以COBIT指导信息化项目质量管理的探索

摘要：信息化项目质量管理的基本方法有很多，包括CMMI、TQM、6西格玛等。本文以IT治理为切入点，探索识别典型的IT治理框架——COBIT对信息化项目各阶段的质量要求，以达到提升企业IT治理绩效、确保信息化项目投资与企业战略目标相一致的目的。

关键词：信息化项目；项目管理；项目质量；COBIT；IT治理

1 前言

随着市场竞争日益激烈，企业信息化已成为提高企业国际竞争力、实现可持续发展的必然选择，是企业经营战略的重要组成部分。信息化项目对企业经营管理活动意义重大并影响深远，因此，确保信息化项目建设质量对于企业至关重要（下文对信息化项目主要指企业软件开发/实施类型项目）。

2 IT治理与COBIT

企业的IT 投资是否与战略目标相一致，从而构筑必要的核心竞争力？这是IT 投资者真正关心的问题。IT 治理的目标是实现企业内IT 信息、IT 资源、IT 技术的合理利用，满足企业整体战略目标，让企业利益在技术回报之间取得平衡并获得更多的价值和竞争力[1]。越来越多的企业引入IT治理以保障 IT 价值、管理与IT 有关的风险、增加对信息的控制要求。

COBIT(Control Objectives for Information and related Technology) 是一个权威性的、国际公认的IT 治理控制框架，该框架可用于企业的业务管理层、IT 专业人士及审计专业人员的日常工作。COBIT由信息系统审计与控制协会（ISACA）在1996年公布，目前已经更新至4.1版。COBIT被引入我国后，日渐受到企业关注，被企业引入作为IT治理框架、指导企业信息化建设的实施，并作为建立和优化IT内部控制的参考。[2]

为有效治理 IT，评估IT 内所需管理的活动与风险是很重要的。COBIT框架将IT治理职责归纳为计划与组织(PO)、获取与实施(AI)、支持与交付(DS)、监控与评价(ME)四个职责域，并定义了34个常用流程，每一个流程均指明了业务目标与其所支持的 IT 目标之间的联系，同时也提供了如何衡量目标、关键活动和主要交付物以及由谁负责等相关信息。

3 信息化项目的质量管理与COBIT

PMBOK中定义了项目质量管理的各个过程，包括规划质量、实施质量保证、实施质量控制。其中，规划质量是识别项目及其产品的质量要求和/或标准，并书面描述项目将如何达到这些要求和/或标准的过程[3]。由此可见，要进行良好的质量控制，识别质量要求至关重要。

信息化项目的实施对象是信息系统，系统的运用效果是衡量项目是否成功的唯一标准[4]。信息化项目一般结束于系统的上线或短暂的试运行之后，而信息系统的生命周期往往长达数年甚至更长。确保信息系统实现即定的业务目标，并保证信息信息系统在其生命周期内是良好运行并可被维护的，是信息化项目的质量目标。

作为一个优秀的IT治理框架，COBIT以业务为中心、以流程为导向、以控制为基础、以绩效测评为驱动，涵盖了从IT规划到建设、运营、监控的各职责，定义了流程的主要活动、控制目标与绩效指标。以COBIT定义的流程控制目标与绩效指标中识别出信息化项目各阶段的质量要求，并以之指导信息化项目质量管理，可以提升IT治理绩效，确保项目最终实施效果满足企业整体战略目标，使IT投资效益最大化。

COBIT框架的四个职责域所涵盖内容如下：

计划与组织(PO)：该域涵盖了战略和战术，致力于识别 IT 为实现业务目标作出最佳贡献的途径。实现战略愿景需要从不同的角度和层次去计划、沟通及管理，这需要设立一个适当的组织结构及技术基础设施。

获取与实施(AI)：为实现IT 战略，应确认、开发/采购、实施IT 解决方案并将其整合到业务流程中。此外，该域还涵盖了现有系统的变更与维护以确保持续满足业务目标。

交付与支持(DS)：这一领域主要关注所需服务的实际交付情况，包括服务交付、安全和持续性管理、用户服务支持、数据和操作设施管理。

监控与评价(ME)：应定期评估所有IT 流程的质量以及与控制要求的符合程度。该领域涉及绩效管理、内部控制的监督、合规和治理等内容。

由上可见，COBIT的四个域涵盖了信息化项目实施全过程：在“计划与组织(PO)”职责域中定义了IT战略与战术，信息化项目按照IT战略在战术计划定义的时候启动，并按照“计划与组织(PO)”职责域所定义的项目管理要求组织项目工作，同时“计划与组织(PO)”职责域还为项目定义了其技术基础设施；信息化项目建设过程中，需要遵循“获取与实施(AI)”职责域所定义的要求，并同时为“交付与支持(DS)”作好准备；信息化项目建设结束后，项目将按“交付与支持(DS)”职责域进行运维支持管理。

