IT治理十問十答之七——IT治理架構(gòu)COBIT

 COBIT模型簡介

COBIT的全名是Control Objectives for Information and related Technology，是一個由美國負(fù)責(zé)信息技術(shù)安全 與控制參考架構(gòu)的組織ISACA（Information Systems Audit and Control Association）在1996年所公布的業(yè)界標(biāo)準(zhǔn)，目前已經(jīng)更新至第三版，是國際上公認(rèn)的最先進(jìn)、最權(quán)威的安全與信息技術(shù)管理和控制的標(biāo)準(zhǔn)。COBIT歸納了世界上18項(xiàng)相關(guān)的來源，形成了一套專供企業(yè)經(jīng)營者、使用者、IT專家、MIS審計(jì)員與安控人員來強(qiáng)化和評估IT管理和控制的規(guī)范。

COBIT模型

 COBIT將IT過程，IT資源及信息與企業(yè)的策略與目標(biāo)聯(lián)系起來，形成一個三維的體系結(jié)構(gòu)。其中，IT準(zhǔn)則維集中反映了企業(yè)的戰(zhàn)略目標(biāo)，主要從質(zhì)量、成本、時間、資源利用率、系統(tǒng)效率、保密性、完整性、可用性等方面來保證信息的安全性、可靠性、有效性；IT資源維主要包括以人、應(yīng)用系統(tǒng)、技術(shù)、設(shè)施及數(shù)據(jù)在內(nèi)的信息相關(guān)的資源，這是IT治理過程的主要對象；IT過程維則是在IT準(zhǔn)則的指導(dǎo)下，對信息及相關(guān)資源進(jìn)行規(guī)劃與處理，從信息技術(shù)的規(guī)劃與組織、采集與實(shí)施、交付與支持、監(jiān)控等四個方面確定了34個信息技術(shù)處理過程，每個處理過程還包括更加詳細(xì)的控制目標(biāo)和審計(jì)方針對IT處理過程進(jìn)行評估。

 COBIT的34個IT程序：

 這個模型為企業(yè)管理的成功提供了集成的IT管理，通過保證有關(guān)企業(yè)處理過程的高效的改進(jìn)措施，以更快更好更安全地響應(yīng)企業(yè)需求。

管理指南定義了IT過程的成熟度模型，為管理者評估IT過程的狀態(tài)提供了標(biāo)準(zhǔn)。同時也給出了一些重要的測度，這包括：關(guān)鍵成功因素，關(guān)鍵目標(biāo)指標(biāo)，關(guān)鍵績效指標(biāo)。

COBIT模型功能

COBIT模型是企業(yè)戰(zhàn)略目標(biāo)和信息技術(shù)戰(zhàn)略目標(biāo)的橋梁，使得信息技術(shù)目標(biāo)和企業(yè)戰(zhàn)略目標(biāo)之間實(shí)現(xiàn)互動。

首先考慮了企業(yè)自身的戰(zhàn)略規(guī)劃，對業(yè)務(wù)環(huán)境和企業(yè)總的業(yè)務(wù)戰(zhàn)略進(jìn)行分析定位，并將戰(zhàn)略規(guī)劃所產(chǎn)生的目標(biāo)、政策、行動計(jì)劃作為信息技術(shù)的關(guān)鍵環(huán)境，并由此確定IT準(zhǔn)則。

IT為企業(yè)戰(zhàn)略提供了基于技術(shù)的解決方案，為滿足業(yè)務(wù)戰(zhàn)略需求提供了技術(shù)與工具。在IT準(zhǔn)則的指導(dǎo)下，利用控制目標(biāo)模型，分別從規(guī)劃與組織、采集與實(shí)施、交付與支持、監(jiān)控等過程進(jìn)行控制、管理信息資源，在IT管理的同時，引入審計(jì)指南，從而保證IT資源管理的安全性、可靠性和有效性。

 實(shí)現(xiàn)可跟蹤的業(yè)績衡量，通過平衡經(jīng)營記分卡可以在財(cái)務(wù)（企業(yè)資源管理）、客戶（客戶關(guān)系管理）、過程（內(nèi)部網(wǎng)，工作流工具）、學(xué)習(xí)（知識管理）等方面維持平衡，評價企業(yè)目標(biāo)的實(shí)現(xiàn)情況以及IT績效，并調(diào)整商業(yè)目標(biāo)和IT戰(zhàn)略，進(jìn)行持續(xù)的IT管理。

采用成熟度模型，可以定位自己企業(yè)的IT管理目前在業(yè)界所處的位置，未來努力的方向，通俗地說就是給IT管理“打分”。

COBIT還提供了目前最佳案例和關(guān)鍵成功因素，供企業(yè)和組織借鑒。

COBIT的主要優(yōu)點(diǎn)

COBIT非常易于理解和實(shí)施，可以幫助在管理層、IT與審計(jì)之間交流的鴻溝上搭建橋梁，提供了彼此之間溝通的共同語言。幾乎每個機(jī)構(gòu)都可以從COBIT中獲益，來決定基于IT過程及他們所支持的商業(yè)功能的合理控制。

COBIT幫助管理層懂得控制如何影響商業(yè)功能。COBIT提供的實(shí)施工具集包括優(yōu)秀的案例資料（提供模板商業(yè)過程，使得優(yōu)秀范例能夠迅速移植），幫助向管理層很好地表述IT管理概念。

COBIT使IT管理工作簡易并量化，減輕對復(fù)雜信息系統(tǒng)管理工作的難度，并且可以應(yīng)用在每天都在發(fā)生的各種新問題中

COBIT提供了一種國際通用的IT管理及問題解決方案，普遍適用于各種不同的商業(yè)項(xiàng)目和審計(jì)，并且它既包容了我們當(dāng)前的情況，也提供將來可能會使用到的指導(dǎo)方針。

COBIT有助于提高信息系統(tǒng)審計(jì)師的影響力，依據(jù)COBIT出具的信息系統(tǒng)審計(jì)報(bào)告更容易得到管理層的肯定。

COBIT框架可以能夠幫助決定過程責(zé)任，提高IT治理水平。通過采用該框架作為對一個責(zé)任矩陣分析的基礎(chǔ)，可以做到基于角色的IT管理，定義過程措施，確?？蛻衾妗?/font>