IT治理:中国信息化发展的必由之路

申请免费试用、咨询电话：400-8352-114

引言

信息化已经成为中国经济与社会发展最重要的推动力，大力推动全社会的信息化，以信息化带动工业化，这一战略已经取得了可喜的成果。当前，在加入WTO后的中国经济环境中，信息的重要性已被广为认同，信息系统也已逐步渗透到商业和政府组织中，IT系统开始从传统的后台支持转变为新业务开展的直接驱动力，IT也日益成为企业的直接利润中心。各种组织对信息系统的依赖程度在不断增加，更有一些组织甚至若没有IT将不复存在，但同时对于很多组织由于信息和信息技术意味着最重要的资产，这导致IT本身已经或潜在成为一个巨大的威胁，随IT而来的风险、利益和机会使得IT治理成为公司和政府治理中很关键的一个方面。管理层需要确保IT与公司战略一致而且公司战略也很好地利用了IT的优势，政府需要发展电子政务来促动、实现转变政府职能的转变。因此，随着对信息系统依赖性的增加，IT治理对于组织的成功是至关重要的。这篇文章将探究当前关于IT治理的思想，为什么IT治理框架对于组织的持续成功是至关重要的，然后描述它与公司治理之间的关系，最后简单介绍了一个IT治理的自动化工具COBIT。后续文章将主要集中在IT治理机制的实现上，IT治理应该采用国际上最好的实践标准，包括COBIT和ISO/IEC 17799，讨论如何实施它以改善整个组织的运作。

IT治理缺失的九大症状

首先，各自为政。缺乏统一、全局的IT战略规划，由于没有统筹规划，目标不明确，标准不统一，一些地方处在混乱无序的状态，形成了很多在权力保护下的信息孤岛，缺乏共享的、网络化的信息资源，中关村科技软件公司总裁朱希铎曾对媒体呼吁，我国要警惕形成世界上规模最大的信息孤岛。如目前国内已建成的众多CA中心，除了在采用X.509证书标准上一致外，其它的共同标准规范很少，中国各CA中心发放的证书基本不能相互兼容，CFCA作为中国金融业的统一认证中心，其证书甚至不能与国际权威的CA认证接轨。对于企业而言，面对业务重组、裁员、外包、充分授权、扁平化组织和分布式处理等如此复杂多变的商业环境，在IT战略规划修订时，如何精确保证IT战略规划和企业战略目标的一致，普遍缺少科学方法论的指导。

其次，信息化建设领导者错位，IT应用方案和企业业务需求之间逻辑错位。过去的信息化工程是技术专家或技术厂商主导下进行的，而不是经济专家或管理专家主导，技术专家或技术厂商从技术的视角去关注信息技术和设备的先进性等，较少聚焦在IT战略和组织战略目标的互动上，较少考虑信息技术如何形成企业核心竞争力，如何避免风险，如何创造新的业务和市场，和管理层沟通缺少通用的语言（非IT专业术语），因而不可避免地和企业的经营环境、经营目的脱节，而随着设备更新的加快，许多早期的工程只剩下一推摆设，管理层看不到在IT上的投资回报，这又导致信息技术得不到应有的重视，形成恶性循环。目前，总结经验和教训，各方普遍认识到中国的信息化建设问题从总体上来说不是技术问题。以热火朝天的ERP为例，ERP的实施不仅仅是软件的事，更重要的是一场管理革命。从这个意义上讲，ERP只是一张皮，深层次的是企业内部变革，所以管理变革若以ERP为助推器，则ERP的实施将水到渠成；若以ERP项目为导火线，试图在公司内部发动管理变革，则往往会面临重重障碍而搁浅，最终不了了之，甚至还可能导致公司被IT拖垮。

第三，决策的技术经济论证不足。信息化建设项目具有投资大、风险大的特点。英国Kalido于英国时间2001年12月12日公布了有关企业信息管理的调查结果。调查显示，96％的企业对于本公司的信息管理系统感到不满。关于目前正在使用的信息系统，认为"所制作的报告缺乏一贯性"或者是"核对信息花费了太多时间"的企业约占70％。回答目前的信息系统不能灵活因应变化的企业约占60％，对于数据的精度表示担心的企业约占60％，60％以上的企业正在策划有关数据及信息的整合计划。特别引人深思的是该调查是由美国Harte-Hanks以全球500强企业以及财富1000企业中的171家公司为对象通过问卷方式实施的。事实告诉我们，系统规模越大、与管理联系越密切、集成度越高的系统，风险也越大，失败概率越高，其中最明显的例子就是ERP，信息化建设项目的高风险和高失败率就要求企业在信息化建设决策之前，要进行充分的技术经济论证，综合论证项目技术上的先进性和可行性，财务上的实施可能性，经济上的合理性和有效性。朱镕基总理在国家信息化领导小组第二次会议中特别强调：加快信息化建设，必须以规划为指导，加强统筹协调，突出发展重点，务必注重实效。由于我国信息化建设项目开展时间不长，缺乏项目决策论证经验，同时，信息化建设项目除直接效益外还产生大量外部效益，对外部效益的量化也是一个难点。因此，许多企业和政府在进行信息化建设时缺乏科学的定性、定量相结合的技术经济论证。 另据分析，2002年，中央政府预计对电子政务建设的投资规模将达到350亿元，如此巨大的投资，一旦由于技术经济论证不足而导致决策失误的话，将给国家造成多么巨大的损失！

第四，信息资源的合理应用一直是我国信息化的薄弱环节。信息资源的开发和利用是国家信息化建设的核心任务，是国家信息化取得实效的关键。信息资源的开发和利用是衡量国家信息化水平的一个重要标志，将信息资源开发和利用放在核心地位是我国推进信息化的一大特点。在信息化建设中，我们普遍存在着信息处理环境建设滞后于物理环境建设，许多单位的数据库混乱状况与其先进的计算机环境和网络环境极不相称，使信息化建设无法取得实效，造成极大浪费。以电子政务为例，美国电子政务提出的口号是让人们点击3次鼠标就能办完事。而我国一个电子政务系统往往有工商、税务、计委、环保、社保等几十个甚至是上百个系统，要跨部门办一个申报审批的事情，不知道要点击多少次。与此同时，我们认为这也将给中国IT企业带来极大的商机。

第五，利益冲突和信息的不透明。由于任何企业的任务环境要考虑和关系的利益非常广泛，在任何一个IT战略决策中，都会不可避免发生利益相关者包括部门利益之间的利益冲突。所以，即使管理层要努力承担责任，企业任何时候的任何决策都会招致某个或多个群体的不满。一些管理层在做出IT战略决策之前，没有仔细考虑每一个方案会影响到哪些重要的利益相关者，更有甚者把信息化当作一种政治资本在做。那些开始看起来能为公司带来最大利益的最佳方案，也许会为公司带来最严重的后果。因此管理者必须懂得信息系统给组织所带来的各种影响。相关领导需要仔细地考虑，当引进信息系统并产生效益的同时，还可能给企业带来什么新的问题？信息系统是否能够给组织各级领导的工作带来影响？组织的工作流程是否需要变化？会不会引起新的人员下岗？等等。

信息的不透明表现在诸多方面，如政府信息化专项贴息贷款，那些贷款果真专款专用了吗？上市公司针对IT项目的配股增发，又有几例不是冲着圈钱去的？！某些厂商利用信息不对称，极力鼓吹客户要采购先进的技术和设备，致使这些客户的信息系统甚至比发达国家的同行还要先进，但在营运绩效方面却落后很多。还有某些厂商和咨询公司在合同签订前故弄玄虚，以及在多方利益博弈后的项目验收，这些缺少量化模型的项目验收和绩效评估，在各方利益得到均衡满足后，一路绿灯通行。

第六，IT安全治理和风险管理缺位。目前大多数组织的最高管理层都已树立不同程度的安全和风险意识，但对信息资产所面临的严重性认识不足仅局限于IT方面的安全，突出表现为重视安全技术，轻视安全管理，没有形成合理的信息安全方针来指导组织的信息安全管理工作，在安全规划、风险管理、应急计划、安全教育培训、安全系统的评估等多方面总是出现了问题才去想补救的办法，是一种就事论事、静态的管理，不是建立在安全治理基础上的动态的全局管理方法。国内的信息化"就应用系统而言，几乎所有企业的信息系统都存在隐患"。

第七，非技术性的障碍。IT技术的快速发展使得许多人产生了一种错误的思维定势：如果采用了最新的技术，就能够（或容易）取得信息系统的成功。换言之，如果信息系统建设不成功，多半是因为没有采用最新的技术。但是，我们不断地看到这样的案例：一些企业尽管不断地试图采用最新开发技术，然而它们的信息系统仍然没有逃脱失败的命运。

很多人在推崇信息技术的同时忘记了一个基本的前提：信息技术仅仅是一种工具。虽然信息技术对于信息系统的开发效率产生重要的影响，但工具本身却不是信息系统成败的根本原因。通常在信息系统开发时，开发商采用的往往是比较成熟的技术，因为这些成熟技术的有效性是已经被实践所证明了的。但是，采用成熟的技术并不能保证信息系统开发的成功。这说明，一些非技术性的问题往往是导致企业信息化不成功的根源。这些问题--我们姑且统称为企业信息化的非技术性的障碍--目前十分缺乏理论上的研究。有许多文章都在谈论这些因素，有人说是中国的管理水平低，有人认为是员工的观念跟不上。但是，大多数文章都仅仅议论了一些现象，而缺乏深入全面的研究。更可怕的是这些问题并未引起一些主管人员重视，他们认为对非技术性问题的探讨是空谈，只有掌握某种开发技术才能有真正的应用前景。这种错误的认识导致了许多单位和部门的信息系统的失败，而这些失败又常常被崭新的计算机设备和许多忙碌而不产生价值的工作所掩盖，像冰山潜藏在水面下一样无人知晓。

第八，重硬件购买，轻软件和咨询服务。目前，我国信息化建设缺少专业分工，基本是自建、自用、自我服务，不愿花钱买专业化咨询、专业化软件开发、专业化服务，从而造成信息化建设效率低下。而发达国家的大型应用系统不但花钱买这三项专业化的建设服务，而且还买运营服务。相关统计显示：我国在信息化投入中，软硬比例失调，软件加服务的投入与硬件投入的比例为二八开，其中集成与安装的比例约8-10%；软件开发的投入约10-12%；80%的资金是用于硬件购买。而据世界银行的统计，发达城市信息化投入一般为七三开，70%用于软件和服务，购买硬件为30%。

第九，信息化建设找不到重心。一些信息化工程和ERP项目的失败，致使许多人认为，我国的企业尚不匹配国际上那些先进的管理模式，搞信息化为时尚早。那么，信息化到底是什么？我们究竟应该走多远？有没有一个测量标准用于判断何时肯定会出现错误？企业在最普通而又最关键的部分进行计算机管理就不是信息化吗？IT成本与利润比例多少算是合适？关键成功要素是什么？不能达到我们目标的风险是什么？有没有可以贯通业务风险、控制需要和技术问题这三者之间的桥梁？其他的组织在做什么？我们应该怎样进行测量与比较？

这些问题归根结底是公司治理的失灵和IT治理的缺位。目前公司治理已成为政策重点，我国80%的企业已完成股份制改造，初步建立起符合现代企业制度的公司治理机制，但是我们的治理机制还很不完善。一个治理机制不完善的企业很难对外部竞争有积极的反应，从而很难有十分高的经营效率；相反，市场竞争的效率也来自于企业治理机制的完善，如果市场中的企业治理机制普遍不完善，企业之间就不可能进行充分有效的市场竞争。市场竞争最终要通过企业自身治理机制的改善才能使企业经营效率提高，如果一个企业自身的治理机制并不完善，而且面对市场竞争并不能持续有效地改善治理机制，最终可能在市场竞争中被淘汰。因此要实现"优胜劣汰"的市场竞争，引入与市场竞争相适应的治理机制，我们依然有许多工作要做。在IT治理方面，目前我国的政府和企业在这方面基本上处于初始阶段。据了解，在一些大企业中，已出现CIO的权利范围不只是领导其信息部门，还负责事业部门的人、财、物的资源配置和利益均衡，我们认为这是具有中国特色的IT治理机制的尝试。

IT治理：中国信息化发展的必由之路之二

IT治理的定义

IT治理是信息系统审计和控制领域中一个相当新的概念，经过我们对IT治理广泛研究和分析的基础上，关于其定义汇集了以下三种主要观点：

Robert s. Roussey （美国南加州大学教授）认为：IT治理用于描述被委托治理实体的人员在监督、检查、控制和指导实体的过程中如何看待信息技术。IT的应用对于组织能否达到它的远景、使命、战略目标至关重要。

德勤定义如下: IT治理是一个含义广泛的概念，包括信息系统、技术、通讯、商业、所有利益相关者、合法性和其他问题。其主要任务是：保持IT与业务目标一致，推动业务发展，促使收益最大化，合理利用IT资源，IT相关风险的适当管理。

国际信息系统审计与控制协会 (ISACA)定义如下：IT治理是一个由关系和过程所构成的体制，用于指导和控制企业，通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。

通过上述定义可以总结出以下共同点：

IT治理必须与企业战略目标一致，IT对于企业非常关键，也是战略规划的组成，影响战略竞争。

IT治理和其它治理主体一样，是管理执行人员和利益相关者的责任（以董事会为代表）。

IT治理保护利益相关者的权益，使风险透明化，指导和控制IT投资、机遇、利益、风险。

信息技术治理包括管理层、组织结构、过程，以确保IT维持和拓展组织战略目标。

应该合理利用企业的信息资源，有效地集成与协调。

确保IT及时按照目标交付，有合适的功能和期望的收益，是一个一致性和价值传递的基本构建模块，有明确的期望值和衡量手段。

引导IT战略平衡系统的投资，支持企业， 变革企业，或者创建一个信息基础架构，保证业务增长，并在一个新的领域竞争。

对于核心IT资源做出合理的决策，进入新的市场，驱动竞争策略，创造总的收入增长，改善客户满意度，维系客户关系。

IT治理的目标

IT治理--与业务目标一致

IT治理要从组织目标和信息化战略中抽取信息需求和功能需求，形成总体的IT治理框架和系统整体模型，为进一步系统设计和实施奠定基础，保证信息技术跟上持续变化的业务目标。

IT治理--有效利用信息资源

目前信息化工程超期、 IT客户的需求没有满足、IT平台不支持业务应用等问题较为突出，通过IT治理可以对信息资源的管理职责进行有效管理，保证投资的回收，并支持决策。

IT治理--风险管理

由于企业越来越依赖于信息技术和网络，新的风险不断涌现，例如，新出现的技术没有管理，不符合现有法律和规章制度、没有识别对IT服务的威胁等。IT治理强调风险管理，通过制定信息资源的保护级别，强调关键的信息技术资源，有效实施监控，事故处理。IT治理使企业适应外部环境变化，为企业内部实现对业务流程中资源的有效利用，从而达到改善管理效率和水平的重要手段。

IT治理的目标将帮助管理层建立以组织战略为导向, 以外界环境为依据, 以业务与IT整合为中心的观念，正确定位IT部门在整个组织中的作用。最终能够针对不同业务发展要求，整合信息资源，制定并执行推动组织发展的IT战略。

IT治理解决哪些问题

在探讨IT治理可以解决哪些问题之前，我们先就身边发生的事件看一下IT治理失灵的例子：

2002年7月23日，央视晚新闻播报：7月23日，首都机场因电脑系统故障，6000多人滞留机场，150多驾飞机延误，事故原因正在调查中 ；5月29日上午８时３０分左右，南京火车站电脑售票系统突然发生死机故障，整个车站售票处于瘫痪状态，车站售票大厅内人满为患，众多旅客不得不改乘其它交通工具离开南京。车站领导和计算机技术人员告诉记者是由于电脑升级换代，调试时线路发生故障，才引发了此次系统瘫痪的。9月5日广东省工行因系统故障，全线停业一个半小时，有媒体特别指出，这是工行实施全国统一平台运作后的首次故障。还有某银行在信息系统技术升级时，IT人员只注重保证系统在技术上的平滑过渡，而忽视了升级给客户带来的不便，导致客户流失，这也表明当IT发生改变时会对业务目标产生冲击，以上都是通过IT治理机制可以合理避免的事件。

因此，我们认为IT治理对商业目标而言起着战略意义，IT治理状况直接影响到企业实现目标的可能性，良好的IT治理有助于增强企业的灵活性和学习能力，巧妙管理风险，辨别发展机遇。对于最高管理层（董事会）而言，IT治理可以解决以下几个方面问题：

发现信息技术本身的问题，例如IT项目未能实现期望价值的概率；终端用户是否满意IT服务的质量；是否有足够的IT资源、基础设施、竞争力来满足战略目标；信息技术平均操作失误的原因；IT没有推动业务改善而是阻碍业务的次数。

帮助管理者处理IT问题，例如，IT和组织战略目标的一致性程度怎么样；怎样衡量IT的交付价值；执行管理人员采取什么样的战略动机来管理IT；与企业的运营与成长管理相关的问题；企业是否清楚其商业目标与技术的关系：领先、跟随者还是滞后者；企业对风险（风险规避和风险承担）是否清楚；有没有最新的企业相关IT风险的清单，采取哪些行动处理这些风险。

自我评估IT管理的效果，例如，是否经常向最高管理层（董事会）定期汇报IT风险；IT是否是最高管理层（董事会）议程中的一个常用的术语，它是否以结构化形式表达；最高管理层（董事会）是否就商业目标与信息技术一致性进行阐明和沟通；最高管理层（董事会）对主要IT投资是否有清楚的观点，包括风险和回报；最高管理层（董事会）是否定期得到主要IT过程的报告；最高管理层（董事会）在获取IT目标和限制IT风险时是否得到独立的保证。

国内IT治理水平的好与差造成了IT应用层次的差异。一些单位有与其国际竞争对手一样的系统、软件，甚至技术和设备强于对方，所以单从技术的成熟性和先进性而言，中国整体应用水平不低。但是为什么就没有对方做的好呢？从IT治理的角度审视，其实技术的竞争早已超越了有与无的层面，进而甚至超越了抢夺技术最早占有权的层面，体现在业务和技术管理能力上的对抗。事实上我国信息化目前所处的阶段缺乏的并不是先进的技术与设备，而是IT管理理念和方法论。IBM大中国区金融事业部总经理张烈生说："所有把落败归咎于技术的人，都是在逃避一个事实：认识上的落后和管理上的无能"。当然，我们的周围也不乏在较落后的技术和设备上，把已有的技术应用得非常成功的范例。

IT治理的范围

IT治理体系保证总体战略目标能够从上而下贯彻执行。IT治理和其它治理活动一样，集中在最高管理层（董事会）和执行管理层。然而，由于IT治理的复杂性和专业性，治理层必须强烈依赖企业的下层来提供决策和评估活动所需要的信息。为保证有效的IT治理，下层应用要和企业总体目标采用相同的原则，提供评估业绩的衡量方法。因此，好的IT治理实践需要在企业全部范围内推行。

最高管理层（董事会）的主要职责是：证实IT战略与企业战略一致；证实IT通过明确的期望和衡量手段交付； 指导IT战略、平衡支持企业和使企业成长的投资；恰当决策信息资源应着重使用的地方。最高管理层（董事会）通过下述指标衡量业绩：定义和检查衡量手段以及管理，证实目标已经达到，并且衡量业绩，减少不确定性。

管理者的焦点主要是成本-效益比，增加收入，构建竞争力，这些都由信息、知识、信息技术体系推动。由于信息技术作为实现企业目标的一个集成部分，其解决办法越来越复杂（外包，第三方合同，网络化等），因此，善治成为成功的一个关键因素。管理者的职责是：将IT风险管理的责任和控制落实到企业中，制定明确的政策和全面的控制框架；将战略，策略，目标等由上至下落实到企业，并使信息技术的组织与企业目标一致；提供治理结构支持IT战略的实施，制定IT基础设施加快商业信息的创造与共享；通过衡量公司业绩和竞争优势来测度信息技术的效果（KPI，KGI）；使用平衡计分卡，弥补行政管理的不足；关注IT必须支持的商业竞争力，如增加客户价值的业务过程，在市场上差异化的产品和服务，通过多产品和服务来产生增值；关注重要的增值的信息技术过程；关注与规划和管理IT资产、风险、工程项目、客户和供应商相关的核心竞争能力。

IT治理使得最高管理层（董事会）和执行经理的一系列活动成为可能。这些活动主要包括：IT的目标，新技术的机遇和风险，关键过程与核心竞争力。如指导信息技术的职能和对企业的影响，分配责任，定义操作，衡量业绩，管理风险和获得保证的约束等。

以银行业的数据大集中为例，从2001年开始，采用集中数据处理模式来体现一级企业法人治理结构已经成为各家银行致力实现的一个目标，目前国内银行的数据集中处理模式改造已陆续取得阶段性成果，可问题随之而来，集中以后做什么？集中以后风险也增加了，怎么办？前一个问题也就是说数据集中了，只是提供了一个进行深度业务创新的前提和可能，关键还在于商业模式和IT管理模式。对于后一个问题，则需要采取更先进的安全治理机制，全面的信息系统审计与控制，包括可靠的灾难恢复和业务持续规划。

IT治理：中国信息化发展的必由之路之三

公司治理和IT治理

公司治理主要关注利益相关者权益和管理，包括一系列责任和条例，由最高管理层（董事会）和执行管理层实施，目的是提供战略方向，保证目标能够实现，风险适当管理，企业的资源合理使用。

公司治理，驱动和调整IT治理。同时，IT能够提供关键的输入，形成战略计划的一个重要组成部分，这被认为是公司治理的一个重要功能--IT影响企业的战略竞争机遇。



IT治理和公司治理关系图

IT治理的一个关键性问题是：公司的IT投资是否与战略目标相一致，从而构筑必要的核心竞争力。因为企业目标变化太快，很难保证IT与商业目标始终保持一致，因此需要多方面的协调，保证IT治理继续沿着正确的方向走，这也是IT投资者真正关心的问题。对IT治理而言，要能体现未来信息技术与未来企业组织的战略集成。既要尽可能地保持开放性和长远性，以确保系统的稳定性和延续性；同时又因为规划赶不上变化，再长远的规划也难以保证能跟上企业环境的变化。IT治理中一个相对有效的做法是，在信息化规划时，认真分析企业的战略与IT支撑之间的影响度，并合理预测环境变化可能给企业战略带来的偏移，在规划时留有适当的余地，从业务战略到信息战略，做务实的牵引，不要追求大而全。

IT治理有助于建立一个灵活的、具有适应性的企业。IT治理能够影响信息和指示：企业能够感知市场正在发生的事，使用知识资产并从中学习，创新新产品、服务、渠道、过程；迅速变化，将革新带入市场，衡量业绩。IT治理应该体现"以组织战略目标为中心"的思想，通过合理配置IT资源创造价值。企业治理侧重于企业整体规划，IT治理侧重于企业中信息资源的有效利用和管理。

企业目标在于远景和商业模式，IT目标在于商业模式的实施。

企业目标与IT目标之间的关系如下图所示：



IT治理主要涉及两个方面：IT要为企业交付价值，IT风险要降低。前者受IT与企业的战略一致性驱动，后者由责任义务落实到企业驱动。这两者都需要衡量，如使用平衡计分卡。这就可以看出IT治理的四个核心领域，都是由利益相关者价值驱动的，其中两个是成果：价值交付和风险降低，另外两个是驱动力：战略一致性和业绩衡量。

概括地说，公司治理和IT治理都是市场（含政府）他律的机制，是如何"管好管理者"的机制，其目标也是一致的：达到业务永续运营，并增加组织的长期获利机会。无论大环境是好是坏，最高管理层（董事会）均应以达成其目标为责任，而且管理阶层需有能力协助其达成目标，因此最高管理层（董事会）必须常常监督管理部门对决策判断与政策实施的绩效。

