ＣＯＢＩＴ在信息系统风险控制中的应用

关莉莉　辛　一　张高煜

摘 要:信息管理系统的高效运作离不开风险管理和控制,COBIT标准为信息系统的风险管理提供了一系列详尽的控制措施和控制技术。参照COBIT信息准则,选出相应的IT过程,能够有针对性地对目标信息系统进行有效的风险评估和控制。

关键词:信息系统;风险控制;COBIT;风险管理

中图分类号:TP311文献标识码:B

文章编号:1004-373X(2009)10-031-03

Application of COBIT in Information Systems′ Risk Control

GUAN Lili,XIN Yi,ZHANG Gaoyu

(Shanghai Finance University,Shanghai,201209,China)

Abstract:An efficient operation of information systems is depending on risks control and management.COBIT standards provide a series of detailed control measures and control technologies for information systems′ risk management.Selecting a corresponding IT process based on COBIT guidelines,it can respectively conduct efficient risks assessment and control upon targeted information system.

Keywords:information system;risk control;COBIT;risk management

0 引 言

信息管理系统的高效运作离不开风险管理和控制,COBIT标准为信息系统风险管理提供了一系列详尽的控制措施和控制技术。参照COBIT信息准则,选出相应的IT过程,能够针对性地对目标信息系统进行有效的风险评估和控制。COBIT实现了组织战略与IT战略的互动,并形成持续改进的良性循环机制,为企业提供了具有一定参考价值的解决方案。借鉴COBIT标准的信息系统风险控制,可以科学、系统地对信息及相关技术进行管理,逐步建立起信息系统的风险控制,是企业信息化的可靠保证。

1 信息系统控制风险分析

随着社会信息化进程的不断加剧,信息已经成为社会活动中的基础资源,信息系统使信息资源的作用得以充分发挥,信息系统越来越趋向于大型化、网络化和复杂化。信息系统是为完成诸功能而建立的,各种功能的实现给企业和社会带来了方便和效益,这是系统的正面效应。但信息系统控制不当,会出现功能故障或停止运行,企业和社会就会产生混乱和损失,导致系统的负面效应[1],如图1所示。

信息系统的脆弱性是指信息系统特性中本来就具有的弱点。信息系统依赖的硬件、软件等IT技术,在建设和使用过程中都存在着大量的风险因素。这类风险客观长期存在,既有系统硬件带来的环境风险,也有系统软件带来的技术风险;既有系统建设过程中隐匿的风险,也有系统使用维护过程中凸现的风险;既有系统因为应用集中,自动化程度提高,导致的风险扩大,也有网络的大量应用,导致的风险蔓延。信息系统的诸多不安全因素,若不进行必要的风险管理和控制,系统将会遭受到严重的侵扰和损坏。因此,有效管理和控制信息系统风险,确保信息系统的安全运行是进入信息化社会的可靠保障。

2 COBIT控制标准

在对信息系统风险控制的实施过程中要遵从一些准则,而COBIT标准(Control Objectives for Information and related Technology)是一套著名的信息和相关技术的控制目标体系,它是美国信息系统审计与控制协会ISACA(Information Systems Audit and Control Association)和IT治理研究所(IT Governance Institute)共同开发的[2]。

该标准体系已在世界100多个国家的重要组织和企业中运用,许多国际大型企业都利用它来控制信息和信息资源的风险,并取得了很好的效果,是一套权威的、最新的、国际性的、被企业管理者广泛接受的,并能指导日常应用的国际标准。

系统的管理和控制是不可分割的,COBIT作为信息系统控制标准,主要有概述、控制目标、管理指南、审计指南以及工具集等几部分组成。其核心部分是IT控制目标,管理和控制都以控制目标为核心,相辅相成,如图2所示。

(1) 概述。提供了让管理层了解COBIT关键概念和原则的综合性信息,说明了4个控制域的体系结构。

(2) 框架。详细描述了34个IT控制过程,指出IT控制过程、信息准则和IT资源三者之间的关系[3]。这34个过程也正是信息系统生命周期中的关键环节。信息系统的生命周期一般分为系统规划、系统设计、系统实施、系统运行和系统评价5个阶段。COBIT根据系统的生命周期将34个IT控制过程划分在4个控制域中,规划与组织域相对生命周期的规划阶段;获取与实施域相对系统的设计和实施阶段;交付与支持域针对运行维护阶段;监控域则是覆盖了对整个生命周期的控制。企业可通过对这34个环节进行控制和评价提高信息系统绩效,评估信息系统价值,衡量信息化效益,如表1所示。

(3) 控制目标。为IT控制提供了一个用来明晰策略和实施的关键指导方针,包括318个具体的IT控制目标的详细说明。

(4) 管理指南。包括成熟度模型(用来决定每一个控制阶段和期望水平是否符合标准规范);关键成功要素(用来辨认在信息化过程中实现有效控制所必需的最重要的活动);关键目标指标(用来定义关键目标的绩效衡量标准);关键绩效指标(用来衡量IT控制程序是否能达到目标)。以上都是为了确保组织和企业能成功和有效整合业务流程和信息的系统。

(5) 审计指南。为了达到所期望的IT控制目标,必须要审计所有的IT程序。在审计指南中给出34个IT控制目标的审计步骤,用来协助信息系统的审计员检验IT程序是否符合318个控制目标,以提供管理上的保证和改进。

