治理,无论其在什么级别运行,包括管理控制、项目组合、数据管理、信息系统和技术控制目标(COBIT)、能力成熟度模型集成(CMMI)、信息技术基础架构库(ITIL)的IT服务管理等,都必须与信息系统逐步演进的发展轨迹相符合。信息系统的改造倾向于增加那些能提高敏捷的设备。考虑到业务和技术的发展,有必要更快速、更可靠地修改系统。
为了实现质量目标并确保企业信息系统的持续改进,公司必须根据一套基于良好的实践和标准,并结合敏捷实践的治理框架进行管理。
一个全面的企业信息系统项目集应该包括IT治理。IT治理是利益相关者用以确保IT投资能够创造业务价值,并有助于实现业务目标的主要手段。这种IT与业务的战略对齐既有挑战性又非常重要。更进一步说,IT治理规划的目的在于提高IT性能,并在满足监管合规要求的同时得到最佳业务价值。
虽然首席信息官通常负责IT治理的实施,但首席执行官和董事会也必须听取汇报和信息更新,履行IT治理职责,确保项目良好运行并实现业务利益。
在最近几十年里,董事会成员通常不参与监督IT治理。计算机科学是一门神秘而可怕的艺术,他们不想一头扎进去,被一个自作聪明的技术天才带着团团转。然而在今天,这是一个关键的、无法逃避的责任,并且已经建立了框架来管理IT工作。
有若干个IT治理框架可以指导IT治理项目的实施。尽管诸如COBIT、ITIL、IT投资价值(Val IT)和IT治理国际标准(ISO 38500)等框架和指导方针已经被广泛采用,但并没有全面的标准IT治理框架。最适合组织的框架组合取决于业务因素、企业文化、IT成熟度和人员能力。这些框架的实施级别也因组织而异。
IT治理是一个相对较新的术语,在20世纪90年代末首次被广泛使用。直到大约2009年,IT治理的定义主要关注于为技术基础设施和IT部门的有效内部管理创建正确的设置。IT部门被期望处理大量不同的问题,包括在短时间内迅速地技术变革。而董事会几乎不需要,或根本不需要理解技术问题,因为技术只是实施战略的工具。因此,IT治理最初主要关注于内部运营。然而,从2003年前后开始,越来越多的学者开始认为IT治理值得董事会关注。也许人们意识到了区分治理和管理的必要性,因为新技术本身正在为全球企业创造战略选择。其他技术则让公司治理和IT治理的整合更紧密,表明IT治理需要董事会参与,并需要成为整个企业或公司治理的一部分。
每个公司或组织的结构都是围绕使命来构建的,以实现自己设定的目标。组织的活动决定了其方向。组织聚集并协调了一套方法来实现目标,并将这些定义为一个系统:
也就是说,作为一组相互作用的元素,分组在一个有控制的结构中,确保通信系统能促进信息的流通,以满足需求并实现具体的目标。
一些研究人员试图通过结合各种现有的定义和方法,来开发一个更全面的IT治理框架。一般来说,框架除了描述给定区域内对象之间的关系外,还指定这些对象的结构。组织的框架效应在一个研究领域的早期阶段来描绘这个领域是特别有用的,它为知识的描述提供基础,揭示或突出了更具体的理论发展机会并验证领域内的问题。
在揭示了一些IT治理概念和挑战(包括缺乏全面的标准IT治理定义)之后,再来讨论实现IT治理预期收益的机制是很有用的。通常,IT治理可以通过结构、流程和关系机制的混合来展开。通过整合相关研究开发了一个概念模型(图3-8),该模型描述了IT治理核心元素。该模型被公认为非常成熟,它涵盖了IT治理的偶然性、多维性和动态性,并结合了驱动IT治理的重要元素(结构和流程)和四大目标(IT价值交付、战略对齐、绩效和风险管理)。
类似地,模型的每个维度(结构、流程和关系机制)由实现IT治理所需的机制组成,见表3-1。尽管该模型中存在几种机制,但决策实施会受到组织内的背景、偶发事件以及交互环境的影响。
图3-8 扩展的IT治理模型
表3-1 IT治理模型的维度
