基于Cobit的IT治理实施

摘 要：本文对IT治理的意义和内容进行了阐述，并基于Cobit从IT原则与方针、IT决策组织与治理机制、IT制度与流程、IT规划与架构设计、IT基础设施与服务管理、IT与业务融合、IT投资管理、IT人力资源管理和IT安全与风险控制共九个方面展开IT治理实施探讨。实施有效的IT治理是组织或企业有效管理IT资源、增强业务竞争能力、促进企业形成核心竞争力的关键。

关键词：IT治理；COBIT；IT管理；公司治理

中图分类号：TP14

当公司由快速发展期进入到整合见效期，经营模式单一、产品服务缺乏多样性、内控机制不完善、创新能力不足等问题将逐渐暴露出来。因此，如何提高核心竞争力，在新一轮的竞争中获得优势，已经成为当前各公司不得不面临的重要问题。

国内许多行业客户已经在考虑综合利用市场、营销、人才及新技术等策略，在竞争中做大做强。其中“新技术”占有越来越重要的地位，主要是指利用IT技术提高公司竞争力。当前各公司正关注如何持续巩固和提升IT能力，合理利用IT资源，控制相关风险，保障业务系统的运行安全，确保IT对业务发展与创新的持续支持，实现IT投资效益的最大化。

因此，实施IT治理，促进IT与业务融合，使IT成为公司的战略资产，提升公司的核心竞争力，已成为公司发展的首要问题。

1 IT治理背景介绍

二十世纪以来，IT技术的迅猛发展，已经重构人类社会的图景，导致国家和企业竞争的变革。有效的IT治理是竞争优势的源泉，是管理创新的决定因素之一，也是保证组织创新发展和基业常青的关键所在。IT治理正在成为各国政府、行业组织、学术界和产业界等共同关注、研究与实践的一个全球性课题。

信息技术的发展和网络环境的变化，使电子信息嵌入到企业业务活动的各方面，信息系统成为企业各个职能部门业务活动不可或缺的工具。企业信息化给公司治理和内部控制带来巨大冲击和挑战。在信息技术的影响下，传统的公司治理和内部控制方式发生了根本性变革。信息技术在经济发展中所体现的多重角色以及对未来经济发展所发挥作用的不可预见性使得IT治理问题更加复杂，因此中国企业在信息化的进程中，IT治理的重要性正日益凸显。

2 IT治理概念及目的

2.1 IT治理的概念

在对IT治理广泛研究和分析的基础上，关于其定义汇集了三种主要观点。美国南加州大学教授Robert认为，IT治理用于描述被委托治理实体的人员在监督、检查、控制和指导实体的过程中如何看待信息技术。IT的应用对于组织能否达到它的远景、使命、战略目标至关重要。德勤定义为，IT治理是一个含义广泛的概念，包括信息系统、技术、通讯、商业、所有利益相关者、合法性和其他问题。其主要任务是保持IT与业务目标一致，推动业务发展，促使收益最大化，合理利用IT资源，IT相关风险的适当管理。国际信息系统审计与控制协会（ISACA）理解为，IT治理是一个由关系和过程所构成的体制，用于指导和控制企业，通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。

2.2 IT治理的目的

IT治理使IT与组织业务有效融合，其出发点首先是组织的发展战略，遵循组织的风控体系，制定相应的IT建设运行的管理机制，需明确“做什么决策？谁来决策？怎么来决策？如何监督和评价决策？”。围绕IT建设全生命周期过程，构建持续的信息化建设长效机制，是IT治理的目标。IT治理的国际最佳实践包括CobiT、ITIL、ISO27001、Prince2等。

IT治理目标具体细化为以下三方面：

（1）与业务目标一致。IT治理要从组织目标和信息化战略中抽取信息需求和功能需求，形成总体的IT治理框架和系统整体模型，为进一步系统设计和实施奠定基础，保证信息技术跟上持续变化的业务目标。

（2）有效利用信息资源。由于目前信息化工程超期，IT客户的需求没有得到较好的满足，IT平台不支持业务应用等问题较为突出，通过IT治理可以对信息资源的管理职责进行有效管理，保证投资的回收，并支持决策。

（3）风险管理。由于企业越来越依赖于信息技术和网络，新的风险不断涌现。IT治理强调风险管理，通过制定信息资源的保护级别，强调关键的信息技术资源，有效实施监控和做好事故处理。

3 IT治理实施

3.1 IT原则与方针

重新定义适用于公司的IT原则，概述性描述IT的基础性作用和对公司业务发展的根本性影响。对IT在公司运营中所起的作用和IT投入等主要方面做出明确的规定。征求公司各部门的意见，就IT原则在IT治理委员会中形成决议后，在全公司范围内进行宣传，使之成为IT实践的行动指南。

3.2 IT决策组织与治理机制

根据公司当前的业务需求，建立专门的IT治理委员会或类似组织。组织应当包括公司最高管理层、IT治理直接责任人、IT部门负责人、相关业务负责人、财务负责人、内部控制负责人以及部分技术骨干等人员。

在IT治理相关制度中规定重大IT事项的决策机制和相关人员的参与责任，建立IT治理委员会议事规则、工作流程和正式的IT沟通渠道。

3.3 IT制度与流程

完善层次化的制度体系，并规范具体的操作流程，逐步实现IT管理的标准化和精细化；并进一步完善IT制度文档的建立、修订和完善的流程。在整合现有制度的基础上，进一步完善IT规划、基础建设、软件开发、系统运维等方面的制度和流程，在适当的时机建立统一质量监控与绩效评估体系，并编写包括信息安全、IT服务和开发管理体系文件并明确关键控制点与绩效指标。

