1　從優(yōu)秀到卓越
　　1.1　COBIT 4.0產(chǎn)生的背景
　　COBIT框架標(biāo)準(zhǔn)自推出便將目光著眼于IT治理在商業(yè)環(huán)境中的有效實施。在過去的幾年中, IT治理學(xué)會始終致力于COBIT標(biāo)準(zhǔn)體系的研發(fā)與實施工作, 并通過其下屬的COBIT程序委員會組織進(jìn)行了一系列有關(guān)控制目標(biāo)、管理指南等方面的研究項目。促使COBIT不斷更新發(fā)展的一個關(guān)鍵推動力來自于商業(yè)環(huán)境的變化。近幾年來, 伴隨著IT行業(yè)的飛速發(fā)展, 信息技術(shù)也更加深入而廣泛的融入到商業(yè)環(huán)境中的各個層次和領(lǐng)域當(dāng)中, 從而使得商業(yè)運作方式也隨之發(fā)生巨大變化。
　　(1) 完善公司治理結(jié)構(gòu)和機(jī)制的需要。作為公司治理的一個核心組成部分, IT治理越來越多地吸引著來自社會各方面的關(guān)注, 其中, 公司治理層(董事會) 更加關(guān)心公司IT治理問題, 管理層需要積極有效的實施IT管理戰(zhàn)略。因此, IT治理標(biāo)準(zhǔn)就應(yīng)更充分的著眼于商業(yè)領(lǐng)域現(xiàn)狀及其運行機(jī)制,從而實現(xiàn)IT治理控制目標(biāo)與商業(yè)需求的戰(zhàn)略統(tǒng)一。
　　(2) 滿足信息技術(shù)進(jìn)步與發(fā)展的需要。信息技術(shù)的廣泛應(yīng)用, 使得IT治理標(biāo)準(zhǔn)所面對的受眾群體日趨多樣化, 其中不僅包括IT專業(yè)人士、信息安全專家等, 更包含了來自其它不同專業(yè)領(lǐng)域的人員, 比如審計師、行業(yè)監(jiān)管人員、企業(yè)高層管理者等等。這就要求IT治理標(biāo)準(zhǔn)既要以確保IT運作績效為目標(biāo), 同時更應(yīng)當(dāng)能夠滿足來自不同行業(yè)人員的多方面多層次需要。
　　(3) 適應(yīng)IT管理實踐的需要。由于信息技術(shù)最優(yōu)實踐標(biāo)準(zhǔn)的成熟度日趨提高, 諸如ITIL、ISO17799等專業(yè)標(biāo)準(zhǔn)指南也有著越來越廣泛的應(yīng)用市場。這就需要將COBIT標(biāo)準(zhǔn)打造成一種“集大成”的IT治理框架標(biāo)準(zhǔn), 成為企業(yè)首選的具有高度可靠性和可操作性的IT治理控制指南。
　　1.2　COBIT 4.0總體框架
　　COBIT 4.0主要由四部分構(gòu)成, 即管理人員概覽、COBIT框架、核心內(nèi)容以及附錄部分。其中的核心內(nèi)容又將34個IT流程進(jìn)一步分為四個部分: 計劃和組織( Plan and Organize) 、取得和實施(Acquire and Implement) 、交付和支持Deliver and Support) 以及監(jiān)督和評價(Monitor and Evaluate) 。COBIT4.0總體框架如圖1所示:

　　從總體框架來看, COBIT4.0所體現(xiàn)的一個基本原則就是通過34個IT流程的執(zhí)行運作,對IT資源進(jìn)行管理、控制與利用,從而達(dá)到使IT治理的實施最終滿足商業(yè)需求這一目標(biāo)。