近年来,许多组织都着手实施基于单个IT治理框架或框架组合的IT治理机制的流程。一般来说,框架可以分为几组,即:面向业务的框架,如美国反欺诈财务报告全国委员会(Treadway)下属的发起人委员会(COSO),以技术为中心的框架(如ITIL),以及旨在对齐业务和技术目标的框架(如COBIT)。重点在于,IT治理框架使执行者和实践者能够使用标准和统一的方法来制定决策、指导以及评估和监控与治理相关的活动。采用适当的IT治理框架有助于高管更好地理解他们在IT治理中扮演的关键角色。例如:高管的承诺、战略目标和资源配置会影响特定框架的采用和选择。从评估的角度来看,许多组织使用框架或集成多个治理框架来提高他们对特定法规要求的合规性(如萨班斯法案,SOX),同时也加强内部环境控制。
IT治理领域中的一些通用框架包括COSO、ITIL、ISO 38500和COBIT。ISO标准涉及公司的IT治理,也涉及治理过程和决策。ITIL是一个主要关注于IT服务管理的框架,它使IT部门能够在严格的控制下,执行强大的、系统性的运营模式。COBIT作为IT治理的标准和通用框架被普遍接受,与COSO相比,它提供了更多关于IT控制的指导。
尽管IT治理框架已经非常有效,但IT治理框架不能被当作是现成的、不需要修改的解决方案。由于组织结构、业务目标和公司规模等因素,如果没有任何定制,IT治理框架无法直接实施。IT治理模型和框架的迫切需求非常突出,这些框架可以从通用框架扩展转换为相关性更高、更适用于企业和组织的框架。COBIT框架指出:框架、最佳实践和标准只有在被有效采用、调整时才有用。因此,人们应当关注一小部分真正将IT治理框架和结构理论付诸实践的学术研究和指导。
没有一个真正完全涵盖IT治理的框架。从标准来看,信息系统涉及非常多不同的方面:生产服务与管理(如ITIL),项目开发与组织[如软件能力成熟度模型集成(CMMI)和类似ITIL的知识体系指南]以及项目管理(如PMBOK)。
在美国的项目管理知识体系(PMBOK)、技术与流程管理(信息控制目标和相关技术——COBIT和ISO38500)和信息安全管理体系(信息安全管理体系原理和术语,ISO27000)中,每一种标准都倾向于扩大自己的适用范围,因此会相互重叠或重复。应用的关键是集成和调整,通过选择构建一个有效的方法实施标准的部分内容,而不要以实施标准的所有内容为目标。通过四个问题确定治理目标:如何做出决策?是否与信息系统相关?如何提升和获得这些决策的接受度?如何确保这些决策将被适当地实施?因此,治理的实施必须提升易于理解的绩效指标,管理层可以用它们来评估IT服务是否正常运行,以响应战略业务需求。下文介绍了最常用的IT治理标准。
信息系统审计和控制协会(ISACA)和工厂治理研究所(ITGI)在1992年创立了COBIT。COBIT的第一版于1996年出版,第五版于2012年4月出版。该框架已经成长为(并且仍然是)IT治理最重要的全球框架之一。构建COBIT最初是作为IT审计指南,因为该框架包含了一组全面的指导方针,用来改进审计和合规性。该框架不仅提供了关于治理实践的详细指导,还为审计人员提供了关于制订IT控制的各个方面评估办法的清单。这些特点使COBIT成为指导如何建立IT控制的完美框架,促进IT流程的表现更加优秀,并让高管能够借此弥合控制需求、技术问题和业务风险之间的矛盾和分歧。此外,COBIT在增加合规性、降低公司风险和适当的减轻责任方面具有重要的业务价值,并且被证明是建立过程成熟度基线的有用工具。此外,由于它作为一个IT治理框架被大量采用,COBIT正在逐渐成为普遍适用的框架。
从IT治理的角度来看,COBIT的主要目标是通过确保实现利益、降低风险和优化资源来实现价值创造。它还正式宣布为利益相关者提供IT治理模型以改进与IT相关的风险管理,并利用自顶向下的结构来确保对详细流程的系统性管理以实现恰当的IT治理。COBIT框架被认为是一个通用的、全面的、独立的、庞大的知识体系,旨在衡量各种规模的组织中IT流程的成熟度,无论是商业、非营利组织还是公共部门。
COBIT框架已经稳步获得了世界范围内的认可,它是实施和审计IT治理以及评估IT能力的最有效、最可靠的工具。它被认为是努力遵守萨班斯法案等法规的组织采用的主要标准。它还被认为是已经在全球采用的可信赖的标准,因为它提供了广泛的预定义流程集,可以不断修订和定制以支持不同的组织目标。无论是私营或公共行业、政府,或会计和审计事务所,COBIT都被视为包含完整IT投资生命周期的详尽框架,它还提供了IT度量指标来衡量目标的达成。
