IT治理十问十答之七——IT治理架构COBIT

 COBIT模型简介

COBIT的全名是Control Objectives for Information and related Technology，是一个由美国负责信息技术安全 与控制参考架构的组织ISACA（Information Systems Audit and Control Association）在1996年所公布的业界标准，目前已经更新至第三版，是国际上公认的最先进、最权威的安全与信息技术管理和控制的标准。COBIT归纳了世界上18项相关的来源，形成了一套专供企业经营者、使用者、IT专家、MIS审计员与安控人员来强化和评估IT管理和控制的规范。

COBIT模型

 COBIT将IT过程，IT资源及信息与企业的策略与目标联系起来，形成一个三维的体系结构。其中，IT准则维集中反映了企业的战略目标，主要从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性；IT资源维主要包括以人、应用系统、技术、设施及数据在内的信息相关的资源，这是IT治理过程的主要对象；IT过程维则是在IT准则的指导下，对信息及相关资源进行规划与处理，从信息技术的规划与组织、采集与实施、交付与支持、监控等四个方面确定了34个信息技术处理过程，每个处理过程还包括更加详细的控制目标和审计方针对IT处理过程进行评估。

 COBIT的34个IT程序：

 这个模型为企业管理的成功提供了集成的IT管理，通过保证有关企业处理过程的高效的改进措施，以更快更好更安全地响应企业需求。

管理指南定义了IT过程的成熟度模型，为管理者评估IT过程的状态提供了标准。同时也给出了一些重要的测度，这包括：关键成功因素，关键目标指标，关键绩效指标。

COBIT模型功能

COBIT模型是企业战略目标和信息技术战略目标的桥梁，使得信息技术目标和企业战略目标之间实现互动。

首先考虑了企业自身的战略规划，对业务环境和企业总的业务战略进行分析定位，并将战略规划所产生的目标、政策、行动计划作为信息技术的关键环境，并由此确定IT准则。

IT为企业战略提供了基于技术的解决方案，为满足业务战略需求提供了技术与工具。在IT准则的指导下，利用控制目标模型，分别从规划与组织、采集与实施、交付与支持、监控等过程进行控制、管理信息资源，在IT管理的同时，引入审计指南，从而保证IT资源管理的安全性、可靠性和有效性。

 实现可跟踪的业绩衡量，通过平衡经营记分卡可以在财务（企业资源管理）、客户（客户关系管理）、过程（内部网，工作流工具）、学习（知识管理）等方面维持平衡，评价企业目标的实现情况以及IT绩效，并调整商业目标和IT战略，进行持续的IT管理。

采用成熟度模型，可以定位自己企业的IT管理目前在业界所处的位置，未来努力的方向，通俗地说就是给IT管理“打分”。

COBIT还提供了目前最佳案例和关键成功因素，供企业和组织借鉴。

COBIT的主要优点

COBIT非常易于理解和实施，可以帮助在管理层、IT与审计之间交流的鸿沟上搭建桥梁，提供了彼此之间沟通的共同语言。几乎每个机构都可以从COBIT中获益，来决定基于IT过程及他们所支持的商业功能的合理控制。

COBIT帮助管理层懂得控制如何影响商业功能。COBIT提供的实施工具集包括优秀的案例资料（提供模板商业过程，使得优秀范例能够迅速移植），帮助向管理层很好地表述IT管理概念。

COBIT使IT管理工作简易并量化，减轻对复杂信息系统管理工作的难度，并且可以应用在每天都在发生的各种新问题中

COBIT提供了一种国际通用的IT管理及问题解决方案，普遍适用于各种不同的商业项目和审计，并且它既包容了我们当前的情况，也提供将来可能会使用到的指导方针。

COBIT有助于提高信息系统审计师的影响力，依据COBIT出具的信息系统审计报告更容易得到管理层的肯定。

COBIT框架可以能够帮助决定过程责任，提高IT治理水平。通过采用该框架作为对一个责任矩阵分析的基础，可以做到基于角色的IT管理，定义过程措施，确保客户利益。

 从以上的分析介绍可以看出：整个模型实现了企业战略与IT战略的互动，并形成持续改进的良性循环机制，为企业提供了具有一定参考价值的解决方案。因此，我们认为针对我国信息化存在的问题，借鉴COBIT的IT治理思想和框架，科学、系统地对信息及相关技术进行管理，逐步试行建立IT治理机制。

1.什么是IT治理？