專題文章-IT治理的重要參考標(biāo)準(zhǔn)-COBIT（張向群）

申請免費試用、咨詢電話：400-8352-114

IT治理的重要參考標(biāo)準(zhǔn)-COBIT

AMT 張向群

經(jīng)過幾十年的發(fā)展，西方發(fā)達(dá)國家總結(jié)了信息化建設(shè)的經(jīng)驗，將 “企業(yè)治理”的概念引入到信息化領(lǐng)域，提出了“IT治理”的概念，對信息化建設(shè)的管理提升到了一個新的高度。信息化建設(shè)過程實質(zhì)上就是一個對IT進(jìn)行治理的過程，在這個背景下，ISACA提出了COBIT。

COBIT是什么？

COBIT是Controlled Objectives for Information and Related Technology的縮寫，即信息及相關(guān)技術(shù)的控制目標(biāo)。COBIT是 ISACA（信息系統(tǒng)審計和控制聯(lián)合會）制訂的面向過程的信息系統(tǒng)審計和評價的標(biāo)準(zhǔn)。對信息化建設(shè)成果的評價，按照系統(tǒng)屬性可以劃分為若干方面，如：對最終成果評價、對建設(shè)過程評價、對系統(tǒng)架構(gòu)評價等。COBIT是一個基于IT治理概念的、面向IT建設(shè)過程的IT治理實現(xiàn)指南和審計標(biāo)準(zhǔn)。

ISACA成立于1969年，是國際上最富盛名的信息控制理論研究及研究資料的出版機(jī)構(gòu)，是一個專門從事IT治理相關(guān)技術(shù)研究、教育的國際組織。它在全球擁有100多個會員國，主要任務(wù)定位于協(xié)調(diào)世界范圍內(nèi)建立IT控制慣例，并與其他國際組織如財務(wù)、會計、審計及IT專業(yè)建立了戰(zhàn)略聯(lián)盟，使自己在IT治理方面達(dá)到世界最高水平。

ISACA于1996年發(fā)表了COBIT的第一版，1998年修訂后發(fā)表第二版。最新的版本是2001年發(fā)布的第三版。在第三版中，ISACA對第二版的內(nèi)容進(jìn)行了修訂，增加了“管理指南”等內(nèi)容，反映當(dāng)前最新的信息和相關(guān)技術(shù)控制目標(biāo)。COBIT是一個指導(dǎo)信息化建設(shè)、審計、治理的標(biāo)準(zhǔn)或框架。COBIT第三版中包含了COBIT的框架、控制目標(biāo)、實現(xiàn)目標(biāo)所應(yīng)采取的實踐方法、對信息化建設(shè)進(jìn)行審計等一系列內(nèi)容。ISACA發(fā)布COBIT的目的：

  -- 集中體現(xiàn)全球IT管理專家貢獻(xiàn)的精華

  -- 是進(jìn)行IT治理和風(fēng)險管理的有效工具

  -- 是平衡風(fēng)險和投資關(guān)系的有效工具

  -- 是進(jìn)行IT性能考核的重要參考

  -- 設(shè)置行動標(biāo)桿，指導(dǎo)企業(yè)達(dá)到適當(dāng)?shù)目刂扑?SPAN lang=EN-US>

  -- 還可用于支持政府和行業(yè)管理部門的信息系統(tǒng)審計活動

COBIT的用途是：

--- 作為IT治理的核心模型

  --- 作為“審計 ”信息系統(tǒng)的標(biāo)準(zhǔn)

  --- 作為指導(dǎo)信息化建設(shè)行動

COBIT的主要服務(wù)對象是：

--- 管理人員：幫助他們在變幻莫測的IT環(huán)境中平衡風(fēng)險和控制投資。

--- 信息化的用戶：得到內(nèi)部或第三方提供服務(wù)的安全、IT服務(wù)控制的保證。

--- 審計人員：借助COBIT證實他們對IT系統(tǒng)狀況的判斷，為管理層改善內(nèi)部控制提供建議。

在開發(fā)COBIT的過程中，ISACA博采眾長，大量吸取了世界范圍的、與信息技術(shù)管理相關(guān)的研究成果，主要包括：

-- 來自ISO、EDIFACT等的技術(shù)標(biāo)準(zhǔn)

