IT治理架构及模型介绍

1、IT治理：中国信息化的必由之道作者：孙强、郝亚斌  公司治理与信息技术治理如何工作企业设立目标，由通用的惯例来治理并保证目标实现。这些目标中渗透企业的发展方向，指导企业活动和使用资源。企业活动的结果被衡量及报告，为输入提供不断的修正和维护控制，从而开始下一轮循环。信息技术也确立目标，保证企业信息和相关技术支持商业目标，资源有效利用，风险管理适度。这些目标形成IT活动的基本方向，划分为规划和组织，获取和实施，交付与支持，监控等四个部分。一方面管理风险（安全、可靠，保密），另一方面实现收益（提高有效性和效率）。通过报告发布关于IT活动收益，根据不同的管理和控制来衡量，然后进入下一轮循环。

2、IT治理架构一个有效的IT治理架构需要理解组织的核心竞争力，并且在商业目标，治理原型，业务绩效目标之间维持平衡，进而提出IT治理框架，制定决策以及如何在关键的信息技术领域中确定。由此，意识到IT治理与企业治理之间的必然联系，提供管理相关风险的最佳实务指导。企业目标是保证企业健康、可持续发展，关注商业目标、知识管理、商业通讯、客户关系、商业活动与过程；IT治理目标是信息系统、技术和网络、知识管理、IT资产管理、电子商务、IT合法性等。COBIT，直译为信息及相关技术的控制目标，是IT治理的一个开放性标准，由美国IT治理研究院开发与推广，目前已成为国际上公认的最先进、最权威的安全与信息技术管理和控

3、制的标准。该标准为IT的治理、安全与控制提供了一个一般适用的公认的标准，以辅助管理层进行IT治理。该标准体系已在世界一百多个国家的重要组织与企业中运用，指导这些组织有效利用信息资源，有效地管理与信息相关的风险。     COBIT模型COBIT将IT 过程，IT资源及信息与企业的策略与目标联系起来，形成一个三维的体系结构。其中，IT准则维集中反映了企业的战略目标，主要从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性； IT资源维主要包括以人、应用系统、技术、设施及数据在内的信息相关的资源，这是IT治

4、理过程的主要对象；IT过程维则是在IT准则的指导下，对信息及相关资源进行规划与处理，从信息技术的规划与组织、采集与实施、交付与支持、监控等四个方面确定了34个信息技术处理过程，每个处理过程还包括更加详细的控制目标和审计方针对IT处理过程进行评估。COBIT的34个信息技术过程：这个模型为企业管理的成功提供了集成的IT管理，通过保证有关企业处理过程的高效的改进措施，以更快更好更安全地响应企业需求。管理指南定义了IT过程的成熟度模型，为管理者评估IT过程的状态提供了标准。同时也给出了一些重要的测度，这包括：关键成功因素，关键目标指标，关键绩效指标。COBIT模型是企业战略目标和信息技术战略目标的桥

5、梁，使得信息技术目标和企业战略目标之间实现互动。该框架的意义在于：COBIT实现了企业目标与IT治理目标之间的桥梁作用。首先考虑了企业自身的战略规划，对业务环境和企业总的业务战略进行分析定位，并将战略规划所产生的目标、政策、行动计划作为信息技术的关键环境，并由此确定IT准则。IT为企业战略提供了基于技术的解决方案，为满足业务战略需求提供了技术与工具。在IT准则的指导下，利用控制目标模型，分别从规划与组织、采集与实施、交付与支持、监控等过程进行控制、管理信息资源，在IT管理的同时，引入审计指南，从而保证IT资源管理的安全性、可靠性和有效性。实现可跟踪的业绩衡量，通过平衡经营记分卡可以在财务（企业

6、资源管理）、客户（客户关系管理）、过程（内部网，工作流工具）、学习（知识管理）等方面维持平衡，评价企业目标的实现情况以及IT绩效，并调整商业目标和IT战略，进行持续的IT管理。采用成熟度模型，可以定位自己企业的IT管理目前在业界所处的位置，未来努力的方向，通俗地说就是给IT管理"打分"。COBIT还提供了目前最佳案例和关键成功因素，供企业和组织借鉴。概括而言，COBIT的主要优点如下：· COBIT是一个非常有用的工具，也非常易于理解和实施，可以帮助在管理层、IT与审计之间交流的鸿沟上搭建桥梁，提供了彼此之间沟通的共同语言。几乎每个机构都可以从COBIT中获益，来

7、决定基于IT过程及他们所支持的商业功能的合理控制。当我们知道这些商业功能是什么，其对企业的关键到什么程度时，就能对这些事件进行良好的分类。所有的信息系统审计，控制及安全专业人员应该考虑采用COBIT原则。 · 通过实施COBIT，增加了管理层对控制的感知及支持。COBIT帮助管理层懂得控制如何影响商业功能。COBIT提供的实施工具集包括优秀的案例资料（提供模板商业过程，使得优秀范例能够迅速移植），帮助向管理层很好地表述IT管理概念。管理层在基于最佳控制实践基础上做出正确决策的能力亦得到了提高。 · COBIT使IT管理工作简易并量化，减轻对复杂信息系统管理工作的难度，并且可

8、以应用在每天都在发生的各种新问题中。对于那些不具有广博IT知识的人来将，是一个认清信息技术的有价值的工具。它也使得信息系统审计师具有与IT专业人员相同的专业广度，并且可以询问IT工程相关的问题。 · COBIT提供了一种国际通用的IT管理及问题解决方案，普遍适用于各种不同的商业项目和审计，并且它既包容了我们当前的情况，也提供将来可能会使用到的指导方针。 · COBIT有助于提高信息系统审计师的影响力，依据COBIT出具的信息系统审计报告更容易得到管理层的肯定。 · COBIT框架可以能够帮助决定过程责任，提高IT治理水平。通过采用该框架作为对一个责任矩阵分析的基础

9、，可以做到基于角色的IT管理，定义过程措施，确保客户利益。从以上的分析介绍可以看出：整个模型实现了企业战略与IT战略的互动，并形成持续改进的良性循环机制，为企业提供了具有一定参考价值的解决方案。因此，我们认为针对我国信息化存在的问题，借鉴COBIT的IT治理思想和框架，科学、系统地对信息及相关技术进行管理，逐步试行建立IT治理机制，对推动我国信息技术的发展和应用具有十分重要的现实意义。（本文由孙  强 郝亚斌 郝晓玲 孟秀转共同完成）    （作者孙强，赛迪顾问业务拓展总监，中国信息化推进联盟IT治理专业委员会副主任。美国注册信息系统审计师，国际信息系统审计与控制协会会员，中