1、COBIT 的四个领域关注的是组织信息化建设的整个生命周期,因此对于我国的企业的信息化建设也具有指导意义。 一、COBIT 的背景介绍 从现有的控制框架来看,以 COSO 为代表的业务控制框架,主要是从受托责任方面来考虑一般控制的价值,缺少对 IT 控制的阐述和说明;以 CICA 的 IT 控制指南为代表的 IT 控制框架,侧重于对技术进行控制。因此。这两类模型都没有全面照顾到业务和 IT。COBIT 的出现就是为了填补这个空白,它基于 COSO,同时整合了全球所有主要的信息技术标准。因此既能关注 IT,又能与业务日标紧密联系,其任务就是研究、开发、出版和推动一个权威的、最新的、被国际上的企业
2、,业务经理的日常使用、IT 专业人上和鉴证专业认识所广泛接受的 IT治理框架。 COBIT 由 ISACA 开发与推广。1976 年,ISACA 专门设立 ISACF。从事 IT 的管理、控制和安全保证领域的研究。同年。ISACF 发布 COBIT1.0 版本。试图将它作为一种审计工具。为了响应对 IT 进行控制的需要,1998 年发布的COBIT2.0,在 1.0 版本的基础上增加了资源文件的数据,改进了高层控制目标和具体控制目标,增加了实施工具包。1998 年,ISACA 与 ISACF 合并设立了旨在促进 IT 治理原则推广和应用的 ITGI,COBIT 的后续的研究和更新就是由ITGI
3、 来完成的。ITGI 在 2000 年发布的 COBIT3.0 版本中增加了管理指南,还将ISACA 原始的“控制目标”修改为管理目标,同时还扩充和加强了对 IT 治理的关注。使得 COBIT 演变为一个管理工具。IT 的日益广泛应用,增加了对 IT 治理的需求,ITCI 于 2005 年在广泛调查和研究的基础上,推出了 COBIT4.0 版本,它站在 IT 治理的角度,从更高的层面上来指导管理层进行 IT 控制和信息系统管理,使之成为一个真正意义上的 IT 治理框架。2007 年 5 月,ITGI 推出的COBIT4.1 在 40 的基础上进行了微调,并无本质更新。整个演进过程可用图1 来表
4、示。 二、COBIT4.1 框架解读 为了实现有效治理,需要业务管理者在既定的控制框架内对所有 IT 过程实施控制。COBIT 通过 IT 过程来组织 IT 控制目标,控制框架提供了 IT 治理要求、IT 过程和 IT 控制之间清晰的关系。关注业务、面向过程、基于控制和度量驱动是其主要特性。 (一)关注业务 关注业务是 COBIT 的主要宗旨。它设计不仅仅用来为 IT 服务提供商、用户和审计师使用,更重要的是给管理者和业务流程所有者提供一个完整的指南。COBIT 框架基于这样一个原则:要提供企业达到其目标所需的信息,企业需要使用一组结构化的过程来投资、管理和控制 IT 资源,以提供服务来交付企
5、业所需的信息。 COBIT 认为,IT 的最终目标是为企业实现业务活动提供其所需的符合信息标准的信息,这些标准包括信息的有效性、效率性、保密性、完整性、可用性、符合性和可靠性,这可称之为业务的信息需求。尽管信息标准提供了一般的方法来定义业务需求,但是规定一组业务和 IT 目标为建立业务需求并依据这些要求开发度量的标准,这奠定了与业务相关且更加精确的基础。企业利用 lT 来保障业务活动。这可以表示为 IT 的业务目标。COBIT 提供了一个业务目标、IT 目标、信息标准之间的映射。这可以作为确定企业特定业务需求、目标和标准的指导。如果 IT 能够成功交付服务来支持企业的战略,那么应明确业务要求的
6、所有者关系和指南,清楚应交付什么以及 IT 如何交付。这就要求将企业战略目标转化为 IT 的业务目标,再将 IT 业务目标转化为 IT 自己的目标,进而定义为成功实施企业 IT 战略所需的 IT 资源和能力。一旦相应的目标确定下来就需要对这些目标进行监控,以确保实际的交付可以满足预期的需求。 IT 组织通过一组清楚定义的过程来交付这些目标。这些过程使用人工技能和技术基础设施来运行自动化的业务应用系统与此同时利用业务信息。这些资源与过程一道,组成了企业的 IT 架构。要满足业务对 IT 的需求,企业需要投资相关资源来建立充分的技术能力来支持业务能力,进而产生所需要的结果。COBIT 定义的 IT
