【摘要】 文章首先提出IT治理與COBIT的關(guān)系——COBIT框架是業(yè)界常用的IT治理框架，并詳細(xì)論證了COBIT框架下企業(yè)IT治理的首要特征——以業(yè)務(wù)為中心。以業(yè)務(wù)為中心的IT治理首要特征論述主要從企業(yè)業(yè)務(wù)需求決定IT信息標(biāo)準(zhǔn)，IT治理的三個(gè)層次和業(yè)務(wù)目標(biāo)與IT目標(biāo)、企業(yè)信息標(biāo)準(zhǔn)間的映射關(guān)系三方面展開。
　　【關(guān)鍵詞】 IT治理；COBIT；內(nèi)部控制；業(yè)務(wù)
　　
　　一、企業(yè)IT治理框架通用框架——COBIT
　　
　　對(duì)于許多企業(yè)而言，支持其業(yè)務(wù)的信息與技術(shù)是企業(yè)最有價(jià)值的資產(chǎn)，尤其對(duì)于銀行、證券等金融機(jī)構(gòu)。企業(yè)管理層已經(jīng)逐漸認(rèn)識(shí)到保障IT價(jià)值、管理與IT有關(guān)的風(fēng)險(xiǎn)，增加對(duì)電子信息的控制已經(jīng)成為公司治理的關(guān)鍵要素。IT治理已經(jīng)成為公司治理中的一個(gè)重要組成部分。價(jià)值、風(fēng)險(xiǎn)和控制構(gòu)成了IT治理的核心。
　　IT治理通常有五個(gè)關(guān)注領(lǐng)域：（1）戰(zhàn)略整合：關(guān)注于業(yè)務(wù)戰(zhàn)略與IT規(guī)劃的聯(lián)系；規(guī)定、保持和驗(yàn)證IT的價(jià)值建議，使IT運(yùn)營(yíng)與業(yè)務(wù)運(yùn)營(yíng)一致。（2）價(jià)值交付：在整個(gè)IT服務(wù)交付周期內(nèi)實(shí)施價(jià)值建議，確保IT實(shí)現(xiàn)了預(yù)期的戰(zhàn)略收益，并關(guān)注IT成本的優(yōu)化，提出了IT的固有價(jià)值。（3）資源管理：對(duì)IT資源優(yōu)化投資并適當(dāng)管理，致力于知識(shí)共享和基礎(chǔ)設(shè)施的優(yōu)化部署。（4）風(fēng)險(xiǎn)管理：要求企業(yè)高級(jí)管理層具備良好的IT風(fēng)險(xiǎn)意識(shí)，清晰了解企業(yè)對(duì)IT風(fēng)險(xiǎn)的承擔(dān)偏好，了解IT合規(guī)性要求；將企業(yè)所面臨的顯著IT風(fēng)險(xiǎn)透明化，并將IT風(fēng)險(xiǎn)管理的職責(zé)嵌入到組織結(jié)構(gòu)中。（5）績(jī)效測(cè)評(píng)：追蹤并監(jiān)控IT規(guī)劃實(shí)施，在項(xiàng)目終結(jié)、資源使用、流程績(jī)效、服務(wù)支付過程中使用IT平衡記分卡。IT平衡記分卡將IT戰(zhàn)略轉(zhuǎn)化為措施，這些措施可以實(shí)現(xiàn)傳統(tǒng)財(cái)務(wù)管理方面無法測(cè)量的目標(biāo)。
　　這些IT治理關(guān)注領(lǐng)域描述了高級(jí)管理層在企業(yè)內(nèi)進(jìn)行IT治理時(shí)必須考慮的重要因素。運(yùn)營(yíng)管理層利用IT流程來組織和管理日常的IT活動(dòng)。要實(shí)現(xiàn)IT治理還需要融合實(shí)務(wù)界的最佳實(shí)踐并將其標(biāo)準(zhǔn)化，以形成一個(gè)IT治理框架。該框架可以滿足并支持那些廣為接受的公司治理、風(fēng)險(xiǎn)管理的控制框架。
　　COSO（及類似框架）通常作為企業(yè)的內(nèi)部控制整體框架，而COBIT（信息及相關(guān)技術(shù)控制目標(biāo)，Control Objectives for Information and Related Technology）則是業(yè)界常用的IT治理框架。COBIT的最佳實(shí)踐代表了業(yè)界專家的一致意見，并已被美國(guó)等180多個(gè)國(guó)家和地區(qū)普遍認(rèn)可和廣泛應(yīng)用。COBIT正在成為IT治理領(lǐng)域事實(shí)上的國(guó)際標(biāo)準(zhǔn)。
