最新观点认为，IT管理中必须包含治理的概念。在方兴未艾的公司治理审查浪潮中，IT治理占据了非常高的显著性。IT经理在承担全公司范围的公司治理责任的同时，必须在企业的文化和流程中做出反映。IT和其他业务经理应该关注IT和企业的责任，同时使用现有的模型来设计适当的IT治理框架。

    业务战略意图

    * 业务和IT治理曾经被分开考虑，但现在已经密切交缠。公司治理审查的日益关注直接或者间接的影响了IT和IT治理所采用的方向。IT经理因此需要理解治理，理解影响各自企业的特定问题，以及IT实际上能够提供什么。IT经理应该与业务同事、公司治理实体、以及关键经理和管理服务提供商们一起工作，才能最好地建立IT治理框架的方向。
    * 成功的IT治理模型中牢固的嵌入了企业文化、流程和价值。虽然它们是指导方针，现实经济形态中却不存在"均码"式的框架。IT经理应该评估很多领域，包括业务调整、财政控制、开发方法和标准、管理可说明性、组织结构、外包选择、采购标准和质量目标等要素，作为IT治理方法的元素。
    * 适当的治理需要可说明性和可测量性。另外，流程和程序必须足够详细和文档化，以显示IT有持续的方法解决公司内部的问题。然而，这些路程和程序应该敏捷和可变，以适应法律以及技术等方面的变化。最后，治理是确保企业提供从IT投资中得到最大价值的关键。IT经理应该将个人以及部门可说明性融合到IT治理框架中。

    　公司治理是全球公司和股东面对的关键问题。在美国，公司治理导向被反映在最新的立法中。立法并没有讨论技术问题本身，任何公司指令将对IT有强烈的影响。另外，在当今这样技术作为业务关键因素的时代，排除了适当IT治理的公司治理是不完整的。

    　最近对公司治理问题的非常强烈的关注，在很大程度上，是由于企业伦理的问题。然而，IT治理的驱动却有不同的动机。对IT而言，问题开始于业务调整，但是也会扩展到适当业务操作的问题。

　　IT治理是一种用来指导和控制企业的结构和流程，目标是通过增加价值，同时平衡IT机器流程的风险和回报，取得公司的目标。

    业务和IT治理相关性

    　IT治理的关键是：不能将IT治理作为公司治理的事后想法，或者看做不是那么迫切；IT经理以及CxO和业务线经理应该在各自前线共同工作，以确保IT是公司治理完整计划的一部分。这可以通过CIO或者其他IT经理参与公司治理委员会、业务单元参与IT治理行为来实现。

    　在公司治理关系中，IT部门和个人与其他部门及个人互动。个人与承包商、合作伙伴和客户互动。非IT个人和部门也进行同样的活动。企业不是孤岛--治理需要扩展到供应链上，同时扩展到客户处。

图：公司和IT治理关系
来源：Robert Frances Group

    　成功的IT治理中，IT人员在技术方面努力教育其他人员是不够的。IT外的人员需要承担责任，更频繁和清晰地与IT人员沟通。调整是双向的过程。敏锐的CEO和董事会成员可以理解技术是业务成功的关键，因此也是适当公司治理的关键。因此，公司治理委员会应该解决技术治理问题，以提供完整的治理监察机制。

    　另外，风险管理是治理的驱动，同时也是公司治理的关键元素。适当的治理减少了可能带来潜在成本的风险暴、提供了信息化决策的信息库、也提供了全面的却可变的规划框架。IT带来的业务调整是成功IT和业务治理的必需组成部分。

    IT治理的重要参考标准-COBIT

    　经过几十年的发展，西方发达国家总结了信息化建设的经验，将 "企业治理"的概念引入到信息化领域，提出了"IT治理"的概念，对信息化建设的管理提升到了一个新的高度。信息化建设过程实质上就是一个对IT进行治理的过程，在这个背景下，ISACA提出了COBIT。

