袁文儀

0 引言

隨著信息技術(shù)的飛速發(fā)展，信息化早已滲入社會(huì)生產(chǎn)和生活的方方面面，信息產(chǎn)業(yè)也成為了當(dāng)今涉及范圍最廣泛、規(guī)模最大的行業(yè)之一。在這樣的背景下，提高信息化水平對(duì)企業(yè)的經(jīng)營(yíng)能力和競(jìng)爭(zhēng)力以及政府的工作效率等方面的重要性不言而喻。企業(yè)和政府也意識(shí)到了這一點(diǎn)，紛紛加大對(duì)信息系統(tǒng)建設(shè)的投資力度，例如引進(jìn)國(guó)外先進(jìn)管理系統(tǒng)或其他資源整合系統(tǒng)等。在某些領(lǐng)域中，信息技術(shù)甚至成為一些企業(yè)賴(lài)以生存的根基，沒(méi)有IT，它們將不復(fù)存在。但由此帶來(lái)的是不容忽視的IT風(fēng)險(xiǎn)。一方面，對(duì)于很多組織來(lái)說(shuō)，信息技術(shù)本身就成為了組織重要資產(chǎn)的組成部分，使得IT暴露在資產(chǎn)流失、信息泄露等風(fēng)險(xiǎn)下；另一方面，IT作為一種特殊的技術(shù)資產(chǎn)，既不像固定資產(chǎn)、存貨等有形資產(chǎn)一樣可以準(zhǔn)確判定價(jià)值區(qū)間，也不像專(zhuān)利權(quán)、商標(biāo)權(quán)等無(wú)形資產(chǎn)一樣可以估計(jì)價(jià)值及其波動(dòng)，企業(yè)可能投入了大量的資金和精力也得不到期望的結(jié)果。因此，IT逐漸成為公司和國(guó)家治理中的重要環(huán)節(jié)：管理層需要構(gòu)建良好的IT框架，使IT與公司的發(fā)展在戰(zhàn)略層次達(dá)成一致；政府同樣要設(shè)計(jì)與其職能的實(shí)現(xiàn)相匹配的IT架構(gòu)，以順利開(kāi)展電子政務(wù)、實(shí)現(xiàn)職能轉(zhuǎn)變。IT治理的概念也應(yīng)運(yùn)而生。

1 國(guó)內(nèi)外研究綜述

1.1 國(guó)外研究

IT治理最早由Loh和Venkatraman（1992）提出，用以描述實(shí)現(xiàn)IT能力的機(jī)制體系，但未能得到學(xué)術(shù)界的普遍重視。直到20世紀(jì)90年代中后期，Brown和Sambamurthy等人開(kāi)始發(fā)表關(guān)于IT治理及其框架和權(quán)變等理論，IT治理的概念才逐漸進(jìn)入研究范圍。

1999年，英國(guó)國(guó)際清算銀行推出《內(nèi)部控制：全面風(fēng)險(xiǎn)管理指引》。該報(bào)告指出，財(cái)務(wù)風(fēng)險(xiǎn)只是公司風(fēng)險(xiǎn)的一個(gè)方面，由于技術(shù)運(yùn)用失敗和內(nèi)部控制疏漏等因素，公司治理無(wú)法避免來(lái)自技術(shù)本身的風(fēng)險(xiǎn)，IT風(fēng)險(xiǎn)的概念由此提出。

Weill Peter和Jeanne W. Ross經(jīng)過(guò)實(shí)證研究提出，IT治理是對(duì)決策權(quán)歸屬和責(zé)任擔(dān)當(dāng)框架的明確，應(yīng)該根據(jù)組織的戰(zhàn)略目標(biāo)進(jìn)行合理安排，以實(shí)現(xiàn)企業(yè)的績(jī)效最優(yōu)化。

1.2 國(guó)內(nèi)研究

我國(guó)對(duì)IT及IT治理的引入都比較晚，目前關(guān)于該方面的研究主要以國(guó)外研究為基礎(chǔ)，尚處于探索階段。

中國(guó)IT治理研究中心（ITGov）的專(zhuān)家們?cè)?002年10月聯(lián)合發(fā)表了《IT治理：中國(guó)信息化的必由之道》，開(kāi)始在中國(guó)倡導(dǎo)IT治理的概念，并提出IT治理是由思想、模式、體制和機(jī)制構(gòu)成的。

