專題文章-IT治理的重要參考標準-COBIT（張向群）

申請免費試用、咨詢電話：400-8352-114

IT治理的重要參考標準-COBIT

AMT 張向群

經(jīng)過幾十年的發(fā)展，西方發(fā)達國家總結了信息化建設的經(jīng)驗，將 “企業(yè)治理”的概念引入到信息化領域，提出了“IT治理”的概念，對信息化建設的管理提升到了一個新的高度。信息化建設過程實質上就是一個對IT進行治理的過程，在這個背景下，ISACA提出了COBIT。

COBIT是什么？

COBIT是Controlled Objectives for Information and Related Technology的縮寫，即信息及相關技術的控制目標。COBIT是 ISACA（信息系統(tǒng)審計和控制聯(lián)合會）制訂的面向過程的信息系統(tǒng)審計和評價的標準。對信息化建設成果的評價，按照系統(tǒng)屬性可以劃分為若干方面，如：對最終成果評價、對建設過程評價、對系統(tǒng)架構評價等。COBIT是一個基于IT治理概念的、面向IT建設過程的IT治理實現(xiàn)指南和審計標準。

ISACA成立于1969年，是國際上最富盛名的信息控制理論研究及研究資料的出版機構，是一個專門從事IT治理相關技術研究、教育的國際組織。它在全球擁有100多個會員國，主要任務定位于協(xié)調世界范圍內建立IT控制慣例，并與其他國際組織如財務、會計、審計及IT專業(yè)建立了戰(zhàn)略聯(lián)盟，使自己在IT治理方面達到世界最高水平。

ISACA于1996年發(fā)表了COBIT的第一版，1998年修訂后發(fā)表第二版。最新的版本是2001年發(fā)布的第三版。在第三版中，ISACA對第二版的內容進行了修訂，增加了“管理指南”等內容，反映當前最新的信息和相關技術控制目標。COBIT是一個指導信息化建設、審計、治理的標準或框架。COBIT第三版中包含了COBIT的框架、控制目標、實現(xiàn)目標所應采取的實踐方法、對信息化建設進行審計等一系列內容。ISACA發(fā)布COBIT的目的：

  -- 集中體現(xiàn)全球IT管理專家貢獻的精華

  -- 是進行IT治理和風險管理的有效工具

  -- 是平衡風險和投資關系的有效工具

  -- 是進行IT性能考核的重要參考

  -- 設置行動標桿，指導企業(yè)達到適當?shù)目刂扑?SPAN lang=EN-US>

  -- 還可用于支持政府和行業(yè)管理部門的信息系統(tǒng)審計活動

COBIT的用途是：

--- 作為IT治理的核心模型

  --- 作為“審計 ”信息系統(tǒng)的標準

  --- 作為指導信息化建設行動

COBIT的主要服務對象是：

--- 管理人員：幫助他們在變幻莫測的IT環(huán)境中平衡風險和控制投資。

--- 信息化的用戶：得到內部或第三方提供服務的安全、IT服務控制的保證。

--- 審計人員：借助COBIT證實他們對IT系統(tǒng)狀況的判斷，為管理層改善內部控制提供建議。

在開發(fā)COBIT的過程中，ISACA博采眾長，大量吸取了世界范圍的、與信息技術管理相關的研究成果，主要包括：

-- 來自ISO、EDIFACT等的技術標準

-- 來自OECD、ISACA等的職業(yè)道德規(guī)范；

-- 來自IT系統(tǒng)和過程的質量標準，如ITSEC、TCSEC、ISO9000、SPICE、TickIT等

-- 來自內部控制和審計的職業(yè)標準：如COSO、IFAC、AICPA、CICA、ISACA、IIA、PCIE、GAO等

-- 來自行業(yè)論壇的行業(yè)管理和規(guī)定及政府發(fā)起的論壇，如ESF、I4、IBAG、NIST、DTI等。

-- 行業(yè)特殊標準：如銀行業(yè)、電子商務和IT制造等。

COBIT的基本概念

COBIT是一個典型的按照西方思維方法取得的研究成果，即分析事實、提煉模型、建立概念、提出行動方法和評價體系?；?SPAN lang=EN-US>IT治理的概念，ISACA對IT建設過程進行提煉，建立了一系列概念和過程及，確定行動目標，提出行動方法和評審標準。這些內容構成了COBIT的框架和支柱，使用者可以根據(jù)實際情況做一定的剪裁。COBIT所提出基本概念是：IT治理的模型、IT治理的過程、成熟度級別、控制目標、關鍵目標指示（KGI）、關鍵性能指示（KPI）、重要成功因素（CSF）等。

