从COBIT5谈谈IT治理（内附下载链接）

关注本公众号（数据工匠俱乐部，ID：zgsjgjjlb），后台回复“指南”即可下载《数字化转型：新型能力建设指南》

企业信息化部门很多都面临着这样的困扰，不停地接到业务需求，IT人员不停地开发、上线，用户反馈却很差，总说系统不好用。业务部门也说需求响应太慢，提了一个需求一年都没做出来。而IT人员加班加点，需求总也做不完，也很辛苦很累，士气日益低落。出现这样的问题，根本上在于企业的IT治理和管理上出现了问题，没有很好的发挥IT的价值和作用。IT也是一种业务，要从业务的角度去审视，要从公司治理的角度去分析问题、解决问题。COBIT5 就是国际通行的企业IT治理和IT管理的业务框架。本文围绕COBIT5来谈一谈IT治理。

一  什么是治理？

1.治理的分类与重要意义

治理的英文是Governance，在政治学领域，通常指国家治理，即政府如何运用国家权力（治权）来管理国家和人民。在商业领域，又延伸到公司治理(Corporate Governance)，指公司等组织中的管理方式和制度等。

国家治理方面，党的十八届三中全会提出：“全面深化改革的总目标是完善和发展中国特色社会主义制度，推进国家治理体系和治理能力现代化”。对国家治理体系和治理能力建设高度重视。

在公司治理方面，深化国企改革的根本目标在于建立现代企业制度，实现从企业治理向公司治理的转变。公司治理就是现代企业制度的核心。

2. 治理的定义

联合国全球治理委员会（CGG）对治理的概念进行了界定，认为“治理”是指“各种公共的或私人的个人和机构管理其共同事务的诸多方法的总和，是使相互冲突的或不同利益得以调和，并采取联合行动的持续过程”，这既包括有权迫使人们服从的正式制度和规则，也包括各种人们同意或符合其利益的非正式制度安排。

在治理理论的大量学术文献中，最负盛名的是治理理论的主要创始人之一——罗西瑙( J·N· Rosenau)的将治理定义为一系列活动领域里的管理机制，这些管理机制“虽未得到正式授权，却能有效发挥作用”。

3. 治理和管理有什么不同？治理、管理和合规的关系是什么？

治理（Governance）是决策和制定政策的过程，管理（Management）是执行政策的过程，合规（Compliance）是坚持政策和决定的过程。治理、管理和合规形成一个三角关系，保证整个体系正常运转。

4. 治理的基本职能

计划(planning)是设定组织的目标，研拟达成目标的策略，并建立机制以协调达成组织目标的活动。

组织(organizing)是决定达成组织目标必须执行的任务，由谁来执行，这些任务如何加以群组，谁必须向谁报告，由谁来做决策。

领导(leading)则是激励员工，指挥他人的活动，选择有效的沟通管道，和解决冲突。

控制(controling)则是监督组织的绩效，并与原先设定的目标相比较，修正偏离标准的地方，以使组织朝既定目标迈进。

二   什么是IT治理？IT治理要达到什么目标？

关于IT治理，中外学者给出了很多的定义，美国IT治理协会给IT治理的定义是：“IT治理是一种引导和控制企业各种关系和流程的结构，这种结构安排，旨在通过平衡信息技术及其流程中的风险和收益，增加价值，以实现企业目标”。中国有一种观点任务，IT治理是描述企业或政府是否采用有效的机制，是的IT的应用能够完成组织富裕它的使命，同时平衡信息化过程中的风险，确保实现组织的战略目标的过程。它的使命是：保持IT与业务目标一致，推动业务发展，促使收益最大化，合理利用IT资源，适当管理与IT有关的风险。

IT治理是公司治理的一部分。下图可见公司治理涉及到公司的方方面面，人力资源管理、IT治理、风险管理等都是公司治理的一部分。所以IT治理的范围不只是治理IT部门，涉及到公司决策层、管理层和各个部门，是公司级关注事项。提升IT治理能力能够有效提升公司治理能力。

国资委在《关于加快推进国有企业数字化转型工作的通知》中，指出：“加快企业数字化治理模式、手段、方法升级，以企业架构为核心构建现代化IT治理体系，促进IT投资与业务变革发展持续适配。”可见IT治理是数字化转型中非常重要的部分，为数字化转型建立高效、融合的管理机制和环境。企业架构包括业务架构和IT架构，强调业务和IT的一致性，对数字化转型中的IT治理有很大帮助。