李維安和王德祿指出，IT治理包括決策權(quán)力配置和響應(yīng)機(jī)制的形成過(guò)程在內(nèi)的所有與信息相關(guān)的內(nèi)容。它能從制度層面保持與業(yè)務(wù)過(guò)程的一致，從而實(shí)現(xiàn)組織的戰(zhàn)略目標(biāo)，提升組織績(jī)效。

石鑒、王德祿和林潤(rùn)輝從交易成本經(jīng)濟(jì)學(xué)、契約理論和潛入理論出發(fā)，提出IT治理以信息嵌入為基礎(chǔ)，以信息流向?yàn)橹饕獧?quán)力和責(zé)任劃分，以擁有的網(wǎng)絡(luò)可用信息量為成員信譽(yù)標(biāo)準(zhǔn)，是組織信息技術(shù)決策、投入和使用等方面的正式或非正式的制度安排。

涂偉將IT治理定義成公司治理的組成部分，認(rèn)為其本質(zhì)上是企業(yè)利益相關(guān)者設(shè)計(jì)的與IT相關(guān)的決策、激勵(lì)和約束機(jī)制，目的在于解決IT決策中的信息不對(duì)稱(chēng)、實(shí)現(xiàn)IT資源收益最大化。

綜上所述，IT治理的概念產(chǎn)生于信息技術(shù)所帶來(lái)的風(fēng)險(xiǎn)，而不同的研究角度也會(huì)產(chǎn)生不同的概念界定，但共同的重點(diǎn)為：IT治理是從宏觀角度出發(fā)，與企業(yè)戰(zhàn)略層次保持一致，通過(guò)合理的組織架構(gòu)和流程機(jī)制實(shí)現(xiàn)IT與組織業(yè)務(wù)的融合，從而解決企業(yè)信息化建設(shè)問(wèn)題、提高組織績(jī)效及優(yōu)化其管理。

2 企業(yè)信息化建設(shè)中存在的問(wèn)題

正如前文所說(shuō)，中國(guó)的信息技術(shù)引入較晚，信息化發(fā)展一直處于落后的地位。但世界信息化進(jìn)程卻不會(huì)因?yàn)橹袊?guó)的落后而放慢腳步，中國(guó)只有以國(guó)外先進(jìn)研究和技術(shù)成果為基礎(chǔ)進(jìn)行發(fā)展，研發(fā)成功的成熟產(chǎn)品和框架寥寥無(wú)幾。因此國(guó)內(nèi)企業(yè)也只能被動(dòng)地學(xué)習(xí)和使用國(guó)外的信息化產(chǎn)品和框架，且急于求成，甚至于盲目追求國(guó)外的先進(jìn)理念和經(jīng)驗(yàn)，不顧自身客觀條件而生搬硬套，很少能從戰(zhàn)略層次考慮IT治理的問(wèn)題，從而引發(fā)一系列“吃力不討好”的后果。目前，我國(guó)信息化建設(shè)中存在的主要問(wèn)題如下：

首先，缺乏全局觀念，各自為政。由于沒(méi)有考慮IT戰(zhàn)略與組織戰(zhàn)略的關(guān)系，導(dǎo)致組織缺乏一個(gè)全面、統(tǒng)一的IT戰(zhàn)略規(guī)劃，進(jìn)而引起目標(biāo)不明確、標(biāo)準(zhǔn)不統(tǒng)一、技術(shù)不兼容、信息不共享，即所謂的“IT孤島”。這樣的后果是信息建設(shè)主要圍繞某些部門(mén)或某些領(lǐng)域發(fā)展，無(wú)法滿(mǎn)足組織整體的需求，給組織其他部門(mén)和整個(gè)組織帶來(lái)嚴(yán)重的負(fù)面影響，反而得不償失。

其次，信息化建設(shè)領(lǐng)導(dǎo)者錯(cuò)位，信息化建設(shè)方向出現(xiàn)誤差。早期的信息化工程主要由技術(shù)專(zhuān)家進(jìn)行指導(dǎo)，往往從技術(shù)層次評(píng)價(jià)信息技術(shù)和設(shè)備的先進(jìn)性，而忽視了IT戰(zhàn)略和組織戰(zhàn)略的統(tǒng)一。因此，信息化建設(shè)與企業(yè)的發(fā)展不匹配，對(duì)信息系統(tǒng)的投資無(wú)法形成核心競(jìng)爭(zhēng)力，也無(wú)助于企業(yè)開(kāi)拓市場(chǎng)、改善經(jīng)營(yíng)管理，導(dǎo)致管理層不能理解IT投資的重要性，于是忽視信息化建設(shè)，形成惡性循環(huán)。如今，信息化建設(shè)鼓勵(lì)股東和管理層來(lái)主導(dǎo)，大多數(shù)組織的高管層確實(shí)也樹(shù)立了風(fēng)險(xiǎn)意識(shí)，但他們關(guān)注的重點(diǎn)主要在信息系統(tǒng)的硬件基礎(chǔ)設(shè)施上，而忽視了圍繞信息化建設(shè)的數(shù)據(jù)管理、系統(tǒng)安全和負(fù)荷等軟件環(huán)境的維護(hù)，總是出了事才去想補(bǔ)救的方法。國(guó)內(nèi)的信息化應(yīng)用系統(tǒng)幾乎難以避免隱患的存在。

再次，信息資源的合理應(yīng)用環(huán)節(jié)仍然薄弱。國(guó)家信息化建設(shè)的核心任務(wù)是信息資源的開(kāi)發(fā)和利用，但在我國(guó)的信息化建設(shè)過(guò)程中，普遍存在信息處理環(huán)境建設(shè)落后于物理環(huán)境建設(shè)，導(dǎo)致先進(jìn)的計(jì)算機(jī)和網(wǎng)絡(luò)環(huán)境沒(méi)有得到充分利用，造成資源的極大浪費(fèi)，信息化建設(shè)停滯不前。例如我國(guó)的電子政務(wù)系統(tǒng)，包括工商、稅務(wù)等上百個(gè)系統(tǒng)，跨部門(mén)申報(bào)審批也不是點(diǎn)點(diǎn)鼠標(biāo)就能完成的事情，其改善還有很大空間。

最后，缺乏統(tǒng)一有效的信息化考核標(biāo)準(zhǔn)。目前企業(yè)和政府引進(jìn)信息系統(tǒng)的主要目的是提高工作效率、改善經(jīng)營(yíng)績(jī)效，因此關(guān)注點(diǎn)集中在實(shí)用有效上，最多計(jì)算信息系統(tǒng)給組織降低了多少成本、提高了多少效益，而不關(guān)注系統(tǒng)隱藏的風(fēng)險(xiǎn)可能帶來(lái)的損失。

總的來(lái)說(shuō)，我國(guó)在信息化建設(shè)進(jìn)程中存在的問(wèn)題，本質(zhì)上都可歸結(jié)于IT治理層面的缺失，未能將IT戰(zhàn)略與組織戰(zhàn)略相結(jié)合，從公司治理或政府治理的高度對(duì)企業(yè)信息化作出制度安排，并從戰(zhàn)略投資、企業(yè)管理變革的角度思考如何降低IT風(fēng)險(xiǎn)。

3 面向IT整體治理的COBIT體系架構(gòu)

3.1 發(fā)展歷程

COBIT（Control Objectives for Information and Related Technology）即信息與相關(guān)技術(shù)的目標(biāo)控制，是目前國(guó)際上公認(rèn)的、權(quán)威的面向IT治理的信息技術(shù)管理和控制的標(biāo)準(zhǔn)。它連接了商業(yè)風(fēng)險(xiǎn)、控制需要和技術(shù)問(wèn)題，可滿(mǎn)足多方面的管理需要，能指導(dǎo)企業(yè)有效利用信息資源、管理信息相關(guān)風(fēng)險(xiǎn)，在IT治理的實(shí)踐領(lǐng)域得到廣泛運(yùn)用。

