關(guān)莉莉　辛　一　張高煜

摘 要:信息管理系統(tǒng)的高效運(yùn)作離不開風(fēng)險(xiǎn)管理和控制,COBIT標(biāo)準(zhǔn)為信息系統(tǒng)的風(fēng)險(xiǎn)管理提供了一系列詳盡的控制措施和控制技術(shù)。參照COBIT信息準(zhǔn)則,選出相應(yīng)的IT過(guò)程,能夠有針對(duì)性地對(duì)目標(biāo)信息系統(tǒng)進(jìn)行有效的風(fēng)險(xiǎn)評(píng)估和控制。

關(guān)鍵詞:信息系統(tǒng);風(fēng)險(xiǎn)控制;COBIT;風(fēng)險(xiǎn)管理

中圖分類號(hào):TP311文獻(xiàn)標(biāo)識(shí)碼:B

文章編號(hào):1004-373X(2009)10-031-03

Application of COBIT in Information Systems′ Risk Control

GUAN Lili,XIN Yi,ZHANG Gaoyu

(Shanghai Finance University,Shanghai,201209,China)

Abstract:An efficient operation of information systems is depending on risks control and management.COBIT standards provide a series of detailed control measures and control technologies for information systems′ risk management.Selecting a corresponding IT process based on COBIT guidelines,it can respectively conduct efficient risks assessment and control upon targeted information system.

Keywords:information system;risk control;COBIT;risk management

0 引 言

信息管理系統(tǒng)的高效運(yùn)作離不開風(fēng)險(xiǎn)管理和控制,COBIT標(biāo)準(zhǔn)為信息系統(tǒng)風(fēng)險(xiǎn)管理提供了一系列詳盡的控制措施和控制技術(shù)。參照COBIT信息準(zhǔn)則,選出相應(yīng)的IT過(guò)程,能夠針對(duì)性地對(duì)目標(biāo)信息系統(tǒng)進(jìn)行有效的風(fēng)險(xiǎn)評(píng)估和控制。COBIT實(shí)現(xiàn)了組織戰(zhàn)略與IT戰(zhàn)略的互動(dòng),并形成持續(xù)改進(jìn)的良性循環(huán)機(jī)制,為企業(yè)提供了具有一定參考價(jià)值的解決方案。借鑒COBIT標(biāo)準(zhǔn)的信息系統(tǒng)風(fēng)險(xiǎn)控制,可以科學(xué)、系統(tǒng)地對(duì)信息及相關(guān)技術(shù)進(jìn)行管理,逐步建立起信息系統(tǒng)的風(fēng)險(xiǎn)控制,是企業(yè)信息化的可靠保證。

1 信息系統(tǒng)控制風(fēng)險(xiǎn)分析

隨著社會(huì)信息化進(jìn)程的不斷加劇,信息已經(jīng)成為社會(huì)活動(dòng)中的基礎(chǔ)資源,信息系統(tǒng)使信息資源的作用得以充分發(fā)揮,信息系統(tǒng)越來(lái)越趨向于大型化、網(wǎng)絡(luò)化和復(fù)雜化。信息系統(tǒng)是為完成諸功能而建立的,各種功能的實(shí)現(xiàn)給企業(yè)和社會(huì)帶來(lái)了方便和效益,這是系統(tǒng)的正面效應(yīng)。但信息系統(tǒng)控制不當(dāng),會(huì)出現(xiàn)功能故障或停止運(yùn)行,企業(yè)和社會(huì)就會(huì)產(chǎn)生混亂和損失,導(dǎo)致系統(tǒng)的負(fù)面效應(yīng)[1],如圖1所示。

