COBIT框架下企業IT治理的首要特征——以業務為中心

　　【摘要】 文章首先提出IT治理與COBIT的關系——COBIT框架是業界常用的IT治理框架，并詳細論證了COBIT框架下企業IT治理的首要特征——以業務為中心。以業務為中心的IT治理首要特征論述主要從企業業務需求決定IT信息標準，IT治理的三個層次和業務目標與IT目標、企業信息標準間的映射關系三方面展開。
　　【關鍵詞】 IT治理；COBIT；內部控制；業務
　　
　　一、企業IT治理框架通用框架——COBIT
　　
　　對于許多企業而言，支持其業務的信息與技術是企業最有價值的資產，尤其對于銀行、證券等金融機構。企業管理層已經逐漸認識到保障IT價值、管理與IT有關的風險，增加對電子信息的控制已經成為公司治理的關鍵要素。IT治理已經成為公司治理中的一個重要組成部分。價值、風險和控制構成了IT治理的核心。
　　IT治理通常有五個關注領域：（1）戰略整合：關注于業務戰略與IT規劃的聯系；規定、保持和驗證IT的價值建議，使IT運營與業務運營一致。（2）價值交付：在整個IT服務交付周期內實施價值建議，確保IT實現了預期的戰略收益，并關注IT成本的優化，提出了IT的固有價值。（3）資源管理：對IT資源優化投資并適當管理，致力于知識共享和基礎設施的優化部署。（4）風險管理：要求企業高級管理層具備良好的IT風險意識，清晰了解企業對IT風險的承擔偏好，了解IT合規性要求；將企業所面臨的顯著IT風險透明化，并將IT風險管理的職責嵌入到組織結構中。（5）績效測評：追蹤并監控IT規劃實施，在項目終結、資源使用、流程績效、服務支付過程中使用IT平衡記分卡。IT平衡記分卡將IT戰略轉化為措施，這些措施可以實現傳統財務管理方面無法測量的目標。
　　這些IT治理關注領域描述了高級管理層在企業內進行IT治理時必須考慮的重要因素。運營管理層利用IT流程來組織和管理日常的IT活動。要實現IT治理還需要融合實務界的最佳實踐并將其標準化，以形成一個IT治理框架。該框架可以滿足并支持那些廣為接受的公司治理、風險管理的控制框架。
　　COSO（及類似框架）通常作為企業的內部控制整體框架，而COBIT（信息及相關技術控制目標，Control Objectives for Information and Related Technology）則是業界常用的IT治理框架。COBIT的最佳實踐代表了業界專家的一致意見，并已被美國等180多個國家和地區普遍認可和廣泛應用。COBIT正在成為IT治理領域事實上的國際標準。
　　COBIT的基本原理是：企業的業務需求推動投資IT資源，IT資源被應用于IT流程，IT流程交付有商業價值的電子企業信息，這些企業信息響應了企業特有的業務需求。因此，企業需要采用一套系統化的IT治理框架來投資、管理和控制IT資源，來確保其為企業提供信息服務。高度相關的管理和控制信息是COBIT框架的核心。
　　使用COBIT框架作為企業IT治理框架的優點還在于：（1）COBIT以業務為中心，使IT與業務始終保持一致；（2）COBIT為管理層提供了一個更好的IT視角；（3）在流程導向的基礎上，COBIT清晰界定了流程的所有者關系和職責；（4）COBIT采用通用的語言，容易被所有的利益相關方理解，易于被第三方及監管機構接受；（5）COBIT滿足了COSO對于IT相關企業內部控制的要求。
　　
　　二、COBIT框架IT治理的首要特征——以業務為中心
　　
　　COBIT框架下，IT治理的主要特點有：以業務為中心、以流程為導向、以控制為基礎、以績效測評為驅動。其中，以業務為中心是企業IT治理的首要特征。IT治理的這個首要特征可以從以下三方面集中體現。
　　（一）業務需求決定IT信息標準
　　為滿足業務目標，由企業IT系統提供的信息必須符合一定的控制標準，稱為企業信息的業務需求?；谝粋€更廣泛的質量、可信度和安全等要求，COBIT定義了七個相對獨立，但內涵又相互關聯的信息標準，即企業信息的七個業務需求。這七個信息標準分別是：（1）效果：涉及到信息與業務流程相關程度的屬性，以及信息交付的及時性、正確性、一致性和可用性。（2）效率：通過優化（生產率最高且符合經濟效益）資源使用來提供信息。（3）保密性：保護敏感信息，避免未經授權的信息披露。（4）完整性：與信息的準確度和完全性有關的屬性，與業務價值和預期相一致，沒有遺漏重要的或必須的信息。（5）可用性：與業務流程對信息的當前或未來可用性相關的屬性，也包括所需資源和相關能力的安全性。（6）符合性：涉及業務流程與所需遵守的法律、法規和合同約定之間的符合程度的屬性，即外部的強制要求和內部政策的遵循性。（7）可靠性：為管理者提供可靠的信息，運營相關實體并履行所賦予的職責。
　　
　?。ǘ┤齻€IT治理層次
　　企業IT治理以業務為中心的首要特征可以從COBIT框架下的三個IT治理層次來充分體現。
　　第一層是高級管理層及董事會。他們主要關注如何履行自身職責，主要使用“COBIT董事會IT治理簡介（第二版）”等文件規范來理解IT控制的重要性、主要存在問題及他們的管理職責。
　　第二層是業務和技術管理層，及IT治理層。他們主要關注企業如何進行IT控制績效測評、企業如何與其他同行進行比較？企業如何及時進行改進？主要使用COBIT中的管理指南和成熟度模型來分配職責、測量績效、基準管理和闡述企業的能力差距。
