it治理的核心模型cobit的解讀與應(yīng)用

1、COBIT的四個(gè)領(lǐng)域關(guān)注的是組織信息化建設(shè)的整個(gè)生命周期，因此對(duì)于我國的企業(yè)的信息化建設(shè)也具有指導(dǎo)意義。一、COBIT的背景介紹從現(xiàn)有的控制框架來看，以COSO為代表的業(yè)務(wù)控制框架，主要是從受托責(zé)任方面來考慮一般控制的價(jià)值，缺少對(duì)IT控制的闡述和說明；以CICA的IT控制指南為代表的IT控制框架，側(cè)重于對(duì)技術(shù)進(jìn)行控制。因此。這兩類模型都沒有全面照顧到業(yè)務(wù)和IT。COBIT的出現(xiàn)就是為了填補(bǔ)這個(gè)空白，它基于COSO，同時(shí)整合了全球所有主要

2、的信息技術(shù)標(biāo)準(zhǔn)。因此既能關(guān)注IT，又能與業(yè)務(wù)日標(biāo)緊密聯(lián)系，其任務(wù)就是研究、開發(fā)、出版和推動(dòng)一個(gè)權(quán)威的、最新的、被國際上的企業(yè)，業(yè)務(wù)經(jīng)理的日常使用、IT專業(yè)人上和鑒證專業(yè)認(rèn)識(shí)所廣泛接受的IT治理框架。COBIT由ISACA開發(fā)與推廣。1976年，ISACA專門設(shè)立ISACF。從事IT的管理、控制和安全保證領(lǐng)域的研究。同年。ISACF發(fā)布COBIT1.0版本。試圖將它作為一種審計(jì)工具。為了響應(yīng)對(duì)IT進(jìn)行控制的需要，1998年發(fā)布的COBIT

3、2.0，在1.0版本的基礎(chǔ)上增加了資源文件的數(shù)據(jù)，改進(jìn)了高層控制目標(biāo)和具體控制目標(biāo)，增加了實(shí)施工具包。1998年，ISACA與ISACF合并設(shè)立了旨在促進(jìn)IT治理原則推廣和應(yīng)用的ITGI，COBIT的后續(xù)的研究和更新就是由ITGI來完成的。ITGI在2000年發(fā)布的COBIT3.0版本中增加了管理指南，還將ISACA原始的“控制目標(biāo)”修改為管理目標(biāo)，同時(shí)還擴(kuò)充和加強(qiáng)了對(duì)IT治理的關(guān)注。使得COBIT演變?yōu)橐粋€(gè)管理工具。IT的日益廣泛應(yīng)用

4、，增加了對(duì)IT治理的需求，ITCI于2005年在廣泛調(diào)查和研究的基礎(chǔ)上，推出了COBIT4.0版本，它站在IT治理的角度，從更高的層面上來指導(dǎo)管理層進(jìn)行IT控制和信息系統(tǒng)管理，使之成為一個(gè)真正意義上的IT治理框架。2007年5月，ITGI推出的COBIT4.1在40的基礎(chǔ)上進(jìn)行了微調(diào)，并無本質(zhì)更新。整個(gè)演進(jìn)過程可用圖1來表示。二、COBIT4.1框架解讀為了實(shí)現(xiàn)有效治理，需要業(yè)務(wù)管理者在既定的控制框架內(nèi)對(duì)所有IT過程實(shí)施控制。COBIT

5、通過IT過程來組織IT控制目標(biāo)，控制框架提供了IT治理要求、IT過程和IT控制之間清晰的關(guān)系。關(guān)注業(yè)務(wù)、面向過程、基于控制和度量驅(qū)動(dòng)是其主要特性。(一)關(guān)注業(yè)務(wù)關(guān)注業(yè)務(wù)是COBIT的主要宗旨。它設(shè)計(jì)不僅僅用來為IT服務(wù)提供商、用戶和審計(jì)師使用，更重要的是給管理者和業(yè)務(wù)流程所有者提供一個(gè)完整的指南。COBIT框架基于這樣一個(gè)原則：要提供企業(yè)達(dá)到其目標(biāo)所需的信息，企業(yè)需要使用一組結(jié)構(gòu)化的過程來投資、管理和控制IT資源，以提供服務(wù)來交付企業(yè)所