COBIT还被定义为平衡组织IT目标、业务目标和风险的最佳框架。这将通过使用平衡计分卡(BSC)来实现——财务、客户、内部运营、学习和成长——引入目标级联机制,将干系人的需求转换为具体的企业目标、IT相关的目标和使能者目标(COBIT流程),并将其连接起来。以17个企业目标为一组机制的流程已经被开发出来,并映射到17个与IT相关的目标,还依次映射到COBIT流程。除了提供一组IT治理流程,COBIT还通过使用详细的谁负责、谁审批、咨询谁和通知谁(RACI)的矩阵建立明确的角色和职责,促使这些流程恰当实施和有效管理。
COBIT的第5个版本(COBIT 5)是建立在5个基本原则之上的:满足利益相关者的需要,端到端覆盖企业,运用单一整合式框架,采用一个整体全面的方法,以及区分治理与管理。更进一步,COBIT 5过程参考模型(PRM)将IT分为5个领域:
→评估、指导和监控(EDM);
→调整、计划和组织(APO);
→构建、购置和实施(BAI);
→交付、服务和支持(DSS);
→监控、评价和评估(MEA)。
COBIT 5的领域被分解为37个高阶的IT流程,以及超过300个详细的IT控制点,涵盖了IT管理和治理的各个方面。COBIT的另一个显著特征在于它能够识别7个动力范畴(或因素):
→原则、政策和框架;
→流程;
→组织结构;
→文化、道德和行为;
→信息;
→服务、基础设施和应用程序;
→人员、技能和能力。
因此,COBIT被认为是促使业务和IT目标之间对齐最合适的框架。
COBIT 5通过建立一个由不同模型,例如Val IT和IT风险框架(Risk IT)组成的集成框架,转变为一个更加面向业务的框架。这种合并主要是由于公认的需求,是为如何做出选择提供一个全面的基础(不仅是为用户和审计人员,还要为高级经理和业务流程所有者),以涵盖业务性和功能性IT责任的各个方面,带来有效的IT治理和管理结果。此外,COBIT 5已经与软件过程评估的国际标准(ISO/IEC 15504)的过程能力模型(PCM)保持一致。从IT治理评估的角度来看,这种从软件能力成熟度模型(CMM)或最近的CMMI(由软件工程研究所,SEI,开发并完善)到新PCM的转变,彻底革新了COBIT,赋予它能在流程级而非企业级评估能力成熟度的前沿优势。这种新方法更加具有一致性和可重复性,是可验证的,可以根据评估过程中收集的客观证据表明其可追溯性。PCM已被欧洲的金融机构广泛用于开展内部控制审计以评估改进的必要性。它增加了组织从实施COBIT中期望获取的优势,因为COBIT框架和PCM之间的合作伙伴关系,PCM提供了一个度量表,来定量评估IT治理流程的合理存在性、充分性、有效性和兼容性。
COBIT 2019于2018年11月发布。它包含多个全新的、改善的和更新的元素。
务实的信息和技术治理,对于任何组织获得业务成功都非常重要。这个新版本进一步巩固了COBIT持续作为业务创新和转型基本驱动力的作用。
COBIT 2019是国际信息系统审计协会(ISACA)之前的治理框架的演进。它建立在COBIT5的基础上,结合了影响商业信息和技术的最新发展。
COBIT 2019提供了更大的灵活性和开放性,提高了COBIT的时效性。以下是COBIT 2019带来的重大变化。
→引入新的概念,如焦点领域和设计因素,允许公司提出良好实践,采用治理系统以满足其需要。
→更新并完善标准、框架和最佳实践的一致性,提高了COBIT的相关性。
→开源模式将允许全球治理社区通过提供反馈、共享应用程序,实时提出对框架和衍生工具的改进,为未来版本更新做出贡献。通过这种方式,新COBIT开发可以周期性地发布。
→新指导方针和工具支持最优治理系统的开发。这使得COBIT 2019更具规范性。
→COBIT 2019参考模型现在有40个治理管理目标(流程),而不是COBIT 5中的37个流程。
→动力指引:已删除,简化了COBIT。
