本文节选自《信息化绩效评价:框架、实施与案例分析》,孙强、郝晓玲
4.8 COBIT的体系结构是如何的?或者说,学习COBIT的地图是什么?
COBIT具有完整的体系架构,如上图所示。上面的部分可以供董事会或者执行层参考。中间部分关注管理层,因为管理层重视测控和基准。下面部分提供了对实施的详细支持,并确保有足够的IT控制和管理。在使用COBIT时,可以综合使用各个部分进行管理,因为COBIT是面向过程的,所以可以用它来了解IT控制目标并控制与IT相关的商业风险。
1 《执行概要》
《执行概要》是对COBIT概念和原理的总体解释,《执行概要》定义了COBIT中的概念和原理以及其他各部分的大纲。为了提供组织为达到其目标所需要的信息,IT资源需要由一套整合的流程来管理。其中,COBIT把信息标准定义为7种:有效性、效率性、机密性、完整性、可用性、符合性、可靠性。IT资源定义为5类:人员、应用、技术、设施、数据。IT过程分为四个领域:计划和组织、获取和实施、交付和支持、监控。这个结构覆盖了信息及其支撑技术的各个方面。
2 《控制框架》
COBIT的《控制框架》为企业过程拥有者提供了一个促进其履行职责的工具,提供信息化管控指导。它指出这些IT过程影响到哪些信息标准,涉及到哪些IT资源,从而把IT过程、IT资源和信息连接到企业战略和目标上去,使计划和组织、获取和实施、交付和支持、监控IT绩效以最优的方式一体化,使企业充分利用其信息并因此而使利润最大化,抓住每一个机会,赢得竞争优势。
3 《管理指南》
《管理指南》,是COBIT最近发展的理论,它进一步加强企业管理以更有效地处理业务需求和信息化管控要求。《管理指南》定义了IT过程的成熟度模型,为管理者评估IT过程的状态提供了标准。同时也给出了一些重要的测度,这包括:关键成功因素、关键目标指标、关键绩效指标。帮助提供典型管理问题的答案:我们该控制IT到什么程度,成本和收益是否相符?有没有一个测量标准用于判断何时肯定会出现失败?怎样才算是好的性能?关键成功因素是什么?哪些是影响我们实现组织目标的风险,其他的组织在做什么?我们应该怎样进行测量与比较?
COBIT尤其是《管理指南》搭建了贯通业务风险、控制需要和技术问题这三者之间的桥梁。《管理指南》面向实施,是普遍情况的总结,同时为怎样得到企业信息和相关的处理提供了管理方向,这些相关处理包括控制、监控组织目标成果、监控和改进每个IT处理的性能和组织成就的基准。
4 《控制目标》
COBIT框架结构包含高层控制目标和其分类的整体结构。根本的分类理论是:考虑IT资源的管理时,就本质而言,有三个层次的IT行为:
从底部开始,第一层是为达到一个可测量结果的活动和任务。尽管活动也有一个生命周期的概念,然而活动尚属于离散的行为,生命周期概念更强调不同于离散行为的典型控制要求。
“过程”被定义在第二层(更高的一个层次),是一系列具有自然(或有控制的)间断的联合活动和任务。
在最高层,过程被自然归组成域。它们的自然组合经常被作为组织结构的职责域,并与可应用于IT过程的管理周期或生命周期相一致。
COBIT提供了一套34个高层的控制目标,每一个目标对应着一个IT过程,一共组成4个域:计划和组织、获取和实现、交付和支持、监控。这种结构涵盖了信息和相关支持技术的所有方面。通过发布这34个高层控制目标,业务处理者可以确保对IT环境提供适当的控制系统。
在34个IT过程中,针对每个IT过程,给出了管理策略,包括:该IT过程满足了何种业务需求,应采用何种措施,它影响到哪些信息标准,涉及到哪些IT资源以及在该IT过程中应注意的事项。
控制目标下,又定义了318个具体的控制子目标。每个子目标从价值交付和风险管理的角度,再将子控制目标细化成可执行的控制措施(Control Practice或译为控制实践、控制实务)并为实施执行提供业务指导。IT控制措施是对应用COBIT的进一步阐述,同时为实践者提供了额外层次的详细说明。COBIT的IT处理,业务需求和详细的控制目标定义了要实施有效的控制结构需要做的事情。IT控制措施提供了更为详细的需求,并解释了管理层、服务提供者、最终用户和控制人员怎样以及为什么需要IT控制措施。
5 《审计指南》
《审计指南》通过审查实际的活动的表现,以确保能够满足高层和详细的控制目标。对应于34个高层控制目标的每一个目标,都有一个审计指南来评审IT过程,可以结合COBIT推荐的318个详细控制目标来提供管理保证或改进建议。《审计指南》为CIO和信息系统审计师对组织的信息系统进行分析,评估,实施,审计等提供了建议和指导。
6 《实施工具集》
《实施工具集》提供其他组织在漆工作环境下迅速而成功应用COBIT的经验教训。
它提供两个特别有用的工具:管理诊断工具和IT控制诊断工具。用来辅助分析组织的IT控制环境。
欢迎您与作者探讨您的观点和看法,联系电话:010-51657848
电子邮件:GOV#ITGov.org.cn(请将#替换为@) 。
京ICP备06004481号 Copyright 2002 - 2006 ITGov.org.cn, All Rights Reserved