运用COBIT模型分析企业信息化项目风险

备战COBIT企业IT治理知识点的深度解析与实践指南在当今信息化时代，企业对于IT治理的重要性越来越被重视。

而COBIT（Control Objectives for Information and Related Technologies，信息及相关技术控制目标）作为一种广泛应用于企业IT治理的框架，在实践中得到了广泛的认可和应用。

本文将对COBIT企业IT治理的关键知识点进行深度解析，并提供一些实践指南，以帮助企业更好地备战COBIT企业IT治理。

一、COBIT简介COBIT是由国际信息系统审计和控制协会（ISACA）开发的一种综合框架，旨在帮助企业有效地管理和控制其IT资源，以及实现业务目标。

COBIT框架建立在业务目标导向、风险管理和过程控制的基础上，可以帮助企业提高IT治理的效果和效率。

二、COBIT的核心原则1. 满足商业需求：企业IT治理的核心目标是为了满足商业需求，确保IT资源和业务目标的紧密衔接。

2. 覆盖企业全局：COBIT框架涵盖了企业IT治理的各个方面，包括战略规划、组织架构、流程管理、资源管理等。

3. 用途广泛、可定制：COBIT框架可以根据企业的具体需求进行定制，适用于各行各业的企业。

三、COBIT的知识域COBIT框架包含了各个方面的IT治理知识域，以下是其中一些重要的知识域及其相关知识点的深度解析：1. 企业治理和管理企业治理和管理是COBIT框架的核心，涉及到企业战略、决策制定、组织架构等方面。

企业治理和管理的关键知识点包括：企业目标的确定与分解、战略制定和执行、风险管理、组织架构设计等。

2. 信息架构与数据管理信息架构与数据管理是COBIT框架中重要的知识域，涉及到信息系统的架构设计、数据管理和数据保护等方面。

信息架构与数据管理的关键知识点包括：信息系统的架构设计原则、数据治理、数据安全与隐私保护等。

3. 业务流程管理业务流程管理是COBIT框架中关注的重点，涉及到业务流程的规划、执行和优化等方面。

IT治理架构-cobit模型IT 治理架构一个有效的IT 治理架构需要理解组织的核心竞争力，并且在商业目标，治理原型，业务绩效目标之间维持平衡，进而提出IT 治理框架，制定决策以及如何在关键的信息技术领域中确定。

由此，意识到IT 治理与企业治理之间的必然联系，提供管理相关风险的最佳实务指导。

企业目标是保证企业健康、可持续发展，关注商业目标、知识管理、商业通讯、客户关系、商业活动与过程；IT 治理目标是信息系统、技术和网络、知识管理、IT 资产管理、电子商务、IT 合法性等。

COBIT ，直译为信息及相关技术的控制目标，是IT 治理的一个开放性标准，由美国IT 治理研究院开发与推广，目前已成为国际上公认的最先进、最权威的安全与信息技术管理和控制的标准。

该标准为IT 的治理、安全与控制提供了一个一般适用的公认的标准，以辅助管理层进行IT 治理。

该标准体系已在世界一百多个国家的重要组织与企业中运用，指导这些组织有效利用信息资源，有效地管理与信息相关的风险。

COBIT 模型COBIT 将IT 过程，IT 资源及信息与企业的策略与目标联系起来，形成一个三维的体系结构。

其中，IT 准则维集中反映了企业的战略目标，主要从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性；IT 资源维主要包括以人、应用系统、技术、设施及数据在内的信息相关的资源，这是IT 治理过程的主要对象；IT 过程维则是在IT 准则的指导下，对信息及相关资源进行规划与处理，从信息技术的规划与组织、采集与实施、交付与支持、监控等四个方面确定了34个信息技术处理过程，每个处理过程还包括更加详细的控制目标和审计方针对IT 处理过程进行评估。

