IT治理的模型与分析【摘要】随着信息技术的快速发展,组织对IT的投资迅速增加,IT治理成为企业界和研究者所共同关注的问题。本文对IT治理的主要工具进行了回顾,并从领域目标,作用和治理领域四个领域分析ITIL,ISO/IEC17799/27002,PRINCE2,COBIT和CISR模型,以期对IT治理工具有更全面的认识,提高组织IT治理水平。【关键词】IT治理治理模型模型比较治理现状【Abstract】Withthespeedydevelopmentofinformationtechnology,theITinvestmenthasarapidincreaseintheorganization.Enterpriseandresearcherpaymoreattentiononthe1Tgovernance.ThispaperreviewstheITgovernancetoolsfirstly,andhasacomparativeanalysisofITIL,ISO/IEC17799/2700,PRINCE2,COBITandCISRfromthefield,thefocus,theeffectandgovernanceelementsthefouritems.ItwillhelporganizationhasaoverallunderstandtoITgovernanceandimprovetheITgovernanceleve1.【Keywords】ITgovernance,Governancemodel,Modelcompare,Conditionofgovernance一、引言(一)IT治理的产生和发展IT治理是信息系统审计和控制领域中的一个新兴的名词,用于描述企业或政府是否采用有效的机制,使得IT的应用能够完成组织赋予它的使命,平衡信息技术与过程的风险、确保实现组织的战略目标。IT治理是一个全面的术语,包含信息系统、技术通信、业务法律与其他问题;涉及所有股东、董事会、高级管理层、管理执行层、过程所有者、IT供应商、用户、审计师等利益相关者,治理的目的是保证IT与企业目标的一致性。许多国家已经开始研究IT治理理论,并开发了IT治理的实践模型。(二)IT治理的定义IT治理定义,目前还没有统一的答案。许多研究学者和机构从不同的视角给出了IT治理的定义,其中有代表性的有如下几个:国际贸易和行业部门1999年给出定义:组织对IT发展的控制、战略实施、引领IT向适合的方向发展,以帮助组织获得竞争优势的能力。2001年IT治理协会也给出定义:IT治理主要是董事会和执行层的责任,是企业治理的重要组成部分,通过领导、组织和过程来保证IT实现和推动企业战略目标的发展。PeterWeill则认为IT治理是在IT应用过程中,为鼓励期望行为而明确的IT决策权和责任框架。以上定义表述虽有不同,但核心内容是一致的。他们都强调IT与业务的融合,以达到帮助组织实现战略目标,获取竞争优势的目的。IT治理协会更是明确地说明它是公司治理的重要组织部分。(三)IT治理的重要性及与公司治理的关系IT治理在企业中起到非常重要的作用,企业根据利益相关者的期望,在IT的帮助下衍生出新的经营模式,企业在竞争中谋求生存、发展和壮大,只能借助于对IT框架结构进行合理的治理。IT治理责任属于董事会对公司治理责任框架的一部分,应该成为董事会战略议程的事项。简言之,在高度依赖IT系统的情况下,治理应该是有效的、透明的和履行受托责任的。公司治理侧重于企业整体规划,IT治理则侧重于企业信息资源的有效利用和管理。IT治理有助于董事会和管理者们理解IT的战略重要性和相关的IT问题,帮助企业实施面向未来的战略并实现持续经营,同时,它亦能确保对IT的期望得以实现,而且解决风险问题。鉴于IT治理的复杂性和专业性,董事会和执行经理必须为此指明方向,坚持进行控制,但同时又依赖于企业的基层管理人员提供决策和评估信息。