→治理系统和治理框架的COBIT原则已经重新命名和更改。
→IT相关的目标已更名为一致性目标。
→流程指南目前在“治理/管理目标”中构建,而流程指南(仅仅)是其中的一部分,其他治理组件补充了剩余的部分。
COBIT 2019引入了三个新的治理和管理目标:
→APO14——妥当管理的数据;
→BAI11——妥当管理的项目;
→MEA04——妥当管理的认证。
COBIT 2019现在明确集成了DevOps。DevOps例证了组件变体和焦点领域。这是当前市场上的一个话题,非常需要具体的指导。
DevOps包括核心COBIT模型的若干通用治理和管理目标,以及许多与开发、运营和监控相关的流程变体和组织结构。DevOps还需要建立一种开放的特定文化和态度,分享技能,并带领团队走出舒适区。类似地,DevOps需要一定程度的自动化(服务、基础设施和应用程序)。DevOps是一个让人感兴趣的领域,是优先级排第一并且正在发展的领域。
焦点领域可能包含通用治理组件和变体的组合。
目前优先考虑和正在出版中的四个领域是:
→中小型企业;
→网络安全;
→风险;
→DevOps。
人们感兴趣的领域数量是无限的,这就是COBIT开放的原因。应专家和从业人员的要求或投入,将增加感兴趣的新领域。
ITIL是一个最佳实践框架,以基于流程的方法为基础。它的目标是改进IT服务交付:以低成本交付高质量的IT服务。在它创立之前,各机构和私营部门承包商都独立地创建自己的IT管理实践,进行着重复工作。ITIL独立于执行服务的工具、供应商或行业,可以应用于任何规模的组织。但是,ITIL并不会被原样应用,组织有动机对ITIL进行调整来满足自己的业务需求。
ITIL认为,服务管理是一组专门的组织能力,以服务的形式为客户提供价值。将资源转化为有价值的服务是服务管理的核心。如果没有这些能力,服务组织仅仅是一堆资源,其本身对客户的内在价值相对较低。然而,ITIL认为服务管理不仅仅是一组能力。它也是一种由广泛的知识体系、经验和技能支持的专业实践。
ITIL还定义了职能和流程之间的区别。职能是从事特定类型工作并负责特定结果的专门组织。这些组织是自成一体的,具有执行工作和取得成果所需的一切必要能力和资源。例如,当服务中断时,客服是客户的主要联络点。而流程可以被假定为闭环系统,对于向特定目标提供的服务进行变革和转型,并使用反馈进行自我强化和自我纠正。流程是可测量的,有特定的结果交付给客户,并响应特定的事件。例如,事件管理是一套流程,负责监视整个IT基础设施中发生的所有事件。
在版本2(ITIL v2)之前,ITIL的重点是流程,但从版本3(ITIL v3)开始,重点转向了业务价值。 这一变化的发生是为了强化组织的业务需求和可操作的IT流程之间的关系。版本3还认可了其他标准的价值和适用性,如COBIT和CMMI。ITIL v3结构由两个组件组成:ITIL核心,它提供适用于各种规模和类型的组织的最佳实践;以及ITIL补充指南,该指南包括一套补充出版物,其中包含针对行业部门、运营模型和技术架构的指南。
在以前的ITIL版本中,对变更管理咨询委员会(CABs)的关注导致了人们误认为ITIL不敏捷或阻碍快速部署。然而,ITIL从未被设计为IT部门评估或调整所有变更。
为了加强这一点,并帮助组织开发灵活的服务管理策略,ITIL 4现在将敏捷和DevOps实践合并到框架中。ITIL 4鼓励组织内部的协作和沟通,并指导如何快速实施变更。
ITIL 4包括以下部分。
ITIL引入了一些对更好地理解框架非常重要的关键概念。这些概念包括服务提供者、干系人和风险等标准术语。不过,新的概念还在涌现。
ITIL 4不像版本3那样关注服务交付,而是关注价值创造。服务提供者不能单独提供这个价值。相反,它是一种共创,是与客户合作的结果。这个版本并不旨在尊重过程,而是追求目标:成果和改进客户体验是主要目标之一。
ITIL版本3主要关注如何安排好26个IT流程,新版本ITIL 4则更进一步,还包括为每个服务的设计或交付考虑服务管理的4个维度:
→组织和个人;
→信息技术;
→合作伙伴和供应商;
→价值流和流程。
