IT治理的利器之一：COBIT(上)

从经济学意义上来说，客户愿意为任何满足自己需求的产品和服务付费，这个无须怀疑。需要怀疑的倒应该是这个问题：厂商以“自己的标准”为用户提供的所谓“服务”，能否让用户认为“物有所值”？

　　是否“物有所值”，买家和卖家各自的感受会有差异，因此一个标准作为度量的尺度就成了人们关注的焦点。

　　为了建立这个公正的尺度，美国信息系统审计与控制协会(ISACA)从1967年成立伊始，就开始研究这个问题，提出了“信息系统和技术控制目标”(COBIT)。COBIT，直译为信息及相关技术的控制目标，是IT治理的一个开放性标准，目前已成为国际上公认的最先进、最权威的安全与信息技术管理和控制的标准。该标准为IT的治理、安全与控制提供了一个一般适用的公认的标准，以辅助管理层进行IT治理。该标准体系已在世界一百多个国家的重要组织与企业中运用，指导这些组织有效利用信息资源，有效地管理与信息相关的风险。

　　以下是PWC的COBIT原理图：

　　从上图中可以看出，COBIT完全基于IT，其IT准则反映了企业的战略目标，IT资源包括人、系统、数据等相关资源，IT管理则是在IT准则指导下对IT资源进行规划处理。COBIT在PO、AI、DS、M四个方面确定了34个处理过程以及318个详细控制目标。此外对每个过程还有评审工具。下表是COBIT的34个处理过程：