　　COBIT4.0控制框架將這34個IT流程與商業(yè)需求聯(lián)系起來,形成了一個得到廣泛認(rèn)可的IT流程模型,對于IT流程的描述主要又分為四個方面,即:高層控制目標(biāo);具體控制目標(biāo);管理指南;成熟模型,此外還包含四種主要的IT資源以及相關(guān)管理控制目標(biāo)的認(rèn)定。從具體內(nèi)容上看, COBIT 4.0將IT治理目標(biāo)的控制和監(jiān)管與商業(yè)需求緊密結(jié)合,為IT治理的實施提供了很好的框架支持,一方面保證企業(yè)的IT資源得到充分且有效的利用,另一方面也有助于合理防控IT風(fēng)險,從而使信息技術(shù)更好的服務(wù)于商業(yè)行為及企業(yè)價值最大化的目標(biāo)。
　　1.3　從COBIT 3 到COBIT 4.0
　　COBIT 4.0的研發(fā)工作歷時約五年,然而, COBIT 4.0的推出并不意味著完全取代原有的COBIT 3 rd,而是在前一版基礎(chǔ)上提高和強(qiáng)化。除了對原有的34個IT流程進(jìn)行調(diào)整部分修改和調(diào)整之外,更重要的變化體現(xiàn)在其所關(guān)注的核心領(lǐng)域上。
　　(1) 在IT治理方面, 增加了新的控制目標(biāo)、完善了測度指標(biāo)體系。COBIT 4.0著眼于公司治理與IT治理及相關(guān)領(lǐng)域的整合與銜接, 更進(jìn)一步規(guī)范和改善了IT治理的實施與評價過程。盡管COBIT 3 rd標(biāo)準(zhǔn)已經(jīng)涵蓋了其中的絕大多數(shù)內(nèi)容,但研究標(biāo)明, 由于運作環(huán)境、技術(shù)因素等方面的變化, COBIT 3 rd與具體實踐之間仍存在著一定差距。為此, 更新版的COBIT 4.0對原有的IT流程進(jìn)行相應(yīng)調(diào)整, 將每一個IT流程對應(yīng)于相關(guān)的IT治理核心領(lǐng)域, 并增加了新的控制目標(biāo), 以彌補第三版的缺陷。同時, 又對KPIs/KGIs指標(biāo)進(jìn)行具體的因果關(guān)系分析等, 為我們提供了一個更為清晰而完善的測度指標(biāo)體系。
　　(2) 在商業(yè)運作方面, 揭示了商業(yè)目標(biāo)、IT目標(biāo)以及具體IT流程之間的對應(yīng)關(guān)系。一直以來, COBIT的基本原則就是以商業(yè)需求為目標(biāo), 而當(dāng)前人們最為關(guān)注的則是“如何在不同的行業(yè)領(lǐng)域?qū)崿F(xiàn)信息技術(shù)對商業(yè)目標(biāo)的支持”, 比利時的安特衛(wèi)普大學(xué)針對這一課題進(jìn)行了大量研究, 在COBIT4.0中提供給我們一個普遍適用的“商業(yè)目標(biāo)/IT目標(biāo)對照表”, 揭示了商業(yè)目標(biāo)、IT目標(biāo)以及具體IT流程之間的一般性對應(yīng)關(guān)系, 從而幫助管理層結(jié)合本企業(yè)具體環(huán)境實施有效的治理活動。
　　(3) 在適用性方面, 更加關(guān)注與其他IT標(biāo)準(zhǔn)的兼容性。相比之下, COBIT 4.0 更加關(guān)注自身與其他IT標(biāo)準(zhǔn)的兼容性, 幫助使用者整合COBIT與ITIL、ISO17799、PMBOK以及PR INCE2等標(biāo)準(zhǔn), 并盡可能做到所使用術(shù)語和原則與其他標(biāo)準(zhǔn)的協(xié)調(diào)一致。此外, 由于審計一直都是COBIT所關(guān)注的重要領(lǐng)域, 因此它也十分強(qiáng)調(diào)對風(fēng)險的管理和控制, 在這方面,COBIT 4.0更充分的體現(xiàn)了風(fēng)險與價值間的平衡關(guān)系, 并且吸納了近年來相關(guān)領(lǐng)域?qū)T價值管理研究的最新成果。
　　2　COBIT 4.0對IT治理的實踐指導(dǎo)
　　COBIT4.0 “管理人員概覽”部分中指出: IT治理是由企業(yè)管理人員與執(zhí)行董事會負(fù)責(zé)實施的, 這一領(lǐng)域涵蓋了領(lǐng)導(dǎo)層、企業(yè)組織結(jié)構(gòu)及一系列相關(guān)工作流程, 旨在確保企業(yè)的信息技術(shù)( IT) 能夠支持并拓展企業(yè)的戰(zhàn)略目標(biāo)。COBIT作為IT治理的一個重要的技術(shù)支持模型, 它涵蓋了IT運作中的所有基本流程, 指導(dǎo)著從IT目標(biāo)確立到IT流程運作、從管理控制活動到結(jié)果評價與績效考核的整個IT治理實踐過程, 如圖2所示, 它為信息技術(shù)及商業(yè)管理者提供了一個普遍適用的參考標(biāo)準(zhǔn)。

　　2.1　COBIT 4.0在IT治理實踐中的“紐帶”作用
　　COBIT4.0標(biāo)準(zhǔn)主要著眼于商業(yè)目標(biāo)與IT目標(biāo)、IT流程的整合與銜接, 很好實現(xiàn)了公司治理與IT治理及其相關(guān)領(lǐng)域的有機(jī)結(jié)合。COBIT4.0構(gòu)建了如圖3所示的關(guān)系鏈, 以完善其目標(biāo)體系和控制結(jié)構(gòu)。這一關(guān)系鏈中的關(guān)鍵環(huán)節(jié)在于“ IT目標(biāo)、商業(yè)目標(biāo)”以及“IT治理、公司治理”, 更準(zhǔn)確的講,IT治理應(yīng)當(dāng)被視為整個公司治理框架體系下的一個核心子系統(tǒng)。COBIT4.0揭示了公司治理與IT治理之間的關(guān)系, 并從技術(shù)層面上為IT治理的實施提供保證, 實現(xiàn)二者的戰(zhàn)略一致性。一方面IT治理的實施最初來源于企業(yè)總體戰(zhàn)略目標(biāo)的確立, 它體現(xiàn)著“以組織戰(zhàn)略目標(biāo)為中心”的思想, 側(cè)重于企業(yè)信息資源的規(guī)劃和管理, 通過合理配置、充分利用IT資源為企業(yè)創(chuàng)造價值, 因而它在公司治理中的中心位置不容忽視。另一方面, 公司治理驅(qū)動和調(diào)整IT治理的實施, 將其作為企業(yè)總體戰(zhàn)略部署的一個關(guān)鍵環(huán)節(jié), 并借助相關(guān)標(biāo)準(zhǔn)來檢驗IT治理的目標(biāo)和執(zhí)行效果, 這也充分體現(xiàn)了“信息技術(shù)影響著企業(yè)的戰(zhàn)略競爭機(jī)遇”。因此, 很好實現(xiàn)了公司治理與IT治理及其相關(guān)領(lǐng)域的有機(jī)結(jié)合, COBIT4.0標(biāo)準(zhǔn)主要著眼于商業(yè)目標(biāo)與IT目標(biāo)、IT流程的整合與銜接。

　　2.2　實施IT治理的關(guān)鍵目標(biāo)及相關(guān)流程
　　如前所述, 在IT治理方面, COBIT4.0揭示了“商業(yè)目標(biāo)e IT目標(biāo)e IT資源e IT流程e IT治理核心領(lǐng)域”這樣一條重要的關(guān)系鏈, 為管理層提供了從公司治理到IT治理, 從商業(yè)目標(biāo)到IT目標(biāo)的技術(shù)指導(dǎo), 以達(dá)成二者的戰(zhàn)略統(tǒng)一。當(dāng)然,從商業(yè)目標(biāo)到IT目標(biāo)、IT流程的聯(lián)系是復(fù)雜而多樣的, COBIT4.0將商業(yè)目標(biāo)分為財務(wù)方向、客戶層面、內(nèi)部控制以及企業(yè)的學(xué)習(xí)與成長這四個部分, 共20 項, 另有28 個IT目標(biāo), 通過“商業(yè)目標(biāo)e IT目標(biāo)e信息標(biāo)準(zhǔn)”的對應(yīng), 以及“IT目標(biāo)e IT流程e信息標(biāo)準(zhǔn)”的對應(yīng), 并借助COBIT三維模型將IT流程、IT資源和商業(yè)需求(信息要求) 聯(lián)系起來,同時, 每一IT流程有對應(yīng)于相關(guān)的IT治理核心領(lǐng)域。這樣一個交錯而有序的網(wǎng)絡(luò)模型將IT治理各相關(guān)要素相互關(guān)聯(lián)成為有機(jī)整體, 確保了實施IT治理各環(huán)節(jié)的目的性、合理性、可行性及有效性。需要說明的是, COBIT4.0中所提供的34個IT流程是不可能也不需要在同一個企業(yè)中同時實施的, 管理層應(yīng)當(dāng)結(jié)合具體目標(biāo)和特定的實踐環(huán)境, 將它們分解為小的管理單元進(jìn)行運作。
　　2.3　IT治理實踐活動的績效考核
　　如果說目標(biāo)的設(shè)定是實施IT治理的一個關(guān)鍵環(huán)節(jié), 那么需要采取什么樣的標(biāo)準(zhǔn)和途徑來評價目標(biāo)完成情況, 其重要性亦不亞于目標(biāo)本身。在這里, 我們需要關(guān)注COBIT4.0 中的兩類重要測度指標(biāo), 即關(guān)鍵目標(biāo)指標(biāo)(KGIs) 和關(guān)鍵績效指標(biāo)(KP Is) 。關(guān)鍵目標(biāo)指標(biāo)用來測度商業(yè)目標(biāo)、IT目標(biāo)、IT流程以及活動目標(biāo), 它屬于基礎(chǔ)性或稱為“滯后性”指標(biāo), 測定某個環(huán)節(jié)所必需達(dá)到的標(biāo)準(zhǔn), 根據(jù)所測度的范圍具體又分為四個層次, 即關(guān)鍵商業(yè)目標(biāo)指標(biāo)、關(guān)鍵IT目標(biāo)指標(biāo)、關(guān)鍵IT流程指標(biāo)以及關(guān)鍵活動目標(biāo)指標(biāo)。與之相對的關(guān)鍵績效指標(biāo)則是一種“先導(dǎo)性”指標(biāo), 用來測度某個環(huán)節(jié)的執(zhí)行效果如何。這就表明關(guān)鍵績效指標(biāo)與關(guān)鍵目標(biāo)指標(biāo)二者在某一特定層面上存在著重要的因果關(guān)聯(lián)性。
　　3　兩點啟示
　　綜合上述分析與研究, 我們可以得出以下兩點啟示:
　　3.1　COBIT 4.0對建立我國IT治理相關(guān)標(biāo)準(zhǔn)具有學(xué)習(xí)和借鑒作用
　　目前, 我國IT治理的發(fā)展相對滯后, 尚未建立起一套相對完整的符合我國實際的IT治理框架標(biāo)準(zhǔn)。通過對COBIT4.0模型的研究, 一方面, 在啟步階段, 我們應(yīng)當(dāng)充分研究和吸收國外先進(jìn)成果, 并結(jié)合我國相關(guān)領(lǐng)域發(fā)展現(xiàn)狀, 合理引入國際上相對成熟的IT治理標(biāo)準(zhǔn), 以加快我國信息化進(jìn)程的步伐。另一方面, 從長遠(yuǎn)發(fā)展的角度看, 要想在該領(lǐng)域取得實質(zhì)性發(fā)展和提高, 當(dāng)然還需要建立起一套適合我們自身需要的標(biāo)準(zhǔn)體系。在這方面, COBIT 4.0為我們提供了一個很好的藍(lán)本, 它所揭示出的各種關(guān)聯(lián)關(guān)系為我們在該領(lǐng)域研究提供參考的同時, 也為我國IT治理相關(guān)標(biāo)準(zhǔn)的建立提出了一個有效而可行的思路。需要明確的是, “借鑒”不等于“效仿”, COBIT的成功經(jīng)驗值得我們學(xué)習(xí), 但在一些具體的應(yīng)用領(lǐng)域, 國內(nèi)外還是存在相當(dāng)差異的, 比如我國的公司組織結(jié)構(gòu)明顯區(qū)別于美國, 因此我國的公司治理也必然有其特殊性, 而具體到IT治理領(lǐng)域, 這就要求我們的IT治理標(biāo)準(zhǔn)能夠真正服務(wù)于我國的商業(yè)運作與IT治理實踐活動。　　　

        3.2　COBIT4.0對建立我國信息系統(tǒng)控制與審計準(zhǔn)則具有參考價值
　　構(gòu)建基于COBIT的信息系統(tǒng)控制與審計模型, 將有助于我們對信息系統(tǒng)建設(shè)、運行、評價及維護(hù)過程的分析研究,指導(dǎo)我們建立起相應(yīng)的機(jī)制, 將信息系統(tǒng)項目運作的全部過程置于有效的管理與控制之下。同時幫助信息系統(tǒng)審計師進(jìn)一步明確其審計目標(biāo)和審計軌跡, 使其鑒證工作及報告結(jié)果等更具有針對性和說服力。自1997年以來, 國際信息系統(tǒng)審計與控制協(xié)會( ISACA) 以COBIT為依據(jù), 逐步建立起一套相對完善的信息系統(tǒng)審計準(zhǔn)則體系。該準(zhǔn)則體系由基本準(zhǔn)則、審計準(zhǔn)則和作業(yè)程序這三個層次構(gòu)成, 截至2007年2月已制定并發(fā)布執(zhí)行的有14項基本準(zhǔn)則、36項審計指南和11個工作程序, 另有若干個征求意見稿。從1996年首次發(fā)布的COBIT框架到現(xiàn)在的COBIT4.0, 以及整個ISACA信息系統(tǒng)審計準(zhǔn)則體系的構(gòu)建和不斷完善, 這樣一個發(fā)展思路和軌跡是十分值得我國學(xué)習(xí)和借鑒的。建立起一套符合我國實際的IT標(biāo)準(zhǔn), 并在此基礎(chǔ)上結(jié)合信息系統(tǒng)控制與審計工作的實務(wù), 構(gòu)建我國的信息系統(tǒng)審計準(zhǔn)則框架并在實踐中不斷完善, 這將是一個不斷學(xué)習(xí)、借鑒、探索并提高的過程。
　　最后, IT治理學(xué)會( ITGI) 已于2007年4月末推出COBIT4.1版本及與之相關(guān)的一系列新版和修訂版COBIT出版物, 進(jìn)一步完善了COBIT 4 系列標(biāo)準(zhǔn)體系。COBIT4.1 是在COBIT4.0框架下進(jìn)行的提高式的更新, 例如, 充實了“管理者概覽”, 對績效測評作出更具體詮釋等, 并未進(jìn)行任何實質(zhì)性的更改。COBIT系列標(biāo)準(zhǔn)還有待于我們進(jìn)一步深入研究和探討, 并期待建立起一套適合我國IT治理及相關(guān)領(lǐng)域發(fā)展的標(biāo)準(zhǔn)體系。