　　COBIT的基本原理是：企業(yè)的業(yè)務(wù)需求推動(dòng)投資IT資源，IT資源被應(yīng)用于IT流程，IT流程交付有商業(yè)價(jià)值的電子企業(yè)信息，這些企業(yè)信息響應(yīng)了企業(yè)特有的業(yè)務(wù)需求。因此，企業(yè)需要采用一套系統(tǒng)化的IT治理框架來投資、管理和控制IT資源，來確保其為企業(yè)提供信息服務(wù)。高度相關(guān)的管理和控制信息是COBIT框架的核心。
　　使用COBIT框架作為企業(yè)IT治理框架的優(yōu)點(diǎn)還在于：（1）COBIT以業(yè)務(wù)為中心，使IT與業(yè)務(wù)始終保持一致；（2）COBIT為管理層提供了一個(gè)更好的IT視角；（3）在流程導(dǎo)向的基礎(chǔ)上，COBIT清晰界定了流程的所有者關(guān)系和職責(zé)；（4）COBIT采用通用的語言，容易被所有的利益相關(guān)方理解，易于被第三方及監(jiān)管機(jī)構(gòu)接受；（5）COBIT滿足了COSO對(duì)于IT相關(guān)企業(yè)內(nèi)部控制的要求。
　　
　　二、COBIT框架IT治理的首要特征——以業(yè)務(wù)為中心
　　
　　COBIT框架下，IT治理的主要特點(diǎn)有：以業(yè)務(wù)為中心、以流程為導(dǎo)向、以控制為基礎(chǔ)、以績(jī)效測(cè)評(píng)為驅(qū)動(dòng)。其中，以業(yè)務(wù)為中心是企業(yè)IT治理的首要特征。IT治理的這個(gè)首要特征可以從以下三方面集中體現(xiàn)。
　?。ㄒ唬I(yè)務(wù)需求決定IT信息標(biāo)準(zhǔn)
　　為滿足業(yè)務(wù)目標(biāo)，由企業(yè)IT系統(tǒng)提供的信息必須符合一定的控制標(biāo)準(zhǔn)，稱為企業(yè)信息的業(yè)務(wù)需求?；谝粋€(gè)更廣泛的質(zhì)量、可信度和安全等要求，COBIT定義了七個(gè)相對(duì)獨(dú)立，但內(nèi)涵又相互關(guān)聯(lián)的信息標(biāo)準(zhǔn)，即企業(yè)信息的七個(gè)業(yè)務(wù)需求。這七個(gè)信息標(biāo)準(zhǔn)分別是：（1）效果：涉及到信息與業(yè)務(wù)流程相關(guān)程度的屬性，以及信息交付的及時(shí)性、正確性、一致性和可用性。（2）效率：通過優(yōu)化（生產(chǎn)率最高且符合經(jīng)濟(jì)效益）資源使用來提供信息。（3）保密性：保護(hù)敏感信息，避免未經(jīng)授權(quán)的信息披露。（4）完整性：與信息的準(zhǔn)確度和完全性有關(guān)的屬性，與業(yè)務(wù)價(jià)值和預(yù)期相一致，沒有遺漏重要的或必須的信息。（5）可用性：與業(yè)務(wù)流程對(duì)信息的當(dāng)前或未來可用性相關(guān)的屬性，也包括所需資源和相關(guān)能力的安全性。（6）符合性：涉及業(yè)務(wù)流程與所需遵守的法律、法規(guī)和合同約定之間的符合程度的屬性，即外部的強(qiáng)制要求和內(nèi)部政策的遵循性。（7）可靠性：為管理者提供可靠的信息，運(yùn)營(yíng)相關(guān)實(shí)體并履行所賦予的職責(zé)。
　　
　?。ǘ┤齻€(gè)IT治理層次
　　企業(yè)IT治理以業(yè)務(wù)為中心的首要特征可以從COBIT框架下的三個(gè)IT治理層次來充分體現(xiàn)。
　　第一層是高級(jí)管理層及董事會(huì)。他們主要關(guān)注如何履行自身職責(zé)，主要使用“COBIT董事會(huì)IT治理簡(jiǎn)介（第二版）”等文件規(guī)范來理解IT控制的重要性、主要存在問題及他們的管理職責(zé)。
　　第二層是業(yè)務(wù)和技術(shù)管理層，及IT治理層。他們主要關(guān)注企業(yè)如何進(jìn)行IT控制績(jī)效測(cè)評(píng)、企業(yè)如何與其他同行進(jìn)行比較？企業(yè)如何及時(shí)進(jìn)行改進(jìn)？主要使用COBIT中的管理指南和成熟度模型來分配職責(zé)、測(cè)量績(jī)效、基準(zhǔn)管理和闡述企業(yè)的能力差距。
