1、 .wd.COBIT的四个领域关注的是组织信息化建设的整个生命周期，因此对于我国的企业的信息化建设也具有指导意义。 一、COBIT的背景介绍 从现有的控制框架来看，以COSO为代表的业务控制框架，主要是从受托责任方面来考虑一般控制的价值，缺少对IT控制的阐述和说明；以CICA的IT控制指南为代表的IT控制框架，侧重于对技术进展控制。因此。这两类模型都没有全面照顾到业务和IT。COBIT的出现就是为了填补这个空白，它基于COSO，同时整合了全球所有主要的信息技术标准。因此既能关注IT，又能与业务日标严密联系，其任务就是研究、开发、出版和推动一个权威的、最新的、被国际上的企业，业务经理的日常使用、IT专业人上和鉴证专业认识所广泛承受的IT治理框架。 COBIT由ISACA开发与推广。1976年，ISACA专门设立ISACF。从事IT的管理、控制和安全保证领域的研究。同年。ISACF发布COBIT1.0版本。试图将它作为一种审计工具。为了响应对IT进展控制的需要，1998年发布的COBIT2.0，在1.0版本的根基上增加了资源文件的数据，改进了高层控制目标和具体控制目标，增加了实施工具包。1

2、998年，ISACA与ISACF合并设立了旨在促进IT治理原则推广和应用的ITGI，COBIT的后续的研究和更新就是由ITGI来完成的。ITGI在2000年发布的COBIT3.0版本中增加了管理指南，还将ISACA原始的“控制目标修改为管理目标，同时还扩大和加强了对IT治理的关注。使得COBIT演变为一个管理工具。IT的日益广泛应用，增加了对IT治理的需求，ITCI于2005年在广泛调查和研究的根基上，推出了COBIT4.0版本，它站在IT治理的角度，从更高的层面上来指导管理层进展IT控制和信息系统管理，使之成为一个真正意义上的IT治理框架。2007年5月，ITGI推出的COBIT4.1在40的根基上进展了微调，并无本质更新。整个演进过程可用图1来表示。 二、COBIT4.1框架解读 为了实现有效治理，需要业务管理者在既定的控制框架内对所有IT过程实施控制。COBIT通过IT过程来组织IT控制目标，控制框架提供了IT治理要求、IT过程和IT控制之间清晰的关系。关注业务、面向过程、基于控制和度量驱动是其主要特性。 (一)关注业务 关注业务是COBIT的主要宗旨。它设计不仅仅用来为IT服务

3、提供商、用户和审计师使用，更重要的是给管理者和业务流程所有者提供一个完整的指南。COBIT框架基于这样一个原则：要提供企业到达其目标所需的信息，企业需要使用一组构造化的过程来投资、管理和控制IT资源，以提供服务来交付企业所需的信息。 COBIT认为，IT的最终目标是为企业实现业务活动提供其所需的符合信息标准的信息，这些标准包括信息的有效性、效率性、保密性、完整性、可用性、符合性和可靠性，这可称之为业务的信息需求。尽管信息标准提供了一般的方法来定义业务需求，但是规定一组业务和IT目标为建设业务需求并依据这些要求开发度量的标准，这奠定了与业务相关且更加准确的根基。企业利用lT来保障业务活动。这可以表示为IT的业务目标。COBIT提供了一个业务目标、IT目标、信息标准之间的映射。这可以作为确定企业特定业务需求、目标和标准的指导。如果IT能够成功交付服务来支持企业的战略，那么应明确业务要求的所有者关系和指南，清楚应交付什么以及IT假设何交付。这就要求将企业战略目标转化为IT的业务目标，再将IT业务目标转化为IT自己的目标，进而定义为成功实施企业IT战略所需的IT资源和能力。一旦相应的目标确定下

