專題文章-IT治理的重要參考標(biāo)準(zhǔn)-COBIT（張向群）

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

IT治理的重要參考標(biāo)準(zhǔn)-COBIT

AMT 張向群

經(jīng)過幾十年的發(fā)展，西方發(fā)達(dá)國(guó)家總結(jié)了信息化建設(shè)的經(jīng)驗(yàn)，將 “企業(yè)治理”的概念引入到信息化領(lǐng)域，提出了“IT治理”的概念，對(duì)信息化建設(shè)的管理提升到了一個(gè)新的高度。信息化建設(shè)過程實(shí)質(zhì)上就是一個(gè)對(duì)IT進(jìn)行治理的過程，在這個(gè)背景下，ISACA提出了COBIT。

COBIT是什么？

COBIT是Controlled Objectives for Information and Related Technology的縮寫，即信息及相關(guān)技術(shù)的控制目標(biāo)。COBIT是 ISACA（信息系統(tǒng)審計(jì)和控制聯(lián)合會(huì)）制訂的面向過程的信息系統(tǒng)審計(jì)和評(píng)價(jià)的標(biāo)準(zhǔn)。對(duì)信息化建設(shè)成果的評(píng)價(jià)，按照系統(tǒng)屬性可以劃分為若干方面，如：對(duì)最終成果評(píng)價(jià)、對(duì)建設(shè)過程評(píng)價(jià)、對(duì)系統(tǒng)架構(gòu)評(píng)價(jià)等。COBIT是一個(gè)基于IT治理概念的、面向IT建設(shè)過程的IT治理實(shí)現(xiàn)指南和審計(jì)標(biāo)準(zhǔn)。

ISACA成立于1969年，是國(guó)際上最富盛名的信息控制理論研究及研究資料的出版機(jī)構(gòu)，是一個(gè)專門從事IT治理相關(guān)技術(shù)研究、教育的國(guó)際組織。它在全球擁有100多個(gè)會(huì)員國(guó)，主要任務(wù)定位于協(xié)調(diào)世界范圍內(nèi)建立IT控制慣例，并與其他國(guó)際組織如財(cái)務(wù)、會(huì)計(jì)、審計(jì)及IT專業(yè)建立了戰(zhàn)略聯(lián)盟，使自己在IT治理方面達(dá)到世界最高水平。

ISACA于1996年發(fā)表了COBIT的第一版，1998年修訂后發(fā)表第二版。最新的版本是2001年發(fā)布的第三版。在第三版中，ISACA對(duì)第二版的內(nèi)容進(jìn)行了修訂，增加了“管理指南”等內(nèi)容，反映當(dāng)前最新的信息和相關(guān)技術(shù)控制目標(biāo)。COBIT是一個(gè)指導(dǎo)信息化建設(shè)、審計(jì)、治理的標(biāo)準(zhǔn)或框架。COBIT第三版中包含了COBIT的框架、控制目標(biāo)、實(shí)現(xiàn)目標(biāo)所應(yīng)采取的實(shí)踐方法、對(duì)信息化建設(shè)進(jìn)行審計(jì)等一系列內(nèi)容。ISACA發(fā)布COBIT的目的：

  -- 集中體現(xiàn)全球IT管理專家貢獻(xiàn)的精華

  -- 是進(jìn)行IT治理和風(fēng)險(xiǎn)管理的有效工具

  -- 是平衡風(fēng)險(xiǎn)和投資關(guān)系的有效工具

  -- 是進(jìn)行IT性能考核的重要參考

  -- 設(shè)置行動(dòng)標(biāo)桿，指導(dǎo)企業(yè)達(dá)到適當(dāng)?shù)目刂扑?SPAN lang=EN-US>

  -- 還可用于支持政府和行業(yè)管理部門的信息系統(tǒng)審計(jì)活動(dòng)

COBIT的用途是：

--- 作為IT治理的核心模型

  --- 作為“審計(jì) ”信息系統(tǒng)的標(biāo)準(zhǔn)

  --- 作為指導(dǎo)信息化建設(shè)行動(dòng)

