。将IT 风险情景与业务风险联系起来。一旦确定并制定了方案，通过评估频率和影响进行风险分析。一旦确定风险因素和进行风险分析，进一步使用它们进行风险汇总和风险缓解。

五、将COBIT 框架用于IT 治理的优点

通过使用COBIT 框架，可以更好的实现IT 治理，主要体现在以下几个方面：

（一）确定信息需求

在深入研究技术解决方案和技术之前，要完全确定组织的信息需求。应用COBIT 5 的第一原则是满足利益相关者的需求：了解信息需求是什么，信息的关键是什么，为什么和如何去管理。可以根据额外的规章和政策限制去适当地进行这些工作。在组织中理解不同层次的信息质量目标是非常重要的。当企业达到必要的质量目标时，信息是为企业带来利益的资产或资源[12]。

（二）跟踪信息

COBIT 5 使用目标级联来分析和说明信息资源的依赖性，同时展示信息是如何贡献的，并且可以实现企业目标。做到以上这些，就可以使利益相关者更加倾向于使用与之相关的治理[13]。

（三）确定利益相关者角色

在整个信息生命周期中，通过跨利益相关者群体进行广泛协商，以确定各种角色和职责。确定是否有信息模型和谁在信息生命周期的每个阶段分别扮演什么角色[14]。在COBIT 中建议的一些角色包括：信息生产者、信息消费者、信息所有者、信息获取者、信息计划员、信息用户和信息保管者。