專題文章-IT治理的重要參考標準-COBIT（張向群）

申請免費試用、咨詢電話：400-8352-114

IT治理的重要參考標準-COBIT

AMT 張向群

經過幾十年的發(fā)展，西方發(fā)達國家總結了信息化建設的經驗，將 “企業(yè)治理”的概念引入到信息化領域，提出了“IT治理”的概念，對信息化建設的管理提升到了一個新的高度。信息化建設過程實質上就是一個對IT進行治理的過程，在這個背景下，ISACA提出了COBIT。

COBIT是什么？

COBIT是Controlled Objectives for Information and Related Technology的縮寫，即信息及相關技術的控制目標。COBIT是 ISACA（信息系統審計和控制聯合會）制訂的面向過程的信息系統審計和評價的標準。對信息化建設成果的評價，按照系統屬性可以劃分為若干方面，如：對最終成果評價、對建設過程評價、對系統架構評價等。COBIT是一個基于IT治理概念的、面向IT建設過程的IT治理實現指南和審計標準。

ISACA成立于1969年，是國際上最富盛名的信息控制理論研究及研究資料的出版機構，是一個專門從事IT治理相關技術研究、教育的國際組織。它在全球擁有100多個會員國，主要任務定位于協調世界范圍內建立IT控制慣例，并與其他國際組織如財務、會計、審計及IT專業(yè)建立了戰(zhàn)略聯盟，使自己在IT治理方面達到世界最高水平。

ISACA于1996年發(fā)表了COBIT的第一版，1998年修訂后發(fā)表第二版。最新的版本是2001年發(fā)布的第三版。在第三版中，ISACA對第二版的內容進行了修訂，增加了“管理指南”等內容，反映當前最新的信息和相關技術控制目標。COBIT是一個指導信息化建設、審計、治理的標準或框架。COBIT第三版中包含了COBIT的框架、控制目標、實現目標所應采取的實踐方法、對信息化建設進行審計等一系列內容。ISACA發(fā)布COBIT的目的：

  -- 集中體現全球IT管理專家貢獻的精華

  -- 是進行IT治理和風險管理的有效工具

  -- 是平衡風險和投資關系的有效工具

  -- 是進行IT性能考核的重要參考

  -- 設置行動標桿，指導企業(yè)達到適當的控制水平

  -- 還可用于支持政府和行業(yè)管理部門的信息系統審計活動

COBIT的用途是：

--- 作為IT治理的核心模型

  --- 作為“審計 ”信息系統的標準

  --- 作為指導信息化建設行動

COBIT的主要服務對象是：

--- 管理人員：幫助他們在變幻莫測的IT環(huán)境中平衡風險和控制投資。

--- 信息化的用戶：得到內部或第三方提供服務的安全、IT服務控制的保證。

--- 審計人員：借助COBIT證實他們對IT系統狀況的判斷，為管理層改善內部控制提供建議。

在開發(fā)COBIT的過程中，ISACA博采眾長，大量吸取了世界范圍的、與信息技術管理相關的研究成果，主要包括：

-- 來自ISO、EDIFACT等的技術標準

-- 來自OECD、ISACA等的職業(yè)道德規(guī)范；

-- 來自IT系統和過程的質量標準，如ITSEC、TCSEC、ISO9000、SPICE、TickIT等

-- 來自內部控制和審計的職業(yè)標準：如COSO、IFAC、AICPA、CICA、ISACA、IIA、PCIE、GAO等

-- 來自行業(yè)論壇的行業(yè)管理和規(guī)定及政府發(fā)起的論壇，如ESF、I4、IBAG、NIST、DTI等。

-- 行業(yè)特殊標準：如銀行業(yè)、電子商務和IT制造等。

COBIT的基本概念

COBIT是一個典型的按照西方思維方法取得的研究成果，即分析事實、提煉模型、建立概念、提出行動方法和評價體系。基于IT治理的概念，ISACA對IT建設過程進行提煉，建立了一系列概念和過程及，確定行動目標，提出行動方法和評審標準。這些內容構成了COBIT的框架和支柱，使用者可以根據實際情況做一定的剪裁。COBIT所提出基本概念是：IT治理的模型、IT治理的過程、成熟度級別、控制目標、關鍵目標指示（KGI）、關鍵性能指示（KPI）、重要成功因素（CSF）等。

