1　從優秀到卓越
　　1.1　COBIT 4.0產生的背景
　　COBIT框架標準自推出便將目光著眼于IT治理在商業環境中的有效實施。在過去的幾年中, IT治理學會始終致力于COBIT標準體系的研發與實施工作, 并通過其下屬的COBIT程序委員會組織進行了一系列有關控制目標、管理指南等方面的研究項目。促使COBIT不斷更新發展的一個關鍵推動力來自于商業環境的變化。近幾年來, 伴隨著IT行業的飛速發展, 信息技術也更加深入而廣泛的融入到商業環境中的各個層次和領域當中, 從而使得商業運作方式也隨之發生巨大變化。
　　(1) 完善公司治理結構和機制的需要。作為公司治理的一個核心組成部分, IT治理越來越多地吸引著來自社會各方面的關注, 其中, 公司治理層(董事會) 更加關心公司IT治理問題, 管理層需要積極有效的實施IT管理戰略。因此, IT治理標準就應更充分的著眼于商業領域現狀及其運行機制,從而實現IT治理控制目標與商業需求的戰略統一。
　　(2) 滿足信息技術進步與發展的需要。信息技術的廣泛應用, 使得IT治理標準所面對的受眾群體日趨多樣化, 其中不僅包括IT專業人士、信息安全專家等, 更包含了來自其它不同專業領域的人員, 比如審計師、行業監管人員、企業高層管理者等等。這就要求IT治理標準既要以確保IT運作績效為目標, 同時更應當能夠滿足來自不同行業人員的多方面多層次需要。
　　(3) 適應IT管理實踐的需要。由于信息技術最優實踐標準的成熟度日趨提高, 諸如ITIL、ISO17799等專業標準指南也有著越來越廣泛的應用市場。這就需要將COBIT標準打造成一種“集大成”的IT治理框架標準, 成為企業首選的具有高度可靠性和可操作性的IT治理控制指南。
　　1.2　COBIT 4.0總體框架
　　COBIT 4.0主要由四部分構成, 即管理人員概覽、COBIT框架、核心內容以及附錄部分。其中的核心內容又將34個IT流程進一步分為四個部分: 計劃和組織( Plan and Organize) 、取得和實施(Acquire and Implement) 、交付和支持Deliver and Support) 以及監督和評價(Monitor and Evaluate) 。COBIT4.0總體框架如圖1所示:

　　從總體框架來看, COBIT4.0所體現的一個基本原則就是通過34個IT流程的執行運作,對IT資源進行管理、控制與利用,從而達到使IT治理的實施最終滿足商業需求這一目標。
　　COBIT4.0控制框架將這34個IT流程與商業需求聯系起來,形成了一個得到廣泛認可的IT流程模型,對于IT流程的描述主要又分為四個方面,即:高層控制目標;具體控制目標;管理指南;成熟模型,此外還包含四種主要的IT資源以及相關管理控制目標的認定。從具體內容上看, COBIT 4.0將IT治理目標的控制和監管與商業需求緊密結合,為IT治理的實施提供了很好的框架支持,一方面保證企業的IT資源得到充分且有效的利用,另一方面也有助于合理防控IT風險,從而使信息技術更好的服務于商業行為及企業價值最大化的目標。
　　1.3　從COBIT 3 到COBIT 4.0
　　COBIT 4.0的研發工作歷時約五年,然而, COBIT 4.0的推出并不意味著完全取代原有的COBIT 3 rd,而是在前一版基礎上提高和強化。除了對原有的34個IT流程進行調整部分修改和調整之外,更重要的變化體現在其所關注的核心領域上。
　　(1) 在IT治理方面, 增加了新的控制目標、完善了測度指標體系。COBIT 4.0著眼于公司治理與IT治理及相關領域的整合與銜接, 更進一步規范和改善了IT治理的實施與評價過程。盡管COBIT 3 rd標準已經涵蓋了其中的絕大多數內容,但研究標明, 由于運作環境、技術因素等方面的變化, COBIT 3 rd與具體實踐之間仍存在著一定差距。為此, 更新版的COBIT 4.0對原有的IT流程進行相應調整, 將每一個IT流程對應于相關的IT治理核心領域, 并增加了新的控制目標, 以彌補第三版的缺陷。同時, 又對KPIs/KGIs指標進行具體的因果關系分析等, 為我們提供了一個更為清晰而完善的測度指標體系。