4、来就需要对这些目标进展监控，以确保实际的交付可以满足预期的需求。 IT组织通过一组清楚定义的过程来交付这些目标。这些过程使用人工技能和技术根基设施来运行自动化的业务应用系统与此同时利用业务信息。这些资源与过程一道，组成了企业的IT架构。要满足业务对IT的需求，企业需要投资相关资源来建设充分的技术能力来支持业务能力，进而产生所需要的结果。COBIT定义的IT资源包括应用系统信息、根基设施和人员。 (二)面向过程 COBIT框架为企业中的每个人观察并管理IT活动提供了一个参考的过程模型和通用语言。将所有相关的业务局部的操作模型和通用语青整合到IT当中是实施良好IT治理最重要的步骤，也是最初始的步骤。COBIT提供了一个框架来度量和监控IT绩效、与服务提供商沟通、整合最正确管理惯例。一个过程模型鼓励过程所有者定义问责制和责任。要有效管理IT，重视管理IT内在的活动和风险非常重要，COBIT在四个领域内采用过程模型的方式来定义IT活动。这些领域是规划与组织、获取与实施、交付与支持，监控与评价，这四个领域映射到传统的IT职责领域：规划、建设、运行和监控。 横跨这四个领域，COBIT识别出34个一

5、般的IT过程，这可以作为企业验证IT活动和责任的完整性的过程清单。企业可以根据需要，进展选择性的配合使用。 (三)基于控制 COBIT将控制定义为：设计政策、程序、惯例和组织架构，对业务目标将被到达以及不期望事件能够被预防、检测和纠正来提供保证。IT控制目标提供了一个完整系列的高层需求，这些需求会被管理者考虑来有效控制每个IT过程。企业管理者需要作出与这些控制目标相关的选择，包括选择能够应用控制的局部，在已经选择的局部中确定需要实施的局部，选择假设何实施，承受对可以实施控制而未进展控制的局部所存在的风险。 COBIT对34个过程都定义了控制目标，每个控制目标又具体分为假设干的详细控制目标，除此之外，COBIT还确定了每个过程所需的一般性控制要求，包括过程的目的和目标，过程所有权过程的可重复性，角色和责任。政策、方案和程序。在实践中，应将他们与详细的过程控制目标共同考虑以形成一个完整的控制要求。COBIT为每个过程提供了一个范例：一般性的输入和输出；以RACI图表示的关于角色和职责的活动和指南；关键的活动目标；标准。 (四)度量驱动 为了对企业自身IT过程的绩效进展客观度量，COBIT开

6、发了成熟度模型进展标杆管理，从IT、IT过程和活动三个层次来定义控制的目标和标准。根据平衡计分卡来对过程绩效进展度量。 COBIT的成熟度模型是IT过程的定义框架，企业可借助它来认识到他们现在的状态并确定他们将来的状态。成熟度模型提供了对企业管理和IT过程控制演进每个阶段的一般性描述，它们是：在不同成熟度水平的一系列需求和能力方面；可以实现用较为容易的方法来对不同点进展测度的标准；一个可以使它进展实际比照的标准；设定当前状态和未来状态的根基；支持差距分析来决定还需要做什么以到达某个选定的水平。日标是采用从上到下的方法来定义控制的目标和标准的，因为业务目标将决定一些来支持它的IT目标。一个IT目标是通过一个过程来实现或者用数个过程相互结合来实现。因此，IT目标帮助定义不同的过程目标。反过来，每个过程目标需要一些活动，由此建设活动目标。在事后要判断目标是否被到达，可以用“结果标准进展度量；要在结果明朗事前确定这些目标是否能够被到达，则需要借助于“绩效指标。需要注意的是，COBIT仅仅提供IT目标结果的度量标准，而不提供业务目标的度量标准。 结果标准提供了业务平衡记分卡中财务与客户方面的评估

7、标准。它能够在事后告知管理层，IT功能、程序或者活动已经到达了它的目标。对IT功能的结果度量通常按照信息准则来表达：信息的有效性要求支持业务需求；远离完整性和保密性的风险；程序和操作符合本钱效益原则；确认可靠性、有效性和符合性。 绩效指标强调了平衡记分卡中的另外两个方面，即内部处理与创新。它用于决定业务的现状，IT功能或者IT程序的运行能确保目标的达成。它们是关于目标是否能够到达的“领先指标，由此来驱动更高层级的目标。它们通常度量适当能力、惯例和技能的可用性，以及潜在活动的结果。例如，一项IT所交付的服务是IT的一种目标，但是绩效指标和一项能力是用于业务的。这就是为什么绩效指标有时候被称为绩效驱动因素，尤其是在平衡记分卡中。 三、COBIT在我国的应用 由于我国信息化水平相对滞后，COBIT目前还只在一些信息化程度非常高的企业或者政府局部所采用，同时得益于中国IT治理研究中心的大力推动，COBIT的价值也日益得到相关人士的认同。从COBIT的特性来看，COBIT主要是一种IT治理工具同时还可作为建设和改善企业的IT内部控制和进展IT审计的指南。COBIT的四个领域关注的是组织信息化建设

