1、IT治理：中國國信息化的必必由之道作者者：孫強、郝郝亞斌 公司治理與信息息技術治理如如何工作企業設立目標，由由通用的慣例例來治理并保保證目標實現現。這些目標標中滲透企業業的發展方向向，指導企業業活動和使用用資源。企業業活動的結果果被衡量及報報告，為輸入入提供不斷的的修正和維護護控制，從而而開始下一輪輪循環。信息技術也確立立目標，保證證企業信息和和相關技術支支持商業目標標，資源有效效利用，風險險管理適度。這這些目標形成成IT活動的的基本方向，劃劃分為規劃和和組織，獲取取和實施，交交付與支持，監監控等四個部部分。一方面面管理風險（安安全、可靠，保保密），另一一方面實現收收益（提高有有效性和效率率）

2、。通過報報告發布關于于IT活動收收益，根據不不同的管理和和控制來衡量量，然后進入入下一輪循環環。IT治理架構一個有效的ITT治理架構需需要理解組織織的核心競爭爭力，并且在在商業目標，治治理原型，業業務績效目標標之間維持平平衡，進而提提出IT治理理框架，制定定決策以及如如何在關鍵的的信息技術領領域中確定。由由此，意識到到IT治理與與企業治理之之間的必然聯聯系，提供管管理相關風險險的最佳實務務指導。企業業目標是保證證企業健康、可可持續發展，關關注商業目標標、知識管理理、商業通訊訊、客戶關系系、商業活動動與過程；IIT治理目標標是信息系統統、技術和網網絡、知識管管理、IT資資產管理、電電子商務、II

3、T合法性等等。COBIT，直直譯為信息及及相關技術的的控制目標，是是IT治理的的一個開放性性標準，由美美國IT治理理研究院開發發與推廣，目目前已成為國國際上公認的的最先進、最最權威的安全全與信息技術術管理和控制制的標準。該該標準為ITT的治理、安安全與控制提提供了一個一一般適用的公公認的標準，以以輔助管理層層進行IT治治理。該標準準體系已在世世界一百多個個國家的重要要組織與企業業中運用，指指導這些組織織有效利用信信息資源，有有效地管理與與信息相關的的風險。 COOBIT模型型COBIT將IIT 過程，IIT資源及信信息與企業的的策略與目標標聯系起來，形形成一個三維維的體系結構構。其中，IIT準

4、則維集集中反映了企企業的戰略目目標，主要從從質量、成本本、時間、資資源利用率、系系統效率、保保密性、完整整性、可用性性等方面來保保證信息的安安全性、可靠靠性、有效性性； IT資資源維主要包包括以人、應應用系統、技技術、設施及及數據在內的的信息相關的的資源，這是是IT治理過過程的主要對對象；IT過過程維則是在在IT準則的的指導下，對對信息及相關關資源進行規規劃與處理，從從信息技術的的規劃與組織織、采集與實實施、交付與與支持、監控控等四個方面面確定了344個信息技術術處理過程，每每個處理過程程還包括更加加詳細的控制制目標和審計計方針對ITT處理過程進進行評估。COBIT的334個信息技技術過程：這

5、個模型為企業業管理的成功功提供了集成成的IT管理理，通過保證證有關企業處處理過程的高高效的改進措措施，以更快快更好更安全全地響應企業業需求。管理指南定義了了IT過程的的成熟度模型型，為管理者者評估IT過過程的狀態提提供了標準。同同時也給出了了一些重要的的測度，這包包括：關鍵成成功因素，關關鍵目標指標標，關鍵績效效指標。COBIT模型型是企業戰略略目標和信息息技術戰略目目標的橋梁，使使得信息技術術目標和企業業戰略目標之之間實現互動動。該框架的的意義在于：COBITT實現了企業業目標與ITT治理目標之之間的橋梁作作用。首先考慮了企業業自身的戰略略規劃，對業業務環境和企企業總的業務務戰略進行分分析定

