IT治理的重要参考标准-COBIT

　　COBIT家族COBIT是一组相互关联的文件构成，被形象地成为“家族”，它的构成见图2.

　　在“COBIT框架”描述了COBIT的主要概念，给出了每个过程的高层控制目标。在“框架”之下是三个文件：“管理指南”、“详细控制目标”和“审计指南”。其中“管理指南”是第三版新增加的内容，目的是为实施COBIT提供方法。在“管理指南”中详细地叙述了每个过程的成熟度模型—从浑沌状态的0级到优化的5级、KGI、KPI以及要达到KGI的 “重要成功因素”CSF.同时，还给出了与这个过程密切相关的IT资源，以及信息判据中哪些特征最为重要和比较重要。在文件“详细控制目标”中，则按照34个过程逐一给出“详细控制目标”。“信息系统审计指南”的构成比较复杂，它包含了“审计道德要求”、“信息系统审计标准”、“信息系统审计指南”、“信息系统审计过程”等子文件。

　　在“实施工具包”中，给出了一系列实施COBIT的工具，包括：如何引入COBIT、如何在一个组织中实施COBIT、管理意识诊断、IT控制状况诊断等实施指南，以及COBIT实施案例研究和常见问题的解答等内容，是人们实施COBIT的重要的、权威的参考手册。

　　COBIT的特点前面我们对COBIT的基本概念、组成、结构进行了简要介绍，下面我们对COBIT的主要特点进行一些简要的分析。

　　面向过程

　　面向过程是COBIT的一个突出特点。纵观我国信息化行业的实际情况，无论是政府组织的评审活动，还是各个实施单位的内部考核，对信息化建设的评审多侧重于对系统建设最终效果的考核，如生产效率的提高程度、成本降低的情况等。信息化建设的最终目的无疑是提高经营效益、管理水平，但是在信息化建设成果与业务效益之间并没有完全对应的关系，换句话说，一个性能良好的信息系统并不能完全保证出色的经营效益，反之，某个单位的经营效益出色，也不能完全归功于信息系统。同时，我们还应注意到，信息化建设的所包含的内涵比信息系统更广泛。如果仅仅根据信息系统实施后的经营效益或服务水平判定信息化建设的状况，就难免产生一定的偏差，也容易引起参加建设各方的争议。COBIT的意义在于，它为我们提供了一个判断信息化建设的“程序”是否恰当的方法。借助COBIT我们可以把对信息化建设的考察分为两个部分，即分别考察“程序”和 “结果”，将一个复杂的考核问题进行分隔和简化。

　　面向过程的评价体系还有一个优势是：提供了改善行动的指南。按照面向结果的指标考核体系，能够方便地判断建设单位是否达到了标准，却没有告诉通过什么途径才能提高水平达到标准，也没有告诉建设单位在“多大程度”上达到了标准。面向过程的考核体系，则恰好填补了这个空缺，它提供了达到标准的方法和手段。因此，不仅可以将COBIT作为对信息化过程进行审计的重要参考，还可以将COBIT的34个过程的活动内容，作为提高本单位的信息化建设水平的重要参照。

　　不断改进

　　COBIT参照SEI的CMM的成熟度概念，为每个过程设计成熟度模型。这样，任何一个组织都可以参照这个成熟度模型，按照34个过程逐一对照，找到本单位的实际情况在模型中的位置，按照成熟度的改进路径，采取改进措施。设置成熟度的最大益处在于，可以方便地设置前进道路上的改进路标。借助成熟度模型，人们还可以方便地确定行业内最佳单位、国际上先进水平的状态，了解本单位目前的状态以及未来要达到的目标与两者的差别，从而清晰地了解自己与国际先进水平和行业标杆单位的差距，不断地采取改进措施改善，最终达到预期目标。

　　内容全面

　　从前面的介绍我们知道，COBIT是一个家族，它不但包含了框架、过程控制目标和管理指南、实施COBIT的工具包，还包含了进行IT审计的审计标准。因此，COBIT在结构上是比较完整的、全面的，兼顾了审计人员、管理人员和IT人员的需求。各个文件中的内容具有强烈的相关性，互为参照。为了方便阅读和使用，框架内容和重要的概念在各文件中反复出现，便于查找。COBIT给出的高层和详细控制目标、成熟度描述等都是针对IT治理的实际活动，比较实用，既提供审计标准，又提供了工作指南。

　　同时我们注意到，在COBIT家族中还包含了审计人员应遵守的职业道德标准。ISACA把对信息系统审计提升到了与财务审计同等重要的程度，体现出信息社会中IT建设应具有重要性及信息系统审计的严肃性。

　　用途广泛

　　COBIT具有广泛的用途。不但可以作为信息化建设过程的考察标准，可以作为IT建设单位日常工作的重要参考，同时还可以作为IT软件/硬件开发商、供应商、代理商、咨询服务商开发产品、提供服务的重要参考。所有为信息化建设提供服务的有关单位，在进行产品设计开发、实施服务时，都可以参照COBIT的概念、框架、过程，为客户提供符合过程标准的产品和服务，努力帮助客户达到更高的建设成熟度水平，获得更完美的建设成果。

　　尚待完善之处

　　COBIT虽然具有众多优势，但是在某些方面，还存在着一定的不足，尚需要使用人员在使用过程中，加以改进和完善。

　　首先，COBIT的控制目标、关键性能指示、关键指示中的内容不可能完全符合我国的实际情况，有些指标的内容尚需商榷。另外，这些指标是通用的，没有根据行业特点或企业业务结构、经营规模进行划分。如果要将COBIT应用到某个单位，必须经过适当的裁减或调整。

　　其次，COBIT虽然设置了成熟度标准，但是描述语言是定性的，没有明确的判断成熟度的指标，这样当实际运用时，尤其在进行评审时，难免因审计人员的个人素质造成审查结果的偏差。

　　最后，ISACA推出COBIT的同时，还应提供更多的设计说明思想的说明，使读者更全面、更充分地理解作者的设计意图，对针对实际情况的具体应用方法、特别是裁减方法、允许的裁减程度提供更详细的指导意见，或采用更详细的案例讨论为打算采用COBIT的用户提供指导。

　　总之，COBIT是一个非常值得借鉴的信息系统评审和信息化建设指导框架，是考察信息化建设过程一个重要的参照体系。我们希望通过对COBIT的研究和应用，为提高IT治理水平、提高IT投资效益，推进信息化建设做出一些切实的工作。