叶世绮 陈 琳
IT治理(ITGovernance)可以作为公司治理的一个分支。目前,国内外对IT治理还缺乏统一的认识,但是IT治理这一概念已得到国内外学术界、产业界的共同关注和研究。首个提出IT治理概念的IT治理协会(ITGI)将其定义为“执行层和董事的责任,由领导、组织架构和流程组成,确保企业的IT能够维护和发展组织的战略和目标”,并认为IT治理在本质上关心两件事:“实现IT技术的商业价值和规避IT风险”。世界四大会计事务所之一的德勤(Deloitte Touche)对IT治理的定义为:“包括信息系统、技术、通信、商业、所有利益相关者、合法性和其他问题”,其主要任务是“保持IT与业务目标一致,推动业务发展,促使收益最大化,合理利用IT资源,对IT相关风险适当管理。”由此可见,只有不断提高IT治理水平,在信息系统建设的整个生命周期过程中对其进行管理、控制,才能确保企业的IT目标得以实现,即支持组织战略目标和业务需求。
自提出IT治理以来,国内外许多专家和学者都投入了大量精力来研究IT治理架构,并提出了一些行之有效的实践模型和国际标准。其中较为成熟的模型有美COBIT、ITIL、ISO/IEC 17799、PRINCE2等。COBIT通过控制IT流程和IT资源实现企业和IT目标,同时确保IT和信息系统的安全性和完整性,满足IT治理的需要。
COBIT(Control Objectives for Information and related Technology,信息及相关技术控制目标)是IT治理的一个开放性标准,由美国IT治理研究院(IT Governance Institute)和美国信息系统审计与控制协会(ISACA)共同开发并推广。ISACA于1996年发行COBIT1.0版,试图将它作为审计工具。其版本几经更新后,目前最新的是2007年5月发布的COBIT4.1,而COBIT也逐渐向管理工具演变。ISACA公布将于2011年发布新版本COBIT 5。
COBIT把IT过程按其性质划分为规划与组织(Plan&Organize)、获得与实施(Acquire&Implement)、交付与支持(Delivery&Support)和监控与评估(Monitor&Evaluate)4个域,并在这4个域下面定义了34个高层控制目标,318个控制子目标。根据2007年最新版本COBIT4.1,COBIT基本模型如图1所示。
图1 COBIT基本模型
这4个域(PO,AI,DA,ME)围绕着一个目的——及时提供业务所需的准确信息。但信息的提供依赖于IT资源,同时,所提供的信息也应有一定的衡量标准。这样组织在进行IT管理必然从IT过程、信息标准、IT资源这3个维度综合考虑。COBIT给出了这样一个综合考虑的框架,同时对如何评价IT过程给出了测度和标准。
COBIT4.1产品家族分别为管理者、IT使用者、专业人员三个不同层次的用户提供支持。其中管理者包括董事会和执行管理层;IT使用者包括业务和IT经理层;专业人员包括治理、审计、控制和安全专家。COBIT的组成部分如图2所示。
图2 COBIT产品组成部分
综上,COBIT能够有效指导IT控制与业务需求之间的整合,是企业战略目标与IT控制目标之间联系的纽带。作为一个信息技术管理模型,COBIT可以帮助人们了解并管理与信息技术相关的风险。该标准为IT的治理、安全与控制提供了一个普遍适用的公认标准,以辅助管理层进行IT治理。
实施IT治理的目标是帮助管理层建立能够针对不同业务发展要求,整合信息资源,制定并执行推动组织发展的IT战略。根据IT治理的目标,IT治理应该关注五个领域:战略匹配、价值传递、资源管理、风险管理和绩效评估。COBIT为每一个IT过程提供了关键目标指标、关键绩效指标、关键成功要素以及成熟度模型。构建COBIT标准的IT治理体系,通过对上述指标的监控和评估,能够确保IT决策及IT治理的成功。
COBIT标准自1996年发布,已得到全球多个国家的企业或组织的认可和应和。2002年比利时安特卫普大学管理学院两位学者Erik Guldentops和Steven De Haes曾经向全球182个COBIT 3.0用户展开调查,结果显示COBIT的认可度在不断提高,并有3/4的调查者反馈COBIT帮助他们有效地构建了IT控制框架和审计流程。根据2006年、2008年ITGI发布的《全球IT治理状况报告》(每两年发布一次),以及2011年发布的《GEIt2011》,关于全球IT治理工具2003年至2009年应用情况如表1所示。
?
调查结果显示,2003年使用最多的IT治理工具是内部开发框架(16%)、当地专业组织提供的解决方案(16%)和国际专业组织提供的解决方案(15%);2005年使用最多的IT工具是内部开发框架(33%)和ISO 9000(21%);2007年大部分企业转而采用标准IT治理工具,其中ITIL/ISO 20000(24%)、ISO 9000(14%)、COBIT/COBIT Quickstart(14%)和内部开发框架(14%)。到了2009年,标准IT治理工具的应用仍然占据了很大的比例。由此可见,当前全球流行的IT治理工具是ITIL、ISO标准和COBIT标准,但是它们各有侧重点,适用范围各不相同。
COBIT易于理解和实施,可以帮助企业在管理层、IT服务与审计三个不同层面之间搭建桥梁。目前,COBIT标准也在全球160多个国家的金融、通信、航空等多个行业中成功实施并获得用户的认可。这些都得益于该标准的以下优势:
(1)通用性——可在全球范围内使用。几乎每个IT管理机构都可以从COBIT中获益,来决定基于IT过程及他们所支持的业务功能的合理控制。当用户知道这些业务功能是什么,其对组织的关键到什么程度时,就能对这些事件进行良好的分类。所有的信息系统审计、控制及安全专业人员应该考虑采用COBIT控制模型。
(2)完整性——提出IT管理责任的广阔范围并具有广泛的评价指标。COBIT标准采用了SEI的能力成熟度模型来描述IT过程能力,以此作为IT过程能力度量标准;基于业务平衡记分卡这种度量方法,COBIT标准采用Goal(KGI)来度量IT过程输出,采用Metrics(KPI)来度量IT过程绩效;此后用COBIT控制管理目标来定义IT过程的活动目的,这是COBIT标准的精华和独创部分。
虽然COBIT标准已经成为目前信息系统控制、审计以及IT治理权威的、最新的、获得广泛认同的国际标准,但是在具体实施COBIT标准时,仍有需要改进的方面:
(1)COBIT采用了层次结构的方法将IT过程分为4个域(PO,AI,DS,ME)和34个过程,但是并未给出各个域或各个过程的相对重要程度。
叶世绮、陈琳(2010)参照COBIT 4.1标准34个IT过程涉及到的IT资源和信息准则,计算出四个域(PO,AI,DS,ME)的权重矩阵,进而建立改进的COBIT量化扩展模型(The Extended Framework Model)。实施COBIT标准的企业能够根据该模型计算和衡量出COBIT框架中不同域和过程的相对权重和影响度。
(2)COBIT是一个定性的控制框架,缺乏定量描述。COBIT标准为了能确保组织能够成功有效地整合企业业务流程和控制信息系统,提出了管理方针指南,其中包括:成熟度模型、关键成功要素、关键目标指标。COBIT虽然提供了成熟度模型,将IT过程划分为0~5共六个成熟度等级,但是只用了一段文字描述各等级特征,并未给出判断成熟度地明确指标。
为了解决上述问题,张凌欣、胡克瑾(2008)提出一套IT治理成熟度定量评价方法:首先对COBIT4.1中IT过程建立了通用描述模型,再分别定量考察过程模型的五个元素(目标设置、指标度量、规划化文档、角度、过程执行),得出过程成熟度;然后对成熟度进行汇总分析,得出IT治理总体现状。这种方法在一定程度上降低了COBIT标准中成熟度模型评价的主观性。
COBIT是构建IT治理体系不可或缺的工具。文章重点介绍了COBIT标准的内涵、优势与改进之处;通过对比当前IT治理工具应用的应用状况,得出当前全球流行的IT治理工具是ITIL、ISO标准和COBIT标准;目前我国大部分学者对COBIT等标准的研究主要以理论为主,实证研究有待进一步发展。总而言之,不同的IT治理工具适用范围不尽相同,企业或组织在构建IT治理体系时,可以根据自身的特点和IT目标,选择恰当的IT工具有效管理企业IT资源,从而获得较高的IT投资回报率。