COBIT 4.0:解讀與啟示
1 從優(yōu)秀到卓越
1.1 COBIT 4.0產(chǎn)生的背景
COBIT框架標(biāo)準(zhǔn)自推出便將目光著眼于IT治理在商業(yè)環(huán)境中的有效實(shí)施。在過去的幾年中, IT治理學(xué)會(huì)始終致力于COBIT標(biāo)準(zhǔn)體系的研發(fā)與實(shí)施工作, 并通過其下屬的COBIT程序委員會(huì)組織進(jìn)行了一系列有關(guān)控制目標(biāo)、管理指南等方面的研究項(xiàng)目。促使COBIT不斷更新發(fā)展的一個(gè)關(guān)鍵推動(dòng)力來自于商業(yè)環(huán)境的變化。近幾年來, 伴隨著IT行業(yè)的飛速發(fā)展, 信息技術(shù)也更加深入而廣泛的融入到商業(yè)環(huán)境中的各個(gè)層次和領(lǐng)域當(dāng)中, 從而使得商業(yè)運(yùn)作方式也隨之發(fā)生巨大變化。
(1) 完善公司治理結(jié)構(gòu)和機(jī)制的需要。作為公司治理的一個(gè)核心組成部分, IT治理越來越多地吸引著來自社會(huì)各方面的關(guān)注, 其中, 公司治理層(董事會(huì)) 更加關(guān)心公司IT治理問題, 管理層需要積極有效的實(shí)施IT管理戰(zhàn)略。因此, IT治理標(biāo)準(zhǔn)就應(yīng)更充分的著眼于商業(yè)領(lǐng)域現(xiàn)狀及其運(yùn)行機(jī)制,從而實(shí)現(xiàn)IT治理控制目標(biāo)與商業(yè)需求的戰(zhàn)略統(tǒng)一。
(2) 滿足信息技術(shù)進(jìn)步與發(fā)展的需要。信息技術(shù)的廣泛應(yīng)用, 使得IT治理標(biāo)準(zhǔn)所面對(duì)的受眾群體日趨多樣化, 其中不僅包括IT專業(yè)人士、信息安全專家等, 更包含了來自其它不同專業(yè)領(lǐng)域的人員, 比如審計(jì)師、行業(yè)監(jiān)管人員、企業(yè)高層管理者等等。這就要求IT治理標(biāo)準(zhǔn)既要以確保IT運(yùn)作績效為目標(biāo), 同時(shí)更應(yīng)當(dāng)能夠滿足來自不同行業(yè)人員的多方面多層次需要。
(3) 適應(yīng)IT管理實(shí)踐的需要。由于信息技術(shù)最優(yōu)實(shí)踐標(biāo)準(zhǔn)的成熟度日趨提高, 諸如ITIL、ISO17799等專業(yè)標(biāo)準(zhǔn)指南也有著越來越廣泛的應(yīng)用市場。這就需要將COBIT標(biāo)準(zhǔn)打造成一種“集大成”的IT治理框架標(biāo)準(zhǔn), 成為企業(yè)首選的具有高度可靠性和可操作性的IT治理控制指南。
1.2 COBIT 4.0總體框架
COBIT 4.0主要由四部分構(gòu)成, 即管理人員概覽、COBIT框架、核心內(nèi)容以及附錄部分。其中的核心內(nèi)容又將34個(gè)IT流程進(jìn)一步分為四個(gè)部分: 計(jì)劃和組織( Plan and Organize) 、取得和實(shí)施(Acquire and Implement) 、交付和支持Deliver and Support) 以及監(jiān)督和評(píng)價(jià)(Monitor and Evaluate) 。COBIT4.0總體框架如圖1所示:
從總體框架來看, COBIT4.0所體現(xiàn)的一個(gè)基本原則就是通過34個(gè)IT流程的執(zhí)行運(yùn)作,對(duì)IT資源進(jìn)行管理、控制與利用,從而達(dá)到使IT治理的實(shí)施最終滿足商業(yè)需求這一目標(biāo)。
COBIT4.0控制框架將這34個(gè)IT流程與商業(yè)需求聯(lián)系起來,形成了一個(gè)得到廣泛認(rèn)可的IT流程模型,對(duì)于IT流程的描述主要又分為四個(gè)方面,即:高層控制目標(biāo);具體控制目標(biāo);管理指南;成熟模型,此外還包含四種主要的IT資源以及相關(guān)管理控制目標(biāo)的認(rèn)定。從具體內(nèi)容上看, COBIT 4.0將IT治理目標(biāo)的控制和監(jiān)管與商業(yè)需求緊密結(jié)合,為IT治理的實(shí)施提供了很好的框架支持,一方面保證企業(yè)的IT資源得到充分且有效的利用,另一方面也有助于合理防控IT風(fēng)險(xiǎn),從而使信息技術(shù)更好的服務(wù)于商業(yè)行為及企業(yè)價(jià)值最大化的目標(biāo)。
1.3 從COBIT 3 到COBIT 4.0
COBIT 4.0的研發(fā)工作歷時(shí)約五年,然而, COBIT 4.0的推出并不意味著完全取代原有的COBIT 3 rd,而是在前一版基礎(chǔ)上提高和強(qiáng)化。除了對(duì)原有的34個(gè)IT流程進(jìn)行調(diào)整部分修改和調(diào)整之外,更重要的變化體現(xiàn)在其所關(guān)注的核心領(lǐng)域上。
(1) 在IT治理方面, 增加了新的控制目標(biāo)、完善了測(cè)度指標(biāo)體系。COBIT 4.0著眼于公司治理與IT治理及相關(guān)領(lǐng)域的整合與銜接, 更進(jìn)一步規(guī)范和改善了IT治理的實(shí)施與評(píng)價(jià)過程。盡管COBIT 3 rd標(biāo)準(zhǔn)已經(jīng)涵蓋了其中的絕大多數(shù)內(nèi)容,但研究標(biāo)明, 由于運(yùn)作環(huán)境、技術(shù)因素等方面的變化, COBIT 3 rd與具體實(shí)踐之間仍存在著一定差距。為此, 更新版的COBIT 4.0對(duì)原有的IT流程進(jìn)行相應(yīng)調(diào)整, 將每一個(gè)IT流程對(duì)應(yīng)于相關(guān)的IT治理核心領(lǐng)域, 并增加了新的控制目標(biāo), 以彌補(bǔ)第三版的缺陷。同時(shí), 又對(duì)KPIs/KGIs指標(biāo)進(jìn)行具體的因果關(guān)系分析等, 為我們提供了一個(gè)更為清晰而完善的測(cè)度指標(biāo)體系。
(2) 在商業(yè)運(yùn)作方面, 揭示了商業(yè)目標(biāo)、IT目標(biāo)以及具體IT流程之間的對(duì)應(yīng)關(guān)系。一直以來, COBIT的基本原則就是以商業(yè)需求為目標(biāo), 而當(dāng)前人們最為關(guān)注的則是“如何在不同的行業(yè)領(lǐng)域?qū)崿F(xiàn)信息技術(shù)對(duì)商業(yè)目標(biāo)的支持”, 比利時(shí)的安特衛(wèi)普大學(xué)針對(duì)這一課題進(jìn)行了大量研究, 在COBIT4.0中提供給我們一個(gè)普遍適用的“商業(yè)目標(biāo)/IT目標(biāo)對(duì)照表”, 揭示了商業(yè)目標(biāo)、IT目標(biāo)以及具體IT流程之間的一般性對(duì)應(yīng)關(guān)系, 從而幫助管理層結(jié)合本企業(yè)具體環(huán)境實(shí)施有效的治理活動(dòng)。
(3) 在適用性方面, 更加關(guān)注與其他IT標(biāo)準(zhǔn)的兼容性。相比之下, COBIT 4.0 更加關(guān)注自身與其他IT標(biāo)準(zhǔn)的兼容性, 幫助使用者整合COBIT與ITIL、ISO17799、PMBOK以及PR INCE2等標(biāo)準(zhǔn), 并盡可能做到所使用術(shù)語和原則與其他標(biāo)準(zhǔn)的協(xié)調(diào)一致。此外, 由于審計(jì)一直都是COBIT所關(guān)注的重要領(lǐng)域, 因此它也十分強(qiáng)調(diào)對(duì)風(fēng)險(xiǎn)的管理和控制, 在這方面,COBIT 4.0更充分的體現(xiàn)了風(fēng)險(xiǎn)與價(jià)值間的平衡關(guān)系, 并且吸納了近年來相關(guān)領(lǐng)域?qū)T價(jià)值管理研究的最新成果。
2 COBIT 4.0對(duì)IT治理的實(shí)踐指導(dǎo)
COBIT4.0 “管理人員概覽”部分中指出: IT治理是由企業(yè)管理人員與執(zhí)行董事會(huì)負(fù)責(zé)實(shí)施的, 這一領(lǐng)域涵蓋了領(lǐng)導(dǎo)層、企業(yè)組織結(jié)構(gòu)及一系列相關(guān)工作流程, 旨在確保企業(yè)的信息技術(shù)( IT) 能夠支持并拓展企業(yè)的戰(zhàn)略目標(biāo)。COBIT作為IT治理的一個(gè)重要的技術(shù)支持模型, 它涵蓋了IT運(yùn)作中的所有基本流程, 指導(dǎo)著從IT目標(biāo)確立到IT流程運(yùn)作、從管理控制活動(dòng)到結(jié)果評(píng)價(jià)與績效考核的整個(gè)IT治理實(shí)踐過程, 如圖2所示, 它為信息技術(shù)及商業(yè)管理者提供了一個(gè)普遍適用的參考標(biāo)準(zhǔn)。
2.1 COBIT 4.0在IT治理實(shí)踐中的“紐帶”作用
COBIT4.0標(biāo)準(zhǔn)主要著眼于商業(yè)目標(biāo)與IT目標(biāo)、IT流程的整合與銜接, 很好實(shí)現(xiàn)了公司治理與IT治理及其相關(guān)領(lǐng)域的有機(jī)結(jié)合。COBIT4.0構(gòu)建了如圖3所示的關(guān)系鏈, 以完善其目標(biāo)體系和控制結(jié)構(gòu)。這一關(guān)系鏈中的關(guān)鍵環(huán)節(jié)在于“ IT目標(biāo)、商業(yè)目標(biāo)”以及“IT治理、公司治理”, 更準(zhǔn)確的講,IT治理應(yīng)當(dāng)被視為整個(gè)公司治理框架體系下的一個(gè)核心子系統(tǒng)。COBIT4.0揭示了公司治理與IT治理之間的關(guān)系, 并從技術(shù)層面上為IT治理的實(shí)施提供保證, 實(shí)現(xiàn)二者的戰(zhàn)略一致性。一方面IT治理的實(shí)施最初來源于企業(yè)總體戰(zhàn)略目標(biāo)的確立, 它體現(xiàn)著“以組織戰(zhàn)略目標(biāo)為中心”的思想, 側(cè)重于企業(yè)信息資源的規(guī)劃和管理, 通過合理配置、充分利用IT資源為企業(yè)創(chuàng)造價(jià)值, 因而它在公司治理中的中心位置不容忽視。另一方面, 公司治理驅(qū)動(dòng)和調(diào)整IT治理的實(shí)施, 將其作為企業(yè)總體戰(zhàn)略部署的一個(gè)關(guān)鍵環(huán)節(jié), 并借助相關(guān)標(biāo)準(zhǔn)來檢驗(yàn)IT治理的目標(biāo)和執(zhí)行效果, 這也充分體現(xiàn)了“信息技術(shù)影響著企業(yè)的戰(zhàn)略競爭機(jī)遇”。因此, 很好實(shí)現(xiàn)了公司治理與IT治理及其相關(guān)領(lǐng)域的有機(jī)結(jié)合, COBIT4.0標(biāo)準(zhǔn)主要著眼于商業(yè)目標(biāo)與IT目標(biāo)、IT流程的整合與銜接。
2.2 實(shí)施IT治理的關(guān)鍵目標(biāo)及相關(guān)流程
如前所述, 在IT治理方面, COBIT4.0揭示了“商業(yè)目標(biāo)e IT目標(biāo)e IT資源e IT流程e IT治理核心領(lǐng)域”這樣一條重要的關(guān)系鏈, 為管理層提供了從公司治理到IT治理, 從商業(yè)目標(biāo)到IT目標(biāo)的技術(shù)指導(dǎo), 以達(dá)成二者的戰(zhàn)略統(tǒng)一。當(dāng)然,從商業(yè)目標(biāo)到IT目標(biāo)、IT流程的聯(lián)系是復(fù)雜而多樣的, COBIT4.0將商業(yè)目標(biāo)分為財(cái)務(wù)方向、客戶層面、內(nèi)部控制以及企業(yè)的學(xué)習(xí)與成長這四個(gè)部分, 共20 項(xiàng), 另有28 個(gè)IT目標(biāo), 通過“商業(yè)目標(biāo)e IT目標(biāo)e信息標(biāo)準(zhǔn)”的對(duì)應(yīng), 以及“IT目標(biāo)e IT流程e信息標(biāo)準(zhǔn)”的對(duì)應(yīng), 并借助COBIT三維模型將IT流程、IT資源和商業(yè)需求(信息要求) 聯(lián)系起來,同時(shí), 每一IT流程有對(duì)應(yīng)于相關(guān)的IT治理核心領(lǐng)域。這樣一個(gè)交錯(cuò)而有序的網(wǎng)絡(luò)模型將IT治理各相關(guān)要素相互關(guān)聯(lián)成為有機(jī)整體, 確保了實(shí)施IT治理各環(huán)節(jié)的目的性、合理性、可行性及有效性。需要說明的是, COBIT4.0中所提供的34個(gè)IT流程是不可能也不需要在同一個(gè)企業(yè)中同時(shí)實(shí)施的, 管理層應(yīng)當(dāng)結(jié)合具體目標(biāo)和特定的實(shí)踐環(huán)境, 將它們分解為小的管理單元進(jìn)行運(yùn)作。
2.3 IT治理實(shí)踐活動(dòng)的績效考核
如果說目標(biāo)的設(shè)定是實(shí)施IT治理的一個(gè)關(guān)鍵環(huán)節(jié), 那么需要采取什么樣的標(biāo)準(zhǔn)和途徑來評(píng)價(jià)目標(biāo)完成情況, 其重要性亦不亞于目標(biāo)本身。在這里, 我們需要關(guān)注COBIT4.0 中的兩類重要測(cè)度指標(biāo), 即關(guān)鍵目標(biāo)指標(biāo)(KGIs) 和關(guān)鍵績效指標(biāo)(KP Is) 。關(guān)鍵目標(biāo)指標(biāo)用來測(cè)度商業(yè)目標(biāo)、IT目標(biāo)、IT流程以及活動(dòng)目標(biāo), 它屬于基礎(chǔ)性或稱為“滯后性”指標(biāo), 測(cè)定某個(gè)環(huán)節(jié)所必需達(dá)到的標(biāo)準(zhǔn), 根據(jù)所測(cè)度的范圍具體又分為四個(gè)層次, 即關(guān)鍵商業(yè)目標(biāo)指標(biāo)、關(guān)鍵IT目標(biāo)指標(biāo)、關(guān)鍵IT流程指標(biāo)以及關(guān)鍵活動(dòng)目標(biāo)指標(biāo)。與之相對(duì)的關(guān)鍵績效指標(biāo)則是一種“先導(dǎo)性”指標(biāo), 用來測(cè)度某個(gè)環(huán)節(jié)的執(zhí)行效果如何。這就表明關(guān)鍵績效指標(biāo)與關(guān)鍵目標(biāo)指標(biāo)二者在某一特定層面上存在著重要的因果關(guān)聯(lián)性。
3 兩點(diǎn)啟示
綜合上述分析與研究, 我們可以得出以下兩點(diǎn)啟示:
3.1 COBIT 4.0對(duì)建立我國IT治理相關(guān)標(biāo)準(zhǔn)具有學(xué)習(xí)和借鑒作用
目前, 我國IT治理的發(fā)展相對(duì)滯后, 尚未建立起一套相對(duì)完整的符合我國實(shí)際的IT治理框架標(biāo)準(zhǔn)。通過對(duì)COBIT4.0模型的研究, 一方面, 在啟步階段, 我們應(yīng)當(dāng)充分研究和吸收國外先進(jìn)成果, 并結(jié)合我國相關(guān)領(lǐng)域發(fā)展現(xiàn)狀, 合理引入國際上相對(duì)成熟的IT治理標(biāo)準(zhǔn), 以加快我國信息化進(jìn)程的步伐。另一方面, 從長遠(yuǎn)發(fā)展的角度看, 要想在該領(lǐng)域取得實(shí)質(zhì)性發(fā)展和提高, 當(dāng)然還需要建立起一套適合我們自身需要的標(biāo)準(zhǔn)體系。在這方面, COBIT 4.0為我們提供了一個(gè)很好的藍(lán)本, 它所揭示出的各種關(guān)聯(lián)關(guān)系為我們?cè)谠擃I(lǐng)域研究提供參考的同時(shí), 也為我國IT治理相關(guān)標(biāo)準(zhǔn)的建立提出了一個(gè)有效而可行的思路。需要明確的是, “借鑒”不等于“效仿”, COBIT的成功經(jīng)驗(yàn)值得我們學(xué)習(xí), 但在一些具體的應(yīng)用領(lǐng)域, 國內(nèi)外還是存在相當(dāng)差異的, 比如我國的公司組織結(jié)構(gòu)明顯區(qū)別于美國, 因此我國的公司治理也必然有其特殊性, 而具體到IT治理領(lǐng)域, 這就要求我們的IT治理標(biāo)準(zhǔn)能夠真正服務(wù)于我國的商業(yè)運(yùn)作與IT治理實(shí)踐活動(dòng)。
3.2 COBIT4.0對(duì)建立我國信息系統(tǒng)控制與審計(jì)準(zhǔn)則具有參考價(jià)值
構(gòu)建基于COBIT的信息系統(tǒng)控制與審計(jì)模型, 將有助于我們對(duì)信息系統(tǒng)建設(shè)、運(yùn)行、評(píng)價(jià)及維護(hù)過程的分析研究,指導(dǎo)我們建立起相應(yīng)的機(jī)制, 將信息系統(tǒng)項(xiàng)目運(yùn)作的全部過程置于有效的管理與控制之下。同時(shí)幫助信息系統(tǒng)審計(jì)師進(jìn)一步明確其審計(jì)目標(biāo)和審計(jì)軌跡, 使其鑒證工作及報(bào)告結(jié)果等更具有針對(duì)性和說服力。自1997年以來, 國際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)( ISACA) 以COBIT為依據(jù), 逐步建立起一套相對(duì)完善的信息系統(tǒng)審計(jì)準(zhǔn)則體系。該準(zhǔn)則體系由基本準(zhǔn)則、審計(jì)準(zhǔn)則和作業(yè)程序這三個(gè)層次構(gòu)成, 截至2007年2月已制定并發(fā)布執(zhí)行的有14項(xiàng)基本準(zhǔn)則、36項(xiàng)審計(jì)指南和11個(gè)工作程序, 另有若干個(gè)征求意見稿。從1996年首次發(fā)布的COBIT框架到現(xiàn)在的COBIT4.0, 以及整個(gè)ISACA信息系統(tǒng)審計(jì)準(zhǔn)則體系的構(gòu)建和不斷完善, 這樣一個(gè)發(fā)展思路和軌跡是十分值得我國學(xué)習(xí)和借鑒的。建立起一套符合我國實(shí)際的IT標(biāo)準(zhǔn), 并在此基礎(chǔ)上結(jié)合信息系統(tǒng)控制與審計(jì)工作的實(shí)務(wù), 構(gòu)建我國的信息系統(tǒng)審計(jì)準(zhǔn)則框架并在實(shí)踐中不斷完善, 這將是一個(gè)不斷學(xué)習(xí)、借鑒、探索并提高的過程。
最后, IT治理學(xué)會(huì)( ITGI) 已于2007年4月末推出COBIT4.1版本及與之相關(guān)的一系列新版和修訂版COBIT出版物, 進(jìn)一步完善了COBIT 4 系列標(biāo)準(zhǔn)體系。COBIT4.1 是在COBIT4.0框架下進(jìn)行的提高式的更新, 例如, 充實(shí)了“管理者概覽”, 對(duì)績效測(cè)評(píng)作出更具體詮釋等, 并未進(jìn)行任何實(shí)質(zhì)性的更改。COBIT系列標(biāo)準(zhǔn)還有待于我們進(jìn)一步深入研究和探討, 并期待建立起一套適合我國IT治理及相關(guān)領(lǐng)域發(fā)展的標(biāo)準(zhǔn)體系。
-
電動(dòng)車產(chǎn)業(yè)紅利不好接?看看這四條缺了什么?
-
樂視網(wǎng)復(fù)牌首日即跌停 FF、Lucid、樂視汽車要被轉(zhuǎn)讓抵債?
-
科技部發(fā)布國家重點(diǎn)實(shí)驗(yàn)室2018年度評(píng)估工作的通知 多項(xiàng)電力研究實(shí)驗(yàn)室入圍
-
科技部發(fā)布國家重點(diǎn)實(shí)驗(yàn)室2018年度評(píng)估工作的通知 多項(xiàng)電力研究實(shí)驗(yàn)室入圍
-
2017年中國新能源重點(diǎn)細(xì)分行業(yè)發(fā)展現(xiàn)狀、新能源行業(yè)發(fā)展趨勢(shì)及投資前景分析【圖】
-
電力轉(zhuǎn)型是推動(dòng)能源轉(zhuǎn)型的關(guān)鍵
-
湖北2017年電力運(yùn)行情況:直接交易完成簽約電量351.44億千瓦時(shí)
-
河南12月全社會(huì)用電量275.86億千瓦時(shí) 同比增長0.77%
-
成交電量923億!河南年度雙邊協(xié)商交易競爭刷新紀(jì)錄 實(shí)現(xiàn)開門紅
-
微網(wǎng)工程設(shè)計(jì)解析:并網(wǎng)型微電網(wǎng)建設(shè)規(guī)模分析
-
全面解析微電網(wǎng)結(jié)構(gòu)與發(fā)展趨勢(shì)(附五大案例與經(jīng)濟(jì)效益分析)
-
售電必備 | 聚焦2018年增量配電網(wǎng)的六大熱點(diǎn)問題
-
安徽電力直接交易執(zhí)行、出清細(xì)則和電力市場電量結(jié)算規(guī)則發(fā)布
-
電網(wǎng)經(jīng)營行業(yè)產(chǎn)品成本核算制度印發(fā):有配電業(yè)務(wù)的售電公司參照?qǐng)?zhí)行
-
遼寧對(duì)居民電采暖用戶試行峰谷分時(shí)電價(jià)政策
-
預(yù)計(jì)南方五省區(qū)2018年用電保持中速增長:南方電網(wǎng)將多措并舉 全力保障電力供應(yīng)平穩(wěn)有序
-
財(cái)政部發(fā)布:電網(wǎng)經(jīng)營行業(yè)產(chǎn)品成本核算制度
-
聚焦:貴州電力市場陷入僵局 大云網(wǎng)電力分析師邀您觀望
-
電動(dòng)車產(chǎn)業(yè)紅利不好接?看看這四條缺了什么?
-
樂視網(wǎng)復(fù)牌首日即跌停 FF、Lucid、樂視汽車要被轉(zhuǎn)讓抵債?
-
多方勢(shì)力搏殺新能源車市場 競爭激烈