IT治理架構(gòu)及模型介紹

1、IT治理：中國信息化的必由之道作者：孫強(qiáng)、郝亞斌  公司治理與信息技術(shù)治理如何工作企業(yè)設(shè)立目標(biāo)，由通用的慣例來治理并保證目標(biāo)實(shí)現(xiàn)。這些目標(biāo)中滲透企業(yè)的發(fā)展方向，指導(dǎo)企業(yè)活動(dòng)和使用資源。企業(yè)活動(dòng)的結(jié)果被衡量及報(bào)告，為輸入提供不斷的修正和維護(hù)控制，從而開始下一輪循環(huán)。信息技術(shù)也確立目標(biāo)，保證企業(yè)信息和相關(guān)技術(shù)支持商業(yè)目標(biāo)，資源有效利用，風(fēng)險(xiǎn)管理適度。這些目標(biāo)形成IT活動(dòng)的基本方向，劃分為規(guī)劃和組織，獲取和實(shí)施，交付與支持，監(jiān)控等四個(gè)部分。一方面管理風(fēng)險(xiǎn)（安全、可靠，保密），另一方面實(shí)現(xiàn)收益（提高有效性和效率）。通過報(bào)告發(fā)布關(guān)于IT活動(dòng)收益，根據(jù)不同的管理和控制來衡量，然后進(jìn)入下一輪循環(huán)。

2、IT治理架構(gòu)一個(gè)有效的IT治理架構(gòu)需要理解組織的核心競爭力，并且在商業(yè)目標(biāo)，治理原型，業(yè)務(wù)績效目標(biāo)之間維持平衡，進(jìn)而提出IT治理框架，制定決策以及如何在關(guān)鍵的信息技術(shù)領(lǐng)域中確定。由此，意識(shí)到IT治理與企業(yè)治理之間的必然聯(lián)系，提供管理相關(guān)風(fēng)險(xiǎn)的最佳實(shí)務(wù)指導(dǎo)。企業(yè)目標(biāo)是保證企業(yè)健康、可持續(xù)發(fā)展，關(guān)注商業(yè)目標(biāo)、知識(shí)管理、商業(yè)通訊、客戶關(guān)系、商業(yè)活動(dòng)與過程；IT治理目標(biāo)是信息系統(tǒng)、技術(shù)和網(wǎng)絡(luò)、知識(shí)管理、IT資產(chǎn)管理、電子商務(wù)、IT合法性等。COBIT，直譯為信息及相關(guān)技術(shù)的控制目標(biāo)，是IT治理的一個(gè)開放性標(biāo)準(zhǔn)，由美國IT治理研究院開發(fā)與推廣，目前已成為國際上公認(rèn)的最先進(jìn)、最權(quán)威的安全與信息技術(shù)管理和控

3、制的標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)為IT的治理、安全與控制提供了一個(gè)一般適用的公認(rèn)的標(biāo)準(zhǔn)，以輔助管理層進(jìn)行IT治理。該標(biāo)準(zhǔn)體系已在世界一百多個(gè)國家的重要組織與企業(yè)中運(yùn)用，指導(dǎo)這些組織有效利用信息資源，有效地管理與信息相關(guān)的風(fēng)險(xiǎn)。     COBIT模型COBIT將IT 過程，IT資源及信息與企業(yè)的策略與目標(biāo)聯(lián)系起來，形成一個(gè)三維的體系結(jié)構(gòu)。其中，IT準(zhǔn)則維集中反映了企業(yè)的戰(zhàn)略目標(biāo)，主要從質(zhì)量、成本、時(shí)間、資源利用率、系統(tǒng)效率、保密性、完整性、可用性等方面來保證信息的安全性、可靠性、有效性； IT資源維主要包括以人、應(yīng)用系統(tǒng)、技術(shù)、設(shè)施及數(shù)據(jù)在內(nèi)的信息相關(guān)的資源，這是IT治

4、理過程的主要對(duì)象；IT過程維則是在IT準(zhǔn)則的指導(dǎo)下，對(duì)信息及相關(guān)資源進(jìn)行規(guī)劃與處理，從信息技術(shù)的規(guī)劃與組織、采集與實(shí)施、交付與支持、監(jiān)控等四個(gè)方面確定了34個(gè)信息技術(shù)處理過程，每個(gè)處理過程還包括更加詳細(xì)的控制目標(biāo)和審計(jì)方針對(duì)IT處理過程進(jìn)行評(píng)估。COBIT的34個(gè)信息技術(shù)過程：這個(gè)模型為企業(yè)管理的成功提供了集成的IT管理，通過保證有關(guān)企業(yè)處理過程的高效的改進(jìn)措施，以更快更好更安全地響應(yīng)企業(yè)需求。管理指南定義了IT過程的成熟度模型，為管理者評(píng)估IT過程的狀態(tài)提供了標(biāo)準(zhǔn)。同時(shí)也給出了一些重要的測度，這包括：關(guān)鍵成功因素，關(guān)鍵目標(biāo)指標(biāo)，關(guān)鍵績效指標(biāo)。COBIT模型是企業(yè)戰(zhàn)略目標(biāo)和信息技術(shù)戰(zhàn)略目標(biāo)的橋

5、梁，使得信息技術(shù)目標(biāo)和企業(yè)戰(zhàn)略目標(biāo)之間實(shí)現(xiàn)互動(dòng)。該框架的意義在于：COBIT實(shí)現(xiàn)了企業(yè)目標(biāo)與IT治理目標(biāo)之間的橋梁作用。首先考慮了企業(yè)自身的戰(zhàn)略規(guī)劃，對(duì)業(yè)務(wù)環(huán)境和企業(yè)總的業(yè)務(wù)戰(zhàn)略進(jìn)行分析定位，并將戰(zhàn)略規(guī)劃所產(chǎn)生的目標(biāo)、政策、行動(dòng)計(jì)劃作為信息技術(shù)的關(guān)鍵環(huán)境，并由此確定IT準(zhǔn)則。IT為企業(yè)戰(zhàn)略提供了基于技術(shù)的解決方案，為滿足業(yè)務(wù)戰(zhàn)略需求提供了技術(shù)與工具。在IT準(zhǔn)則的指導(dǎo)下，利用控制目標(biāo)模型，分別從規(guī)劃與組織、采集與實(shí)施、交付與支持、監(jiān)控等過程進(jìn)行控制、管理信息資源，在IT管理的同時(shí)，引入審計(jì)指南，從而保證IT資源管理的安全性、可靠性和有效性。實(shí)現(xiàn)可跟蹤的業(yè)績衡量，通過平衡經(jīng)營記分卡可以在財(cái)務(wù)（企業(yè)

6、資源管理）、客戶（客戶關(guān)系管理）、過程（內(nèi)部網(wǎng)，工作流工具）、學(xué)習(xí)（知識(shí)管理）等方面維持平衡，評(píng)價(jià)企業(yè)目標(biāo)的實(shí)現(xiàn)情況以及IT績效，并調(diào)整商業(yè)目標(biāo)和IT戰(zhàn)略，進(jìn)行持續(xù)的IT管理。采用成熟度模型，可以定位自己企業(yè)的IT管理目前在業(yè)界所處的位置，未來努力的方向，通俗地說就是給IT管理"打分"。COBIT還提供了目前最佳案例和關(guān)鍵成功因素，供企業(yè)和組織借鑒。概括而言，COBIT的主要優(yōu)點(diǎn)如下：· COBIT是一個(gè)非常有用的工具，也非常易于理解和實(shí)施，可以幫助在管理層、IT與審計(jì)之間交流的鴻溝上搭建橋梁，提供了彼此之間溝通的共同語言。幾乎每個(gè)機(jī)構(gòu)都可以從COBIT中獲益，來

7、決定基于IT過程及他們所支持的商業(yè)功能的合理控制。當(dāng)我們知道這些商業(yè)功能是什么，其對(duì)企業(yè)的關(guān)鍵到什么程度時(shí)，就能對(duì)這些事件進(jìn)行良好的分類。所有的信息系統(tǒng)審計(jì)，控制及安全專業(yè)人員應(yīng)該考慮采用COBIT原則。 · 通過實(shí)施COBIT，增加了管理層對(duì)控制的感知及支持。COBIT幫助管理層懂得控制如何影響商業(yè)功能。COBIT提供的實(shí)施工具集包括優(yōu)秀的案例資料（提供模板商業(yè)過程，使得優(yōu)秀范例能夠迅速移植），幫助向管理層很好地表述IT管理概念。管理層在基于最佳控制實(shí)踐基礎(chǔ)上做出正確決策的能力亦得到了提高。 · COBIT使IT管理工作簡易并量化，減輕對(duì)復(fù)雜信息系統(tǒng)管理工作的難度，并且可

8、以應(yīng)用在每天都在發(fā)生的各種新問題中。對(duì)于那些不具有廣博IT知識(shí)的人來將，是一個(gè)認(rèn)清信息技術(shù)的有價(jià)值的工具。它也使得信息系統(tǒng)審計(jì)師具有與IT專業(yè)人員相同的專業(yè)廣度，并且可以詢問IT工程相關(guān)的問題。 · COBIT提供了一種國際通用的IT管理及問題解決方案，普遍適用于各種不同的商業(yè)項(xiàng)目和審計(jì)，并且它既包容了我們當(dāng)前的情況，也提供將來可能會(huì)使用到的指導(dǎo)方針。 · COBIT有助于提高信息系統(tǒng)審計(jì)師的影響力，依據(jù)COBIT出具的信息系統(tǒng)審計(jì)報(bào)告更容易得到管理層的肯定。 · COBIT框架可以能夠幫助決定過程責(zé)任，提高IT治理水平。通過采用該框架作為對(duì)一個(gè)責(zé)任矩陣分析的基礎(chǔ)

9、，可以做到基于角色的IT管理，定義過程措施，確保客戶利益。從以上的分析介紹可以看出：整個(gè)模型實(shí)現(xiàn)了企業(yè)戰(zhàn)略與IT戰(zhàn)略的互動(dòng)，并形成持續(xù)改進(jìn)的良性循環(huán)機(jī)制，為企業(yè)提供了具有一定參考價(jià)值的解決方案。因此，我們認(rèn)為針對(duì)我國信息化存在的問題，借鑒COBIT的IT治理思想和框架，科學(xué)、系統(tǒng)地對(duì)信息及相關(guān)技術(shù)進(jìn)行管理，逐步試行建立IT治理機(jī)制，對(duì)推動(dòng)我國信息技術(shù)的發(fā)展和應(yīng)用具有十分重要的現(xiàn)實(shí)意義。（本文由孫  強(qiáng) 郝亞斌 郝曉玲 孟秀轉(zhuǎn)共同完成）    （作者孫強(qiáng)，賽迪顧問業(yè)務(wù)拓展總監(jiān)，中國信息化推進(jìn)聯(lián)盟IT治理專業(yè)委員會(huì)副主任。美國注冊信息系統(tǒng)審計(jì)師，國際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)會(huì)員，中