主讲:老孙
适用:2026年下半年系统规划与管理师考试
预计阅读时间:50分钟
一、从阶段二到阶段三:从"建"到"管"
阶段二我们一起讲完了 16 讲——ISP、TOGAF、云、网络、数据、安全、云原生。阶段二的关键词是"建设":怎么把企业 IT 体系搭起来。
今天我们正式进入 阶段三:治理与服务。阶段三的关键词是"治理":怎么把已经搭好的体系管理好、运营好、持续优化。
这两个阶段的关系,就像"盖房子"和"经营物业"——前者决定房子是否盖得起来,后者决定房子能不能住得舒服。两者缺一不可。
1.1 阶段三的全景
阶段三共 14 讲(第 25-38 讲),覆盖 6 大治理与服务领域:
- 第 25-27 讲(COBIT 三讲):IT 治理框架
- 第 28-30 讲(ITIL 三讲):IT 服务管理
- 第 31 讲:ITSS 中国版国标
- 第 32 讲:人力资源管理
- 第 33 讲:流程管理与优化
- 第 34 讲:技术管理与架构演进
- 第 35 讲:资源管理与预算
- 第 36-37 讲:项目组合管理
- 第 38 讲:阶段三总结
阶段三是规划师"软实力"的集中训练——比阶段二更难学,但更值钱。
1.2 上一讲思考题点评
阶段二最后一讲我让大家做"阶段二全面复盘 + 30 个核心框架默写"。
我收到一份特别用心的反馈,来自一位三线城市移动公司 IT 总监:
"用您的 30 个核心框架默写一遍后,我才真正意识到——我之前学的都是碎片,今天才连成线。这种'连点成线'的感觉,比任何认证都珍贵。"
这就是阶段二的真正价值——它让规划师的工程知识"成为系统"。
二、本讲导读
2.1 学习目标
学完这一讲,你应该能够:
- 【是什么】 准确说出 IT 治理的定义、价值、与 IT 管理的差异;说出 COBIT 框架的诞生历史、主导组织、版本演进;理解 COBIT 在企业 IT 治理体系中的核心地位。
- 【为什么】 理解为什么"治理"比"管理"重要——IT 治理决定企业 IT 的"宪法";理解 COBIT 为什么成为全球公认的 IT 治理事实标准。
- 【怎么用】 能用 COBIT 的核心理念给你的组织做"IT 治理成熟度"快速诊断;能区分"治理活动"与"管理活动"的边界。
2.2 本讲在课程地图中的位置
本讲对标教材 第 11 章"IT 治理" 的开篇部分。
第 11 章在系规考试中的分值:
- 选择题:约 5-8 分
- 案例分析:约 10-15 分
- 论文:核心主题之一(论企业 IT 治理实践)
COBIT 三讲(25-27)的学习节奏:
- 第 25 讲(本讲):建立"治理认知"——理解 IT 治理的本质
- 第 26 讲:掌握"治理方法"——五大原则 + 七大赋能器
- 第 27 讲:学会"治理评估"——成熟度模型与绩效衡量
2.3 一句话理解 IT 治理
IT 治理 = 给企业 IT 装上一个"市政府"——它不直接修路盖楼,但它决定"修什么路、盖什么楼、谁来修、用什么钱、出问题谁负责"。
【虚构案例提示】 本讲及后续80讲中所有"智慧邻里2.0项目""清华园物业""北京知知致用信息技术有限公司"等案例素材,均为培训教学所用的虚拟项目与虚构人物(详见第01讲首次案例声明)。如出现项目名、社区名、公司名或人名雷同,纯属巧合,如有侵权,请联系老孙删除处理。
三、IT 治理:一个被严重低估的概念
3.1 教材给 IT 治理的定义
教材原文:
IT 治理是组织治理的有机组成部分,是关于 IT 投资、决策、风险、绩效的管理体系。其核心是确保 IT 投资带来预期的业务价值,并将 IT 风险控制在可接受范围内。
读完这段话,很多学员会问:"治理和管理到底有什么差别?"
