以COBIT 5基底 建立企業IT治理架構

中華民國電腦稽核協會(ISACA)專業發展委員會主委莊盛祺。

不可諱言，企業營運風險的驅動程序，包括全球化、新興市場、企業整併、法令管制、強烈競爭、產品與市場創新、科技演進、資訊變革、電子商務、危機…等種種變數，不斷繁衍且未曾停歇；面對此起彼落的驅動程序，企業若不善設風險管理機制，唯恐徒增營運損失風險。

在此前提下，身兼中華民國電腦稽核協會(ISACA)理事暨專業發展委員會主委的兆益數位總經理莊盛祺認為，對於企業而言，如何建立有效的IS/IT治理機制，實為重大課題。

關於企業目前可用的內控框架，針對整個企業層次的治理，主要適用於COSO、COSO ERM(Enterprise Risk Management)，而在IT管理層次，則有ITIL、ISO 27001、CMM、HIPPA、Basil Ⅱ等標準可供依循，至於如何在企業治理、IT管理等層次之間建立一道承上啟下的IT治理？則可遵循COBIT 5框架。

COBIT 5承上啟下  確使企業營運與IT策略一致

莊盛祺強調，資訊是所有企業的關鍵資源，而資訊的產生、使用、留存、揭露與銷毀，必須與企業營運目標、商業模式緊密整合，因此需要善用科技技術落實這些動作與關鍵功能。

在以往，IT總是扮演支援的角色，然而時至今日，IT與企業每天的營運作業愈趨密不可分，已經成為在風險管理、創造價值等方面不可或缺的要角，因此務須透過IT治理，協助公司達成營運目標。

所謂IT治理，係解決在定義營運流程及營運規則(包括內部控制)、導入資料？資料庫結構、提供工具進行營運分析的問題。

至於COBIT所能營造之價值，則是維持資訊的高品質，及支援企業的決策制定，好讓企業得以從IT投資中創造商業價值，意即透過有效與創新的資訊科技應用，實現企業的策略目標與商業利益，並藉由可靠及有效率的科技應用，達到企業的卓越營運。

除此之外，經由COBIT，亦可維持IT相關的風險在一個可以接受的等級，同時最佳化IT服務與科技的成本，終至幫助企業妥善遵循日益漸增的相關法律、契約協議與政策。

莊盛祺指出，綜觀COBIT 5產品系列，內含促成因素指南，以及攸關建置、資訊安全、確認、風險等面向的專業指南，且具有五項基本原則，依序是滿足利害關係人的需求、涵蓋企業的端對端、採用單一且整合的策略、使用全面性的方法，以及區分治理與管理。

無庸置疑，企業存在的目的，即是為了替利害關係人創造價值，因此「滿足利害關係人的需求」可謂十分重要，透過COBIT 5，有助於將利害關係人的需求，轉化為特定的、可執行的、客製化的企業目標，這一轉化，允許在企業的每一層級或每個領域設定目標，以支援總體目標與利害關係人要求，進而有效支援企業與IT解決方案？服務之間的一致性。

欲統合ISACA框架知識  可用COBIT 5進行集成

此外，論及IT治理目標，無非就是「價值創造」，因此必須內含利益實現、風險最佳化、資源最佳化等三大關鍵支柱，連帶需要「涵蓋企業端對端業務」，舉凡擁有者及利害關係人、治理機構、管理、運作及執行等一連串「角色、活動與關係」，皆是COBIT 5治理系統的關鍵要素。

更重要的，COBIT 5框架為利害關係人提供關於企業IT治理與管理的最完整、最新的指南，包括針對企業部份的COSO、COSO ERM、ISO/IEC 9000或ISO/IEC 31000，以及IT相關的ISO/IEC 38500、ITIL、ISO/IEC 27000系列、TOAGF、PMBOL/PRINCE2、CMMI，可說已經與其他最新的相關標準與框架相一致，因此企業可憑藉COBIT 5作為總體治理與管理框架的整合器，用以整合以前分散在不同的ISACA框架的所有知識，並方便讓COBIT 5使用者可以連結對應到其他標準。

另一方面，COBIT 5採用了全面性的方法，也就是7個促成因素，依序是一、「原則、政策與架構」：將企業所期望的行為轉變為日常管理的實踐指導；二、「流程」：描述了一系列有組織、為達特定目標、支持實現整體IT相關目標的實踐與活動；三、「組織結構」：在一個企業的關鍵決策實體；四、「文化、倫理與行為」：個人與企業的文化、倫理與行為，乃是在治理與管理活動中，最容易被低估的因素；五、「資訊」：包括企業產生與運用的所有資訊，是保證組織運行與有效治理所必須的要素；六、「服務、基礎設施與應用程式」：包括為企業提供資訊技術服務與處理的基礎設與應用程式；七、「人才、技能與專長」，意指做出正確決策、實施正確行動，及成功完成所有活動所必須之要素。

莊盛祺表示，COBIT 5流程參考模型，內含企業IT治理與管理等兩個主要流程領域，包括了IT治理層次的評估、指導、監督架構，以及IT管理層次的規劃、建立、執行、監督架構。

總括而論，COBIT 5建置生命週期有7個階段，依序是「驅動因素為何」、「我們目前的位置為何」、「我們希望在什麼位置」、「我們需要做什麼」、「我們如何達成」、「我們是否已經達成」，及「我們如何維持驅動的力量」。另值得注意的則是COBIT 5 for Assurance，它在大部份情況下，就像COBIT 5本身的架構，是一種近似於「傘」的方法，可針對確認的工作執行資源分配，其所適用的相關標準，包括了ISACA ITAF、ISACA Audit/Assurance Programs等。