IT治理與COBIT框架研究

袁文儀

0 引言

隨著信息技術(shù)的飛速發(fā)展，信息化早已滲入社會生產(chǎn)和生活的方方面面，信息產(chǎn)業(yè)也成為了當今涉及范圍最廣泛、規(guī)模最大的行業(yè)之一。在這樣的背景下，提高信息化水平對企業(yè)的經(jīng)營能力和競爭力以及政府的工作效率等方面的重要性不言而喻。企業(yè)和政府也意識到了這一點，紛紛加大對信息系統(tǒng)建設(shè)的投資力度，例如引進國外先進管理系統(tǒng)或其他資源整合系統(tǒng)等。在某些領(lǐng)域中，信息技術(shù)甚至成為一些企業(yè)賴以生存的根基，沒有IT，它們將不復(fù)存在。但由此帶來的是不容忽視的IT風(fēng)險。一方面，對于很多組織來說，信息技術(shù)本身就成為了組織重要資產(chǎn)的組成部分，使得IT暴露在資產(chǎn)流失、信息泄露等風(fēng)險下；另一方面，IT作為一種特殊的技術(shù)資產(chǎn)，既不像固定資產(chǎn)、存貨等有形資產(chǎn)一樣可以準確判定價值區(qū)間，也不像專利權(quán)、商標權(quán)等無形資產(chǎn)一樣可以估計價值及其波動，企業(yè)可能投入了大量的資金和精力也得不到期望的結(jié)果。因此，IT逐漸成為公司和國家治理中的重要環(huán)節(jié)：管理層需要構(gòu)建良好的IT框架，使IT與公司的發(fā)展在戰(zhàn)略層次達成一致；政府同樣要設(shè)計與其職能的實現(xiàn)相匹配的IT架構(gòu)，以順利開展電子政務(wù)、實現(xiàn)職能轉(zhuǎn)變。IT治理的概念也應(yīng)運而生。

1 國內(nèi)外研究綜述

1.1 國外研究

IT治理最早由Loh和Venkatraman（1992）提出，用以描述實現(xiàn)IT能力的機制體系，但未能得到學(xué)術(shù)界的普遍重視。直到20世紀90年代中后期，Brown和Sambamurthy等人開始發(fā)表關(guān)于IT治理及其框架和權(quán)變等理論，IT治理的概念才逐漸進入研究范圍。

1999年，英國國際清算銀行推出《內(nèi)部控制：全面風(fēng)險管理指引》。該報告指出，財務(wù)風(fēng)險只是公司風(fēng)險的一個方面，由于技術(shù)運用失敗和內(nèi)部控制疏漏等因素，公司治理無法避免來自技術(shù)本身的風(fēng)險，IT風(fēng)險的概念由此提出。

Weill Peter和Jeanne W. Ross經(jīng)過實證研究提出，IT治理是對決策權(quán)歸屬和責(zé)任擔(dān)當框架的明確，應(yīng)該根據(jù)組織的戰(zhàn)略目標進行合理安排，以實現(xiàn)企業(yè)的績效最優(yōu)化。

1.2 國內(nèi)研究

我國對IT及IT治理的引入都比較晚，目前關(guān)于該方面的研究主要以國外研究為基礎(chǔ)，尚處于探索階段。

中國IT治理研究中心（ITGov）的專家們在2002年10月聯(lián)合發(fā)表了《IT治理：中國信息化的必由之道》，開始在中國倡導(dǎo)IT治理的概念，并提出IT治理是由思想、模式、體制和機制構(gòu)成的。

李維安和王德祿指出，IT治理包括決策權(quán)力配置和響應(yīng)機制的形成過程在內(nèi)的所有與信息相關(guān)的內(nèi)容。它能從制度層面保持與業(yè)務(wù)過程的一致，從而實現(xiàn)組織的戰(zhàn)略目標，提升組織績效。

石鑒、王德祿和林潤輝從交易成本經(jīng)濟學(xué)、契約理論和潛入理論出發(fā)，提出IT治理以信息嵌入為基礎(chǔ)，以信息流向為主要權(quán)力和責(zé)任劃分，以擁有的網(wǎng)絡(luò)可用信息量為成員信譽標準，是組織信息技術(shù)決策、投入和使用等方面的正式或非正式的制度安排。

涂偉將IT治理定義成公司治理的組成部分，認為其本質(zhì)上是企業(yè)利益相關(guān)者設(shè)計的與IT相關(guān)的決策、激勵和約束機制，目的在于解決IT決策中的信息不對稱、實現(xiàn)IT資源收益最大化。

綜上所述，IT治理的概念產(chǎn)生于信息技術(shù)所帶來的風(fēng)險，而不同的研究角度也會產(chǎn)生不同的概念界定，但共同的重點為：IT治理是從宏觀角度出發(fā)，與企業(yè)戰(zhàn)略層次保持一致，通過合理的組織架構(gòu)和流程機制實現(xiàn)IT與組織業(yè)務(wù)的融合，從而解決企業(yè)信息化建設(shè)問題、提高組織績效及優(yōu)化其管理。

2 企業(yè)信息化建設(shè)中存在的問題

正如前文所說，中國的信息技術(shù)引入較晚，信息化發(fā)展一直處于落后的地位。但世界信息化進程卻不會因為中國的落后而放慢腳步，中國只有以國外先進研究和技術(shù)成果為基礎(chǔ)進行發(fā)展，研發(fā)成功的成熟產(chǎn)品和框架寥寥無幾。因此國內(nèi)企業(yè)也只能被動地學(xué)習(xí)和使用國外的信息化產(chǎn)品和框架，且急于求成，甚至于盲目追求國外的先進理念和經(jīng)驗，不顧自身客觀條件而生搬硬套，很少能從戰(zhàn)略層次考慮IT治理的問題，從而引發(fā)一系列“吃力不討好”的后果。目前，我國信息化建設(shè)中存在的主要問題如下：

首先，缺乏全局觀念，各自為政。由于沒有考慮IT戰(zhàn)略與組織戰(zhàn)略的關(guān)系，導(dǎo)致組織缺乏一個全面、統(tǒng)一的IT戰(zhàn)略規(guī)劃，進而引起目標不明確、標準不統(tǒng)一、技術(shù)不兼容、信息不共享，即所謂的“IT孤島”。這樣的后果是信息建設(shè)主要圍繞某些部門或某些領(lǐng)域發(fā)展，無法滿足組織整體的需求，給組織其他部門和整個組織帶來嚴重的負面影響，反而得不償失。

其次，信息化建設(shè)領(lǐng)導(dǎo)者錯位，信息化建設(shè)方向出現(xiàn)誤差。早期的信息化工程主要由技術(shù)專家進行指導(dǎo)，往往從技術(shù)層次評價信息技術(shù)和設(shè)備的先進性，而忽視了IT戰(zhàn)略和組織戰(zhàn)略的統(tǒng)一。因此，信息化建設(shè)與企業(yè)的發(fā)展不匹配，對信息系統(tǒng)的投資無法形成核心競爭力，也無助于企業(yè)開拓市場、改善經(jīng)營管理，導(dǎo)致管理層不能理解IT投資的重要性，于是忽視信息化建設(shè)，形成惡性循環(huán)。如今，信息化建設(shè)鼓勵股東和管理層來主導(dǎo)，大多數(shù)組織的高管層確實也樹立了風(fēng)險意識，但他們關(guān)注的重點主要在信息系統(tǒng)的硬件基礎(chǔ)設(shè)施上，而忽視了圍繞信息化建設(shè)的數(shù)據(jù)管理、系統(tǒng)安全和負荷等軟件環(huán)境的維護，總是出了事才去想補救的方法。國內(nèi)的信息化應(yīng)用系統(tǒng)幾乎難以避免隱患的存在。

再次，信息資源的合理應(yīng)用環(huán)節(jié)仍然薄弱。國家信息化建設(shè)的核心任務(wù)是信息資源的開發(fā)和利用，但在我國的信息化建設(shè)過程中，普遍存在信息處理環(huán)境建設(shè)落后于物理環(huán)境建設(shè)，導(dǎo)致先進的計算機和網(wǎng)絡(luò)環(huán)境沒有得到充分利用，造成資源的極大浪費，信息化建設(shè)停滯不前。例如我國的電子政務(wù)系統(tǒng)，包括工商、稅務(wù)等上百個系統(tǒng)，跨部門申報審批也不是點點鼠標就能完成的事情，其改善還有很大空間。

最后，缺乏統(tǒng)一有效的信息化考核標準。目前企業(yè)和政府引進信息系統(tǒng)的主要目的是提高工作效率、改善經(jīng)營績效，因此關(guān)注點集中在實用有效上，最多計算信息系統(tǒng)給組織降低了多少成本、提高了多少效益，而不關(guān)注系統(tǒng)隱藏的風(fēng)險可能帶來的損失。

總的來說，我國在信息化建設(shè)進程中存在的問題，本質(zhì)上都可歸結(jié)于IT治理層面的缺失，未能將IT戰(zhàn)略與組織戰(zhàn)略相結(jié)合，從公司治理或政府治理的高度對企業(yè)信息化作出制度安排，并從戰(zhàn)略投資、企業(yè)管理變革的角度思考如何降低IT風(fēng)險。

3 面向IT整體治理的COBIT體系架構(gòu)

3.1 發(fā)展歷程

COBIT（Control Objectives for Information and Related Technology）即信息與相關(guān)技術(shù)的目標控制，是目前國際上公認的、權(quán)威的面向IT治理的信息技術(shù)管理和控制的標準。它連接了商業(yè)風(fēng)險、控制需要和技術(shù)問題，可滿足多方面的管理需要，能指導(dǎo)企業(yè)有效利用信息資源、管理信息相關(guān)風(fēng)險，在IT治理的實踐領(lǐng)域得到廣泛運用。

COBIT框架主要經(jīng)歷了五次修訂：

1996年，ISACA首次發(fā)布COBIT1.0版本，主要作為一個審計框架來使用；

1998年，COBIT2.0推出，在原先的基礎(chǔ)上增加了控制目標和管理指南等內(nèi)容，初步形成了以控制為主的治理框架；

2000年，COBIT3.0發(fā)布，增加了管理目標和其他具體的控制，從基于審計標準的控制模型轉(zhuǎn)變?yōu)橐躁P(guān)注控制為主的管理模型；

此后，由于2002年美國發(fā)布SOX（薩班斯-奧克斯利法案），強調(diào)內(nèi)部控制的重要性并要求公司加強內(nèi)部管理。為了適應(yīng)這種變動，COBIT也作出大幅調(diào)整，在2005年發(fā)布4.0版本，基于前幾個版本的內(nèi)容加入對組織領(lǐng)導(dǎo)層和員工各層級權(quán)責(zé)的界定和標準。至此，COBIT框架正式從管理模型轉(zhuǎn)變?yōu)镮T治理框架。

2012年，COBIT5.0發(fā)行，它鞏固并集合了COBIT4.1、Val IT2.0和RISK IT框架，同時整合了BMIS和ITAF中的優(yōu)秀實踐成果，完成了COBIT的治理架構(gòu)體系。

從COBIT的發(fā)展歷程可以看出，COBIT經(jīng)歷多年的演變與更新，由最初的審計框架發(fā)展為如今的IT治理架構(gòu)，都是為了幫助組織高管層建立適合組織的治理方案，有效利用與整合IT資源及IT系統(tǒng)。

3.2 核心原則

（1）滿足利益相關(guān)者需求。COBIT框架將利益相關(guān)者的需求通過目標級聯(lián)的方式一層層映射到IT目標：第一步是利益相關(guān)者需求受利益相關(guān)者驅(qū)動因素影響；第二步是將利益相關(guān)者需求與企業(yè)目標相關(guān)聯(lián)；第三步是將企業(yè)目標與IT相關(guān)目標進行關(guān)聯(lián)；最后一步是將IT相關(guān)目標與促成因素目標相關(guān)聯(lián)，以此保證企業(yè)的IT治理始終與戰(zhàn)略目標和相關(guān)風(fēng)險控制保持一致。

（2）界定治理和管理。COBIT明確劃分了IT治理和IT管理的界限，規(guī)定IT治理流程是為了滿足利益相關(guān)者需求而進行的活動，其目的在于價值交付、風(fēng)險管控和資源優(yōu)化，實現(xiàn)組織的戰(zhàn)略目標。而IT管理流程即管理活動，它覆蓋了企業(yè)IT PBRM的責(zé)任域并提供IT端到端的覆蓋。

（3）端到端覆蓋企業(yè)。COBIT使得IT治理融入到組織治理中，不再僅作為IT部門的工作，而是聯(lián)結(jié)到組織的各部門和流程，考慮到了所有端到端的關(guān)系并全面覆蓋企業(yè)和與IT治理、管理相關(guān)的所有促成因素。

（4）整體方法與單一集成框架相結(jié)合。COBIT定義了一系列支持企業(yè)在IT治理中能對各個流程進行分析的促成因素（流程、組織結(jié)構(gòu)、文化、倫理道德、信息、原則、政策和框架等），并保證這些促成因素適用于所有企業(yè)。同時，COBIT還將IT治理階段與信息系統(tǒng)的生命周期相結(jié)合，針對IT活動的各流程提出詳細的指導(dǎo)，并保證其與其他相關(guān)標準、框架的一致，從而幫助企業(yè)能順利將現(xiàn)有IT治理轉(zhuǎn)移到CMBIT架構(gòu)上。

3.3 主要服務(wù)對象

COBIT是面向IT建設(shè)的IT治理實施指南和審計標準，其服務(wù)對象主要有三類：高管層用以設(shè)計和控制IT活動，保證IT治理與組織戰(zhàn)略相適應(yīng)；信息化用戶用以得到內(nèi)部或第三方提供服務(wù)的安全、IT服務(wù)控制的保證；審計人員用以判斷被審單位IT系統(tǒng)的運行狀態(tài)并提出內(nèi)部控制的改善建議。

3.4 架構(gòu)體系

COBIT以流程導(dǎo)向、基于控制、聚焦業(yè)務(wù)和績效驅(qū)動為特征，根據(jù)組織結(jié)構(gòu)的不同層級分而治之。它主要包括4個控制域：PO（規(guī)劃與組織）、AI（獲取與實行）、DS（交付與支持）和ME（評估與監(jiān)控），進而根據(jù)每個領(lǐng)域中涉及到的管理和流程分為34個IT流程，共計210個IT活動。

在根據(jù)組織自身發(fā)展情況、經(jīng)營環(huán)境等因素設(shè)計具體IT治理方案時，高管層更加關(guān)注組織的總體戰(zhàn)略規(guī)劃和管理體系，因而重點關(guān)注PO和AI領(lǐng)域，從規(guī)劃組織中體現(xiàn)戰(zhàn)略目標，在獲取實行中關(guān)注IT系統(tǒng)的整體規(guī)劃。具體執(zhí)行活動是中層管理人員需要考慮的任務(wù)，在這個層級，管理人員主要關(guān)注DS領(lǐng)域，通過服務(wù)支持、維護運營來對IT治理中的管理和業(yè)務(wù)流程進行具體劃分。總體規(guī)劃和具體管理活動由管理層完成，則需要外部審計或內(nèi)部審計部門開展ME領(lǐng)域的監(jiān)控活動，通過對具體實施的IT治理工作進行審核評估，同時評價高管層的總體規(guī)劃和中層管理人員的具體執(zhí)行。

綜上所述，COBIT是一個完整的IT治理架構(gòu)體系，其包含的四個領(lǐng)域貫穿了IT治理及企業(yè)管理活動的整個流程，每個領(lǐng)域之間都有緊密的邏輯關(guān)系。

在信息化、大數(shù)據(jù)背景下，組織應(yīng)當根據(jù)自身情況構(gòu)建適合的IT治理框架及標準，加強IT治理監(jiān)督和評價體系，明確IT治理只是作為組織實現(xiàn)戰(zhàn)略目標、提升經(jīng)營績效的工具，將IT技術(shù)與核心業(yè)務(wù)相融合，不斷規(guī)劃和調(diào)整IT部門及其人員配置，使IT治理成為整個組織貫徹執(zhí)行的活動，以控制IT風(fēng)險、加快組織信息化健康平穩(wěn)發(fā)展。