7、 资源包括应用系统信息、基础设施和人员。 (二)面向过程 COBIT 框架为企业中的每个人观察并管理 IT 活动提供了一个参考的过程模型和通用语言。将所有相关的业务部分的操作模型和通用语青整合到 IT 当中是实施良好 IT 治理最重要的步骤,也是最初始的步骤。COBIT 提供了一个框架来度量和监控 IT 绩效、与服务提供商沟通、整合最佳管理惯例。一个过程模型鼓励过程所有者定义问责制和责任。要有效管理 IT,重视管理 IT 内在的活动和风险非常重要,COBIT 在四个领域内采用过程模型的方式来定义 IT 活动。这些领域是规划与组织、获取与实施、交付与支持,监控与评价,这四个领域映射到传统的 IT
8、 职责领域:规划、建设、运行和监控。 横跨这四个领域,COBIT 识别出 34 个一般的 IT 过程,这可以作为企业验证 IT 活动和责任的完整性的过程清单。企业可以根据需要,进行选择性的配合使用。 (三)基于控制 COBIT 将控制定义为:设计政策、程序、惯例和组织架构,对业务目标将被达到以及不期望事件能够被预防、检测和纠正来提供保证。IT 控制目标提供了一个完整系列的高层需求,这些需求会被管理者考虑来有效控制每个 IT 过程。企业管理者需要作出与这些控制目标相关的选择,包括选择能够应用控制的部分,在已经选择的部分中确定需要实施的部分,选择如何实施,接受对可以实施控制而未进行控制的部分所存在
9、的风险。 COBIT 对 34 个过程都定义了控制目标,每个控制目标又具体分为若干的详细控制目标,除此之外,COBIT 还确定了每个过程所需的一般性控制要求,包括过程的目的和目标,过程所有权过程的可重复性,角色和责任。政策、计划和程序。在实践中,应将他们与详细的过程控制目标共同考虑以形成一个完整的控制要求。COBIT 为每个过程提供了一个范例:一般性的输入和输出;以RACI 图表示的关于角色和职责的活动和指南;关键的活动目标;标准。 (四)度量驱动 为了对企业自身 IT 过程的绩效进行客观度量,COBIT 开发了成熟度模型进行标杆管理,从 IT、IT 过程和活动三个层次来定义控制的目标和标准。
10、根据平衡计分卡来对过程绩效进行度量。 COBIT 的成熟度模型是 IT 过程的定义框架,企业可借助它来认识到他们现在的状态并确定他们将来的状态。成熟度模型提供了对企业管理和 IT 过程控制演进每个阶段的一般性描述,它们是:在不同成熟度水平的一系列需求和能力方面;可以实现用较为容易的方法来对不同点进行测度的标准;一个可以使它进行实际比较的标准;设定当前状态和未来状态的基础;支持差距分析来决定还需要做什么以达到某个选定的水平。日标是采用从上到下的方法来定义控制的目标和标准的,因为业务目标将决定一些来支持它的 IT 目标。一个 IT 目标是通过一个过程来实现或者用数个过程相互结合来实现。因此,IT
11、目标帮助定义不同的过程目标。反过来,每个过程目标需要一些活动,由此建立活动目标。在事后要判断目标是否被达到,可以用“结果标准”进行度量;要在结果明朗事前确定这些目标是否能够被达到,则需要借助于“绩效指标”。需要注意的是,COBIT 仅仅提供 IT 目标结果的度量标准,而不提供业务目标的度量标准。 结果标准提供了业务平衡记分卡中财务与客户方面的评估标准。它能够在事后告知管理层,IT 功能、程序或者活动已经达到了它的目标。对 IT 功能的结果度量通常按照信息准则来表达:信息的有效性要求支持业务需求;远离完整性和保密性的风险;程序和操作符合成本效益原则;确认可靠性、有效性和符合性。 绩效指标强调了平
12、衡记分卡中的另外两个方面,即内部处理与创新。它用于决定业务的现状,IT 功能或者 IT 程序的运行能确保目标的达成。它们是关于目标是否能够达到的“领先指标”,由此来驱动更高层级的目标。它们通常度量适当能力、惯例和技能的可用性,以及潜在活动的结果。例如,一项 IT 所交付的服务是 IT 的一种目标,但是绩效指标和一项能力是用于业务的。这就是为什么绩效指标有时候被称为绩效驱动因素,尤其是在平衡记分卡中。 三、COBIT 在我国的应用 由于我国信息化水平相对滞后,COBIT 目前还只在一些信息化程度非常高的企业或者政府部分所采用,同时得益于中国 IT 治理研究中心的大力推动,COBIT 的价值也日益
