COBIT——衡量IT 治理之尺（AMT研究院 宋亮）

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

IT治理是信息系統(tǒng)審計(jì)和控制領(lǐng)域中的一個(gè)相當(dāng)新的理念，IBM最早將此理念引入我國(guó)。IT治理是IT、經(jīng)濟(jì)學(xué)及管理學(xué)界中一個(gè)新的概念，用于描述企業(yè)或政府是否采用有效的機(jī)制，使得IT的應(yīng)用能夠完成組織賦予它的使命，同時(shí)平衡信息化過(guò)程中的風(fēng)險(xiǎn)，確保實(shí)現(xiàn)組織的戰(zhàn)略目標(biāo)。其主要使命是：保持IT與業(yè)務(wù)目標(biāo)一致，推動(dòng)業(yè)務(wù)發(fā)展，促使收益最大化，合理利用IT資源，適當(dāng)管理與IT相關(guān)的風(fēng)險(xiǎn)。

盡管國(guó)內(nèi)對(duì)IT治理的研究、交流和應(yīng)用相對(duì)還很薄弱，但是，一些行業(yè)和政府部門對(duì)此已經(jīng)給予了高度的重視。比如金融行業(yè)、電信領(lǐng)域的信息安全問(wèn)題，航空航天領(lǐng)域、國(guó)家安全領(lǐng)域的信息安全與控制問(wèn)題，電子商務(wù)和電子政務(wù)領(lǐng)域信息化服務(wù)的規(guī)范標(biāo)準(zhǔn)問(wèn)題等。隨著信息化程度的日益提高，IT治理勢(shì)必成為促進(jìn)信息化建設(shè)向有序化方向發(fā)展的必經(jīng)之道。

在IT治理中，確保IT投資的有效性和高效性是我們關(guān)注的核心焦點(diǎn)；IT投資是否能夠滿足業(yè)務(wù)需求是投資收益的關(guān)鍵。善治的IT治理架構(gòu)是確保IT資源與公司戰(zhàn)略目標(biāo)保持一致的基礎(chǔ)，同樣也能確保IT服務(wù)滿足組織對(duì)優(yōu)質(zhì)、可信和安全的信息需要。采用標(biāo)準(zhǔn)的IT治理（IT Governance）架構(gòu)可以給企業(yè)帶來(lái)諸多收益。如美國(guó)堪薩斯州把COBIT標(biāo)準(zhǔn)作為虛擬政府策略的一部分，結(jié)果降低了運(yùn)營(yíng)成本，并為它的客戶和委托人提供了很高質(zhì)量的服務(wù)。

從經(jīng)濟(jì)學(xué)意義上來(lái)說(shuō)，客戶愿意為任何滿足自己需求的產(chǎn)品和服務(wù)付費(fèi)，這個(gè)無(wú)須懷疑。需要懷疑的倒應(yīng)該是這個(gè)問(wèn)題：廠商以“自己的標(biāo)準(zhǔn)”為用戶提供的所謂“服務(wù)”，能否讓用戶認(rèn)為“物有所值”？

是否“物有所值”，買家和賣家各自的感受會(huì)有差異，因此一個(gè)標(biāo)準(zhǔn)作為度量的尺度就成了人們關(guān)注的焦點(diǎn)。

為了建立這個(gè)公正的尺度，美國(guó)信息系統(tǒng)審計(jì)與控制協(xié)會(huì)(ISACA)從1967年成立伊始，就開始研究這個(gè)問(wèn)題，提出了“信息系統(tǒng)和技術(shù)控制目標(biāo)”(COBIT)。COBIT，直譯為信息及相關(guān)技術(shù)的控制目標(biāo)，是IT治理的一個(gè)開放性標(biāo)準(zhǔn)，目前已成為國(guó)際上公認(rèn)的最先進(jìn)、最權(quán)威的安全與信息技術(shù)管理和控制的標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)為IT的治理、安全與控制提供了一個(gè)一般適用的公認(rèn)的標(biāo)準(zhǔn)，以輔助管理層進(jìn)行IT治理。該標(biāo)準(zhǔn)體系已在世界一百多個(gè)國(guó)家的重要組織與企業(yè)中運(yùn)用，指導(dǎo)這些組織有效利用信息資源，有效地管理與信息相關(guān)的風(fēng)險(xiǎn)。

COBIT（Control Objectives For Information and Related Technology），譯為“信息及相關(guān)技術(shù)的控制目標(biāo)”，是IT治理的一個(gè)開放性標(biāo)準(zhǔn)。由美國(guó)IT治理研究院開發(fā)與推廣，目前已成為國(guó)際上公認(rèn)的最先進(jìn)、最權(quán)威的信息技術(shù)管理和控制的標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)為IT的治理、安全與控制提供了一個(gè)一般適用的公認(rèn)標(biāo)準(zhǔn)，以輔助公司決策層進(jìn)行IT治理。該標(biāo)準(zhǔn)體系已在世界100多個(gè)國(guó)家的重要組織與企業(yè)中運(yùn)用，指導(dǎo)這些組織有效利用信息資源，有效地管理與信息相關(guān)的風(fēng)險(xiǎn)。該標(biāo)準(zhǔn)現(xiàn)在是第三修訂版，由Information Systems Audit and Control Association (ISACA)出版，最早在1996年發(fā)布。COBIT架構(gòu)由34個(gè)高層控制目標(biāo)和318個(gè)細(xì)節(jié)控制目標(biāo)組成，通過(guò)定義這些目標(biāo)，可以幫助維護(hù)企業(yè)業(yè)務(wù)對(duì)IT的有效控制。該標(biāo)準(zhǔn)比較完善，所有的COBIT文檔集合可以在線獲得，包括executive summary、架構(gòu)、控制目標(biāo)、審計(jì)指引、管理指引和實(shí)現(xiàn)指引。

現(xiàn)在，ISACA正在實(shí)現(xiàn)COBIT的特殊版本，稱為“QuickStart”，為中小型企業(yè)準(zhǔn)備。其中將包括COBIT的子集，并且特別關(guān)注對(duì)于那些缺少實(shí)現(xiàn)完全標(biāo)準(zhǔn)所需資源的那些組織的需求，提供這些組織所需的必備元素。

圖一是COBIT模型，作為IT治理的核心模型，COBIT包含34個(gè)信息技術(shù)過(guò)程控制，并歸集為四個(gè)控制域：IT規(guī)劃和組織（Planning and Organization）、系統(tǒng)獲得和實(shí)施（Acquisition and Implementation）、交付與支持（Delivery and Support）以及信息系統(tǒng)運(yùn)行性能監(jiān)控（Monitoring）。
　

圖一

COBIT模型是企業(yè)戰(zhàn)略目標(biāo)和信息技術(shù)戰(zhàn)略目標(biāo)的橋梁，使得信息技術(shù)目標(biāo)和企業(yè)戰(zhàn)略目標(biāo)之間實(shí)現(xiàn)互動(dòng)。

該框架的意義在于：COBIT實(shí)現(xiàn)了企業(yè)目標(biāo)與IT治理目標(biāo)之間的橋梁作用。

首先，COBIT考慮了企業(yè)自身的戰(zhàn)略規(guī)劃，對(duì)業(yè)務(wù)環(huán)境和企業(yè)總的業(yè)務(wù)戰(zhàn)略進(jìn)行分析定位，并將戰(zhàn)略規(guī)劃所產(chǎn)生的目標(biāo)、政策、行動(dòng)計(jì)劃作為信息技術(shù)的關(guān)鍵環(huán)境，并由此確定IT準(zhǔn)則。

IT為企業(yè)戰(zhàn)略提供了基于技術(shù)的解決方案，為滿足業(yè)務(wù)戰(zhàn)略需求提供了技術(shù)與工具。在IT準(zhǔn)則的指導(dǎo)下，利用控制目標(biāo)模型，分別從規(guī)劃與組織、獲取與實(shí)施、交付與支持、監(jiān)控等過(guò)程進(jìn)行控制、管理信息資源。在IT管理的同時(shí)，引入審計(jì)指南，從而保證IT資源管理的安全性、可靠性和有效性。

COBIT實(shí)現(xiàn)可跟蹤的業(yè)績(jī)衡量，通過(guò)平衡記分卡可以在財(cái)務(wù)（企業(yè)資源管理）、客戶（客戶關(guān)系管理）、過(guò)程（內(nèi)部網(wǎng)，工作流工具）、學(xué)習(xí)（知識(shí)管理）等方面維持平衡，評(píng)價(jià)企業(yè)目標(biāo)的實(shí)現(xiàn)情況以及IT績(jī)效，并調(diào)整業(yè)務(wù)目標(biāo)和IT戰(zhàn)略，進(jìn)行持續(xù)的IT管理。

COBIT采用成熟度模型，可以定位自己企業(yè)的IT管理目前在業(yè)界所處的位置，以及未來(lái)努力的方向，通俗地說(shuō)就是給IT管理“打分”。

