本文關(guān)鍵字 IT治理 標(biāo)準(zhǔn)

上期內(nèi)容回顧(構(gòu)建全面的IT治理體系(一) ):IT治理定義，為什么要作IT治理，IT治理可以解決哪些問(wèn)題?IT治理的目標(biāo)和領(lǐng)域。

IT治理的核心思想

為了達(dá)到IT治理的三大目標(biāo)，IT治理需要處理哪些問(wèn)題，IT治理的核心思想是什么?IT治理的核心思想，就是有效的IT治理必須解決的三個(gè)問(wèn)題:

1. 為了保證有效地管理和使用IT，應(yīng)當(dāng)做出怎樣的決策?

2. 由誰(shuí)做出這樣的決策?

3. 如何做出這些決策以及如何監(jiān)控這些決策?

對(duì)于這三個(gè)問(wèn)題我們一一做出探討。

IT治理要做出哪些決策

我們給出IT治理的5大決策方向(見(jiàn)下圖):

圖1 IT治理的5大決策方向

這五個(gè)決策是彼此相關(guān)的，有效的治理必須關(guān)注它們之間的關(guān)聯(lián)性。舉例來(lái)說(shuō)，IT原則驅(qū)動(dòng)著整體架構(gòu)的形成，而整體架構(gòu)又決定了基礎(chǔ)設(shè)施。這種基礎(chǔ)設(shè)施所確定的能力又決定著基于業(yè)務(wù)需求(通常由業(yè)務(wù)流程的管理者確定)的應(yīng)用的構(gòu)建。最后，IT投資必須為IT原則、整體架構(gòu)、基礎(chǔ)設(shè)施和應(yīng)用需求所驅(qū)動(dòng)。IT治理需要確定每一個(gè)決策該由誰(shuí)來(lái)負(fù)責(zé)輸入，以及由誰(shuí)來(lái)負(fù)責(zé)做出決策。

由誰(shuí)做出這樣的決策

可以通過(guò)治理設(shè)計(jì)框架來(lái)解決(見(jiàn)下圖):

在此我們給出的是IT治理設(shè)計(jì)框架最基本的架構(gòu)，可以在任何一個(gè)企業(yè)進(jìn)行實(shí)施。這個(gè)架構(gòu)勾畫(huà)出了企業(yè)的戰(zhàn)略和組織、IT治理安排以及業(yè)務(wù)實(shí)施目標(biāo)的協(xié)調(diào)一致性(水平箭頭)。戰(zhàn)略和組織、IT治理安排以及業(yè)務(wù)實(shí)施目標(biāo)這三者分別通過(guò)IT組織和期望行為、治理機(jī)制、以及度量指標(biāo)得以確定。這個(gè)框架也同時(shí)闡明了IT治理與其他關(guān)鍵資產(chǎn)治理保持協(xié)調(diào)一致的重要性。

圖2 IT治理設(shè)計(jì)框架

如何監(jiān)控和評(píng)估這些決策

可以通過(guò)關(guān)鍵成功因素、成熟度模型、關(guān)鍵目標(biāo)指標(biāo)、關(guān)鍵績(jī)效指標(biāo)四個(gè)方面的有機(jī)作用，確保決策及IT治理的成功。

關(guān)鍵成功因素

關(guān)鍵成功因素為管理部門(mén)控制信息技術(shù)及其處理過(guò)程提供了實(shí)施指南。它們是信息技術(shù)處理過(guò)程中的最關(guān)鍵的要素，是戰(zhàn)略性的、技術(shù)性的過(guò)程或活動(dòng)，勾畫(huà)出了IT的控制輪廓。

關(guān)鍵成功因素是為提高處理過(guò)程的成功可能性所做的最重要的事，通常與組織的目標(biāo)保持一致，是組織和處理過(guò)程的可觀(guān)察可測(cè)量的特征，分布于企業(yè)的戰(zhàn)略層、戰(zhàn)術(shù)層、應(yīng)用層及組織的各個(gè)方面，可以通過(guò)目標(biāo)分解與識(shí)別的方法選擇關(guān)鍵成功因素。

關(guān)鍵目標(biāo)指標(biāo)

關(guān)鍵目標(biāo)指標(biāo)是指通過(guò)創(chuàng)建和維護(hù)一套處理和控制適當(dāng)業(yè)務(wù)績(jī)效的系統(tǒng)，來(lái)指導(dǎo)并監(jiān)督IT傳遞的商業(yè)價(jià)值。

關(guān)鍵目標(biāo)指標(biāo)是處理目標(biāo)的一種表達(dá)，明確要取得什么目標(biāo)，并描繪處理的結(jié)果，進(jìn)行事后評(píng)判，直接體現(xiàn)處理過(guò)程的完成成功與否，間接體現(xiàn)處理帶給經(jīng)營(yíng)活動(dòng)的價(jià)值。

關(guān)鍵績(jī)效指標(biāo)

關(guān)鍵績(jī)效指標(biāo)對(duì)關(guān)鍵成功因素進(jìn)行評(píng)價(jià)，通過(guò)監(jiān)測(cè)某IT處理過(guò)程的執(zhí)行情況，告訴管理層該處理是否滿(mǎn)足其經(jīng)營(yíng)需求。關(guān)鍵績(jī)效指標(biāo)是IT處理過(guò)程的性能指標(biāo)，表現(xiàn)為IT的實(shí)際業(yè)績(jī)。通過(guò)有效性、保密性、完整性、可用性、一致性、可靠性等指標(biāo)來(lái)測(cè)定IT的績(jī)效。下表列出對(duì)企業(yè)具有普遍性意義的關(guān)鍵績(jī)效指標(biāo)。

成熟度模型

IT成熟度模型制定了一個(gè)基準(zhǔn)，組織可能根據(jù)上面的指標(biāo)確定自己的等級(jí)，從而了解自身目前的境界。

對(duì)于監(jiān)控和評(píng)估決策，在COBIT體系中，有著較為清晰明確的最佳實(shí)踐。

1. 構(gòu)建全面的IT治理體系

1.1. IT治理體系、模型介紹

IT治理領(lǐng)域存在一些先進(jìn)的最佳實(shí)踐與國(guó)際標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)反映了大量企業(yè)的經(jīng)驗(yàn)結(jié)晶，并有專(zhuān)業(yè)監(jiān)管實(shí)體維護(hù)。采用標(biāo)準(zhǔn)的IT治理架構(gòu)可以給企業(yè)帶來(lái)諸多收益。如美國(guó)堪薩斯州把COBIT標(biāo)準(zhǔn)作為虛擬政府策略的一部分，結(jié)果降低了運(yùn)營(yíng)成本，并為它的客戶(hù)和委托人提供了很高質(zhì)量的服務(wù)。ProctorGamble在采用ITIL標(biāo)準(zhǔn)的四年里，節(jié)省超過(guò)5億美金的預(yù)算。同時(shí)ProcterGamble內(nèi)部財(cái)務(wù)和IT部門(mén)的調(diào)查顯示，其運(yùn)作費(fèi)用降低6%～8%，而技術(shù)人員的人數(shù)減少15%～20%。ISO/IEC17799是成為國(guó)際標(biāo)準(zhǔn)最快的一個(gè)標(biāo)準(zhǔn)，ISO/IEC17799的前身BS7799是賣(mài)出拷貝最多的管理標(biāo)準(zhǔn)，目前已有二十多個(gè)國(guó)家引用BS7799-2作為國(guó)標(biāo)，各大信息安全公司也都以BS7799為指導(dǎo)向客戶(hù)提供信息安全咨詢(xún)服務(wù)。下面我們就幾個(gè)通用的IT治理體系架構(gòu)和標(biāo)準(zhǔn)進(jìn)行介紹:

(1)COBIT

The Control Objectives for Information and related Technology (COBIT)，最新標(biāo)準(zhǔn)是4.1版。由Information Systems Audit and Control Association (ISACA)出版，最早在1996年發(fā)布。COBIT架構(gòu)由34個(gè)高層控制目標(biāo)和318個(gè)細(xì)節(jié)控制目標(biāo)組成，通過(guò)定義這些目標(biāo)，可以幫助維護(hù)企業(yè)業(yè)務(wù)對(duì)IT的有效控制。該標(biāo)準(zhǔn)比較完善，所有的COBIT文檔集合可以在線(xiàn)獲得，包括executive summary、架構(gòu)、控制目標(biāo)、審計(jì)指引、管理指引和實(shí)現(xiàn)指引。

(2)ISO 17799

International Organization for Standardization國(guó)際標(biāo)準(zhǔn)組織的ISO-17799，目前最新的版本是ISO-27001，全稱(chēng)為“信息技術(shù)——信息安全管理實(shí)踐代碼”，該標(biāo)準(zhǔn)首先于2000年12月由ISO發(fā)布。該標(biāo)準(zhǔn)基于英國(guó)標(biāo)準(zhǔn)7799，英國(guó)標(biāo)準(zhǔn)曾有很多版本，開(kāi)始于1995年。ISO 17799的目的是關(guān)注于安全，并且輔助企業(yè)創(chuàng)造有效的IT安全計(jì)劃。該標(biāo)準(zhǔn)有以下的高層次內(nèi)容:安全政策、組織安全、資產(chǎn)分散和控制、個(gè)人安全、物理和環(huán)境安全、通訊和操作管理、進(jìn)入控制、系統(tǒng)開(kāi)發(fā)和維護(hù)、業(yè)務(wù)持續(xù)性管理和適應(yīng)性。

(3)ITIL

Information Technology Infrastructure Library (ITIL)由United Kingdom's Office of Government Commerce (OGC)維護(hù)，二十世紀(jì)八十年代末根據(jù)很多組織的輸入開(kāi)發(fā)。該標(biāo)準(zhǔn)為IT服務(wù)管理的最佳實(shí)踐。主要關(guān)注10個(gè)流程:服務(wù)級(jí)別管理、IT服務(wù)財(cái)務(wù)管理、能力管理、IT服務(wù)連續(xù)性管理、可用性管理、事件管理、問(wèn)題管理、變更管理、發(fā)布管理、配置管理。

什么標(biāo)準(zhǔn)最好?

存在如此多的IT治理的體系和標(biāo)準(zhǔn)，那么哪種標(biāo)準(zhǔn)最好?我們說(shuō)沒(méi)有最好，只有最適合。COBIT在IT控制和量度指標(biāo)方面最強(qiáng)。ISO17799覆蓋IT安全，而ITIL重點(diǎn)在于流程，尤其是IT服務(wù)相關(guān)的部分。組織不應(yīng)該僅僅選擇一個(gè)，而應(yīng)該對(duì)三個(gè)標(biāo)準(zhǔn)進(jìn)行總體瀏覽，然后計(jì)劃一個(gè)方法，通過(guò)該方法混合每種標(biāo)準(zhǔn)中最好和最適合本企業(yè)部分。比如，客戶(hù)或者監(jiān)管實(shí)體可能需要組織采用ISO17799，結(jié)果是至少可以將該標(biāo)準(zhǔn)作為初始切入點(diǎn)，但從長(zhǎng)遠(yuǎn)來(lái)看，同樣的公司最終也可以在遠(yuǎn)景中包括其他標(biāo)準(zhǔn)。

下圖為各種標(biāo)準(zhǔn)比對(duì):

圖3 IT治理標(biāo)準(zhǔn)比較

1.2. 構(gòu)建全面的IT治理體系理論模型

IT治理體系保證總體戰(zhàn)略目標(biāo)能夠從上而下貫徹執(zhí)行。IT治理和其它治理活動(dòng)一樣，集中在最高管理層(董事會(huì))和執(zhí)行管理層。然而，由于IT治理的復(fù)雜性和專(zhuān)業(yè)性，治理層必須強(qiáng)烈依賴(lài)企業(yè)的下層來(lái)提供決策和評(píng)估活動(dòng)所需要的信息。為保證有效的IT治理，下層應(yīng)用要和企業(yè)總體目標(biāo)采用相同的原則，提供評(píng)估業(yè)績(jī)的衡量方法。因此，好的IT治理實(shí)踐需要在企業(yè)全部范圍內(nèi)推行。

構(gòu)建全面的IT治理模型首先要解決董事會(huì)、執(zhí)行管理層、業(yè)務(wù)及服務(wù)部門(mén)三者的任務(wù)和使命，弄清其中的關(guān)系。

圖4 董事會(huì)執(zhí)行管理層業(yè)務(wù)及服務(wù)部門(mén)三者任務(wù)及關(guān)系

IT治理使得最高管理層(董事會(huì))和執(zhí)行經(jīng)理的一系列活動(dòng)成為可能。這些活動(dòng)主要包括:IT的目標(biāo)，新技術(shù)的機(jī)遇和風(fēng)險(xiǎn)，關(guān)鍵過(guò)程與核心競(jìng)爭(zhēng)力。如指導(dǎo)信息技術(shù)的職能和對(duì)企業(yè)的影響，分配責(zé)任，定義操作，衡量業(yè)績(jī)，管理風(fēng)險(xiǎn)和獲得保證的約束等。

IT治理體系理論模型

明確了企業(yè)各個(gè)層面在IT治理體系中的任務(wù)和使命的基礎(chǔ)上，我們提出了IT治理體系的理論模型。這個(gè)理論模型是基于對(duì)現(xiàn)行的各種IT治理體系結(jié)構(gòu)和國(guó)際標(biāo)準(zhǔn)的基礎(chǔ)上建立的。企業(yè)IT面臨的變化和問(wèn)題，體現(xiàn)在IT體系的核心三要素技術(shù)、人員、流程上，通過(guò)建立全面的IT治理體系可以解決企業(yè)IT面臨的所有問(wèn)題。

圖5 構(gòu)建全面的IT治理體系

全面的IT治理體系分為三層，底層有ISO/IEC27001支撐的IT基礎(chǔ)架構(gòu)、IT安全，負(fù)責(zé)IT架構(gòu)管理、統(tǒng)一的監(jiān)控與性能管理、安全管理、端到端的應(yīng)用管理。中層由ITIL3.0 ISO/IEC 20000為支撐的IT服務(wù)管理，關(guān)注IT服務(wù)，運(yùn)營(yíng)層面，包括服務(wù)設(shè)計(jì)及管理、服務(wù)交付保障、實(shí)施測(cè)試與發(fā)布、服務(wù)運(yùn)維管理。頂層是由COBIT4.1 ISO/IEC 38500支撐的治理結(jié)構(gòu)，其三大核心職能指導(dǎo)、評(píng)價(jià)、監(jiān)控。確保企業(yè)的IT戰(zhàn)略與企業(yè)戰(zhàn)略一致，IT通過(guò)明確的期望和衡量手段交付、指導(dǎo)IT戰(zhàn)略、平衡支持企業(yè)成長(zhǎng)的投資、指導(dǎo)信息資源的分配。

整個(gè)IT治理理論體系框架，可以借助COBIT的管理指南(最佳實(shí)踐的決策事項(xiàng)，和決策人RACI圖，來(lái)建立決策體系，過(guò)程KPI和目標(biāo)來(lái)建立監(jiān)控和評(píng)估指標(biāo)，成熟度模型來(lái)衡量企業(yè)IT治理的水平，詳細(xì)控制目標(biāo)可以做為IT審計(jì)和IT內(nèi)控的目標(biāo)。ITIL服務(wù)支持和服務(wù)提供流程，做為企業(yè)IT服務(wù)管理的流程的最佳實(shí)踐，聯(lián)系企業(yè)的業(yè)務(wù)需求與IT服務(wù)的提供(包括內(nèi)部和外部IT供應(yīng)商)，借助統(tǒng)一的IT服務(wù)平臺(tái)管理企業(yè)所有的IT服務(wù)。ISO/IEC 27001做為企業(yè)IT架構(gòu)安全管理的標(biāo)準(zhǔn)。綜合應(yīng)用諸多的IT治理體系框架和國(guó)際標(biāo)準(zhǔn)，才能打造最完備的IT治理體系。

通過(guò)建立全面的IT治理體系統(tǒng)一IT技術(shù)、IT人員、IT流程，除了可以滿(mǎn)足SOX合規(guī)要求之外，真正的使企業(yè)的IT和業(yè)務(wù)保持一致，發(fā)揮出IT的最大價(jià)值，管理好企業(yè)的IT體系。

1.3. AMT IT治理方法論介紹

從IT治理的理論體系框架到企業(yè)的具體應(yīng)用，需要大量的工具手段，AMT在IT治理領(lǐng)域積累了大量的理論和實(shí)踐經(jīng)驗(yàn)，對(duì)于如何將IT治理體系真正運(yùn)用到企業(yè)之中有一整套的方法論支撐(見(jiàn)下圖)。通過(guò)AMT IT治理咨詢(xún)服務(wù)方法論，可以將IT治理的理論模型真正運(yùn)用到企業(yè)的實(shí)踐，建立起符合企業(yè)本身特點(diǎn)的IT治理體系。

IT治理和企業(yè)持續(xù)性發(fā)展息息相關(guān)，從IT治理理論體系到具體的企業(yè)實(shí)踐必將是一個(gè)長(zhǎng)期的、不斷深入的過(guò)程，筆者愿意與各方一起為IT治理在中國(guó)企業(yè)的應(yīng)用做出努力。