13、得到相关人士的认同。从 COBIT 的特性来看,COBIT 主要是一种 IT 治理工具同时还可作为建立和改善企业的 IT 内部控制和进行 IT 审计的指南。COBIT 的四个领域关注的是组织信息化建设的整个生命周期,因此对于我同的企业的信息化建设具有指导意义。 (一)作为 IT 治理的核心模型 有效的 IT 治理必须保证组织战略与 IT 战略的一致性,以组织战略作为 IT建设与运行的根本指导。对 IT 进行角色定位,从业务的视角创造信息技术指导原则,充分利用组织的现有资源来满足关键需求,避免建设的信息系统无法有效地支持组织的决策。 COBIT 定位于 IT 治理的目标和范围,并与企业的治理准则
14、相协调。COBIT认为 IT 治理是管理层和董事会的责任,它通过领导、组织结构和相应的过程来确保 IT 支持并拓展组织的战略和目标。它是一个集管理、问责制和监督为一体的质量控制系统。COBIT 将一些最佳惯例进行整合并制度化。来确保组织的 IT支持业务目标。从 IT 治理的五个关键领域来看,战略协调、价值交付、风险管理、资源管理和绩效管理都与 COBIT 的目标、标准、惯例和成熟度模型建立了映射关系,这使得 IT 治理在实践中可以做到有的放矢。 (二)作为企业信息化建设的实施指南 我国企业信息化建设普遍存在以下问题:欠缺长期的、整体的规划;重建设。轻管理;萤收益考量,轻风险与成本管理;重技术、
15、工具,轻过程、知识;企业业务战略变化较大带来的用难。这些问题的根源在于缺乏对信息系统建设、应用的控制机制。缺乏每个环节上的控制目标,信息系统没有满足业务需求,或者在使用中由于缺乏有效手段,而导致使用效率过低,进而影响到业务的正常运作。 COBIT 的 4 个领域涵盖了 IT 规划、建设、运行和监控整个生命周期,每个过程都有清晰的控制目标、成熟度模型,明确了过程的角色和职责,将各种目标统一于 COBIT 控制模型。COBIT 的这些特性可以让企业从业务战略的高度来分析和设计信息系统,而且借助于控制只标和成熟度模型,可以让成本效益原则在信息化建设过程中得到更好的贯彻。过程角色和职责的明确,既是科学
16、管理原则的贯彻,也能够弥补信息化建设过程中制度的缺失。 (三)作为建立和优化 IT 内部控制的参考 许多国内企业管理者对内部控制的理解目前仍停留在人工控制的层面,尚未建立一套完善的信息技术内部控制来降低大量使用关键的信息系统而面临的风险。这主要体现在:IT 部门之间以及 IT 部门与业务部门之间缺乏有效的沟通来保证信息技术部门的工作能够充分满足业务的需要。企业缺乏有效的 IT 内部审计机制来监督信息技术部门的工作,缺乏完善的对数据及系统的访问控制管理,缺乏对系统变更的有效管理,缺乏完善的系统开发管理,缺乏完善的系统运行控制,导致系统发生故障时无法及时发现解决故障而造成数据的丢失等(高智纬,李可
17、,2006)。这些问题是那些大量应用信息系统的国内企业所亟待解决的,否则风险威胁一旦转变为现实的损失,损失程度将可能是企业难以承受的。 COSO 虽然是理解和评价内部控制的全球性框架,但它是一个高度抽象的概念框架,没有对具体的控制目标和控制活动做出指引,更没有针对 IT 环境提出具体的控制要求,因而其对于 IT 环境的应用价值大打折扣。COBIT 是一个信息技术风险管理和控制框架,而非内部控制框架,它依然是以 COSO 框架为基础,围绕 IT 控制环境的若干方面提供概括性的指引,COBIT 不仅在其控制同标与COSO 的控制目标之间定义了清晰的联系,而且还将它的 34 个过程与 COSO 的
