COBIT 2019

COBIT 2019是由國際電腦稽核協會（ISACA）發布的最新版「企業資訊與技術治理」（EGIT）框架。其核心理念是將「治理」與「管理」明確區分：治理由董事會層級負責，確保利害關係人需求被評估以決定企業目標（評估、指導、監督）；管理則由經營團隊負責，依據治理層的指導來規劃、建置、執行及監控活動以達成企業目標。此框架提供40個具體的治理與管理目標，並能與ISO/IEC 27001（資訊安全）、ISO/IEC 27701（隱私資訊）及NIST網路安全框架（CSF）等標準對應整合。在風險管理體系中，COBIT 2019提供了一個上層的總體結構，確保IT風險被納入企業整體風險視野，而不像ISO/IEC 27001僅專注於資訊安全管理系統（ISMS），COBIT更強調如何透過有效的I&T治理來創造商業價值。

企業應用COBIT 2019管理風險時，通常遵循以下步驟： 1. **範疇界定與目標設定：** 企業首先運用COBIT的「設計因子」（Design Factors）分析自身產業特性、風險偏好與策略目標，從40個治理與管理目標中，篩選出最攸關的項目。例如，一間高科技製造業可能會優先選擇「APO12 管理風險」與「DSS05 管理資安服務」作為導入重點。 2. **流程導入與能力評估：** 針對選定目標，導入其對應的流程與實務作法。接著，使用COBIT績效管理（CPM）模型，評估現行流程的能力成熟度等級（從0級至5級），以識別與目標狀態的差距，並規劃具體改善計畫。 3. **監控衡量與持續改善：** 建立與目標相關的關鍵目標指標（KGIs）與關鍵績效指標（KPIs），例如「因IT相關事件導致的業務損失金額」或「重大資安事件數量」。透過持續監控這些指標，確保治理機制有效運作並回饋修正。一家台灣金融機構導入後，其年度資安稽核通過率提升至98%，重大風險事件發生率降低了15%。

台灣企業導入COBIT 2019時，主要面臨三大挑戰： 1. **資源限制與高層支持不足：** 許多中小企業缺乏專職IT治理人才與預算，且管理層常誤將其視為純IT部門事務，而非攸關企業存續的治理議題。 2. **框架複雜度高：** COBIT 2019包含40個目標與200多個實務作法，內容龐雜，若無專業指引，企業難以有效客製化，容易導致導入失敗。 3. **本地法規整合困難：** 企業需額外投入資源，將COBIT框架與台灣《資通安全管理法》、上市櫃公司《建立內部控制制度處理準則》等在地法規要求進行映射與整合。 **對策如下：** * **克服資源限制：** 建議採分階段導入，優先從資安、個資保護等高風險領域著手，在3-6個月內展現速贏效益（如降低合規罰款風險），以爭取高層支持。同時可借助外部顧問的專業經驗，加速導入進程。 * **簡化複雜度：** 善用COBIT 2019的設計因子工具，系統性地篩選出3-5個最優先的治理目標，集中資源推動，避免發散。 * **促進法規整合：** 建立「法規-COBIT對應矩陣」，將法規條文要求明確映射至COBIT的具體實務，確保單一管理活動能同時滿足治理與合規雙重目標。

積穗科研股份有限公司專注台灣企業COBIT 2019相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact