COBIT的解读及其在我国的应用
发表时间:2010-7-26 郑煦平阳杰来源:万方数据关键字:COBIT IT治理IT内部控制
COBIT以其关注业务、面向过程、基于控制和度量驱动的主要特性.能够对IT和业务进行联系和控制。COBIT主要是一种IT治理工具,同时还可作为建立和改善企业的IT 内部控制和进行IT审计的指南。COBIT的四个领域关注的是组织信息化建设的整个生命周期,因此对于我国的企业的信息化建设也具有指导意义。
一、COBIT的背景介绍
从现有的控制框架来看,以COSO为代表的业务控制框架,主要是从受托责任方面来考虑一般控制的价值,缺少对IT控制的阐述和说明;以CICA的IT 控制指南为代表的IT控制框架,侧重于对技术进行控制。因此。这两类模型都没有全面照顾到业务和IT。COBIT的出现就是为了填补这个空白,它基于COSO,同时整合了全球所有主要的信息技术标准。因此既能关注IT,又能与业务日标紧密联系,其任务就是研究、开发、出版和推动一个权威的、最新的、被国际上的企业,业务经理的日常使用、IT专业人上和鉴证专业认识所广泛接受的IT治理框架。
COBIT由ISACA开发与推广。1976年,ISACA专门设立ISACF。从事IT 的管理、控制和安全保证领域的研究。同年。ISACF发布COBIT1.0版本。试图将它作为一种审计工具。为了响应对IT进行控制的需要,1998年发布的COBIT2.0,在1.0版本的基础上增加了资源文件的数据,改进了高层控制目标和具体控制目标,增加了实施工具包。1998年,ISACA与ISACF合并设立了旨在促进IT治理原则推广和应用的ITGI,COBIT的后续的研究和更新就是由ITGI 来完成的。ITGI在2000年发布的COBIT3.0版本中增加了管理指南,还将ISACA 原始的“控制目标”修改为管理目标,同时还扩充和加强了对IT治理的关注。使得COBIT演变为一个管理工具。IT的日益广泛应用,增加了对IT治理的需求,ITCI于2005年在广泛调查和研究的基础上,推出了COBIT4.0版本,它站在IT 治理的角度,从更高的层面上来指导管理层进行IT控制和信息系统管理,使之成为一个真正意义上的IT治理框架。2007年5月,ITGI推出的COBIT4.1在4.0的基础上进行了微调,并无本质更新。整个演进过程可用图1来表示。
二、COBIT4.1框架解读
为了实现有效治理,需要业务管理者在既定的控制框架内对所有IT过程实施控制。COBIT通过IT过程来组织IT控制目标,控制框架提供了IT治理要求、IT过程和IT控制之间清晰的关系。关注业务、面向过程、基于控制和度量驱动是其主要特性。
(一)关注业务
关注业务是COBIT的主要宗旨。它设计不仅仅用来为IT服务提供商、用户和审计师使用,更重要的是给管理者和业务流程所有者提供一个完整的指南。COBIT框架基于这样一个原则:要提供企业达到其目标所需的信息,企业需要使用一组结构化的过程来投资、管理和控制IT资源,以提供服务来交付企业所需的信息。
COBIT认为,IT的最终目标是为企业实现业务活动提供其所需的符合信息标准的信息,这些标准包括信息的有效性、效率性、保密性、完整性、可用性、符合性和可靠性,这可称之为业务的信息需求。尽管信息标准提供了一般的方法来定义业务需求,但是规定一组业务和IT目标为建立业务需求并依据这些要求开发度量的标准,这奠定了与业务相关且更加精确的基础。企业利用lT来保障业务活动。这可以表示为IT的业务目标。COBIT提供了一个业务目标、IT目标、信息标准之间的映射。这可以作为确定企业特定业务需求、目标和标准的指导。如果IT能够成功交付服务来支持企业的战略,那么应明确业务要求的所有者关系和指南,清楚应交付什么以及IT如何交付。这就要求将企业战略目标转化为IT的业务目标,再将IT业务目标转化为IT自己的目标,进而定义为成功实施企业IT战略所需的IT资源和能力。一旦相应的目标确定下来.就需要对这些目标进行监控,以确保实际的交付可以满足预期的需求。