    　COBIT是Controlled Objectives for Information and Related Technology的缩写，即信息及相关技术的控制目标。COBIT是 ISACA（信息系统审计和控制联合会）制订的面向过程的信息系统审计和评价的标准。对信息化建设成果的评价，按照系统属性可以划分为若干方面，如：对最终成果评价、对建设过程评价、对系统架构评价等。COBIT是一个基于IT治理概念的、面向IT建设过程的IT治理实现指南和审计标准。

    　ISACA成立于1969年，是国际上最富盛名的信息控制理论研究及研究资料的出版机构，是一个专门从事IT治理相关技术研究、教育的国际组织。它在全球拥有100多个会员国，主要任务定位于协调世界范围内建立IT控制惯例，并与其他国际组织如财务、会计、审计及IT专业建立了战略联盟，使自己在IT治理方面达到世界最高水平。

　　SACA于1996年发表了COBIT的第一版，1998年修订后发表第二版。最新的版本是2001年发布的第三版。在第三版中，ISACA对第二版的内容进行了修订，增加了"管理指南"等内容，反映当前最新的信息和相关技术控制目标。COBIT是一个指导信息化建设、审计、治理的标准或框架。COBIT第三版中包含了COBIT的框架、控制目标、实现目标所应采取的实践方法、对信息化建设进行审计等一系列内容。ISACA发布COBIT的目的：

    * 集中体现全球IT管理专家贡献的精华
    * 是进行IT治理和风险管理的有效工具
    * 是平衡风险和投资关系的有效工具
    * 是进行IT性能考核的重要参考
    * 设置行动标杆，指导企业达到适当的控制水平
    * 还可用于支持政府和行业管理部门的信息系统审计活动

    ■ COBIT的用途是：

    * 作为IT治理的核心模型
    * 作为"审计 "信息系统的标准
    * 作为指导信息化建设行动

    ■ COBIT的主要服务对象是：

    * 管理人员 帮助他们在变幻莫测的IT环境中平衡风险和控制投资。
    * 信息化的用户 得到内部或第三方提供服务的安全、IT服务控制的保证。
    * 审计人员 借助COBIT证实他们对IT系统状况的判断，为管理层改善内部控制提供建议。

    在开发COBIT的过程中，ISACA博采众长，大量吸取了世界范围的、与信息技术管理相关的研究成果，

    ■ 主要包括：

    * 来自ISO、EDIFACT等的技术标准
    * 来自OECD、ISACA等的职业道德规范；
    * 来自IT系统和过程的质量标准，如ITSEC、TCSEC、ISO9000、SPICE、TickIT等
    * 来自内部控制和审计的职业标准：如COSO、IFAC、AICPA、CICA、ISACA、IIA、PCIE、GAO等
    * 来自行业论坛的行业管理和规定及政府发起的论坛，如ESF、I4、IBAG、NIST、DTI等。
    * 行业特殊标准：如银行业、电子商务和IT制造等。

    ■ COBIT的基本概念

    　COBIT是一个典型的按照西方思维方法取得的研究成果，即分析事实、提炼模型、建立概念、提出行动方法和评价体系。基于IT治理的概念，ISACA对IT建设过程进行提炼，建立了一系列概念和过程及，确定行动目标，提出行动方法和评审标准。这些内容构成了COBIT的框架和支柱，使用者可以根据实际情况做一定的剪裁。COBIT所提出基本概念是：IT治理的模型、IT治理的过程、成熟度级别、控制目标、关键目标指示（KGI）、关键性能指示（KPI）、重要成功因素（CSF）等。

　　COBIT认为信息化建设就是借助"IT资源"，通过管理活动（activities），将输入的"事件"转换为"信息"。IT治理就是对这个控制、转换过程进行管理和控制。COBIT将"信息"的特性划分为：效果、效率、机密性、完整性、适用性、遵从性（即遵守有关的法律法规、规章制度）、可靠性等七个属性，将"IT资源"划分为：技术、应用、人员、设施、数据。信息及资源的关系见图1。从图1我们可以看到，IT资源是将事件转换为信息的装置，COBIT将这个装置形象地描述为一个圆柱体，圆柱体的核心是数据，数据外围包裹着由"技术"、"（IT）设施"、"人员"组成竖井，竖井外包围的是"应用（系统）"。