在价值导向的视角下,我们将不再谈论“流程模型”,而是讨论“价值体系”或“价值链”。
价值链(ITIL服务价值链,SVC)是为产生价值所能做的所有活动的概述。这些活动是计划、改进、参与、设计和转换、获取和构建、交付和支持。没有必要为每个服务执行所有这些活动,也没有固定的顺序。修复故障和替换服务器设备涉及不同的活动。
这个价值链(SVC)是一个更广泛的价值体系(服务价值体系,SVS)的一部分。ITIL服务价值体系描述了影响价值链的所有因素。这些被称为指导原则、治理和组织执行的改进。
在ITIL从业者中提出的指导原则在版本4中发挥了重要作用。9项从业者原则已修订为7项原则。
→专注于价值:组织所做的一切都必须以某种方式为客户或其他利益相关者提供价值。
→从你的位置和所能做的事情开始:当一个组织想要改进什么的时候,不应该消除所有现行的方法,而应该保留那些好的,改变那些不好的。
→有反馈的迭代进步:即使是大型项目,组织也应该在小步骤中实施改进流程。立即评估每一步,并在必要时重新开始。
→协作并提升可视化:组织必须与其他方面紧密合作(如客户和供应商)提高可视化。
→全盘思考和工作:不要把IT组织看作一个孤岛,而是看作网络的一部分,把所有部分综合起来能为客户创造更大的价值。
→保持简单实用:组织必须确保其工作和过程尽可能简单,并删除任何不能提供价值的步骤。
→优化和自动化:只要有可能就优化或自动化任务,除非需要更高的成本或带来更差的客户体验。
→基础的ITIL服务管理流程仍然存在,只是现在被称为“实践案例”。
→版本3中的基础流程(如事件管理、服务水平管理和容量管理),基本上保持不变。但是ITIL v3的26个流程被ITIL 4的34个实践案例所取代。
为什么是实践?因为ITIL 4不仅描述了一个流程是如何工作的,而且(例如,对于每个案例)还更详细地研究了团队需要的技能,他们如何与供应商合作,以及可以用来做这件事的技术。
ITIL与敏捷、精益和DevOps的关系是什么?ITIL本身变得更加敏捷,主要体现在7项指导原则上:强调价值产生、小步骤中的改进、过程简单的重要性等,这些原则让我们对敏捷思维有一个清晰的认识。这些敏捷的ITIL指导方针还促进了各敏捷团队之间的协作。为了证明第4版适用于敏捷理念,ITIL版权所有方Axelos公司最近发布了音乐软件Spotify的一个案例研究,该公司被认为是最敏捷的公司之一,我在这里就不展开讲解了。
然而,ITIL 4并没有提供敏捷、精益和DevOps方面的完整答案。不可否认的是,ITIL提到了敏捷和DevOps。关于将ITIL与更敏捷的方法相结合的可能性,目前还没有具体的解决方案。例如:一个必须遵守严格服务水平协议的帮助台应该如何敏捷地与后台团队协作?IT运维和DevOps如何最好的协同工作?
CMMI是一个用于评估组织系统、产品和软件开发成熟度等级的模型。它的目标是控制工程流程,从而控制这些流程产生的产品和服务的质量。这为软件开发的最佳实践提供了参考。
CMMI是能力成熟度模型集成(Capability Maturity Model Integration)的缩写,由软件工程研究所(Software Engineering Institute, SEI)在20世纪80年代提出。
在美国国防部的要求下,SEI开发了一套标准,以确定一个项目是否会按时间要求、预算要求和规格要求完成。
在2001年,SEI建立了一个能力成熟度模型的新版本,组合了其他模型的所有优点,填补了能力成熟度模型中的特定空白,即CMMI。CMMI的最新版本(2.0版)于2018年发布。这让该模型可以应用于所有行业的硬件、软件和服务的开发。
CMMI提出了一套旨在保证项目质量的目标集。它还附带了一个有望实现这些目标的良好实践库。CMMI为定义组织的关键过程提供了一个框架,包括项目管理(计划、资源管理、风险管理等),工程过程(需求管理、技术解决方案、产品集成等)和支持过程(配置管理、质量保证、度量、分析等)。它是一个帮助定义和改进过程的工具。
当公司发现重复出现的问题,如交付延迟、预算超支、客户不满意和缺乏管理可视化时,就需要在组织中实施CMMI模型。