COBIT框架主要經(jīng)歷了五次修訂：

1996年，ISACA首次發(fā)布COBIT1.0版本，主要作為一個(gè)審計(jì)框架來(lái)使用；

1998年，COBIT2.0推出，在原先的基礎(chǔ)上增加了控制目標(biāo)和管理指南等內(nèi)容，初步形成了以控制為主的治理框架；

2000年，COBIT3.0發(fā)布，增加了管理目標(biāo)和其他具體的控制，從基于審計(jì)標(biāo)準(zhǔn)的控制模型轉(zhuǎn)變?yōu)橐躁P(guān)注控制為主的管理模型；

此后，由于2002年美國(guó)發(fā)布SOX（薩班斯-奧克斯利法案），強(qiáng)調(diào)內(nèi)部控制的重要性并要求公司加強(qiáng)內(nèi)部管理。為了適應(yīng)這種變動(dòng)，COBIT也作出大幅調(diào)整，在2005年發(fā)布4.0版本，基于前幾個(gè)版本的內(nèi)容加入對(duì)組織領(lǐng)導(dǎo)層和員工各層級(jí)權(quán)責(zé)的界定和標(biāo)準(zhǔn)。至此，COBIT框架正式從管理模型轉(zhuǎn)變?yōu)镮T治理框架。

2012年，COBIT5.0發(fā)行，它鞏固并集合了COBIT4.1、Val IT2.0和RISK IT框架，同時(shí)整合了BMIS和ITAF中的優(yōu)秀實(shí)踐成果，完成了COBIT的治理架構(gòu)體系。

從COBIT的發(fā)展歷程可以看出，COBIT經(jīng)歷多年的演變與更新，由最初的審計(jì)框架發(fā)展為如今的IT治理架構(gòu)，都是為了幫助組織高管層建立適合組織的治理方案，有效利用與整合IT資源及IT系統(tǒng)。

3.2 核心原則

（1）滿(mǎn)足利益相關(guān)者需求。COBIT框架將利益相關(guān)者的需求通過(guò)目標(biāo)級(jí)聯(lián)的方式一層層映射到IT目標(biāo)：第一步是利益相關(guān)者需求受利益相關(guān)者驅(qū)動(dòng)因素影響；第二步是將利益相關(guān)者需求與企業(yè)目標(biāo)相關(guān)聯(lián)；第三步是將企業(yè)目標(biāo)與IT相關(guān)目標(biāo)進(jìn)行關(guān)聯(lián)；最后一步是將IT相關(guān)目標(biāo)與促成因素目標(biāo)相關(guān)聯(lián)，以此保證企業(yè)的IT治理始終與戰(zhàn)略目標(biāo)和相關(guān)風(fēng)險(xiǎn)控制保持一致。

（2）界定治理和管理。COBIT明確劃分了IT治理和IT管理的界限，規(guī)定IT治理流程是為了滿(mǎn)足利益相關(guān)者需求而進(jìn)行的活動(dòng)，其目的在于價(jià)值交付、風(fēng)險(xiǎn)管控和資源優(yōu)化，實(shí)現(xiàn)組織的戰(zhàn)略目標(biāo)。而IT管理流程即管理活動(dòng)，它覆蓋了企業(yè)IT PBRM的責(zé)任域并提供IT端到端的覆蓋。

（3）端到端覆蓋企業(yè)。COBIT使得IT治理融入到組織治理中，不再僅作為IT部門(mén)的工作，而是聯(lián)結(jié)到組織的各部門(mén)和流程，考慮到了所有端到端的關(guān)系并全面覆蓋企業(yè)和與IT治理、管理相關(guān)的所有促成因素。

（4）整體方法與單一集成框架相結(jié)合。COBIT定義了一系列支持企業(yè)在IT治理中能對(duì)各個(gè)流程進(jìn)行分析的促成因素（流程、組織結(jié)構(gòu)、文化、倫理道德、信息、原則、政策和框架等），并保證這些促成因素適用于所有企業(yè)。同時(shí)，COBIT還將IT治理階段與信息系統(tǒng)的生命周期相結(jié)合，針對(duì)IT活動(dòng)的各流程提出詳細(xì)的指導(dǎo)，并保證其與其他相關(guān)標(biāo)準(zhǔn)、框架的一致，從而幫助企業(yè)能順利將現(xiàn)有IT治理轉(zhuǎn)移到CMBIT架構(gòu)上。