信息系統(tǒng)的脆弱性是指信息系統(tǒng)特性中本來(lái)就具有的弱點(diǎn)。信息系統(tǒng)依賴的硬件、軟件等IT技術(shù),在建設(shè)和使用過(guò)程中都存在著大量的風(fēng)險(xiǎn)因素。這類風(fēng)險(xiǎn)客觀長(zhǎng)期存在,既有系統(tǒng)硬件帶來(lái)的環(huán)境風(fēng)險(xiǎn),也有系統(tǒng)軟件帶來(lái)的技術(shù)風(fēng)險(xiǎn);既有系統(tǒng)建設(shè)過(guò)程中隱匿的風(fēng)險(xiǎn),也有系統(tǒng)使用維護(hù)過(guò)程中凸現(xiàn)的風(fēng)險(xiǎn);既有系統(tǒng)因?yàn)閼?yīng)用集中,自動(dòng)化程度提高,導(dǎo)致的風(fēng)險(xiǎn)擴(kuò)大,也有網(wǎng)絡(luò)的大量應(yīng)用,導(dǎo)致的風(fēng)險(xiǎn)蔓延。信息系統(tǒng)的諸多不安全因素,若不進(jìn)行必要的風(fēng)險(xiǎn)管理和控制,系統(tǒng)將會(huì)遭受到嚴(yán)重的侵?jǐn)_和損壞。因此,有效管理和控制信息系統(tǒng)風(fēng)險(xiǎn),確保信息系統(tǒng)的安全運(yùn)行是進(jìn)入信息化社會(huì)的可靠保障。

2 COBIT控制標(biāo)準(zhǔn)

在對(duì)信息系統(tǒng)風(fēng)險(xiǎn)控制的實(shí)施過(guò)程中要遵從一些準(zhǔn)則,而COBIT標(biāo)準(zhǔn)(Control Objectives for Information and related Technology)是一套著名的信息和相關(guān)技術(shù)的控制目標(biāo)體系,它是美國(guó)信息系統(tǒng)審計(jì)與控制協(xié)會(huì)ISACA(Information Systems Audit and Control Association)和IT治理研究所(IT Governance Institute)共同開發(fā)的[2]。

該標(biāo)準(zhǔn)體系已在世界100多個(gè)國(guó)家的重要組織和企業(yè)中運(yùn)用,許多國(guó)際大型企業(yè)都利用它來(lái)控制信息和信息資源的風(fēng)險(xiǎn),并取得了很好的效果,是一套權(quán)威的、最新的、國(guó)際性的、被企業(yè)管理者廣泛接受的,并能指導(dǎo)日常應(yīng)用的國(guó)際標(biāo)準(zhǔn)。

系統(tǒng)的管理和控制是不可分割的,COBIT作為信息系統(tǒng)控制標(biāo)準(zhǔn),主要有概述、控制目標(biāo)、管理指南、審計(jì)指南以及工具集等幾部分組成。其核心部分是IT控制目標(biāo),管理和控制都以控制目標(biāo)為核心,相輔相成,如圖2所示。

(1) 概述。提供了讓管理層了解COBIT關(guān)鍵概念和原則的綜合性信息,說(shuō)明了4個(gè)控制域的體系結(jié)構(gòu)。

(2) 框架。詳細(xì)描述了34個(gè)IT控制過(guò)程,指出IT控制過(guò)程、信息準(zhǔn)則和IT資源三者之間的關(guān)系[3]。這34個(gè)過(guò)程也正是信息系統(tǒng)生命周期中的關(guān)鍵環(huán)節(jié)。信息系統(tǒng)的生命周期一般分為系統(tǒng)規(guī)劃、系統(tǒng)設(shè)計(jì)、系統(tǒng)實(shí)施、系統(tǒng)運(yùn)行和系統(tǒng)評(píng)價(jià)5個(gè)階段。COBIT根據(jù)系統(tǒng)的生命周期將34個(gè)IT控制過(guò)程劃分在4個(gè)控制域中,規(guī)劃與組織域相對(duì)生命周期的規(guī)劃階段;獲取與實(shí)施域相對(duì)系統(tǒng)的設(shè)計(jì)和實(shí)施階段;交付與支持域針對(duì)運(yùn)行維護(hù)階段;監(jiān)控域則是覆蓋了對(duì)整個(gè)生命周期的控制。企業(yè)可通過(guò)對(duì)這34個(gè)環(huán)節(jié)進(jìn)行控制和評(píng)價(jià)提高信息系統(tǒng)績(jī)效,評(píng)估信息系統(tǒng)價(jià)值,衡量信息化效益,如表1所示。

