COBIT 5的内容浅析

[摘 要]COBIT 5是国际信息系统与控制协会推出的IT审计最新指南。本文对COBIT 5的基本原则和内容进行介绍，并对COBIT中的企业目标和IT目标的关系进行了分析，以期推进企业经济快速发展。

[关键词]COBIT 5；企业目标；IT治理

doi：10.3969/j.issn.1673 - 0194.2016.18.018

[中图分类号]F232；F239.1 [文献标识码]A [文章编号]1673-0194（2016）18-00-01

1 COBIT 5的产生背景

COBIT（Control Objectives for Information and Related Technology）是ISACA协会推出的IT治理指南。从1996年第一个版本COBIT 1.0开始，目前已经到了COBIT 5.0。其中COBIT 4.1经过中国建设银行翻译，并被ISACA协会授权认可，成为在三大审计领域中发挥较大影响的参考指南之一。COBIT 4.1由中国建设银行内审部主持组织翻译，成为ISACA协会的唯一由国内商业银行翻译的正式版本，得到了业界的认可。相比较COBIT 4.1，2013年的COBIT 5提供一种全面的框架，以支持企业实现其企业IT治理和管理的目标。简而言之，就是帮助企业通过维持，实现利益和优化风险等级和资源利用之间的平衡，从而创造源自于IT的最佳价值。COBIT 5能够为整个企业使IT在整体上得以治理和管理，并承担整个端到端业务和IT功能区域的责任，同时兼顾内外部利益相关者与IT相关的利益。COBIT 5适用于各种规模的机构，无论是商务机构、非营利机构、或公共机构。

2 COBIT 5基本原则

2.1 满足利益相关者需要

COBIT 5提供所有必需的流程和其他动力，以支持通过IT运用来创造业务价值。因为各个企业的目标不尽相同，所以一家企业可以通过目标等级定制COBIT 5，使其适用于企业的实际情况，将高层次企业目标转化成易于管理的、具体的、与IT相关的目标，并将这些目标映射到具体的流程和实践之中。

2.2 端到端覆盖企业

COBIT 5将企业IT治理整合进企业治理之中，COBIT 5覆盖企业内所有的职能和流程，并不只关注“IT功能”，而且还视信息及相关技术为资产，这种资产就像任何其他资产一样，可由企业内任何人予以处理。COBIT 5认为所有与IT相关的治理和管理动力是端到端覆盖整个企业范畴的，例如，涉及到内部和外部的任何事和任何人都与企业信息和相关IT的治理和管理形成关联。

2.3 运用单一整合式框架

IT相关的标准和最佳实践方法很多，每一种都有一种IT活动的子集提供指引。COBIT 5与其他相关标准和框架保持高度一致，因此可以用作企业IT治理和管理的首要框架。

2.4 采用一个整体全面的方法

高效率和有效的企业IT治理和管理需要一种整体解决方案，应考虑到各个互相作用的组件。COBIT 5定义了一组驱动要素以支持企业IT的综合治理和管理体系的实施。所谓驱动要素在广义上定义为任何能帮助实现企业目标的因素。COBIT 5定义了7个驱动要素范畴包括：①原则、政策和框架；②流程；③组织结构；④文化、道德和行为；⑤信息；⑥服务、基础设施和应用程序；⑦人员、技能和能力。

3 COBIT 5目标和指标的关系浅析

COBIT通过定义企业目标和治理目标的关系，从IT平衡计分卡的四个维度全面评价IT目标与企业目标的关系，通过关注财务指标、内部指标、成长指标和客户满意度指标的表现，使IT指标与组织的业务发展联系在一起。以财务维度为例，COBIT 5中与财务有关的企业目标包括：①商务投资的利益相关者价值；②竞争性产品与服务的组合；③管理的业务风险；④外部法律法规的合规性；⑤财务透明度等。与财务有关的信息及相关技术目标包括：①IT与业务战略的一致性；②IT合规和对业务的外部法律合规的支持；③行政管理层的对象进行IT相关决策的承诺；④管理的IT相关业务风险；⑤从IT驱动的投资和服务组合中实现的收益；⑥IT成本、收益和分析的透明度。以上指标中具体的企业目标可以通过相对应的信息相关技术目标来实现。并且根据平衡计分卡的维度将不同指标根据表现分成族系，从而为如何评价结论和改进提供了方向的参考。

（1）效果。如果信息符合将信息运用特定任务的信息消费者的需要，则信息有效。如果用户利用信息能履行任务，则信息有效。这也符合信息质量的目标：适量性、相关性、可理解性、可解释性、客观性。

（2）效率。尽管效率被视为一种产品信息，但效率则更多地与获取和使用信息的流程相关，所以效率与“信息作为一种服务”的观点一致。如果符合用户需要的信息是轻而易举地获取和使用，那么信息的使用是有效率的。这符合以下信息质量的目标：可信性、可访性、易于操作、有信誉。

（3）完整性。如果信息具备完整性，则信息就是没有误差而是完整的。这符合以下信息质量的目标：完整、精确。

（4）可靠性。可靠性常被视为精确性的同义词；然而，也可以说，如果是真实和可信的，则信息是可靠的。与完整性相比较，可靠性更为主观，更多地与感知相联系，而不仅是事实的。这符合以下信息质量的目标：可信性、有信誉和客观性。

（5）可用性。可用性是可访问和安全性名下的信息质量目标之一。

（6）保密性。保密性与受限存取信息质量目标相对应。

（7）符合性。在某种意义上信息必须符合规范是由任何信息质量目标所覆盖，其程度取决于需求。监管符合性是使用信息最常见的一种目标或要求，而并不是信息的固有质量。

由此可见，信息系统的效果、效率、完整性、可靠性、可用性、保密性和符合性等标准与COBIT 5中的相应内容都建立了紧密的关联，并在具体应用层面有所体现。

主要参考文献

[1]郑妍.基于COBIT的IT治理实施[J].计算机光盘软件与应用，2014（8）.

[2]熊耀亮. 基于COBIT信息系统审计研究[J]. 科技信息，

2012（18）：269-270.

[3]中国人民银行济南分行课题组，刘振海. 基于COBIT的央行信息技术审计标准研究[J]. 金融理论与实践，2012（12）：35-38.