以COBIT 5基底 建立企业IT治理架构

中华民国电脑稽核协会(ISACA)专业发展委员会主委庄盛祺。

不可讳言，企业营运风险的驱动程序，包括全球化、新兴市场、企业整并、法令管制、强烈竞争、产品与市场创新、科技演进、信息变革、电子商务、危机…等种种变量，不断繁衍且未曾停歇；面对此起彼落的驱动程序，企业若不善设风险管理机制，唯恐徒增营运损失风险。

在此前提下，身兼中华民国电脑稽核协会(ISACA)理事暨专业发展委员会主委的万亿益数码总经理庄盛祺认为，对于企业而言，如何建立有效的IS/IT治理机制，实为重大课题。

关于企业目前可用的内控框架，针对整个企业层次的治理，主要适用于COSO、COSO ERM(Enterprise Risk Management)，而在IT管理层次，则有ITIL、ISO 27001、CMM、HIPPA、Basil Ⅱ等标准可供依循，至于如何在企业治理、IT管理等层次之间建立一道承上启下的IT治理？则可遵循COBIT 5框架。

COBIT 5承上启下  确使企业营运与IT策略一致

庄盛祺强调，信息是所有企业的关键资源，而信息的产生、使用、留存、揭露与销毁，必须与企业营运目标、商业模式紧密整合，因此需要善用科技技术落实这些动作与关键功能。

在以往，IT总是扮演支持的角色，然而时至今日，IT与企业每天的营运作业愈趋密不可分，已经成为在风险管理、创造价值等方面不可或缺的要角，因此务须透过IT治理，协助公司达成营运目标。

所谓IT治理，系解决在定义营运流程及营运规则(包括内部控制)、导入数据？数据库结构、提供工具进行营运分析的问题。

至于COBIT所能营造之价值，则是维持信息的高品质，及支持企业的决策制定，好让企业得以从IT投资中创造商业价值，意即透过有效与创新的信息科技应用，实现企业的策略目标与商业利益，并藉由可靠及有效率的科技应用，达到企业的卓越营运。

除此之外，经由COBIT，亦可维持IT相关的风险在一个可以接受的等级，同时最佳化IT服务与科技的成本，终至帮助企业妥善遵循日益渐增的相关法律、契约协议与政策。

庄盛祺指出，综观COBIT 5产品系列，内含促成因素指南，以及攸关建置、信息安全、确认、风险等面向的专业指南，且具有五项基本原则，依序是满足利害关系人的需求、涵盖企业的端对端、采用单一且整合的策略、使用全面性的方法，以及区分治理与管理。

无庸置疑，企业存在的目的，即是为了替利害关系人创造价值，因此「满足利害关系人的需求」可谓十分重要，透过COBIT 5，有助于将利害关系人的需求，转化为特定的、可执行的、定制化的企业目标，这一转化，允许在企业的每一层级或每个领域设定目标，以支持总体目标与利害关系人要求，进而有效支持企业与IT解决方案？服务之间的一致性。

欲统合ISACA框架知识  可用COBIT 5进行整合

此外，论及IT治理目标，无非就是「价值创造」，因此必须内含利益实现、风险最佳化、资源最佳化等三大关键支柱，连带需要「涵盖企业端对端业务」，举凡拥有者及利害关系人、治理机构、管理、运作及执行等一连串「角色、活动与关系」，皆是COBIT 5治理系统的关键要素。

更重要的，COBIT 5框架为利害关系人提供关于企业IT治理与管理的最完整、最新的指南，包括针对企业部份的COSO、COSO ERM、ISO/IEC 9000或ISO/IEC 31000，以及IT相关的ISO/IEC 38500、ITIL、ISO/IEC 27000系列、TOAGF、PMBOL/PRINCE2、CMMI，可说已经与其他最新的相关标准与框架相一致，因此企业可凭藉COBIT 5作为总体治理与管理框架的整合器，用以整合以前分散在不同的ISACA框架的所有知识，并方便让COBIT 5使用者可以连结对应到其他标准。

另一方面，COBIT 5采用了全面性的方法，也就是7个促成因素，依序是一、「原则、政策与架构」：将企业所期望的行为转变为日常管理的实践指导；二、「流程」：描述了一系列有组织、为达特定目标、支持实现整体IT相关目标的实践与活动；三、「组织结构」：在一个企业的关键决策实体；四、「文化、伦理与行为」：个人与企业的文化、伦理与行为，乃是在治理与管理活动中，最容易被低估的因素；五、「信息」：包括企业产生与运用的所有信息，是保证组织运行与有效治理所必须的要素；六、「服务、基础设施与应用程序」：包括为企业提供信息技术服务与处理的基础设与应用程序；七、「人才、技能与专长」，意指做出正确决策、实施正确移动，及成功完成所有活动所必须之要素。

庄盛祺表示，COBIT 5流程参考模型，内含企业IT治理与管理等两个主要流程领域，包括了IT治理层次的评估、指导、监督架构，以及IT管理层次的规划、建立、执行、监督架构。

总括而论，COBIT 5建置生命周期有7个阶段，依序是「驱动因素为何」、「我们目前的位置为何」、「我们希望在什麽位置」、「我们需要做什麽」、「我们如何达成」、「我们是否已经达成」，及「我们如何维持驱动的力量」。另值得注意的则是COBIT 5 for Assurance，它在大部份情况下，就像COBIT 5本身的架构，是一种近似于「伞」的方法，可针对确认的工作执行资源分配，其所适用的相关标准，包括了ISACA ITAF、ISACA Audit/Assurance Programs等。