　　第三層是從事治理、保證、控制和安全的專業(yè)人員。他們主要關(guān)注：企業(yè)IT治理框架是什么？企業(yè)如何實(shí)施IT治理框架？如何在企業(yè)內(nèi)評(píng)估IT治理框架？本層人員主要使用COBIT及VAL IT框架、控制目標(biāo)和關(guān)鍵的管理層實(shí)踐來建立和完善企業(yè)的IT控制框架，通過“計(jì)劃與組織（PO）”、“獲取與實(shí)施（AI）”、“交付與支持（DS）“測(cè)量與評(píng)價(jià)（ME）”4個(gè)IT控制過程域和34個(gè)IT控制流程來組織IT控制目標(biāo)和最佳實(shí)踐，并將它們與企業(yè)需求聯(lián)系起來。依靠“IT控制實(shí)踐第二版”、“COBIT控制實(shí)踐指南第二版”等文件規(guī)范來實(shí)施IT治理框架，通過“IT保證指南”在企業(yè)內(nèi)部評(píng)估IT治理框架。
　　COBIT的基本特征之一是控制為基礎(chǔ)，該框架依次在三個(gè)層次上制定了控制目標(biāo)及其對(duì)應(yīng)的測(cè)量指標(biāo)。第一層次：IT 目標(biāo)和指標(biāo)，定義了業(yè)務(wù)對(duì) IT 的期望和如何測(cè)評(píng)；第二層次：流程目標(biāo)和指標(biāo)，定義了 IT 流程為了滿足 IT 目標(biāo)必須交付的服務(wù)和如何進(jìn)行評(píng)估；第三層次：活動(dòng)目標(biāo)和指標(biāo)，確定為達(dá)到所需性能而采取的流程內(nèi)活動(dòng)以及如何測(cè)評(píng)。在此目標(biāo)和測(cè)量指標(biāo)體系中，活動(dòng)層次上的測(cè)量指標(biāo)驅(qū)動(dòng)了流程層次上的控制目標(biāo)，而流程層次上的測(cè)量指標(biāo)驅(qū)動(dòng)了企業(yè)業(yè)務(wù)對(duì)IT的總體期望目標(biāo)。
　?。ㄈI(yè)務(wù)目標(biāo)與IT目標(biāo)、企業(yè)信息標(biāo)準(zhǔn)之間的映射關(guān)系
　　COBIT信息標(biāo)準(zhǔn)在為定義業(yè)務(wù)需求提供一個(gè)通用方法的同時(shí)，也制定了一系列一般業(yè)務(wù)目標(biāo)和IT目標(biāo)，作為與業(yè)務(wù)相關(guān)的、更加細(xì)化的基礎(chǔ)用以建立業(yè)務(wù)需求和制定這些目標(biāo)的衡量指標(biāo)。企業(yè)利用IT來激發(fā)業(yè)務(wù)動(dòng)力，也可以稱之為“IT的業(yè)務(wù)目標(biāo)”。
　　在COBIT框架中，常用一個(gè)矩陣描述企業(yè)一般業(yè)務(wù)目標(biāo)和IT目標(biāo)，以及他們是如何映射到信息標(biāo)準(zhǔn)的，簡(jiǎn)化的矩陣如表1所示。
　　表1提供了一個(gè)闡述通用業(yè)務(wù)目標(biāo)和IT目標(biāo)、IT流程和信息標(biāo)準(zhǔn)之間對(duì)應(yīng)關(guān)系的整體視圖，該視圖可以用來指導(dǎo)企業(yè)如何確定具體的業(yè)務(wù)要求、目標(biāo)和衡量指標(biāo)，現(xiàn)舉例闡述：
　　
　　首先，由業(yè)務(wù)目標(biāo)映射到IT目標(biāo)。比如，對(duì)于基于財(cái)務(wù)視角的業(yè)務(wù)目標(biāo)“（2）管理IT相關(guān)業(yè)務(wù)風(fēng)險(xiǎn)”，該業(yè)務(wù)目標(biāo)所對(duì)應(yīng)的IT目標(biāo)有8個(gè)，分別是：2-響應(yīng)符合董事會(huì)方向的管理需求、14-登記和保護(hù)所有IT資產(chǎn)、17-保護(hù)IT目標(biāo)的達(dá)成、18-清楚源自IT目標(biāo)及資源的風(fēng)險(xiǎn)對(duì)業(yè)務(wù)的影響、19-確保關(guān)鍵和機(jī)密信息與不應(yīng)該訪問的人相隔離、20-確保自動(dòng)化的業(yè)務(wù)交易和信息交換是可信的、21-確保IT服務(wù)和基礎(chǔ)設(shè)施能適當(dāng)?shù)钟突謴?fù)因失誤、惡意攻擊和災(zāi)難而導(dǎo)致的故障、22-確保因IT服務(wù)中斷或變更而對(duì)業(yè)務(wù)的影響的最小。該業(yè)務(wù)目標(biāo)主要通過審查COBIT信息標(biāo)準(zhǔn)中的3-保密性，4-完整性和5-可用性三項(xiàng)來提供合理保證。