3.3 主要服務(wù)對(duì)象

COBIT是面向IT建設(shè)的IT治理實(shí)施指南和審計(jì)標(biāo)準(zhǔn)，其服務(wù)對(duì)象主要有三類(lèi)：高管層用以設(shè)計(jì)和控制IT活動(dòng)，保證IT治理與組織戰(zhàn)略相適應(yīng)；信息化用戶(hù)用以得到內(nèi)部或第三方提供服務(wù)的安全、IT服務(wù)控制的保證；審計(jì)人員用以判斷被審單位IT系統(tǒng)的運(yùn)行狀態(tài)并提出內(nèi)部控制的改善建議。

3.4 架構(gòu)體系

COBIT以流程導(dǎo)向、基于控制、聚焦業(yè)務(wù)和績(jī)效驅(qū)動(dòng)為特征，根據(jù)組織結(jié)構(gòu)的不同層級(jí)分而治之。它主要包括4個(gè)控制域：PO（規(guī)劃與組織）、AI（獲取與實(shí)行）、DS（交付與支持）和ME（評(píng)估與監(jiān)控），進(jìn)而根據(jù)每個(gè)領(lǐng)域中涉及到的管理和流程分為34個(gè)IT流程，共計(jì)210個(gè)IT活動(dòng)。

在根據(jù)組織自身發(fā)展情況、經(jīng)營(yíng)環(huán)境等因素設(shè)計(jì)具體IT治理方案時(shí)，高管層更加關(guān)注組織的總體戰(zhàn)略規(guī)劃和管理體系，因而重點(diǎn)關(guān)注PO和AI領(lǐng)域，從規(guī)劃組織中體現(xiàn)戰(zhàn)略目標(biāo)，在獲取實(shí)行中關(guān)注IT系統(tǒng)的整體規(guī)劃。具體執(zhí)行活動(dòng)是中層管理人員需要考慮的任務(wù)，在這個(gè)層級(jí)，管理人員主要關(guān)注DS領(lǐng)域，通過(guò)服務(wù)支持、維護(hù)運(yùn)營(yíng)來(lái)對(duì)IT治理中的管理和業(yè)務(wù)流程進(jìn)行具體劃分。總體規(guī)劃和具體管理活動(dòng)由管理層完成，則需要外部審計(jì)或內(nèi)部審計(jì)部門(mén)開(kāi)展ME領(lǐng)域的監(jiān)控活動(dòng)，通過(guò)對(duì)具體實(shí)施的IT治理工作進(jìn)行審核評(píng)估，同時(shí)評(píng)價(jià)高管層的總體規(guī)劃和中層管理人員的具體執(zhí)行。

綜上所述，COBIT是一個(gè)完整的IT治理架構(gòu)體系，其包含的四個(gè)領(lǐng)域貫穿了IT治理及企業(yè)管理活動(dòng)的整個(gè)流程，每個(gè)領(lǐng)域之間都有緊密的邏輯關(guān)系。

在信息化、大數(shù)據(jù)背景下，組織應(yīng)當(dāng)根據(jù)自身情況構(gòu)建適合的IT治理框架及標(biāo)準(zhǔn)，加強(qiáng)IT治理監(jiān)督和評(píng)價(jià)體系，明確IT治理只是作為組織實(shí)現(xiàn)戰(zhàn)略目標(biāo)、提升經(jīng)營(yíng)績(jī)效的工具，將IT技術(shù)與核心業(yè)務(wù)相融合，不斷規(guī)劃和調(diào)整IT部門(mén)及其人員配置，使IT治理成為整個(gè)組織貫徹執(zhí)行的活動(dòng)，以控制IT風(fēng)險(xiǎn)、加快組織信息化健康平穩(wěn)發(fā)展。