COBIT 的34个信息技术过程：这个模型为企业管理的成功提供了集成的IT管理，通过保证有关企业处理过程的高效的改进措施，以更快更好更安全地响应企业需求。

管理指南定义了IT过程的成熟度模型，为管理者评估IT过程的状态提供了标准。

基于ＣＯＢＩＴ的网上银行风险评估体系研究内容摘要:作为金融创新之一的网上银行,在快速发展的同时也蕴含了巨大的风险。

本文在借鉴COBIT框架基础上,建立一套符合我国实际的网上银行风险评估体系,以全面动态地评价网上银行风险,从而实现对网上银行的分级监管,促进电子金融业的健康稳定发展。

关键词:COBIT 网上银行风险评估目前,世界范围内的金融危机让人们开始重新审视金融创新所蕴含的巨大风险。

作为金融创新之一的网上银行以其低成本、高效益、方便快捷、应用广泛的特点,显示出强大生命力,同时也由于它是建立在开放网络上的银行信息系统,技术风险的负面效应及控制不当,会导致风险的大量聚集和扩散,引发马太效应。

而传统的风险监管措施存在滞后现象,难以应对网上银行日益频发的风险危机。

要使监管当局更加全面、直接的掌握网上银行风险的实际情况,识别、评估各种风险的总体有效程度,需要建立网上银行风险评级体系。

作为网上银行风险监管有效工具的风险评级,它的核心内容是通过一定的风险评级模型对监管对象的风险状况和风险管理能力进行等级划分,从而对其风险表现形态和内部风险控制能力进行科学判断,进而有针对性采取监管措施,改善风险状况,提高监管效率。

许多权威的信息系统风险评级体系都参考了国际上公认最为权威的信息系统安全与技术管理和控制标准COBIT(Control Objectives For Information and Related Technology),它已经成为国际上对信息和信息资源进行风险评估和控制的实施标准,被广泛采用并取得了很好的效果。

COBIT目标控制体系概述COBIT是由信息系统审计与控制基金会(ISACF)与IT治理研究所(IGI)共同研究与开发,并于1996年由信息系统审计和控制协会(ISACA)颁布的信息系统安全与技术管理和控制标准。

COBIT是信息管理系统监管层面的高级控制目标,比单纯信息安全的视角更广。

它从一个简单而实际的假设开始:为了提供组织(政府或企业)达到其目标而需要的信息,IT资源需要由一组自然分类的IT过程(IT Processes)管理。

７５《商场现代化》２００７年１１月（中旬刊）总第５２１期一、ＣＯＢＩＴ标准综述ＣＯＢＩＴ（Ｃｏｎｔｒｏｌ　Ｏｂｊｅｃｔｉｖｅｓ　ｆｏｒ　Ｉｎｆｏｒｍａｔｉｏｎ　ａｎｄ　ｒｅｌａｔｅｄ　Ｔｅｃｈｎｏｌｏｇｙ）是美国信息系统审计和控制协会ＩＳＡＣＡ（Ｉｎｆｏｒｍａｔｉｏｎ　Ｓｙｓｔｅｍｓ　Ａｕ－ｄｉｔ　ａｎｄ　Ｃｏｎｔｒｏｌ　Ａｓｓｏｃｉａｔｉｏｎ）基于其原有的控制目标体系（ＣｏｎｔｒｏｌＯｂｊｅｃｔｉｖｅｓ），结合并改进现有的正在发展中的其他国际技术标准和工业标准而制定的控制目标体系，是国际上最先进、最权威的安全与信息技术管理和控制的标准。