-- 來自OECD、ISACA等的職業(yè)道德規(guī)范；

-- 來自IT系統(tǒng)和過程的質(zhì)量標(biāo)準(zhǔn)，如ITSEC、TCSEC、ISO9000、SPICE、TickIT等

-- 來自內(nèi)部控制和審計的職業(yè)標(biāo)準(zhǔn)：如COSO、IFAC、AICPA、CICA、ISACA、IIA、PCIE、GAO等

-- 來自行業(yè)論壇的行業(yè)管理和規(guī)定及政府發(fā)起的論壇，如ESF、I4、IBAG、NIST、DTI等。

-- 行業(yè)特殊標(biāo)準(zhǔn)：如銀行業(yè)、電子商務(wù)和IT制造等。

COBIT的基本概念

COBIT是一個典型的按照西方思維方法取得的研究成果，即分析事實、提煉模型、建立概念、提出行動方法和評價體系?；?SPAN lang=EN-US>IT治理的概念，ISACA對IT建設(shè)過程進(jìn)行提煉，建立了一系列概念和過程及，確定行動目標(biāo)，提出行動方法和評審標(biāo)準(zhǔn)。這些內(nèi)容構(gòu)成了COBIT的框架和支柱，使用者可以根據(jù)實際情況做一定的剪裁。COBIT所提出基本概念是：IT治理的模型、IT治理的過程、成熟度級別、控制目標(biāo)、關(guān)鍵目標(biāo)指示（KGI）、關(guān)鍵性能指示（KPI）、重要成功因素（CSF）等。

COBIT認(rèn)為信息化建設(shè)就是借助“IT資源”，通過管理活動（activities），將輸入的“事件”轉(zhuǎn)換為“信息”。IT治理就是對這個控制、轉(zhuǎn)換過程進(jìn)行管理和控制。COBIT將“信息”的特性劃分為：效果、效率、機(jī)密性、完整性、適用性、遵從性（即遵守有關(guān)的法律法規(guī)、規(guī)章制度）、可靠性等七個屬性，將“IT資源”劃分為：技術(shù)、應(yīng)用、人員、設(shè)施、數(shù)據(jù)。信息及資源的關(guān)系見圖1。從圖1我們可以看到，IT資源是將事件轉(zhuǎn)換為信息的裝置，COBIT將這個裝置形象地描述為一個圓柱體，圓柱體的核心是數(shù)據(jù)，數(shù)據(jù)外圍包裹著由“技術(shù)”、“（IT）設(shè)施”、“人員”組成豎井，豎井外包圍的是“應(yīng)用（系統(tǒng)）”。

圖1 IT治理模型

COBIT采用關(guān)鍵目標(biāo)指示KGI（Key Goal Indicators）表達(dá)一個過程要達(dá)到哪些指標(biāo)，KGI可以與著名的績效考核方法“平衡記分法”中的績效指標(biāo)相關(guān)聯(lián)。為了衡量每個過程在“多大程度”上達(dá)到了KGI，COBIT設(shè)置了 “關(guān)鍵性能指示（KPI）”（Key Performance Indicators）。COBIT將IT治理過程劃分為34個過程（下面將談到），為每個過程給出了為了實現(xiàn)KGI必須完成的一系列重要工作 -- “重要成功因素CSF”（Critical Success Factors）。而每個過程達(dá)到的關(guān)鍵性能指示（KPI）的程度則用六個成熟度級別來表示，它們是：0-混沌（根本不存在）、1-初始級；2-可重復(fù)級、3-可定義級、4-可管理級、5-優(yōu)化級。

COBIT將IT治理過程或信息化建設(shè)過程劃分為四個域：計劃和組織（Planning and Organization）、獲取和實施（Acquisition & Implementation）、交付和支持（Delivery and Support）、監(jiān)視（Monitoring）。每個過程域下面又劃分為若干過程：

過程域“計劃和組織”包括：PO1-IT戰(zhàn)略規(guī)劃確定、PO2-信息結(jié)構(gòu)確定、PO3-技術(shù)方向確定、PO4-IT組織及關(guān)系確定、PO5-IT投資管理、PO6-溝通管理的目標(biāo)和方向、PO7-人力資源管理、PO8-遵守外部要求的保證、PO9-風(fēng)險評估、PO10-項目管理、PO11-質(zhì)量管理。

過程域“獲取和實施”包含：AI1-自動解決方案的識別、AI2-應(yīng)用軟件的獲取和維護(hù)、AI3-技術(shù)設(shè)施的獲取和維護(hù)、AI4-開發(fā)和維護(hù)程序、AI5-安裝和授權(quán)系統(tǒng)、AI6-變更管理。

過程域“交付和支持”包括：DS1-服務(wù)水平定義及管理、DS2-第三方服務(wù)管理、DS3-性能和容量管理、DS4-不間斷服務(wù)保證、DS5-系統(tǒng)安全保證、DS6-成本的識別和分配、DS7-用戶教育和培訓(xùn)、DS8-對客戶的協(xié)助和建議、DS9-配置管理、DS10-問題和意外事件管理、DS11-數(shù)據(jù)管理、DS12-設(shè)施管理、DS13-運行管理。