这是一个看似简单、实际却分量极重的问题。
3.2 治理 vs 管理:一字之差,天壤之别
我用一个生活化的类比给你讲清楚:
管理:CEO 召开月度经营会议,部署下周工作,检查上周完成情况。
治理:董事会一年开 4 次会,决定"公司未来 3-5 年要不要进入新行业、投资多少、谁负责、出问题谁担责"。
简单说:
- 管理是"做事情" ——关注效率
- 治理是"定方向 + 定规则 + 定责任" ——关注效果
在 IT 领域,二者的具体差异:
| 维度 | IT 治理 | IT 管理 |
|---|---|---|
| 决策层级 | 董事会、CEO、CIO | 业务经理、项目经理 |
| 时间范围 | 3-5 年 | 月/季度 |
| 关注问题 | 做什么、谁来做、出问题谁负责 | 怎么做、做得快不快、好不好 |
| 输出物 | 战略、政策、决策框架 | 项目、产品、服务 |
| 衡量指标 | 价值实现、风险控制、合规达标 | KPI、SLA、按期交付 |
| 典型场景 | 决定上不上数据中台、选哪家云厂商 | 把数据中台跑顺、把云用起来 |
学员理解这个差异,是规划师"觉醒"的第一步。
3.3 为什么 IT 治理"严重缺位"是国内企业的通病
我做了 8 年咨询,看到的中国企业有一个普遍现象:
80% 的中型以上企业,IT 管理做得风生水起,但 IT 治理几乎为零。
具体表现:
- 有 IT 部门,没有 IT 治理委员会
- 有项目经理,没有 CIO/CDO
- 有月度 KPI,没有 IT 战略
- 有运维报告,没有治理报告
- 有"做事"的人,没有"定规矩"的人
这就是为什么国内大量 IT 项目失败的根本原因——没有治理,再好的管理也是无源之水。
3.4 IT 治理失败的"典型症状"
如果你公司有以下任意 3 项症状,说明 IT 治理已经失败:
症状 1:IT 投资屡屡超支但说不清"为什么超"
症状 2:业务部门和 IT 部门"互相吐槽"
症状 3:核心 IT 系统重复建设、互相打架
症状 4:CEO 看不懂 IT 部门的汇报
症状 5:每次 IT 决策都要 CEO 亲自拍板
症状 6:IT 项目验收后没人持续负责
症状 7:合规审计被点名屡屡发生
症状 8:IT 风险事件频发但无人主责
症状 9:IT 战略和业务战略对不上
症状 10:每年 IT 预算都是"拍脑袋"
这 10 大症状,就是 IT 治理失败的"病历本"。规划师的核心工作之一,就是治理这些"症状"。
四、COBIT:全球公认的 IT 治理框架
4.1 COBIT 的诞生与演进
COBIT 全称 Control Objectives for Information and Related Technologies(信息及相关技术的控制目标)。
它由 ISACA(国际信息系统审计与控制协会)于 1996 年首次发布,至今已经历四次重大迭代:
- COBIT 1(1996):聚焦审计与控制
- COBIT 4.1(2007):扩展到 IT 治理
- COBIT 5(2012):整合企业治理
- COBIT 2019(2019):当前最新版本,强调"灵活定制"
COBIT 2019 是 2024 年起系规考试的标准版本——必须以这一版为准。
4.2 COBIT 的四大核心定位
定位一:全球性事实标准
COBIT 被全球 80%+ 的财富 500 强采用,是 IT 治理领域的"通用语言"。
定位二:业务驱动
COBIT 强调"IT 服务于业务"——任何 IT 决策都要回答"对业务价值是什么"。
定位三:端到端
COBIT 覆盖 IT 全生命周期——从战略制定到日常运营,再到持续优化。
定位四:灵活可裁剪
COBIT 2019 引入"设计因素"概念,组织可根据自身情况裁剪治理体系。
4.3 COBIT 的核心组成
COBIT 2019 包含 5 个核心组件:
组件 1:核心模型
包含 40 个治理与管理目标,分为:
- 5 个治理目标(EDM 域)
- 35 个管理目标(APO/BAI/DSS/MEA 四个域)
组件 2:设计指南
帮助组织根据 11 个"设计因素"定制治理体系。
组件 3:实施指南
指导组织从现状走向目标治理体系的具体路径。
组件 4:成熟度模型
5 级成熟度评估每个治理目标。
组件 5:性能管理
衡量治理目标的执行效果。
这 5 个组件 = COBIT 完整体系。
4.4 COBIT 的"四大业务域"
COBIT 把 IT 活动划分为 4 大域 + 40 个目标: