开展IT治理.docVIP

　　开展IT治理|第1 IT治理规定了整个企业IT运作的基本框架。一个有效的IT治理架构需要明确组织的核心竞争力，并且在业务目标、治理原型、业务绩效目标之间维持平衡。了解IT治理与企业治理如何展开，将有助于为企业提供管理相关风险的最佳实务指导。 　　公司治理与IT治理的展开 　　公司治理的目标是保证企业健康、可持续发展，关注业务目标、知识管理、业务沟通、客户关系、业务活动与过程；IT治理关注的是企业信息系统、技术和网络、知识管理、IT资产管理、电子商务、IT合法性等。在公司治理与IT治理之间，企业设立目标，以通用的惯例来治理并保证目标实现。这些目标涵盖着企业的发展方向，指导企业活动和使用资源。在公司治理过程中，企业活动的结果经衡量、报告后，为企业目标的实现提供不断的修正、维护和控制，进而开始下一轮循环（见图1）。 　　图1 公司治理过程 　　IT也确立目标，保证企业信息和相关技术支持业务目标，保证各种资源有效利用，保证风险管理适度。这些目标形成IT活动的基本内容，分为规划和组织、获取和实施、交付与支持、监控四个部分。一方面管理风险（安全、可靠、保密），另一方面实现收益（提高有效性和效率）。通过报告发布关于IT活动收益，根据不同的管理和控制来衡量，然后进入下一轮循环（见图2）。 　　图2 IT治理过程 　　IT治理框架 　　对于软件过程的开发控制，目前流行CMM、项目管理等，但如何保证开发或实施过程正确、控制措施可行有效、对系统设计与实施的质量和发展前景有重要的促进作用？引入控制模型，就是引入信息系统的审计。这也就需要一个“标准”。 　　COBIT（Control Objectives For Information and Related Technology），译为“信息及相关技术的控制目标”，是IT治理的一个开放性标准。由美国IT治理研究院开发与推广，目前已成为国际上公认的最先进、最权威的信息技术管理和控制的标准。该标准为IT的治理、安全与控制提供了一个一般适用的公认标准，以辅助公司决策层进行IT治理。该标准体系已在世界100多个国家的重要组织与企业中运用，指导这些组织有效利用信息资源，有效地管理与信息相关的风险。 　　COBIT模型 　　COBIT将IT过程、IT资源及信息与企业的策略与目标联系起来，形成一个三维的体系结构（见图3）。其中，IT准则维集中反映了企业的战略目标，主要从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性； IT资源维主要包括以人、应用系统、技术、设施及数据在内的信息相关的资源，这是IT治理过程的主要对象；IT过程维则是在IT准则的指导下，对信息及相关资源进行规划与处理，从信息技术的规划与组织、获取与实施、交付与支持、监控等四个方面确定了34个信息技术处理过程（见表1），每个处理过程还包括更加详细的控制目标和审计方针对IT处理过程进行评估。 　　COBIT三维体系模型 　　这个模型为企业管理的成功提供了集成的IT管理，通过保证有关企业处理过程的高效的改进措施，以更快更好、更安全地响应企业需求。 　　COBIT框架的意义 　　COBIT模型是企业战略目标和信息技术战略目标的桥梁，使得信息技术目标和企业战略目标之间实现互动。 　　该框架的意义在于：COBIT实现了企业目标与IT治理目标之间的桥梁作用。 　　首先，COBIT考虑了企业自身的战略规划，对业务环境和企业总的业务战略进行分析定位，并将战略规划所产生的目标、政策、行动计划作为信息技术的关键环境，并由此确定IT准则。 　　IT为企业战略提供了基于技术的解决方案，为满足业务战略需求提供了技术与工具。在IT准则的指导下，利用控制目标模型，分别从规划与组织、获取与实施、交付与支持、监控等过程进行控制、管理信息资源。在IT管理的同时，引入审计指南，从而保证IT资源管理的安全性、可靠性和有效性。 　　COBIT实现可跟踪的业绩衡量，通过平衡记分卡可以在财务（企业资源管理）、客户（客户关系管理）、过程（内部网，工作流工具）、学习（知识管理）等方面维持平衡，评价企业目标的实现情况以及IT绩效，并调整业务目标和IT战略，进行持续的IT管理。 　　COBIT采用成熟度模型，可以定位自己企业的IT管理目前在业界所处的位置，以及未来努力的方向，通俗地说就是给IT管理“打分”。 　　COBIT还提供了目前最佳案例和关键成功因素（CSF），供企业和组织借鉴。 　　概括而言，COBIT的主要优点如下： 　　* COBIT是一个非常有用的工具，也非常易于理解和实施，可以帮助企业在管理层、IT与审计之间交流的鸿沟上搭建桥梁，提供了彼此沟通的共同语言。几乎每个机构都可以从COBIT中获益，来决定基于I