IT治理和COBIT（2）

3.2.2.2.2 COBIT控制原理

COBIT的控制原理源自这样一个假设：IT部门的最高准则和目标是及时向企业提供实现其战略或业务目标所需的、准确的信息，在此准则下，有必要将IT资源划分为一系列IT流程进行管理。这样，COBIT将信息准则，IT资源以及IT流程联系起来，形成一个三维的体系结构。

信息准则维- 信息准则维集中反映了企业的战略目标和业务需求。COBIT通过参考COSO等控制模型，定义了7个不同的信息评价指标衡量其是否满足了业务需求，即信息的有效性(Effectiveness)、高效性(Efficiency)、机密性(Confidenciality)、完整性(Integrity)、可用性(Availability)、一致性(Compliance)、可靠性(Reliability)。

IT资源维- 在COBIT中，IT 资源维主要包括以人、应用系统、信息、基础设施在内的信息相关的资源，这是IT流程处理的主要对象。

IT流程维- IT 流程维指的是在信息准则的指导下，对IT资源进行规划与处理。从本质上看，对IT资源的管理包含了三层工作：最底层是基本的活动和任务（activity）；往上是流程（process），它由一系列关联的能够自然终止的活动和任务组成；再往上流程按照组织结构中的责任区别划分控制域（Domain），同时符合流程中的管理周期或生命周期。

在市场竞争环境下，如何在商业目标、IT资源、IT流程三者之间构建起一道畅通无阻的沟通纽带是十分重要的。COBIT通过在IT流程中建立起控制目标和控制程序，成功将IT资源与信息准则（商业目标）连接起来：

• 信息资源接受商业目标提出的需求；
• 控制模型对信息资源进行管理与控制；
• 商业目标从IT流程的控制模型中获取信息，判断其目标达到的程度。

这样，在一个由三者共同组成的循环中，IT资源得以充分利用、IT流程得以优化、IT准则得以实现，从而保障组织目标的顺利达成。

3.2.2.2.3 COBIT控制目标

IT的控制目标是指组织在特定的IT活动中通过行使控制而达到的期望的结果和目的。通过实现控制目标，可以保证对组织的IT环境已建立了一套充分的控制机制。COBIT将控制目标以面向IT流程的方式来定义，每个IT流程对应一个高级控制目标。这34个IT流程如表 3‑1所示：

1规划与组织 (Plan & Organize)	2获得与实施 (Acquire & Implement)	3交付与支持 (Deliver & Support)
PO1定义战略性IT规划	AI1确定自动化解决方案	DS1定义和管理服务级别
PO2定义信息体系结构	AI2获取和维护应用软件	DS2管理第三方的服务
PO3决定采用技术的方向	AI3获取和维护技术基础设施	DS3性能和能力管理
PO4定义IT流程/组织及其关系	AI4管理运营和使用	DS4确保服务持续性
PO5管理IT投资	AI5采购IT资源	DS5确保系统安全
PO6传达管理目标和方向	AI6变更管理	DS6确定并分配成本
PO7人力资源的管理	AI7安装和授权应用方案和变更	DS7客户培训
PO8质量管理		DS8管理服务台和突发事件
PO9风险评估和管理	4监控与衡量(Monitor & Evaluate)	DS9配置管理
PO10项目管理	ME1监控和评价IT性能	DS10问题管理
	ME2监控和评价内部控制	DS11数据管理
	ME3确保符合规范	DS12物理环境管理
	ME4提供IT治理	DS13运营管理

每一个高级控制目标包括该IT流程要满足的业务需求、完成IT流程的途径、实施IT控制目标的措施和控制程序、评价控制程序有效性的监控审计程序、以及其他一些需要在实践中要考虑的问题。

此外，COBIT还详细指明了高级控制目标、信息评价指标和IT资源之间的关系。不同的控制措施并不要求IT在同等程度上满足业务对信息的各种不同需求，所定义的控制目标可能直接、间接、或者不满足某一项信息评价指标，对此，COBIT指明了不同控制目标所适用的信息评价指标以及适用的程度。

COBIT是企业战略目标与IT控制目标之间联系的纽带。COBIT能够有效指导IT控制与业务需求之间的整合。由于COBIT认为IT控制的最终目标是为企业实现业务活动提供其所需的符合质量的信息，因此COBIT的信息质量标准完全依据业务活动的需求而制定的。它通过控制IT流程和IT资源实现企业和IT目标，同时确保IT和信息系统的安全性和完整性，满足IT治理的需要。

在IT控制过程中，COBIT针对每一个IT控制目标，指导企业根据业务活动性质、环境变化以及风险评估结果确定各信息质量标准的重要性程度，以便明确IT控制的关键成功因素，采取合适的IT控制措施。这样，企业根据业务目标确定信息需求，对信息质量标准的重要性进行排列，IT控制活动及其结果就能够与业务需求之间建立紧密的联系。同时，开放的COBIT通过借鉴各行各业的实践经验不断完善，保证了COBIT对经济环境及业务需求的及时适应和调整。

3.2.2.3 运用COBIT

COBIT是一套通用的框架，但是它的目的并不是为企业提供一套“放之四海而皆准”的真理。COBIT是开放的，它真正的价值体现在控制思想上，企业应当针对自身实际量体裁衣，对COBIT控制目标有计划有目的地进行增减。企业应在开展IT控制能力建设之前，应广泛地与业务部门进行接触，并在外部审计机构、咨询顾问的帮助下，制定适合企业实际的IT控制目标体系。

明确控制目标后，还要对控制活动的各个要素有清醒的认识，以便在后续过程中有针对性地开展行动：

• 控制基准：企业的现状如何？其他企业的情况又如何？应该怎样进行衡量和比较？
• 执行关键：哪些活动对控制结果最为重要？控制的关键成功因素是什么？
• 风险意识：企业的风险偏好如何？影响控制目标达成的风险如何？控制失效的风险又如何？
• 绩效衡量：控制的绩效应由哪些指标进行衡量？衡量指标达到怎样的水平才能说明控制绩效良好？

关键成功因素（CSF）保证IT流程处于控制之下。COBIT通过分析IT目标达成的影响因素，列举每个控制目标的关键成功因素。CSF以达到控制目标为导向，包括一系列战略性或技术性的流程和活动，比如行动方案所要求的必备事项或条件，为提高成功概率所必须完成的重要事件等。不同企业的关键成功因素有一定的区别，但企业都可以参考COBIT的管理和审计指南确定关键成功因素。一般来说，IT控制活动应该满足战略、战术、技术、管理四个不同层面的要求，各层又分别包括计划、执行、审核和纠正等四项具有逻辑关联性的活动。

COBIT的指标体系指导企业衡量IT流程绩效。对于每一个控制目标，COBIT提供了两种不同的绩效指标：关键目标指标(KGI) 和关键绩效指标(KPI)，两者都采用量化的方式加以表示。KGI用来识别和衡量IT流程的产出，描述IT控制活动“应该完成什么”。这是一种事后的衡量，便于IT控制确认目标。

综上，企业在IT控制能力建设过程中COBIT的使用方法可以总结如下：

(1) 实现IT目标与业务的一致

(2) 确定IT控制目标，包括整体IT控制目标和每个IT流程目标；

(3) 根据IT成熟度模型制定的IT控制基准；

(4) 为每个IT控制目标确定关键成功因素（CSF, ）；

(5) 确定关键目标指标（KGI）和关键绩效指标(KPI)；

(6) 通过KPI进行监控，衡量组织是否能达到KGI中所设定的业务活动目标。

来源：科索路