過程域“監(jiān)視”則包含了：M1-監(jiān)視過程、M2-評估內(nèi)部控制充分性、M3-獲得獨立保證、M4-提供獨立審計

COBIT家族

COBIT是一組相互關(guān)聯(lián)的文件構(gòu)成，被形象地成為“家族”，它的構(gòu)成見圖2。

在“COBIT框架”描述了COBIT的主要概念，給出了每個過程的高層控制目標(biāo)。在“框架”之下是三個文件：“管理指南”、“詳細(xì)控制目標(biāo)”和“審計指南”。其中“管理指南”是第三版新增加的內(nèi)容，目的是為實施COBIT提供方法。在“管理指南”中詳細(xì)地敘述了每個過程的成熟度模型—從渾沌狀態(tài)的0級到優(yōu)化的5級、KGI、KPI以及要達(dá)到KGI的 “重要成功因素”CSF。同時，還給出了與這個過程密切相關(guān)的IT資源，以及信息判據(jù)中哪些特征最為重要和比較重要。在文件“詳細(xì)控制目標(biāo)”中，則按照34個過程逐一給出“詳細(xì)控制目標(biāo)”。“信息系統(tǒng)審計指南”的構(gòu)成比較復(fù)雜，它包含了“審計道德要求”、“信息系統(tǒng)審計標(biāo)準(zhǔn)”、“信息系統(tǒng)審計指南”、“信息系統(tǒng)審計過程”等子文件。

在“實施工具包”中，給出了一系列實施COBIT的工具，包括：如何引入COBIT、如何在一個組織中實施COBIT、管理意識診斷、IT控制狀況診斷等實施指南，以及COBIT實施案例研究和常見問題的解答等內(nèi)容，是人們實施COBIT的重要的、權(quán)威的參考手冊。

COBIT的特點

前面我們對COBIT的基本概念、組成、結(jié)構(gòu)進(jìn)行了簡要介紹，下面我們對COBIT的主要特點進(jìn)行一些簡要的分析。

面向過程

面向過程是COBIT的一個突出特點?？v觀我國信息化行業(yè)的實際情況，無論是政府組織的評審活動，還是各個實施單位的內(nèi)部考核，對信息化建設(shè)的評審多側(cè)重于對系統(tǒng)建設(shè)最終效果的考核，如生產(chǎn)效率的提高程度、成本降低的情況等。信息化建設(shè)的最終目的無疑是提高經(jīng)營效益、管理水平，但是在信息化建設(shè)成果與業(yè)務(wù)效益之間并沒有完全對應(yīng)的關(guān)系，換句話說，一個性能良好的信息系統(tǒng)并不能完全保證出色的經(jīng)營效益，反之，某個單位的經(jīng)營效益出色，也不能完全歸功于信息系統(tǒng)。同時，我們還應(yīng)注意到，信息化建設(shè)的所包含的內(nèi)涵比信息系統(tǒng)更廣泛。如果僅僅根據(jù)信息系統(tǒng)實施后的經(jīng)營效益或服務(wù)水平判定信息化建設(shè)的狀況，就難免產(chǎn)生一定的偏差，也容易引起參加建設(shè)各方的爭議。COBIT的意義在于，它為我們提供了一個判斷信息化建設(shè)的“程序”是否恰當(dāng)?shù)姆椒?。借?SPAN lang=EN-US>COBIT我們可以把對信息化建設(shè)的考察分為兩個部分，即分別考察“程序”和 “結(jié)果”，將一個復(fù)雜的考核問題進(jìn)行分隔和簡化。

面向過程的評價體系還有一個優(yōu)勢是：提供了改善行動的指南。按照面向結(jié)果的指標(biāo)考核體系，能夠方便地判斷建設(shè)單位是否達(dá)到了標(biāo)準(zhǔn)，卻沒有告訴通過什么途徑才能提高水平達(dá)到標(biāo)準(zhǔn)，也沒有告訴建設(shè)單位在“多大程度”上達(dá)到了標(biāo)準(zhǔn)。面向過程的考核體系，則恰好填補了這個空缺，它提供了達(dá)到標(biāo)準(zhǔn)的方法和手段。因此，不僅可以將COBIT作為對信息化過程進(jìn)行審計的重要參考，還可以將COBIT的34個過程的活動內(nèi)容，作為提高本單位的信息化建設(shè)水平的重要參照。

不斷改進(jìn)