4 以COBIT为指导识别信息化项目的质量管理要求

一般地，信息化项目可以定义为规划/Plan、定义/Define、构建/Construct、测试/Test、部署/Deploy五个阶段。在对COBIT的计划与组织(PO)、获取与实施(AI)、支持与交付(DS)三个职责域内的流程控制目标与绩效进行分析后，我们可以将这些控制目标与绩效分解到项目的各阶段，作为阶段工作质量要求，指导项目实施过程的质量控制以及质量阀评审。基于以上思路，结合笔者的项目质量管理经验，识别整理出的项目各阶段质量管理要求如下：

4.1 Plan / 项目规划

活动目标：识别项目需求，进行方案设计与可行性分析，最终确定可行、有效的项目方案，并立项、确定获取方式（包括但不限于确定供应商）。

活动流程：图1. Plan阶段工作流程图（获取方式以采购为例）

质量要求：

PO1 IT战略规划：符合IT战略与战术计划，没有方向上的偏离。

PO2 定义信息架构：1）符合信息架构规划，2）系统间的信息冗余是受控的，3）保证信息的可靠、一致、安全，4）与业务战略匹配。

PO3 确定技术方向：符合既定的技术方向。

PO5 IT投资管理：1）有详细、合理的IT投资构成；2）进行投资收益分析，确保 IT 成本、收益、战略、政策和服务水平的透明并得到理解。

PO7 人力资源管理：1）项目组织机构（人 员、职责）定义清晰、准确，并包含了利益相关方；2）合理制订了培训计划。

PO10 项目管理：1）按项目管理要求组织项目开展；2）相关文档编制/签署完备。以下各阶段同。

AI1 自动化方案识别：1）识别了业务功能与技术需求，并与业务保持一致；2）风险评估的合理性与完整性；3）可行性研究；4）需求与可行性研究经过业务主办人的同意并签署。

AI7 系统测试与发布：1）制订了合理的测试策略，确保业务与技术风险应对措施得到验证。2）隐没功能性测试外，还包括了对以下内容的测试验证：压力测试（DS3 性能与容量）、运营知识文档验证（AI4 运营知识保障）、能够适当地防止由于错误/攻击/灾难造成的故障并从故障中恢复

DS1 服务水平的定义和管理：1）定义了适当的服务水平协议SLA，SLA是来源于业务需求并以关键业务为定义标准。2）服务水平协议包括可用性、可靠性、性能、增长的容量、用户支持、持续性计划和安全考虑。3）服务水平协议在《可行性研究报告》中对其可行性进行了设计与评估。

4.2 Define / 定义

活动目标：详细需求调研与分析，设计未来业务流程（业务蓝图，TOBE流程），根据业务需求进行概要设计，明确定义系统功能。

活动流程：图2.Define阶段工作流程图

质量要求：

AI2 应用系统开发及维护：1）《需求跟踪矩阵》被更新，所有需求都被设计覆盖；2）系统概要设计文档应获得管理层批准以确保高层设计体现业务需求。

AI3 技术基础设施的获取与维护：所使用的基础设施符合既定的IT 架构和技术标准且是可支持的。

PO2 信息架构：1）符合企业信息架构模型；2）数据定义完整，来源于业务需求。

DS11 数据管理：完整识别数据管理安全要求，且来源于业务需求。

DS4 确保持续服务：系统设计过程中进行了关键业务分析，并针对关键失效点提出了保障措施。

DS5 确保系统安全、DS11 数据管理、DS12 运营管理等：运维相关系统功能已列入系统需求中，如系统监控平台、身份认证模式、数据归档功能等。

4.3 Construct / 构建

活动目标：根据Define阶段定义的系统功能进行系统开发，并作好测试准备。

活动流程：图3. Construct阶段工作流程图

质量要求：

AI2 应用系统开发及维护：1）《需求跟踪矩阵》被更新，所有需求都被详细设计覆盖；2）开发文档齐备且符合相关要求。

AI4 运营知识保障：需要在测试阶段进行测试验证的运营知识文档是否齐备。运营知识一般包括（斜体字文档建设进行测试验证）：1）针对业务管理：业务蓝图、服务持续性方案；2）针对最终用户：用户操作手册（SOS）、手工操作手册（MOP)；3）针对运营维护人员：服务器安装手册、客户端安装手册、系统健康检查表、系统作业调度表、备份与恢复手册、数据管理手册、用户权限管理流程、已知错误与应对措施表。