COBIT認為信息化建設就是借助“IT資源”，通過管理活動（activities），將輸入的“事件”轉換為“信息”。IT治理就是對這個控制、轉換過程進行管理和控制。COBIT將“信息”的特性劃分為：效果、效率、機密性、完整性、適用性、遵從性（即遵守有關的法律法規(guī)、規(guī)章制度）、可靠性等七個屬性，將“IT資源”劃分為：技術、應用、人員、設施、數據。信息及資源的關系見圖1。從圖1我們可以看到，IT資源是將事件轉換為信息的裝置，COBIT將這個裝置形象地描述為一個圓柱體，圓柱體的核心是數據，數據外圍包裹著由“技術”、“（IT）設施”、“人員”組成豎井，豎井外包圍的是“應用（系統）”。

圖1 IT治理模型

COBIT采用關鍵目標指示KGI（Key Goal Indicators）表達一個過程要達到哪些指標，KGI可以與著名的績效考核方法“平衡記分法”中的績效指標相關聯。為了衡量每個過程在“多大程度”上達到了KGI，COBIT設置了 “關鍵性能指示（KPI）”（Key Performance Indicators）。COBIT將IT治理過程劃分為34個過程（下面將談到），為每個過程給出了為了實現KGI必須完成的一系列重要工作 -- “重要成功因素CSF”（Critical Success Factors）。而每個過程達到的關鍵性能指示（KPI）的程度則用六個成熟度級別來表示，它們是：0-混沌（根本不存在）、1-初始級；2-可重復級、3-可定義級、4-可管理級、5-優(yōu)化級。

COBIT將IT治理過程或信息化建設過程劃分為四個域：計劃和組織（Planning and Organization）、獲取和實施（Acquisition & Implementation）、交付和支持（Delivery and Support）、監(jiān)視（Monitoring）。每個過程域下面又劃分為若干過程：

過程域“計劃和組織”包括：PO1-IT戰(zhàn)略規(guī)劃確定、PO2-信息結構確定、PO3-技術方向確定、PO4-IT組織及關系確定、PO5-IT投資管理、PO6-溝通管理的目標和方向、PO7-人力資源管理、PO8-遵守外部要求的保證、PO9-風險評估、PO10-項目管理、PO11-質量管理。

過程域“獲取和實施”包含：AI1-自動解決方案的識別、AI2-應用軟件的獲取和維護、AI3-技術設施的獲取和維護、AI4-開發(fā)和維護程序、AI5-安裝和授權系統、AI6-變更管理。

過程域“交付和支持”包括：DS1-服務水平定義及管理、DS2-第三方服務管理、DS3-性能和容量管理、DS4-不間斷服務保證、DS5-系統安全保證、DS6-成本的識別和分配、DS7-用戶教育和培訓、DS8-對客戶的協助和建議、DS9-配置管理、DS10-問題和意外事件管理、DS11-數據管理、DS12-設施管理、DS13-運行管理。

過程域“監(jiān)視”則包含了：M1-監(jiān)視過程、M2-評估內部控制充分性、M3-獲得獨立保證、M4-提供獨立審計

COBIT家族

COBIT是一組相互關聯的文件構成，被形象地成為“家族”，它的構成見圖2。

在“COBIT框架”描述了COBIT的主要概念，給出了每個過程的高層控制目標。在“框架”之下是三個文件：“管理指南”、“詳細控制目標”和“審計指南”。其中“管理指南”是第三版新增加的內容，目的是為實施COBIT提供方法。在“管理指南”中詳細地敘述了每個過程的成熟度模型—從渾沌狀態(tài)的0級到優(yōu)化的5級、KGI、KPI以及要達到KGI的 “重要成功因素”CSF。同時，還給出了與這個過程密切相關的IT資源，以及信息判據中哪些特征最為重要和比較重要。在文件“詳細控制目標”中，則按照34個過程逐一給出“詳細控制目標”?！靶畔⑾到y審計指南”的構成比較復雜，它包含了“審計道德要求”、“信息系統審計標準”、“信息系統審計指南”、“信息系統審計過程”等子文件。

在“實施工具包”中，給出了一系列實施COBIT的工具，包括：如何引入COBIT、如何在一個組織中實施COBIT、管理意識診斷、IT控制狀況診斷等實施指南，以及COBIT實施案例研究和常見問題的解答等內容，是人們實施COBIT的重要的、權威的參考手冊。

COBIT的特點

前面我們對COBIT的基本概念、組成、結構進行了簡要介紹，下面我們對COBIT的主要特點進行一些簡要的分析。

面向過程

面向過程是COBIT的一個突出特點?？v觀我國信息化行業(yè)的實際情況，無論是政府組織的評審活動，還是各個實施單位的內部考核，對信息化建設的評審多側重于對系統建設最終效果的考核，如生產效率的提高程度、成本降低的情況等。信息化建設的最終目的無疑是提高經營效益、管理水平，但是在信息化建設成果與業(yè)務效益之間并沒有完全對應的關系，換句話說，一個性能良好的信息系統并不能完全保證出色的經營效益，反之，某個單位的經營效益出色，也不能完全歸功于信息系統。同時，我們還應注意到，信息化建設的所包含的內涵比信息系統更廣泛。如果僅僅根據信息系統實施后的經營效益或服務水平判定信息化建設的狀況，就難免產生一定的偏差，也容易引起參加建設各方的爭議。COBIT的意義在于，它為我們提供了一個判斷信息化建設的“程序”是否恰當的方法。借助COBIT我們可以把對信息化建設的考察分為兩個部分，即分別考察“程序”和 “結果”，將一個復雜的考核問題進行分隔和簡化。

