IT治理的利器之一——COBIT（AMT 宋亮）

申请免费试用、咨询电话：400-8352-114

从经济学意义上来说，客户愿意为任何满足自己需求的产品和服务付费，这个无须怀疑。需要怀疑的倒应该是这个问题：厂商以“自己的标准”为用户提供的所谓“服务”，能否让用户认为“物有所值”？

是否“物有所值”，买家和卖家各自的感受会有差异，因此一个标准作为度量的尺度就成了人们关注的焦点。

为了建立这个公正的尺度，美国信息系统审计与控制协会(ISACA)从1967年成立伊始，就开始研究这个问题，提出了“信息系统和技术控制目标”（COBIT）。COBIT，直译为信息及相关技术的控制目标，是IT治理的一个开放性标准，目前已成为国际上公认的最先进、最权威的安全与信息技术管理和控制的标准。该标准为IT的治理、安全与控制提供了一个一般适用的公认的标准，以辅助管理层进行IT治理。该标准体系已在世界一百多个国家的重要组织与企业中运用，指导这些组织有效利用信息资源，有效地管理与信息相关的风险。

以下是PWC的COBIT原理图：

 从上图中可以看出，COBIT完全基于IT，其IT准则反映了企业的战略目标，IT资源包括人、系统、数据等相关资源，IT管理则是在IT准则指导下对IT资源进行规划处理。COBIT在PO、AI、DS、M四个方面确定了34个处理过程以及318个详细控制目标。此外对每个过程还有评审工具。下表是COBIT的34个处理过程：

尽管COBIT非常复杂，但是它也不是凭空想象出来的，COBIT基于已有的许多架构,如SEI的能力成熟度模型（CMM）对软件企业成熟度5级的划分，以及ISO9000等标准，而ITIL是基于企业的最佳实务（Best Practice），OGC收集和分析各种组织解决服务管理问题方面的信息，找出那些对本部门和对英国政府其它部门有益的做法，最后形成了ITIL。它列出了各个服务管理流程“最佳”的目标、活动、输入和输出以及各个流程之间的关系，但没定义范围广泛的控制架构。另外，与ITIL关注方法和实施过程COBIT在总结这些标准的基础上重点关注企业需要什么，而不是企业需要如何做，它不包括具体的实施指南和实施步骤，它是一个控制架构（Control Framework）而非具体如何做的过程架构（Process Framework）。

尽管两个标准有着许多的不同之处，但在COBIT和ITIL背后却有着非常一致的指导原则。信息系统审计师通常综合使用COBIT和ITIL的自评估方法，去评估企业IT服务管理环境。COBIT为每一个过程提供了关键目标指标（KGIs）、关键绩效指标(KPIs)、关键成功要素(CSFs)，这些指标与ITIL过程相结合，可以建立ITIL过程管理的基准。在实际应用中，某些企业综合两个标准提出了更易理解的适用于本企业环境的IT治理和运行架构。

而且，与ITIL一样，作为IT治理中最重要的标准，COBIT也集中反映了IT控制的目标和思想。COBIT中关于控制的含义是：“控制是一系列策略、程序、实践和组织结构的设计，以便对业务目标提供有效的确证（Assurance），对意外事件进行防护、监控和纠正。”而IT控制目标的定义是：通过在特定的IT活动中实施控制程序，以便获得期望的结果和目标所给出的陈述。

目前，COBIT已经在100多个国家的超过10000家企业获得应用，全球有160余个机构在推广COBIT的知识体系和方法论。有识之士指出，COBIT从体系化、标准化的高度，构建关于信息系统投资、建设、评估、风险控制的知识框架，超越了传统的产品与服务的概念，是IT行业乃至信息化事业的新的发展思路。

信息系统的质量问题是一个由来已久的问题。这个问题困扰美国人30多年，也困扰中国的客户多年了。COBIT简单的说是一套标准，它基于以前的一些成熟的标准，可以客观的衡量信息系统的质量，但是不可否认的是它是美国人开发的标准，而且某些方面并不适合中国的国情和现状，所以COBIT并不是信息系统建设的救世主，它只是我们信息化建设的“铺路石”。

和ITIL、ISO/IEC17799和PRINCE2一样，COBIT是IT治理领域全球公认的辅助工具。采纳何种标准的关键在于：发掘你的真正需求，对标准进行剪裁制定最适合的实施方案，然后持续改善。这将给组织带来诸多益处，这其中就包括当前业界普遍关心的提高IT投资回报率难题。

作者联系方式：liang.song@AMTeam.org