以COBIT 5基底 建立企業IT治理架構 智慧應用 影音
太陽誘電microsite
Event

以COBIT 5基底 建立企業IT治理架構

  • 魏淑芳

中華民國電腦稽核協會(ISACA)專業發展委員會主委莊盛祺。
中華民國電腦稽核協會(ISACA)專業發展委員會主委莊盛祺。

不可諱言,企業營運風險的驅動程序,包括全球化、新興市場、企業整併、法令管制、強烈競爭、產品與市場創新、科技演進、資訊變革、電子商務、危機…等種種變數,不斷繁衍且未曾停歇;面對此起彼落的驅動程序,企業若不善設風險管理機制,唯恐徒增營運損失風險。

在此前提下,身兼中華民國電腦稽核協會(ISACA)理事暨專業發展委員會主委的兆益數位總經理莊盛祺認為,對於企業而言,如何建立有效的IS/IT治理機制,實為重大課題。

關於企業目前可用的內控框架,針對整個企業層次的治理,主要適用於COSO、COSO ERM(Enterprise Risk Management),而在IT管理層次,則有ITIL、ISO 27001、CMM、HIPPA、Basil Ⅱ等標準可供依循,至於如何在企業治理、IT管理等層次之間建立一道承上啟下的IT治理?則可遵循COBIT 5框架。

COBIT 5承上啟下  確使企業營運與IT策略一致

莊盛祺強調,資訊是所有企業的關鍵資源,而資訊的產生、使用、留存、揭露與銷毀,必須與企業營運目標、商業模式緊密整合,因此需要善用科技技術落實這些動作與關鍵功能。

在以往,IT總是扮演支援的角色,然而時至今日,IT與企業每天的營運作業愈趨密不可分,已經成為在風險管理、創造價值等方面不可或缺的要角,因此務須透過IT治理,協助公司達成營運目標。

所謂IT治理,係解決在定義營運流程及營運規則(包括內部控制)、導入資料?資料庫結構、提供工具進行營運分析的問題。

至於COBIT所能營造之價值,則是維持資訊的高品質,及支援企業的決策制定,好讓企業得以從IT投資中創造商業價值,意即透過有效與創新的資訊科技應用,實現企業的策略目標與商業利益,並藉由可靠及有效率的科技應用,達到企業的卓越營運。

除此之外,經由COBIT,亦可維持IT相關的風險在一個可以接受的等級,同時最佳化IT服務與科技的成本,終至幫助企業妥善遵循日益漸增的相關法律、契約協議與政策。

莊盛祺指出,綜觀COBIT 5產品系列,內含促成因素指南,以及攸關建置、資訊安全、確認、風險等面向的專業指南,且具有五項基本原則,依序是滿足利害關係人的需求、涵蓋企業的端對端、採用單一且整合的策略、使用全面性的方法,以及區分治理與管理。

無庸置疑,企業存在的目的,即是為了替利害關係人創造價值,因此「滿足利害關係人的需求」可謂十分重要,透過COBIT 5,有助於將利害關係人的需求,轉化為特定的、可執行的、客製化的企業目標,這一轉化,允許在企業的每一層級或每個領域設定目標,以支援總體目標與利害關係人要求,進而有效支援企業與IT解決方案?服務之間的一致性。

欲統合ISACA框架知識  可用COBIT 5進行集成

此外,論及IT治理目標,無非就是「價值創造」,因此必須內含利益實現、風險最佳化、資源最佳化等三大關鍵支柱,連帶需要「涵蓋企業端對端業務」,舉凡擁有者及利害關係人、治理機構、管理、運作及執行等一連串「角色、活動與關係」,皆是COBIT 5治理系統的關鍵要素。

更重要的,COBIT 5框架為利害關係人提供關於企業IT治理與管理的最完整、最新的指南,包括針對企業部份的COSO、COSO ERM、ISO/IEC 9000或ISO/IEC 31000,以及IT相關的ISO/IEC 38500、ITIL、ISO/IEC 27000系列、TOAGF、PMBOL/PRINCE2、CMMI,可說已經與其他最新的相關標準與框架相一致,因此企業可憑藉COBIT 5作為總體治理與管理框架的整合器,用以整合以前分散在不同的ISACA框架的所有知識,並方便讓COBIT 5使用者可以連結對應到其他標準。

另一方面,COBIT 5採用了全面性的方法,也就是7個促成因素,依序是一、「原則、政策與架構」:將企業所期望的行為轉變為日常管理的實踐指導;二、「流程」:描述了一系列有組織、為達特定目標、支持實現整體IT相關目標的實踐與活動;三、「組織結構」:在一個企業的關鍵決策實體;四、「文化、倫理與行為」:個人與企業的文化、倫理與行為,乃是在治理與管理活動中,最容易被低估的因素;五、「資訊」:包括企業產生與運用的所有資訊,是保證組織運行與有效治理所必須的要素;六、「服務、基礎設施與應用程式」:包括為企業提供資訊技術服務與處理的基礎設與應用程式;七、「人才、技能與專長」,意指做出正確決策、實施正確行動,及成功完成所有活動所必須之要素。

莊盛祺表示,COBIT 5流程參考模型,內含企業IT治理與管理等兩個主要流程領域,包括了IT治理層次的評估、指導、監督架構,以及IT管理層次的規劃、建立、執行、監督架構。

總括而論,COBIT 5建置生命週期有7個階段,依序是「驅動因素為何」、「我們目前的位置為何」、「我們希望在什麼位置」、「我們需要做什麼」、「我們如何達成」、「我們是否已經達成」,及「我們如何維持驅動的力量」。另值得注意的則是COBIT 5 for Assurance,它在大部份情況下,就像COBIT 5本身的架構,是一種近似於「傘」的方法,可針對確認的工作執行資源分配,其所適用的相關標準,包括了ISACA ITAF、ISACA Audit/Assurance Programs等。