(3) 控制目標(biāo)。為IT控制提供了一個(gè)用來(lái)明晰策略和實(shí)施的關(guān)鍵指導(dǎo)方針,包括318個(gè)具體的IT控制目標(biāo)的詳細(xì)說(shuō)明。

(4) 管理指南。包括成熟度模型(用來(lái)決定每一個(gè)控制階段和期望水平是否符合標(biāo)準(zhǔn)規(guī)范);關(guān)鍵成功要素(用來(lái)辨認(rèn)在信息化過(guò)程中實(shí)現(xiàn)有效控制所必需的最重要的活動(dòng));關(guān)鍵目標(biāo)指標(biāo)(用來(lái)定義關(guān)鍵目標(biāo)的績(jī)效衡量標(biāo)準(zhǔn));關(guān)鍵績(jī)效指標(biāo)(用來(lái)衡量IT控制程序是否能達(dá)到目標(biāo))。以上都是為了確保組織和企業(yè)能成功和有效整合業(yè)務(wù)流程和信息的系統(tǒng)。

(5) 審計(jì)指南。為了達(dá)到所期望的IT控制目標(biāo),必須要審計(jì)所有的IT程序。在審計(jì)指南中給出34個(gè)IT控制目標(biāo)的審計(jì)步驟,用來(lái)協(xié)助信息系統(tǒng)的審計(jì)員檢驗(yàn)IT程序是否符合318個(gè)控制目標(biāo),以提供管理上的保證和改進(jìn)。

(6) 應(yīng)用工具集。包括了管理意識(shí)、IT控制的診斷、應(yīng)用指導(dǎo)、常見問(wèn)題集、應(yīng)用COBIT的企業(yè)個(gè)案研究及介紹COBIT的相關(guān)教材。這些新的工具組主要是讓COBIT的應(yīng)用更為容易,讓組織能快速成功地從教材中學(xué)到如何在工作環(huán)境中應(yīng)用COBIT,并且讓領(lǐng)導(dǎo)層思考COBIT對(duì)企業(yè)目標(biāo)的重要性[4,5]。

3 COBIT在企業(yè)信息系統(tǒng)風(fēng)險(xiǎn)控制中的應(yīng)用

上海通用汽車公司于2002年準(zhǔn)備投資建立客戶關(guān)系管理系統(tǒng)(CRM),系統(tǒng)投入很大,而風(fēng)險(xiǎn)與投入成正比。因此,總公司建立專門機(jī)構(gòu)統(tǒng)一部署,聘請(qǐng)專業(yè)IT審計(jì)師對(duì)信息資源投入的風(fēng)險(xiǎn)加以控制,確保投入的信息資源成為最有價(jià)值的資產(chǎn)。

作為企業(yè)級(jí)系統(tǒng)軟件,IT審計(jì)人員在進(jìn)行風(fēng)險(xiǎn)管理時(shí),需要確定系統(tǒng)的實(shí)施步驟和風(fēng)險(xiǎn)控制級(jí)別,不能僅審查應(yīng)用程序的技術(shù)風(fēng)險(xiǎn),而要將其與商業(yè)過(guò)程的控制目標(biāo)聯(lián)系起來(lái)考慮,將企業(yè)所有的重要過(guò)程和步驟充分集成,能使企業(yè)運(yùn)作更有效率。應(yīng)用COBIT標(biāo)準(zhǔn)對(duì)系統(tǒng)進(jìn)行審查,要根據(jù)自身組織的特性進(jìn)行控制目標(biāo)的確定。在審查初期就成功實(shí)施COBIT,解決管理人員的諸多問(wèn)題,包括優(yōu)化企業(yè)組件解決方案,滿足用戶需求,避免集成失敗,確保技術(shù)架構(gòu)匹配,解決供應(yīng)商的支持問(wèn)題。