AI7 系统测试与发布：1）测试场景/案例覆盖了《需求跟踪矩阵》中的所有需求；2）功能测试的场景/案例经与业务用户确认覆盖了所有的业务场景。

DS11 数据管理：1）定义数据管理策略，包括：数据备份、数据归档、数据销毁；2）数据管理策略满足业务目标、组织的安全策略和规则的要求；3）不存在过设计或设计不足。

4.4 Test / 测试

活动目标：组织开展系统测试工作，保证系统开发质量。

活动流程：图4. Test阶段工作流程图

质量要求：

AI7 系统测试与发布：1）确保测试工作是按照既有的测试方法论开展；2）在测试流程中修正已识别的重大错误，并修正后的系统完成了在测试计划中识别的一整套测试和任何必须的压力测试；3）由业务管理层评估并批准测试结果，确保业务需求响应与业务策略一致。

AI4 运营知识保障：1）运营知识文档已被验证通过（文档详见本文4.3节）；2）根据测试过程中发现的错误已更新《已知错误与应对措施表》。

DS 支持与交付：是否为支持与交付作好了准备。不同项目关注内容有所差异。一般关注于 DS9 配置管理、DS12 物理环境管理、DS13 运营管理。

4.5 Deploy / 部署

活动目标：系统上线前作好上线准备工作，经上线质量阀评审通过后上线。作好上线后的变更管理。

活动流程：图5. Deploy阶段工作流程图

质量要求：

AI7 系统测试与发布：1）系统部署策略完备，并建立了上线和回退/撤销方案，并获得相关部门批准；2）由业务管理层评估并批准测试结果，确保业务需求响应与业务策略一致。

AI4 运营知识保障：运营知识文档已被交付给正确的人员。

DS7 教育和培训用户：确保上线前必要的培训已被安排并被有效执行，至少包括：1）最终用户培训，2）后台系统维护培训， 3）客户端支持培训。

DS8 服务台和事件管理：1）所部署/实施的服务要求已被正确传递到服务台；2）对于影响面大、用户多的上线工作，已安排并培训足够的服务支持人员。

DS9 配置管理：1）新部署/实施软/硬件的配置库是完整的、最新的；2）已识别对已有配置项的影响并被更新已有配置项至最新。

DS11 数据管理：数据管理策略已被传递给运维人员，并与之明确了执行开始时间。

DS12 物理环境管理：项目上线时间及支持要求已告知物理环境管理人员。

DS13 运营管理：1）已定义了运营作业列表且作业列表是完备的；2）支持运营工作的相关软硬件环境已准备就署；2）项目上线时间及支持要求已告知运营管理人员。

5 结束语

从以上质量要求可以看到，以COBIT为指导识别信息化项目质量管理要求，在项目实施过程中不仅仅关注项目周期内的开发质量要求，同时还关注信息系统与业务目标的一致性、保证项目所交付的信息系统在整个生命周期的可支持性，以使得IT投资效益的最大化。

近年来，我国企业普遍面临IT 投资黑洞等信息化建设的深层次问题，IT治理日益受国内企业关注。IT治理的研究在我国还处于起步与借鉴阶段，而COBIT的应用也还只是被一些信息化程度非常高的企业或政府部分采用。本文作为推进COBIT在企业中应用的一项探索，权作抛砖引玉，以期有更多的专业人士推进IT治理与COBIT在我国的应用研究与推进。

参考文献

[1]程晓楠. 关于IT 治理与战略发展一致性问题的案例研究. 河南建材, 2011, (2).

[2]郑煦平，阳杰. COBIT的解读及其在我国的应用. 生产力研究, 2009, (17) .

[3]（美）项目管理协会. 项目管理知识体系指南（PMBOK指南）第4版. 2008.

[4]李劲华，信息化项目实施与应用的一个质量标准体系. ZDNet管理软件频道, 2008-02-19.

http://ec.zdnet.com.cn/managesoft/2008/0219/739334.shtml

[5]IT治理研究院（IT Governance Institute，ITGI）. COBIT 4.1.

[6]吴乃忠. 运用COBIT模型分析企业信息化项目风险. 硅谷, 2010, (10) .

[7]董榆梅，夏建光. 基于COBIT的ERP实施绩效评价研究. 云南财经大学学报, 2007, (S1) .

作者简介：

李小玲（1973-），女，汉，广西柳州人，上汽通用五菱汽车股份有限公司IT部 系统与数据集成主任工程师，制冷工程专业，柳州市制造业信息化专家小组成员，信息化从业12年。

注：本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文