王 偉

IT治理的主要內(nèi)控模型比較研究

王 偉

福州大學(xué)管理學(xué)院

隨著信息化程度的不斷提高和信息化技術(shù)的發(fā)展，信息技術(shù)已經(jīng)成為推動社會發(fā)展的重要基礎(chǔ)性資源。信息系統(tǒng)廣泛深入地滲透到社會的各個領(lǐng)域，并成為政治、經(jīng)濟(jì)、軍事、文化乃至社會一切領(lǐng)域的基礎(chǔ)。那么對IT治理也就提到了人們的思考日程上。IT治理的研究自從提出就受到了國內(nèi)外眾多學(xué)者的關(guān)注，而且隨著信息技術(shù)的發(fā)展，企業(yè)的IT投入越來越多，對IT的治理的關(guān)注程度越來越高。目前，IT治理的主要模型包括ITIL、ISO/IEC17799/27002、Prince2、COBIT。每個模型都有各自的優(yōu)勢，適用于不同的領(lǐng)域。

IT治理 內(nèi)控模型 比較

1 IT治理主要內(nèi)控模型的介紹

1.1 ITIL介紹

ITIL的全稱是信息技術(shù)基礎(chǔ)架構(gòu)庫（IT Infrastructure Library），是由位于英國Norwich的政府商務(wù)部（OGC）在20世紀(jì)80年代中期，為提高英國政府部門服務(wù)質(zhì)量而開發(fā)的針對IT行業(yè)的服務(wù)管理標(biāo)準(zhǔn)庫，屬于全球范圍內(nèi)IT服務(wù)管理領(lǐng)域較為成熟的時間框架之一。

ITIL提供各種IT服務(wù)管理的最佳實(shí)踐信息，包括可以根據(jù)各機(jī)構(gòu)的具體情況定制的詳細(xì)的流程，活動要求、步驟、規(guī)則和職責(zé)。這些實(shí)踐包含一系列流程，涉及任何IT部門都必須提供的各種主要活動。這些流程可以分為兩大類：服務(wù)支持和服務(wù)交付。其中服務(wù)支持是滿足客戶需求的日常運(yùn)作基礎(chǔ)服務(wù)，ITIL規(guī)范定義了服務(wù)支持的五個主要流程和一個服務(wù)臺工具，包括突發(fā)事件管理、問題管理、變更管理、配置管理、版本管理和服務(wù)臺功能。服務(wù)交付是幫助IT機(jī)構(gòu)提供必要業(yè)務(wù)服務(wù)，包括服務(wù)水平管理、可用性管理、IT服務(wù)的財(cái)務(wù)管理、容量管理、IT服務(wù)連續(xù)性管理等五個能夠相互轉(zhuǎn)換的流程，它們都與優(yōu)質(zhì)IT服務(wù)的計(jì)劃和交付密切相關(guān)。

多數(shù)情況下，ITIL只敘述應(yīng)該采取哪些措施才能改善服務(wù)，但并沒有說明怎樣采取這些措施。只編寫描述可重復(fù)管理流程的ITIL文檔是不能改善實(shí)際服務(wù)的，只有將ITIL的描述制定成可操作的指南和藍(lán)圖，才能將ITIL理論轉(zhuǎn)變成IT服務(wù)管理最佳實(shí)踐。

1.2 ISO／IEC 17799/27002簡介

ISO／IEC 17799/27002的前身是BS7799，其是由DTI（英國貿(mào)工部）立項(xiàng)，由政府、業(yè)界和商業(yè)機(jī)構(gòu)共同倡導(dǎo)的，可供開發(fā)、實(shí)施和測量有效安全管理的慣例，它是貿(mào)易伙伴之間信任的通用框架。BS7799分為兩個部分：BS77991，安全管理實(shí)施規(guī)則；BS77992，安全管理體系規(guī)范。國家標(biāo)準(zhǔn)化組織在2000年對BS77991進(jìn)行了認(rèn)證，頒布了ISO/IEC17799，2002年英國標(biāo)準(zhǔn)協(xié)會對BS7799：2-1999進(jìn)行了重新修訂，正式引入PDCA過程模型（PDCA:Plan—Do—Check—Act）；2004年9月5日BS7799-2：2002正式發(fā)布，并提交ISO；該標(biāo)準(zhǔn)2007年7月又重新編號為ISO27002。