COBIT認為信息化建設就是借助“IT資源”，通過管理活動（activities），將輸入的“事件”轉換為“信息”。IT治理就是對這個控制、轉換過程進行管理和控制。COBIT將“信息”的特性劃分為：效果、效率、機密性、完整性、適用性、遵從性（即遵守有關的法律法規(guī)、規(guī)章制度）、可靠性等七個屬性，將“IT資源”劃分為：技術、應用、人員、設施、數(shù)據(jù)。信息及資源的關系見圖1。從圖1我們可以看到，IT資源是將事件轉換為信息的裝置，COBIT將這個裝置形象地描述為一個圓柱體，圓柱體的核心是數(shù)據(jù)，數(shù)據(jù)外圍包裹著由“技術”、“（IT）設施”、“人員”組成豎井，豎井外包圍的是“應用（系統(tǒng)）”。

圖1 IT治理模型

COBIT采用關鍵目標指示KGI（Key Goal Indicators）表達一個過程要達到哪些指標，KGI可以與著名的績效考核方法“平衡記分法”中的績效指標相關聯(lián)。為了衡量每個過程在“多大程度”上達到了KGI，COBIT設置了 “關鍵性能指示（KPI）”（Key Performance Indicators）。COBIT將IT治理過程劃分為34個過程（下面將談到），為每個過程給出了為了實現(xiàn)KGI必須完成的一系列重要工作 -- “重要成功因素CSF”（Critical Success Factors）。而每個過程達到的關鍵性能指示（KPI）的程度則用六個成熟度級別來表示，它們是：0-混沌（根本不存在）、1-初始級；2-可重復級、3-可定義級、4-可管理級、5-優(yōu)化級。

COBIT將IT治理過程或信息化建設過程劃分為四個域：計劃和組織（Planning and Organization）、獲取和實施（Acquisition & Implementation）、交付和支持（Delivery and Support）、監(jiān)視（Monitoring）。每個過程域下面又劃分為若干過程：

過程域“計劃和組織”包括：PO1-IT戰(zhàn)略規(guī)劃確定、PO2-信息結構確定、PO3-技術方向確定、PO4-IT組織及關系確定、PO5-IT投資管理、PO6-溝通管理的目標和方向、PO7-人力資源管理、PO8-遵守外部要求的保證、PO9-風險評估、PO10-項目管理、PO11-質量管理。

過程域“獲取和實施”包含：AI1-自動解決方案的識別、AI2-應用軟件的獲取和維護、AI3-技術設施的獲取和維護、AI4-開發(fā)和維護程序、AI5-安裝和授權系統(tǒng)、AI6-變更管理。

過程域“交付和支持”包括：DS1-服務水平定義及管理、DS2-第三方服務管理、DS3-性能和容量管理、DS4-不間斷服務保證、DS5-系統(tǒng)安全保證、DS6-成本的識別和分配、DS7-用戶教育和培訓、DS8-對客戶的協(xié)助和建議、DS9-配置管理、DS10-問題和意外事件管理、DS11-數(shù)據(jù)管理、DS12-設施管理、DS13-運行管理。

過程域“監(jiān)視”則包含了：M1-監(jiān)視過程、M2-評估內部控制充分性、M3-獲得獨立保證、M4-提供獨立審計

COBIT家族

COBIT是一組相互關聯(lián)的文件構成，被形象地成為“家族”，它的構成見圖2。

在“COBIT框架”描述了COBIT的主要概念，給出了每個過程的高層控制目標。在“框架”之下是三個文件：“管理指南”、“詳細控制目標”和“審計指南”。其中“管理指南”是第三版新增加的內容，目的是為實施COBIT提供方法。在“管理指南”中詳細地敘述了每個過程的成熟度模型—從渾沌狀態(tài)的0級到優(yōu)化的5級、KGI、KPI以及要達到KGI的 “重要成功因素”CSF。同時，還給出了與這個過程密切相關的IT資源，以及信息判據(jù)中哪些特征最為重要和比較重要。在文件“詳細控制目標”中，則按照34個過程逐一給出“詳細控制目標”。“信息系統(tǒng)審計指南”的構成比較復雜，它包含了“審計道德要求”、“信息系統(tǒng)審計標準”、“信息系統(tǒng)審計指南”、“信息系統(tǒng)審計過程”等子文件。

在“實施工具包”中，給出了一系列實施COBIT的工具，包括：如何引入COBIT、如何在一個組織中實施COBIT、管理意識診斷、IT控制狀況診斷等實施指南，以及COBIT實施案例研究和常見問題的解答等內容，是人們實施COBIT的重要的、權威的參考手冊。

