< 返回
cobit标准在it外包业务风险管理中的应用

[摘要] 本文应用cobit(control object for information and related technology,信息及相关技术的控制目标)理论和风险控制理论,对it外包业务的风险进行标识,最终建立起it外包活动的风险管控体系。

[关键词] cobit it外包 风险管理

一、cobit标准综述

cobit(control objectives for information and related technology)是美国信息系统审计和控制协会isaca(information systems audit and control association)基于其原有的控制目标体系(control objectives),结合并改进现有的正在发展中的其他国际技术标准和工业标准而制定的控制目标体系,是国际上最先进、最权威的安全与信息技术管理和控制的标准。cobit控制目标体系是一个较完整的信息系统管理和控制的参考模型,它将政府和企业的信息化归纳为34个it处理过程,并逐个提出指导意见。通过将cobit应用到信息系统的开发和实施环境,可以为管理人员、开发人员和审计人员来强化和评估信息技术外包风险的管理和控制提供依据。

二、it外包的风险分析

企业it外包处于it战略中的资源管理层面,是帮助企业将注意力更多地投入到商业管理而非信息技术管理,进而更专注地追求核心竞争力的一条途径。尽管it外包愈来愈普及,但外包失败的案例并未因此而减少。it外包风险的表现就是外包失控。由于把部分或全部it资源外包给企业外部的服务商,企业对服务商的管理就要比管理自己的it部门复杂得多,时刻会面临失控,主要表现在以下三个方面:

风险一:it外包可能会在服务的及时提供和服务的质量方面达不到预期效果。

风险二:企业对承包商的依赖度高反而降低了企业的灵活性,企业成本不降反升。

风险三:企业的商业机密可能会被泄露,知识产权可能会被盗用。

三、基于cobit的it外包风险管控体系

cobit的控制目标主要是针对信息系统的管理控制和运行控制,cobit提出的控制目标可以应用到所有的信息系统。因此,它的控制目标对it外包系统来说大部分是适用的,但因其业务特殊性,必须结合发包企业的具体环境和承包商的实际情况,加以修改、补充和完善。

1.组织与规划

系统规划是it外包项目建设的第一步,包括发包企业的战略目标、政策和约束、计划和指标分析;发包企业原有的建设目标、建设模式;企业信息的功能结构、组织、人员管理;it外包的效益分析和实施计划。规划的好坏对it外包项目的建设的成败有至关重要的影响。

整个信息系统的建设要以优化企业的核心业务流程,提高工作效率,更好地发挥企业综合协调与服务的职能为总体目标。规划必须满足:规划本身应当明确无误而且易于理解,应当是一个可以为大多数人所理解和认同的概念。规划必须得到领导小组的认可;规划目标应当是可衡量的;规划必须建立在对内外信息调查的基础上制定。

2.获取与实施

系统分析是在充分的调查的基础上对企业内部的整体管理状况和信息处理过程进行分析。系统分析的工作量非常大,所涉及的业务、人、数据和信息非常多。而且在实际情况中,企业信息化的需求难以一次确定,并且会不断发生变化;另一方面,承包商对政府的具体业务业并不熟悉,常常会发生理解上的偏差,从而导致建模的错误。因此,完成的系统分析必须满足以下一致性、完整性、现实性和有效性这四方面的要求。然后在系统分析的基础上,研究承包商外包方案的可行性,制定相关技术标准、实施规范。

3.服务与支持

发包企业的需求是不断变化的,商业目标也是随着企业的发展而逐步更新的,承包商要做好完善的数据跟踪,在可行范围内满足发包企业的需求,不断改进和修正开发计划中遇到的问题和缺憾。

4.审计

it外包项目在发包企业实施以后,系统的可靠性、安全性和有效性是非常重要的,系统中的信息成为政府最宝贵的资源。内部审计是在政府内部建立信息系统审计组织,由内部信息系统审计人员对电子政务系统的可靠性、安全性、有效性进行检查与评价,将结果报告给政府管理层。内部信息系统审计部门,从组织地位上来讲必须独立于政府的it职能部门和最终用户部门。

构建基于cobit的信息系统管理、控制与审计模型,将便于人们对信息系统建设与应用过程的理解与分析,指导人们建立相应的机制,将信息系统建设与应用的全部过程置于有效的管理与控制之下。对信息系统的投资者和管理者,将帮助他们在通常不可预测的it环境下平衡风险与投资。对信息系统的使用者,将通过管理、控制和审计为他们提供安全保障和一定的服务水平。对审计师而言,将帮助他们明确审计轨迹,使他们做出的鉴定和劝告更具说服力。

四、总结

通过构建基于cobit标准的信息技术过程集,我们可以把对it外包的风险管理细化到各个过程,构建过程的风险管理模型,从而化繁为简,使复杂的it外包业务管理、控制和审计结构化。对it外包拥有正确的风险管理思想为指导,能够促进健全的管理机制建立,便于技术与工具的应用,使风险管理过程更加规范化。

参考文献:

罗伯特克莱珀温德尔.琼斯:信息技术、系统与服务的外包[m].北京:电子工业出版社,2003