【摘要】企业信息系统能否正常、安全的使用对于企业来说是一个不容忽视的重要问题,本文通过梳理COBIT 框架的发展历程、IT 治理及风险管理的相关概念和理论,将COBIT 框架的内容应用到IT 治理和企业风险管理中,从多个角度分析了COBIT 框架使用中的优点及可行性,并提出了一些应用过程中的技巧和方法,以便于企业更好的将COBIT 框架应用到IT 治理和风险管理中。【关键词】COBIT 框架;IT 治理;风险管理一、引言随着IT 技术的普及和不断发展,越来越多的企业将信息系统作为企业日常运行的工具,所以信息系统能否安全、可靠、有效的运行,将关系到企业能否正常的运转。随着信息系统的不断使用,IT 治理和风险管理也就显得尤为重要,这一领域的专家学者也不断研究,制定了关于IT 治理和风险管理的参考框架,在诸多框架中,COBIT 框架是一个比较权威并且被广泛使用的框架,所以本文以COBIT 框架为基础,讨论IT 治理和风险管理的相关问题。二、相关理论及概念(一)COBIT 框架COBIT 的全称是信息及相关技术控制目标。它是国际公认的关于IT 治理和IT 控制方面的框架。COBIT 5.0在2012年发布,它由IT 治理协会的多方专家共同制定,这些专家来自学界、政府和实业的各个领域,他们通过深入研究之后,将各种适当的技术和专业标准结合起来。目前在COBIT 5.0的基础上,又发布了新版本,称为COBIT 2019。新版COBIT 具有动态的IT 环境,它发生变化的速度非常快,所以用户很难匹配上它的更新速度[1]。新版本认识到了这些问题并解决了这些问题:通过使COBIT 成为一个动态的IT 治理框架,可以更快地更新并应用用户的输入内容,从而能保持它与COBIT 社区的相关性。COBIT 2019在这一领域建立并集成了25年以上的发展,它结合了来自科学领域的新见解,而且还将这些见解落实为实际操作。在IT 审计社区的基础上,COBIT 已成为一个更广泛和更全面的IT 治理和管理框架,并继续将其自身构建为全球公认
的模型。COBIT 2019可以描述为针对整个组织的企业IT 治理和管理的框架。企业IT 是指企业为实现其目标的所有IT 处理,换句话说,企业IT 不限于IT 部门的IT 管理。
基于COBIT 框架的IT 治理与风险管理研究孟凡菲
作者简介:孟凡菲(1996-),女,
汉族,山东省菏泽市人,审计硕士,
单位:南京审计大学,研究方向:大数据审计30Trend 趋势
COBIT 2019定义了构建和维持治理系统的组件:流程、政策、程序、组织结构、信息流、技能、基础架构以及文化和行为。这些被称为COBIT5中的“启用码”。它还定义了组织应考虑建立最佳治理制度的设计因素[2]。
COBIT 2019更新在以下几个方面改进了:首先,它更好地阐述了IT治理对于企业的重要性。在董事会和执行管理层的支持下,为了实现效益,实现风险优化、资源配置优化、调整企业的业务和IT,制定IT治理方案。将治理方案保持在能够持续改进的基础上。这对于企业来说,将是一个主要优势,并且它引领了技术方面的新趋势。例如,增加了开发业务和敏捷开发概念;考虑了场外业务;讨论了第三方供应商的影响[3]。
其次,它使用最新的标准和工作方法进行改进更新。COBIT模型允许引用和与其他来源的概念相一致的其他信息的技术标准、规范条例。介绍了重点领域的概念。重点领域描述了一个特定的治理主题、领域或问题,可以通过将治理和管理目标的集合及其组合来解决。比如中小企业、网络安全、数字转换和云计算。重点领域可以包含通用治理组件和变化体的组合。重点领域的数量实际上是无限的,新的领域可以根据需要增加[4]。
最后,它更具有规范性。诸如COBIT这样的框架可以是描述性的和指令性的。使COBIT概念模型实例化,即定制的COBIT 组件被认为是如何为IT建立定制的治理系统的一种处理方法。它是进行IT治理的高性能工具。COBIT性能的结构,将NCE管理模型集成到概念模型中。为了更好地与能力成熟度模型集成保持一致,引入了成熟度和能力概念。它增加了新的在线协作功能。今后的更新将由COBIT用户推荐,并由COBIT指导委员会审查,以确保COBIT核心框架的质量和更新的及时性[5]。