IT组织通过一组清楚定义的过程来交付这些目标。这些过程使用人工技能和技术基础设施来运行自动化的业务应用系统.与此同时利用业务信息。这些资源与过程一道,组成了企业的IT架构。要满足业务对IT的需求,企业需要投资相关资源来建立充分的技术能力来支持业务能力,进而产生所需要的结果。COBIT定义的IT资源包括应用系统.信息、基础设施和人员。
(二)面向过程
COBIT框架为企业中的每个人观察并管理IT活动提供了一个参考的过程模型和通用语言。将所有相关的业务部分的操作模型和通用语青整合到IT当中是实施良好IT治理最重要的步骤,也是最初始的步骤。COBIT提供了一个框架来度量和监控IT绩效、与服务提供商沟通、整合最佳管理惯例。一个过程模型鼓励过程所有者定义问责制和责任。要有效管理IT,重视管理IT内在的活动和风险非常重要,COBIT在四个领域内采用过程模型的方式来定义IT活动。这些领域是规划与组织、获取与实施、交付与支持,监控与评价,这四个领域映射到传统的IT职责领域:规划、建设、运行和监控。
横跨这四个领域,COBIT识别出34个一般的IT过程,这可以作为企业验证IT活动和责任的完整性的过程清单。企业可以根据需要,进行选择性的配合使用。
(三)基于控制
COBIT将控制定义为:设计政策、程序、惯例和组织架构,对业务目标将被达到以及不期望事件能够被预防、检测和纠正来提供保证。IT控制目标提供了一个完整系列的高层需求,这些需求会被管理者考虑来有效控制每个IT过程。企业管理者需要作出与这些控制目标相关的选择,包括选择能够应用控制的部分,在已经选择的部分中确定需要实施的部分,选择如何实施,接受对可以实施控制而未进行控制的部分所存在的风险。
COBIT对34个过程都定义了控制目标,每个控制目标又具体分为若干的详细控制目标,除此之外,COBIT还确定了每个过程所需的一般性控制要求,包括过程的目的和目标,过程所有权.过程的可重复性,角色和责任。政策、计划和程序。在实践中,应将他们与详细的过程控制目标共同考虑以形成一个完整的控制要求。COBIT为每个过程提供了一个范例:一般性的输入和输出;以RACI 图表示的关于角色和职责的活动和指南;关键的活动目标;标准。
(四)度量驱动
为了对企业自身IT过程的绩效进行客观度量,COBIT开发了成熟度模型进行标杆管理,从IT、IT过程和活动三个层次来定义控制的目标和标准。根据平衡计分卡来对过程绩效进行度量。
COBIT的成熟度模型是IT过程的定义框架,企业可借助它来认识到他们现在的状态并确定他们将来的状态。成熟度模型提供了对企业管理和IT过程控制演进每个阶段的一般性描述,它们是:在不同成熟度水平的一系列需求和能力方面;可以实现用较为容易的方法来对不同点进行测度的标准;一个可以使它进行实际比较的标准;设定当前状态和未来状态的基础;支持差距分析来决定还需要做什么.以达到某个选定的水平。日标是采用从上到下的方法来定义控制的目标和标准的,因为业务目标将决定一些来支持它的IT目标。一个IT目标是通过一个过程来实现或者用数个过程相互结合来实现。因此,IT目标帮助定义不同的过程目标。反过来,每个过程目标需要一些活动,由此建立活动目标。在事后要判断目标是否被达到,可以用“结果标准”进行度量;要在结果明朗事前确定这些目标是否能够被达到,则需要借助于“绩效指标”。需要注意的是,COBIT仅仅提供IT目标结果的度量标准,而不提供业务目标的度量标准。
结果标准提供了业务平衡记分卡中财务与客户方面的评估标准。它能够在事后告知管理层,IT功能、程序或者活动已经达到了它的目标。对IT功能的结果度量通常按照信息准则来表达:信息的有效性要求支持业务需求;远离完整性和保密性的风险;程序和操作符合成本效益原则;确认可靠性、有效性和符合性。
绩效指标强调了平衡记分卡中的另外两个方面,即内部处理与创新。它用于决定业务的现状,IT功能或者IT程序的运行能确保目标的达成。它们是关于目标是否能够达到的“领先指标”,由此来驱动更高层级的目标。它们通常度量适当能力、惯例和技能的可用性,以及潜在活动的结果。例如,一项IT所交付的服务是IT的一种目标,但是绩效指标和一项能力是用于业务的。这就是为什么绩效指标有时候被称为绩效驱动因素,尤其是在平衡记分卡中。