COBIT的主要服務(wù)對(duì)象是：

--- 管理人員：幫助他們?cè)谧兓媚獪y(cè)的IT環(huán)境中平衡風(fēng)險(xiǎn)和控制投資。

--- 信息化的用戶：得到內(nèi)部或第三方提供服務(wù)的安全、IT服務(wù)控制的保證。

--- 審計(jì)人員：借助COBIT證實(shí)他們對(duì)IT系統(tǒng)狀況的判斷，為管理層改善內(nèi)部控制提供建議。

在開發(fā)COBIT的過程中，ISACA博采眾長(zhǎng)，大量吸取了世界范圍的、與信息技術(shù)管理相關(guān)的研究成果，主要包括：

-- 來自ISO、EDIFACT等的技術(shù)標(biāo)準(zhǔn)

-- 來自OECD、ISACA等的職業(yè)道德規(guī)范；

-- 來自IT系統(tǒng)和過程的質(zhì)量標(biāo)準(zhǔn)，如ITSEC、TCSEC、ISO9000、SPICE、TickIT等

-- 來自內(nèi)部控制和審計(jì)的職業(yè)標(biāo)準(zhǔn)：如COSO、IFAC、AICPA、CICA、ISACA、IIA、PCIE、GAO等

-- 來自行業(yè)論壇的行業(yè)管理和規(guī)定及政府發(fā)起的論壇，如ESF、I4、IBAG、NIST、DTI等。

-- 行業(yè)特殊標(biāo)準(zhǔn)：如銀行業(yè)、電子商務(wù)和IT制造等。

COBIT的基本概念

COBIT是一個(gè)典型的按照西方思維方法取得的研究成果，即分析事實(shí)、提煉模型、建立概念、提出行動(dòng)方法和評(píng)價(jià)體系?；?SPAN lang=EN-US>IT治理的概念，ISACA對(duì)IT建設(shè)過程進(jìn)行提煉，建立了一系列概念和過程及，確定行動(dòng)目標(biāo)，提出行動(dòng)方法和評(píng)審標(biāo)準(zhǔn)。這些內(nèi)容構(gòu)成了COBIT的框架和支柱，使用者可以根據(jù)實(shí)際情況做一定的剪裁。COBIT所提出基本概念是：IT治理的模型、IT治理的過程、成熟度級(jí)別、控制目標(biāo)、關(guān)鍵目標(biāo)指示（KGI）、關(guān)鍵性能指示（KPI）、重要成功因素（CSF）等。

COBIT認(rèn)為信息化建設(shè)就是借助“IT資源”，通過管理活動(dòng)（activities），將輸入的“事件”轉(zhuǎn)換為“信息”。IT治理就是對(duì)這個(gè)控制、轉(zhuǎn)換過程進(jìn)行管理和控制。COBIT將“信息”的特性劃分為：效果、效率、機(jī)密性、完整性、適用性、遵從性（即遵守有關(guān)的法律法規(guī)、規(guī)章制度）、可靠性等七個(gè)屬性，將“IT資源”劃分為：技術(shù)、應(yīng)用、人員、設(shè)施、數(shù)據(jù)。信息及資源的關(guān)系見圖1。從圖1我們可以看到，IT資源是將事件轉(zhuǎn)換為信息的裝置，COBIT將這個(gè)裝置形象地描述為一個(gè)圓柱體，圓柱體的核心是數(shù)據(jù)，數(shù)據(jù)外圍包裹著由“技術(shù)”、“（IT）設(shè)施”、“人員”組成豎井，豎井外包圍的是“應(yīng)用（系統(tǒng)）”。

圖1 IT治理模型

COBIT采用關(guān)鍵目標(biāo)指示KGI（Key Goal Indicators）表達(dá)一個(gè)過程要達(dá)到哪些指標(biāo)，KGI可以與著名的績(jī)效考核方法“平衡記分法”中的績(jī)效指標(biāo)相關(guān)聯(lián)。為了衡量每個(gè)過程在“多大程度”上達(dá)到了KGI，COBIT設(shè)置了 “關(guān)鍵性能指示（KPI）”（Key Performance Indicators）。COBIT將IT治理過程劃分為34個(gè)過程（下面將談到），為每個(gè)過程給出了為了實(shí)現(xiàn)KGI必須完成的一系列重要工作 -- “重要成功因素CSF”（Critical Success Factors）。而每個(gè)過程達(dá)到的關(guān)鍵性能指示（KPI）的程度則用六個(gè)成熟度級(jí)別來表示，它們是：0-混沌（根本不存在）、1-初始級(jí)；2-可重復(fù)級(jí)、3-可定義級(jí)、4-可管理級(jí)、5-優(yōu)化級(jí)。