因此,CMMI旨在:
→提高所交付产品的质量和项目的生产率;
→通过更好地满足客户的要求来提高客户满意度;
→降低成本,按时完成任务;
→提供更好的管理可视化、更好的风险管理。
基于模型推荐的良好管理实践分为25个关键过程(过程域),它们本身分为5个成熟度和能力等级:
1级:初始级 。每个组织默认为第1级。在组织内没有定义项目管理,效果取决于个人的技能和积极性,没有进行任何控制。项目可能会成功,但会超出成本和时间限制。没有识别成功的因素,项目也没有建立在经验的基础上。
2级:已管理级 。项目管理是在组织级别定义的,默认情况下应用于所有项目。所有项目都通过组织提出的过程或者默认通过在项目级定义的过程,满足CMMI第2级模型的目标。由于更好的纪律,这个项目建立在以前的经验基础之上。成功可以再现。
3级:已定义级 。项目管理过程通过标准、步骤、工具和方法扩展到整个组织,这些标准、步骤、工具和方法也是在组织级别定义的。整个组织都应用一系列一致的行为准则。组织监督和管理这些过程的改进。
4级:量化管理级 。项目的成功是可量化的,可以分析产生偏差的原因。过程绩效在数量和质量上是可预测的。
5级:优化级 。它是针对渐进和创新的持续过程改进阶段。由于发展是永恒的,为了与目标保持一致,过程会不断受到挑战。
CMMI的最新版本是用非技术语言编写的,这使得它的实施更加友好和容易。组织可以在线研究CMMI,并根据绩效改进和管理优化的具体目标对其进行配置。像需求管理解决方案Visure Requirements这样的软件工具通过监控和跟踪需求,使业务流程的应用标准化和协调,从而提高成熟度。
美国国会召集COSO是为了应对20世纪80年代末发生的广为人知的金融违规行为。COSO制定了内部控制框架,目的在于帮助组织减少资产损失风险,确保财务报表的可靠性和法律法规的合规性,同时提高效率。COSO被许多公共部门和专业机构认可为评估内部控制和风险环境的标准。在COSO框架下,内部控制系统的有效性是通过其向管理层和董事会提供合理保证实现以下三类目标的能力来衡量的:
→经营的效果和效率;
→财务报告的可靠性;
→符合相关法律法规。
COSO框架中对行为的强调是对现实的认识,即政策明确了管理层希望发生什么,实际上发生了什么,以及哪些规则需要被遵守、修改或忽略,这些都是由企业文化决定的。COSO“内部控制模型”由五个相互关联的部件组成,这五个组件是组织管理运行的固有方式。这些组件被链接起来,并作为确定系统是否处于活动状态的标准。COSO的组成部分包括控制环境、评估风险、控制活动、监控与学习以及信息与沟通。COSO是企业风险管理框架和经营风险方法的关键组成部分。
COSO讨论的另一个关键主题是企业风险管理。COSO将企业风险管理(ERM)框架划分为八个相互关联的组件,如图3-9所示,包括以下内容:
→内部环境——内部环境描述了一个组织的工作环境和风险偏好,并设置了管理人员和员工如何看待和处理风险的框架。内部环境包括风险管理理念、风险偏好、诚信、道德价值观,以及他们运作的环境。
图3-9 COSO提出的企业风险管理模型
→目标设定——目标必须预先设定。风险管理职能应确保公司管理层有一个设定目标的过程,所选择的目标集应支持并符合实体组织的使命,并且目标集与实体组织的风险偏好相一致。
→事件识别——必须识别影响实体组织目标实现的内部和外部事件,区分风险和机会。机会被传递回管理层的战略或目标设定过程。
→风险识别——分析风险,考虑发生的可能性和影响,作为决定应该如何管理这些风险的基础。风险评估是在内在的和持续的基础上进行的。
→风险应对——管理层选择风险应对措施时,应考虑避免、接受、减缓或分担风险以制定一系列行动,使风险与实体组织的风险承受能力和风险偏好保持一致。
→控制活动——应制定和实施政策和程序,以帮助确保有效地实施风险应对措施。
→信息与沟通——相关信息以某种形式和时间框架被识别、捕获和沟通,让人们能够执行其职责。有效的沟通也发生在更广泛的意义上,即在实体组织内外部保持高效流通。
→监控——必须对整个企业风险管理进行监控,并根据需要进行修改。