以COBIT指導信息化項目質量管理的探索

摘要：信息化項目質量管理的基本方法有很多，包括CMMI、TQM、6西格瑪等。本文以IT治理為切入點，探索識別典型的IT治理框架——COBIT對信息化項目各階段的質量要求，以達到提升企業IT治理績效、確保信息化項目投資與企業戰略目標相一致的目的。

關鍵詞：信息化項目；項目管理；項目質量；COBIT；IT治理

1 前言

隨著市場競爭日益激烈，企業信息化已成為提高企業國際競爭力、實現可持續發展的必然選擇，是企業經營戰略的重要組成部分。信息化項目對企業經營管理活動意義重大并影響深遠，因此，確保信息化項目建設質量對于企業至關重要（下文對信息化項目主要指企業軟件開發/實施類型項目）。

2 IT治理與COBIT

企業的IT 投資是否與戰略目標相一致，從而構筑必要的核心競爭力？這是IT 投資者真正關心的問題。IT 治理的目標是實現企業內IT 信息、IT 資源、IT 技術的合理利用，滿足企業整體戰略目標，讓企業利益在技術回報之間取得平衡并獲得更多的價值和競爭力[1]。越來越多的企業引入IT治理以保障 IT 價值、管理與IT 有關的風險、增加對信息的控制要求。

COBIT(Control Objectives for Information and related Technology) 是一個權威性的、國際公認的IT 治理控制框架，該框架可用于企業的業務管理層、IT 專業人士及審計專業人員的日常工作。COBIT由信息系統審計與控制協會（ISACA）在1996年公布，目前已經更新至4.1版。COBIT被引入我國后，日漸受到企業關注，被企業引入作為IT治理框架、指導企業信息化建設的實施，并作為建立和優化IT內部控制的參考。[2]

為有效治理 IT，評估IT 內所需管理的活動與風險是很重要的。COBIT框架將IT治理職責歸納為計劃與組織(PO)、獲取與實施(AI)、支持與交付(DS)、監控與評價(ME)四個職責域，并定義了34個常用流程，每一個流程均指明了業務目標與其所支持的 IT 目標之間的聯系，同時也提供了如何衡量目標、關鍵活動和主要交付物以及由誰負責等相關信息。

3 信息化項目的質量管理與COBIT

PMBOK中定義了項目質量管理的各個過程，包括規劃質量、實施質量保證、實施質量控制。其中，規劃質量是識別項目及其產品的質量要求和/或標準，并書面描述項目將如何達到這些要求和/或標準的過程[3]。由此可見，要進行良好的質量控制，識別質量要求至關重要。

信息化項目的實施對象是信息系統，系統的運用效果是衡量項目是否成功的唯一標準[4]。信息化項目一般結束于系統的上線或短暫的試運行之后，而信息系統的生命周期往往長達數年甚至更長。確保信息系統實現即定的業務目標，并保證信息信息系統在其生命周期內是良好運行并可被維護的，是信息化項目的質量目標。

作為一個優秀的IT治理框架，COBIT以業務為中心、以流程為導向、以控制為基礎、以績效測評為驅動，涵蓋了從IT規劃到建設、運營、監控的各職責，定義了流程的主要活動、控制目標與績效指標。以COBIT定義的流程控制目標與績效指標中識別出信息化項目各階段的質量要求，并以之指導信息化項目質量管理，可以提升IT治理績效，確保項目最終實施效果滿足企業整體戰略目標，使IT投資效益最大化。

COBIT框架的四個職責域所涵蓋內容如下：

計劃與組織(PO)：該域涵蓋了戰略和戰術，致力于識別 IT 為實現業務目標作出最佳貢獻的途徑。實現戰略愿景需要從不同的角度和層次去計劃、溝通及管理，這需要設立一個適當的組織結構及技術基礎設施。

獲取與實施(AI)：為實現IT 戰略，應確認、開發/采購、實施IT 解決方案并將其整合到業務流程中。此外，該域還涵蓋了現有系統的變更與維護以確保持續滿足業務目標。

交付與支持(DS)：這一領域主要關注所需服務的實際交付情況，包括服務交付、安全和持續性管理、用戶服務支持、數據和操作設施管理。

監控與評價(ME)：應定期評估所有IT 流程的質量以及與控制要求的符合程度。該領域涉及績效管理、內部控制的監督、合規和治理等內容。

由上可見，COBIT的四個域涵蓋了信息化項目實施全過程：在“計劃與組織(PO)”職責域中定義了IT戰略與戰術，信息化項目按照IT戰略在戰術計劃定義的時候啟動，并按照“計劃與組織(PO)”職責域所定義的項目管理要求組織項目工作，同時“計劃與組織(PO)”職責域還為項目定義了其技術基礎設施；信息化項目建設過程中，需要遵循“獲取與實施(AI)”職責域所定義的要求，并同時為“交付與支持(DS)”作好準備；信息化項目建設結束后，項目將按“交付與支持(DS)”職責域進行運維支持管理。

4 以COBIT為指導識別信息化項目的質量管理要求

一般地，信息化項目可以定義為規劃/Plan、定義/Define、構建/Construct、測試/Test、部署/Deploy五個階段。在對COBIT的計劃與組織(PO)、獲取與實施(AI)、支持與交付(DS)三個職責域內的流程控制目標與績效進行分析后，我們可以將這些控制目標與績效分解到項目的各階段，作為階段工作質量要求，指導項目實施過程的質量控制以及質量閥評審。基于以上思路，結合筆者的項目質量管理經驗，識別整理出的項目各階段質量管理要求如下：

4.1 Plan / 項目規劃

活動目標：識別項目需求，進行方案設計與可行性分析，最終確定可行、有效的項目方案，并立項、確定獲取方式（包括但不限于確定供應商）。

活動流程：圖1. Plan階段工作流程圖（獲取方式以采購為例）

質量要求：

PO1 IT戰略規劃：符合IT戰略與戰術計劃，沒有方向上的偏離。

PO2 定義信息架構：1）符合信息架構規劃，2）系統間的信息冗余是受控的，3）保證信息的可靠、一致、安全，4）與業務戰略匹配。

PO3 確定技術方向：符合既定的技術方向。

PO5 IT投資管理：1）有詳細、合理的IT投資構成；2）進行投資收益分析，確保 IT 成本、收益、戰略、政策和服務水平的透明并得到理解。

PO7 人力資源管理：1）項目組織機構（人 員、職責）定義清晰、準確，并包含了利益相關方；2）合理制訂了培訓計劃。

PO10 項目管理：1）按項目管理要求組織項目開展；2）相關文檔編制/簽署完備。以下各階段同。

AI1 自動化方案識別：1）識別了業務功能與技術需求，并與業務保持一致；2）風險評估的合理性與完整性；3）可行性研究；4）需求與可行性研究經過業務主辦人的同意并簽署。

AI7 系統測試與發布：1）制訂了合理的測試策略，確保業務與技術風險應對措施得到驗證。2）隱沒功能性測試外，還包括了對以下內容的測試驗證：壓力測試（DS3 性能與容量）、運營知識文檔驗證（AI4 運營知識保障）、能夠適當地防止由于錯誤/攻擊/災難造成的故障并從故障中恢復

DS1 服務水平的定義和管理：1）定義了適當的服務水平協議SLA，SLA是來源于業務需求并以關鍵業務為定義標準。2）服務水平協議包括可用性、可靠性、性能、增長的容量、用戶支持、持續性計劃和安全考慮。3）服務水平協議在《可行性研究報告》中對其可行性進行了設計與評估。

4.2 Define / 定義

活動目標：詳細需求調研與分析，設計未來業務流程（業務藍圖，TOBE流程），根據業務需求進行概要設計，明確定義系統功能。

活動流程：圖2.Define階段工作流程圖

質量要求：

AI2 應用系統開發及維護：1）《需求跟蹤矩陣》被更新，所有需求都被設計覆蓋；2）系統概要設計文檔應獲得管理層批準以確保高層設計體現業務需求。

AI3 技術基礎設施的獲取與維護：所使用的基礎設施符合既定的IT 架構和技術標準且是可支持的。

PO2 信息架構：1）符合企業信息架構模型；2）數據定義完整，來源于業務需求。

DS11 數據管理：完整識別數據管理安全要求，且來源于業務需求。

DS4 確保持續服務：系統設計過程中進行了關鍵業務分析，并針對關鍵失效點提出了保障措施。

DS5 確保系統安全、DS11 數據管理、DS12 運營管理等：運維相關系統功能已列入系統需求中，如系統監控平臺、身份認證模式、數據歸檔功能等。

4.3 Construct / 構建

活動目標：根據Define階段定義的系統功能進行系統開發，并作好測試準備。

活動流程：圖3. Construct階段工作流程圖

質量要求：

AI2 應用系統開發及維護：1）《需求跟蹤矩陣》被更新，所有需求都被詳細設計覆蓋；2）開發文檔齊備且符合相關要求。

AI4 運營知識保障：需要在測試階段進行測試驗證的運營知識文檔是否齊備。運營知識一般包括（斜體字文檔建設進行測試驗證）：1）針對業務管理：業務藍圖、服務持續性方案；2）針對最終用戶：用戶操作手冊（SOS）、手工操作手冊（MOP)；3）針對運營維護人員：服務器安裝手冊、客戶端安裝手冊、系統健康檢查表、系統作業調度表、備份與恢復手冊、數據管理手冊、用戶權限管理流程、已知錯誤與應對措施表。