18、5个要素之间建立了映射关系。COBIT 针对 IT 环境制定了一系列详细控制目标,并将这些控制目标置于一个逻辑性的控制结构下,其应用性较强。因此可以说,COBIT 框架是 IT 环境下 COSO 框架的有益补充。 对于尚未建立 IT 内部控制的企业而言,可以根据风险评估的结果,对一些关键控制点进行控制。对于已经初步建立了 IT 内部控制的组织。可以参照COBIT 的要求对企业 IT 内部控制现状进行分析,找出差距,进而确定需要增加或者完善的控制点,对每个控制点的控制活动必须进行清晰的描述和文档化,这些控制活动必须具备可操作性和可检验性,最终形成 IT 控制矩阵。企业必须完成一整套与 IT 控制
19、相关的文档,随后通过细致扎实的工作落实已被确定的IT 控制点,从而使 IT 控制得到贯彻实施。 (四)作为 IT 审计的工具 IT 审计的目的就是要从制度保障方面,彻底解决信息系统规划、建设、实施、维护和控制过程中,与企业业务、管理和战略的融合问题。通过量化的方法,衡餐信息系统对企业业务带来的影响进而评估这些影响种的风险因素和价值因素,有目的地对信息系统的质量、方法、过程和绩效,出具类似财务审计意见的报告。以便企业董事会和管理层能够真正了解和把握本企业内信息系统的核心作用。 IT 业务流程是 COBIT 关注的焦点,对每一个 lT 业务流程。COBIT 提出了一系列的控制目标、相应的实现这些控
20、制目标的控制程序,评价这共控制程序是否存在,并被有效执行的一系列审计程序。该标准为 IT 治理、安全与控制提供了一个普遍适用的公认标准,以辅助管理层进行 IT 治理。为了改善对 IT 过程模型的理解,COBIT 为每个 IT 过程进行了定义,对每个过程及基本输入/输出及与其他过程的关系进行了描述,确定它从哪个过程来,到哪个过程去,或是否有其它路径。这些输入,输出的连接使 COBIT 中的关键过程被确定下来。方便审计人员对审计对象及其相关控制的理解。 在运用 COBIT 实施 IT 审计时,可从 COBIT 有关过程中的控制目标入手,进行风险分析,得出与该过程相关的风险控制目标,再从风险控制目标
21、中导出与该目标相关的风险控制点。针对每个风险控制点,结合企业自身的技术特色,找出其所包含的风险检杳点,风险检查点又可以组成对相关部分的检查表。针对检查的结果,与 COBIT 相关部分中的要求相比照,找出相关的薄弱点,并就此提出相应的改进意见。风险控制目标和风险枪查点之间的推导方式主要有两种,一种是自下而上,即从具体的管理过程或技术实施措施人手。从中得出相应的风险控制点,对相应的风险控制点进行提炼。最后得到风险控制目标;一种是自上而下。从风险控制日标出发将其进行分解,得到相应的风险控制点并对其进行细分,直到能够直接得出检查点为止。最后将得到的风险控制日标与 COBIT 相关过程的控制目标相比较,
22、以确保整个信息系统审计目标的完整性。四、COBIT 在应用过程中需要注意的问题 COBIT 建市在对现有 IT 标准和最佳惯例分析和融合的基础之上,并遵循通用的治理准则。COBIT 定位于高端由业务需求驱动,覆盖了所有的 IT 活动,它关注的是治理、管理和控制应该达到什么目标,而并不是关注如何去做。为了弥补 COBIT 操作性不足的弱点,在实务中结合其他的标准和最佳惯例来使用。例如,在对企业数据中心安全方面进行审计时,可以参照 BS7799(信息安全管理体系标准)中的相应内容也可以参照 SSE-CMM(系统安全工程能力成熟度模型)的标准来进行;在涉及信息系统的交付和支持时,则可以采用 ITIL
23、(IT 服务管理标准库)中的内容来对数据中心的相关活动进行评价和审计;在对数据中心内控机制的建设情况进行评价时,就可参照 COSO 中的相应条款来比照评估。 实施 COBIT 最佳惯例应与企业的治理和控制框架相一致。还应该与现有的方法和惯例相结合。需要注意的是,标准和最佳惯例并不是万能药。其有效性依赖于他们如何实施并且能够保持更新。它们作为“裁剪”特定过程的原则及起点时最为有用。为了避免这些惯例被束之高阁管理者及相关人员应理解惯例的目的、如何实施以及他们的莺要性。为了实现最佳惯例与业务要求的协调一致,建议将 COBIT 作为最高层次。COBIT 是基于 IT 过程模型的整体控制框架,这些 IT 过程模型适用于每个企业,特定领域的管理和标准可以映射到 COBIT 框架,因此,提供了一个指导材料体系。
