資策會4月首度推出IT治理COBIT Foundation課程

對於有在美國上市、上櫃的臺灣企業而言，沙賓法案（SOX）是法規遵循的一環。而由ISACA（國際電腦稽核協會）制訂的COBIT（Control Objectives for Information and Related Technology）框架，則是目前公認達到美國法規遵循的最佳實作（Best Practice）。資策會和荷蘭商Quint Wellington Redwood諮詢顧問公司於4月下旬，推出臺灣第一個COBIT Foundation課程，以ISACA在2007年推出的COBIT 4.1版為基礎，落實以IT結合企業營運的目標，並做到平衡企業營運風險的目的。

雖然在美國是透過COBIT來落實IT與企業營運的目標，但對於臺灣上市、上櫃公司而言，原本就有很多必須遵循的規範，COSO（內部控制規範）就是臺灣企業公司治理的基礎。國際電腦稽核協會臺灣分會理事徐敏玲，她也是國際電腦稽核協會COBIT 3.0正體中文版的主要推手，徐敏玲認為：「對臺灣企業而言，原本就有一套公司治理的COSO標準，COBIT就是IT治理的準則，也就是IT的COSO。」

徐敏玲進一步解釋，COBIT主要目的在於結合IT與企業營運目標，「對於企業IT主管而言，如果不了解IT治理，就會出現重工、IT與營運目標難整合的危機。」她說。徐敏玲表示，就目前企業所需要的各種框架而言，最上層的是公司治理的COSO框架，中間是IT治理框架COBIT，最底層則是IT管理的各種標準與框架，包含ITIL（ISO 20000）、CMMI和ISO 27001皆然。

從1996年推出的COBIT，目前已經到最新的4.1版（2007年推出），其中COBIT訂定34個流程，並串聯210個相關工作項目及其監控的架構。Quint Wellington Redwood諮詢顧問黃以任也是這次COBIT Foundation課程講師，她表示，COBIT最主要的4大框架就是規畫與組織（Plan and Organize，PO）、取得與建置（Acquire and Implement，AI）、交付與支援（Deliver and Support，DS）和監控與評估（Monitor and Evaluate，ME），「這4個框架就是COBIT Foundation最主要的課程內容。」她說。

這次資策會和Quint Wellington Redwood諮詢顧問公司推出COBIT Foundation課程，而不是和ISACA推出COBIT相關課程。資策會教研所科技化中心課程承辦人員王淳平表示，「Quint Wellington Redwood諮詢顧問公司在其他國家，已經正式推出COBIT的課程內容，既有的課程、教材對於資策會在推出COBIT相關課程上，不會有從頭來過的困擾。」

黃以任表示，雖然對很多臺灣公司而言，COBIT不見得有迫切需要，但是，當每一間企業都有法規遵循的需求，都必須做到公司治理的COSO，那如何讓IT治理的COBIT標準能對企業發揮最大的功用，都有助於臺灣企業發展更正常化。

除了COSO、COBIT，臺灣企業還流行很多標準，不論是資安管理標準ISO 27001、IT管理標準ISO 20000或者是軟體開發CMMI等標準。黃以任表示，COBIT是目前大家公認最完整的IT治理框架，也是IT與營運範疇結合最面面俱到的標準，「但不是要用COBIT取代既有的任一標準，」她說。當企業為了IT治理導入COBIT Foundation有一個全面性的規範後，若在資安有進一步的強化需求，可以再參考ISO 27001的標準、深化COBIT。

包括IT經理和IT流程負責人、參與IT治理的業務和IT經理、參加法規工作的IT人員等，都適合參加COBIT Foundation課程。參與該課程的學員可以跟ISACA報名線上考試，40題單選題，答對28題才合格；還可以一併取得PMI 的21 PDU。文⊙黃彥棻