如圖3所示,有A,B,C三種控制方案或它們的組合。橫坐標(biāo)表示控制級(jí)別,縱坐標(biāo)表示風(fēng)險(xiǎn)額或控制成本額。圖3中三條曲線分別表示風(fēng)險(xiǎn)額、控制成本與總成本,坐標(biāo)原點(diǎn)代表現(xiàn)狀?？梢?現(xiàn)階段基本沒(méi)有采用IT審計(jì)風(fēng)險(xiǎn)控制,存在巨額風(fēng)險(xiǎn),急需改進(jìn)。橫坐標(biāo)終點(diǎn)代表將風(fēng)險(xiǎn)額度控制近似為零,但付出了巨額的控制風(fēng)險(xiǎn)成本,成本大于效益顯然不可取。IT審計(jì)人員提供了A,B,C三種控制方案,對(duì)風(fēng)險(xiǎn)額和控制成本各有側(cè)重,上海通用以總成本為衡量指標(biāo),b″最小,因此B方案為最佳方案,控制級(jí)別B′為最優(yōu)級(jí)別。

基于COBIT在上海通用客戶關(guān)系管理系統(tǒng)(CRM)IT審計(jì)的風(fēng)險(xiǎn)控制中,系統(tǒng)實(shí)施分為4個(gè)階段:第一階段和客戶數(shù)據(jù)庫(kù),建立同一客戶信息中心;第二階段,優(yōu)化和整合服務(wù)中心、銷售代表、零售商和市場(chǎng)促銷活動(dòng)之間的業(yè)務(wù)流程;第三階段,開拓和強(qiáng)化客戶與公司的交互接觸功能,實(shí)現(xiàn)客戶信息的多點(diǎn)采集機(jī)制;第四階段,是對(duì)客戶信息進(jìn)行挖掘,對(duì)采集的豐富客戶信息進(jìn)行分析,將客戶分門別類,進(jìn)行市場(chǎng)細(xì)分,據(jù)此實(shí)現(xiàn)個(gè)性化營(yíng)銷。在整個(gè)系統(tǒng)實(shí)施中根據(jù)COBIT標(biāo)準(zhǔn)對(duì)信息資源進(jìn)行嚴(yán)格的管理和風(fēng)險(xiǎn)控制,進(jìn)行充分的系統(tǒng)測(cè)試,使系統(tǒng)達(dá)到預(yù)訂目標(biāo)。這樣循序漸進(jìn),逐層審計(jì)控制風(fēng)險(xiǎn),實(shí)現(xiàn)持續(xù)的投資回報(bào),成為CRM系統(tǒng)成功的關(guān)鍵。

上海通用客戶關(guān)系管理系統(tǒng)(CRM)上線以來(lái),基于呼叫中心應(yīng)用的信息采集和發(fā)布機(jī)制已經(jīng)相當(dāng)成熟,客戶信息量日益豐富,尤其是百車通和客戶呼叫中心這兩個(gè)用戶接觸渠道,讓廣大潛在客戶與現(xiàn)實(shí)客戶同公司打交道時(shí)非常直接和方便?？蛻粽?qǐng)求也能及時(shí)傳到本地的零售代理和維修單位。對(duì)豐富的客戶信息進(jìn)行數(shù)據(jù)挖掘,分析發(fā)現(xiàn)具有商業(yè)價(jià)值的客戶行為模式,

使得市場(chǎng)得以細(xì)分,CRM系統(tǒng)成為通用汽車的核心競(jìng)爭(zhēng)力。

4 結(jié) 語(yǔ)