　　(2) 在商業運作方面, 揭示了商業目標、IT目標以及具體IT流程之間的對應關系。一直以來, COBIT的基本原則就是以商業需求為目標, 而當前人們最為關注的則是“如何在不同的行業領域實現信息技術對商業目標的支持”, 比利時的安特衛普大學針對這一課題進行了大量研究, 在COBIT4.0中提供給我們一個普遍適用的“商業目標/IT目標對照表”, 揭示了商業目標、IT目標以及具體IT流程之間的一般性對應關系, 從而幫助管理層結合本企業具體環境實施有效的治理活動。
　　(3) 在適用性方面, 更加關注與其他IT標準的兼容性。相比之下, COBIT 4.0 更加關注自身與其他IT標準的兼容性, 幫助使用者整合COBIT與ITIL、ISO17799、PMBOK以及PR INCE2等標準, 并盡可能做到所使用術語和原則與其他標準的協調一致。此外, 由于審計一直都是COBIT所關注的重要領域, 因此它也十分強調對風險的管理和控制, 在這方面,COBIT 4.0更充分的體現了風險與價值間的平衡關系, 并且吸納了近年來相關領域對IT價值管理研究的最新成果。
　　2　COBIT 4.0對IT治理的實踐指導
　　COBIT4.0 “管理人員概覽”部分中指出: IT治理是由企業管理人員與執行董事會負責實施的, 這一領域涵蓋了領導層、企業組織結構及一系列相關工作流程, 旨在確保企業的信息技術( IT) 能夠支持并拓展企業的戰略目標。COBIT作為IT治理的一個重要的技術支持模型, 它涵蓋了IT運作中的所有基本流程, 指導著從IT目標確立到IT流程運作、從管理控制活動到結果評價與績效考核的整個IT治理實踐過程, 如圖2所示, 它為信息技術及商業管理者提供了一個普遍適用的參考標準。

　　2.1　COBIT 4.0在IT治理實踐中的“紐帶”作用
　　COBIT4.0標準主要著眼于商業目標與IT目標、IT流程的整合與銜接, 很好實現了公司治理與IT治理及其相關領域的有機結合。COBIT4.0構建了如圖3所示的關系鏈, 以完善其目標體系和控制結構。這一關系鏈中的關鍵環節在于“ IT目標、商業目標”以及“IT治理、公司治理”, 更準確的講,IT治理應當被視為整個公司治理框架體系下的一個核心子系統。COBIT4.0揭示了公司治理與IT治理之間的關系, 并從技術層面上為IT治理的實施提供保證, 實現二者的戰略一致性。一方面IT治理的實施最初來源于企業總體戰略目標的確立, 它體現著“以組織戰略目標為中心”的思想, 側重于企業信息資源的規劃和管理, 通過合理配置、充分利用IT資源為企業創造價值, 因而它在公司治理中的中心位置不容忽視。另一方面, 公司治理驅動和調整IT治理的實施, 將其作為企業總體戰略部署的一個關鍵環節, 并借助相關標準來檢驗IT治理的目標和執行效果, 這也充分體現了“信息技術影響著企業的戰略競爭機遇”。因此, 很好實現了公司治理與IT治理及其相關領域的有機結合, COBIT4.0標準主要著眼于商業目標與IT目標、IT流程的整合與銜接。

　　2.2　實施IT治理的關鍵目標及相關流程
　　如前所述, 在IT治理方面, COBIT4.0揭示了“商業目標e IT目標e IT資源e IT流程e IT治理核心領域”這樣一條重要的關系鏈, 為管理層提供了從公司治理到IT治理, 從商業目標到IT目標的技術指導, 以達成二者的戰略統一。當然,從商業目標到IT目標、IT流程的聯系是復雜而多樣的, COBIT4.0將商業目標分為財務方向、客戶層面、內部控制以及企業的學習與成長這四個部分, 共20 項, 另有28 個IT目標, 通過“商業目標e IT目標e信息標準”的對應, 以及“IT目標e IT流程e信息標準”的對應, 并借助COBIT三維模型將IT流程、IT資源和商業需求(信息要求) 聯系起來,同時, 每一IT流程有對應于相關的IT治理核心領域。這樣一個交錯而有序的網絡模型將IT治理各相關要素相互關聯成為有機整體, 確保了實施IT治理各環節的目的性、合理性、可行性及有效性。需要說明的是, COBIT4.0中所提供的34個IT流程是不可能也不需要在同一個企業中同時實施的, 管理層應當結合具體目標和特定的實踐環境, 將它們分解為小的管理單元進行運作。
　　2.3　IT治理實踐活動的績效考核
　　如果說目標的設定是實施IT治理的一個關鍵環節, 那么需要采取什么樣的標準和途徑來評價目標完成情況, 其重要性亦不亞于目標本身。在這里, 我們需要關注COBIT4.0 中的兩類重要測度指標, 即關鍵目標指標(KGIs) 和關鍵績效指標(KP Is) 。關鍵目標指標用來測度商業目標、IT目標、IT流程以及活動目標, 它屬于基礎性或稱為“滯后性”指標, 測定某個環節所必需達到的標準, 根據所測度的范圍具體又分為四個層次, 即關鍵商業目標指標、關鍵IT目標指標、關鍵IT流程指標以及關鍵活動目標指標。與之相對的關鍵績效指標則是一種“先導性”指標, 用來測度某個環節的執行效果如何。這就表明關鍵績效指標與關鍵目標指標二者在某一特定層面上存在著重要的因果關聯性。
　　3　兩點啟示
　　綜合上述分析與研究, 我們可以得出以下兩點啟示:
　　3.1　COBIT 4.0對建立我國IT治理相關標準具有學習和借鑒作用
　　目前, 我國IT治理的發展相對滯后, 尚未建立起一套相對完整的符合我國實際的IT治理框架標準。通過對COBIT4.0模型的研究, 一方面, 在啟步階段, 我們應當充分研究和吸收國外先進成果, 并結合我國相關領域發展現狀, 合理引入國際上相對成熟的IT治理標準, 以加快我國信息化進程的步伐。另一方面, 從長遠發展的角度看, 要想在該領域取得實質性發展和提高, 當然還需要建立起一套適合我們自身需要的標準體系。在這方面, COBIT 4.0為我們提供了一個很好的藍本, 它所揭示出的各種關聯關系為我們在該領域研究提供參考的同時, 也為我國IT治理相關標準的建立提出了一個有效而可行的思路。需要明確的是, “借鑒”不等于“效仿”, COBIT的成功經驗值得我們學習, 但在一些具體的應用領域, 國內外還是存在相當差異的, 比如我國的公司組織結構明顯區別于美國, 因此我國的公司治理也必然有其特殊性, 而具體到IT治理領域, 這就要求我們的IT治理標準能夠真正服務于我國的商業運作與IT治理實踐活動?！　　?/p>

        3.2　COBIT4.0對建立我國信息系統控制與審計準則具有參考價值
　　構建基于COBIT的信息系統控制與審計模型, 將有助于我們對信息系統建設、運行、評價及維護過程的分析研究,指導我們建立起相應的機制, 將信息系統項目運作的全部過程置于有效的管理與控制之下。同時幫助信息系統審計師進一步明確其審計目標和審計軌跡, 使其鑒證工作及報告結果等更具有針對性和說服力。自1997年以來, 國際信息系統審計與控制協會( ISACA) 以COBIT為依據, 逐步建立起一套相對完善的信息系統審計準則體系。該準則體系由基本準則、審計準則和作業程序這三個層次構成, 截至2007年2月已制定并發布執行的有14項基本準則、36項審計指南和11個工作程序, 另有若干個征求意見稿。從1996年首次發布的COBIT框架到現在的COBIT4.0, 以及整個ISACA信息系統審計準則體系的構建和不斷完善, 這樣一個發展思路和軌跡是十分值得我國學習和借鑒的。建立起一套符合我國實際的IT標準, 并在此基礎上結合信息系統控制與審計工作的實務, 構建我國的信息系統審計準則框架并在實踐中不斷完善, 這將是一個不斷學習、借鑒、探索并提高的過程。
　　最后, IT治理學會( ITGI) 已于2007年4月末推出COBIT4.1版本及與之相關的一系列新版和修訂版COBIT出版物, 進一步完善了COBIT 4 系列標準體系。COBIT4.1 是在COBIT4.0框架下進行的提高式的更新, 例如, 充實了“管理者概覽”, 對績效測評作出更具體詮釋等, 并未進行任何實質性的更改。COBIT系列標準還有待于我們進一步深入研究和探討, 并期待建立起一套適合我國IT治理及相關領域發展的標準體系。