ＣＯＢＩＴ在信息系統(tǒng)風險控制中的應用

關莉莉　辛　一　張高煜

摘 要:信息管理系統(tǒng)的高效運作離不開風險管理和控制,COBIT標準為信息系統(tǒng)的風險管理提供了一系列詳盡的控制措施和控制技術。參照COBIT信息準則,選出相應的IT過程,能夠有針對性地對目標信息系統(tǒng)進行有效的風險評估和控制。

關鍵詞:信息系統(tǒng);風險控制;COBIT;風險管理

中圖分類號:TP311文獻標識碼:B

文章編號:1004-373X(2009)10-031-03

Application of COBIT in Information Systems′ Risk Control

GUAN Lili,XIN Yi,ZHANG Gaoyu

(Shanghai Finance University,Shanghai,201209,China)

Abstract:An efficient operation of information systems is depending on risks control and management.COBIT standards provide a series of detailed control measures and control technologies for information systems′ risk management.Selecting a corresponding IT process based on COBIT guidelines,it can respectively conduct efficient risks assessment and control upon targeted information system.

Keywords:information system;risk control;COBIT;risk management

0 引 言

信息管理系統(tǒng)的高效運作離不開風險管理和控制,COBIT標準為信息系統(tǒng)風險管理提供了一系列詳盡的控制措施和控制技術。參照COBIT信息準則,選出相應的IT過程,能夠針對性地對目標信息系統(tǒng)進行有效的風險評估和控制。COBIT實現(xiàn)了組織戰(zhàn)略與IT戰(zhàn)略的互動,并形成持續(xù)改進的良性循環(huán)機制,為企業(yè)提供了具有一定參考價值的解決方案。借鑒COBIT標準的信息系統(tǒng)風險控制,可以科學、系統(tǒng)地對信息及相關技術進行管理,逐步建立起信息系統(tǒng)的風險控制,是企業(yè)信息化的可靠保證。

1 信息系統(tǒng)控制風險分析

隨著社會信息化進程的不斷加劇,信息已經(jīng)成為社會活動中的基礎資源,信息系統(tǒng)使信息資源的作用得以充分發(fā)揮,信息系統(tǒng)越來越趨向于大型化、網(wǎng)絡化和復雜化。信息系統(tǒng)是為完成諸功能而建立的,各種功能的實現(xiàn)給企業(yè)和社會帶來了方便和效益,這是系統(tǒng)的正面效應。但信息系統(tǒng)控制不當,會出現(xiàn)功能故障或停止運行,企業(yè)和社會就會產(chǎn)生混亂和損失,導致系統(tǒng)的負面效應[1],如圖1所示。

信息系統(tǒng)的脆弱性是指信息系統(tǒng)特性中本來就具有的弱點。信息系統(tǒng)依賴的硬件、軟件等IT技術,在建設和使用過程中都存在著大量的風險因素。這類風險客觀長期存在,既有系統(tǒng)硬件帶來的環(huán)境風險,也有系統(tǒng)軟件帶來的技術風險;既有系統(tǒng)建設過程中隱匿的風險,也有系統(tǒng)使用維護過程中凸現(xiàn)的風險;既有系統(tǒng)因為應用集中,自動化程度提高,導致的風險擴大,也有網(wǎng)絡的大量應用,導致的風險蔓延。信息系統(tǒng)的諸多不安全因素,若不進行必要的風險管理和控制,系統(tǒng)將會遭受到嚴重的侵擾和損壞。因此,有效管理和控制信息系統(tǒng)風險,確保信息系統(tǒng)的安全運行是進入信息化社會的可靠保障。

2 COBIT控制標準

在對信息系統(tǒng)風險控制的實施過程中要遵從一些準則,而COBIT標準(Control Objectives for Information and related Technology)是一套著名的信息和相關技術的控制目標體系,它是美國信息系統(tǒng)審計與控制協(xié)會ISACA(Information Systems Audit and Control Association)和IT治理研究所(IT Governance Institute)共同開發(fā)的[2]。

該標準體系已在世界100多個國家的重要組織和企業(yè)中運用,許多國際大型企業(yè)都利用它來控制信息和信息資源的風險,并取得了很好的效果,是一套權威的、最新的、國際性的、被企業(yè)管理者廣泛接受的,并能指導日常應用的國際標準。