8、的整个生命周期，因此对于我同的企业的信息化建设具有指导意义。 (一)作为IT治理的核心模型 有效的IT治理必须保证组织战略与IT战略的一致性，以组织战略作为IT建设与运行的 根本指导。对IT进展角色定位，从业务的视角创造信息技术指导原则，充分利用组织的现有资源来满足关键需求，防止建设的信息系统无法有效地支持组织的决策。 COBIT定位于IT治理的目标和范围，并与企业的治理准则相协调。COBIT认为IT治理是管理层和董事会的责任，它通过领导、组织构造和相应的过程来确保IT支持并拓展组织的战略和目标。它是一个集管理、问责制和监视为一体的质量控制系统。COBIT将一些最正确惯例进展整合并制度化。来确保组织的IT支持业务目标。从IT治理的五个关键领域来看，战略协调、价值交付、风险管理、资源管理和绩效管理都与COBIT的目标、标准、惯例和成熟度模型建设了映射关系，这使得IT治理在实践中可以做到有的放矢。 (二)作为企业信息化建设的实施指南 我国企业信息化建设普遍存在以下问题：欠缺长期的、整体的规划；重建设。轻管理；萤收益考量，轻风险与本钱管理；重技术、工具，轻过程、知识；企业业务战略变化较大带来

9、的用难。这些问题的根源在于缺乏对信息系统建设、应用的控制机制。缺乏每个环节上的控制目标，信息系统没有满足业务需求，或者在使用中由于缺乏有效手段，而导致使用效率过低，进而影响到业务的正常运作。 COBIT的4个领域涵盖了IT规划、建设、运行和监控整个生命周期，每个过程都有清晰的控制目标、成熟度模型，明确了过程的角色和职责，将各种目标统一于COBIT控制模型。COBIT的这些特性可以让企业从业务战略的高度来分析和设计信息系统，而且借助于控制只标和成熟度模型，可以让本钱效益原则在信息化建设过程中得到更好的贯彻。过程角色和职责的明确，既是科学管理原则的贯彻，也能够弥补信息化建设过程中制度的缺失。 (三)作为建设和优化IT内部控制的参考 许多国内企业管理者对内部控制的理解目前仍停留在人工控制的层面，尚未建设一套完善的信息技术内部控制来降低大量使用关键的信息系统而面临的风险。这主要表达在：IT部门之间以及IT部门与业务部门之间缺乏有效的沟通来保证信息技术部门的工作能够充分满足业务的需要。企业缺乏有效的IT内部审计机制来监视信息技术部门的工作，缺乏完善的对数据及系统的访问控制管理，缺乏对系统变更的有效管理，缺乏完善的系统开发管理，缺乏完善的系统运行控制，导致系统发生故障时无法及时发现解决故障而造成数据的丧失等(高智纬，李可，2006)。这些问题是那些大量应用信息系统的国内企业所亟待解决的，否则风险威胁一旦转变为现实的损失，损失程度将可能是企业难以承受的。 COSO虽然是理解和评价内部控制的全球性框架，但它是一个高度抽象的概念框架，没有对具体的控制目标和控制活动做出指引，更没有针对IT环境提出具体的控制要求，因而其对于IT环境的应用价值大打折扣。COBIT是一个信息技术风险管理和控制框架，而非内部控制框架，它依然是以COSO框架为根基，围绕IT控制环境的假设干方面提供概括性的指引，COBIT不仅在其控制同标与COSO的控制目标之间定义了清晰的联系，而且还将它的34个过程与COSO的5个要素之间建设了映射

《IT治理的核心模型COBIT的解读和应用.doc》由会员顺***分享，可在线阅读，更多相关《IT治理的核心模型COBIT的解读和应用.doc》请在八斗文库上搜索。