COBIT的特點

前面我們對COBIT的基本概念、組成、結構進行了簡要介紹，下面我們對COBIT的主要特點進行一些簡要的分析。

面向過程

面向過程是COBIT的一個突出特點?？v觀我國信息化行業(yè)的實際情況，無論是政府組織的評審活動，還是各個實施單位的內部考核，對信息化建設的評審多側重于對系統(tǒng)建設最終效果的考核，如生產效率的提高程度、成本降低的情況等。信息化建設的最終目的無疑是提高經(jīng)營效益、管理水平，但是在信息化建設成果與業(yè)務效益之間并沒有完全對應的關系，換句話說，一個性能良好的信息系統(tǒng)并不能完全保證出色的經(jīng)營效益，反之，某個單位的經(jīng)營效益出色，也不能完全歸功于信息系統(tǒng)。同時，我們還應注意到，信息化建設的所包含的內涵比信息系統(tǒng)更廣泛。如果僅僅根據(jù)信息系統(tǒng)實施后的經(jīng)營效益或服務水平判定信息化建設的狀況，就難免產生一定的偏差，也容易引起參加建設各方的爭議。COBIT的意義在于，它為我們提供了一個判斷信息化建設的“程序”是否恰當?shù)姆椒ā＝柚?SPAN lang=EN-US>COBIT我們可以把對信息化建設的考察分為兩個部分，即分別考察“程序”和 “結果”，將一個復雜的考核問題進行分隔和簡化。

面向過程的評價體系還有一個優(yōu)勢是：提供了改善行動的指南。按照面向結果的指標考核體系，能夠方便地判斷建設單位是否達到了標準，卻沒有告訴通過什么途徑才能提高水平達到標準，也沒有告訴建設單位在“多大程度”上達到了標準。面向過程的考核體系，則恰好填補了這個空缺，它提供了達到標準的方法和手段。因此，不僅可以將COBIT作為對信息化過程進行審計的重要參考，還可以將COBIT的34個過程的活動內容，作為提高本單位的信息化建設水平的重要參照。

不斷改進

COBIT參照SEI的CMM的成熟度概念，為每個過程設計成熟度模型。這樣，任何一個組織都可以參照這個成熟度模型，按照34個過程逐一對照，找到本單位的實際情況在模型中的位置，按照成熟度的改進路徑，采取改進措施。設置成熟度的最大益處在于，可以方便地設置前進道路上的改進路標。借助成熟度模型，人們還可以方便地確定行業(yè)內最佳單位、國際上先進水平的狀態(tài)，了解本單位目前的狀態(tài)以及未來要達到的目標與兩者的差別，從而清晰地了解自己與國際先進水平和行業(yè)標桿單位的差距，不斷地采取改進措施改善，最終達到預期目標。

內容全面

從前面的介紹我們知道，COBIT是一個家族，它不但包含了框架、過程控制目標和管理指南、實施COBIT的工具包，還包含了進行IT審計的審計標準。因此，COBIT在結構上是比較完整的、全面的，兼顧了審計人員、管理人員和IT人員的需求。各個文件中的內容具有強烈的相關性，互為參照。為了方便閱讀和使用，框架內容和重要的概念在各文件中反復出現(xiàn)，便于查找。COBIT給出的高層和詳細控制目標、成熟度描述等都是針對IT治理的實際活動，比較實用，既提供審計標準，又提供了工作指南。

同時我們注意到，在COBIT家族中還包含了審計人員應遵守的職業(yè)道德標準。ISACA把對信息系統(tǒng)審計提升到了與財務審計同等重要的程度，體現(xiàn)出信息社會中IT建設應具有重要性及信息系統(tǒng)審計的嚴肅性。

用途廣泛

COBIT具有廣泛的用途。不但可以作為信息化建設過程的考察標準，可以作為IT建設單位日常工作的重要參考，同時還可以作為IT軟件/硬件開發(fā)商、供應商、代理商、咨詢服務商開發(fā)產品、提供服務的重要參考。所有為信息化建設提供服務的有關單位，在進行產品設計開發(fā)、實施服務時，都可以參照COBIT的概念、框架、過程，為客戶提供符合過程標準的產品和服務，努力幫助客戶達到更高的建設成熟度水平，獲得更完美的建設成果。

尚待完善之處

COBIT雖然具有眾多優(yōu)勢，但是在某些方面，還存在著一定的不足，尚需要使用人員在使用過程中，加以改進和完善。

首先，COBIT的控制目標、關鍵性能指示、關鍵指示中的內容不可能完全符合我國的實際情況，有些指標的內容尚需商榷。另外，這些指標是通用的，沒有根據(jù)行業(yè)特點或企業(yè)業(yè)務結構、經(jīng)營規(guī)模進行劃分。如果要將COBIT應用到某個單位，必須經(jīng)過適當?shù)牟脺p或調整。

其次，COBIT雖然設置了成熟度標準，但是描述語言是定性的，沒有明確的判斷成熟度的指標，這樣當實際運用時，尤其在進行評審時，難免因審計人員的個人素質造成審查結果的偏差。

最后，ISACA推出COBIT的同時，還應提供更多的設計說明思想的說明，使讀者更全面、更充分地理解作者的設計意圖，對針對實際情況的具體應用方法、特別是裁減方法、允許的裁減程度提供更詳細的指導意見，或采用更詳細的案例討論為打算采用COBIT的用戶提供指導。

總之，COBIT是一個非常值得借鑒的信息系統(tǒng)評審和信息化建設指導框架，是考察信息化建設過程一個重要的參照體系。我們希望通過對COBIT的研究和應用，為提高IT治理水平、提高IT投資效益，推進信息化建設做出一些切實的工作。