ＣＯＢＩＴ控制目标体系是一个较完整的信息系统管理和控制的参考模型，它将政府和企业的信息化归纳为３４个ＩＴ处理过程，并逐个提出指导意见。

通过将ＣＯＢＩＴ应用到信息系统的开发和实施环境，可以为管理人员、开发人员和审计人员来强化和评估信息技术外包风险的管理和控制提供依据。

二、ＩＴ外包的风险分析企业ＩＴ外包处于ＩＴ战略中的资源管理层面，是帮助企业将注意力更多地投入到商业管理而非信息技术管理，进而更专注地追求核心竞争力的一条途径。

尽管ＩＴ外包愈来愈普及，但外包失败的案例并未因此而减少。

ＩＴ外包风险的表现就是外包失控。

由于把部分或全部ＩＴ资源外包给企业外部的服务商，企业对服务商的管理就要比管理自己的ＩＴ部门复杂得多，时刻会面临失控，主要表现在以下三个方面：风险一：ＩＴ外包可能会在服务的及时提供和服务的质量方面达不到预期效果。

风险二：企业对承包商的依赖度高反而降低了企业的灵活性，企业成本不降反升。

风险三：企业的商业机密可能会被泄露，知识产权可能会被盗用。

三、基于ＣＯＢＩＴ的ＩＴ外包风险管控体系ＣＯＢＩＴ的控制目标主要是针对信息系统的管理控制和运行控制，ＣＯＢＩＴ提出的控制目标可以应用到所有的信息系统。

因此，它的控制目标对ＩＴ外包系统来说大部分是适用的，但因其业务特殊性，必须结合发包企业的具体环境和承包商的实际情况，加以修改、补充和完善。

使用COBIT架构的企业信息技术管理第一章介绍COBIT架构COBIT（Control Objectives for Information and Related Technology）是由ISACA（Information Systems Audit and Control Association）制定的一种IT管理框架。