　　其次，由IT目標(biāo)映射到IT流程。如IT目標(biāo)“19-確保關(guān)鍵和機(jī)密信息與不該訪問的人相隔離”所對(duì)應(yīng)的IT流程分別是：PO6-IT投資管理、DS5-確保系統(tǒng)安全、DS11-數(shù)據(jù)管理和DS12-物理環(huán)境管理。
　　再次，通過IT流程IT目標(biāo)之間的反向映射關(guān)系獲得反饋與修訂。如規(guī)劃與組織過程域中的第六個(gè)控制流程“PO6-IT投資管理”就與28個(gè)IT目標(biāo)中3個(gè)IT目標(biāo)存在反向映射關(guān)系。這三個(gè)IT目標(biāo)分別是：12-確保IT成本、收益、戰(zhàn)略、策略和服務(wù)等級(jí)的透明度和被理解；24-提高IT成本效益和對(duì)業(yè)務(wù)收益的貢獻(xiàn)；28-確保IT具有基于成本效益的服務(wù)質(zhì)量、持續(xù)改進(jìn)和對(duì)未來變化的準(zhǔn)備。IT控制人員、內(nèi)審人員等可以從以上三個(gè)IT目標(biāo)分別評(píng)價(jià)和完善IT控制流程。
　　最后，綜合權(quán)衡IT目標(biāo)與IT流程。值得注意的是：IT流程與IT治理的五大關(guān)注領(lǐng)域、COSO內(nèi)部控制整體框架、COBIT的 IT資源和COBIT信息標(biāo)準(zhǔn)等都存在重要的映射關(guān)系。如34個(gè)IT治理流程中的“PO5-IT投資管理”流程，在計(jì)劃與組織過程域中的重要性為M（中等）。PO5主要關(guān)注IT治理五大領(lǐng)域中的“價(jià)值交付”領(lǐng)域，其次是“戰(zhàn)略整合”和“資源管理”兩領(lǐng)域。PO5最主要關(guān)注COSO中的“控制活動(dòng)”方面，其次是“監(jiān)控與評(píng)價(jià)”和“風(fēng)險(xiǎn)評(píng)估”兩環(huán)節(jié)。同時(shí)，PO5又涉及“應(yīng)用系統(tǒng)”、“基礎(chǔ)設(shè)施”和“人員”這三種IT資源。PO5主要關(guān)注COBIT信息標(biāo)準(zhǔn)中的“效率”和“效果”，以及“可靠性”。
　　因此，IT治理人員在實(shí)施企業(yè)IT治理框架過程中要通盤考慮以上影響因素，幫助企業(yè)的業(yè)務(wù)管理層和董事會(huì)期望獲得較好的IT投資回報(bào)，滿足業(yè)務(wù)需求以增加利益相關(guān)方的收益；在隱私保護(hù)和金融報(bào)告領(lǐng)域，以及財(cái)政、藥品和衛(wèi)生保健部門，要求IT控制滿足有關(guān)的合規(guī)性要求，如薩班斯法案等；選擇符合成本效益原則的服務(wù)提供商、管理服務(wù)外包和采購；更加負(fù)責(zé)的IT相關(guān)風(fēng)險(xiǎn)，如網(wǎng)路安全；采用控制框架和最佳實(shí)踐，以監(jiān)控和改進(jìn)關(guān)鍵IT活動(dòng)，進(jìn)而增加業(yè)務(wù)價(jià)值，并降低業(yè)務(wù)風(fēng)險(xiǎn)；盡可能通過遵循標(biāo)準(zhǔn)的而非特別制定的方法來滿足優(yōu)化成本的要求等。
　　
　　【參考文獻(xiàn)】
　　［1］ 陳婉玲，楊文杰. ISACA 信息系統(tǒng)管理準(zhǔn)則及其啟示［J］.審計(jì)研究，2006（增刊） .
　?。?］ 王海林.IT環(huán)境下企業(yè)內(nèi)部控制探討［J］.會(huì)計(jì)研究，2008（11）.
　?。?］（美）詹姆斯·A·霍爾（James.A.Hall）.信息系統(tǒng)審計(jì)與鑒證［M］.李丹，劉濟(jì)平譯.北京：中信出版社，2003.
　?。?］ IT Control Objective for Sarbanes-Oxley（薩班斯-奧克斯利法案的IT控制目標(biāo)）： The Role.