斯达模式"这一被誉为国企摆脱困境、改革发展的创新模式，正说明了公司治理和IT治理的重要性和互动关系。"黑纸"利用合资契机，对产权体制进行了改革，并按照现代企业制度要求，建立与市场竞争相适应的公司治理机制，明晰了企业产权，优化了生产要素配置，转变了职工观念，为斯达大力进行信息化改造创造了有力条件。反过来，信息化也促进了公司的现代化管理。

IT治理和IT管理

IT管理是公司的信息及信息系统的运营，确定IT目标以及实现此目标所采取的行动；而IT治理是指最高管理层（董事会）利用它来监督管理层在IT战略上的过程、结构和联系，以确保这种运营处于正确的轨道之上。这是一个硬币的两面，谁也不能脱离谁而存在。可见，IT管理就是在既定的IT治理模式下，管理层为实现公司的目标而采取的行动。

IT治理规定了整个企业IT运作的基本框架，IT管理则是在这个既定的框架下驾驭企业奔向目标。缺乏良好IT治理模式的公司，即使有"很好"的IT管理体系（而这实际上是不可能的），就像一座地基不牢固的大厦；同样，没有公司IT管理体系的畅通，单纯的治理模式也只能是一个美好的蓝图，而缺乏实际的内容。就我国信息化建设目前的现状而言，无论是IT治理，还是IT管理都是我们所迫切需要解决的。

公司治理与信息技术治理如何工作

企业设立目标，由通用的惯例来治理并保证目标实现。这些目标中渗透企业的发展方向，指导企业活动和使用资源。企业活动的结果被衡量及报告，为输入提供不断的修正和维护控制，从而开始下一轮循环。



信息技术也确立目标，保证企业信息和相关技术支持商业目标，资源有效利用，风险管理适度。这些目标形成IT活动的基本方向，划分为规划和组织，获取和实施，交付与支持，监控等四个部分。一方面管理风险（安全、可靠，保密），另一方面实现收益（提高有效性和效率）。通过报告发布关于IT活动收益，根据不同的管理和控制来衡量，然后进入下一轮循环。

IT治理：中国信息化发展的必由之路之四

IT治理架构

一个有效的IT治理架构需要理解组织的核心竞争力，并且在商业目标，治理原型，业务绩效目标之间维持平衡，进而提出IT治理框架，制定决策以及如何在关键的信息技术领域中确定。由此，意识到IT治理与企业治理之间的必然联系，提供管理相关风险的最佳实务指导。企业目标是保证企业健康、可持续发展，关注商业目标、知识管理、商业通讯、客户关系、商业活动与过程；IT治理目标是信息系统、技术和网络、知识管理、IT资产管理、电子商务、IT合法性等。

COBIT，直译为信息及相关技术的控制目标，是IT治理的一个开放性标准，由美国IT治理研究院开发与推广，目前已成为国际上公认的最先进、最权威的安全与信息技术管理和控制的标准。该标准为IT的治理、安全与控制提供了一个一般适用的公认的标准，以辅助管理层进行IT治理。该标准体系已在世界一百多个国家的重要组织与企业中运用，指导这些组织有效利用信息资源，有效地管理与信息相关的风险。


COBIT模型

COBIT将IT 过程，IT资源及信息与企业的策略与目标联系起来，形成一个三维的体系结构。其中，IT准则维集中反映了企业的战略目标，主要从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性； IT资源维主要包括以人、应用系统、技术、设施及数据在内的信息相关的资源，这是IT治理过程的主要对象；IT过程维则是在IT准则的指导下，对信息及相关资源进行规划与处理，从信息技术的规划与组织、采集与实施、交付与支持、监控等四个方面确定了34个信息技术处理过程，每个处理过程还包括更加详细的控制目标和审计方针对IT处理过程进行评估。

COBIT的34个信息技术过程：



这个模型为企业管理的成功提供了集成的IT管理，通过保证有关企业处理过程的高效的改进措施，以更快更好更安全地响应企业需求。

管理指南定义了IT过程的成熟度模型，为管理者评估IT过程的状态提供了标准。同时也给出了一些重要的测度，这包括：关键成功因素，关键目标指标，关键绩效指标。


COBIT模型是企业战略目标和信息技术战略目标的桥梁，使得信息技术目标和企业战略目标之间实现互动。

该框架的意义在于：COBIT实现了企业目标与IT治理目标之间的桥梁作用。

首先考虑了企业自身的战略规划，对业务环境和企业总的业务战略进行分析定位，并将战略规划所产生的目标、政策、行动计划作为信息技术的关键环境，并由此确定IT准则。

IT为企业战略提供了基于技术的解决方案，为满足业务战略需求提供了技术与工具。在IT准则的指导下，利用控制目标模型，分别从规划与组织、采集与实施、交付与支持、监控等过程进行控制、管理信息资源，在IT管理的同时，引入审计指南，从而保证IT资源管理的安全性、可靠性和有效性。

实现可跟踪的业绩衡量，通过平衡经营记分卡可以在财务（企业资源管理）、客户（客户关系管理）、过程（内部网，工作流工具）、学习（知识管理）等方面维持平衡，评价企业目标的实现情况以及IT绩效，并调整商业目标和IT战略，进行持续的IT管理。

采用成熟度模型，可以定位自己企业的IT管理目前在业界所处的位置，未来努力的方向，通俗地说就是给IT管理"打分"。

COBIT还提供了目前最佳案例和关键成功因素，供企业和组织借鉴。

概括而言，COBIT的主要优点如下：

COBIT是一个非常有用的工具，也非常易于理解和实施，可以帮助在管理层、IT与审计之间交流的鸿沟上搭建桥梁，提供了彼此之间沟通的共同语言。几乎每个机构都可以从COBIT中获益，来决定基于IT过程及他们所支持的商业功能的合理控制。当我们知道这些商业功能是什么，其对企业的关键到什么程度时，就能对这些事件进行良好的分类。所有的信息系统审计，控制及安全专业人员应该考虑采用COBIT原则。

通过实施COBIT，增加了管理层对控制的感知及支持。COBIT帮助管理层懂得控制如何影响商业功能。COBIT提供的实施工具集包括优秀的案例资料（提供模板商业过程，使得优秀范例能够迅速移植），帮助向管理层很好地表述IT管理概念。管理层在基于最佳控制实践基础上做出正确决策的能力亦得到了提高。

COBIT使IT管理工作简易并量化，减轻对复杂信息系统管理工作的难度，并且可以应用在每天都在发生的各种新问题中。对于那些不具有广博IT知识的人来将，是一个认清信息技术的有价值的工具。它也使得信息系统审计师具有与IT专业人员相同的专业广度，并且可以询问IT工程相关的问题。

COBIT提供了一种国际通用的IT管理及问题解决方案，普遍适用于各种不同的商业项目和审计，并且它既包容了我们当前的情况，也提供将来可能会使用到的指导方针。

COBIT有助于提高信息系统审计师的影响力，依据COBIT出具的信息系统审计报告更容易得到管理层的肯定。

COBIT框架可以能够帮助决定过程责任，提高IT治理水平。通过采用该框架作为对一个责任矩阵分析的基础，可以做到基于角色的IT管理，定义过程措施，确保客户利益。

从以上的分析介绍可以看出：整个模型实现了企业战略与IT战略的互动，并形成持续改进的良性循环机制，为企业提供了具有一定参考价值的解决方案。因此，我们认为针对我国信息化存在的问题，借鉴COBIT的IT治理思想和框架，科学、系统地对信息及相关技术进行管理，逐步试行建立IT治理机制，对推动我国信息技术的发展和应用具有十分重要的现实意义。

IT治理：中国信息化发展的必由之路之五

IT治理在组织中的应用指南

IT治理在组织中的应用是在管理指南的指导下完成的。管理指南通过关键成功因素、成熟度模型、关键目标指标、关键绩效指标四个方面的有机作用，使企业中的信息资源得到有效的管理。管理指南的特点是：面向应用，具有通用性、一般性，不能提供针对某一具体测定方法，组织应根据自身环境修改这个一般性的指导方针，以满足实际的应用需要。下面具体介绍管理指南的各个部分在应用中所起的具体作用。

关键成功因素

关键成功因素为管理部门控制信息技术及其处理过程提供了实施指南。它们是信息技术处理过程中的最关键的要素，是战略性的、技术性的过程或活动，勾画出了IT的控制轮廓。关键成功因素可以从标准控制模型和IT管理框架的目标与审计指南中获取。这些标准要求：信息技术要与企业的运营情况相符；信息技术使营运业务可行，并使其收益最大化；合理使用信息技术资源；适当管理IT的有关风险。关键成功因素平衡所有的IT资源，它由关键绩效指标评价。

下表为从标准控制模型与管理构架中归纳出用于多数信息技术处理过程的关键成功因素，以供参考。



关键成功因素是为提高处理过程的成功可能性所做的最重要的事，通常与组织的目标保持一致，是组织和处理过程的可观察可测量的特征，分布于企业的战略层、战术层、应用层及组织的各个方面，可以通过目标分解与识别的方法选择关键成功因素。

关键目标指标

关键目标指标是指通过创建和维护一套处理和控制适当业务绩效的系统，来指导并监督IT传递的商业价值。关键目标指标通过识别测定处理结果，营运过程的输出，在平衡记分卡上测定。

关键目标指标体现的是处理过程的目标，指出哪些是必须做的。它是处理过程实现其目标的可测指标，并且通常定义为需要实现的目标。平衡记分卡主要关注以下几个方面的经营情况：

(1) 财务，包括预算与超支等状况，反映股东的利益。

(2) 客户，包括客户满意度，交货是否及时，服务价值等，反映客户的利益。

(3) 内部处理过程，包括处理的质量与效果等，反映内部人员的利益。

(4) 学习与创新，包括雇员受教育程度及技能基础等，反映企业的发展潜力。

下表为普遍适用的关键目标指标。



关键目标指标是处理目标的一种表达，明确要取得什么目标，并描绘处理的结果，进行事后评判，直接体现处理过程的完成成功与否，间接体现处理带给经营活动的价值。

关键绩效指标

关键绩效指标对关键成功因素进行评价，通过监测某IT处理过程的执行情况，告诉管理层该处理是否满足其经营需求。关键绩效指标是IT处理过程的性能指标，表现为IT的实际业绩。通过有效性、保密性、完整性、可用性、一致性、可靠性等指标来测定IT的绩效。下表列出对企业具有普遍性意义的关键绩效指标。

关键绩效指标



关键绩效指标是处理过程执行程度的测定，预期将来成败的可能性，是先导性目标，面向处理过程，但驱动信息技术，关注处理过程和平衡记分卡的学习单位，关注对于处理过程至关重要的资源。



关键绩效指标指出处理过程要完成到怎样的程度。两者之间的相互关系可以用平衡记分的概念来理解，如图所示。平衡记分卡测量企业的经营目标的执行情况，信息技术作为商业的使能器也有自己的记分卡。它的测量标准是绩效指标。比如：使能器要执行到怎样的程度才能表明经营目标已经实现。关键绩效指标主要通过信息系统与信息服务的有效性，信息的机密与完整性，处理过程和操作的成本，信息的可信度、可靠性等来评价信息技术的绩效。关键目标指标是驱动经营活动，而关键性能指标面向处理过程，并将经常体现处理过程和组织对所需资源的平衡与管理程度，测定其是否真正达到预期处理目标，是否有助于管理者改进处理。

关键目标指标与关键性能指标的区别主要体现在以下几个方面：

1. 评估时序不同。关键目标指标是处理目标的一种表达，明确要取得什么目标，并描绘处理的结果，是"滞后性"指标，只能在事后测量。关键绩效指标是处理过程执行程度的测定，预期将来成败的可能性，是先导性目标，可以事先给出成功的预示。

2. 关注目标不同。关键目标指标提供了业务平衡计分卡中财务与客户方面的评估标准。关键绩效指标强调了平衡计分卡中的另外两个方面，即内部处理与创新。财务成果与客户满意度是企业经营目标是否达到的一个事后评判标准。而处理执行的好坏与学习创新是组织运行情况好坏的一个指标，并且事先指出了企业经营取得成功的可能性。

驱动力不同。关键目标指标是由企业的经营业务所驱动的，关注企业业务的执行结果，关键绩效指标是企业的信息技术所驱动的，关注与信息技术相关的资源。

IT治理成熟度模型

IT成熟度模型制定了一个基准，组织可能根据上面的指标确定自己的等级，从而了解自身目前的境界。在此基础上确定组织的关键成功因素，通过关键绩效指标进行监控，并衡量组织是否能达到关键目标指标中所设定的目标。成熟度模型从一般的质量模型开始，在各个层次以递增的方式增加了以下方面的惯例与原则：对风险和控制问题的理解与认识；适用于该问题的交流与培训；加工处理和实施的惯例；使过程更有效、更高效的技术与自动控制；与政策与法规的一致程度；专业技能的范围与类型。

平衡风险和收益后的IT治理和IT增值流程治理成熟度级别如下：

不存在。完全不存在可辨识的信息治理流程。组织并没认识到这一问题，因此关于此问题并无交流。

初始级 初始的混乱的。有证据表明，组织已意识到存在IT治理问题并需要研究，尚无标准流程，但有些个人或在有些具体情况下进行了尝试。治理方法混乱，但对于问题和研究方法有零星的、不一致的交流。也可能意识到需要以产出为导向，在相关企业流程中追求IT的价值。没有标准的评价过程，只在组织中发生某些事件带来损失或不利时，IT治理才得以应用。

可重复级 重复的但模糊的。人们普遍对IT治理问题有所了解，IT治理行为和效果处于未发展阶段，包括IT计划、交付和监控流程。其部分结果是，由于高层管理者积极的关注和参与，在组织改变管理流程时运用IT治理行为。选定的IT流程，因提高及控制企业核心流程，并且作为一种投资得到有效的治理，进而形成明确的IT架构。管理者认可基本的IT治理方法、评价技术，但整个组织并未采纳IT治理流程，组织中不存在与管理标准相关的正规培训和交流，仅凭个人反应。个人在不同的IT项目和流程中推行管理流程，他们选择并运用有限的管理工具收集相应信息，但由于缺乏专业知识，可能不能充分发挥IT治理的功能。

已定义级 已定义流程。人们理解并接受IT治理。建立了一套基本的IT治理评价指标，绩效测量与绩效驱动之间的联系也得以确立、形成规范文档并贯穿到战略和运作计划以及管理流程中。流程被标准化、形成文档和实施，管理与标准流程相一致，开始了非正式的培训，对全部IT治理行为的表现进行记录、跟踪，促进企业整体提高。可以测定的流程并不复杂，却仅仅是现行实践的正规化。工具得以标准化，也采用现存技术。整个组织认同IT与商业利益平衡的观念。然而，只是个人接受培训、执行标准，只是偶尔分析问题的根本原因，大部分流程还是根据基本准则进行管理，出现的偏离很少被管理者发现，因为这些偏离主要由于个人原因造成。尽管存在一些问题，可以清楚地评价关键流程的绩效，并根据关键绩效指标对有关人员进行奖罚。

已管理级 已管理和可测量的。通过正规培训，各个层次全面理解了IT治理。人们清楚地知道谁是顾客，而且通过服务水平协议，来定义和监督相应的责任。责任清楚，也落实到流程中的具体人员。IT流程与业务密切相关，与IT战略密切相关。IT流程的进步主要建立在定量的理解基础之上，监督、评测规程和流程的情况是可能的。所有流程参与者了解风险，也了解IT的重要性和IT提供的机会。管理者明确必须对哪些无效的流程采取行动。必要时改进流程，并强制执行最佳内部实践（准则）；标准化根本原因分析程序；确定持续改进措施；以成熟的技术和强制性的标准工具为基础，有限制地、有策略地使用新技术；有所需要的各个方面的内部专家；IT治理发展成公司范围级流程；IT治理活动正与公司治理过程相结合。

优化级 对IT治理问题和解决方案有前瞻性的理解，并做好有关准备；利用先进的思想和技术进行培训和交流；通过持续改进，与其它组织的成熟度比较，业务流程已超越公司外的最佳实践；实施的这些政策已使组织，人和流程快速适应并全面满足IT治理的要求。深入分析所有问题和偏差的根本原因，并能方便地确定和启动有效的行动；以广泛的、集成的和得到优化的方式使用IT自动化工作流，并提供工具提高质量和效果；定义和平衡IT流程的风险和收益，并传达给整个公司；重视外部专家的作用，使用标杆指导IT流程；在组织内监督、自我评价和交流对IT治理的期望，并使用最优的技术支持评测、分析、沟通和培训；公司治理和IT治理战略相关，平衡技术、人和资金以增强企业的竞争优势。

概述起来，IT治理成熟度模型方法的优点与作用在于以下几个方面：

IT治理成熟度模型涉及经营需求的各个方面，是一种进行实用性比较的等级制，能以简单方式测定差异，有助于确定有关信息技术管理、安全性。

使管理部门相对容易地依据等级制对自己定位，通俗地将是给IT管理打分，并找出需要改善管理的地方。组织对自身进行差距分析以确定需要做哪些工作来达到所选级别。0-5等级是基于一个简单的成熟性量度，体现出一个处理如何从不存在级发展到优化级的管理过程，增加成熟度意味着增强风险管理与提高管理效率。

IT治理成熟度是测量管理处理发展程度的一种方法，应该发展到什么程度取决于以上所提的经营需求。这些等级正是一个给定的管理处理的惯例，体现各个成熟层次的典型模式，有助于企业将主要精力投入到关键的管理方面。

IT治理成熟度模型等级有助于专业人员向管理层解释IT管理存在的缺陷，并把他们组织的控制惯例与最佳惯例对照起来，从而确定组织的发展目标。

我们认为IT治理成熟度模型将有助于解决以下在IT部门中普遍存在的问题：

在竞争如此激烈的市场环境中，您的公司或部门在IT应用中处于什么水平？

如果您认为有差距，究竟差在哪里？如何去改进？

如果您觉得运作良好，那么您能说出好在哪里？好到何种程度？

如何对IT管理进行绩效评估？

对于上述问题，如果您觉得有必要拿出一个量化的答案，以助于提升企业的IT应用，那么本文所介绍的IT管理评估工具也许对您能有所启发。

IT治理：中国信息化发展的必由之路之六

建立IT治理机制

建立IT治理机制是一个动态的过程。IT治理是机制的集合，更是治理主体间互动的过程，全球治理委员会的定义指出："治理不是一整套规则，也不是一种活动，而是一个过程"，所以IT治理是一个"过程"，是公司与所有利益相关者的互动过程，包括在制定公司长远IT发展战略决策中这些"规则"上的互动，另外，环境的动态性也决定了IT治理的动态性。

IT治理是一个系统的过程。IT治理是控制、指导、协调组织战略目标和IT目标的系统，是IT治理主体、客体、IT治理结构、IT治理机制的总称，是内部IT治理、外部IT治理的融合，是IT治理方法、过程、目标与结果的统称，是为了实现IT治理目标所有制度安排与机制的集合。IT治理系统的目标是提供IT决策机制的科学化、决策过程的协调交互性和决策结果的创新性。

首先需要转变观念

拿着IT这样的现代武器，管理者却依旧是满脑袋的传统观念，结果可想而知，因此首先需要转变观念。在最高管理层（董事会）树立和维护IT战略地位的思想认识，建立企业战略与IT战略的互动观念，阐明IT应担当的角色，从业务的视角创造信息技术指导原则，如信息化规划本质上可以定位成从业务战略到信息战略的实现。从组织的战略出发而不是从系统的需求出发，可以避免脱离目标而进行建设的困境。从业务的变革出发而不是从技术的变革出发，有利于充分利用组织的现有资源来满足关键需求，从而避免建设的信息系统无法有效地支持组织的决策。又如利用电子商务消除时间和空间得特性，发展与全球客户的关系，能够引导巩固客户数据库和订单处理过程。

发展外部环境

目前我国外部市场监控机制尚不健全，公司治理结构中的监控职能被严重削弱，并使董事会失去监督。另一方面，风险管理意识淡薄，安全上采用纯粹技术手段解决。我们认为缺乏优良公司治理和IT治理机制是一些国内企业与金融机构无法抵御全球经济低靡和无法适应市场环境快速变化的重要原因之一。因此，加强IT治理实质上是一个政府和企业机构必须携手面对的问题。政府必须扮演一个重要的推动角色，并且尤其需要强调的是政府制定规则比较合理的方法是通过听证会或知情会上下协商、交互式地制定规则（非自上而下制定规则的方法，新制式车牌的暂停发放就是没有善治的案例），这样才能解决规则的充分合法性、可执行性问题，"治理不是一种正式的制度，而是持续的互动"（《我们的全球伙伴关系》）；鉴于全球化和信息技术得无国界性，尽管在公司治理模式上有英美模式、德日模式、东亚和东南亚模式，但在IT治理上有更大趋同性的发展趋势，因此，从治理（Governance）的角度企业应该采用合乎国际标准的IT治理方法，以促进公司治理、IT治理和经营管理的协调发展。值得一提的是：组织采行优良IT治理机制的行动，将减轻政府部门在制订国民经济和社会信息化中所扮演的角色责任。

逐步试行建立IT治理委员会

IT治理委员会与IT审计师是IT治理最重要得环节。IT治理委员会由组织的最高管理层（董事会）及管理执行层包括IT管理和业务管理有关部门负责人、管理技术人员组成，定期召开会议，就企业战略与IT战略的驱动与设置等议题进行讨论并做出决策，为组织IT管理提供导向与支持，把IT治理的相关规范融入到组织的内部控制中。

对于规模较大的组织，一项IT（如安全）控制活动需要多个部门的共同参与才能得以实现，为能迅速解决控制过程出现的问题，防止内部互相推诿的现象发生，提高工作效率，需组成一个跨部门的IT治理委员会，加强全局的管理与流程执行的纪律，解决诸如信息安全事故的调查与处理等一些实际的问题，这是进行IT管理内部协调的很好的办法。

今年的9月17日美国联邦政府公布了由关键基础设施委员会（CIPB）制订的保障网络安全计划--《国家保障网络安全策略》。根据该计划，美国政府将在网络安全中发挥主导作用，同时会要求所有用户采取措施，其中该文件要求上市公司发布经过独立审计的安全报告，建议公司成立公司安全委员会等。由此可见，美国的IT治理机制已深入发展到建立安全治理机制领域。

明确规定IT管理过程的责任

职责缺乏或界定不清，最终导致控制得不到有效得实施，形成管理风险。组织最高管理层应确保对管理层、部门、运维人员职责进行规定并形成书面文件。

对信息系统进行独立审计

信息系统审计是一个获取并评价证据，以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。它综合运用IT技术与审计理论及方法为信息时代信息的使用者提供合理的保证。

在信息时代，组织为预防不良事件的发生必须将其内部控制扩展到信息处理系统的各个方面，包括企业内部网与因特网在内的任何直接或间接影响财务报表或其他至关重要资料的数据或处理系统，因为该系统与包括合作伙伴在内的其他系统有着密切的联系。此外，这些公司还必须对与其互通业务数据的合作伙伴的内部控制系统有信心。在对于经营惯例、交易处理的完整性、信息保护和如何对信息系统的内部控制实施评估和风险管理方面，组织可以通过内部审计或外部审计达到上述目的。

信息系统审计的主要由以下部分组成：1、信息系统的管理、规划与组织--评价信息系统的管理、计划与组织方面的策略、政策、标准、程序和相关实务。2、信息系统技术基础设施与操作实务--评价组织在技术与操作基础设施的管理和实施方面的有效性及效率，以确保其充分支持组织的商业目标。3、资产的保护--对逻辑、环境与信息技术基础设施的安全性进行评价，确保其能支持组织保护信息资产的需要, 防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失。4、灾难恢复与业务持续计划--这些计划是在发生灾难时，能够使组织持续进行业务,对这种计划的建立和维护流程需要进行评价。5、应用系统开发、获得、实施与维护--对应用系统的开发、获得、实施与维护方面所采用的方法和流程进行评价，以确保其满足组织的业务目标。6、业务流程评价与风险管理--评估业务系统与处理流程，确保根据组织的业务目标对相应风险实施管理。

