葉世綺 陳 琳

IT治理（ITGovernance）可以作為公司治理的一個分支。目前，國內外對IT治理還缺乏統(tǒng)一的認識，但是IT治理這一概念已得到國內外學術界、產業(yè)界的共同關注和研究。首個提出IT治理概念的IT治理協(xié)會（ITGI）將其定義為“執(zhí)行層和董事的責任，由領導、組織架構和流程組成，確保企業(yè)的IT能夠維護和發(fā)展組織的戰(zhàn)略和目標”，并認為IT治理在本質上關心兩件事：“實現(xiàn)IT技術的商業(yè)價值和規(guī)避IT風險”。世界四大會計事務所之一的德勤（Deloitte Touche）對IT治理的定義為：“包括信息系統(tǒng)、技術、通信、商業(yè)、所有利益相關者、合法性和其他問題”，其主要任務是“保持IT與業(yè)務目標一致，推動業(yè)務發(fā)展，促使收益最大化，合理利用IT資源，對IT相關風險適當管理?！庇纱丝梢?，只有不斷提高IT治理水平，在信息系統(tǒng)建設的整個生命周期過程中對其進行管理、控制，才能確保企業(yè)的IT目標得以實現(xiàn)，即支持組織戰(zhàn)略目標和業(yè)務需求。

二、COBIT標準概述

自提出IT治理以來，國內外許多專家和學者都投入了大量精力來研究IT治理架構，并提出了一些行之有效的實踐模型和國際標準。其中較為成熟的模型有美COBIT、ITIL、ISO/IEC 17799、PRINCE2等。COBIT通過控制IT流程和IT資源實現(xiàn)企業(yè)和IT目標，同時確保IT和信息系統(tǒng)的安全性和完整性，滿足IT治理的需要。

（一）COBIT控制原理

COBIT（Control Objectives for Information and related Technology，信息及相關技術控制目標）是IT治理的一個開放性標準，由美國IT治理研究院（IT Governance Institute）和美國信息系統(tǒng)審計與控制協(xié)會（ISACA）共同開發(fā)并推廣。ISACA于1996年發(fā)行COBIT1.0版，試圖將它作為審計工具。其版本幾經更新后，目前最新的是2007年5月發(fā)布的COBIT4.1，而COBIT也逐漸向管理工具演變。ISACA公布將于2011年發(fā)布新版本COBIT 5。

COBIT把IT過程按其性質劃分為規(guī)劃與組織（Plan&Organize）、獲得與實施（Acquire&Implement）、交付與支持（Delivery&Support）和監(jiān)控與評估（Monitor&Evaluate）4個域，并在這4個域下面定義了34個高層控制目標，318個控制子目標。根據(jù)2007年最新版本COBIT4.1，COBIT基本模型如圖1所示。

圖1 COBIT基本模型

這4個域（PO，AI，DA，ME）圍繞著一個目的——及時提供業(yè)務所需的準確信息。但信息的提供依賴于IT資源，同時，所提供的信息也應有一定的衡量標準。這樣組織在進行IT管理必然從IT過程、信息標準、IT資源這3個維度綜合考慮。COBIT給出了這樣一個綜合考慮的框架，同時對如何評價IT過程給出了測度和標準。

（二）COBIT組成部分

COBIT4.1產品家族分別為管理者、IT使用者、專業(yè)人員三個不同層次的用戶提供支持。其中管理者包括董事會和執(zhí)行管理層；IT使用者包括業(yè)務和IT經理層；專業(yè)人員包括治理、審計、控制和安全專家。COBIT的組成部分如圖2所示。

圖2 COBIT產品組成部分

綜上，COBIT能夠有效指導IT控制與業(yè)務需求之間的整合，是企業(yè)戰(zhàn)略目標與IT控制目標之間聯(lián)系的紐帶。作為一個信息技術管理模型，COBIT可以幫助人們了解并管理與信息技術相關的風險。該標準為IT的治理、安全與控制提供了一個普遍適用的公認標準，以輔助管理層進行IT治理。

三、基于COBIT標準的IT治理體系研究

（一）基于COBIT標準的IT治理體系

實施IT治理的目標是幫助管理層建立能夠針對不同業(yè)務發(fā)展要求，整合信息資源，制定并執(zhí)行推動組織發(fā)展的IT戰(zhàn)略。根據(jù)IT治理的目標，IT治理應該關注五個領域：戰(zhàn)略匹配、價值傳遞、資源管理、風險管理和績效評估。COBIT為每一個IT過程提供了關鍵目標指標、關鍵績效指標、關鍵成功要素以及成熟度模型。構建COBIT標準的IT治理體系，通過對上述指標的監(jiān)控和評估，能夠確保IT決策及IT治理的成功。

（二）COBIT及相關IT治理工具應用情況調查

COBIT標準自1996年發(fā)布，已得到全球多個國家的企業(yè)或組織的認可和應和。2002年比利時安特衛(wèi)普大學管理學院兩位學者Erik Guldentops和Steven De Haes曾經向全球182個COBIT 3.0用戶展開調查，結果顯示COBIT的認可度在不斷提高，并有3/4的調查者反饋COBIT幫助他們有效地構建了IT控制框架和審計流程。根據(jù)2006年、2008年ITGI發(fā)布的《全球IT治理狀況報告》（每兩年發(fā)布一次），以及2011年發(fā)布的《GEIt2011》，關于全球IT治理工具2003年至2009年應用情況如表1所示。

?