COBIT參照SEI的CMM的成熟度概念，為每個過程設(shè)計成熟度模型。這樣，任何一個組織都可以參照這個成熟度模型，按照34個過程逐一對照，找到本單位的實際情況在模型中的位置，按照成熟度的改進(jìn)路徑，采取改進(jìn)措施。設(shè)置成熟度的最大益處在于，可以方便地設(shè)置前進(jìn)道路上的改進(jìn)路標(biāo)。借助成熟度模型，人們還可以方便地確定行業(yè)內(nèi)最佳單位、國際上先進(jìn)水平的狀態(tài)，了解本單位目前的狀態(tài)以及未來要達(dá)到的目標(biāo)與兩者的差別，從而清晰地了解自己與國際先進(jìn)水平和行業(yè)標(biāo)桿單位的差距，不斷地采取改進(jìn)措施改善，最終達(dá)到預(yù)期目標(biāo)。

內(nèi)容全面

從前面的介紹我們知道，COBIT是一個家族，它不但包含了框架、過程控制目標(biāo)和管理指南、實施COBIT的工具包，還包含了進(jìn)行IT審計的審計標(biāo)準(zhǔn)。因此，COBIT在結(jié)構(gòu)上是比較完整的、全面的，兼顧了審計人員、管理人員和IT人員的需求。各個文件中的內(nèi)容具有強烈的相關(guān)性，互為參照。為了方便閱讀和使用，框架內(nèi)容和重要的概念在各文件中反復(fù)出現(xiàn)，便于查找。COBIT給出的高層和詳細(xì)控制目標(biāo)、成熟度描述等都是針對IT治理的實際活動，比較實用，既提供審計標(biāo)準(zhǔn)，又提供了工作指南。

同時我們注意到，在COBIT家族中還包含了審計人員應(yīng)遵守的職業(yè)道德標(biāo)準(zhǔn)。ISACA把對信息系統(tǒng)審計提升到了與財務(wù)審計同等重要的程度，體現(xiàn)出信息社會中IT建設(shè)應(yīng)具有重要性及信息系統(tǒng)審計的嚴(yán)肅性。

用途廣泛

COBIT具有廣泛的用途。不但可以作為信息化建設(shè)過程的考察標(biāo)準(zhǔn)，可以作為IT建設(shè)單位日常工作的重要參考，同時還可以作為IT軟件/硬件開發(fā)商、供應(yīng)商、代理商、咨詢服務(wù)商開發(fā)產(chǎn)品、提供服務(wù)的重要參考。所有為信息化建設(shè)提供服務(wù)的有關(guān)單位，在進(jìn)行產(chǎn)品設(shè)計開發(fā)、實施服務(wù)時，都可以參照COBIT的概念、框架、過程，為客戶提供符合過程標(biāo)準(zhǔn)的產(chǎn)品和服務(wù)，努力幫助客戶達(dá)到更高的建設(shè)成熟度水平，獲得更完美的建設(shè)成果。

尚待完善之處

COBIT雖然具有眾多優(yōu)勢，但是在某些方面，還存在著一定的不足，尚需要使用人員在使用過程中，加以改進(jìn)和完善。

首先，COBIT的控制目標(biāo)、關(guān)鍵性能指示、關(guān)鍵指示中的內(nèi)容不可能完全符合我國的實際情況，有些指標(biāo)的內(nèi)容尚需商榷。另外，這些指標(biāo)是通用的，沒有根據(jù)行業(yè)特點或企業(yè)業(yè)務(wù)結(jié)構(gòu)、經(jīng)營規(guī)模進(jìn)行劃分。如果要將COBIT應(yīng)用到某個單位，必須經(jīng)過適當(dāng)?shù)牟脺p或調(diào)整。

其次，COBIT雖然設(shè)置了成熟度標(biāo)準(zhǔn)，但是描述語言是定性的，沒有明確的判斷成熟度的指標(biāo)，這樣當(dāng)實際運用時，尤其在進(jìn)行評審時，難免因?qū)徲嬋藛T的個人素質(zhì)造成審查結(jié)果的偏差。

最后，ISACA推出COBIT的同時，還應(yīng)提供更多的設(shè)計說明思想的說明，使讀者更全面、更充分地理解作者的設(shè)計意圖，對針對實際情況的具體應(yīng)用方法、特別是裁減方法、允許的裁減程度提供更詳細(xì)的指導(dǎo)意見，或采用更詳細(xì)的案例討論為打算采用COBIT的用戶提供指導(dǎo)。

總之，COBIT是一個非常值得借鑒的信息系統(tǒng)評審和信息化建設(shè)指導(dǎo)框架，是考察信息化建設(shè)過程一個重要的參照體系。我們希望通過對COBIT的研究和應(yīng)用，為提高IT治理水平、提高IT投資效益，推進(jìn)信息化建設(shè)做出一些切實的工作。