2013年9月底,ISACA发布了Cobit5专业指南系列之风险专业指南,从Cobit5的角度来阐释IT风险的功能和管理的相关组织、人员、流程,及其与技术的配套。本指南还阐释了与ISO31000,ISO27005,COSO ERM的映射关系。
秉持Cobit的一贯原则,风险管理的终极目标也是价值创造。指南对风险的定义沿用了ISO Guide 73的经典定义。同时,进一步从业务的角度来丰富“风险”的内涵,将IT风险定义为一种业务风险,尤指与IT相关的业务风险。IT风险包括了对业务有潜在影响的相关IT事件,IT风险发生的频度、影响性、以及对达成战略目标的挑战性都不确定。
指南将IT风险分为三个层次:
