COBIT框架下企业IT治理首要特征――以业务为中心.docVIP

COBIT框架下企业IT治理的首要特征――以业务为中心 　　【摘要】 文章首先提出IT治理与COBIT的关系――COBIT框架是业界常用的IT治理框架，并详细论证了COBIT框架下企业IT治理的首要特征――以业务为中心。以业务为中心的IT治理首要特征论述主要从企业业务需求决定IT信息标准，IT治理的三个层次和业务目标与IT目标、企业信息标准间的映射关系三方面展开。 　　【关键词】 IT治理；COBIT；内部控制；业务 　　 　　一、企业IT治理框架通用框架――COBIT 　　 　　对于许多企业而言，支持其业务的信息与技术是企业最有价值的资产，尤其对于银行、证券等金融机构。企业管理层已经逐渐认识到保障IT价值、管理与IT有关的风险，增加对电子信息的控制已经成为公司治理的关键要素。IT治理已经成为公司治理中的一个重要组成部分。价值、风险和控制构成了IT治理的核心。 　　IT治理通常有五个关注领域：（1）战略整合：关注于业务战略与IT规划的联系；规定、保持和验证IT的价值建议，使IT运营与业务运营一致。（2）价值交付：在整个IT服务交付周期内实施价值建议，确保IT实现了预期的战略收益，并关注IT成本的优化，提出了IT的固有价值。（3）资源管理：对IT资源优化投资并适当管理，致力于知识共享和基础设施的优化部署。（4）风险管理：要求企业高级管理层具备良好的IT风险意识，清晰了解企业对IT风险的承担偏好，了解IT合规性要求；将企业所面临的显著IT风险透明化，并将IT风险管理的职责嵌入到组织结构中。（5）绩效测评：追踪并监控IT规划实施，在项目终结、资源使用、流程绩效、服务支付过程中使用IT平衡记分卡。IT平衡记分卡将IT战略转化为措施，这些措施可以实现传统财务管理方面无法测量的目标。 　　这些IT治理关注领域描述了高级管理层在企业内进行IT治理时必须考虑的重要因素。运营管理层利用IT流程来组织和管理日常的IT活动。要实现IT治理还需要融合实务界的最佳实践并将其标准化，以形成一个IT治理框架。该框架可以满足并支持那些广为接受的公司治理、风险管理的控制框架。 　　COSO（及类似框架）通常作为企业的内部控制整体框架，而COBIT（信息及相关技术控制目???，Control Objectives for Information and Related Technology）则是业界常用的IT治理框架。COBIT的最佳实践代表了业界专家的一致意见，并已被美国等180多个国家和地区普遍认可和广泛应用。COBIT正在成为IT治理领域事实上的国际标准。 　　COBIT的基本原理是：企业的业务需求推动投资IT资源，IT资源被应用于IT流程，IT流程交付有商业价值的电子企业信息，这些企业信息响应了企业特有的业务需求。因此，企业需要采用一套系统化的IT治理框架来投资、管理和控制IT资源，来确保其为企业提供信息服务。高度相关的管理和控制信息是COBIT框架的核心。 　　使用COBIT框架作为企业IT治理框架的优点还在于：（1）COBIT以业务为中心，使IT与业务始终保持一致；（2）COBIT为管理层提供了一个更好的IT视角；（3）在流程导向的基础上，COBIT清晰界定了流程的所有者关系和职责；（4）COBIT采用通用的语言，容易被所有的利益相关方理解，易于被第三方及监管机构接受；（5）COBIT满足了COSO对于IT相关企业内部控制的要求。 　　 　　二、COBIT框架IT治理的首要特征――以业务为中心 　　 　　COBIT框架下，IT治理的主要特点有：以业务为中心、以流程为导向、以控制为基础、以绩效测评为驱动。其中，以业务为中心是企业IT治理的首要特征。IT治理的这个首要特征可以从以下三方面集中体现。 　　（一）业务需求决定IT信息标准 　　为满足业务目标，由企业IT系统提供的信息必须符合一定的控制标准，称为企业信息的业务需求。基于一个更广泛的质量、可信度和安全等要求，COBIT定义了七个相对独立，但内涵又相互关联的信息标准，即企业信息的七个业务需求。这七个信息标准分别是：（1）效果：涉及到信息与业务流程相关程度的属性，以及信息交付的及时性、正确性、一致性和可用性。（2）效率：通过优化（生产率最高且符合经济效益）资源使用来提供信息。（3）保密性：保护敏感信息，避免未经授权的信息披露。（4）完整性：与信息的准确度和完全性有关的属性，与业务价值和预期相一致，没有遗漏重要的或必须的信息。（5）可用性：与业务流程对信息的当前或未来可用性相关的属性，也包括所需资源和相关能力的安全性。（6）符合性：涉及业务流程与所需遵守的法律、法规和合同约定之间的符合程度的属性，即外部的强制要求和内部政策的遵循性。（7）可靠性：为管理者提供可靠的信息