COBIT——衡量IT 治理之尺（AMT研究院 宋亮）

申请免费试用、咨询电话：400-8352-114

IT治理是信息系统审计和控制领域中的一个相当新的理念，IBM最早将此理念引入我国。IT治理是IT、经济学及管理学界中一个新的概念，用于描述企业或政府是否采用有效的机制，使得IT的应用能够完成组织赋予它的使命，同时平衡信息化过程中的风险，确保实现组织的战略目标。其主要使命是：保持IT与业务目标一致，推动业务发展，促使收益最大化，合理利用IT资源，适当管理与IT相关的风险。

尽管国内对IT治理的研究、交流和应用相对还很薄弱，但是，一些行业和政府部门对此已经给予了高度的重视。比如金融行业、电信领域的信息安全问题，航空航天领域、国家安全领域的信息安全与控制问题，电子商务和电子政务领域信息化服务的规范标准问题等。随着信息化程度的日益提高，IT治理势必成为促进信息化建设向有序化方向发展的必经之道。

在IT治理中，确保IT投资的有效性和高效性是我们关注的核心焦点；IT投资是否能够满足业务需求是投资收益的关键。善治的IT治理架构是确保IT资源与公司战略目标保持一致的基础，同样也能确保IT服务满足组织对优质、可信和安全的信息需要。采用标准的IT治理（IT Governance）架构可以给企业带来诸多收益。如美国堪萨斯州把COBIT标准作为虚拟政府策略的一部分，结果降低了运营成本，并为它的客户和委托人提供了很高质量的服务。

从经济学意义上来说，客户愿意为任何满足自己需求的产品和服务付费，这个无须怀疑。需要怀疑的倒应该是这个问题：厂商以“自己的标准”为用户提供的所谓“服务”，能否让用户认为“物有所值”？

是否“物有所值”，买家和卖家各自的感受会有差异，因此一个标准作为度量的尺度就成了人们关注的焦点。

为了建立这个公正的尺度，美国信息系统审计与控制协会(ISACA)从1967年成立伊始，就开始研究这个问题，提出了“信息系统和技术控制目标”(COBIT)。COBIT，直译为信息及相关技术的控制目标，是IT治理的一个开放性标准，目前已成为国际上公认的最先进、最权威的安全与信息技术管理和控制的标准。该标准为IT的治理、安全与控制提供了一个一般适用的公认的标准，以辅助管理层进行IT治理。该标准体系已在世界一百多个国家的重要组织与企业中运用，指导这些组织有效利用信息资源，有效地管理与信息相关的风险。

COBIT（Control Objectives For Information and Related Technology），译为“信息及相关技术的控制目标”，是IT治理的一个开放性标准。由美国IT治理研究院开发与推广，目前已成为国际上公认的最先进、最权威的信息技术管理和控制的标准。该标准为IT的治理、安全与控制提供了一个一般适用的公认标准，以辅助公司决策层进行IT治理。该标准体系已在世界100多个国家的重要组织与企业中运用，指导这些组织有效利用信息资源，有效地管理与信息相关的风险。该标准现在是第三修订版，由Information Systems Audit and Control Association (ISACA)出版，最早在1996年发布。COBIT架构由34个高层控制目标和318个细节控制目标组成，通过定义这些目标，可以帮助维护企业业务对IT的有效控制。该标准比较完善，所有的COBIT文档集合可以在线获得，包括executive summary、架构、控制目标、审计指引、管理指引和实现指引。

现在，ISACA正在实现COBIT的特殊版本，称为“QuickStart”，为中小型企业准备。其中将包括COBIT的子集，并且特别关注对于那些缺少实现完全标准所需资源的那些组织的需求，提供这些组织所需的必备元素。

图一是COBIT模型，作为IT治理的核心模型，COBIT包含34个信息技术过程控制，并归集为四个控制域：IT规划和组织（Planning and Organization）、系统获得和实施（Acquisition and Implementation）、交付与支持（Delivery and Support）以及信息系统运行性能监控（Monitoring）。
　