調查結果顯示，2003年使用最多的IT治理工具是內部開發(fā)框架（16%）、當?shù)貙I(yè)組織提供的解決方案（16%）和國際專業(yè)組織提供的解決方案（15%）；2005年使用最多的IT工具是內部開發(fā)框架（33%）和ISO 9000（21%）；2007年大部分企業(yè)轉而采用標準IT治理工具，其中ITIL/ISO 20000（24%）、ISO 9000（14%）、COBIT/COBIT Quickstart（14%）和內部開發(fā)框架（14%）。到了2009年，標準IT治理工具的應用仍然占據(jù)了很大的比例。由此可見，當前全球流行的IT治理工具是ITIL、ISO標準和COBIT標準，但是它們各有側重點，適用范圍各不相同。

（三）COBIT標準的優(yōu)勢

COBIT易于理解和實施，可以幫助企業(yè)在管理層、IT服務與審計三個不同層面之間搭建橋梁。目前，COBIT標準也在全球160多個國家的金融、通信、航空等多個行業(yè)中成功實施并獲得用戶的認可。這些都得益于該標準的以下優(yōu)勢：

（1）通用性——可在全球范圍內使用。幾乎每個IT管理機構都可以從COBIT中獲益，來決定基于IT過程及他們所支持的業(yè)務功能的合理控制。當用戶知道這些業(yè)務功能是什么，其對組織的關鍵到什么程度時，就能對這些事件進行良好的分類。所有的信息系統(tǒng)審計、控制及安全專業(yè)人員應該考慮采用COBIT控制模型。

（2）完整性——提出IT管理責任的廣闊范圍并具有廣泛的評價指標。COBIT標準采用了SEI的能力成熟度模型來描述IT過程能力，以此作為IT過程能力度量標準；基于業(yè)務平衡記分卡這種度量方法，COBIT標準采用Goal（KGI）來度量IT過程輸出，采用Metrics（KPI）來度量IT過程績效；此后用COBIT控制管理目標來定義IT過程的活動目的，這是COBIT標準的精華和獨創(chuàng)部分。

（四）實施COBIT標準的改進

雖然COBIT標準已經成為目前信息系統(tǒng)控制、審計以及IT治理權威的、最新的、獲得廣泛認同的國際標準，但是在具體實施COBIT標準時，仍有需要改進的方面：

（1）COBIT采用了層次結構的方法將IT過程分為4個域（PO，AI，DS，ME）和34個過程，但是并未給出各個域或各個過程的相對重要程度。

葉世綺、陳琳（2010）參照COBIT 4.1標準34個IT過程涉及到的IT資源和信息準則，計算出四個域（PO，AI，DS，ME）的權重矩陣，進而建立改進的COBIT量化擴展模型（The Extended Framework Model）。實施COBIT標準的企業(yè)能夠根據(jù)該模型計算和衡量出COBIT框架中不同域和過程的相對權重和影響度。

（2）COBIT是一個定性的控制框架，缺乏定量描述。COBIT標準為了能確保組織能夠成功有效地整合企業(yè)業(yè)務流程和控制信息系統(tǒng)，提出了管理方針指南，其中包括：成熟度模型、關鍵成功要素、關鍵目標指標。COBIT雖然提供了成熟度模型，將IT過程劃分為0～5共六個成熟度等級，但是只用了一段文字描述各等級特征，并未給出判斷成熟度地明確指標。

為了解決上述問題，張凌欣、胡克瑾（2008）提出一套IT治理成熟度定量評價方法：首先對COBIT4.1中IT過程建立了通用描述模型，再分別定量考察過程模型的五個元素（目標設置、指標度量、規(guī)劃化文檔、角度、過程執(zhí)行），得出過程成熟度；然后對成熟度進行匯總分析，得出IT治理總體現(xiàn)狀。這種方法在一定程度上降低了COBIT標準中成熟度模型評價的主觀性。

四、結束語

COBIT是構建IT治理體系不可或缺的工具。文章重點介紹了COBIT標準的內涵、優(yōu)勢與改進之處；通過對比當前IT治理工具應用的應用狀況，得出當前全球流行的IT治理工具是ITIL、ISO標準和COBIT標準；目前我國大部分學者對COBIT等標準的研究主要以理論為主，實證研究有待進一步發(fā)展?？偠灾?，不同的IT治理工具適用范圍不盡相同，企業(yè)或組織在構建IT治理體系時，可以根據(jù)自身的特點和IT目標，選擇恰當?shù)腎T工具有效管理企業(yè)IT資源，從而獲得較高的IT投資回報率。