三  COBIT是一种IT治理框架

COBIT（Control Objectives for Information and related Technology）：即信息系统和技术控制目标。成立于1969年的美国信息系统审计与控制协会(ISACA)，于1996推出了用于“IT审计”的知识体系COBIT。“IT审计”已经成为众多国家的政府部门、企业对IT的计划与组织、采购与实施、服务提供与服务支持、监督与控制等进行全面考核与认可的业界标准。相应地，“注册信息系统审计师”（CISA）日益成为世界各国发展信息化过程中，争相发展的新兴职业和领域。

作为IT治理的核心模型， COBIT包含34个信息技术过程控制，并归集为四个控制域：IT规划和组织（Planning and Organization）、系统获得和实施（Acquisition and Implementation）、交付与支持（Delivery and Support）以及信息系统运行性能监控（Monitoring）。 COBIT目前已成为国际上公认的IT管理与控制标准。

主要是通过对所有IT资源进行规划和组织、获取和实施、交付和支持、监控等活动，实现业务目标，达成治理目标。

COBIT 5于2012年6月发行，它巩固并集合了COBIT 4.1， Val IT 2.0和RISK IT框架，同时从BMIS和ITAF中汲取了部分内容。它为企业IT治理和管理提供的新一代指引，是以来自商务、IT、风险、安全和鉴证团体的众多企业和用户对COBIT 超过15 年的实际使用和应用为依据而构建的，COBIT 5提供一种全面的框架，以支持企业实现其企业 IT 治理和管理的目标。简而言之，就是帮助企业通过维持实现利益、优化风险等级及资源利用之间的平衡，从而创造源自于 IT 的最佳价值。COBIT 5 能够为整个企业使 IT 在整体上得以治理和管理，并承担整个端到端业务和 IT 功能区域的责任，同时兼顾内外部利益相关者与IT 相关的利益。COBIT 5 通用和实用于各种规模的机构，无论是商务、非营利、或公共机构。

COBIT标准认证机构网站网址：http://www.isaca.org/

四  COBIT 5的五项原则

COBIT 5基于对企业IT的有效管理和治理必不可少的五项原则

原则 1: 满足利益相关者需要

企业的存在就是通过在实现收益、优化风险和运用资源之间维持一种平衡，从而为其利益相关者创造价值。COBIT 5 提供所有必需的流程和其他动力以支持通过IT运用来创造业务价值。因为各个企业的目标不尽相同，所以一家企业可以通过目标等级定制 COBIT 5，使其适用于企业的实际情况，将高层次企业目标转化成易于管理的、具体的、与 IT 相关的目标，并将这些目标映射到具体的流程和实践之中。

原则 2: 端到端覆盖企业

COBIT 5将企业IT 治理整合进企业治理之中：

– COBIT 5 覆盖企业内所有的职能和流程；并不仅仅只关注“IT 功能”，而且还视信息及相关技术为资产，这种资产就像任何其他资产一样，可由企业内任何人予以处理。

– COBIT 5 认为，所有与IT 相关的治理和管理动力是端到端覆盖整个企业范畴的，例如，涉及到内部和外部的任何事和 任何人---都与企业信息和相关 IT 的治理和管理形成关联。

原则 3: 运用单一整合式框架

IT相关的标准和最佳实践方法很多，每一种都有一种IT 活动的子集提供指引。COBIT 5 与其他相关标准和框架保持高度一致，因此可以用作企业 IT 治理和管理的首要框架。

IT各类标准框架与Cobit5的关系如下图所示。每一类IT标准都可以在Cobit5的控制域中找到自己的位置。

IT4IT从设计上与ITIL和COBIT形成互补。IT4IT是运营IT业务的框架，COBIT关注企业IT的治理和管理，ITIL关注于向业务提供服务、交付价值。

原则 4: 采用一个整体全面的方法

高效率和有效的企业IT治理和管理需要一种整体解决方案，应考虑到各个互相作用的组件。COBIT 5 定义了一组动力以支持企业IT的综合治理和管理体系的实施。所谓动力在广义上定义为任何能帮助实现企业目标的因素。COBIT 5 定义了七个动力范畴：

– 原则、政策和框架

– 流程

– 组织结构

– 文化、道德和行为

– 信息

– 服务、基础设施和应用程序

– 人员、技能和能力

这七项治理对象又可以分为三类：组织和人员，价值流和流程，信息和技术。

这些原则和动力范畴共同使组织能够使其IT投资与其目标保持一致，以实现这些投资的价值，同时管理IT风险。

原则 5: 区分治理和管理

COBIT 5 将治理和管理明确区分开来。这两种科目包含不同类型的活动，需要不同的组织结构，并服务于不同的用途。

五  COBIT的主要内容

COBIT5的主要组件包括框架、流程描述、控制目标、管理指南和成熟度模型。

1. 框架(Framework)：

按IT领域和流程组织IT治理目标和良好实践，并将其与业务需求联系起来。

COBIT5 五项原则使组织可以建立基于七个动力（enablers）的IT治理和管理的整体框架：（1）原则，政策和框架；（2）工艺流程；（3）组织架构；（4）文化，道德与行为；（5）信息；（6）服务，基础架构和应用；（7）人员，技能和能力。

2. 流程描述(Process descriptions)：

组织中每个人的参考流程模型和通用语言。流程映射到计划，构建，运行和监视的职责区域。

Cobit5的企业IT治理和IT管理的34个流程如下图：

3. 控制目标(Control objectives)：

提供一套完整的高级要求，供管理层考虑以有效控制每个IT流程。

4. 管理指南(Management guidelines)：

帮助分配职责，达成目标，衡量绩效并说明与其他流程的相互关系。

5. 成熟度模型(Maturity models)：

评估每个流程的成熟度和能力，并帮助弥补差距。

六 如何实施COBIT5改进IT治理？

COBIT5实施方法论分为7个阶段：

步骤一：发起项目；

步骤二：定义问题和机会；

步骤三：定义路线图；

步骤四：制定项目计划；

步骤五：执行计划；

步骤六：实现收益；

步骤七：复盘，使得措施长期化。

七  COBIT5的价值

COBIT5是企业战略目标和信息技术战略目标的桥梁，使得信息技术目标和企业战略目标之间实现互动。

首先，COBIT考虑了企业自身的战略规划，对业务环境和企业总的业务战略进行分析定位，并将战略规划所产生的目标、政策、行动计划作为信息技术的关键环境，并由此确定IT准则。

IT为企业战略提供了基于技术的解决方案，为满足业务战略需求提供了技术与工具。在IT准则的指导下，利用控制目标模型，分别从规划与组织、获取与实施、交付与支持、监控等过程进行控制、管理信息资源。在IT管理的同时，引入审计指南，从而保证IT资源管理的安全性、可靠性和有效性。

COBIT实现可跟踪的业绩衡量，通过平衡记分卡可以在财务（企业资源管理）、客户（客户关系管理）、过程（内部网，工作流工具）、学习（知识管理）等方面维持平衡，评价企业目标的实现情况以及IT绩效，并调整业务目标和IT战略，进行持续的IT管理。

COBIT采用成熟度模型，可以定位自己企业的IT管理目前在业界所处的位置，以及未来努力的方向，通俗地说就是给IT管理“打分”。

COBIT还提供了目前最佳案例和关键成功因素（CSF），供企业和组织借鉴。

从内容上看，COBIT覆盖了从分析＆设计到开发＆实施到运营、维护的整个过程。对于分析＆设计，重点目标是IT与业务的需求，根据业务目标细化IT战略，确定待开放的IT系统，进行相应的系统分析和设计。在分析与设计这样一个流程范围中，比我们传统所说的信息系统的分析与设计要宽广得多，它强调的是 IT的战略要符合业务的战略，任何信息系统的开发都应该与业务战略保持精确的校准。从业务战略的高度来分析和设计信息系统。提供这个阶段主要是考察组织的需求，同时根据这些需求设计合理的资源组合，设立合理的服务级别、目标，提供满足客户需求的IT服务。这个阶段对IT应用已上升到IT服务管理的阶段。主要解决下面的问题，为满足客户的需要提供哪些资源，这些资源之间的成本是多少，如何在服务成本和服务的效益间达到一个恰当的平衡点。在支持这个层面，主要是如何满足客户提出的IT需求，以支持服务的需求。 COBIT上层是对IT运行进行外部控制和内部审计，以确保IT与业务实现精确校准，同时实现对IT应用持续不断的应用和改进。COBIT覆盖整个信息系统的全部生命周期，其视野是最为开阔的。

关注本公众号（数据工匠俱乐部，ID：zgsjgjjlb），后台回复“指南”即可下载《数字化转型：新型能力建设指南》

京东下单链接

当当下单链接