深蓝海域KMPRO

IT治理的利器之一——COBIT(AMT 宋亮)

2004-02-20 13:22

从经济学意义上来说,客户愿意为任何满足自己需求的产品和服务付费,这个无须怀疑。需要怀疑的倒应该是这个问题:厂商以“自己的标准”为用户提供的所谓“服务”,能否让用户认为“物有所值”?

是否“物有所值”,买家和卖家各自的感受会有差异,因此一个标准作为度量的尺度就成了人们关注的焦点。

为了建立这个公正的尺度,美国信息系统审计与控制协会(ISACA)从1967年成立伊始,就开始研究这个问题,提出了“信息系统和技术控制目标”(COBIT)。COBIT,直译为信息及相关技术的控制目标,是IT治理的一个开放性标准,目前已成为国际上公认的最先进、最权威的安全与信息技术管理和控制的标准。该标准为IT的治理、安全与控制提供了一个一般适用的公认的标准,以辅助管理层进行IT治理。该标准体系已在世界一百多个国家的重要组织与企业中运用,指导这些组织有效利用信息资源,有效地管理与信息相关的风险。

以下是PWC的COBIT原理图:


 从上图中可以看出,COBIT完全基于IT,其IT准则反映了企业的战略目标,IT资源包括人、系统、数据等相关资源,IT管理则是在IT准则指导下对IT资源进行规划处理。COBIT在PO、AI、DS、M四个方面确定了34个处理过程以及318个详细控制目标。此外对每个过程还有评审工具。下表是COBIT的34个处理过程:

尽管COBIT非常复杂,但是它也不是凭空想象出来的,COBIT基于已有的许多架构,如SEI的能力成熟度模型(CMM)对软件企业成熟度5级的划分,以及ISO9000等标准,而ITIL是基于企业的最佳实务(Best Practice),OGC收集和分析各种组织解决服务管理问题方面的信息,找出那些对本部门和对英国政府其它部门有益的做法,最后形成了ITIL。它列出了各个服务管理流程“最佳”的目标、活动、输入和输出以及各个流程之间的关系,但没定义范围广泛的控制架构。另外,与ITIL关注方法和实施过程COBIT在总结这些标准的基础上重点关注企业需要什么,而不是企业需要如何做,它不包括具体的实施指南和实施步骤,它是一个控制架构(Control Framework)而非具体如何做的过程架构(Process Framework)。

尽管两个标准有着许多的不同之处,但在COBIT和ITIL背后却有着非常一致的指导原则。信息系统审计师通常综合使用COBIT和ITIL的自评估方法,去评估企业IT服务管理环境。COBIT为每一个过程提供了关键目标指标(KGIs)、关键绩效指标(KPIs)、关键成功要素(CSFs),这些指标与ITIL过程相结合,可以建立ITIL过程管理的基准。在实际应用中,某些企业综合两个标准提出了更易理解的适用于本企业环境的IT治理和运行架构。

而且,与ITIL一样,作为IT治理中最重要的标准,COBIT也集中反映了IT控制的目标和思想。COBIT中关于控制的含义是:“控制是一系列策略、程序、实践和组织结构的设计,以便对业务目标提供有效的确证(Assurance),对意外事件进行防护、监控和纠正。”而IT控制目标的定义是:通过在特定的IT活动中实施控制程序,以便获得期望的结果和目标所给出的陈述。

目前,COBIT已经在100多个国家的超过10000家企业获得应用,全球有160余个机构在推广COBIT的知识体系和方法论。有识之士指出,COBIT从体系化、标准化的高度,构建关于信息系统投资、建设、评估、风险控制的知识框架,超越了传统的产品与服务的概念,是IT行业乃至信息化事业的新的发展思路。

信息系统的质量问题是一个由来已久的问题。这个问题困扰美国人30多年,也困扰中国的客户多年了。COBIT简单的说是一套标准,它基于以前的一些成熟的标准,可以客观的衡量信息系统的质量,但是不可否认的是它是美国人开发的标准,而且某些方面并不适合中国的国情和现状,所以COBIT并不是信息系统建设的救世主,它只是我们信息化建设的“铺路石”。

和ITIL、ISO/IEC17799和PRINCE2一样,COBIT是IT治理领域全球公认的辅助工具。采纳何种标准的关键在于:发掘你的真正需求,对标准进行剪裁制定最适合的实施方案,然后持续改善。这将给组织带来诸多益处,这其中就包括当前业界普遍关心的提高IT投资回报率难题。

作者联系方式:liang.song@AMTeam.org


相关推荐