　　第三層是從事治理、保證、控制和安全的專業人員。他們主要關注：企業IT治理框架是什么？企業如何實施IT治理框架？如何在企業內評估IT治理框架？本層人員主要使用COBIT及VAL IT框架、控制目標和關鍵的管理層實踐來建立和完善企業的IT控制框架，通過“計劃與組織（PO）”、“獲取與實施（AI）”、“交付與支持（DS）“測量與評價（ME）”4個IT控制過程域和34個IT控制流程來組織IT控制目標和最佳實踐，并將它們與企業需求聯系起來。依靠“IT控制實踐第二版”、“COBIT控制實踐指南第二版”等文件規范來實施IT治理框架，通過“IT保證指南”在企業內部評估IT治理框架。
　　COBIT的基本特征之一是控制為基礎，該框架依次在三個層次上制定了控制目標及其對應的測量指標。第一層次：IT 目標和指標，定義了業務對 IT 的期望和如何測評；第二層次：流程目標和指標，定義了 IT 流程為了滿足 IT 目標必須交付的服務和如何進行評估；第三層次：活動目標和指標，確定為達到所需性能而采取的流程內活動以及如何測評。在此目標和測量指標體系中，活動層次上的測量指標驅動了流程層次上的控制目標，而流程層次上的測量指標驅動了企業業務對IT的總體期望目標。
　?。ㄈI務目標與IT目標、企業信息標準之間的映射關系
　　COBIT信息標準在為定義業務需求提供一個通用方法的同時，也制定了一系列一般業務目標和IT目標，作為與業務相關的、更加細化的基礎用以建立業務需求和制定這些目標的衡量指標。企業利用IT來激發業務動力，也可以稱之為“IT的業務目標”。
　　在COBIT框架中，常用一個矩陣描述企業一般業務目標和IT目標，以及他們是如何映射到信息標準的，簡化的矩陣如表1所示。
　　表1提供了一個闡述通用業務目標和IT目標、IT流程和信息標準之間對應關系的整體視圖，該視圖可以用來指導企業如何確定具體的業務要求、目標和衡量指標，現舉例闡述：
　　
　　首先，由業務目標映射到IT目標。比如，對于基于財務視角的業務目標“（2）管理IT相關業務風險”，該業務目標所對應的IT目標有8個，分別是：2-響應符合董事會方向的管理需求、14-登記和保護所有IT資產、17-保護IT目標的達成、18-清楚源自IT目標及資源的風險對業務的影響、19-確保關鍵和機密信息與不應該訪問的人相隔離、20-確保自動化的業務交易和信息交換是可信的、21-確保IT服務和基礎設施能適當抵御和恢復因失誤、惡意攻擊和災難而導致的故障、22-確保因IT服務中斷或變更而對業務的影響的最小。該業務目標主要通過審查COBIT信息標準中的3-保密性，4-完整性和5-可用性三項來提供合理保證。
　　其次，由IT目標映射到IT流程。如IT目標“19-確保關鍵和機密信息與不該訪問的人相隔離”所對應的IT流程分別是：PO6-IT投資管理、DS5-確保系統安全、DS11-數據管理和DS12-物理環境管理。
　　再次，通過IT流程IT目標之間的反向映射關系獲得反饋與修訂。如規劃與組織過程域中的第六個控制流程“PO6-IT投資管理”就與28個IT目標中3個IT目標存在反向映射關系。這三個IT目標分別是：12-確保IT成本、收益、戰略、策略和服務等級的透明度和被理解；24-提高IT成本效益和對業務收益的貢獻；28-確保IT具有基于成本效益的服務質量、持續改進和對未來變化的準備。IT控制人員、內審人員等可以從以上三個IT目標分別評價和完善IT控制流程。
　　最后，綜合權衡IT目標與IT流程。值得注意的是：IT流程與IT治理的五大關注領域、COSO內部控制整體框架、COBIT的 IT資源和COBIT信息標準等都存在重要的映射關系。如34個IT治理流程中的“PO5-IT投資管理”流程，在計劃與組織過程域中的重要性為M（中等）。PO5主要關注IT治理五大領域中的“價值交付”領域，其次是“戰略整合”和“資源管理”兩領域。PO5最主要關注COSO中的“控制活動”方面，其次是“監控與評價”和“風險評估”兩環節。同時，PO5又涉及“應用系統”、“基礎設施”和“人員”這三種IT資源。PO5主要關注COBIT信息標準中的“效率”和“效果”，以及“可靠性”。
　　因此，IT治理人員在實施企業IT治理框架過程中要通盤考慮以上影響因素，幫助企業的業務管理層和董事會期望獲得較好的IT投資回報，滿足業務需求以增加利益相關方的收益；在隱私保護和金融報告領域，以及財政、藥品和衛生保健部門，要求IT控制滿足有關的合規性要求，如薩班斯法案等；選擇符合成本效益原則的服務提供商、管理服務外包和采購；更加負責的IT相關風險，如網路安全；采用控制框架和最佳實踐，以監控和改進關鍵IT活動，進而增加業務價值，并降低業務風險；盡可能通過遵循標準的而非特別制定的方法來滿足優化成本的要求等。
　　
　　【參考文獻】
　?。?］ 陳婉玲，楊文杰. ISACA 信息系統管理準則及其啟示［J］.審計研究，2006（增刊） .
　　［2］ 王海林.IT環境下企業內部控制探討［J］.會計研究，2008（11）.
　?。?］（美）詹姆斯·A·霍爾（James.A.Hall）.信息系統審計與鑒證［M］.李丹，劉濟平譯.北京：中信出版社，2003.
　　［4］ IT Control Objective for Sarbanes-Oxley（薩班斯-奧克斯利法案的IT控制目標）： The Role.