三、COBIT在我国的应用
由于我国信息化水平相对滞后,COBIT目前还只在一些信息化程度非常高的企业或者政府部分所采用,同时得益于中国IT治理研究中心的大力推动,COBIT的价值也日益得到相关人士的认同。从COBIT的特性来看,COBIT主要是一种IT治理工具.同时还可作为建立和改善企业的IT内部控制和进行IT审计的指南。COBIT的四个领域关注的是组织信息化建设的整个生命周期,因此对于我同的企业的信息化建设具有指导意义。
(一)作为IT治理的核心模型
有效的IT治理必须保证组织战略与IT战略的一致性,以组织战略作为IT 建设与运行的根本指导。对IT进行角色定位,从业务的视角创造信息技术指导原则,充分利用组织的现有资源来满足关键需求,避免建设的信息系统无法有效地支持组织的决策。
COBIT定位于IT治理的目标和范围,并与企业的治理准则相协调。COBIT 认为IT治理是管理层和董事会的责任,它通过领导、组织结构和相应的过程来确保IT支持并拓展组织的战略和目标。它是一个集管理、问责制和监督为一体的质量控制系统。COBIT将一些最佳惯例进行整合并制度化。来确保组织的IT 支持业务目标。从IT治理的五个关键领域来看,战略协调、价值交付、风险管理、资源管理和绩效管理都与COBIT的目标、标准、惯例和成熟度模型建立了映射关系,这使得IT治理在实践中可以做到有的放矢。
(二)作为企业信息化建设的实施指南
我国企业信息化建设普遍存在以下问题:欠缺长期的、整体的规划;重建设。轻管理;萤收益考量,轻风险与成本管理;重技术、工具,轻过程、知识;企业业务战略变化较大带来的用难。这些问题的根源在于缺乏对信息系统建设、应用的控制机制。缺乏每个环节上的控制目标,信息系统没有满足业务需求,或者在使用中由于缺乏有效手段,而导致使用效率过低,进而影响到业务的正常运作。
COBIT的4个领域涵盖了IT规划、建设、运行和监控整个生命周期,每个过程都有清晰的控制目标、成熟度模型,明确了过程的角色和职责,将各种目标统一于COBIT控制模型。COBIT的这些特性可以让企业从业务战略的高度来分析和设计信息系统,而且借助于控制只标和成熟度模型,可以让成本效益原则在信息化建设过程中得到更好的贯彻。过程角色和职责的明确,既是科学管理原则的贯彻,也能够弥补信息化建设过程中制度的缺失。
(三)作为建立和优化IT内部控制的参考
许多国内企业管理者对内部控制的理解目前仍停留在人工控制的层面,尚未建立一套完善的信息技术内部控制来降低大量使用关键的信息系统而面临的风险。这主要体现在:IT部门之间以及IT部门与业务部门之间缺乏有效的沟通来保证信息技术部门的工作能够充分满足业务的需要。企业缺乏有效的IT内部审计机制来监督信息技术部门的工作,缺乏完善的对数据及系统的访问控制管理,缺乏对系统变更的有效管理,缺乏完善的系统开发管理,缺乏完善的系统运行控制,导致系统发生故障时无法及时发现解决故障而造成数据的丢失等(高智纬,李可,2006)。这些问题是那些大量应用信息系统的国内企业所亟待解决的,否则风险威胁一旦转变为现实的损失,损失程度将可能是企业难以承受的。
COSO虽然是理解和评价内部控制的全球性框架,但它是一个高度抽象的概念框架,没有对具体的控制目标和控制活动做出指引,更没有针对IT环境提出具体的控制要求,因而其对于IT环境的应用价值大打折扣。COBIT是一个信息技术风险管理和控制框架,而非内部控制框架,它依然是以COSO框架为基础,围绕IT控制环境的若干方面提供概括性的指引,COBIT不仅在其控制同标与COSO的控制目标之间定义了清晰的联系,而且还将它的34个过程与COSO的5个要素之间建立了映射关系。COBIT针对IT环境制定了一系列详细控制目标,并将这些控制目标置于一个逻辑性的控制结构下,其应用性较强。因此可以说,COBIT框架是IT环境下COSO框架的有益补充。
