2004-02-05 10:05
IT治理的重要参考标准-COBIT
AMT 张向群
经过几十年的发展,西方发达国家总结了信息化建设的经验,将
“企业治理”的概念引入到信息化领域,提出了“IT治理”的概念,对信息化建设的管理提升到了一个新的高度。信息化建设过程实质上就是一个对IT进行治理的过程,在这个背景下,ISACA提出了COBIT。
COBIT是什么?
COBIT是Controlled Objectives
for Information and Related Technology的缩写,即信息及相关技术的控制目标。COBIT是 ISACA(信息系统审计和控制联合会)制订的面向过程的信息系统审计和评价的标准。对信息化建设成果的评价,按照系统属性可以划分为若干方面,如:对最终成果评价、对建设过程评价、对系统架构评价等。COBIT是一个基于IT治理概念的、面向IT建设过程的IT治理实现指南和审计标准。
ISACA成立于1969年,是国际上最富盛名的信息控制理论研究及研究资料的出版机构,是一个专门从事IT治理相关技术研究、教育的国际组织。它在全球拥有100多个会员国,主要任务定位于协调世界范围内建立IT控制惯例,并与其他国际组织如财务、会计、审计及IT专业建立了战略联盟,使自己在IT治理方面达到世界最高水平。
ISACA于1996年发表了COBIT的第一版,1998年修订后发表第二版。最新的版本是2001年发布的第三版。在第三版中,ISACA对第二版的内容进行了修订,增加了“管理指南”等内容,反映当前最新的信息和相关技术控制目标。COBIT是一个指导信息化建设、审计、治理的标准或框架。COBIT第三版中包含了COBIT的框架、控制目标、实现目标所应采取的实践方法、对信息化建设进行审计等一系列内容。ISACA发布COBIT的目的:
-- 集中体现全球IT管理专家贡献的精华
-- 是进行IT治理和风险管理的有效工具
-- 是平衡风险和投资关系的有效工具
-- 是进行IT性能考核的重要参考
-- 设置行动标杆,指导企业达到适当的控制水平
-- 还可用于支持政府和行业管理部门的信息系统审计活动
COBIT的用途是:
--- 作为IT治理的核心模型
--- 作为“审计 ”信息系统的标准
--- 作为指导信息化建设行动
COBIT的主要服务对象是:
--- 管理人员:帮助他们在变幻莫测的IT环境中平衡风险和控制投资。
--- 信息化的用户:得到内部或第三方提供服务的安全、IT服务控制的保证。
--- 审计人员:借助COBIT证实他们对IT系统状况的判断,为管理层改善内部控制提供建议。
在开发COBIT的过程中,ISACA博采众长,大量吸取了世界范围的、与信息技术管理相关的研究成果,主要包括:
-- 来自ISO、EDIFACT等的技术标准
-- 来自OECD、ISACA等的职业道德规范;
-- 来自IT系统和过程的质量标准,如ITSEC、TCSEC、ISO9000、SPICE、TickIT等
-- 来自内部控制和审计的职业标准:如COSO、IFAC、AICPA、CICA、ISACA、IIA、PCIE、GAO等
-- 来自行业论坛的行业管理和规定及政府发起的论坛,如ESF、I4、IBAG、NIST、DTI等。
-- 行业特殊标准:如银行业、电子商务和IT制造等。
COBIT的基本概念
COBIT是一个典型的按照西方思维方法取得的研究成果,即分析事实、提炼模型、建立概念、提出行动方法和评价体系。基于IT治理的概念,ISACA对IT建设过程进行提炼,建立了一系列概念和过程及,确定行动目标,提出行动方法和评审标准。这些内容构成了COBIT的框架和支柱,使用者可以根据实际情况做一定的剪裁。COBIT所提出基本概念是:IT治理的模型、IT治理的过程、成熟度级别、控制目标、关键目标指示(KGI)、关键性能指示(KPI)、重要成功因素(CSF)等。
COBIT认为信息化建设就是借助“IT资源”,通过管理活动(activities),将输入的“事件”转换为“信息”。IT治理就是对这个控制、转换过程进行管理和控制。COBIT将“信息”的特性划分为:效果、效率、机密性、完整性、适用性、遵从性(即遵守有关的法律法规、规章制度)、可靠性等七个属性,将“IT资源”划分为:技术、应用、人员、设施、数据。信息及资源的关系见图1。从图1我们可以看到,IT资源是将事件转换为信息的装置,COBIT将这个装置形象地描述为一个圆柱体,圆柱体的核心是数据,数据外围包裹着由“技术”、“(IT)设施”、“人员”组成竖井,竖井外包围的是“应用(系统)”。
图1 IT治理模型
COBIT采用关键目标指示KGI(Key Goal
Indicators)表达一个过程要达到哪些指标,KGI可以与著名的绩效考核方法“平衡记分法”中的绩效指标相关联。为了衡量每个过程在“多大程度”上达到了KGI,COBIT设置了 “关键性能指示(KPI)”(Key Performance
Indicators)。COBIT将IT治理过程划分为34个过程(下面将谈到),为每个过程给出了为了实现KGI必须完成的一系列重要工作 -- “重要成功因素CSF”(Critical Success
Factors)。而每个过程达到的关键性能指示(KPI)的程度则用六个成熟度级别来表示,它们是:0-混沌(根本不存在)、1-初始级;2-可重复级、3-可定义级、4-可管理级、5-优化级。
COBIT将IT治理过程或信息化建设过程划分为四个域:计划和组织(Planning and
Organization)、获取和实施(Acquisition &
Implementation)、交付和支持(Delivery and
Support)、监视(Monitoring)。每个过程域下面又划分为若干过程:
过程域“计划和组织”包括:PO1-IT战略规划确定、PO2-信息结构确定、PO3-技术方向确定、PO4-IT组织及关系确定、PO5-IT投资管理、PO6-沟通管理的目标和方向、PO7-人力资源管理、PO8-遵守外部要求的保证、PO9-风险评估、PO10-项目管理、PO11-质量管理。
过程域“获取和实施”包含:AI1-自动解决方案的识别、AI2-应用软件的获取和维护、AI3-技术设施的获取和维护、AI4-开发和维护程序、AI5-安装和授权系统、AI6-变更管理。
过程域“交付和支持”包括:DS1-服务水平定义及管理、DS2-第三方服务管理、DS3-性能和容量管理、DS4-不间断服务保证、DS5-系统安全保证、DS6-成本的识别和分配、DS7-用户教育和培训、DS8-对客户的协助和建议、DS9-配置管理、DS10-问题和意外事件管理、DS11-数据管理、DS12-设施管理、DS13-运行管理。
过程域“监视”则包含了:M1-监视过程、M2-评估内部控制充分性、M3-获得独立保证、M4-提供独立审计
COBIT家族
COBIT是一组相互关联的文件构成,被形象地成为“家族”,它的构成见图2。
在“COBIT框架”描述了COBIT的主要概念,给出了每个过程的高层控制目标。在“框架”之下是三个文件:“管理指南”、“详细控制目标”和“审计指南”。其中“管理指南”是第三版新增加的内容,目的是为实施COBIT提供方法。在“管理指南”中详细地叙述了每个过程的成熟度模型—从浑沌状态的0级到优化的5级、KGI、KPI以及要达到KGI的 “重要成功因素”CSF。同时,还给出了与这个过程密切相关的IT资源,以及信息判据中哪些特征最为重要和比较重要。在文件“详细控制目标”中,则按照34个过程逐一给出“详细控制目标”。“信息系统审计指南”的构成比较复杂,它包含了“审计道德要求”、“信息系统审计标准”、“信息系统审计指南”、“信息系统审计过程”等子文件。
在“实施工具包”中,给出了一系列实施COBIT的工具,包括:如何引入COBIT、如何在一个组织中实施COBIT、管理意识诊断、IT控制状况诊断等实施指南,以及COBIT实施案例研究和常见问题的解答等内容,是人们实施COBIT的重要的、权威的参考手册。
COBIT的特点
前面我们对COBIT的基本概念、组成、结构进行了简要介绍,下面我们对COBIT的主要特点进行一些简要的分析。
面向过程
面向过程是COBIT的一个突出特点。纵观我国信息化行业的实际情况,无论是政府组织的评审活动,还是各个实施单位的内部考核,对信息化建设的评审多侧重于对系统建设最终效果的考核,如生产效率的提高程度、成本降低的情况等。信息化建设的最终目的无疑是提高经营效益、管理水平,但是在信息化建设成果与业务效益之间并没有完全对应的关系,换句话说,一个性能良好的信息系统并不能完全保证出色的经营效益,反之,某个单位的经营效益出色,也不能完全归功于信息系统。同时,我们还应注意到,信息化建设的所包含的内涵比信息系统更广泛。如果仅仅根据信息系统实施后的经营效益或服务水平判定信息化建设的状况,就难免产生一定的偏差,也容易引起参加建设各方的争议。COBIT的意义在于,它为我们提供了一个判断信息化建设的“程序”是否恰当的方法。借助COBIT我们可以把对信息化建设的考察分为两个部分,即分别考察“程序”和
“结果”,将一个复杂的考核问题进行分隔和简化。
面向过程的评价体系还有一个优势是:提供了改善行动的指南。按照面向结果的指标考核体系,能够方便地判断建设单位是否达到了标准,却没有告诉通过什么途径才能提高水平达到标准,也没有告诉建设单位在“多大程度”上达到了标准。面向过程的考核体系,则恰好填补了这个空缺,它提供了达到标准的方法和手段。因此,不仅可以将COBIT作为对信息化过程进行审计的重要参考,还可以将COBIT的34个过程的活动内容,作为提高本单位的信息化建设水平的重要参照。
不断改进
COBIT参照SEI的CMM的成熟度概念,为每个过程设计成熟度模型。这样,任何一个组织都可以参照这个成熟度模型,按照34个过程逐一对照,找到本单位的实际情况在模型中的位置,按照成熟度的改进路径,采取改进措施。设置成熟度的最大益处在于,可以方便地设置前进道路上的改进路标。借助成熟度模型,人们还可以方便地确定行业内最佳单位、国际上先进水平的状态,了解本单位目前的状态以及未来要达到的目标与两者的差别,从而清晰地了解自己与国际先进水平和行业标杆单位的差距,不断地采取改进措施改善,最终达到预期目标。
内容全面
从前面的介绍我们知道,COBIT是一个家族,它不但包含了框架、过程控制目标和管理指南、实施COBIT的工具包,还包含了进行IT审计的审计标准。因此,COBIT在结构上是比较完整的、全面的,兼顾了审计人员、管理人员和IT人员的需求。各个文件中的内容具有强烈的相关性,互为参照。为了方便阅读和使用,框架内容和重要的概念在各文件中反复出现,便于查找。COBIT给出的高层和详细控制目标、成熟度描述等都是针对IT治理的实际活动,比较实用,既提供审计标准,又提供了工作指南。
同时我们注意到,在COBIT家族中还包含了审计人员应遵守的职业道德标准。ISACA把对信息系统审计提升到了与财务审计同等重要的程度,体现出信息社会中IT建设应具有重要性及信息系统审计的严肃性。
用途广泛
COBIT具有广泛的用途。不但可以作为信息化建设过程的考察标准,可以作为IT建设单位日常工作的重要参考,同时还可以作为IT软件/硬件开发商、供应商、代理商、咨询服务商开发产品、提供服务的重要参考。所有为信息化建设提供服务的有关单位,在进行产品设计开发、实施服务时,都可以参照COBIT的概念、框架、过程,为客户提供符合过程标准的产品和服务,努力帮助客户达到更高的建设成熟度水平,获得更完美的建设成果。
尚待完善之处
COBIT虽然具有众多优势,但是在某些方面,还存在着一定的不足,尚需要使用人员在使用过程中,加以改进和完善。
首先,COBIT的控制目标、关键性能指示、关键指示中的内容不可能完全符合我国的实际情况,有些指标的内容尚需商榷。另外,这些指标是通用的,没有根据行业特点或企业业务结构、经营规模进行划分。如果要将COBIT应用到某个单位,必须经过适当的裁减或调整。
其次,COBIT虽然设置了成熟度标准,但是描述语言是定性的,没有明确的判断成熟度的指标,这样当实际运用时,尤其在进行评审时,难免因审计人员的个人素质造成审查结果的偏差。
最后,ISACA推出COBIT的同时,还应提供更多的设计说明思想的说明,使读者更全面、更充分地理解作者的设计意图,对针对实际情况的具体应用方法、特别是裁减方法、允许的裁减程度提供更详细的指导意见,或采用更详细的案例讨论为打算采用COBIT的用户提供指导。
总之,COBIT是一个非常值得借鉴的信息系统评审和信息化建设指导框架,是考察信息化建设过程一个重要的参照体系。我们希望通过对COBIT的研究和应用,为提高IT治理水平、提高IT投资效益,推进信息化建设做出一些切实的工作。