面向過程的評價體系還有一個優(yōu)勢是：提供了改善行動的指南。按照面向結果的指標考核體系，能夠方便地判斷建設單位是否達到了標準，卻沒有告訴通過什么途徑才能提高水平達到標準，也沒有告訴建設單位在“多大程度”上達到了標準。面向過程的考核體系，則恰好填補了這個空缺，它提供了達到標準的方法和手段。因此，不僅可以將COBIT作為對信息化過程進行審計的重要參考，還可以將COBIT的34個過程的活動內容，作為提高本單位的信息化建設水平的重要參照。

不斷改進

COBIT參照SEI的CMM的成熟度概念，為每個過程設計成熟度模型。這樣，任何一個組織都可以參照這個成熟度模型，按照34個過程逐一對照，找到本單位的實際情況在模型中的位置，按照成熟度的改進路徑，采取改進措施。設置成熟度的最大益處在于，可以方便地設置前進道路上的改進路標。借助成熟度模型，人們還可以方便地確定行業(yè)內最佳單位、國際上先進水平的狀態(tài)，了解本單位目前的狀態(tài)以及未來要達到的目標與兩者的差別，從而清晰地了解自己與國際先進水平和行業(yè)標桿單位的差距，不斷地采取改進措施改善，最終達到預期目標。

內容全面

從前面的介紹我們知道，COBIT是一個家族，它不但包含了框架、過程控制目標和管理指南、實施COBIT的工具包，還包含了進行IT審計的審計標準。因此，COBIT在結構上是比較完整的、全面的，兼顧了審計人員、管理人員和IT人員的需求。各個文件中的內容具有強烈的相關性，互為參照。為了方便閱讀和使用，框架內容和重要的概念在各文件中反復出現，便于查找。COBIT給出的高層和詳細控制目標、成熟度描述等都是針對IT治理的實際活動，比較實用，既提供審計標準，又提供了工作指南。

同時我們注意到，在COBIT家族中還包含了審計人員應遵守的職業(yè)道德標準。ISACA把對信息系統審計提升到了與財務審計同等重要的程度，體現出信息社會中IT建設應具有重要性及信息系統審計的嚴肅性。

用途廣泛

COBIT具有廣泛的用途。不但可以作為信息化建設過程的考察標準，可以作為IT建設單位日常工作的重要參考，同時還可以作為IT軟件/硬件開發(fā)商、供應商、代理商、咨詢服務商開發(fā)產品、提供服務的重要參考。所有為信息化建設提供服務的有關單位，在進行產品設計開發(fā)、實施服務時，都可以參照COBIT的概念、框架、過程，為客戶提供符合過程標準的產品和服務，努力幫助客戶達到更高的建設成熟度水平，獲得更完美的建設成果。

尚待完善之處

COBIT雖然具有眾多優(yōu)勢，但是在某些方面，還存在著一定的不足，尚需要使用人員在使用過程中，加以改進和完善。

首先，COBIT的控制目標、關鍵性能指示、關鍵指示中的內容不可能完全符合我國的實際情況，有些指標的內容尚需商榷。另外，這些指標是通用的，沒有根據行業(yè)特點或企業(yè)業(yè)務結構、經營規(guī)模進行劃分。如果要將COBIT應用到某個單位，必須經過適當的裁減或調整。

其次，COBIT雖然設置了成熟度標準，但是描述語言是定性的，沒有明確的判斷成熟度的指標，這樣當實際運用時，尤其在進行評審時，難免因審計人員的個人素質造成審查結果的偏差。

最后，ISACA推出COBIT的同時，還應提供更多的設計說明思想的說明，使讀者更全面、更充分地理解作者的設計意圖，對針對實際情況的具體應用方法、特別是裁減方法、允許的裁減程度提供更詳細的指導意見，或采用更詳細的案例討論為打算采用COBIT的用戶提供指導。

總之，COBIT是一個非常值得借鑒的信息系統評審和信息化建設指導框架，是考察信息化建設過程一個重要的參照體系。我們希望通過對COBIT的研究和應用，為提高IT治理水平、提高IT投資效益，推進信息化建設做出一些切實的工作。