袁文仪

0 引言

随着信息技术的飞速发展，信息化早已渗入社会生产和生活的方方面面，信息产业也成为了当今涉及范围最广泛、规模最大的行业之一。在这样的背景下，提高信息化水平对企业的经营能力和竞争力以及政府的工作效率等方面的重要性不言而喻。企业和政府也意识到了这一点，纷纷加大对信息系统建设的投资力度，例如引进国外先进管理系统或其他资源整合系统等。在某些领域中，信息技术甚至成为一些企业赖以生存的根基，没有IT，它们将不复存在。但由此带来的是不容忽视的IT风险。一方面，对于很多组织来说，信息技术本身就成为了组织重要资产的组成部分，使得IT暴露在资产流失、信息泄露等风险下；另一方面，IT作为一种特殊的技术资产，既不像固定资产、存货等有形资产一样可以准确判定价值区间，也不像专利权、商标权等无形资产一样可以估计价值及其波动，企业可能投入了大量的资金和精力也得不到期望的结果。因此，IT逐渐成为公司和国家治理中的重要环节：管理层需要构建良好的IT框架，使IT与公司的发展在战略层次达成一致；政府同样要设计与其职能的实现相匹配的IT架构，以顺利开展电子政务、实现职能转变。IT治理的概念也应运而生。

1 国内外研究综述

1.1 国外研究

IT治理最早由Loh和Venkatraman（1992）提出，用以描述实现IT能力的机制体系，但未能得到学术界的普遍重视。直到20世纪90年代中后期，Brown和Sambamurthy等人开始发表关于IT治理及其框架和权变等理论，IT治理的概念才逐渐进入研究范围。

1999年，英国国际清算银行推出《内部控制：全面风险管理指引》。该报告指出，财务风险只是公司风险的一个方面，由于技术运用失败和内部控制疏漏等因素，公司治理无法避免来自技术本身的风险，IT风险的概念由此提出。

Weill Peter和Jeanne W. Ross经过实证研究提出，IT治理是对决策权归属和责任担当框架的明确，应该根据组织的战略目标进行合理安排，以实现企业的绩效最优化。

1.2 国内研究

我国对IT及IT治理的引入都比较晚，目前关于该方面的研究主要以国外研究为基础，尚处于探索阶段。

中国IT治理研究中心（ITGov）的专家们在2002年10月联合发表了《IT治理：中国信息化的必由之道》，开始在中国倡导IT治理的概念，并提出IT治理是由思想、模式、体制和机制构成的。

李维安和王德禄指出，IT治理包括决策权力配置和响应机制的形成过程在内的所有与信息相关的内容。它能从制度层面保持与业务过程的一致，从而实现组织的战略目标，提升组织绩效。

石鉴、王德禄和林润辉从交易成本经济学、契约理论和潜入理论出发，提出IT治理以信息嵌入为基础，以信息流向为主要权力和责任划分，以拥有的网络可用信息量为成员信誉标准，是组织信息技术决策、投入和使用等方面的正式或非正式的制度安排。

涂伟将IT治理定义成公司治理的组成部分，认为其本质上是企业利益相关者设计的与IT相关的决策、激励和约束机制，目的在于解决IT决策中的信息不对称、实现IT资源收益最大化。

综上所述，IT治理的概念产生于信息技术所带来的风险，而不同的研究角度也会产生不同的概念界定，但共同的重点为：IT治理是从宏观角度出发，与企业战略层次保持一致，通过合理的组织架构和流程机制实现IT与组织业务的融合，从而解决企业信息化建设问题、提高组织绩效及优化其管理。

2 企业信息化建设中存在的问题

正如前文所说，中国的信息技术引入较晚，信息化发展一直处于落后的地位。但世界信息化进程却不会因为中国的落后而放慢脚步，中国只有以国外先进研究和技术成果为基础进行发展，研发成功的成熟产品和框架寥寥无几。因此国内企业也只能被动地学习和使用国外的信息化产品和框架，且急于求成，甚至于盲目追求国外的先进理念和经验，不顾自身客观条件而生搬硬套，很少能从战略层次考虑IT治理的问题，从而引发一系列“吃力不讨好”的后果。目前，我国信息化建设中存在的主要问题如下：

