IT治理的利器之一：COBIT(下)

盡管COBIT非常復(fù)雜，但是它也不是憑空想象出來的，COBIT基于已有的許多架構(gòu),如SEI的能力成熟度模型(CMM)對軟件企業(yè)成熟度5級的劃分，以及ISO9000等標(biāo)準(zhǔn)，而ITIL是基于企業(yè)的最佳實務(wù)(Best Practice)，OGC收集和分析各種組織解決服務(wù)管理問題方面的信息，找出那些對本部門和對英國政府其它部門有益的做法，最后形成了ITIL。它列出了各個服務(wù)管理流程“最佳”的目標(biāo)、活動、輸入和輸出以及各個流程之間的關(guān)系，但沒定義范圍廣泛的控制架構(gòu)。另外，與ITIL關(guān)注方法和實施過程COBIT在總結(jié)這些標(biāo)準(zhǔn)的基礎(chǔ)上重點關(guān)注企業(yè)需要什么，而不是企業(yè)需要如何做，它不包括具體的實施指南和實施步驟，它是一個控制架構(gòu)(Control Framework)而非具體如何做的過程架構(gòu)(Process Framework)。

　　盡管兩個標(biāo)準(zhǔn)有著許多的不同之處，但在COBIT和ITIL背后卻有著非常一致的指導(dǎo)原則。信息系統(tǒng)審計師通常綜合使用COBIT和ITIL的自評估方法，去評估企業(yè)IT服務(wù)管理環(huán)境。COBIT為每一個過程提供了關(guān)鍵目標(biāo)指標(biāo)(KGIs)、關(guān)鍵績效指標(biāo)(KPIs)、關(guān)鍵成功要素(CSFs)，這些指標(biāo)與ITIL過程相結(jié)合，可以建立ITIL過程管理的基準(zhǔn)。在實際應(yīng)用中，某些企業(yè)綜合兩個標(biāo)準(zhǔn)提出了更易理解的適用于本企業(yè)環(huán)境的IT治理和運行架構(gòu)。

　　而且，與ITIL一樣，作為IT治理中最重要的標(biāo)準(zhǔn)，COBIT也集中反映了IT控制的目標(biāo)和思想。COBIT中關(guān)于控制的含義是：“控制是一系列策略、程序、實踐和組織結(jié)構(gòu)的設(shè)計，以便對業(yè)務(wù)目標(biāo)提供有效的確證(Assurance)，對意外事件進(jìn)行防護(hù)、監(jiān)控和糾正。”而IT控制目標(biāo)的定義是：通過在特定的IT活動中實施控制程序，以便獲得期望的結(jié)果和目標(biāo)所給出的陳述。

　　目前，COBIT已經(jīng)在100多個國家的超過10000家企業(yè)獲得應(yīng)用，全球有160余個機(jī)構(gòu)在推廣COBIT的知識體系和方法論。有識之士指出，COBIT從體系化、標(biāo)準(zhǔn)化的高度，構(gòu)建關(guān)于信息系統(tǒng)投資、建設(shè)、評估、風(fēng)險控制的知識框架，超越了傳統(tǒng)的產(chǎn)品與服務(wù)的概念，是IT行業(yè)乃至信息化事業(yè)的新的發(fā)展思路。

　　信息系統(tǒng)的質(zhì)量問題是一個由來已久的問題。這個問題困擾美國人30多年，也困擾中國的客戶多年了。COBIT簡單的說是一套標(biāo)準(zhǔn)，它基于以前的一些成熟的標(biāo)準(zhǔn)，可以客觀的衡量信息系統(tǒng)的質(zhì)量，但是不可否認(rèn)的是它是美國人開發(fā)的標(biāo)準(zhǔn)，而且某些方面并不適合中國的國情和現(xiàn)狀，所以COBIT并不是信息系統(tǒng)建設(shè)的救世主，它只是我們信息化建設(shè)的“鋪路石”。

　　和ITIL、ISO/IEC17799和PRINCE2一樣，COBIT是IT治理領(lǐng)域全球公認(rèn)的輔助工具。采納何種標(biāo)準(zhǔn)的關(guān)鍵在于：發(fā)掘你的真正需求，對標(biāo)準(zhǔn)進(jìn)行剪裁制定最適合的實施方案，然后持續(xù)改善。這將給組織帶來諸多益處，這其中就包括當(dāng)前業(yè)界普遍關(guān)心的提高IT投資回報率難題。（完）