IT治理的利器之一：COBIT(下)

尽管COBIT非常复杂，但是它也不是凭空想象出来的，COBIT基于已有的许多架构,如SEI的能力成熟度模型(CMM)对软件企业成熟度5级的划分，以及ISO9000等标准，而ITIL是基于企业的最佳实务(Best Practice)，OGC收集和分析各种组织解决服务管理问题方面的信息，找出那些对本部门和对英国政府其它部门有益的做法，最后形成了ITIL。它列出了各个服务管理流程“最佳”的目标、活动、输入和输出以及各个流程之间的关系，但没定义范围广泛的控制架构。另外，与ITIL关注方法和实施过程COBIT在总结这些标准的基础上重点关注企业需要什么，而不是企业需要如何做，它不包括具体的实施指南和实施步骤，它是一个控制架构(Control Framework)而非具体如何做的过程架构(Process Framework)。

　　尽管两个标准有着许多的不同之处，但在COBIT和ITIL背后却有着非常一致的指导原则。信息系统审计师通常综合使用COBIT和ITIL的自评估方法，去评估企业IT服务管理环境。COBIT为每一个过程提供了关键目标指标(KGIs)、关键绩效指标(KPIs)、关键成功要素(CSFs)，这些指标与ITIL过程相结合，可以建立ITIL过程管理的基准。在实际应用中，某些企业综合两个标准提出了更易理解的适用于本企业环境的IT治理和运行架构。

　　而且，与ITIL一样，作为IT治理中最重要的标准，COBIT也集中反映了IT控制的目标和思想。COBIT中关于控制的含义是：“控制是一系列策略、程序、实践和组织结构的设计，以便对业务目标提供有效的确证(Assurance)，对意外事件进行防护、监控和纠正。”而IT控制目标的定义是：通过在特定的IT活动中实施控制程序，以便获得期望的结果和目标所给出的陈述。

　　目前，COBIT已经在100多个国家的超过10000家企业获得应用，全球有160余个机构在推广COBIT的知识体系和方法论。有识之士指出，COBIT从体系化、标准化的高度，构建关于信息系统投资、建设、评估、风险控制的知识框架，超越了传统的产品与服务的概念，是IT行业乃至信息化事业的新的发展思路。

　　信息系统的质量问题是一个由来已久的问题。这个问题困扰美国人30多年，也困扰中国的客户多年了。COBIT简单的说是一套标准，它基于以前的一些成熟的标准，可以客观的衡量信息系统的质量，但是不可否认的是它是美国人开发的标准，而且某些方面并不适合中国的国情和现状，所以COBIT并不是信息系统建设的救世主，它只是我们信息化建设的“铺路石”。

　　和ITIL、ISO/IEC17799和PRINCE2一样，COBIT是IT治理领域全球公认的辅助工具。采纳何种标准的关键在于：发掘你的真正需求，对标准进行剪裁制定最适合的实施方案，然后持续改善。这将给组织带来诸多益处，这其中就包括当前业界普遍关心的提高IT投资回报率难题。（完）