一、为什么 S 档第二章必须给第 11 章
各位同学好,老孙在这里。
今天是 2026 年 6 月 6 日,距 10 月 24 日系规考试还剩 140 天。
栏目③教材站第 2 篇——继续 S 档章节。按"教材章节号升序"原则,S 档 3 章顺序是第 4 → 第 11 → 第 12。今天讲第 11 章信息系统治理。
第 11 章是 S 档里近 3 年考分上升最快的一章:
- 综合知识从 2022 年的 4-5 题,涨到 2024 年的 6-7 题
- 案例分析 2023 上、2024 下连续两年都出现"COBIT / IT 治理"主题大题
- 论文方向近 8 年至少 2 次直接考"信息系统治理"
第 11 章的核心知识体系是 COBIT 2019(IT 治理国际标准框架)。这是一个由 ISACA 国际信息系统审计协会维护的全球公认 IT 治理框架,全球 50% 以上的大型企业 IT 治理体系都基于它构建。
今天这一篇老孙用 30 分钟带你过完 COBIT 2019 的核心结构:
- IT 治理 vs IT 管理(最高频判断题)
- 5 大原则
- 7 大使能因素
- 40 个治理与管理目标分布
- 治理委员会职责
读完今天这一篇,第 11 章你可以拿到 80% 的分。
二、IT 治理 vs IT 管理:最高频判断题
这是第 11 章里每年综合知识必考 1-2 题的核心区分:
| 维度 | IT 治理(Governance) | IT 管理(Management) |
|---|---|---|
| 主体 | 董事会 / 高层 | CIO / IT 部门 |
| 时间视角 | 长期(3-5 年) | 短期(1 年内) |
| 核心问题 | "做不做、做什么" | "怎么做、做多少" |
| 决策内容 | 战略方向、投资规模、风险偏好 | 项目执行、资源分配、运维质量 |
| 输入 | 企业战略、利益相关者诉求 | 治理决策、资源、资金 |
| 输出 | 治理决策、政策、监督机制 | 项目交付、服务运营、绩效报告 |
| COBIT 2019 表述 | 治理目标(5 个) | 管理目标(35 个) |
易错判断题示例
下列哪一项属于 IT 治理而非 IT 管理()。
A. 决定 IT 部门年度预算 B. 决定企业未来 3 年是否启动数字化转型 C. 选择 ERP 系统供应商 D. 处理生产系统宕机事件
答案:B。A / C / D 都是 IT 管理层面的具体执行。B 是企业级战略方向决策——属于治理。
老孙口诀:
"做不做、做什么"= 治理;"怎么做、做多少"= 管理
记牢这句话,第 11 章的判断题至少能拿 80%。
三、COBIT 2019 的 5 大原则
ISACA 在 2018 年发布 COBIT 2019 时,提出了新的 5 大治理原则(注意:COBIT 5 是 5 原则,COBIT 2019 也是 5 原则,但内容有调整):
原则 1:提供利益相关者价值(Provide Stakeholder Value)
- 核心:IT 治理的最终目的是为利益相关者创造价值
- 关键词:价值 + 风险 + 资源(即治理三角形)
- 具体表现:每个 IT 决策都要回答"对股东 / 客户 / 员工 / 监管方有什么价值"
原则 2:整体方法论(Holistic Approach)
- 核心:IT 治理不是单一维度,必须整体看 7 大使能因素
- 关键词:系统化 + 多维度
- 具体表现:不能只看流程改进而忽视组织文化;不能只看技术升级而忽视人员能力
原则 3:动态治理体系(Dynamic Governance System)
- 核心:IT 治理体系必须根据环境变化动态调整
- 关键词:环境 + 适应性
- 具体表现:业务战略变了 → 治理体系跟着变;监管要求变了 → 治理体系跟着变
原则 4:治理与管理分离(Governance Distinct from Management)
- 核心:治理职责和管理职责必须由不同角色承担
- 关键词:分离 + 角色清晰
- 具体表现:董事会管治理,CIO 管管理;不能让 CIO 既定战略又执行项目
原则 5:按企业需求定制(Tailored to Enterprise Needs)
- 核心:COBIT 2019 不是"一刀切",必须根据企业规模 / 行业 / 文化定制
- 关键词:定制 + 不照搬
- 具体表现:100 人公司不要照搬 10000 人公司的治理体系;制造业不要照搬金融业的治理框架
5 原则记忆口诀
价值整体动态分离定制
四、COBIT 2019 的 7 大使能因素
COBIT 2019 把企业 IT 治理拆成 7 大使能因素——这是做案例题最实用的分析框架:
| # | 使能因素 | 含义 | 案例题应用 |
|---|---|---|---|
| 1 | 原则、政策、框架 | 治理的顶层制度 | 评估"企业有没有正式的 IT 治理章程" |
| 2 | 流程 | 治理与管理的执行流程 | 评估"项目立项 / 变更 / 验收流程是否完整" |
| 3 | 组织结构 | 治理委员会 + IT 部门架构 | 评估"是否有 IT 治理委员会 / CIO 汇报关系" |
| 4 | 文化、伦理、行为 | 组织的 IT 文化 | 评估"业务部门 IT 意识 / IT 部门服务意识" |
| 5 | 信息 | 治理决策所需的信息 | 评估"高层决策时能否拿到关键数据" |
| 6 | 服务、基础设施、应用 | IT 资产与能力 | 评估"基础设施是否支持业务 + 应用是否齐全" |
| 7 | 人员、技能、能力 | IT 人才 | 评估"人员能力矩阵 + 培训体系" |
7 大使能因素的考试出题
- 综合知识:经常考"下列哪一项属于 / 不属于 7 大使能因素"
- 案例分析:要求你用 7 大使能因素分析一个企业的治理现状 + 提出改进建议
老孙口诀:
政流组文信服人(政策、流程、组织、文化、信息、服务、人员)
五、40 个治理与管理目标的分布
COBIT 2019 定义了 40 个目标,分布在 5 个域 中:
| 域 | 域名 | 目标数 | 性质 |
|---|---|---|---|
| EDM | Evaluate, Direct, Monitor(评估 + 指导 + 监督) | 5 | 治理目标 |
| APO | Align, Plan, Organize(对齐 + 计划 + 组织) | 14 | 管理目标 |
| BAI | Build, Acquire, Implement(建设 + 获取 + 实施) | 11 | 管理目标 |
| DSS | Deliver, Service, Support(交付 + 服务 + 支持) | 6 | 管理目标 |
| MEA | Monitor, Evaluate, Assess(监控 + 评价 + 评估) | 4 | 管理目标 |
5 治理目标(EDM)+ 35 管理目标(APO + BAI + DSS + MEA)= 40 个目标。
关键考点
- 5 个治理目标都在 EDM 域——这是"治理与管理分离"原则的具体体现
- 35 个管理目标分布在 4 个域——按 IT 全生命周期划分
- 数字必背:5 + 14 + 11 + 6 + 4 = 40
易错点
考试经常问"管理目标一共多少个"——答案是 35,不是 40。40 是含治理目标的总数。
六、治理委员会的职责与组成
第 11 章另一个高频考点是 IT 治理委员会。
典型组成(必背)
| 角色 | 职责 |
|---|---|
| CIO(首席信息官) | IT 治理委员会召集人 |
| CTO(首席技术官) | 技术战略输入 |
| CFO(首席财务官) | IT 投资财务把关 |
| 业务部门负责人 | 业务需求代表 |
| 审计 / 风控代表 | 合规与风险评估 |
| 外部独立顾问(可选) | 中立咨询 |
5 大职责
- 批准 IT 战略(与企业战略对齐)
- 审批重大 IT 投资(500 万元以上 / 占 IT 预算 20% 以上)
- 监督 IT 风险(特别是网络安全 / 数据安全)
- 评估 IT 价值实现(季度 / 年度 review)
- 任命与考核 CIO
常见考试场景
"某企业 IT 项目经常超预算 + 业务部门不满意 IT 服务 + 网络安全事件频发。从 IT 治理角度,下列哪一项是首要改进措施?"