要使IT治理有效,基层管理人员需要运用同样的IT治理原则来确定目标,提供或取得相应的指导,提供绩效标准并进行评价等。很显然,只有将IT治理目标在战略层和其他层面分解时它才可能取得成效。(四)IT治理的关键领域与内容成功的企业能够理解IT风险,发掘并利用IT的优势,如始终保持IT战略与企业战略协同一致;把IT战略分解到企业的各个层面,为企业提供便于实施战略、实现目标的组织结构;在企业与IT之间,企业与外部合伙人之间建立建设性的关系并进行有效沟通;坚持采纳并实施IT控制框架;衡量IT绩效等。从根本上说,IT治理关注两个方面:IT的价值传递和IT风险的规避。IT的价值传递主要取决于IT的目标与企业目标是否在战略上保持协同一致。IT风险的规避则需要将受托责任分解于企业各个层面。这两个方面的实现都有赖于充分的资源保障。IT治理应该体现“以组织战略目标为中心”的思想,通过合理配置IT资源创造价值。IT治理包括五个关键领域,即价值传递、风险管理、战略协同、资源管理和绩效评估,他们都受利益相关者价值的驱动。其中,价值传递和风险管理是结果,战略协同、资源管理和绩效评估是过程。IT治理是可以看做是一个连续的循环,可以从任何一个点切入。IT治理可以确保IT目标的实现,IT风险的规避,支持企业可持续发展。为了确保IT治理在正确的轨道上运行和发展,公司有必要根据环境和需求制定有效的行动计划。IT治理就是为鼓励IT应用的期望行为,和明确的决策权归属和责任担当框架,是行为而不是战略创造价值,因此,任何战略的实施都要落实到具体的行为上。二、IT治理的模型(一)ITIL模型ITIL的全称是信息技术基础架构库(ITInfrastructureLibrary),是由位于英国Norwich的政府商务部在20世纪80年代中期,为提高英国政府部门服务质量而开发的针对IT行业的服务管理标准库,属于全球范围内IT服务管理领域较为成熟的时间框架之一。ITIL提供各种IT服务管理的最佳实践信息,包括可以根据各机构的具体情况定制的详细的流程,活动要求、步骤、规则和职责。这些实践包含一系列流程,涉及任何IT部门都必须提供的各种主要活动。这些流程可以分为两大类:服务支持和服务交付。其中服务支持是满足客户需求的日常运作基础服务,ITIL规范定义了服务支持的五个主要流程和一个服务台工具,包括突发事件管理、问题管理、变更管理、配置管理、版本管理和服务台功能。服务交付是帮助IT机构提供必要业务服务,包括服务水平管理、可用性管理、IT服务的财务管理、容量管理、IT服务连续性管理等五个能够相互转换的流程,它们都与优质IT服务的计划和交付密切相关。(二)ISO/IEC17799/27002模型ISO/IEC17799/27002的前身是BS77991,其是由DTI(英国贸工部)立项,由政府、业界和商业机构共同倡导的,可供开发、实施和测量有效安全管理的惯例,它是贸易伙伴之间信任的通用框架。国家标准化组织在2000年对BS77991进行了认证,颁布了ISO/IEC17799,2002年英国标准协会正式引入PDCA过程模型(PDCA:Plan—Do—Check—Act);BS77991对安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;该标准为开发组织的安全标准和有效的安全管理做法提供公共基础,并为组织之间的交往提供信任。BS77992详细说明了建立、实施和维护信息安全管理体系的要求,可用来指导相关人员去应用ISO/IEC17799,其最终目的在于建立适合企业需要的信息安全管理体系。该模型为信息系统的安全控制提供了实用指南。(三)PRINCE2模型PRINCE是ProjectINControlledEnvironment(受控环境下的项目管理)的简称。PRINCE2由英国政府商务部(OGC)所有,于1996年开始推广。PRINCE2描述了如何以一种逻辑性的、有组织的方法,按照明确的步骤对项目进行管理。它不是一种工具也不是一种技巧,而是结构化的项目管理流程。