随着萨班斯法案的出台,及增强企业本身IT内部控制的需要,COBIT 已为大家所熟知,作为全球公认的IT治理框架,其得到了各个国家各个行业的广泛应用。2005年三月,欧洲共同体(EC)委员会选择了COBIT,来保证信息的安全以及对其农业资金支付代理的控制。被像EC这样的组织广泛地认识并采用,足以证明COBIT发展的广度和深度。2005年第四季度,ISACA发布了CobiT最新版本COBIT4.0,对框架进行了重大的调整。ITGov中国IT治理研究中心在第一时间组织了相关专家对COBIT 4.0进行了研究和分析,本文介绍了COBIT的发展背景、新版本中包括哪些更新、为什么需要这些更新以及它如何能够使现在的和将来的用户收益等内容。欢迎与我们交流。
为什么COBIT需要更新?
自1992年发布最初版本后,COBIT已发展成为实际的IT治理控制框架。如今,COBIT可以提供广泛指导,同时,其产品被世界范围内的许多组织和政府部门广泛地接受。随着IT和相应指南对有效管理的要求在不断变化, COBIT用户,尤其是推动组织采用COBIT框架的人期望其持续改善,支持组织环境的变化。
在COBIT项目开展10年后的2002年,伴随着3个版本的发展,又进行了一个保持COBIT持续发展的战略。这项战略的其中一个关键目标就是提供一个持续维护的并反映IT快速变更、响应用户回馈和持续符合需求的框架。
2003年,COBIT Online作为最新的COBIT知识库正式启用,提供了能够及时并且持续更新的资源,并且使所有COBIT用户能够方便的访问。当有更多的更新以反映重大变化时,新的可以打印并下载的PDF版本的COBIT就会出现。
自从COBIT第三版于2000年发布以来的五年中,ITGI对IT治理进行了广泛的研究,其中包括对广大COBIT用户反馈的分析,这些便形成了COBIT 4.0更新计划的基础,这项计划开始于2004年,并计划于2005年11月份发布。
如何发展并维持COBIT ?
寻找并组织支持COBIT的资源,对ITGI这样的非营利组织来说是项巨大的挑战。ITGI的独立身份和致力于促进COBIT成为完全开放有效的指南是影响其发展的重要因素。
COBIT指导委员会,由ISACA的会员志愿者和一些由基金投资的管理团队组成,确定并执行COBIT战略的发展流程。来自ISACA的全球专家团队和处于领导地位的行业参与者组成了特别的COBIT志愿支持团队,这支团队现已有100多位专家且分布在7个不同的国家。这种结构使COBIT成为一种分散的资源,同时由世界范围内的专业用户保持并维护着。在专业的研讨会中有效、有目标,且没有商业压力和导向的运作,促使ITGI能够非常有效地发展COBIT。有时,具体的发展工作是由顾问或学术机构确定并执行。ISACA总部为原始材料到最终产品的转化提供了支持服务,并为他们的传播提供支持。
COBIT 4.0是包含许多相连项目的复杂项目。是通过管理团队历时两年的辛勤劳动完成的,其中包括众多的工作会议和具体开发任务。致力促进COBIT发展的个人也正在增多。
对变化的环境和用户做出的反映
自1992年来,IT发生了巨大的变化,随着互联网的普及和全球化,关键业务运作和战略目标的实现越来越依赖于IT。在过去的五年内,对公司治理、更严格的规章制度和公司领导责任的聚焦空前巨大。对IT的影响已成为IT管理和绩效上更突出的焦点,越来越多的人开始关注IT治理。COBIT最初作为审计师处理IT治理及IT管理和控制的改善工具,已经扩展到了IT治理及IT管理控制的框架。
COBIT 4.0更加关注:
• 更加关注IT管理——为目前的IT运作环境提供适当的管理和控制指南。
• 更广泛的目标用户——满足审计师、执法者、安全专家和其他在不同情况下为IT绩效提供保证的相关人的需求。
• 董事层对治理的更多关注——确保有足够的业务聚焦和机制,将IT目标的管理和控制与企业的需求结合起来。
• 完善IT最佳实践和标准——在企业不断接受专业指导(如ITIL和ISO 17799)时,COBIT可以成为一个综合框架,并且被认为是全面IT控制的高度可信且可实践的指导
• 3个主要目标用户的综合使用:管理者、IT部门和审计师——确保所使用的结构、表达和语言能够为管理层的股东们、参与者和专业人员提供更容易的理解和应用。
• 持续符合法规——确保COBIT涉及了IT治理的所有方面,并且展示它与IT治理域和COSO框架相对应。确保它能够一直被认为是实际的IT治理管理控制框架。
COBIT 4.0计划聚焦于何处?
COBIT 4.0 发展战略集中于以下方面:
• IT治理 — 基于五个方面的整合:由ITGI定义的战略整合、价值交付、风险管理、资源管理和绩效管理。虽然COBIT涉及了许多方面,但分析显示还存在着一些不足,需要调整某些IT流程的名称并增加部分新的控制目标。COBIT 4.0中加入了一个矩阵图,描绘了所有IT流程和治理域的对应关系
• 业务需求 — 以业务需求为原则,并且基于信息标准是COBIT的基本原则。由Antwerp大学进行的IT如何为业务目标提供支持的更广泛的研究涉及了各个不同的行业,提供了普遍通用的业务目标和IT目标。COBIT中提供了一个表格来说明业务目标、IT目标和COBIT IT流程的关系,以帮助用户确定他们组织业务与IT的联接。这还常被用来改善目标和绩效评价体系
• 协调一致——帮助用户更方便地将COBIT与其他更具体的指导进行整合,如ITIL, ISO 17799, PMBOK以及 PRINCE 2。COBIT 4.0中使用的术语和原理较之以前,更加协调。
• 价值创造 — 由于COBIT的审计起源,COBIT很强调风险管理的控制。COBIT 4.0更好地平衡了风险与价值,并吸取了IT价值管理的最新研究成果。
• 企业结构 — COBIT 4.0提供了RACI图表(Responsible-负责执行任务的角色、 Accountable-对任务负全责的角色、Consulted-提供信息辅助执行任务的人员、Informed-拥有既定特权、应及时得到通知的人员)阐明每个IT流程的角色和职责。结合着目标、资源、信息和流程,框架中还解释了企业结构原则。
• 流程定义及流程信息流 — 为了改善对IT流程模型的理解,COBIT 4.0提供了对每个流程的描述,包括流程的输入与输出及与其他流程的关系。
• 语言与表述 — 在COBIT 4.0中使用了更加简练、符合时代发展及行为导向的语言。控制目标和管理指南的内容根据IT流程结合起来。COBIT 4.0的核心内容只有一本书。
• 反馈 — 定期的来自用户的注释和建议,以及来自COBIT用户大会的回馈信息促进了COBIT 4.0的内容的完善。
COBIT 4.0中的主要变化?
以下描述了COBIT的主要变化区域和增强区域。
框架
• 虽然仍然还是4个域和34个流程,但每个域的范围和一些流程会有些变化:
– 规划与组织
PO4 定义IT组织和关系,现已扩展到涉及IT流程、关系和组织
PO5 IT投资管理,已更偏重于价值创造
PO8 确保遵从外部需求,现已删除,这方面要求体现在新的ME3中。
PO10 质量管理,现已变成PO8。现在PO域只有10个流程。
– 获取与实施
AI4 开发流程,现已被扩展并叫做授权操作和使用。
增加了一个新的流程-获取IT资源作为AI5(以前的AI5变成AI7放在生命周期中更合理的位置)
AI6中有关发布管理的部分也整合到新的AI7中,与ITIL原则结合得更加紧密。
– 交付与支持
DS8更名为服务台和事件管理
DS10更名为问题管理,并且只涉及问题管理,这与ITIL指南一致。
DS11数据管理,现在只处理数据管理目标,与应用控制相关的目标转移到框架的其他部分。因为应用控制通常与业务流程相结合,而不是IT流程。
– 监督与评估
ME1 IT绩效管理更名为IT绩效监督与评估,主要服务于流程职责的需求。
ME2内部控制监督更名为内部控制监督与评估,主要服务于对IT整体负责的人的需求。
ME3由原来不被认为是IT流程的提供独立审计变更为确保法规遵从。ME3对外部法规、法律和合同要求做出回应,并且来自原来的PO8。
ME4由原来的获取独立的保证变更为提供IT治理,服务于整个企业职责。
• IT资源由原来的5项变为新的4项:
–人员
–信息,取代了数据
–应用软件
–基础架构,取代了技术和设施
控制目标和管理指南
• 高级控制目标介绍仍然呈现为瀑布流模式,但被修正为以下格式:
对。。。IT流程的控制
使IT。。。满足业务需求
由。。。来实现,
由。。。来管理,
由。。。来衡量
• 控制目标和管理指南被整合到一本书中,展示了所有的IT流程。为所有用户提供了简单易用的操作手册。
• 增强的详细控制目标改善了IT治理的范围并与其他实践协调,同时结合了用户的回馈。目标的数量和文本的页数减少了大概20%,并且它们的表述更加以行为为导向而且简明。许多第三版本的控制目标都是可以普遍找到的,所以这些都用框架中一个简短的常用列表来代替了。
• 每个IT流程现在都有基本输入/输出的描述,确定它从哪个流程来,到哪个流程去,或是否有其它路径。这些输入/输出的连接使CobiT中的关键流程被确定下来。