A. 增加 IT 部门人手 B. 建立 IT 治理委员会 C. 上线新的 ERP 系统 D. 给所有员工做安全培训
答案:B。题干显示治理层面缺失(没人统筹 IT 战略 + 监督风险)——必须从顶层建立治理委员会。
七、COBIT 2019 vs COBIT 5 的关键差异
部分同学手里可能有老版 COBIT 5 资料。COBIT 2019 是升级版,老版资料的部分内容已经过时:
| 维度 | COBIT 5 | COBIT 2019 |
|---|---|---|
| 治理目标数 | 5 | 5(不变) |
| 管理目标数 | 32 | 35(增加) |
| 使能因素 | 7 | 7(不变) |
| 原则 | 5 | 5(内容调整) |
| 设计因素 | 无 | 新增 11 个 |
| 价值流 | 无 | 新增 |
关键提醒
考试以教材第 2 版(2025)为准——教材已经更新为 COBIT 2019。如果你看到老资料 / 老视频里讲"32 个管理目标",直接忽略——以教材的"35 个"为准。
八、3 个最容易踩的混淆点
混淆点 1:5 个治理目标 vs 5 大原则
很多同学把"5 个治理目标"(EDM 域的 5 个目标)和"5 大原则"(提供利益相关者价值等)搞混。
正确区分:
- 5 大原则 = COBIT 2019 的指导思想(抽象)
- 5 个治理目标 = COBIT 2019 的具体目标(具体)
混淆点 2:治理委员会 vs IT 部门
很多同学误以为"治理委员会 = IT 部门"。
正确区分:
- 治理委员会 = 跨部门的高层组织(CIO + CFO + 业务负责人 + ...)
- IT 部门 = 单一职能部门(负责 IT 管理 + 执行)
混淆点 3:COBIT 2019 vs ITIL 4 vs ITSS
3 个框架都涉及 IT 服务和管理,但侧重点不同:
| 框架 | 侧重 |
|---|---|
| COBIT 2019 | IT 治理(顶层) |
| ITIL 4 | IT 服务管理(运营层) |
| ITSS | IT 服务能力国标(中国本地化标准) |
3 个框架互补不互斥。考试出题经常用"判断这个场景适合用哪个框架"考你。
九、本周作业:画 1 张企业 IT 治理结构图
读完今天这一篇,老孙给你 1 个本周作业——
用你单位(或你熟悉的某企业)画 1 张 IT 治理结构图,要求:
- 顶部画出"治理层"(董事会 / 治理委员会)
- 中间画出"管理层"(CIO / IT 部门 + 7 大使能因素)
- 底部画出"操作层"(IT 团队 / 业务部门)
- 画箭头标注汇报关系 + 信息流向
画完这张图后,你才算真正"理解"COBIT 2019——纸面看 100 遍不如自己画 1 张。
十、案例分析答题示例:COBIT 2019 在企业治理中的应用
老孙给你一道完整的 IT 治理案例题示例 + 满分答题路径——这是 2024 下半年案例分析里的同类高频题。
案例题原型(仿真)
【题目】 某中型国有企业(年营收 50 亿元,员工 3000 人)近 3 年 IT 项目频繁出现以下问题:
- IT 项目预算每年超出 20-30%,且业务部门对 IT 服务满意度持续下降
- 网络安全事件频发——2023 年发生 2 起数据泄漏 + 1 起勒索软件攻击
- CIO 反映"我每天忙于救火,无暇做战略规划"
- 董事会对 IT 投资回报无法量化评估
请回答以下问题:
问题 1(5 分):从 IT 治理 vs IT 管理的角度,请判断该企业治理层面缺失什么?