3.4 IT规划与架构设计

通过建立IT治理组织，形成跨部门进行IT规划的工作机制，确保IT规划与业务战略保持一致，完善IT与业务的正式沟通机制；设立IT规划和架构的专门岗位，引入业务分析、IT规划和IT架构的高端人才；完善IT规划与架构设计方法论，增强业务部门对IT规划的参与程度。

在业务战略的基础上，进行中长期信息化规划，形成短期可执行项目计划，并建立IT规划与架构的制度与流程，把IT规划与架构设计作为IT工作的重要组成部分。公司应根据IT原则和治理目标定期进行IT规划与IT架构的设计，确定IT基础设施和IT应用系统的整体框架，指导后续的IT实践活动。

3.5 IT基础设施与服务管理

建立IT基础设施管理制度，明确IT基础设施建设的原则与要求，建立基础设施运维管理流程，明确运维人员的岗位责任与奖惩考核制度。在完善核心系统运维的基础上，加强非核心系统的运维管理工作，为非核心系统运维配备充分能力的人员，持续对运维人员进行相关专业培训。

3.6 IT与业务融合

在建立IT治理组织的基础上，搭建IT部门与业务部门的沟通平台，建立有效的沟通机制，并对沟通的结果进行跟踪和及时反馈。

完善现有的需求管理制度，建立需求管理和需求开发流程，以规范需求获取过程，提高业务需求质量。为IT项目建立合理的评审标准，并由公司内控部、财务部和IT部门会商后报公司IT治理委员会审议立项。把项目评审与IT治理委员会审议的结果与需求提出部门进行及时沟通。通过IT治理组织提供的沟通渠道，将IT应用实现所遇到的人力资源缺乏、资金缺乏等问题以及新的IT技术可能带来的业务机会向管理层进行反映，并说明这些问题可能对业务发展带来的影响。另外对开发人员进行持续性培训和鼓励创新也是此项内容必须要关注的内容。

3.7 IT投资管理

对IT作为公司战略资产的重要性认识需要进一步提高，管理层要意识到为了实现成为领先型行业客户的目标，需要对IT持续投入，使IT成为推动业务发展的动力。

公司应建立IT预算的合理评审原则，并听取业务部门与IT部门的建议。在提出IT预算时，IT部门应在合理的成本范围内从技术方面在进行可行性研究，业务部门从业务方面提出可实现的业务效益。参考同行或国外的经验，在IT项目成本管理方面建立可量化的指标体系。

3.8 IT人力资源

在信息技术部门建立设置合理、职责明确的岗位责任制，定期对信息技术人员进行考核，且每年不少于一次。IT人员的配备不仅是在IT部门，也需要在业务部门配置具有IT背景的人员，以促进IT与业务的深度融合。同时根据公司业务战略及IT战略的要求，逐步增加IT研发人员的数量和开发水平。

3.9 IT安全和风险控制

建立信息安全管理体系，从制度、流程、技术及人员等方面保障系统安全及信息安全，建立持续的信息安全检查与审计机制，并使员工的安全行为与奖惩考核挂钩。增加系统运行组的资源配置，加强人员培训，优化流程，提高运维效率。逐步实现系统开发和运维管理在系统、人员及数据等方面进行有效分离。

进一步优化灾备系统的流程，加强员工对灾备系统的重要性认识，加强灾备操作技能的演练。

在客户资料保护方面，要对客户信息分级分类，对客户信息在流转整个过程中进行风险评估，并针对控制弱点采取相应的安全控制措施，例如加强员工和外部合作方在客户信息保护方面的教育与培训等。

在IT外包管理方面，IT部门应建立IT外包管理制度，并对制度的落实情况进行监督。

在IT风险管理方面，应根据公司现状，进一步完善IT风险管理框架、策略和流程，审计部门应当对IT风险评估结果进行跟踪检查，并定期进行修订。

在IT审计方面，在建立IT风险控制框架的基础上，建立有效的IT审计框架，建立IT审计流程和公司自制的IT审计标准，对现有IT审计人员进行培训，并对IT审计发现的问题积极整改，降低重大IT风险发生的概率。

4 结束语

为提升公司的IT能力，确保IT对业务发展与创新的持续支持，实现IT投资效益的最大化，根据IT战略层的IT治理存在的风险，从以上论述的九个方面展开IT治理实施，使IT管理从以往仅仅满足功能要求与性能指标到现在要求的最大化IT投资效益和业务增值，将以往局限于支持业务运营的IT管理发展演变为业务部门发展与规划的强有力的合作伙伴，最终提升企业的核心竞争能力。

参考文献：

[1]思春林.企业创新空间与技术管理[M].北京：清华大学出版社，2005.

[2]何建佳，葛玉辉，张光远.信息化进程中的组织变革与IT治理[J].商业研究，2006（17）：117-120.

[3]张运生，曾德明，张利飞.从公司治理本质透视lT治理本质[J].科技进步与对策，2007（02）：158-160.

[4]塞利格（美国）.实施IT治理：方法论?模型?全球最佳实践[M].北京：中国经济出版社，2011.

[5]陈宪宇.企业IT管理和控制研究[J].工业技术经济，2010（09）.

作者简介：郑妍（1978.05-），女，云南玉溪人，工科学士，工程师，研究方向：信息化管理，信息安全。

作者单位：云南电网公司玉溪供电局，云南玉溪 653100