对于尚未建立IT内部控制的企业而言,可以根据风险评估的结果,对一些关键控制点进行控制。对于已经初步建立了IT内部控制的组织。可以参照COBIT 的要求对企业IT内部控制现状进行分析,找出差距,进而确定需要增加或者完善的控制点,对每个控制点的控制活动必须进行清晰的描述和文档化,这些控制活动必须具备可操作性和可检验性,最终形成IT控制矩阵。企业必须完成一整套与IT控制相关的文档,随后通过细致扎实的工作落实已被确定的IT控制点,从而使IT控制得到贯彻实施。
(四)作为IT审计的工具
IT审计的目的就是要从制度保障方面,彻底解决信息系统规划、建设、实施、维护和控制过程中,与企业业务、管理和战略的融合问题。通过量化的方法,衡餐信息系统对企业业务带来的影响.进而评估这些影响种的风险因素和价值因素,有目的地对信息系统的质量、方法、过程和绩效,出具类似财务审计意见的报告。以便企业董事会和管理层能够真正了解和把握本企业内信息系统的核心作用。
IT业务流程是COBIT关注的焦点,对每一个lT业务流程。COBIT提出了一系列的控制目标、相应的实现这些控制目标的控制程序,评价这共控制程序是否存在,并被有效执行的一系列审计程序。该标准为IT治理、安全与控制提供了一个普遍适用的公认标准,以辅助管理层进行IT治理。为了改善对IT过程模型的理解,COBIT为每个IT过程进行了定义,对每个过程及基本输入/输出及与其他过程的关系进行了描述,确定它从哪个过程来,到哪个过程去,或是否有其它路径。这些输入,输出的连接使COBIT中的关键过程被确定下来。方便审计人员对审计对象及其相关控制的理解。
在运用COBIT实施IT审计时,可从COBIT有关过程中的控制目标入手,进行风险分析,得出与该过程相关的风险控制目标,再从风险控制目标中导出与该目标相关的风险控制点。针对每个风险控制点,结合企业自身的技术特色,找出其所包含的风险检杳点,风险检查点又可以组成对相关部分的检查表。针对检查的结果,与COBIT相关部分中的要求相比照,找出相关的薄弱点,并就此提出相应的改进意见。风险控制目标和风险枪查点之间的推导方式主要有两种,一种是自下而上,即从具体的管理过程或技术实施措施人手。从中得出相应的风险控制点,对相应的风险控制点进行提炼。最后得到风险控制目标;一种是自上而下。从风险控制日标出发.将其进行分解,得到相应的风险控制点并对其进行细
分,直到能够直接得出检查点为止。最后将得到的风险控制日标与COBIT相关过程的控制目标相比较,以确保整个信息系统审计目标的完整性。
四、COBIT在应用过程中需要注意的问题
COBIT建市在对现有IT标准和最佳惯例分析和融合的基础之上,并遵循通用的治理准则。COBIT定位于高端.由业务需求驱动,覆盖了所有的IT活动,它关注的是治理、管理和控制应该达到什么目标,而并不是关注如何去做。为了弥补COBIT操作性不足的弱点,在实务中结合其他的标准和最佳惯例来使用。例如,在对企业数据中心安全方面进行审计时,可以参照BS7799(信息安全管理体系标准)中的相应内容.也可以参照SSE-CMM(系统安全工程能力成熟度模型)的标准来进行;在涉及信息系统的交付和支持时,则可以采用ITIL(IT服务管理标准库)中的内容来对数据中心的相关活动进行评价和审计;在对数据中心内控机制的建设情况进行评价时,就可参照COSO中的相应条款来比照评估。
实施COBIT最佳惯例应与企业的治理和控制框架相一致。还应该与现有的方法和惯例相结合。需要注意的是,标准和最佳惯例并不是万能药。其有效性依赖于他们如何实施并且能够保持更新。它们作为“裁剪”特定过程的原则及起点时最为有用。为了避免这些惯例被束之高阁.管理者及相关人员应理解惯例的目的、如何实施以及他们的莺要性。为了实现最佳惯例与业务要求的协调一致,建议将COBIT作为最高层次。COBIT是基于IT过程模型的整体控制框架,这些IT过程模型适用于每个企业,特定领域的管理和标准可以映射到COBIT框架,因此,提供了一个指导材料体系。