问题 2(15 分):作为引入的外部 IT 治理咨询顾问,请用 COBIT 2019 框架提出 5 条改进建议。
完整作答示例
问题 1 作答(5 分)
该企业治理层面缺失 3 个核心要素:
要素 1:缺失 IT 治理委员会——没有跨部门的高层组织监督 IT 战略和投资;
要素 2:缺失 IT 治理与 IT 管理的分离——CIO 同时承担"做战略"和"救火执行"两个角色,违背 COBIT 2019 第 4 大原则;
要素 3:缺失 IT 投资价值评估机制——董事会无法量化 IT 投资回报,无法做出科学的资源分配决策。
问题 2 作答(15 分)
用 COBIT 2019 框架提出 5 条改进建议:
建议 1:建立 IT 治理委员会(对应 COBIT 2019 七大使能因素中"组织结构")
由 CIO + CFO + 主要业务部门负责人 + 审计代表组成。委员会每季度召开 1 次,决议 IT 战略 + 重大投资 + 风险监督。预期效果:IT 投资有顶层把关,超预算问题可减少 60%。
建议 2:明确治理与管理的角色分离(对应 COBIT 2019 第 4 大原则)
治理职责(做不做、做什么)由治理委员会承担;管理职责(怎么做、做多少)由 CIO 承担。CIO 从"全能救火队员"转型为"管理执行官"。预期效果:CIO 释放出战略规划时间。
建议 3:建立 IT 投资价值评估机制(对应 COBIT 2019 EDM02 目标)
引入"价值 + 风险 + 资源"治理三角形模型。每个 IT 项目立项时必须填写"业务价值评估表 + 风险评估表 + 资源需求表"。预期效果:董事会可量化评估 IT 投资回报。
建议 4:完善网络安全治理(对应 COBIT 2019 EDM03 风险优化目标)
治理委员会下设网络安全分委员会,按等保 2.0 + 数安法 + 个保法 要求建立 3 级风险评估机制。预期效果:网络安全事件下降 70%+。
建议 5:定制化推进,非"一刀切"(对应 COBIT 2019 第 5 大原则)
COBIT 2019 全套 40 个目标不必全部上——根据本企业规模和当前痛点,优先落地 EDM 5 个治理目标 + APO 中的 4 个核心目标。预期效果:3-6 个月内即可见到改进。
评分要点:5 条建议覆盖问题清单 + 每条对应 COBIT 2019 具体内容 + 预期效果可量化 = 15 分。
十一、IT 治理体系建设的 3 个常见误区
老孙带过几位"在企业里推动 IT 治理"的同学,发现 3 个常见误区——这些误区不仅影响实际工作,也影响你案例题的答题质量:
误区 1:把"建立 IT 治理委员会"当成"开会通知"
很多企业以为"成立委员会 = 给几个高管挂个名 + 季度开 1 次会"。
实际上:治理委员会必须有:
- 正式章程(治理目标 + 决策范围 + 议事规则)
- 明确决策权(哪些事必须委员会决议)
- 执行支撑(治理决策必须被执行 + 反馈跟踪)
- 绩效评估(治理委员会自身的有效性评估)
光开会 = 形式主义。
误区 2:把 COBIT 2019 当"IT 管理工具"
COBIT 2019 是 IT 治理框架——它关注"董事会层面如何监督 IT",不是给 CIO 做日常管理的工具。
如果你把 COBIT 2019 拿来管 IT 项目进度 / IT 团队 KPI / IT 服务流程——完全用错了。
日常 IT 管理应该用 ITIL 4 或 ITSS 国标——这是另一个框架体系。
误区 3:把 COBIT 2019 全套硬上
COBIT 2019 有 40 个目标 + 7 大使能因素 + 11 个设计因素——全套上一遍要 18 个月 + 大量咨询费用。
老孙的建议:
- 小企业(员工 < 500 人):上 COBIT 2019 的"轻量子集"——5 个治理目标 + 3-5 个关键管理目标
- 中型企业(500-3000 人):上 EDM 全部 5 + APO 全部 14 + 部分 BAI / DSS
