IT治理的核心模型COBIT的解读与应用VIP免费

COBIT的四个领域关注的是组织信息化建设的整个生命周期，因此对于我国的企业的信息化建设也具有指导意义。一、COBIT的背景介绍从现有的控制框架来看，以COSO为代表的业务控制框架，主要是从受托责任方面来考虑一般控制的价值，缺少对IT控制的阐述和说明；以CICA的IT控制指南为代表的IT控制框架，侧重于对技术进行控制。因此。这两类模型都没有全面照顾到业务和IT。COBIT的出现就是为了填补这个空白，它基于COSO，同时整合了全球所有主要的信息技术标准。因此既能关注IT，又能与业务日标紧密联系，其任务就是研究、开发、出版和推动一个权威的、最新的、被国际上的企业，业务经理的日常使用、IT专业人上和鉴证专业认识所广泛接受的IT治理框架。COBIT由ISACA开发与推广。1976年，ISACA专门设立ISACF。从事IT的管理控制和安全保证领域的研究。同年。ISACF发布COBIT1.0版本。试图将它作为一种审计工具。为了响应对IT进行控制的需要，1998年发布的COBIT2.0，在1.0版本的基础上增加了资源文件的数据，改进了高层控制目标和具体控制目标，增加了实施工具包。1998年，ISACA与ISACF合并设立了旨在促进IT治理原则推广和应用的ITGI，COBIT的后续的研究和更新就是由ITGI来完成的。ITGI在2000年发布的COBIT3.0版本中增加了管理指南，还将ISACA原始的“控制目标”修改为管理目标，同时还扩充和加强了对IT治理的关注。使得COBIT演变为一个管理工具。IT的日益广泛应用，增加了对IT治理的需求，ITCI于2005年在广泛调查和研究的基础上，推出了COBIT4.0版本，它站在IT治理的角度，从更高的层面上来指导管理层进行IT控制和信息系统管理，使之成为一个真正意义上的IT治理框架。2007年5月，ITGI推出的COBIT4.1在4．0的基础上进行了微调，并无本质更新。整个演进过程可用图1来表示。二、COBIT4.1框架解读为了实现有效治理，需要业务管理者在既定的控制框架内对所有IT过程实施控制。COBIT通过IT过程来组织IT控制目标，控制框架提供了IT治理要求、IT过程和IT控制之间清晰的关系。关注业务、面向过程、基于控制和度量驱动是其主要特性。(一)关注业务关注业务是COBIT的主要宗旨。它设计不仅仅用来为IT服务提供商、用户和审计师使用，更重要的是给管理者和业务流程所有者提供一个完整的指南。COBIT框架基于这样一个原则：要提供企业达到其目标所需的信息，企业需要使用一组结构化的过程来投资、管理和控制IT资源，以提供服务来交付企业所需的信息。COBIT认为，IT的最终目标是为企业实现业务活动提供其所需的符合信息标准的信息，这些标准包括信息的有效性、效率性、保密性、完整性、可用性、符合性和可靠性，这可称之为业务的信息需求。尽管信息标准提供了一般的方法来定义业务需求，但是规定一组业务和IT目标为建立业务需求并依据这些要求开发度量的标准，这奠定了与业务相关且更加精确的基础。企业利用lT来保障业务活动这可以表示为IT的业务目标。COBIT提供了一个业务目标、IT目标、信息标准之间的映射。这可以作为确定企业特定业务需求、目标和标准的指导。如果IT能够成功交付服务来支持企业的战略，那么应明确业务要求的所有者关系和指南，清楚应交付什么以及IT如何交付。这就要求将企业战略目标转化为IT的业务目标再将IT业务目标转化为IT自己的目标，进而定义为成功实施企业IT战略所需的IT资源和能力。一旦相应的目标确定下来．就需要对这些目标进行监控，以确保实际的交付可以满足预期的需求。IT组织通过一组清楚定义的过程来交付这些目标。这些过程使用人工技能和技术基础设施来运行自动化的业务应用系统．与此同时利用业务信息。这些资源与过程一道，组成了企业的IT架构。要满足业务对IT的需求，企业需要投资相关资源来建立充分的技术能力来支持业务能力，进而产生所需要的结果。COBIT定义的IT资源包括应用系统．信息、基础设施和人员。(二)面向过程COBIT框架为企业中的每个人观察并管理IT活动提供了一个参考的过程模型和通用语言。将所有相关的业务部分的操作模型和通用语青整合到IT当中是实施良好IT治理最重要的步骤，也是最初始的步骤。COBIT提供了一个框架来度量和监控IT绩效、与服务提供商沟通、整...