6、位，并并將戰略規劃劃所產生的目目標、政策、行行動計劃作為為信息技術的的關鍵環境，并并由此確定IIT準則。IT為企業戰略略提供了基于于技術的解決決方案，為滿滿足業務戰略略需求提供了了技術與工具具。在IT準準則的指導下下，利用控制制目標模型，分分別從規劃與與組織、采集集與實施、交交付與支持、監監控等過程進進行控制、管管理信息資源源，在IT管管理的同時，引引入審計指南南，從而保證證IT資源管管理的安全性性、可靠性和和有效性。實現可跟蹤的業業績衡量，通通過平衡經營營記分卡可以以在財務（企企業資源管理理）、客戶（客客戶關系管理理）、過程（內內部網，工作作流工具）、學學習（知識管管理）等方面面維持平衡，評

7、評價企業目標標的實現情況況以及IT績績效，并調整整商業目標和和IT戰略，進進行持續的IIT管理。采用成熟度模型型，可以定位位自己企業的的IT管理目目前在業界所所處的位置，未未來努力的方方向，通俗地地說就是給IIT管理打打分。COBIT還提提供了目前最最佳案例和關關鍵成功因素素，供企業和和組織借鑒。概括而言，COOBIT的主主要優點如下下：COBIT是一一個非常有用用的工具，也也非常易于理理解和實施，可可以幫助在管管理層、ITT與審計之間間交流的鴻溝溝上搭建橋梁梁，提供了彼彼此之間溝通通的共同語言言。幾乎每個個機構都可以以從COBIIT中獲益，來來決定基于IIT過程及他他們所支持的的商業功能的的

8、合理控制。當當我們知道這這些商業功能能是什么，其其對企業的關關鍵到什么程程度時，就能能對這些事件件進行良好的的分類。所有有的信息系統統審計，控制制及安全專業業人員應該考考慮采用COOBIT原則則。 通過實施COBBIT，增加加了管理層對對控制的感知知及支持。CCOBIT幫幫助管理層懂懂得控制如何何影響商業功功能。COBBIT提供的的實施工具集集包括優秀的的案例資料（提提供模板商業業過程，使得得優秀范例能能夠迅速移植植），幫助向向管理層很好好地表述ITT管理概念。管管理層在基于于最佳控制實實踐基礎上做做出正確決策策的能力亦得得到了提高。 COBIT使IIT管理工作作簡易并量化化，減輕對復復雜信息

9、系統統管理工作的的難度，并且且可以應用在在每天都在發發生的各種新新問題中。對對于那些不具具有廣博ITT知識的人來來將，是一個個認清信息技技術的有價值值的工具。它它也使得信息息系統審計師師具有與ITT專業人員相相同的專業廣廣度，并且可可以詢問ITT工程相關的的問題。 COBIT提供供了一種國際際通用的ITT管理及問題題解決方案，普普遍適用于各各種不同的商商業項目和審審計，并且它它既包容了我我們當前的情情況，也提供供將來可能會會使用到的指指導方針。 COBIT有助助于提高信息息系統審計師師的影響力，依依據COBIIT出具的信信息系統審計計報告更容易易得到管理層層的肯定。 COBIT框架架可以能夠幫

10、幫助決定過程程責任，提高高IT治理水水平。通過采采用該框架作作為對一個責責任矩陣分析析的基礎，可可以做到基于于角色的ITT管理，定義義過程措施，確確?？蛻衾嬉?。從以上的分析介介紹可以看出出：整個模型型實現了企業業戰略與ITT戰略的互動動，并形成持持續改進的良良性循環機制制，為企業提提供了具有一一定參考價值值的解決方案案。因此，我我們認為針對對我國信息化化存在的問題題，借鑒COOBIT的IIT治理思想想和框架，科科學、系統地地對信息及相相關技術進行行管理，逐步步試行建立IIT治理機制制，對推動我我國信息技術術的發展和應應用具有十分分重要的現實實意義。（本文由孫 強 郝亞斌斌 郝曉玲 孟秀轉共同同完成） （作者者孫強，賽迪迪顧問業務拓拓展總監，中中國信息化推推進聯盟ITT治理專業委委員會副主任任。美國注冊冊信息系統審審計師，國際際信息系統審審計與控制協協會會員，中中國信息系統統審計與控制制專業委員