- 大型企业(3000+ 人):上完整 40 目标 + 11 设计因素
定制化 = COBIT 2019 第 5 大原则——记住这一条,避免硬上的浪费。
十二、第 11 章备考的"3 周节奏"
按老孙第 004 篇的 22 周节奏,第 11 章的备考时间节点应该是:
| 节点 | 任务 |
|---|---|
| 第 3 周(6/8-6/14) | 教材通读 + COBIT 2019 五原则七要素背熟 |
| 第 4 周(6/15-6/21) | IT 治理 vs IT 管理 易混点整理 + 案例题 3 道完整答 |
| 第 5 周(如有溢出) | 40 个目标分布速记 + 治理委员会职责默写 |
如果你今天读完这一篇还没启动第 3 周的"教材通读",今天就启动——第 11 章是 S 档第二章,也是近 3 年案例题最热门的主题之一。
十三、COBIT 2019 与中国本土治理实践的 5 个对照
COBIT 2019 是国际框架,中国企业落地时需要本土化适配。老孙整理 5 个常见的对照点:
对照 1:治理委员会 vs 党委 / 董事会
国际版 COBIT 2019 强调"治理委员会"——在中国国企 / 央企实际是"党委 + 董事会 + IT 治理委员会"三级架构。
适配:
- 重大 IT 战略先报党委(政治方向把关)
- 然后报董事会(商业决策)
- 最后由 IT 治理委员会执行落地
考试出题:可能会问"在中国国企 IT 治理中,下列哪一项是首要决策机构"——正确答案是党委 / 董事会,不是 IT 治理委员会。
对照 2:COBIT 2019 与国资委监管要求
国资委对中央企业的 IT 治理有专门监管要求(如网络安全 + 关键信息基础设施)。COBIT 2019 落地时必须叠加国资委监管框架——不能直接照搬国际标准。
对照 3:COBIT 2019 与等保 2.0 衔接
COBIT 2019 强调"风险优化(EDM03)"——在中国语境下,风险评估必须按等保 2.0 五级标准进行。
适配:
- COBIT 2019 的风险评估 = 战略层风险识别
- 等保 2.0 = 操作层安全保护标准
- 两者互补不冲突
对照 4:COBIT 2019 与数安法 / 个保法合规
COBIT 2019 强调"合规性"(DSS06 业务过程控制)——在中国,合规性必须叠加《数据安全法》《个人信息保护法》要求。
适配:
- COBIT 2019 给"合规性"框架
- 数安法 + 个保法 给"具体合规条款"
- 两者结合使用
对照 5:COBIT 2019 与 ITSS 国标融合
COBIT 2019 是"治理框架",不涉及具体服务流程。 ITSS 国标(GB/T 28827)是"服务能力国标"——给了具体的人员 / 资源 / 技术 / 过程要求。
适配:
- COBIT 2019 = 顶层"治理什么"
- ITSS = 中层"服务能力如何"
- ITIL 4 = 操作层"服务流程怎么走"
3 个框架的完整组合 = 中国企业 IT 治理 + 服务体系的最优解。
十四、第 11 章在论文里怎么用——3 种典型用法
第 11 章不只是综合知识 / 案例的考点——在 3 类论文方向里都能作为核心或辅助论证。
用法 1:信息系统治理论文(主框架)
整篇论文以 COBIT 2019 作为主框架,按"5 大原则 → 7 大使能因素 → 治理委员会 → 40 个目标分布"的逻辑展开。第 11 章在这类论文里占 80%+ 内容。
用法 2:IT 服务管理论文(辅助框架)
IT 服务管理论文的主框架是 ITIL 4 + ITSS,但在"治理与管理分离"这一点上需要引用 COBIT 2019。
写作要点:
- 在论文开篇说明"IT 服务管理是企业 IT 管理的一部分,而非 IT 治理本身"
- 引用 COBIT 2019 第 4 大原则"治理与管理分离"作为理论依据
- 然后展开 ITIL 4 的服务管理实践
用法 3:数字化转型论文(辅助框架)