图一

COBIT模型是企业战略目标和信息技术战略目标的桥梁，使得信息技术目标和企业战略目标之间实现互动。

该框架的意义在于：COBIT实现了企业目标与IT治理目标之间的桥梁作用。

首先，COBIT考虑了企业自身的战略规划，对业务环境和企业总的业务战略进行分析定位，并将战略规划所产生的目标、政策、行动计划作为信息技术的关键环境，并由此确定IT准则。

IT为企业战略提供了基于技术的解决方案，为满足业务战略需求提供了技术与工具。在IT准则的指导下，利用控制目标模型，分别从规划与组织、获取与实施、交付与支持、监控等过程进行控制、管理信息资源。在IT管理的同时，引入审计指南，从而保证IT资源管理的安全性、可靠性和有效性。

COBIT实现可跟踪的业绩衡量，通过平衡记分卡可以在财务（企业资源管理）、客户（客户关系管理）、过程（内部网，工作流工具）、学习（知识管理）等方面维持平衡，评价企业目标的实现情况以及IT绩效，并调整业务目标和IT战略，进行持续的IT管理。

COBIT采用成熟度模型，可以定位自己企业的IT管理目前在业界所处的位置，以及未来努力的方向，通俗地说就是给IT管理“打分”。

COBIT还提供了目前最佳案例和关键成功因素（CSF），供企业和组织借鉴。

从内容上看，COBIT覆盖了从分析＆设计到开发＆实施到运营、维护的整个过程。对于分析＆设计，重点目标是IT与业务的需求，根据业务目标细化IT战略，确定待开放的IT系统，进行相应的系统分析和设计。在分析与设计这样一个流程范围中，比我们传统所说的信息系统的分析与设计要宽广得多，它强调的是IT的战略要符合业务的战略，任何信息系统的开发都应该与业务战略保持精确的校准。从业务战略的高度来分析和设计信息系统。提供这个阶段主要是考察组织的需求，同时根据这些需求设计合理的资源组合，设立合理的服务级别、目标，提供满足客户需求的IT服务。这个阶段对IT应用已上升到IT服务管理的阶段。主要解决下面的问题，为满足客户的需要提供哪些资源，这些资源之间的成本是多少，如何在服务成本和服务的效益间达到一个恰当的平衡点。在支持这个层面，主要是如何满足客户提出的IT需求，以支持服务的需求。COBIT上层是对IT运行进行外部控制和内部审计，以确保IT与业务实现精确校准，同时实现对IT应用持续不断的应用和改进。COBIT覆盖整个信息系统的全部生命周期，其视野是最为开阔的。

目前，IT治理及其模型COBIT在全世界许多国家的政府及公共机构、军方、企业、大学、银行、保险业等都已有大量成功的案例，Proctor & Gamble，安大略政府，堪萨斯州和戴尔公司以及其他的一些组织已经通过采用IT管理看到了可观的成效。但是由于某些客观原因，迄今为止，还缺乏在中国相关组织实行的案例，据赛迪顾问分析，目前我国IT治理普遍缺失，主要表现为九大症状：各自为政，缺乏统一、全局的IT战略规划；信息化建设领导者错位；决策的技术经济论证不足；信息资源未能合理应用；利益冲突和信息的不透明；IT安全治理和风险管理缺位；非技术性的障碍； 重硬件购买，轻专业软件的开发和咨询服务；信息化建设找不到重心。因此，我们必须在这一方面进行深入的研究，迎头赶上。

参考文献：
【1】 整合COBIT、ITIL、ISO/IEC17799和PRINCE2 构建善治的IT治理机制
http://www.ccidtraining.com/hy031027-1.htm
【2】 开展IT治理 ，孙强 刘献军
http://www.e-works.net.cn/ewkArticles/Category117/Article15290.htm
【3】 IT治理：信息化的重要环节
http://www.ccidtraining.com/hy031111-2.htm
【4】 整合COBIT、ITIL、ISO/IEC17799和PRINCE2
http://www.ccidtraining.com/hy031027-1.htm