首先，缺乏全局观念，各自为政。由于没有考虑IT战略与组织战略的关系，导致组织缺乏一个全面、统一的IT战略规划，进而引起目标不明确、标准不统一、技术不兼容、信息不共享，即所谓的“IT孤岛”。这样的后果是信息建设主要围绕某些部门或某些领域发展，无法满足组织整体的需求，给组织其他部门和整个组织带来严重的负面影响，反而得不偿失。

其次，信息化建设领导者错位，信息化建设方向出现误差。早期的信息化工程主要由技术专家进行指导，往往从技术层次评价信息技术和设备的先进性，而忽视了IT战略和组织战略的统一。因此，信息化建设与企业的发展不匹配，对信息系统的投资无法形成核心竞争力，也无助于企业开拓市场、改善经营管理，导致管理层不能理解IT投资的重要性，于是忽视信息化建设，形成恶性循环。如今，信息化建设鼓励股东和管理层来主导，大多数组织的高管层确实也树立了风险意识，但他们关注的重点主要在信息系统的硬件基础设施上，而忽视了围绕信息化建设的数据管理、系统安全和负荷等软件环境的维护，总是出了事才去想补救的方法。国内的信息化应用系统几乎难以避免隐患的存在。

再次，信息资源的合理应用环节仍然薄弱。国家信息化建设的核心任务是信息资源的开发和利用，但在我国的信息化建设过程中，普遍存在信息处理环境建设落后于物理环境建设，导致先进的计算机和网络环境没有得到充分利用，造成资源的极大浪费，信息化建设停滞不前。例如我国的电子政务系统，包括工商、税务等上百个系统，跨部门申报审批也不是点点鼠标就能完成的事情，其改善还有很大空间。

最后，缺乏统一有效的信息化考核标准。目前企业和政府引进信息系统的主要目的是提高工作效率、改善经营绩效，因此关注点集中在实用有效上，最多计算信息系统给组织降低了多少成本、提高了多少效益，而不关注系统隐藏的风险可能带来的损失。

总的来说，我国在信息化建设进程中存在的问题，本质上都可归结于IT治理层面的缺失，未能将IT战略与组织战略相结合，从公司治理或政府治理的高度对企业信息化作出制度安排，并从战略投资、企业管理变革的角度思考如何降低IT风险。

3 面向IT整体治理的COBIT体系架构

3.1 发展历程

COBIT（Control Objectives for Information and Related Technology）即信息与相关技术的目标控制，是目前国际上公认的、权威的面向IT治理的信息技术管理和控制的标准。它连接了商业风险、控制需要和技术问题，可满足多方面的管理需要，能指导企业有效利用信息资源、管理信息相关风险，在IT治理的实践领域得到广泛运用。

COBIT框架主要经历了五次修订：

1996年，ISACA首次发布COBIT1.0版本，主要作为一个审计框架来使用；

1998年，COBIT2.0推出，在原先的基础上增加了控制目标和管理指南等内容，初步形成了以控制为主的治理框架；

2000年，COBIT3.0发布，增加了管理目标和其他具体的控制，从基于审计标准的控制模型转变为以关注控制为主的管理模型；

此后，由于2002年美国发布SOX（萨班斯-奥克斯利法案），强调内部控制的重要性并要求公司加强内部管理。为了适应这种变动，COBIT也作出大幅调整，在2005年发布4.0版本，基于前几个版本的内容加入对组织领导层和员工各层级权责的界定和标准。至此，COBIT框架正式从管理模型转变为IT治理框架。

2012年，COBIT5.0发行，它巩固并集合了COBIT4.1、Val IT2.0和RISK IT框架，同时整合了BMIS和ITAF中的优秀实践成果，完成了COBIT的治理架构体系。

从COBIT的发展历程可以看出，COBIT经历多年的演变与更新，由最初的审计框架发展为如今的IT治理架构，都是为了帮助组织高管层建立适合组织的治理方案，有效利用与整合IT资源及IT系统。

3.2 核心原则

（1）满足利益相关者需求。COBIT框架将利益相关者的需求通过目标级联的方式一层层映射到IT目标：第一步是利益相关者需求受利益相关者驱动因素影响；第二步是将利益相关者需求与企业目标相关联；第三步是将企业目标与IT相关目标进行关联；最后一步是将IT相关目标与促成因素目标相关联，以此保证企业的IT治理始终与战略目标和相关风险控制保持一致。

（2）界定治理和管理。COBIT明确划分了IT治理和IT管理的界限，规定IT治理流程是为了满足利益相关者需求而进行的活动，其目的在于价值交付、风险管控和资源优化，实现组织的战略目标。而IT管理流程即管理活动，它覆盖了企业IT PBRM的责任域并提供IT端到端的覆盖。

（3）端到端覆盖企业。COBIT使得IT治理融入到组织治理中，不再仅作为IT部门的工作，而是联结到组织的各部门和流程，考虑到了所有端到端的关系并全面覆盖企业和与IT治理、管理相关的所有促成因素。

（4）整体方法与单一集成框架相结合。COBIT定义了一系列支持企业在IT治理中能对各个流程进行分析的促成因素（流程、组织结构、文化、伦理道德、信息、原则、政策和框架等），并保证这些促成因素适用于所有企业。同时，COBIT还将IT治理阶段与信息系统的生命周期相结合，针对IT活动的各流程提出详细的指导，并保证其与其他相关标准、框架的一致，从而帮助企业能顺利将现有IT治理转移到CMBIT架构上。

3.3 主要服务对象

COBIT是面向IT建设的IT治理实施指南和审计标准，其服务对象主要有三类：高管层用以设计和控制IT活动，保证IT治理与组织战略相适应；信息化用户用以得到内部或第三方提供服务的安全、IT服务控制的保证；审计人员用以判断被审单位IT系统的运行状态并提出内部控制的改善建议。

3.4 架构体系

COBIT以流程导向、基于控制、聚焦业务和绩效驱动为特征，根据组织结构的不同层级分而治之。它主要包括4个控制域：PO（规划与组织）、AI（获取与实行）、DS（交付与支持）和ME（评估与监控），进而根据每个领域中涉及到的管理和流程分为34个IT流程，共计210个IT活动。

在根据组织自身发展情况、经营环境等因素设计具体IT治理方案时，高管层更加关注组织的总体战略规划和管理体系，因而重点关注PO和AI领域，从规划组织中体现战略目标，在获取实行中关注IT系统的整体规划。具体执行活动是中层管理人员需要考虑的任务，在这个层级，管理人员主要关注DS领域，通过服务支持、维护运营来对IT治理中的管理和业务流程进行具体划分。总体规划和具体管理活动由管理层完成，则需要外部审计或内部审计部门开展ME领域的监控活动，通过对具体实施的IT治理工作进行审核评估，同时评价高管层的总体规划和中层管理人员的具体执行。

综上所述，COBIT是一个完整的IT治理架构体系，其包含的四个领域贯穿了IT治理及企业管理活动的整个流程，每个领域之间都有紧密的逻辑关系。

在信息化、大数据背景下，组织应当根据自身情况构建适合的IT治理框架及标准，加强IT治理监督和评价体系，明确IT治理只是作为组织实现战略目标、提升经营绩效的工具，将IT技术与核心业务相融合，不断规划和调整IT部门及其人员配置，使IT治理成为整个组织贯彻执行的活动，以控制IT风险、加快组织信息化健康平稳发展。