数字化转型论文的主框架是"3 视角 5 阶段",但在"组织视角"这一点上需要引用 COBIT 2019 的治理体系。
写作要点:
- 在论证"组织视角"时,提出"成立数字化转型治理委员会"
- 引用 COBIT 2019 的治理委员会职责模型
- 说明委员会如何统筹业务 / 技术 / 组织 3 视角
十五、第 11 章学习的 3 个推荐节奏
针对不同基础的同学,第 11 章学习节奏不同:
节奏 1:IT 行业背景同学(3 周)
- 第 1 周:教材通读 + COBIT 2019 五原则七要素背熟
- 第 2 周:IT 治理 vs IT 管理 易混点 + 案例题 3 道
- 第 3 周:40 个目标分布 + 治理委员会职责
- 学习总时长:约 30-40 小时
节奏 2:非 IT 但有管理背景同学(4 周)
- 第 1 周:通读 + 概念建立(COBIT 是什么 + 治理与管理区别)
- 第 2 周:五原则七要素背熟 + 真题 20 道
- 第 3 周:治理委员会 + 40 个目标分布
- 第 4 周:案例题 5 道 + 错题整理
- 学习总时长:约 40-50 小时
节奏 3:完全跨行业同学(5-6 周)
- 第 1-2 周:通读 + 基础概念 + 词汇积累(很多 IT 治理术语需要查阅)
- 第 3 周:五原则七要素
- 第 4 周:治理委员会 + 40 个目标分布
- 第 5 周:综合知识真题专题
- 第 6 周(如有):案例题 + 错题整理
- 学习总时长:约 50-60 小时
老孙的话:第 11 章对非 IT 同学最大的难点不是知识本身,是术语陌生感——比如"治理 vs 管理"在日常工作里几乎不分,但 COBIT 严格区分。多读 2-3 遍 + 配合真题,陌生感会迅速消除。
十六、最后给同学的一句话总结
第 11 章信息系统治理是 S 档第二章,也是案例题最容易出大题的章节。COBIT 2019 的 5 原则 7 要素 40 目标分布——背熟 = 综合 + 案例 + 论文 3 科都能赚到分。关键是"治理与管理分离"这个最高频判断题——务必反复练习对照例题,吃透"做不做 / 做什么 vs 怎么做 / 做多少"这个核心区别。
十七、本周建议的 3 项第 11 章核心训练
读完今天这一篇 + 教材第 11 章首遍精读后,本周还可以加做 3 项核心训练:
训练 1:把 COBIT 2019 五原则 + 七要素 + 40 目标分布做成一张 A4 速记卡——每个原则 / 要素 / 目标域写 1 句话核心说明。考前 1 周翻这张卡 = 第 11 章核心 20 分钟过完。
训练 2:找 5 道近 3 年第 11 章相关综合知识真题——闭卷做完,对照答案。准确率 ≥ 80% = 进入下一章;准确率 < 80% = 重读教材。
训练 3:用本文第十节的"案例题原型"试着自己作答 1 遍——不看老孙的示范,自己写完整答案。然后对照检查"你的答案 vs 老孙示范"差在哪里——这个差距就是你的提升空间。
3 项训练全部完成 = 你的第 11 章不仅"看懂了",而且"能答题了"——这是本质区别。
十八、明日预告
明天 6/7(周日)第 014 篇,老孙会写:
《论文素材白送(二):IT 服务管理 ITSS 落地段 200 字》
栏目⑥论文站第 2 期。继上周政企信息系统规划方向后,本周给你IT 服务管理方向的 200 字可移植项目背景模板。这是系规论文最高频的方向(近 8 年出 3 次)——今天写的素材 9 月备稿时直接可用。
明天见。
相关阅读
- 系规备考 2026-10-24 完全指南
- 系规 ITSS 四要素全解
- 高项 vs 系规怎么选
- 系规一对一辅导(论文不限次精修)
- 系规论文专班 ¥3999(6/30 前早鸟价)
- 软考论文常见问题(15 问)
老孙的免费连载到 10/24 系规考试共 152 篇,每天一篇。看完想跟老孙聊聊备考路径,加我微信告诉你的报考状态,老孙给你一份匹配你时间的建议。
