IT治理：中国信息化的必由之道.docxVIP

IT 治理：中国信息化的必由之道 作者：孙强、郝亚斌 公司治理与信息技术治理如何工作 企业设立目标，由通用的惯例来治理并保证目标实现。这些目标中渗透企业的发展方向，指导企业活动和使用资源。企业活动的结果被衡量及报告，为输入提供不断的修正和维护控制，从而开始下一轮循环。 信息技术也确立目标，保证企业信息和相关技术支持商业目标，资源有效利用，风险管理适度。这些目标形成 IT 活动的基本方向，划分为规划和组织，获取和实施，交付与支持，监控等四个部分。一方面管理风险（安全、可靠，保密），另一方面实现收益（提高有效性和效率）。通过报告发布关于 IT 活动收益，根据不同的管理和控制来衡量，然后进入下一轮循环。 IT 治理架构 一个有效的 IT 治理架构需要理解组织的核心竞争力，并且在商业目标，治理原型，业务绩效目标之间维持平衡，进而提出 IT 治理框架，制定决策以及如何在关键的信息技术领域中确定。由此，意识到 IT 治理与企业治理之间的必然联系，提供管理相关风险的最佳实务指导。企业目标是保证企业健康、可持续发展，关注商业目标、知识管理、商业通讯、客户关系、商业活动与过程；IT 治理目标是信息系统、技术和网络、知识管理、IT资产管理、电子商务、IT 合法性等。 COBIT，直译为信息及相关技术的控制目标，是 IT 治理的一个开放性标准，由美国 IT 治理研究院开发与推广，目前已成为国际上公认的最先进、最权威的安全与信息技术管理和控制的标准。该标准为 IT 的治理、安全与控制提供了一个一般适用的公认的标准，以辅助管理层进行 IT 治理。该标准体系已在世界一百多个国家的重要组织与企业中运用，指导这些组织有效利用信息资源，有效地管理与信息相关的风险。 COBIT 模型 COBIT 将 IT 过程，IT 资源及信息与企业的策略与目标联系起来，形成一个三维的体系 结构。其中，IT 准则维集中反映了企业的战略目标，主要从质量、成本、时间、资源利 用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效 性； IT 资源维主要包括以人、应用系统、技术、设施及数据在内的信息相关的资源， 这是 IT 治理过程的主要对象；IT 过程维则是在 IT 准则的指导下，对信息及相关资源进 行规划与处理，从信息技术的规划与组织、采集与实施、交付与支持、监控等四个方面 确定了 34 个信息技术处理过程，每个处理过程还包括更加详细的控制目标和审计方针 对 IT 处理过程进行评估。 COBIT 的 34 个信息技术过程： 这个模型为企业管理的成功提供了集成的 IT 管理，通过保证有关企业处理过程的高效的改进措施，以更快更好更安全地响应企业需求。 管理指南定义了 IT 过程的成熟度模型，为管理者评估 IT 过程的状态提供了标准。同时也给出了一些重要的测度，这包括：关键成功因素，关键目标指标，关键绩效指标。 COBIT 模型是企业战略目标和信息技术战略目标的桥梁，使得信息技术目标和企业战略目标之间实现互动。 该框架的意义在于：COBIT 实现了企业目标与 IT 治理目标之间的桥梁作用。 首先考虑了企业自身的战略规划，对业务环境和企业总的业务战略进行分析定位，并将战略规划所产生的目标、政策、行动计划作为信息技术的关键环境，并由此确定 IT 准则。 IT 为企业战略提供了基于技术的解决方案，为满足业务战略需求提供了技术与工具。在 IT 准则的指导下，利用控制目标模型，分别从规划与组织、采集与实施、交付与支持、监控等过程进行控制、管理信息资源，在 IT 管理的同时，引入审计指南，从而保证 IT 资源管理的安全性、可靠性和有效性。 实现可跟踪的业绩衡量，通过平衡经营记分卡可以在财务（企业资源管理）、客户（客户关系管理）、过程（内部网，工作流工具）、学习（知识管理）等方面维持平衡，评价企业目标的实现情况以及 IT 绩效，并调整商业目标和 IT 战略，进行持续的 IT 管理。 采用成熟度模型，可以定位自己企业的 IT 管理目前在业界所处的位置，未来努力的方向，通俗地说就是给 IT 管理打分。 COBIT 还提供了目前最佳案例和关键成功因素，供企业和组织借鉴。 概括而言，COBIT 的主要优点如下： COBIT 是一个非常有用的工具，也非常易于理解和实施，可以帮助在管理层、IT 与审计之间交流的鸿沟上搭建桥梁，提供了彼此之间沟通的共同语言。几乎每个机构都可以从 COBIT 中获益，来决定基于 IT 过程及他们所支持的商业功能的合理控制。当我们知道这些商业功能是什么，其对企业的关键到什么程度时，就能对这些事件进行良好的分类。所有的信息系统审计，控制及安全专业人员应该考虑采用 COBIT 原则。 通过实施 COBIT，增加了管理层对控制的感知及支持。COBIT 帮助管理层懂得