图1 IT治理模型

   　 COBIT采用关键目标指示KGI（Key Goal Indicators）表达一个过程要达到哪些指标，KGI可以与著名的绩效考核方法"平衡记分法"中的绩效指标相关联。为了衡量每个过程在"多大程度"上达到了KGI，COBIT设置了 "关键性能指示（KPI）"（Key Performance Indicators）。COBIT将IT治理过程划分为34个过程（下面将谈到），为每个过程给出了为了实现KGI必须完成的一系列重要工作 -- "重要成功因素CSF"（Critical Success Factors）。而每个过程达到的关键性能指示（KPI）的程度则用六个成熟度级别来表示，它们是：0-混沌（根本不存在）、1-初始级；2-可重复级、3-可定义级、4-可管理级、5-优化级。

    　COBIT将IT治理过程或信息化建设过程划分为四个域：计划和组织（Planning and Organization）、获取和实施（Acquisition & Implementation）、交付和支持（Delivery and Support）、监视（Monitoring）。每个过程域下面又划分为若干过程：

    　* 过程域"计划和组织"包括：PO1-IT战略规划确定、PO2-信息结构确定、PO3-技术方向确定、PO4-IT组织及关系确定、PO5-IT投资管理、PO6-沟通管理的目标和方向、PO7-人力资源管理、PO8-遵守外部要求的保证、PO9-风险评估、PO10-项目管理、PO11-质量管理。

    　* 过程域"获取和实施"包含：AI1-自动解决方案的识别、AI2-应用软件的获取和维护、AI3-技术设施的获取和维护、AI4-开发和维护程序、AI5-安装和授权系统、AI6-变更管理。

   　 * 过程域"交付和支持"包括：DS1-服务水平定义及管理、DS2-第三方服务管理、DS3-性能和容量管理、DS4-不间断服务保证、DS5-系统安全保证、DS6-成本的识别和分配、DS7-用户教育和培训、DS8-对客户的协助和建议、DS9-配置管理、DS10-问题和意外事件管理、DS11-数据管理、DS12-设施管理、DS13-运行管理。

    　* 过程域"监视"则包含了：M1-监视过程、M2-评估内部控制充分性、M3-获得独立保证、M4-提供独立审计。

COBIT家族

    　COBIT是一组相互关联的文件构成，被形象地成为"家族"，它的构成见图。

图 COBIT家族构成

    　在"COBIT框架"描述了COBIT的主要概念，给出了每个过程的高层控制目标。在"框架"之下是三个文件："管理指南"、"详细控制目标"和"审计指南"。其中"管理指南"是第三版新增加的内容，目的是为实施COBIT提供方法。在"管理指南"中详细地叙述了每个过程的成熟度模型-从浑沌状态的0级到优化的5级、KGI、KPI以及要达到KGI的 "重要成功因素"CSF。同时，还给出了与这个过程密切相关的IT资源，以及信息判据中哪些特征最为重要和比较重要。在文件"详细控制目标"中，则按照34个过程逐一给出"详细控制目标"。"信息系统审计指南"的构成比较复杂，它包含了"审计道德要求"、"信息系统审计标准"、"信息系统审计指南"、"信息系统审计过程"等子文件。

    　在"实施工具包"中，给出了一系列实施COBIT的工具，包括：如何引入COBIT、如何在一个组织中实施COBIT、管理意识诊断、IT控制状况诊断等实施指南，以及COBIT实施案例研究和常见问题的解答等内容，是人们实施COBIT的重要的、权威的参考手册。

