IT治理和COBIT（1）

随着企业的业务活动已经越来越依赖于信息技术和信息系统，各种IT系统遍布不同的职能部门，贯穿业务流程。与此同时，IT带来的问题，如系统故障、信息安全、电子舞弊等也日益增加，我们已决不可能把IT排除在公司治理之外。于是，IT治理（IT Governance）的概念呼之欲出——越来越多的企业在注重IT开发建设的同时，将目光转移向IT资源、IT流程、IT收益和IT风险。

3.2.2.1 IT治理概述

IT治理涉及信息系统、技术、通讯、业务、利益相关者以及公司治理所关心的其他问题，国际信息系统审计与控制协会（ISACA）给它下的定义是：“IT治理是一个由关系和流程所构成的体制，用于指导和控制企业达成其目标，它主要通过平衡IT和IT流程的风险和收益，来增加企业价值，实现企业目标。”同时ISACA指出，IT治理是最高管理层（董事会）和执行管理层的责任，是公司治理的组成部分，由领导体制、组织结构和相关流程构成，确保组织内部的IT系统持续支持和拓展组织的战略和目标。在理解这个定义的时候需要注意以下几个方面：

第一，IT治理必须和公司战略目标保持一致，确保IT支持业务目标的实现；

第二，IT治理以明确的期望值和衡量手段，保证IT按照目标交付适用的功能和期望的收益，同时使风险透明化，保证利益相关者的权益；

第三，IT治理和公司治理一样，是组织利益相关者和经营者共同的责任；

第四，IT治理不是孤立的规范和活动，而是公司治理的有机组成部分，公司治理影响并驱动IT治理的目标设定，而IT治理活动又为公司治理提供关键的信息输入。

IT治理过程开始于IT目标的设置，从而为IT活动提供方向性的指导。在接下来的过程中，企业通过控制IT活动管理风险，管理资源，交付价值。然后，衡量IT活动的绩效，与事先设定的目标进行比较，并以此为据调整IT活动的防线，开始新一轮的循环过程。

与IT管理相比，IT治理侧重于建立整个企业IT运作的规范和框架，以此监控IT的战略制定、机构建立以及组织实施，保证企业信息和信息系统的运营始终处在正确的轨道上。而IT管理就是在这个框架下，确定IT的目标并采取行动实现此目标。所以，IT管理和IT治理是相辅相成，缺一不可的。IT治理给企业带来的其他好处包括：

• 从一定程度上减少经营者和所有者之间的信息不对称；
• 提高IT提供给业务的信息质量；
• 有助于让合理的制度真正发挥作用；
• 控制经营成本、提高企业经营绩效；
• 保证利益各方都从中获得增值收益，减少利益冲突；
• 在确保IT稳定性和延续性的同时，增强IT灵活性。

3.2.2.2 IT治理框架－COBIT

3.2.2.2.1 COBIT历史背景

COBIT全称“信息及相关技术的控制目标”（Control OBjectives for Information and related Technology，COBIT）。COBIT最早依据ISACA的控制目标而建立，并通过吸收国际先进技术和各种专业行业标准，如技术标准、执行规则、信息系统质量标准、内控和审计专业标准以及工业实践和行业需求等等，不断得以完善。最新版的COBIT“更专注于帮助董事局和员工应对其所面临的不断发展的职责要求”，并且更加重视COBIT与其它标准（ITIL、CMM、COSO、PMBOK、ISF 和ISO 17799）之间的协调。如今，COBIT已经成为国际上信息及相关技术控制的事实标准，并通过大量的企业实践，指导他们有效地管理和控制与IT相关的风险，是一套行之有效的IT治理模型和开放性标准。

来源：科索路

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友