三十载深耕。三十年来，COBIT致力于帮助各大组织跳出固有思维，不再将技术视为一个无从拆解的神秘黑箱，而是将其视作具备战略价值的核心资产加以治理。今年，COBIT迎来了它的三十岁生日。只要你在这个行业深耕过，无论你是否意识到，这个框架几乎肯定已经塑造了你的思维方式。

我接触COBIT的年头很早，那时候行业里谈及“治理”，不过是束之高阁的纸质文件，说起“业务协同”，也仅仅是IT部门每年被获准参加一次预算会议而已。因此，为了庆祝三十周年这一里程碑，我总结了COBIT带给我们的三十条技术治理真知。即便周遭行业环境早已翻天覆地，这些经验至今依旧十分受用。

01 治理和管理是两码事。

前者设定方向，后者落地执行。混淆两者，就会导致董事会审批迭代任务清单、而CIO去设定风险偏好的乱象。

02 技术本身不创造价值，真正产生价值的是围绕技术做出的决策。

搭建平台算不上成功，如何用好平台才是关键。

03 每个框架都需要“裁剪”步骤。

开箱即用的COBIT 是自助餐，而非定食。真正的管理功力在于把适配自身需求的内容放进盘子里。

04 不能量化，就无法治理。

如果你的指标只度量工作活动而非最终结果，那你的治理方向从根源上就是错误的。

05 风险和价值是一枚硬币的两面。

脱离一方就无法管理另一方。企业如果刻意忽略这层关联，最后落得安全防护滴水不漏，但产出的产品毫无市场价值。

06 利益相关者各有需求，且这些需求会逐层传导。

从企业整体目标到业务协同目标，再到治理与管理目标，这套逐层拆解逻辑绝非冗余流程，而是防止战略在层层传递彻底走样。

07 RACI矩阵不能等同于问责制，而是澄清问责的工具。

如果你的RACI表中某项决策有8个人被标记为“A（负责人）”，这不是权责清晰，而是成立了一个推诿扯皮的委员会。

08 流程能力是一场持续的旅程，而非终点。

5级并非所有流程的目标。真正的目标是匹配业务价值风险的适宜等级。

09 企业文化足以轻易冲垮制度流程。

我曾目睹耗资百万重新设计的整套流程，只因一位高管拒绝遵守而全盘搁置。COBIT 框架之所以包含行为和文化相关模块，正是因为软性因素往往才是硬核难题。

10 信息是一项资产，请像对待资产一样对待它。

这意味着要管理信息全生命周期、明确权属、划分密级、落实责任，而不仅仅是找个地方存储。

11 人是治理体系的核心组成，而非单纯的资源。

资源会被消耗，而员工需要持续培养发展。

12 服务、基础设施和应用程序是相互依赖的。

在孤岛中治理它们，你只会得到孤岛式的结果。

13 原则、制度和框架三者不能混为一谈。

原则是永恒的，制度随场景灵活调整，框架是结构化的。将它们混为一谈，最终只会得到一份400页长却无人问津的制度文件。

14 董事会不需要看密密麻麻的管控清单。

他们关心的是业务成效、潜在风险与取舍方案，把控制ID留给审计师吧。

15 审计不等于治理。

审计是验证治理是否有效。这两者经常被混淆，这对两个专业领域都造成了损害。

16 合规是底线，而非天花板。

如果一套治理体系的目标仅仅是“通过审计”， 那这套体系从一开始就已经失败了。

17 业务与战略协同不是一套幻灯片就能搞定的。

它是一项长期持续的工作，确保技术决策和企业整体决策朝着同一目标发力。一旦停下这项工作，业务与技术的方向很快就会出现偏差。

18 业务部门要的不是IT主动靠拢配合，而是实实在在的业务成果。

停止试图在会议桌上谋求一席之地，不如主动把价值这道菜端上桌。

19 框架本身不会出错，落地执行才容易出问题。

当有人告诉你“我们试过 COBIT 但没用”时，他们通常的意思是“我们复制了模板，却跳过了思考”。

20 治理体系可以向下兼容。

它不只是财富500强公司的专利。50人的组织同样需要治理，只是落地形式不同。

21 企业自身条件决定治理方案。

两个不同的组织即便面临同样的问题，解决方案也几乎不可能完全相同。行业、威胁环境、风险偏好和企业战略都会改变最终的治理方案。

22 责任无法外包。

你可以外包执行，可以外包运营，但一旦决策出现失误，由此产生的后果终究只能由企业自身承担。

23 三道防线不是地盘争夺战。

它们是一个制衡机制，帮助企业客观审视自身运营状况。

24 持续改进需要持续的反馈。

年度复盘算不上持续机制，它只是一项年度工作。

25 技术迭代的速度永远快于治理规则的更新。

我们的目标不是死死追赶，而是构建足够敏捷、能够适应变化而不崩溃的治理体系。

26 数字信任不是一个附加功能，而是治理的必然结果。

当治理、安全、隐私、质量和道德协同运转时，就会产生数字信任。它无法事后强行增补，必须从规划阶段就纳入建设目标。

27 AI并没有催生新的治理问题，它只是让老问题变得无法再被忽视。

责任界定、信息透明、算法偏见监督，这些议题早在生成式 AI 出现前就已经摆在行业面前，只是今天的环境要求我们必须正视这些问题。

28 脱离道德谈治理只会成为合规作秀。

做允许做的事并不等同与做正确的事。框架指明了方向，但判断在于人。

29 框架是地图，而非疆域。

COBIT不会告诉你该做什么，它会告诉你该思考什么，这二者有着本质的区别。

30 最好的治理是润物无声。

当体系运转顺畅时，没有人感受到它的存在。一旦治理机制失效，所有人都会察觉。这就是标准。

走过三十年，COBIT已经成为企业统筹数字化价值创造和风险守护的核心管理思路。各项落地目标会持续迭代，但其核心准则——目标清晰、问责明确、科学度量和持续改进——始终不变。

祝COBIT三十周年生日快乐。下一个三十年，精彩可期！

特约作者：Mark Thomas, CGEIT, CRISC, CDPSE, AAIR, COBIT Assessor | Escoute LLC 总裁 | ISACA 名人堂成员