• 对于每个IT流程,新增加的信息描述了流程活动(说明性的但不详尽的)和流程负责人,而且加入了职责说明。这被表述为与RACI图表连接的关键活动清单,RACI使用了业务与IT中的常用角色清单。
• 矩阵表明一般业务目标和IT目标的关系,并在附录中说明了他们如何绘制到IT流程中。这份材料被用作增强COBIT 4.0中的目标和评价体系,并且帮助从业务角度证实COBIT包括的范围。
• 经过修正和改良的目标和评价体系(KPI和KGI)提供了更好的业务方向和对每个流程目标及IT整体目标的更多关注。KPI和KGI在结构和内容上有显著的改善。每个流程的主要活动都有更多或更少的为IT流程本身和整个IT可度量评价体系。这使用户能够区别流程的绩效指标、流程的目标指标和IT的目标指标。所有这些标准直接连接了一般业务和框架中提供的IT目标。
• 第三版本的关键成功因素被两个新的术语取代:来自其他域的流程作为输入项是所需的成功因素,关键管理实践或行动目标是流程负责人必须处理的关键成功因素。
• 成熟度模型重新排列成新的流程结构,成熟特征表也经过改善和修正,有以下一些新的特征:
– 意识和交流
– 政策、标准和程序
– 工具和自动化
– 技能和技术
– 职责和责任
– 目标设定和度量
控制实践
修改并更新控制实践,以便与新的控制目标保持一致。
审计指南
目前的审计指南是1996年先于管理指南和控制实践提出的,因此,审计指南的建立只与控制目标有关系。他们描述并支持了控制评估的一般审计流程、符合性测试和实质风险。
在新版本中,审计指南将被COBIT的IT确认指南所代替,它将描述COBIT如何能够支持已包括在审计指南中的若干确认技术。
• 风险评估概念
• 业务风险/价值评估
• 确认计划和范围
• 控制评估与测试
• 控制及流程成熟度 (自评估)
• 实质风险和有效报告
因此,新版本将提供比审计指南更多的指导,并且会涉及COBIT的所有方面。目前版本的审计指南将由以下更全面的内容代替:
• 询问谁——RACI表
• 获取什么——流程输入
• 评估什么——控制目标和控制实践
• 测试什么——确认步骤,这将被增加到控制实践中去
• 要证实并确认的术语——流程输入和输出,KPI和KGI,COBIT online基准。
支持每个技术问题所需的详细内容仍将保留在COBIT online中,并可以下载一些确认模板。这些都将在2006年见到。
对目前用户有何影响?
• COBIT 4.0是由COBIT第三版本发展而来的,并且本质上基于同样的核心原则和结构。
• 因此,没有必要“放弃”已经做过的工作
• COBIT 4.0从COBIT第三版本发展而来,并且提供了经过改善的内容,增加了一些专业术语。
• 附录中收录了所有的相关文献,说明了流程和控制目标如何综合地给出指导,帮助转换现有的任何文档及一些新出现的工具。
• 度量标准也是基于同样KGI/KPI原则,在第三版本的基础上有所改进,提供了更完善的业务导向以及帮助用户定义更好的评价方法的例子。
• 与流程描述、行为和职责相关的新版本将使每个流程的范围和目的更容易理解,并使流程负责人更加清晰。因此,使用COBIT实施或改善IT流程的效果就会增强。
• 新的确认指南将对现有的审计指南进行扩展,增加一些新的方法,涉及 COBIT 4.0的全部内容
• 2006年的大半年中,COBIT online 将同时存在两个版本。一个是冻结的第三版本的COBIT在线,一个是将持续维持的知识库——COBIT online4.0版。因此,COBIT online的用户将得到全面的支持。
• COBIT的派生产品,如COBIT安全基准、COBIT Quickstart、IT治理实施指导、萨班斯IT控制目标和COBIT mapping报告,也将重新组合并更新。
COBIT 4.0如何使用户受益?
COBIT 4.0中的变化是有益的,并且应该帮助用户获取以下收益:
• 更完整、更全面地覆盖IT治理——帮助聚焦在正确的地方,并且帮助IT管理者和审计师证明IT处在多么有效的治理之下。
• 更容易理解并且有更容易实施的内容——为股东在设定组织目标和理解问题方面提供帮助。
• 与其他实践更好的兼容——帮助整合,并使COBIT像“雨伞”框架一样使用。
• 增强IT流程信息、业务导向目标、标准以及精确的成熟度模型——帮助用户将IT治理与业务驱动更好地整合在一起,然后测量流程的执行性能和绩效。
- 治理评论第一期[01-20]
- 治理评论第六期[01-20]
- 治理评论第二期[01-20]
- 治理评论第五期[01-20]
- 治理评论第三期[01-20]
- 治理评论第四期[01-20]
- 太极凭什么中标12306? [09-26]
- 中国国际航空股份有限公司--书评[11-01]