COBIT將IT治理過程或信息化建設(shè)過程劃分為四個(gè)域：計(jì)劃和組織（Planning and Organization）、獲取和實(shí)施（Acquisition & Implementation）、交付和支持（Delivery and Support）、監(jiān)視（Monitoring）。每個(gè)過程域下面又劃分為若干過程：

過程域“計(jì)劃和組織”包括：PO1-IT戰(zhàn)略規(guī)劃確定、PO2-信息結(jié)構(gòu)確定、PO3-技術(shù)方向確定、PO4-IT組織及關(guān)系確定、PO5-IT投資管理、PO6-溝通管理的目標(biāo)和方向、PO7-人力資源管理、PO8-遵守外部要求的保證、PO9-風(fēng)險(xiǎn)評(píng)估、PO10-項(xiàng)目管理、PO11-質(zhì)量管理。

過程域“獲取和實(shí)施”包含：AI1-自動(dòng)解決方案的識(shí)別、AI2-應(yīng)用軟件的獲取和維護(hù)、AI3-技術(shù)設(shè)施的獲取和維護(hù)、AI4-開發(fā)和維護(hù)程序、AI5-安裝和授權(quán)系統(tǒng)、AI6-變更管理。

過程域“交付和支持”包括：DS1-服務(wù)水平定義及管理、DS2-第三方服務(wù)管理、DS3-性能和容量管理、DS4-不間斷服務(wù)保證、DS5-系統(tǒng)安全保證、DS6-成本的識(shí)別和分配、DS7-用戶教育和培訓(xùn)、DS8-對(duì)客戶的協(xié)助和建議、DS9-配置管理、DS10-問題和意外事件管理、DS11-數(shù)據(jù)管理、DS12-設(shè)施管理、DS13-運(yùn)行管理。

過程域“監(jiān)視”則包含了：M1-監(jiān)視過程、M2-評(píng)估內(nèi)部控制充分性、M3-獲得獨(dú)立保證、M4-提供獨(dú)立審計(jì)

COBIT家族

COBIT是一組相互關(guān)聯(lián)的文件構(gòu)成，被形象地成為“家族”，它的構(gòu)成見圖2。

在“COBIT框架”描述了COBIT的主要概念，給出了每個(gè)過程的高層控制目標(biāo)。在“框架”之下是三個(gè)文件：“管理指南”、“詳細(xì)控制目標(biāo)”和“審計(jì)指南”。其中“管理指南”是第三版新增加的內(nèi)容，目的是為實(shí)施COBIT提供方法。在“管理指南”中詳細(xì)地?cái)⑹隽嗣總€(gè)過程的成熟度模型—從渾沌狀態(tài)的0級(jí)到優(yōu)化的5級(jí)、KGI、KPI以及要達(dá)到KGI的 “重要成功因素”CSF。同時(shí)，還給出了與這個(gè)過程密切相關(guān)的IT資源，以及信息判據(jù)中哪些特征最為重要和比較重要。在文件“詳細(xì)控制目標(biāo)”中，則按照34個(gè)過程逐一給出“詳細(xì)控制目標(biāo)”。“信息系統(tǒng)審計(jì)指南”的構(gòu)成比較復(fù)雜，它包含了“審計(jì)道德要求”、“信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)”、“信息系統(tǒng)審計(jì)指南”、“信息系統(tǒng)審計(jì)過程”等子文件。

在“實(shí)施工具包”中，給出了一系列實(shí)施COBIT的工具，包括：如何引入COBIT、如何在一個(gè)組織中實(shí)施COBIT、管理意識(shí)診斷、IT控制狀況診斷等實(shí)施指南，以及COBIT實(shí)施案例研究和常見問題的解答等內(nèi)容，是人們實(shí)施COBIT的重要的、權(quán)威的參考手冊(cè)。

COBIT的特點(diǎn)