BS77991對安全管理給出建議，供負(fù)責(zé)在其組織啟動、實(shí)施或維護(hù)安全的人員使用；該標(biāo)準(zhǔn)為開發(fā)組織的安全標(biāo)準(zhǔn)和有效的安全管理做法提供公共基礎(chǔ)，并為組織之間的交往提供信任；包含了10個“安全控制條款"、36個“主要安全類別”和127個安全控制措施來幫助組織識別在運(yùn)作過程中對安全有影響的元素，組織可以根據(jù)適用的法律法規(guī)和章程加以選擇和使用，或者增加其他附加控制。BS77992詳細(xì)說明了建立、實(shí)施和維護(hù)信息安全管理體系的要求，可用來指導(dǎo)相關(guān)人員去應(yīng)用ISO/IEC 17799，其最終目的在于建立適合企業(yè)需要的信息安全管理體系。該模型為信息系統(tǒng)的安全控制提供了實(shí)用指南。

1.3 PRINCE2簡述

PRINCE是PRoject IN Controlled Environment（受控環(huán)境下的項(xiàng)目管理）的簡稱。PRINCE2 由英國政府商務(wù)部（OGC）所有，于1996年開始推廣。PRINCE2描述了如何以一種邏輯性的、有組織的方法，按照明確的步驟對項(xiàng)目進(jìn)行管理。它不是一種工具也不是一種技巧，而是結(jié)構(gòu)化的項(xiàng)目管理流程。這也是為什么它容易被調(diào)整和升級，適用于所有類型的項(xiàng)目和情況，當(dāng)然也適用IT項(xiàng)目的管理。

PRINCE2 使用一系列的8個過程來描述一個項(xiàng)目在何時發(fā)生了什么。這些過程涵蓋了從項(xiàng)目開始到項(xiàng)目結(jié)束的所有活動，包括項(xiàng)目啟動、項(xiàng)目準(zhǔn)備、項(xiàng)目指導(dǎo)、項(xiàng)目階段控制、產(chǎn)品交付管理、階段邊界管理、項(xiàng)目收尾、項(xiàng)目計(jì)劃八個過程，可以根據(jù)個人的需要對其進(jìn)行縮減和調(diào)整。每個過程鼓勵對項(xiàng)目責(zé)任正式的確認(rèn)（誰具體負(fù)責(zé)什么），強(qiáng)調(diào)項(xiàng)目交付什么（what）、為何交付（why）、交付時間（when ）、為誰交付（whom）。

此外，該方法還包括8個部件和3個技巧。8個部件是：商業(yè)論證、組織、計(jì)劃、控制、風(fēng)險(xiǎn)管理、項(xiàng)目環(huán)境下的質(zhì)量管理、配置管理、變更管理。3種技巧是：基于產(chǎn)品的規(guī)劃、質(zhì)量檢查技巧、變更控制技巧。

1.4 COBIT介紹

COBIT（信息及相關(guān)技術(shù)的控制目標(biāo)）由美國信息系統(tǒng)審計(jì)與控制協(xié)會（ISACA）出版，最早在1996年發(fā)布，現(xiàn)已發(fā)布了第四版，目前已成為國際上公認(rèn)的最先進(jìn)、最權(quán)威的信息技術(shù)管理、控制和審計(jì)的標(biāo)準(zhǔn)。

COBIT將IT過程、IT資源及信息與企業(yè)的策略與目標(biāo)聯(lián)系起來，形成了一個三維的體系結(jié)構(gòu)，從而將IT治理的目標(biāo)與企業(yè)的戰(zhàn)略目標(biāo)聯(lián)系統(tǒng)一起來，核心思想可以概括為：為了實(shí)現(xiàn)企業(yè)目標(biāo)，企業(yè)需要投資到可以控制的IT資源中去，在IT過程中合理利用IT資源，以交付企業(yè)所需要的信息。