总之，我们认为我国的信息化建设向着纵深发展，必然要在更深层面上解决体制和机制问题。善治的IT治理机制，应该要极小化由于信息化和透明化所导致的不一致利益冲突所造成的制度面成本。IT治理不仅仅是动态的管理控制架构，还需要落实在组织内部控制及政府与市场监督体系的动态机制。

背景

IT治理的发展历程

国际组织和各国普遍认为公司治理机制对世界金融市场的稳定及经济发展发挥了至关重要的作用，这直接促进了IT治理机制的形成与发展。

在1999年，英国BIS发布了Internal Control: Guidance for Directors on the Combined Code( Turnbull Report, 1999)报告。该报告认为：企业风险来自于许多活动，不只是财务风险，因为事实说明，在金融界所有过去的风险问题都是由内部控制疏忽、信息技术失败引起的，而且所有企业最终依靠对信息技术基础设施的依赖和新技术风险的脆弱性，并呼吁高层领导树立风险意识。从此，公司治理和风险管理成为企业所有者与管理者日益重要的问题。该报告引入了内部控制的要求，对许多组织而言，信息与其支持技术代表该组织最有价值的资产，而且，竞争和不断变化的商业环境也要求企业能够充分利用信息技术实现更快的交付和更低的成本。因此，有效的公司治理和风险管理必然需要有效的IT治理和IT风险管理。与此同时，BIS还简单陈述了关键的信息系统，如何确保治理应该有效、透明，可以解释，这也意味管理信息技术相关风险，实现信息技术价值的交付成为公司治理中重要的组成部分。

1999年下半年，ISACA成立了IT治理研究院，专门研究IT治理的概念，并提供了信息及其相关技术的管理体系模型和最佳实务，帮助企业领导层认识有效实施IT治理的必要性与益处，从而保证长期的可持续的成功，并且增强利益相关者的价值。目前，该体系已在世界100多个国家的重要组织与企业中成功运用，指导这些组织有效利用信息资源，有效地管理信息相关的风险。因此，研究与探讨IT治理，对于我国信息化的探索和实践也有着重要的借鉴意义。

链接

国际信息系统审计与控制协会

国际信息系统审计与控制协会ISACA（Information System Audit and Control Association）成立于1969年，最初称为EDP审计师联合会，总部设在美国的芝加哥，是一个非盈利组织。目前在世界上100多个国家设有160多个分会，现有会员两万多人，是全球公认的在IT的管理、控制和保证领域的权威，ISACA的任务是：通过发展促进对信息、系统、技术的有效管理与控制的研究、实施及标准、权限的制定来支持企业实现其目标。这说明该协会的存在就是为了帮助IT的管理控制及保证利益相关者妥善处理IT的管理、IT的风险、IT的运作过程及协作控制、协作管理、协作风险和协作程序的相互作用。

ISACA通过提供各种有价值的服务（如：研究、标准、信息、教育、认证、专业的远景）实现以上作用。协会帮助从事信息系统审计、控制、安全工作的人员，使之不仅注意IT、IT的风险与安全主题而且更要关注IT与商业、商业运作及商业风险的关系。起主要工作内容如下：

设定标准-- 一般作为世界范围内的IT审计、控制的指导方针。

一个令人尊敬的认证项目CISA--在IS审计、控制、安全领域内国际上承认的认证。

一个关于关键的管理和技术主题的专业的发展项目。

提供备受赞誉的技术出版物，包含最新的研究、案例学习、信息知识入门等。

指导会员专业的活动和操行的职业道德准则。

通过ISACA会员共同的努力，该组织超越了地理、文化和职业界限，他们代表各种不同的企业团体，包括金融银行协会、会计审核公司、政府公共部门、公共事业及制造业等，通过选举或指定一个由全球的志愿者组成的团体管理这个协会，把他们独特的专业的见解带到协会中并用来作出组织的决定，这就是国际信息系统审计与控制协会的国际委员会。

为了体现对中国事务的重视，ISACA 理事会成立了一个工作组，专门负责ISACA和IT 审计与控制职业在中国的发展。该工作组由来自中国和世界各地的致力于ISACA 在中国发展的代表组成。ISACA 理事会的副会长Dean Kingsley担任中国工作组的主席。

IT治理的成功案例

IT治理及其模型COBIT在全世界许多国家的政府及公共机构、军方、企业、大学、银行、保险业等都已有大量成功的案例。由于某些客观原因，迄今为止，还缺乏在中国相关组织实行的案例，在此我们仅选美国参议院和科尔顿工业大学的IT治理作为案例。

案例一：美国参议院　　

摘要

美国参议院的总检察官（Office of Inspector General）在寻求改进IT运作的方法。总检察官做出的大量初审报告都指出了参议院内部各种IT运作的缺陷，例如缺乏指导方针和过程规定（如系统开发生命周期），不理想的系统设计和开发，缺乏规划及绩效度量标准，大型机的混乱管理，缺乏足够的信息安全措施。为控制这种情况，并建立清晰的责任制度，需要采纳一种IT监管框架。COBIT恰是所需要的。

总检察官首先采纳COBIT作为其方针及流程手册的一部分，并且命令在所有IT审计中都采用COBIT作为其控制及审计原则。COBIT也应用于IT审计计划，IT审计技巧评估及培训。另外，COBIT还是总检察官报告的整体内容。结果是，提出了200多条建议，许多建议认为在操作中需要建立治理原则，政策，步骤的管理。于是，总检察官办公室用COBIT作为框架，建立所需的IT治理规划。

背景

1993到1994年间，参议院开始着手专业化运作的工作，通过添加新的岗位，首席行政官（首席行政官）及总检察官，以管理并监督参议院的行政工作。

参议院还任命总检察官完成参议院的首次审计，一个独立的财政审计及参议院20项运作的效能审计。这次审计指出了低效率的地方，潜在的节约开支的方法，并指出关于管理，信息技术，财政管理方面建立高级责任制度的迫切性。这次审计提出了200多条审计建议，其中许多是关于建立监管方针，政策及流程所需要的管理方法的。

就IT而言，COBIT作为IT治理框架使用，在COBIT的基础上，来建立适用于参议院的方针，原则和流程。总检察官已把COBIT纳入到其运作中去，并相信它能够帮助首席行政官的工作。总检察官与首席行政官讨论COBIT的优点，并得到了首席行政官的赞同。

过程

首席行政官实施

为介绍IT治理的框架及好处，参议院总检察官对参议院首席行政官及其主要成员做了一小时的基于COBIT实施工具集演示资料的介绍。

COBIT的主体及过程框架体现了在可管理及定义结构下的控制行为。高级详细的控制对象提供了全世界普遍接受的最好实践的标准及政策，并能够在标准或政策不存在或不充分的地方使用。因此，参议院认为接受COBIT是个理智的决定。

首席行政官迅速认识到COBIT有益于参议院的信息资源及财政机构。于是，首席行政官实施了COBIT，COBIT成为参议院内IT行为的通用治理部分。例如，信息资源部门将COBIT纳入到其系统开发生命周期（SDLC）过程中。早期的审计报告指出参议院不具备恰当的SDLC方法，财政系统不符合联邦或者参议院的既定方针，大型机资源未得到充分利用。SDLC的阶段及检查点提供了信息资源管理及系统开发的有组织可管理的方法。因此，他们采纳了SDLC方法及IT指导委员会（命名为信息资源管理建议委员会），总检察官是委员会的顾问。SDLC阶段对应于COBIT四个主体部分及相关的高级详细的控制对象。需要强调的是COBIT的监控部分对于确保关键SDLC的及时交付是非常关键的。

总检察官实施

总检察官将COBIT纳入到其政策及IT流程手册中，并使用它作为所有总检察官 IT审计行为的通用资源。COBIT成为审计计划过程，职员技巧/知识评估，职员及审计报告过程的培训需求评估的关键因素。

审计计划

将COBIT作为审计计划工具使用，目的如下：

o 对应早期审计与COBIT的主体及控制对象

o 选择审计内容并建立详细的审计计划

o 基于技术级别指定审计者

o 为获得所需的经验指定审计者

COBIT用来制定详细的审计计划。例如，认为商业冲击分析（BIA）审计是年度审计计划的一部分，并需要制定审计计划。计划包括参议院 BIA过程的背景，以前的审计覆盖面，审计对象，审计职员需求及审计时间计划。特别的，审计对象关注评估BIA定义，并区分IT功能的关键级别的充分及完整性。这些对象对应于COBIT的主体及高级控制对象（这种情况下，应用了COBIT的三个主体部分及四个高级控制对象）。

详细的审计程序在COBIT的审计方针的基础上发展，纳入了联邦政府审计需求及计算机辅助审计技巧。

知识/技巧及培训需求评估

因为IT方面的审计工作需要专门的知识，于是COBIT用来进行知识/技巧评估，以确保审计者具有所需的经验，从而能够顺利的成功完成审计工作。总检察官使用COBIT来决定完成审计的培训需求。

审计者衡量自己的能力以配合COBIT主体，并审计特别的高级控制对象。每个审计者在IT的教育，培训及经验基于三种技巧集合来划分：

o 基本理解－对IT过程，目的，对象及目标的广博知识

o 工作知识－在IT过程中，识别内部控制实力及缺陷方面所显示的能力

o 专业知识－设计并使用计算机辅助审计技巧，以识别并评估缺陷，推荐纠正措施的能力

为评估培训机会，课程数据库的维护基础是课程在提供支持COBIT主体及控制对象技巧方面的能力。其它的因素如课程开销，时间计划及教师表现也是考虑内容。在COBIT课程评估的基础上，管理者选择在合适的时间为审计者进行合适的课程培训。作为结果，建立了衡量审计者技巧，选择最佳IT培训课程的评估基础。

最后，总检察官的年度培训计划得以制定并被批准，以完成既定的年度审计计划。

报告

总检察官使用COBIT作为制定审计报告的内部控制及审计原则，使用COBIT主体及控制对象来方便报告的书写。例如，一个审计对象是衡量围绕Windows NT客户机/服务器的通用控制环境的效果。虽然没有发现严重的缺陷，审计指出了三个需要改进的地方，与如下的COBIT主体相对应：

o 计划及组织

o 交付与支持

o 监控

结果包括确保系统安全/病毒防护，使用标准命名惯例。最后的建议分成高，中，低三种优先级，从而管理者能够依据优先级完成改进措施。每种审计发现都是基于COBIT控制对象，这些控制对象及主体被看作审计标准。最后，建议也来自控制对象及审计方针。

总结

参议院发现COBIT对于参议院的运作及审计是一个有力的工具。首席行政官及高级管理人员和总检察官进行合作，使用COBIT来改进参议院的运作。作为结果，建立了IT监管框架，包括合理的SDLC方法，IT指导委员会（总检察官是咨询委员），来指导参议院的IT运行。

案例二：科尔顿工业大学　　

摘要

在寻找综合的IT治理方法论过程中，澳大利亚科尔顿工业大学，引入了COBIT。在检查了COBIT的框架之后，该大学的信息系统部门的总经理意识到COBIT将会极大提高接受程度，减少实施IT治理规划所需要的时间。COBIT是该大学成功取得IT治理主要目标的一个重要因素，即实现组织的转型，寻求改善的过程。

背景

科尔顿工业大学是西部澳大利亚最大的大学，在校学生超过31000人。科尔顿为850多名本科生和研究生开设商业、工程、保健科学、人文、科学、采矿、农业等方面的课程。内部组织结构由副大臣公署Vice Chancellory（高级管理和中心管理）以及学术部门（学院和部门）组成。

科尔顿信息管理部门(IMS)支持大学的信息和通讯技术（ICT）基础设施。它也负责各种大学申请的实施，为副大臣公署Vice Chancellory的员工提供桌面ICT支持服务。IMS提供中心帮助桌面，处理ICT基础设施和计算机问题。大约100个全职雇员组成IMS成员，由总经理领导。部门规范成4个导向：

应用----支持和开发学院和相关领域的应用

技术基础设施---支持和开发学院的ICT基础设施，包括服务器、网络、操作系统。

客户关系---为副大臣公署Vice Chancellory支持和开发桌面ICT,支持和开发课程设施、语音电话设施。

战略服务----提供ICT培训和硬件、软件、管理财务、人力资源、IT相关领域，实施最佳实践，贯彻策略，规划ICT和管理大学的记录和档案。

过程

科尔顿大学内部审计团队的员工了解到COBIT，对其内容印象深刻，并使其引起IMS领导层的关注。领导者一直对IT治理表示持续的关注，经过认真审视之后，高层委员会决定采用COBIT作为学院标准。

该大学审计师开始用COBIT作为对中心的ICT组织---科尔顿信息管理部门IMS正式审计的指南。科尔顿信息管理部门IMS总经理对COBIT框架有潜力引导实务的改善充满热情，并支持科尔顿信息管理部门IMS质量和策略团队。不久后，多套COBIT被发布到高层管理者手中。科尔顿信息管理部门IMS质量和策略团队然后通过在全体员工季度大会以及IMS行政大会上讲述COBIT的概览，提高意识训练。团队人员使用COBIT包中的PDF格式或文本格式来描述信息。在短期内，他们还邀请博学的外部审计咨询人员帮助进一步提高对COBIT 管理框架和实施的认识。所有团队领导和关键成员都给了COBIT控制目标和管理指南手册的副本。这能够增强COBIT的可见性和鼓励其余的人员使用文档作为参考和资源。

目前科尔顿信息管理部门IMS总经理仍对实施COBIT的益处充满信心，并基于所选择的COBIT目标提供连续两年的过程审计/复审。

审计报告

科尔顿信息管理部门IMS由一个小的、很大程度上自我导向的质量/过程改善团队组成。这个团队实施审计，目前通常是指检查和复核， 因为他们更倾向于合作的检查/规划，而不是敌对的审计。并且使用一个清晰的方法论搜集数据、对草案进行咨询和提供报告。它也参与到大学内部审计团队中，保证工作质量。

从2001年开始，科尔顿信息管理部门IMS质量和政策经理应用20多年组织的经验和知识开发了一个衡量每个目标的科尔顿信息管理部门IMS成熟度级别，目标是促进思考科尔顿信息管理部门IMS如何评价它的IT成熟规模。结果资料作为一个尝试性的练习，而非严格科学化的过程被共享，以促进IT相关问题的认识与思考。

这个实用的方法给与团队检查目标和鉴别改善路径一个有力的思想。

也是在2001年，员工从COBIT审计指南中用了多种衡量手段进行了检查/审计。尽管不是所有结果都令人满意，但是却有助于员工启动改善审计目标成熟度的策略。检查目标的选取主要依据最初成熟度评估的组成部分、高级员工的观点和可改进领域的期望。下半年，员工评估了改进和重新进行了优先排序，确定哪些是非常重要的。

2002年科尔顿大学开发了一个包括12个目标的审计新进度。员工持有这样的态度：将审计结果作为改进的机遇，而不是关注结果来责难团队。基于已经完成的检查，这个过程证明非常积极的、有益的。

每个COBIT审计评估现有的成熟度级别，也检查了内部证据来评级成熟度。每个审计都成为操作员工、股东和客户的教育性的、交流的练习。

2002年6月，从科尔顿大学内部审计部门的一个代表报告说，在他们执行详细的成熟度审计时，他们发现跨部门的成熟度级别的显著改善。

科尔顿大学认为由三个要素对COBIT的成功至关重要：

科尔顿信息管理部门IMS总经理个人领导能力和它实施COBIT的愿望。

在提出COBIT方面对成员持续的鼓励和监督。

COBIT作为一个工程实施，恰当的工程方法论和实行成为必然。

结论

从2001年起，科尔顿大学采用COBIT进行自审计它的信息通讯和技术（ICT）实践,并识别改善的机遇。由于每个目标不能每年都审计，科尔顿信息管理部门IMS管理者每年选取的目标通常是最有可能为机构和客户提供重要业绩衡量的目标。

科尔顿信息管理部门IMS管理者相信COBIT提供了一个经济的、持续改进的框架。从这个框架中，员工能够理解与实施拓展全球标准的方法，自我审计标准，最佳实践，以及需要指导大学改善过程每件事。COBIT是一个有用的工具，打破了多年来实践中的"近视"论点。它帮助雇员理解和接受实现任务和责任的改进的方法。总之，COBIT非常有价值。