上海通用客戶關(guān)系管理系統(tǒng)(CRM)成功的關(guān)鍵是基于COBIT標(biāo)準(zhǔn)的信息系統(tǒng)設(shè)定了關(guān)鍵控制點(diǎn)。所謂關(guān)鍵控制點(diǎn),是指在業(yè)務(wù)程序中,對(duì)于保護(hù)整個(gè)業(yè)務(wù)活動(dòng)控制目標(biāo)的實(shí)現(xiàn)起著至關(guān)重要影響的環(huán)節(jié),是整個(gè)控制系統(tǒng)中的重點(diǎn),往往決定著整個(gè)業(yè)務(wù)活動(dòng)各項(xiàng)控制目標(biāo)的實(shí)現(xiàn)。在評(píng)價(jià)內(nèi)部控制系統(tǒng)時(shí),要根據(jù)審計(jì)目的要求、業(yè)務(wù)類型的特點(diǎn)和網(wǎng)絡(luò)環(huán)境的特性等因素,確定某類具體業(yè)務(wù)處理程序中的控制要素準(zhǔn)確地把握好內(nèi)部控制。上海通用公司意識(shí)到CRM信息資源能夠產(chǎn)生潛在的收益,深刻理解信息資源投入的風(fēng)險(xiǎn)和管理好信息資源投入所帶來(lái)的風(fēng)險(xiǎn)。在投入信息資源時(shí),不是求大求全,而是注重系統(tǒng)的應(yīng)用性和復(fù)雜性,利用COBIT準(zhǔn)則整合業(yè)務(wù)流程,進(jìn)行機(jī)構(gòu)重組。只有對(duì)信息系統(tǒng)的復(fù)雜性有了充分認(rèn)識(shí),注重對(duì)信息資源投入的相關(guān)風(fēng)險(xiǎn)管理,才能使信息系統(tǒng)獲得成功,取得效益。

綜上所述,COBIT實(shí)現(xiàn)了組織戰(zhàn)略與IT戰(zhàn)略的互動(dòng),并形成持續(xù)改進(jìn)的良性循環(huán)機(jī)制,為企業(yè)提供了具有一定參考價(jià)值的解決方案。借鑒COBIT標(biāo)準(zhǔn)的信息系統(tǒng)風(fēng)險(xiǎn)控制,可以科學(xué)、系統(tǒng)地對(duì)信息及相關(guān)技術(shù)進(jìn)行管理,逐步建立起信息系統(tǒng)的風(fēng)險(xiǎn)控制,是企業(yè)信息化的可靠保證。因此,基于COBIT的IT審計(jì)必將在企業(yè)信息系統(tǒng)建設(shè)過(guò)程中起到更為廣泛的應(yīng)用。

參考文獻(xiàn)

[1]IT Governance Institute/ISACF.COBIT 4th Edition[EB/OL].http://www.isaca.org,2007.

[2]Ron Weber.Information Systems Control and Audit [M].Upper Saddle River,NJ:Prentice Hall Inc.,1999.

[3]胡克瑾.IT審計(jì)[M].北京:電子工業(yè)出版社,2004.

[4]郭順利,楊小虎.COBIT控制目標(biāo)體系研究及在電子政務(wù)中的應(yīng)用[J].計(jì)算機(jī)工程與設(shè)計(jì),2004(3):447-450.

[5]胡克瑾.IT治理在電子政務(wù)中的應(yīng)用[J].中國(guó)計(jì)算機(jī)用戶,2006(3):23-25.

[6]劉芳,周新耿.MAC地址與IP地址綁定在電子政務(wù)系統(tǒng)中的運(yùn)用.現(xiàn)代電子技術(shù),2005,28(1):79-81.

[7]陳亮亮,李芳.軟件風(fēng)險(xiǎn)管理過(guò)程的研究與應(yīng)用.現(xiàn)代電子技術(shù),2006,29(6):34-36.