系統(tǒng)的管理和控制是不可分割的,COBIT作為信息系統(tǒng)控制標準,主要有概述、控制目標、管理指南、審計指南以及工具集等幾部分組成。其核心部分是IT控制目標,管理和控制都以控制目標為核心,相輔相成,如圖2所示。

(1) 概述。提供了讓管理層了解COBIT關鍵概念和原則的綜合性信息,說明了4個控制域的體系結構。

(2) 框架。詳細描述了34個IT控制過程,指出IT控制過程、信息準則和IT資源三者之間的關系[3]。這34個過程也正是信息系統(tǒng)生命周期中的關鍵環(huán)節(jié)。信息系統(tǒng)的生命周期一般分為系統(tǒng)規(guī)劃、系統(tǒng)設計、系統(tǒng)實施、系統(tǒng)運行和系統(tǒng)評價5個階段。COBIT根據(jù)系統(tǒng)的生命周期將34個IT控制過程劃分在4個控制域中,規(guī)劃與組織域相對生命周期的規(guī)劃階段;獲取與實施域相對系統(tǒng)的設計和實施階段;交付與支持域針對運行維護階段;監(jiān)控域則是覆蓋了對整個生命周期的控制。企業(yè)可通過對這34個環(huán)節(jié)進行控制和評價提高信息系統(tǒng)績效,評估信息系統(tǒng)價值,衡量信息化效益,如表1所示。

(3) 控制目標。為IT控制提供了一個用來明晰策略和實施的關鍵指導方針,包括318個具體的IT控制目標的詳細說明。

(4) 管理指南。包括成熟度模型(用來決定每一個控制階段和期望水平是否符合標準規(guī)范);關鍵成功要素(用來辨認在信息化過程中實現(xiàn)有效控制所必需的最重要的活動);關鍵目標指標(用來定義關鍵目標的績效衡量標準);關鍵績效指標(用來衡量IT控制程序是否能達到目標)。以上都是為了確保組織和企業(yè)能成功和有效整合業(yè)務流程和信息的系統(tǒng)。

(5) 審計指南。為了達到所期望的IT控制目標,必須要審計所有的IT程序。在審計指南中給出34個IT控制目標的審計步驟,用來協(xié)助信息系統(tǒng)的審計員檢驗IT程序是否符合318個控制目標,以提供管理上的保證和改進。

(6) 應用工具集。包括了管理意識、IT控制的診斷、應用指導、常見問題集、應用COBIT的企業(yè)個案研究及介紹COBIT的相關教材。這些新的工具組主要是讓COBIT的應用更為容易,讓組織能快速成功地從教材中學到如何在工作環(huán)境中應用COBIT,并且讓領導層思考COBIT對企業(yè)目標的重要性[4,5]。

3 COBIT在企業(yè)信息系統(tǒng)風險控制中的應用

上海通用汽車公司于2002年準備投資建立客戶關系管理系統(tǒng)(CRM),系統(tǒng)投入很大,而風險與投入成正比。因此,總公司建立專門機構統(tǒng)一部署,聘請專業(yè)IT審計師對信息資源投入的風險加以控制,確保投入的信息資源成為最有價值的資產(chǎn)。

作為企業(yè)級系統(tǒng)軟件,IT審計人員在進行風險管理時,需要確定系統(tǒng)的實施步驟和風險控制級別,不能僅審查應用程序的技術風險,而要將其與商業(yè)過程的控制目標聯(lián)系起來考慮,將企業(yè)所有的重要過程和步驟充分集成,能使企業(yè)運作更有效率。應用COBIT標準對系統(tǒng)進行審查,要根據(jù)自身組織的特性進行控制目標的確定。在審查初期就成功實施COBIT,解決管理人員的諸多問題,包括優(yōu)化企業(yè)組件解決方案,滿足用戶需求,避免集成失敗,確保技術架構匹配,解決供應商的支持問題。

如圖3所示,有A,B,C三種控制方案或它們的組合。橫坐標表示控制級別,縱坐標表示風險額或控制成本額。圖3中三條曲線分別表示風險額、控制成本與總成本,坐標原點代表現(xiàn)狀?？梢?現(xiàn)階段基本沒有采用IT審計風險控制,存在巨額風險,急需改進。橫坐標終點代表將風險額度控制近似為零,但付出了巨額的控制風險成本,成本大于效益顯然不可取。IT審計人員提供了A,B,C三種控制方案,對風險額和控制成本各有側重,上海通用以總成本為衡量指標,b″最小,因此B方案為最佳方案,控制級別B′為最優(yōu)級別。

