COBIT——衡量IT 治理之尺（AMT研究院 宋亮）

申請免費試用、咨詢電話：400-8352-114

IT治理是信息系統(tǒng)審計和控制領域中的一個相當新的理念，IBM最早將此理念引入我國。IT治理是IT、經(jīng)濟學及管理學界中一個新的概念，用于描述企業(yè)或政府是否采用有效的機制，使得IT的應用能夠完成組織賦予它的使命，同時平衡信息化過程中的風險，確保實現(xiàn)組織的戰(zhàn)略目標。其主要使命是：保持IT與業(yè)務目標一致，推動業(yè)務發(fā)展，促使收益最大化，合理利用IT資源，適當管理與IT相關的風險。

盡管國內對IT治理的研究、交流和應用相對還很薄弱，但是，一些行業(yè)和政府部門對此已經(jīng)給予了高度的重視。比如金融行業(yè)、電信領域的信息安全問題，航空航天領域、國家安全領域的信息安全與控制問題，電子商務和電子政務領域信息化服務的規(guī)范標準問題等。隨著信息化程度的日益提高，IT治理勢必成為促進信息化建設向有序化方向發(fā)展的必經(jīng)之道。

在IT治理中，確保IT投資的有效性和高效性是我們關注的核心焦點；IT投資是否能夠滿足業(yè)務需求是投資收益的關鍵。善治的IT治理架構是確保IT資源與公司戰(zhàn)略目標保持一致的基礎，同樣也能確保IT服務滿足組織對優(yōu)質、可信和安全的信息需要。采用標準的IT治理（IT Governance）架構可以給企業(yè)帶來諸多收益。如美國堪薩斯州把COBIT標準作為虛擬政府策略的一部分，結果降低了運營成本，并為它的客戶和委托人提供了很高質量的服務。

從經(jīng)濟學意義上來說，客戶愿意為任何滿足自己需求的產(chǎn)品和服務付費，這個無須懷疑。需要懷疑的倒應該是這個問題：廠商以“自己的標準”為用戶提供的所謂“服務”，能否讓用戶認為“物有所值”？

是否“物有所值”，買家和賣家各自的感受會有差異，因此一個標準作為度量的尺度就成了人們關注的焦點。

為了建立這個公正的尺度，美國信息系統(tǒng)審計與控制協(xié)會(ISACA)從1967年成立伊始，就開始研究這個問題，提出了“信息系統(tǒng)和技術控制目標”(COBIT)。COBIT，直譯為信息及相關技術的控制目標，是IT治理的一個開放性標準，目前已成為國際上公認的最先進、最權威的安全與信息技術管理和控制的標準。該標準為IT的治理、安全與控制提供了一個一般適用的公認的標準，以輔助管理層進行IT治理。該標準體系已在世界一百多個國家的重要組織與企業(yè)中運用，指導這些組織有效利用信息資源，有效地管理與信息相關的風險。

COBIT（Control Objectives For Information and Related Technology），譯為“信息及相關技術的控制目標”，是IT治理的一個開放性標準。由美國IT治理研究院開發(fā)與推廣，目前已成為國際上公認的最先進、最權威的信息技術管理和控制的標準。該標準為IT的治理、安全與控制提供了一個一般適用的公認標準，以輔助公司決策層進行IT治理。該標準體系已在世界100多個國家的重要組織與企業(yè)中運用，指導這些組織有效利用信息資源，有效地管理與信息相關的風險。該標準現(xiàn)在是第三修訂版，由Information Systems Audit and Control Association (ISACA)出版，最早在1996年發(fā)布。COBIT架構由34個高層控制目標和318個細節(jié)控制目標組成，通過定義這些目標，可以幫助維護企業(yè)業(yè)務對IT的有效控制。該標準比較完善，所有的COBIT文檔集合可以在線獲得，包括executive summary、架構、控制目標、審計指引、管理指引和實現(xiàn)指引。

現(xiàn)在，ISACA正在實現(xiàn)COBIT的特殊版本，稱為“QuickStart”，為中小型企業(yè)準備。其中將包括COBIT的子集，并且特別關注對于那些缺少實現(xiàn)完全標準所需資源的那些組織的需求，提供這些組織所需的必備元素。

圖一是COBIT模型，作為IT治理的核心模型，COBIT包含34個信息技術過程控制，并歸集為四個控制域：IT規(guī)劃和組織（Planning and Organization）、系統(tǒng)獲得和實施（Acquisition and Implementation）、交付與支持（Delivery and Support）以及信息系統(tǒng)運行性能監(jiān)控（Monitoring）。
　

圖一

COBIT模型是企業(yè)戰(zhàn)略目標和信息技術戰(zhàn)略目標的橋梁，使得信息技術目標和企業(yè)戰(zhàn)略目標之間實現(xiàn)互動。

