COBIT 4.0:解读与启示

2014-11-08 22:18:07 大云网　点击量：评论 (0)

COBIT (ControlObjectives for Information and Related Technology, 信息及相关技术控制目标) 是目前国际上普遍采用的IT治理框架标准, 它提供了一套权威的、全球通用的公认准则, 旨在规范并提高IT治理

COBIT (ControlObjectives for Information and Related Technology, 信息及相关技术控制目标) 是目前国际上普遍采用的IT治理框架标准, 它提供了一套权威的、全球通用的公认准则, 旨在规范并提高IT治理水平、有效防范控制风险以及增加信息技术价值等。1996年4月, 国际信息系统审计与控制协会( Information Systems Audit and Control Association,ISACA) 首次面向全球公开发布了第一版COBIT框架, 继2000年推出COBIT 3 rd之后, 2005年12月16日, IT治理学会( Information Governance Institute, ITGI) 正式推出COBIT最新更新版本COBIT 4.0。麻省理工学院信息研究中心主任皮特·威尔博士对来自23个国家的250家企业进行了系统研究, 他指出: “面对同样的战略目标, IT治理水平较高的企业, 其获利能力比治理水平较低的企业高出20%。”这足以见得IT治理在当今信息化充斥的商业环境中所发挥的重要作用。因此, 加深了解并逐步引入COBIT标准, 这对我国在IT治理、信息系统控制与审计等相关领域的发展有着重要指导意义。

　　1　从优秀到卓越
　　1.1　COBIT 4.0产生的背景
　　COBIT框架标准自推出便将目光着眼于IT治理在商业环境中的有效实施。在过去的几年中, IT治理学会始终致力于COBIT标准体系的研发与实施工作, 并通过其下属的COBIT程序委员会组织进行了一系列有关控制目标、管理指南等方面的研究项目。促使COBIT不断更新发展的一个关键推动力来自于商业环境的变化。近几年来, 伴随着IT行业的飞速发展, 信息技术也更加深入而广泛的融入到商业环境中的各个层次和领域当中, 从而使得商业运作方式也随之发生巨大变化。
　　(1) 完善公司治理结构和机制的需要。作为公司治理的一个核心组成部分, IT治理越来越多地吸引着来自社会各方面的关注, 其中, 公司治理层(董事会) 更加关心公司IT治理问题, 管理层需要积极有效的实施IT管理战略。因此, IT治理标准就应更充分的着眼于商业领域现状及其运行机制,从而实现IT治理控制目标与商业需求的战略统一。
　　(2) 满足信息技术进步与发展的需要。信息技术的广泛应用, 使得IT治理标准所面对的受众群体日趋多样化, 其中不仅包括IT专业人士、信息安全专家等, 更包含了来自其它不同专业领域的人员, 比如审计师、行业监管人员、企业高层管理者等等。这就要求IT治理标准既要以确保IT运作绩效为目标, 同时更应当能够满足来自不同行业人员的多方面多层次需要。
　　(3) 适应IT管理实践的需要。由于信息技术最优实践标准的成熟度日趋提高, 诸如ITIL、ISO17799等专业标准指南也有着越来越广泛的应用市场。这就需要将COBIT标准打造成一种“集大成”的IT治理框架标准, 成为企业首选的具有高度可靠性和可操作性的IT治理控制指南。
　　1.2　COBIT 4.0总体框架
　　COBIT 4.0主要由四部分构成, 即管理人员概览、COBIT框架、核心内容以及附录部分。其中的核心内容又将34个IT流程进一步分为四个部分: 计划和组织( Plan and Organize) 、取得和实施(Acquire and Implement) 、交付和支持Deliver and Support) 以及监督和评价(Monitor and Evaluate) 。COBIT4.0总体框架如图1所示:

COBIT框架

　　从总体框架来看, COBIT4.0所体现的一个基本原则就是通过34个IT流程的执行运作,对IT资源进行管理、控制与利用,从而达到使IT治理的实施最终满足商业需求这一目标。
　　COBIT4.0控制框架将这34个IT流程与商业需求联系起来,形成了一个得到广泛认可的IT流程模型,对于IT流程的描述主要又分为四个方面,即:高层控制目标;具体控制目标;管理指南;成熟模型,此外还包含四种主要的IT资源以及相关管理控制目标的认定。从具体内容上看, COBIT 4.0将IT治理目标的控制和监管与商业需求紧密结合,为IT治理的实施提供了很好的框架支持,一方面保证企业的IT资源得到充分且有效的利用,另一方面也有助于合理防控IT风险,从而使信息技术更好的服务于商业行为及企业价值最大化的目标。
　　1.3　从COBIT 3 到COBIT 4.0
　　COBIT 4.0的研发工作历时约五年,然而, COBIT 4.0的推出并不意味着完全取代原有的COBIT 3 rd,而是在前一版基础上提高和强化。除了对原有的34个IT流程进行调整部分修改和调整之外,更重要的变化体现在其所关注的核心领域上。
　　(1) 在IT治理方面, 增加了新的控制目标、完善了测度指标体系。COBIT 4.0着眼于公司治理与IT治理及相关领域的整合与衔接, 更进一步规范和改善了IT治理的实施与评价过程。尽管COBIT 3 rd标准已经涵盖了其中的绝大多数内容,但研究标明, 由于运作环境、技术因素等方面的变化, COBIT 3 rd与具体实践之间仍存在着一定差距。为此, 更新版的COBIT 4.0对原有的IT流程进行相应调整, 将每一个IT流程对应于相关的IT治理核心领域, 并增加了新的控制目标, 以弥补第三版的缺陷。同时, 又对KPIs/KGIs指标进行具体的因果关系分析等, 为我们提供了一个更为清晰而完善的测度指标体系。
　　(2) 在商业运作方面, 揭示了商业目标、IT目标以及具体IT流程之间的对应关系。一直以来, COBIT的基本原则就是以商业需求为目标, 而当前人们最为关注的则是“如何在不同的行业领域实现信息技术对商业目标的支持”, 比利时的安特卫普大学针对这一课题进行了大量研究, 在COBIT4.0中提供给我们一个普遍适用的“商业目标/IT目标对照表”, 揭示了商业目标、IT目标以及具体IT流程之间的一般性对应关系, 从而帮助管理层结合本企业具体环境实施有效的治理活动。
　　(3) 在适用性方面, 更加关注与其他IT标准的兼容性。相比之下, COBIT 4.0 更加关注自身与其他IT标准的兼容性, 帮助使用者整合COBIT与ITIL、ISO17799、PMBOK以及PR INCE2等标准, 并尽可能做到所使用术语和原则与其他标准的协调一致。此外, 由于审计一直都是COBIT所关注的重要领域, 因此它也十分强调对风险的管理和控制, 在这方面,COBIT 4.0更充分的体现了风险与价值间的平衡关系, 并且吸纳了近年来相关领域对IT价值管理研究的最新成果。
　　2　COBIT 4.0对IT治理的实践指导
　　COBIT4.0 “管理人员概览”部分中指出: IT治理是由企业管理人员与执行董事会负责实施的, 这一领域涵盖了领导层、企业组织结构及一系列相关工作流程, 旨在确保企业的信息技术( IT) 能够支持并拓展企业的战略目标。COBIT作为IT治理的一个重要的技术支持模型, 它涵盖了IT运作中的所有基本流程, 指导着从IT目标确立到IT流程运作、从管理控制活动到结果评价与绩效考核的整个IT治理实践过程, 如图2所示, 它为信息技术及商业管理者提供了一个普遍适用的参考标准。

COBIT下的IT治理

　　2.1　COBIT 4.0在IT治理实践中的“纽带”作用
　　COBIT4.0标准主要着眼于商业目标与IT目标、IT流程的整合与衔接, 很好实现了公司治理与IT治理及其相关领域的有机结合。COBIT4.0构建了如图3所示的关系链, 以完善其目标体系和控制结构。这一关系链中的关键环节在于“ IT目标、商业目标”以及“IT治理、公司治理”, 更准确的讲,IT治理应当被视为整个公司治理框架体系下的一个核心子系统。COBIT4.0揭示了公司治理与IT治理之间的关系, 并从技术层面上为IT治理的实施提供保证, 实现二者的战略一致性。一方面IT治理的实施最初来源于企业总体战略目标的确立, 它体现着“以组织战略目标为中心”的思想, 侧重于企业信息资源的规划和管理, 通过合理配置、充分利用IT资源为企业创造价值, 因而它在公司治理中的中心位置不容忽视。另一方面, 公司治理驱动和调整IT治理的实施, 将其作为企业总体战略部署的一个关键环节, 并借助相关标准来检验IT治理的目标和执行效果, 这也充分体现了“信息技术影响着企业的战略竞争机遇”。因此, 很好实现了公司治理与IT治理及其相关领域的有机结合, COBIT4.0标准主要着眼于商业目标与IT目标、IT流程的整合与衔接。

COBIT的关系链

　　2.2　实施IT治理的关键目标及相关流程
　　如前所述, 在IT治理方面, COBIT4.0揭示了“商业目标e IT目标e IT资源e IT流程e IT治理核心领域”这样一条重要的关系链, 为管理层提供了从公司治理到IT治理, 从商业目标到IT目标的技术指导, 以达成二者的战略统一。当然,从商业目标到IT目标、IT流程的联系是复杂而多样的, COBIT4.0将商业目标分为财务方向、客户层面、内部控制以及企业的学习与成长这四个部分, 共20 项, 另有28 个IT目标, 通过“商业目标e IT目标e信息标准”的对应, 以及“IT目标e IT流程e信息标准”的对应, 并借助COBIT三维模型将IT流程、IT资源和商业需求(信息要求) 联系起来,同时, 每一IT流程有对应于相关的IT治理核心领域。这样一个交错而有序的网络模型将IT治理各相关要素相互关联成为有机整体, 确保了实施IT治理各环节的目的性、合理性、可行性及有效性。需要说明的是, COBIT4.0中所提供的34个IT流程是不可能也不需要在同一个企业中同时实施的, 管理层应当结合具体目标和特定的实践环境, 将它们分解为小的管理单元进行运作。
　　2.3　IT治理实践活动的绩效考核
　　如果说目标的设定是实施IT治理的一个关键环节, 那么需要采取什么样的标准和途径来评价目标完成情况, 其重要性亦不亚于目标本身。在这里, 我们需要关注COBIT4.0 中的两类重要测度指标, 即关键目标指标(KGIs) 和关键绩效指标(KP Is) 。关键目标指标用来测度商业目标、IT目标、IT流程以及活动目标, 它属于基础性或称为“滞后性”指标, 测定某个环节所必需达到的标准, 根据所测度的范围具体又分为四个层次, 即关键商业目标指标、关键IT目标指标、关键IT流程指标以及关键活动目标指标。与之相对的关键绩效指标则是一种“先导性”指标, 用来测度某个环节的执行效果如何。这就表明关键绩效指标与关键目标指标二者在某一特定层面上存在着重要的因果关联性。
　　3　两点启示
　　综合上述分析与研究, 我们可以得出以下两点启示:
　　3.1　COBIT 4.0对建立我国IT治理相关标准具有学习和借鉴作用
　　目前, 我国IT治理的发展相对滞后, 尚未建立起一套相对完整的符合我国实际的IT治理框架标准。通过对COBIT4.0模型的研究, 一方面, 在启步阶段, 我们应当充分研究和吸收国外先进成果, 并结合我国相关领域发展现状, 合理引入国际上相对成熟的IT治理标准, 以加快我国信息化进程的步伐。另一方面, 从长远发展的角度看, 要想在该领域取得实质性发展和提高, 当然还需要建立起一套适合我们自身需要的标准体系。在这方面, COBIT 4.0为我们提供了一个很好的蓝本, 它所揭示出的各种关联关系为我们在该领域研究提供参考的同时, 也为我国IT治理相关标准的建立提出了一个有效而可行的思路。需要明确的是, “借鉴”不等于“效仿”, COBIT的成功经验值得我们学习, 但在一些具体的应用领域, 国内外还是存在相当差异的, 比如我国的公司组织结构明显区别于美国, 因此我国的公司治理也必然有其特殊性, 而具体到IT治理领域, 这就要求我们的IT治理标准能够真正服务于我国的商业运作与IT治理实践活动。　　　

3.2　COBIT4.0对建立我国信息系统控制与审计准则具有参考价值
　　构建基于COBIT的信息系统控制与审计模型, 将有助于我们对信息系统建设、运行、评价及维护过程的分析研究,指导我们建立起相应的机制, 将信息系统项目运作的全部过程置于有效的管理与控制之下。同时帮助信息系统审计师进一步明确其审计目标和审计轨迹, 使其鉴证工作及报告结果等更具有针对性和说服力。自1997年以来, 国际信息系统审计与控制协会( ISACA) 以COBIT为依据, 逐步建立起一套相对完善的信息系统审计准则体系。该准则体系由基本准则、审计准则和作业程序这三个层次构成, 截至2007年2月已制定并发布执行的有14项基本准则、36项审计指南和11个工作程序, 另有若干个征求意见稿。从1996年首次发布的COBIT框架到现在的COBIT4.0, 以及整个ISACA信息系统审计准则体系的构建和不断完善, 这样一个发展思路和轨迹是十分值得我国学习和借鉴的。建立起一套符合我国实际的IT标准, 并在此基础上结合信息系统控制与审计工作的实务, 构建我国的信息系统审计准则框架并在实践中不断完善, 这将是一个不断学习、借鉴、探索并提高的过程。
　　最后, IT治理学会( ITGI) 已于2007年4月末推出COBIT4.1版本及与之相关的一系列新版和修订版COBIT出版物, 进一步完善了COBIT 4 系列标准体系。COBIT4.1 是在COBIT4.0框架下进行的提高式的更新, 例如, 充实了“管理者概览”, 对绩效测评作出更具体诠释等, 并未进行任何实质性的更改。COBIT系列标准还有待于我们进一步深入研究和探讨, 并期待建立起一套适合我国IT治理及相关领域发展的标准体系。　　