AI7 系統測試與發布：1）測試場景/案例覆蓋了《需求跟蹤矩陣》中的所有需求；2）功能測試的場景/案例經與業務用戶確認覆蓋了所有的業務場景。

DS11 數據管理：1）定義數據管理策略，包括：數據備份、數據歸檔、數據銷毀；2）數據管理策略滿足業務目標、組織的安全策略和規則的要求；3）不存在過設計或設計不足。

4.4 Test / 測試

活動目標：組織開展系統測試工作，保證系統開發質量。

活動流程：圖4. Test階段工作流程圖

質量要求：

AI7 系統測試與發布：1）確保測試工作是按照既有的測試方法論開展；2）在測試流程中修正已識別的重大錯誤，并修正后的系統完成了在測試計劃中識別的一整套測試和任何必須的壓力測試；3）由業務管理層評估并批準測試結果，確保業務需求響應與業務策略一致。

AI4 運營知識保障：1）運營知識文檔已被驗證通過（文檔詳見本文4.3節）；2）根據測試過程中發現的錯誤已更新《已知錯誤與應對措施表》。

DS 支持與交付：是否為支持與交付作好了準備。不同項目關注內容有所差異。一般關注于 DS9 配置管理、DS12 物理環境管理、DS13 運營管理。

4.5 Deploy / 部署

活動目標：系統上線前作好上線準備工作，經上線質量閥評審通過后上線。作好上線后的變更管理。

活動流程：圖5. Deploy階段工作流程圖

質量要求：

AI7 系統測試與發布：1）系統部署策略完備，并建立了上線和回退/撤銷方案，并獲得相關部門批準；2）由業務管理層評估并批準測試結果，確保業務需求響應與業務策略一致。

AI4 運營知識保障：運營知識文檔已被交付給正確的人員。

DS7 教育和培訓用戶：確保上線前必要的培訓已被安排并被有效執行，至少包括：1）最終用戶培訓，2）后臺系統維護培訓， 3）客戶端支持培訓。

DS8 服務臺和事件管理：1）所部署/實施的服務要求已被正確傳遞到服務臺；2）對于影響面大、用戶多的上線工作，已安排并培訓足夠的服務支持人員。

DS9 配置管理：1）新部署/實施軟/硬件的配置庫是完整的、最新的；2）已識別對已有配置項的影響并被更新已有配置項至最新。

DS11 數據管理：數據管理策略已被傳遞給運維人員，并與之明確了執行開始時間。

DS12 物理環境管理：項目上線時間及支持要求已告知物理環境管理人員。

DS13 運營管理：1）已定義了運營作業列表且作業列表是完備的；2）支持運營工作的相關軟硬件環境已準備就署；2）項目上線時間及支持要求已告知運營管理人員。

5 結束語

從以上質量要求可以看到，以COBIT為指導識別信息化項目質量管理要求，在項目實施過程中不僅僅關注項目周期內的開發質量要求，同時還關注信息系統與業務目標的一致性、保證項目所交付的信息系統在整個生命周期的可支持性，以使得IT投資效益的最大化。

近年來，我國企業普遍面臨IT 投資黑洞等信息化建設的深層次問題，IT治理日益受國內企業關注。IT治理的研究在我國還處于起步與借鑒階段，而COBIT的應用也還只是被一些信息化程度非常高的企業或政府部分采用。本文作為推進COBIT在企業中應用的一項探索，權作拋磚引玉，以期有更多的專業人士推進IT治理與COBIT在我國的應用研究與推進。

參考文獻

[1]程曉楠. 關于IT 治理與戰略發展一致性問題的案例研究. 河南建材, 2011, (2).

[2]鄭煦平，陽杰. COBIT的解讀及其在我國的應用. 生產力研究, 2009, (17) .

[3]（美）項目管理協會. 項目管理知識體系指南（PMBOK指南）第4版. 2008.

[4]李勁華，信息化項目實施與應用的一個質量標準體系. ZDNet管理軟件頻道, 2008-02-19.

http://ec.zdnet.com.cn/managesoft/2008/0219/739334.shtml

[5]IT治理研究院（IT Governance Institute，ITGI）. COBIT 4.1.

[6]吳乃忠. 運用COBIT模型分析企業信息化項目風險. 硅谷, 2010, (10) .

[7]董榆梅，夏建光. 基于COBIT的ERP實施績效評價研究. 云南財經大學學報, 2007, (S1) .

作者簡介：

李小玲（1973-），女，漢，廣西柳州人，上汽通用五菱汽車股份有限公司IT部 系統與數據集成主任工程師，制冷工程專業，柳州市制造業信息化專家小組成員，信息化從業12年。

注：本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文