    ■ COBIT的特点

    　前面我们对COBIT的基本概念、组成、结构进行了简要介绍，下面我们对COBIT的主要特点进行一些简要的分析。
    ● 面向过程
    　面向过程是COBIT的一个突出特点。纵观我国信息化行业的实际情况，无论是政府组织的评审活动，还是各个实施单位的内部考核，对信息化建设的评审多侧重于对系统建设最终效果的考核，如生产效率的提高程度、成本降低的情况等。信息化建设的最终目的无疑是提高经营效益、管理水平，但是在信息化建设成果与业务效益之间并没有完全对应的关系，换句话说，一个性能良好的信息系统并不能完全保证出色的经营效益，反之，某个单位的经营效益出色，也不能完全归功于信息系统。同时，我们还应注意到，信息化建设的所包含的内涵比信息系统更广泛。如果仅仅根据信息系统实施后的经营效益或服务水平判定信息化建设的状况，就难免产生一定的偏差，也容易引起参加建设各方的争议。COBIT的意义在于，它为我们提供了一个判断信息化建设的"程序"是否恰当的方法。借助COBIT我们可以把对信息化建设的考察分为两个部分，即分别考察"程序"和 "结果"，将一个复杂的考核问题进行分隔和简化。

　　面向过程的评价体系还有一个优势是：提供了改善行动的指南。按照面向结果的指标考核体系，能够方便地判断建设单位是否达到了标准，却没有告诉通过什么途径才能提高水平达到标准，也没有告诉建设单位在"多大程度"上达到了标准。面向过程的考核体系，则恰好填补了这个空缺，它提供了达到标准的方法和手段。因此，不仅可以将COBIT作为对信息化过程进行审计的重要参考，还可以将COBIT的34个过程的活动内容，作为提高本单位的信息化建设水平的重要参照。

    ● 内容全面
   　 从前面的介绍我们知道，COBIT是一个家族，它不但包含了框架、过程控制目标和管理指南、实施COBIT的工具包，还包含了进行IT审计的审计标准。因此，COBIT在结构上是比较完整的、全面的，兼顾了审计人员、管理人员和IT人员的需求。各个文件中的内容具有强烈的相关性，互为参照。为了方便阅读和使用，框架内容和重要的概念在各文件中反复出现，便于查找。COBIT给出的高层和详细控制目标、成熟度描述等都是针对IT治理的实际活动，比较实用，既提供审计标准，又提供了工作指南。
   　 同时我们注意到，在COBIT家族中还包含了审计人员应遵守的职业道德标准。ISACA把对信息系统审计提升到了与财务审计同等重要的程度，体现出信息社会中IT建设应具有重要性及信息系统审计的严肃性。

    ● 用途广泛
    　COBIT具有广泛的用途。不但可以作为信息化建设过程的考察标准，可以作为IT建设单位日常工作的重要参考，同时还可以作为IT软件/硬件开发商、供应商、代理商、咨询服务商开发产品、提供服务的重要参考。所有为信息化建设提供服务的有关单位，在进行产品设计开发、实施服务时，都可以参照COBIT的概念、框架、过程，为客户提供符合过程标准的产品和服务，努力帮助客户达到更高的建设成熟度水平，获得更完美的建设成果。

    ● 尚待完善之处
    　COBIT虽然具有众多优势，但是在某些方面，还存在着一定的不足，尚需要使用人员在使用过程中，加以改进和完善。

    * COBIT的控制目标、关键性能指示、关键指示中的内容不可能完全符合我国的实际情况，有些指标的内容尚需商榷。另外，这些指标是通用的，没有根据行业特点或企业业务结构、经营规模进行划分。如果要将COBIT应用到某个单位，必须经过适当的裁减或调整。

    * COBIT虽然设置了成熟度标准，但是描述语言是定性的，没有明确的判断成熟度的指标，这样当实际运用时，尤其在进行评审时，难免因审计人员的个人素质造成审查结果的偏差。

    * ISACA推出COBIT的同时，还应提供更多的设计说明思想的说明，使读者更全面、更充分地理解作者的设计意图，对针对实际情况的具体应用方法、特别是裁减方法、允许的裁减程度提供更详细的指导意见，或采用更详细的案例讨论为打算采用COBIT的用户提供指导。

    　总之，COBIT是一个非常值得借鉴的信息系统评审和信息化建设指导框架，是考察信息化建设过程一个重要的参照体系。我们希望通过对COBIT的研究和应用，为提高IT治理水平、提高IT投资效益，推进信息化建设做出一些切实的工作。　　　　(E-work）