IT治理：領域內全球公認的輔助工具大整合（孫強 郝亞斌 李長征）

申請免費試用、咨詢電話：400-8352-114

善治的IT治理架構是確保IT資源與公司戰(zhàn)略目標保持一致的基礎，同樣也能確保IT服務滿足組織對優(yōu)質、可信和安全的信息需要。采用標準的IT治理（IT Governance）架構可以給企業(yè)帶來諸多收益。如美國堪薩斯州把COBIT標準作為虛擬政府策略的一部分，結果降低了運營成本，并為它的客戶和委托人提供了很高質量的服務。Proctor＆Gamble在采用ITIL標準的四年里，節(jié)省超過5億美金的預算。同時Procter＆Gamble內部財務和IT部門的調查顯示，其運作費用降低6％～8％，而技術人員的人數減少15％～20％。ISO/IEC17799是成為國際標準最快的一個標準，ISO/IEC17799的前身BS7799是賣出拷貝最多的管理標準，目前已有二十多個國家引用BS7799-2作為國標，各大信息安全公司也都以BS7799為指導向客戶提供信息安全咨詢服務。近年來Prince2在Prince的基礎上迅速席卷包括IT項目在內的項目管理，PRINCE 2 已風行歐洲與北美等國。Sun、Oracle等將PRINCE2作為實施項目的標準管理方法；香港特別行政區(qū)政府資訊科技署將PRINCE作為政府項目管理的標準指南。

何為IT治理

IT治理是IT、經濟學及管理學界中一個新的概念，用于描述企業(yè)或政府是否采用有效的機制，使得IT的應用能夠完成組織賦予它的使命，同時平衡信息化過程中的風險，確保實現(xiàn)組織的戰(zhàn)略目標。其主要使命是：保持IT與業(yè)務目標一致，推動業(yè)務發(fā)展，促使收益最大化，合理利用IT資源，適當管理與IT相關的風險。具體而言如下：

· IT戰(zhàn)略目標必須與企業(yè)戰(zhàn)略目標保持一致，IT對于來說組織非常關鍵，也是戰(zhàn)略規(guī)劃的重要組成部分，甚至直接影響到戰(zhàn)略競爭機遇。

· IT治理包含治理委員會、治理結構、治理流程和企業(yè)文化等。

· IT治理使風險透明化，從而保護利益相關者的權益。

· IT治理可用來指導和控制IT投資、機遇、收益及風險。

· IT治理通過引導IT戰(zhàn)略，并建立標準的信息基礎架構，來實現(xiàn)業(yè)務增長。

· IT治理對核心IT資源做出合理的制度安排，這將成為進入新的市場、進行有效競爭、實現(xiàn)總收入增長、改善客戶滿意度及維系客戶關系的制度保障。

四種基本的IT治理支持手段

COBIT--信息及相關技術的控制目標(Control Objectives for Information and related Technology，COBIT) ，是IT治理的一個開放性標準，由美國IT治理研究院(IT Governance Institute)開發(fā)與推廣，現(xiàn)已更新為第三版。IT業(yè)務流程是COBIT關注的焦點，對每一個IT業(yè)務流程，COBIT提出了一系列的控制目標、相應的實現(xiàn)這些控制目標的控制程序，評價這些控制程序是否存在，并被有效執(zhí)行的一系列審計程序。該標準為IT的治理、安全與控制提供了一個普遍適用的公認標準，以輔助管理層進行IT治理。目前已在世界一百多個國家的重要組織與企業(yè)中運用，指導這些組織有效利用信息資源，有效地管理與信息相關的風險。COBIT模型如圖1所示。

COBIT架構的主要目的是為業(yè)界提供關于IT控制的清晰策略和良好典范。該架構的四個域分別是：PO（Planning & Organization）、AI（Acquisition & Implementation）、DS（Delivery & support）和 Monitoring。進一步細分為34個IT處理流程。如表1。