前面我們對(duì)COBIT的基本概念、組成、結(jié)構(gòu)進(jìn)行了簡(jiǎn)要介紹，下面我們對(duì)COBIT的主要特點(diǎn)進(jìn)行一些簡(jiǎn)要的分析。

面向過程

面向過程是COBIT的一個(gè)突出特點(diǎn)。縱觀我國(guó)信息化行業(yè)的實(shí)際情況，無論是政府組織的評(píng)審活動(dòng)，還是各個(gè)實(shí)施單位的內(nèi)部考核，對(duì)信息化建設(shè)的評(píng)審多側(cè)重于對(duì)系統(tǒng)建設(shè)最終效果的考核，如生產(chǎn)效率的提高程度、成本降低的情況等。信息化建設(shè)的最終目的無疑是提高經(jīng)營(yíng)效益、管理水平，但是在信息化建設(shè)成果與業(yè)務(wù)效益之間并沒有完全對(duì)應(yīng)的關(guān)系，換句話說，一個(gè)性能良好的信息系統(tǒng)并不能完全保證出色的經(jīng)營(yíng)效益，反之，某個(gè)單位的經(jīng)營(yíng)效益出色，也不能完全歸功于信息系統(tǒng)。同時(shí)，我們還應(yīng)注意到，信息化建設(shè)的所包含的內(nèi)涵比信息系統(tǒng)更廣泛。如果僅僅根據(jù)信息系統(tǒng)實(shí)施后的經(jīng)營(yíng)效益或服務(wù)水平判定信息化建設(shè)的狀況，就難免產(chǎn)生一定的偏差，也容易引起參加建設(shè)各方的爭(zhēng)議。COBIT的意義在于，它為我們提供了一個(gè)判斷信息化建設(shè)的“程序”是否恰當(dāng)?shù)姆椒?。借?SPAN lang=EN-US>COBIT我們可以把對(duì)信息化建設(shè)的考察分為兩個(gè)部分，即分別考察“程序”和 “結(jié)果”，將一個(gè)復(fù)雜的考核問題進(jìn)行分隔和簡(jiǎn)化。

面向過程的評(píng)價(jià)體系還有一個(gè)優(yōu)勢(shì)是：提供了改善行動(dòng)的指南。按照面向結(jié)果的指標(biāo)考核體系，能夠方便地判斷建設(shè)單位是否達(dá)到了標(biāo)準(zhǔn)，卻沒有告訴通過什么途徑才能提高水平達(dá)到標(biāo)準(zhǔn)，也沒有告訴建設(shè)單位在“多大程度”上達(dá)到了標(biāo)準(zhǔn)。面向過程的考核體系，則恰好填補(bǔ)了這個(gè)空缺，它提供了達(dá)到標(biāo)準(zhǔn)的方法和手段。因此，不僅可以將COBIT作為對(duì)信息化過程進(jìn)行審計(jì)的重要參考，還可以將COBIT的34個(gè)過程的活動(dòng)內(nèi)容，作為提高本單位的信息化建設(shè)水平的重要參照。

不斷改進(jìn)

COBIT參照SEI的CMM的成熟度概念，為每個(gè)過程設(shè)計(jì)成熟度模型。這樣，任何一個(gè)組織都可以參照這個(gè)成熟度模型，按照34個(gè)過程逐一對(duì)照，找到本單位的實(shí)際情況在模型中的位置，按照成熟度的改進(jìn)路徑，采取改進(jìn)措施。設(shè)置成熟度的最大益處在于，可以方便地設(shè)置前進(jìn)道路上的改進(jìn)路標(biāo)。借助成熟度模型，人們還可以方便地確定行業(yè)內(nèi)最佳單位、國(guó)際上先進(jìn)水平的狀態(tài)，了解本單位目前的狀態(tài)以及未來要達(dá)到的目標(biāo)與兩者的差別，從而清晰地了解自己與國(guó)際先進(jìn)水平和行業(yè)標(biāo)桿單位的差距，不斷地采取改進(jìn)措施改善，最終達(dá)到預(yù)期目標(biāo)。