这也是为什么它容易被调整和升级,适用于所有类型的项目和情况,当然也适用IT项目的管理。PRINCE2使用一系列的8个过程来描述一个项目在何时发生了什么。这些过程涵盖了从项目开始到项目结束的所有活动,包括项目启动、项目准备、项目指导、项目阶段控制、产品交付管理、阶段边界管理、项目收尾、项目计划八个过程,可以根据个人的需要对其进行缩减和调整。每个过程鼓励对项目责任正式的确认,强调项目交付什么、为何交付、交付时间、为谁交付。此外,该方法还包括8个部件和3个技巧。8个部件是:商业论证、组织、计划、控制、风险管理、项目环境下的质量管理、配置管理、变更管理。3种技巧是:基于产品的规划、质量检查技巧、变更控制技巧。(四)COBIT模型COBIT(信息及相关技术的控制目标)由美国信息系统审计与控制协会(ISACA)出版,最早在1996年发布,现已发布了第四版,目前已成为国际上公认的最先进、最权威的信息技术管理、控制和审计的标准。COBIT将IT过程、IT资源及信息与企业的策略与目标联系起来,形成了一个三维的体系结构,从而将IT治理的目标与企业的战略目标联系统一起来,核心思想可以概括为:为了实现企业目标,企业需要投资到可以控制的IT资源中去,在IT过程中合理利用IT资源,以交付企业所需要的信息。该模型采用信息系统生命周期的思想,将信息技术流程共分为三个层次,即为四个域、34个处理过程及210个任务活动。其中四个域的内涵为:计划和组织域、获取和实施域、交付和支持域和监控和评价域。(五)CISR模型斯隆管理学院信息系统研究中心的PeterWeill教授和他的研究团队调查了全世界的诸多大型组织,建立了分析治理的实践框架,我们称之为CISR模型。PeterWeill教授发现一般企业采用的是被广为接受的执行标准,即由董事会和高管层牢牢控制决策权。随后对个国家的个企业进行了相关研究,发现五个关键领域,在这五个关键领域谁做决策和如何决策是区别治理优秀企业和一般企业的标志,是治理的关键领域。对应于每个关键领域有不同的决策方式,可分为六类企业君主式决策,高级管理层拥有决策权部门君主式决策,信息技术部门、专家拥有决策权事业部领地式决策,每个事业部拥有独立的决策权。在确定了应做出哪些决策、谁来做的问题后,就要解决如何做出决策和实施监督的问题:即设计和实施治理机制。该研究认为,机制应能够促成所希望行为的产生。希望的行为是组织信仰和文化的具体化,在每一个组织中都是不同的,明确的所希望行为的产生是有效治理的关键。他们强调是行为而不是战略创造价值。三IT治理主要模型之间的比较(一)应用领域不同ITIL关注的主要是IT服务管理,该模型认为服务战略是基础,交付IT服务对企业具有战略意义,也是IT组织的战略目标;ISO/IEC17799/27002适用于企业的信息安全管理,基础是计划—执行—检查—采取行动(PDCA)循环,通过该循环为信息安全管理体系周而复始的创建、发展、运营和维护提供了一个框架;PRINCE2主要用于项目管理,通过过程和部件的组合,为项目管理提供了一种规范的方法;COBIT用于管理IT业务流程,通过对关键IT过程进行有效监控,实现对业务流程中资源的有效利用,从而改善管理效率和服务质量。CISR模型是基于治理如下的概念而设计的治理是对信息技术投人和使用的权力划分和责任分配,并形成组织所希望的行为。(二)重点不同ITIL的重点是过程管理,该模型的最新版V3采用服务生命周期的思想组织主题,核心的出版物包括:服务战略、服务设计、服务过渡、服务运营、持续服务改进,一系列的出版物涵盖了服务生命周期的所有基础方面;ISO/IEC17799/27002侧重于安全控制,该标准提供了信息安全的基线,每一安全控制大类覆盖了不同的主题和区域,利用该准则人们可以识别与特定企业或特定责任领域相适应的安全控制问题;PRINCE2强调项目的可控性,它确定了项目启动所需的信息,指定了项目必需的决策者,并在高层管理人员之间建立起了联系,明确了项目管理中