COBIT架构有助于企业管理和监督IT资源，确保企业的信息技术能够实现业务目标并符合法律、法规等要求。

同时，COBIT架构还可以帮助企业提高信息技术的效率和效益，减少信息技术资源的浪费和损失。

COBIT架构包含以下五个领域：规划与组织、采购与实施、交付与支持、监控与评估、治理与管理。

在这些领域中，COBIT架构提供了一套完整的、基于实践的指导原则和实施过程，有效地促进企业的信息技术管理。

第二章 COBIT架构在企业信息技术管理中的应用企业信息技术管理需要同时考虑业务需求和信息技术资源的管理。

COBIT架构为企业提供了多种管理工具和指导原则，有利于企业管理信息技术资源并服务于业务目标。

首先，在规划与组织领域中，COBIT架构鼓励企业在制定信息技术战略和规划时考虑业务需求。

企业需要将信息技术资源与业务需求进行对齐和协调，确保信息技术资源能够为业务发展提供支持和服务。

COBIT架构还提供了一些工具，如SWOT分析、业务流程分析等，有助于企业制定和实施信息技术战略。

其次，采购与实施领域是企业信息技术管理的核心领域。

COBIT架构强调企业需要进行信息技术投资评估，选择合适的信息技术资源并对其进行管理。

在实施过程中，COBIT架构提供了管理过程和工具，如项目管理、变更管理等，有助于企业有效管理信息技术实施过程。

交付与支持领域有助于企业为业务流程提供高质量的信息技术服务。

COBIT架构鼓励企业建立服务级别协议（SLA），并采取有效的服务管理措施。

企业还需要对信息技术资源进行适当的维护和保护，确保其长期稳定运行。

基于COBIT的信息化治理作为企业，在信息化时代，科学地治理企业信息化是非常必要的。

不仅可以提高企业信息化的效率，还能够保证企业信息化的安全。

COBIT框架是一款针对企业信息化治理领域专门设计的框架。

那么基于COBIT的信息化治理究竟是如何实现的呢？一、COBIT框架介绍COBIT框架是一款全球性的企业信息化治理框架，适用于各种规模企业。

这款框架最初的目的是为了帮助企业评估其信息技术的管理和控制情况。

同时，它也能够帮助企业管理信息技术，提高信息技术的治理水平，确保信息技术的质量和安全。

COBIT框架的设计思想是“启发式”的。

它包括4个基本领域和一个整体的应用领域。

这4个基本领域分别是：1、规划和组织2、筹划与运营3、交付和支持4、监控整体的应用领域是：1、企业战略的制定和实施。

2、管理应用领域的模型。

COBIT框架的目标是提供一个信息技术治理的综合性框架，以帮助企业达成以下3个目标：1、提高企业对信息处理和信息管理的控制和认识。

2、提高信息技术服务质量。

3、提高信息技术运营效率，并降低相关风险和成本。

二、基于COBIT的信息化治理基于COBIT的信息化治理包括以下步骤：1、企业信息技术系统的控制和管理体系应该和企业的战略和目标是一致的。

企业要基于自身需要和目标设置信息化治理的目标，以明确目标和实施过程。

2、清楚处理信息和信息系统的角色和职责。

各个部门要根据企业目标和信息系统的需求，制定相关的管理制度和规范，以保证信息系统运行的可靠性和安全性。

3、设立信息技术治理的策略和管理架构。

企业要根据其自身情况和需求，选择和实施适合信息技术治理的COBIT框架。

同时，需要确定适合自己企业的治理流程和决策方式，以确保信息技术的治理和控制。

4、建立起一套信息技术治理的控制流程。

这一流程包括企业的信息技术的规划、设计、开发、测试、部署和维护等整个流程，企业要对这些流程进行规范和演练，以保证信息技术系统的正常运行和安全性。

IT治理的核心模型COBIT的解读与应用COBIT的四个领域关注的是组织信息化建设的整个生命周期，因此对于我国的企业的信息化建设也具有指导意义。

一、COBIT的背景介绍从现有的控制框架来看，以COSO为代表的业务控制框架，主要是从受托责任方面来考虑一般控制的价值，缺少对IT控制的阐述和说明；以CICA的IT控制指南为代表的IT控制框架，侧重于对技术进行控制。

因此。

这两类模型都没有全面照顾到业务和IT。

COBIT的出现就是为了填补这个空白，它基于COSO，同时整合了全球所有主要的信息技术标准。

因此既能关注IT，又能与业务日标紧密联系，其任务就是研究、开发、出版和推动一个权威的、最新的、被国际上的企业，业务经理的日常使用、IT专业人上和鉴证专业认识所广泛接受的IT治理框架。

COBIT由ISACA开发与推广。

1976年，ISACA专门设立ISACF。

从事IT 的管理、控制和安全保证领域的研究。

同年。

ISACF发布COBIT1.0版本。

试图将它作为一种审计工具。

为了响应对IT进行控制的需要，1998年发布的COBIT2.0，在1.0版本的基础上增加了资源文件的数据，改进了高层控制目标和具体控制目标，增加了实施工具包。

1998年，ISACA 与ISACF合并设立了旨在促进IT治理原则推广和应用的ITGI，COBIT的后续的研究和更新就是由ITGI来完成的。

ITGI在2000年发布的COBIT3.0版本中增加了管理指南，还将ISACA 原始的“控制目标”修改为管理目标，同时还扩充和加强了对IT治理的关注。

使得COBIT演变为一个管理工具。

IT的日益广泛应用，增加了对IT治理的需求，ITCI于2005年在广泛调查和研究的基础上，推出了COBIT4.0版本，它站在IT治理的角度，从更高的层面上来指导管理层进行IT控制和信息系统管理，使之成为一个真正意义上的IT治理框架。

2007年5月，ITGI推出的COBIT4.1在4．0的基础上进行了微调，并无本质更新。

基于CobiT的信息系统内部控制及审计随着计算机技术和网络技术的迅猛发展,企业高度依赖于信息系统来加强管理、提高效率，改进服务。

会计电算化、电子商务(EC)、管理信息系统（MIS）、企业资源计划(ERP）的逐步实施与普及应用，使企业面临着前所未有的信息风险，信息系统的安全、可靠、效率也日益重要。