基于COBIT在上海通用客戶關系管理系統(tǒng)(CRM)IT審計的風險控制中,系統(tǒng)實施分為4個階段:第一階段和客戶數(shù)據(jù)庫,建立同一客戶信息中心;第二階段,優(yōu)化和整合服務中心、銷售代表、零售商和市場促銷活動之間的業(yè)務流程;第三階段,開拓和強化客戶與公司的交互接觸功能,實現(xiàn)客戶信息的多點采集機制;第四階段,是對客戶信息進行挖掘,對采集的豐富客戶信息進行分析,將客戶分門別類,進行市場細分,據(jù)此實現(xiàn)個性化營銷。在整個系統(tǒng)實施中根據(jù)COBIT標準對信息資源進行嚴格的管理和風險控制,進行充分的系統(tǒng)測試,使系統(tǒng)達到預訂目標。這樣循序漸進,逐層審計控制風險,實現(xiàn)持續(xù)的投資回報,成為CRM系統(tǒng)成功的關鍵。

上海通用客戶關系管理系統(tǒng)(CRM)上線以來,基于呼叫中心應用的信息采集和發(fā)布機制已經(jīng)相當成熟,客戶信息量日益豐富,尤其是百車通和客戶呼叫中心這兩個用戶接觸渠道,讓廣大潛在客戶與現(xiàn)實客戶同公司打交道時非常直接和方便。客戶請求也能及時傳到本地的零售代理和維修單位。對豐富的客戶信息進行數(shù)據(jù)挖掘,分析發(fā)現(xiàn)具有商業(yè)價值的客戶行為模式,

使得市場得以細分,CRM系統(tǒng)成為通用汽車的核心競爭力。

4 結 語

上海通用客戶關系管理系統(tǒng)(CRM)成功的關鍵是基于COBIT標準的信息系統(tǒng)設定了關鍵控制點。所謂關鍵控制點,是指在業(yè)務程序中,對于保護整個業(yè)務活動控制目標的實現(xiàn)起著至關重要影響的環(huán)節(jié),是整個控制系統(tǒng)中的重點,往往決定著整個業(yè)務活動各項控制目標的實現(xiàn)。在評價內部控制系統(tǒng)時,要根據(jù)審計目的要求、業(yè)務類型的特點和網(wǎng)絡環(huán)境的特性等因素,確定某類具體業(yè)務處理程序中的控制要素準確地把握好內部控制。上海通用公司意識到CRM信息資源能夠產(chǎn)生潛在的收益,深刻理解信息資源投入的風險和管理好信息資源投入所帶來的風險。在投入信息資源時,不是求大求全,而是注重系統(tǒng)的應用性和復雜性,利用COBIT準則整合業(yè)務流程,進行機構重組。只有對信息系統(tǒng)的復雜性有了充分認識,注重對信息資源投入的相關風險管理,才能使信息系統(tǒng)獲得成功,取得效益。

綜上所述,COBIT實現(xiàn)了組織戰(zhàn)略與IT戰(zhàn)略的互動,并形成持續(xù)改進的良性循環(huán)機制,為企業(yè)提供了具有一定參考價值的解決方案。借鑒COBIT標準的信息系統(tǒng)風險控制,可以科學、系統(tǒng)地對信息及相關技術進行管理,逐步建立起信息系統(tǒng)的風險控制,是企業(yè)信息化的可靠保證。因此,基于COBIT的IT審計必將在企業(yè)信息系統(tǒng)建設過程中起到更為廣泛的應用。

參考文獻

[1]IT Governance Institute/ISACF.COBIT 4th Edition[EB/OL].http://www.isaca.org,2007.

[2]Ron Weber.Information Systems Control and Audit [M].Upper Saddle River,NJ:Prentice Hall Inc.,1999.

[3]胡克瑾.IT審計[M].北京:電子工業(yè)出版社,2004.

[4]郭順利,楊小虎.COBIT控制目標體系研究及在電子政務中的應用[J].計算機工程與設計,2004(3):447-450.

[5]胡克瑾.IT治理在電子政務中的應用[J].中國計算機用戶,2006(3):23-25.

[6]劉芳,周新耿.MAC地址與IP地址綁定在電子政務系統(tǒng)中的運用.現(xiàn)代電子技術,2005,28(1):79-81.

[7]陳亮亮,李芳.軟件風險管理過程的研究與應用.現(xiàn)代電子技術,2006,29(6):34-36.