6、需的信息。COBIT對(duì)34個(gè)過程都定義了控制目標(biāo)，每個(gè)控制目標(biāo)又具體分為若干的詳細(xì)控制目標(biāo)，除此之外，COBIT還確定了每個(gè)過程所需的一般性控制要求，包括過程的目的和目標(biāo)，過程所有權(quán)過程的可重復(fù)性，角色和責(zé)任。政策、計(jì)劃和程序。在實(shí)踐中，應(yīng)將他們與詳細(xì)的過程控制目標(biāo)共同考慮以形成一個(gè)完整的控制要求。COBIT為每個(gè)過程提供了一個(gè)范例：一般性的輸入和輸出；以RACI圖表示的關(guān)于角色和職責(zé)的活動(dòng)和指南；關(guān)鍵的活動(dòng)目標(biāo)；標(biāo)準(zhǔn)。(四)度量驅(qū)動(dòng)為

7、了對(duì)企業(yè)自身IT過程的績效進(jìn)行客觀度量，COBIT開發(fā)了成熟度模型進(jìn)行標(biāo)桿管理，從IT、IT過程和活動(dòng)三個(gè)層次來定義控制的目標(biāo)和標(biāo)準(zhǔn)。根據(jù)平衡計(jì)分卡來對(duì)過程績效進(jìn)行度量。COBIT的成熟度模型是IT過程的定義框架，企業(yè)可借助它來認(rèn)識(shí)到他們現(xiàn)在的狀態(tài)并確定他們將來的狀態(tài)。成熟度模型提供了對(duì)企業(yè)管理和IT過程控制演進(jìn)每個(gè)階段的一般性描述，它們是：在不同成熟度水平的一系列需求和能力方面；可以實(shí)現(xiàn)用較為容易的方法來對(duì)不同點(diǎn)進(jìn)行測(cè)度的標(biāo)準(zhǔn)；一個(gè)可

8、以使它進(jìn)行實(shí)際比較的標(biāo)準(zhǔn)；設(shè)定當(dāng)前狀態(tài)和未來狀態(tài)的基礎(chǔ)；支持差距分析來決定還需要做什么以達(dá)到某個(gè)選定的水平。日標(biāo)是采用從上到下的方法來定義控制的目標(biāo)和標(biāo)準(zhǔn)的，因?yàn)闃I(yè)務(wù)目標(biāo)將決定一些來支持它的IT目標(biāo)。一個(gè)IT目標(biāo)是通過一個(gè)過程來實(shí)現(xiàn)或者用數(shù)個(gè)過程相互結(jié)合來實(shí)現(xiàn)。因此，IT目標(biāo)幫助定義不同的過程目標(biāo)。反過來，每個(gè)過程目標(biāo)需要一些活動(dòng)，由此建立活動(dòng)目標(biāo)。在事后要判斷目標(biāo)是否被達(dá)到，可以用“結(jié)果標(biāo)準(zhǔn)”進(jìn)行度量；要在結(jié)果明朗事前確定這些目標(biāo)是否

9、能夠被達(dá)到，則需要借助于“績效指標(biāo)”。需要注意的是，COBIT僅僅提供IT目標(biāo)結(jié)果的度量標(biāo)準(zhǔn)，而不提供業(yè)務(wù)目標(biāo)的度量標(biāo)準(zhǔn)。結(jié)果標(biāo)準(zhǔn)提供了業(yè)務(wù)平衡記分卡中財(cái)務(wù)與客戶方面的評(píng)估標(biāo)準(zhǔn)。它能夠在事后告知管理層，IT功能、程序或者活動(dòng)已經(jīng)達(dá)到了它的目標(biāo)。對(duì)IT功能的結(jié)果度量通常按照信息準(zhǔn)則來表達(dá)：信息的有效性要求支持業(yè)務(wù)需求；遠(yuǎn)離完整性和保密性的風(fēng)險(xiǎn)；程序和操作符合成本效益原則；確認(rèn)可靠性、有效性和符合性?？冃е笜?biāo)強(qiáng)調(diào)了平衡記分卡中的另外兩個(gè)方面

10、，即內(nèi)部處理與創(chuàng)新。它用于決定業(yè)務(wù)的現(xiàn)狀，IT功能或者IT程序的運(yùn)行能確保目標(biāo)的達(dá)成。它們是關(guān)于目標(biāo)是否能夠達(dá)到的“領(lǐng)先指標(biāo)”，由此來驅(qū)動(dòng)更高層級(jí)的目標(biāo)。它們通常度量適當(dāng)能力、慣例和技能的可用性，以及潛在活動(dòng)的結(jié)果。例如，一項(xiàng)IT所交付的服務(wù)是IT的一種目標(biāo)，但是績效指標(biāo)和一項(xiàng)能力是用于業(yè)務(wù)的。這就是為什么績效指標(biāo)有時(shí)候被稱為績效驅(qū)動(dòng)因素，尤其是在平衡記分卡中。三、COBIT在我國的應(yīng)用由于我國信息化水平相對(duì)滯后，COBIT目前還只在一