(6) 应用工具集。包括了管理意识、IT控制的诊断、应用指导、常见问题集、应用COBIT的企业个案研究及介绍COBIT的相关教材。这些新的工具组主要是让COBIT的应用更为容易,让组织能快速成功地从教材中学到如何在工作环境中应用COBIT,并且让领导层思考COBIT对企业目标的重要性[4,5]。

3 COBIT在企业信息系统风险控制中的应用

上海通用汽车公司于2002年准备投资建立客户关系管理系统(CRM),系统投入很大,而风险与投入成正比。因此,总公司建立专门机构统一部署,聘请专业IT审计师对信息资源投入的风险加以控制,确保投入的信息资源成为最有价值的资产。

作为企业级系统软件,IT审计人员在进行风险管理时,需要确定系统的实施步骤和风险控制级别,不能仅审查应用程序的技术风险,而要将其与商业过程的控制目标联系起来考虑,将企业所有的重要过程和步骤充分集成,能使企业运作更有效率。应用COBIT标准对系统进行审查,要根据自身组织的特性进行控制目标的确定。在审查初期就成功实施COBIT,解决管理人员的诸多问题,包括优化企业组件解决方案,满足用户需求,避免集成失败,确保技术架构匹配,解决供应商的支持问题。

如图3所示,有A,B,C三种控制方案或它们的组合。横坐标表示控制级别,纵坐标表示风险额或控制成本额。图3中三条曲线分别表示风险额、控制成本与总成本,坐标原点代表现状。可见,现阶段基本没有采用IT审计风险控制,存在巨额风险,急需改进。横坐标终点代表将风险额度控制近似为零,但付出了巨额的控制风险成本,成本大于效益显然不可取。IT审计人员提供了A,B,C三种控制方案,对风险额和控制成本各有侧重,上海通用以总成本为衡量指标,b″最小,因此B方案为最佳方案,控制级别B′为最优级别。

基于COBIT在上海通用客户关系管理系统(CRM)IT审计的风险控制中,系统实施分为4个阶段:第一阶段和客户数据库,建立同一客户信息中心;第二阶段,优化和整合服务中心、销售代表、零售商和市场促销活动之间的业务流程;第三阶段,开拓和强化客户与公司的交互接触功能,实现客户信息的多点采集机制;第四阶段,是对客户信息进行挖掘,对采集的丰富客户信息进行分析,将客户分门别类,进行市场细分,据此实现个性化营销。在整个系统实施中根据COBIT标准对信息资源进行严格的管理和风险控制,进行充分的系统测试,使系统达到预订目标。这样循序渐进,逐层审计控制风险,实现持续的投资回报,成为CRM系统成功的关键。

上海通用客户关系管理系统(CRM)上线以来,基于呼叫中心应用的信息采集和发布机制已经相当成熟,客户信息量日益丰富,尤其是百车通和客户呼叫中心这两个用户接触渠道,让广大潜在客户与现实客户同公司打交道时非常直接和方便。客户请求也能及时传到本地的零售代理和维修单位。对丰富的客户信息进行数据挖掘,分析发现具有商业价值的客户行为模式,

使得市场得以细分,CRM系统成为通用汽车的核心竞争力。

4 结 语

上海通用客户关系管理系统(CRM)成功的关键是基于COBIT标准的信息系统设定了关键控制点。所谓关键控制点,是指在业务程序中,对于保护整个业务活动控制目标的实现起着至关重要影响的环节,是整个控制系统中的重点,往往决定着整个业务活动各项控制目标的实现。在评价内部控制系统时,要根据审计目的要求、业务类型的特点和网络环境的特性等因素,确定某类具体业务处理程序中的控制要素准确地把握好内部控制。上海通用公司意识到CRM信息资源能够产生潜在的收益,深刻理解信息资源投入的风险和管理好信息资源投入所带来的风险。在投入信息资源时,不是求大求全,而是注重系统的应用性和复杂性,利用COBIT准则整合业务流程,进行机构重组。只有对信息系统的复杂性有了充分认识,注重对信息资源投入的相关风险管理,才能使信息系统获得成功,取得效益。

综上所述,COBIT实现了组织战略与IT战略的互动,并形成持续改进的良性循环机制,为企业提供了具有一定参考价值的解决方案。借鉴COBIT标准的信息系统风险控制,可以科学、系统地对信息及相关技术进行管理,逐步建立起信息系统的风险控制,是企业信息化的可靠保证。因此,基于COBIT的IT审计必将在企业信息系统建设过程中起到更为广泛的应用。

参考文献

[1]IT Governance Institute/ISACF.COBIT 4th Edition[EB/OL].http://www.isaca.org,2007.

[2]Ron Weber.Information Systems Control and Audit [M].Upper Saddle River,NJ:Prentice Hall Inc.,1999.

[3]胡克瑾.IT审计[M].北京:电子工业出版社,2004.

[4]郭顺利,杨小虎.COBIT控制目标体系研究及在电子政务中的应用[J].计算机工程与设计,2004(3):447-450.

[5]胡克瑾.IT治理在电子政务中的应用[J].中国计算机用户,2006(3):23-25.

[6]刘芳,周新耿.MAC地址与IP地址绑定在电子政务系统中的运用.现代电子技术,2005,28(1):79-81.

[7]陈亮亮,李芳.软件风险管理过程的研究与应用.现代电子技术,2006,29(6):34-36.