COBIT還提供了目前最佳案例和關(guān)鍵成功因素（CSF），供企業(yè)和組織借鑒。

從內(nèi)容上看，COBIT覆蓋了從分析＆設(shè)計(jì)到開發(fā)＆實(shí)施到運(yùn)營(yíng)、維護(hù)的整個(gè)過(guò)程。對(duì)于分析＆設(shè)計(jì)，重點(diǎn)目標(biāo)是IT與業(yè)務(wù)的需求，根據(jù)業(yè)務(wù)目標(biāo)細(xì)化IT戰(zhàn)略，確定待開放的IT系統(tǒng)，進(jìn)行相應(yīng)的系統(tǒng)分析和設(shè)計(jì)。在分析與設(shè)計(jì)這樣一個(gè)流程范圍中，比我們傳統(tǒng)所說(shuō)的信息系統(tǒng)的分析與設(shè)計(jì)要寬廣得多，它強(qiáng)調(diào)的是IT的戰(zhàn)略要符合業(yè)務(wù)的戰(zhàn)略，任何信息系統(tǒng)的開發(fā)都應(yīng)該與業(yè)務(wù)戰(zhàn)略保持精確的校準(zhǔn)。從業(yè)務(wù)戰(zhàn)略的高度來(lái)分析和設(shè)計(jì)信息系統(tǒng)。提供這個(gè)階段主要是考察組織的需求，同時(shí)根據(jù)這些需求設(shè)計(jì)合理的資源組合，設(shè)立合理的服務(wù)級(jí)別、目標(biāo)，提供滿足客戶需求的IT服務(wù)。這個(gè)階段對(duì)IT應(yīng)用已上升到IT服務(wù)管理的階段。主要解決下面的問(wèn)題，為滿足客戶的需要提供哪些資源，這些資源之間的成本是多少，如何在服務(wù)成本和服務(wù)的效益間達(dá)到一個(gè)恰當(dāng)?shù)钠胶恻c(diǎn)。在支持這個(gè)層面，主要是如何滿足客戶提出的IT需求，以支持服務(wù)的需求。COBIT上層是對(duì)IT運(yùn)行進(jìn)行外部控制和內(nèi)部審計(jì)，以確保IT與業(yè)務(wù)實(shí)現(xiàn)精確校準(zhǔn)，同時(shí)實(shí)現(xiàn)對(duì)IT應(yīng)用持續(xù)不斷的應(yīng)用和改進(jìn)。COBIT覆蓋整個(gè)信息系統(tǒng)的全部生命周期，其視野是最為開闊的。

目前，IT治理及其模型COBIT在全世界許多國(guó)家的政府及公共機(jī)構(gòu)、軍方、企業(yè)、大學(xué)、銀行、保險(xiǎn)業(yè)等都已有大量成功的案例，Proctor & Gamble，安大略政府，堪薩斯州和戴爾公司以及其他的一些組織已經(jīng)通過(guò)采用IT管理看到了可觀的成效。但是由于某些客觀原因，迄今為止，還缺乏在中國(guó)相關(guān)組織實(shí)行的案例，據(jù)賽迪顧問(wèn)分析，目前我國(guó)IT治理普遍缺失，主要表現(xiàn)為九大癥狀：各自為政，缺乏統(tǒng)一、全局的IT戰(zhàn)略規(guī)劃；信息化建設(shè)領(lǐng)導(dǎo)者錯(cuò)位；決策的技術(shù)經(jīng)濟(jì)論證不足；信息資源未能合理應(yīng)用；利益沖突和信息的不透明；IT安全治理和風(fēng)險(xiǎn)管理缺位；非技術(shù)性的障礙； 重硬件購(gòu)買，輕專業(yè)軟件的開發(fā)和咨詢服務(wù)；信息化建設(shè)找不到重心。因此，我們必須在這一方面進(jìn)行深入的研究，迎頭趕上。

參考文獻(xiàn)：
【1】 整合COBIT、ITIL、ISO/IEC17799和PRINCE2 構(gòu)建善治的IT治理機(jī)制
http://www.ccidtraining.com/hy031027-1.htm
【2】 開展IT治理 ，孫強(qiáng) 劉獻(xiàn)軍
http://www.e-works.net.cn/ewkArticles/Category117/Article15290.htm
【3】 IT治理：信息化的重要環(huán)節(jié)
http://www.ccidtraining.com/hy031111-2.htm
【4】 整合COBIT、ITIL、ISO/IEC17799和PRINCE2
http://www.ccidtraining.com/hy031027-1.htm