該框架的意義在于：COBIT實現(xiàn)了企業(yè)目標與IT治理目標之間的橋梁作用。

首先，COBIT考慮了企業(yè)自身的戰(zhàn)略規(guī)劃，對業(yè)務環(huán)境和企業(yè)總的業(yè)務戰(zhàn)略進行分析定位，并將戰(zhàn)略規(guī)劃所產(chǎn)生的目標、政策、行動計劃作為信息技術的關鍵環(huán)境，并由此確定IT準則。

IT為企業(yè)戰(zhàn)略提供了基于技術的解決方案，為滿足業(yè)務戰(zhàn)略需求提供了技術與工具。在IT準則的指導下，利用控制目標模型，分別從規(guī)劃與組織、獲取與實施、交付與支持、監(jiān)控等過程進行控制、管理信息資源。在IT管理的同時，引入審計指南，從而保證IT資源管理的安全性、可靠性和有效性。

COBIT實現(xiàn)可跟蹤的業(yè)績衡量，通過平衡記分卡可以在財務（企業(yè)資源管理）、客戶（客戶關系管理）、過程（內部網(wǎng)，工作流工具）、學習（知識管理）等方面維持平衡，評價企業(yè)目標的實現(xiàn)情況以及IT績效，并調整業(yè)務目標和IT戰(zhàn)略，進行持續(xù)的IT管理。

COBIT采用成熟度模型，可以定位自己企業(yè)的IT管理目前在業(yè)界所處的位置，以及未來努力的方向，通俗地說就是給IT管理“打分”。

COBIT還提供了目前最佳案例和關鍵成功因素（CSF），供企業(yè)和組織借鑒。

從內容上看，COBIT覆蓋了從分析＆設計到開發(fā)＆實施到運營、維護的整個過程。對于分析＆設計，重點目標是IT與業(yè)務的需求，根據(jù)業(yè)務目標細化IT戰(zhàn)略，確定待開放的IT系統(tǒng)，進行相應的系統(tǒng)分析和設計。在分析與設計這樣一個流程范圍中，比我們傳統(tǒng)所說的信息系統(tǒng)的分析與設計要寬廣得多，它強調的是IT的戰(zhàn)略要符合業(yè)務的戰(zhàn)略，任何信息系統(tǒng)的開發(fā)都應該與業(yè)務戰(zhàn)略保持精確的校準。從業(yè)務戰(zhàn)略的高度來分析和設計信息系統(tǒng)。提供這個階段主要是考察組織的需求，同時根據(jù)這些需求設計合理的資源組合，設立合理的服務級別、目標，提供滿足客戶需求的IT服務。這個階段對IT應用已上升到IT服務管理的階段。主要解決下面的問題，為滿足客戶的需要提供哪些資源，這些資源之間的成本是多少，如何在服務成本和服務的效益間達到一個恰當?shù)钠胶恻c。在支持這個層面，主要是如何滿足客戶提出的IT需求，以支持服務的需求。COBIT上層是對IT運行進行外部控制和內部審計，以確保IT與業(yè)務實現(xiàn)精確校準，同時實現(xiàn)對IT應用持續(xù)不斷的應用和改進。COBIT覆蓋整個信息系統(tǒng)的全部生命周期，其視野是最為開闊的。

目前，IT治理及其模型COBIT在全世界許多國家的政府及公共機構、軍方、企業(yè)、大學、銀行、保險業(yè)等都已有大量成功的案例，Proctor & Gamble，安大略政府，堪薩斯州和戴爾公司以及其他的一些組織已經(jīng)通過采用IT管理看到了可觀的成效。但是由于某些客觀原因，迄今為止，還缺乏在中國相關組織實行的案例，據(jù)賽迪顧問分析，目前我國IT治理普遍缺失，主要表現(xiàn)為九大癥狀：各自為政，缺乏統(tǒng)一、全局的IT戰(zhàn)略規(guī)劃；信息化建設領導者錯位；決策的技術經(jīng)濟論證不足；信息資源未能合理應用；利益沖突和信息的不透明；IT安全治理和風險管理缺位；非技術性的障礙； 重硬件購買，輕專業(yè)軟件的開發(fā)和咨詢服務；信息化建設找不到重心。因此，我們必須在這一方面進行深入的研究，迎頭趕上。

參考文獻：
【1】 整合COBIT、ITIL、ISO/IEC17799和PRINCE2 構建善治的IT治理機制
http://www.ccidtraining.com/hy031027-1.htm
【2】 開展IT治理 ，孫強 劉獻軍
http://www.e-works.net.cn/ewkArticles/Category117/Article15290.htm
【3】 IT治理：信息化的重要環(huán)節(jié)
http://www.ccidtraining.com/hy031111-2.htm
【4】 整合COBIT、ITIL、ISO/IEC17799和PRINCE2
http://www.ccidtraining.com/hy031027-1.htm