內(nèi)容全面

從前面的介紹我們知道，COBIT是一個(gè)家族，它不但包含了框架、過程控制目標(biāo)和管理指南、實(shí)施COBIT的工具包，還包含了進(jìn)行IT審計(jì)的審計(jì)標(biāo)準(zhǔn)。因此，COBIT在結(jié)構(gòu)上是比較完整的、全面的，兼顧了審計(jì)人員、管理人員和IT人員的需求。各個(gè)文件中的內(nèi)容具有強(qiáng)烈的相關(guān)性，互為參照。為了方便閱讀和使用，框架內(nèi)容和重要的概念在各文件中反復(fù)出現(xiàn)，便于查找。COBIT給出的高層和詳細(xì)控制目標(biāo)、成熟度描述等都是針對(duì)IT治理的實(shí)際活動(dòng)，比較實(shí)用，既提供審計(jì)標(biāo)準(zhǔn)，又提供了工作指南。

同時(shí)我們注意到，在COBIT家族中還包含了審計(jì)人員應(yīng)遵守的職業(yè)道德標(biāo)準(zhǔn)。ISACA把對(duì)信息系統(tǒng)審計(jì)提升到了與財(cái)務(wù)審計(jì)同等重要的程度，體現(xiàn)出信息社會(huì)中IT建設(shè)應(yīng)具有重要性及信息系統(tǒng)審計(jì)的嚴(yán)肅性。

用途廣泛

COBIT具有廣泛的用途。不但可以作為信息化建設(shè)過程的考察標(biāo)準(zhǔn)，可以作為IT建設(shè)單位日常工作的重要參考，同時(shí)還可以作為IT軟件/硬件開發(fā)商、供應(yīng)商、代理商、咨詢服務(wù)商開發(fā)產(chǎn)品、提供服務(wù)的重要參考。所有為信息化建設(shè)提供服務(wù)的有關(guān)單位，在進(jìn)行產(chǎn)品設(shè)計(jì)開發(fā)、實(shí)施服務(wù)時(shí)，都可以參照COBIT的概念、框架、過程，為客戶提供符合過程標(biāo)準(zhǔn)的產(chǎn)品和服務(wù)，努力幫助客戶達(dá)到更高的建設(shè)成熟度水平，獲得更完美的建設(shè)成果。

尚待完善之處

COBIT雖然具有眾多優(yōu)勢(shì)，但是在某些方面，還存在著一定的不足，尚需要使用人員在使用過程中，加以改進(jìn)和完善。

首先，COBIT的控制目標(biāo)、關(guān)鍵性能指示、關(guān)鍵指示中的內(nèi)容不可能完全符合我國(guó)的實(shí)際情況，有些指標(biāo)的內(nèi)容尚需商榷。另外，這些指標(biāo)是通用的，沒有根據(jù)行業(yè)特點(diǎn)或企業(yè)業(yè)務(wù)結(jié)構(gòu)、經(jīng)營(yíng)規(guī)模進(jìn)行劃分。如果要將COBIT應(yīng)用到某個(gè)單位，必須經(jīng)過適當(dāng)?shù)牟脺p或調(diào)整。

其次，COBIT雖然設(shè)置了成熟度標(biāo)準(zhǔn)，但是描述語言是定性的，沒有明確的判斷成熟度的指標(biāo)，這樣當(dāng)實(shí)際運(yùn)用時(shí)，尤其在進(jìn)行評(píng)審時(shí)，難免因?qū)徲?jì)人員的個(gè)人素質(zhì)造成審查結(jié)果的偏差。

最后，ISACA推出COBIT的同時(shí)，還應(yīng)提供更多的設(shè)計(jì)說明思想的說明，使讀者更全面、更充分地理解作者的設(shè)計(jì)意圖，對(duì)針對(duì)實(shí)際情況的具體應(yīng)用方法、特別是裁減方法、允許的裁減程度提供更詳細(xì)的指導(dǎo)意見，或采用更詳細(xì)的案例討論為打算采用COBIT的用戶提供指導(dǎo)。

總之，COBIT是一個(gè)非常值得借鑒的信息系統(tǒng)評(píng)審和信息化建設(shè)指導(dǎo)框架，是考察信息化建設(shè)過程一個(gè)重要的參照體系。我們希望通過對(duì)COBIT的研究和應(yīng)用，為提高IT治理水平、提高IT投資效益，推進(jìn)信息化建設(shè)做出一些切實(shí)的工作。