基于信息系统的重要性及IT挑战，产生了对信息系统进行控制和审计的需求,即信息系统内部控制和信息系统审计。

面对信息系统审计具有的专业性、技术性和复杂性，信息系统审计与控制协会（ISACA）的IT治理学会(ITGI）制定出了专门适用于信息系统控制和审计的标准-——CobiT，即信息及相关技术控制目标.这样以CobiT为基础进行信息系统控制和审计成为了可能.一、信息系统内部控制、审计的理论框架企业IT控制是企业内部控制的控制环境要素在受到IT广泛应用的影响之下而逐渐形成并发展的。

IT控制所关注的对象是企业IT资产的整个运维状况，它与整个企业的内部控制应该是子集与全集的关系。

COSO通常作为企业的整体内部控制框架，CobiT则是通用的IT控制框架。

COSO框架已广为人知，在此主要介绍CobiT理论框架。

1、CobiT简介CobiT---信息及相关技术控制目标，它是目前国际上公认的最先进、最权威的安全与信息技术管理和控制的标准,目前已经更新至第四版。

它在商业风险、控制需要和技术问题之间架起了一座桥梁，以满足管理的多方面需要。

该标准体系已在世界一百多个国家的重要组织与企业中运用，指导这些组织有效利用信息资源，有效地管理与信息相关的风险。

CobiT将IT过程、IT资源及信息准则与企业的策略与目标联系起来，形成一个三维的体系结构（图1）。

其中,信息准则维集中反映了企业使用IT的战略目标，包括信息技术应用的有效性、效率性、保密性、完整性、可用性、符合性、可靠性等7方面.IT资源维描述了I T治理过程的主要对象,有人员、基础设施、信息、应用系统等4类。

【摘要】企业信息系统能否正常、安全的使用对于企业来说是一个不容忽视的重要问题，本文通过梳理COBIT 框架的发展历程、IT 治理及风险管理的相关概念和理论，将COBIT 框架的内容应用到IT 治理和企业风险管理中，从多个角度分析了COBIT 框架使用中的优点及可行性，并提出了一些应用过程中的技巧和方法，以便于企业更好的将COBIT 框架应用到IT 治理和风险管理中。

【关键词】COBIT 框架；IT 治理；风险管理一、引言随着IT 技术的普及和不断发展，越来越多的企业将信息系统作为企业日常运行的工具，所以信息系统能否安全、可靠、有效的运行，将关系到企业能否正常的运转。

随着信息系统的不断使用，IT 治理和风险管理也就显得尤为重要，这一领域的专家学者也不断研究，制定了关于IT 治理和风险管理的参考框架，在诸多框架中，COBIT 框架是一个比较权威并且被广泛使用的框架，所以本文以COBIT 框架为基础，讨论IT 治理和风险管理的相关问题。

二、相关理论及概念（一）COBIT 框架COBIT 的全称是信息及相关技术控制目标。

它是国际公认的关于IT 治理和IT 控制方面的框架。

COBIT 5.0在2012年发布，它由IT 治理协会的多方专家共同制定，这些专家来自学界、政府和实业的各个领域，他们通过深入研究之后，将各种适当的技术和专业标准结合起来。

目前在COBIT 5.0的基础上，又发布了新版本，称为COBIT 2019。

新版COBIT 具有动态的IT 环境，它发生变化的速度非常快，所以用户很难匹配上它的更新速度[1]。

新版本认识到了这些问题并解决了这些问题：通过使COBIT 成为一个动态的IT 治理框架，可以更快地更新并应用用户的输入内容，从而能保持它与COBIT 社区的相关性。

COBIT 2019在这一领域建立并集成了25年以上的发展，它结合了来自科学领域的新见解，而且还将这些见解落实为实际操作。

在IT 审计社区的基础上，COBIT 已成为一个更广泛和更全面的IT 治理和管理框架，并继续将其自身构建为全球公认的模型。