該模型的最新版本為4.1版，其采用信息系統(tǒng)生命周期的思想，將信息技術(shù)流程共分為三個層次，即為四個域(Domains)、34個處理過程(Processes)及210個任務(wù)活動(Activities Tasks)。其中四個域的內(nèi)涵為：計(jì)劃和組織域（PO）、獲取和實(shí)施域（AI）、交付和支持域（DS）和監(jiān)控和評價(jià)域（ME）。

2 IT治理主要內(nèi)控模型之間的比較

2.1 應(yīng)用領(lǐng)域不同

ITIL關(guān)注的主要是IT服務(wù)管理，該模型認(rèn)為服務(wù)戰(zhàn)略是基礎(chǔ)，交付IT服務(wù)對企業(yè)具有戰(zhàn)略意義，也是IT組織的戰(zhàn)略目標(biāo)；ISO／IEC 17799/27002適用于企業(yè)的信息安全管理，基礎(chǔ)是計(jì)劃—執(zhí)行—檢查—采取行動（PDCA）循環(huán)，通過該循環(huán)為信息安全管理體系周而復(fù)始的創(chuàng)建、發(fā)展、運(yùn)營和維護(hù)提供了一個框架；PRINCE2主要用于項(xiàng)目管理，通過過程和部件的組合，為項(xiàng)目管理提供了一種規(guī)范的方法；COBIT用于管理 IT業(yè)務(wù)流程，通過對關(guān)鍵IT過程進(jìn)行有效監(jiān)控，實(shí)現(xiàn)對業(yè)務(wù)流程中資源的有效利用，從而改善管理效率和服務(wù)質(zhì)量。

2.2 重點(diǎn)不同

ITIL的重點(diǎn)是過程管理，該模型的最新版V3采用服務(wù)生命周期的思想組織主題，核心的出版物包括：服務(wù)戰(zhàn)略、服務(wù)設(shè)計(jì)、服務(wù)過渡、服務(wù)運(yùn)營、持續(xù)服務(wù)改進(jìn)，一系列的出版物涵蓋了服務(wù)生命周期的所有基礎(chǔ)方面；ISO／IEC 17799/27002側(cè)重于安全控制，該標(biāo)準(zhǔn)提供了信息安全的基線，每一安全控制大類覆蓋了不同的主題和區(qū)域，利用該準(zhǔn)則人們可以識別與特定企業(yè)或特定責(zé)任領(lǐng)域相適應(yīng)的安全控制問題；PRINCE2強(qiáng)調(diào)項(xiàng)目的可控性，它確定了項(xiàng)目啟動所需的信息，指定了項(xiàng)目必需的決策者，并在高層管理人員之間建立起了聯(lián)系，明確了項(xiàng)目管理中人員的職責(zé)；COBIT的重點(diǎn)在控制和度量，該模型不僅為34個過程定義了詳細(xì)的控制目標(biāo)，并且包含了成熟度模型。企業(yè)可以據(jù)此來確定IT的現(xiàn)在狀態(tài)和未來的狀態(tài)，結(jié)合控制目標(biāo)和績效指標(biāo)，衡量組織是否能達(dá)到關(guān)鍵目標(biāo)指標(biāo)中所設(shè)定的業(yè)務(wù)活動目標(biāo)，然后采取措施改進(jìn)。

2.3 作用不同

ITIL基于服務(wù)生命周期的思想，所以有助于梳理服務(wù)管理的流程，組織可以根據(jù)流程逐步實(shí)現(xiàn)IT服務(wù)管理的目標(biāo)，也可以據(jù)此來發(fā)現(xiàn)現(xiàn)有流程中的缺陷；ISO／IEC 17799/27002能夠增強(qiáng)組織在識別、防止、減少和控制組織信息安全風(fēng)險(xiǎn)方面的能力，PDCA的每次循環(huán)都會使所運(yùn)營的信息安全體系的績效更趨近與相關(guān)方面對信息安全的要求和預(yù)期；PRINCE2為管理項(xiàng)目提供支持，保證項(xiàng)目的質(zhì)量和順利完成；COBIT采用系統(tǒng)生命周期的思想，提供了關(guān)于控制的清晰策略，規(guī)范了企業(yè)的業(yè)務(wù)流程，為每個流程的實(shí)施都提供了控制框架。

2.4 對應(yīng)的治理要素不同

如果我們把IT治理的要素分為五大類，即：組織結(jié)構(gòu)和角色、量度、過程、技術(shù)、控制，那么ITIL對應(yīng)的是組織結(jié)構(gòu)和角色、過程、技術(shù)；ISO／IEC 17799/27002對應(yīng)組織結(jié)構(gòu)和角色；PRINCE2對應(yīng)組織結(jié)構(gòu)和角色、過程；COBIT對應(yīng)量度、過程、控制。

2.5 適用人群不同

ITIL適用于T服務(wù)管理的責(zé)任人員，從IT主管、首席信息官到實(shí)務(wù)工作者、IT支持技術(shù)人員和管理人員都應(yīng)該應(yīng)用；ISO／IEC 17799/27002適用于信息安全的負(fù)責(zé)人員；PRINCE2適用于項(xiàng)目經(jīng)理、有項(xiàng)目決策權(quán)的高級管理人員；COBIT框架著重讓人們理解IT業(yè)務(wù)需求，重點(diǎn)關(guān)注企業(yè)需要什么，而不是需要企業(yè)如何做，它只是一個控制框架而不是具體過程架構(gòu)。這使得COBIT對公司主管、企業(yè)領(lǐng)導(dǎo)人及其資深I(lǐng)T經(jīng)理具有很大的吸引力，而對那些更需要提供如何執(zhí)行的具體指導(dǎo)的IT新手來說作用不大。

3 結(jié)論

ITIL、ISO/IEC17799/27002、Prince2、COBIT都是IT治理領(lǐng)域出色的模型，對它們的取舍關(guān)鍵在于企業(yè)的真正需求。每個模型都有各自不同的應(yīng)用領(lǐng)域和關(guān)注的重點(diǎn)，采用不同的模型給組織帶來的結(jié)果必然不同。在具體的選擇過程中，我們要根據(jù)企業(yè)的實(shí)際需要，考慮需解決的關(guān)鍵問題，選用某個模型或把幾個模型組合起來應(yīng)用。總之要把能切實(shí)解決問題放在首位。組織還應(yīng)開展適當(dāng)?shù)呐嘤?xùn)，讓涉及到的相關(guān)人員做好準(zhǔn)備，宣傳變革的益處，從而保障模型的順利實(shí)施。此外，其他企業(yè)的成功案例、咨詢機(jī)構(gòu)等都會對模型的實(shí)施提供很大的幫助，我們不能閉門造車，要多方面合作促成模型的成功運(yùn)用。

[1] ITGI.COBIT4.1[EB].www.itgi.org, 2007.

[2] ITGI and OGC. Aligning COBIT, ITIL and ISO 17799 for Business Benefit, 2005.www.isaca.org/research.

[3] 陶黎娟.IT環(huán)境下我國財(cái)務(wù)報(bào)告內(nèi)部控制研究[D].廈門:廈門大學(xué)博士學(xué)位論文,2009.

[4] 王海林.國際上與信息技術(shù)相關(guān)的內(nèi)部控制框架與規(guī)范分析[J].中國管理信息化,2009,12（14）：8-10.

[5] 王德祿.IT治理的理論研究與實(shí)踐[J].生產(chǎn)力研究,2006,（5）:14-16.

[6] 鄭煦平,陽杰.COBIT的解讀及其在我國的應(yīng)用[J].生產(chǎn)力研究,2009,（17）:154-156.

[7] 計(jì)春陽,唐志豪,胡克瑾.企業(yè)IT治理實(shí)施框架模型研究[J].情報(bào)雜志,2008,（5）:60-63.

[8] 胡為民.內(nèi)部控制與企業(yè)風(fēng)險(xiǎn)管理—實(shí)務(wù)操作指南[M]．北京：電子工業(yè)出版社,2009.