(二)IT治理
目前,对于IT治理主要可以汇集成三类观点:美国加州大学的教授Robert认为,IT技术的应用对于组织来说在远景、使命、战略目标方面有着至关重要的作用。德勤认为IT治理的主要目的是使IT与业务目标保持一致,合理使用IT资源,对由使用IT技术产生的风险进行适当的管理,从而可以推动业务的发展,实现利益最大化的商业目标。国际信息系统审计与控制协会 (ISACA) 认为,使用IT治理对企业进行指导和控制,通过平衡IT技术的风险,可以增加其使用价值,从而保证实现企业的目标[6]。
(三)风险管理
美国反虚假财务报告全国委员会的发起组织委员会 (COSO) 在2014年发布了《企业风险管理整合框架》 (COSO-ERM) , 并在2017年进行修订。修订后的COSO-ERM框架将“风险”定义为事项发生并影响战略和业务目标实现的可能性。所有组织中都存在风险, 风险管理的最大挑战是将风险控制在组织偏好的范围之内[5]。近几年许多风险管理机制应运而生, 如PMI 2001、SAFE Methodology、Risk Diagnosing Methodology,这些都是经典的循环性风险管理机制[7]。
三、COBIT 5的流程及重点
企业需要将COBIT 5理解成一个端到端的框架,它将风险优化作为一个关键的价值目标。COBIT 5将风险治理和管理视为企业IT的总体治理和管理的一部分。
(一)COBIT5的使用流程
spring framework高危漏洞COBIT 5有两个专门的流程:一个在治理领域,包括评估、指导和监测,另一个在管理领域,包括匹配、计划和组织,它们代表确定、优化和管理风险。这两个专门流程可以在整个COBIT5框架中嵌入风险管理。治理流程旨在确保:与IT相关的企业风险不超过风险偏好和风险承受能力、与IT使用相关的影响企业价值的风险及其影响是最小化的可能性[8]。管理流程适用于:将与IT相关的企业风险管理与总体风险管理集成在一起、平衡与IT相关的企业风险的成本和优势。
(二)COBIT5的使用重点
COBIT 5的重点是COBIT 5框架中的风险功能的关键支持过程。组织可以获得特定风险的产出,如风险管理、风险管理沟通计划以及对风险进行反映和缓解的财务和预算要求。还可以帮助他们监控风险度量和目标以及关于非规范性的报告中出现的问题和根本原因。这些过程包括但不限于:确保治理框架的设置和维护、确保效益交付、管理策略、管理预算和成本、管理关系监测、评估绩效和一致性监测、评估和评估遵守外部要求的情况。另一个重点是通过风险函数视角将COBIT 5支持工具应用于风险管理,从而使风险治理和管理功能具有效果和效率[9]。通过
31
01月刊  2021
Shanghai Business
在COBIT5中应用核心风险管理流程,以及通过使用风险情景,确定如何识别、分析和应对风险的高级别指导,建立ERM市场参考来源(标准、框架和实际指导)以及COBIT5关键因素之间的联系,来减轻风险。
四、使用COBIT 5进行风险管理
(一)将COBIT5用于风险管理的特点
COBIT 5用于风险管理的一个重要方面和显著特点是,它提供了20个风险场景类别,以帮助组织更好地减轻风险。这些风险场景可以被它所熟悉。从而可以使用它来指导风险管理活动[10]。与其他框架和标准不同,COBIT 5中的风险方案涵盖100多个风险类型,如员工破坏和盗窃、数据中断、商业间谍和对创新的支持等风险。
(二)COBIT5的使用技巧
所以在使用过程中,存在一些使用技巧。比如,鼓励管理层支持风险管理计划。确定关键组织结构以使风险管理有效并高效的运行[9]。COBIT 5用于帮助组织通过提供每个结构的特定描述来识别本组织的风险管理。帮助组织建立风险管理的防线。风险管理必须嵌入到正常的过程中,并成为日常管理和实践的一部分。在所有员工中建立风险意识、增强文化影响行为。通过不断沟通、执行组织规则、条例和奖励,提高员工对风险和风险管理及作用的认识确定和开发作为关键风险指标的度量标准,以描述和跟踪该风险指标[11]。确定企业总体目标,并对与企业最相关的IT风险场景进行分析。将IT风险情景与业务风险联系起来。一旦确定并制定了方案,通过评估频率和影响进行风险分析。一旦确定风险因素和进行风险分析,进一步使用它们进行风险汇总和风险缓解。
五、将COBIT框架用于IT治理的优点
通过使用COBIT框架,可以更好的实现IT治理,主要体现在以下几个方面:
(一)确定信息需求
在深入研究技术解决方案和技术之前,要完全确定组织的信息需求。应用COBIT 5的第一原则是满足利益相关者的需求:了解信息需求是什么,信息的关键是什么,为什么和如何去管理。可以根据额外的规章和政策限制去适当地进行这些工作。在组织中理解不同层次的信息质量目标是非常重要的。当企业达到必要的质量目标时,信息是为企业带来利益的资产或资源[12]。
(二)跟踪信息
COBIT 5使用目标级联来分析和说明信息资源的依赖性,同时展示信息是如何贡献的,并且可以实现企业目标。做到以上这些,就可以使利益相关者更加倾向于使用与之相关的治理[13]。
(三)确定利益相关者角
在整个信息生命周期中,通过跨利益相关者体进行广泛协商,以确定各种角和职责。确定是否有信息模型和谁在信息生命周期的每个阶段分别扮演什么角[14]。在COBIT中建议的一些角包括:信息生产者、信息消费者、信息所有者、信息获取者、信息计划员、信息用户和信息保管者。
参考文献:
[1]徐昊,吴晓彤.基于COBIT5.0的企业战略导向内控信息化研究[J].现代经济信息,2019(20):114.
[2]肖晓.基于COBIT5.0的商业银行信息系统审计改进研究[J].财会通讯,2019(10):110-114.
[3]刘霞,任驿佳.基于COBIT 5建立财务共享服务中心风险管理机制[J].财会月刊,2018(19):99-113.
[4]Kude T, Lazic M, Heinzl A, Neff A. Achieving IT‐based synergies through regulation‐oriented and consensus‐oriented IT governance capabilities.[J] Information Systems Journal. 2018;28(5):765-795.
[5]王凡林,张继德.信息化战略、IT治理与企业绩效[J].财政研究,2018(12):114-125.
[6]胡晓明,赵弘,孔玉生.基于IT治理的企业IT控制及其结构关系研究[J].审计研究,2014(02):53-58.
[7]COBIT 5 for Risk—A Powerful Tool for Risk Management.[J] COBIT Focus. July 2017:1-5.
[8]林斌,曹健,舒伟.信息技术内部控制研究——基于COBIT5的分析[J].江西财经大学学报,2016(01):36-44.
[9]Bichal P. Using COBIT in Government Departments.[J]COBIT Focus. October 2017:1-5.
[10]李鸣,张旸旸,蔡震宇.IT治理标准研究[J].信息技术与标准化,2016(03):29-33.
[11]王洪明. IT治理项目中的风险管理研究[D].北京邮电大学,2019.
[12]王祖康.IT项目风险管理系统设计[J].电子技术与软件工程,2019(03):195.
[13]刘鹏博.IT风险及其风险管理的研究[J].数字通信世界,2017(06):186-187.
32 Trend趋势

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。