　　圖1 COBIT模型

　　資料來源：ISACA

　　表1 COBIT域

　　資料來源：ISACA

　　COBIT產品家族分類如圖2所示。

　　圖2 COBIT產品家族

　　資料來源：ISACA

①管理指導方針（Management Guidelines）其中：成熟度模型（Maturity Models）是用來決定每一個控制階段和期望水準是否符合標準規(guī)范。關鍵成功要素（Critical Success Factors）是用來辨認在信息化過程中實現(xiàn)有效控制所必需的最重要的活動。關鍵目標指標（Key Goal Indicators）是用來定義關鍵目標的績效衡量標準。關鍵績效指標（Key performance Indicators）用來測量IT控制程序是否能達到目標。以上管理方針都是為了確保企業(yè)能成功和有效地整合業(yè)務流程與信息系統(tǒng)。

②執(zhí)行概要（Executive Summary）提供了讓管理層了解COBIT關鍵概念和原則的綜合性簡介，還概述了COBIT四大領域的體系架構。

③架構（Framework）詳細描述了的34個控制目標，并指出了企業(yè)對信息標準的要求和在IT資源上的需求是如何融入控制目標中的。

④審計指導方針（Audit Guidelines）提供了關于34個控制目標的審計步驟，以協(xié)助信息系統(tǒng)審計師檢驗IT程序是否符合控制目標，并提供管理上的保證和改進的建議。

⑤控制目標（Control Objectives）為IT控制提供了一個用來明晰策略和實施指導的關鍵方針，包括控制目標的詳細說明。

⑥應用工具集（Implementation Tool Set）包括管理意識（Management Awareness），IT控制診斷（IT Control Diagnostics），應用指導（Implementation Guide），常見問題及（FAQs）等。這些新工具主要是設計讓COBIT的應用更容易，讓組織能快速且成功地從教材中掌握如何在工作中應用COBIT.

需要指出的是，COBIT可具體應用到幾乎所有企業(yè)信息系統(tǒng)中。目前ISACA也提供相關專業(yè)人士的認證服務，經認證的專家可在一百多個國家執(zhí)行信息系統(tǒng)審計業(yè)務。

ITIL-- IT基礎架構庫(Information Technology Infrastructure Library, ITIL)由英國政府部門CCTA(Central Computing and Telecommunications Agency)在20世紀80年代末制訂，現(xiàn)由英國商務部OGC(Office of Government Commerce)負責管理，主要適用于IT服務管理（ITSM）。20世紀90年代后期，ITIL的思想和方法，被美國、澳大利亞、南非等國家廣泛引用，并進一步發(fā)展。2001年英國標準協(xié)會（British Standard Institute，BSI）在國際IT服務管理論壇（itSMF）年會上，正式發(fā)布了基于ITIL的英國國家標準BS15000。2002年，BS15000為國際標準化組織（ISO）所接受，作為IT服務管理的國際標準的重要組成部分。目前，ITSM領域正成為全球IT廠商、政府、企業(yè)和業(yè)界專家廣泛參與的新興領域，對未來的IT走向和企業(yè)信息化，將會產生深遠的影響。其內容描述的是IT部門應該包含的各個工作流程以及各個工作流程之間的相互關系。ITIL的核心內容包括服務支持和服務交付，共11個流程。如表2。其架構模型如圖2所示。

表2 ITIL工作流程

　　資料來源：OGC

ISO/IEC17799--信息安全管理的國際標準。在信息時代，信息資產已經成為最有價值的資產，因此需要恰當地保護它。具體而言，通過信息安全管理，可以保護信息不受廣泛威脅地損害，確保業(yè)務的持續(xù)性，將商業(yè)損失降至最小，使投資收益最大并創(chuàng)造新的戰(zhàn)略機遇。

1995年，英國貿工部根據英國國內企業(yè)對信息安全日益高漲的呼聲，組織大企業(yè)的信息安全經理們制定了世界上首部信息安全管理體系標準BS7799-1：1995《信息安全管理實施規(guī)則》，作為企業(yè)和政府組織實施信息安全管理的指南。1998年，英國又制定了第一部《信息安全管理體系認證標準》BS7799-2：1998《信息安全管理體系規(guī)范》，作為對一個組織的全面或和部分信息安全管理體系進行評審認證的依據標準。此后英國又進行了多次修訂并提交給ISO。2000年12月，ISO/IEC正式采納BS7799-1：1999做為國際標準ISO/IEC17799：2000。

ISO/IEC 17799包含10個管理要項，分別是：安全方針、安全組織、資產分類與控制、人員安全、物理與環(huán)境安全、計算機與網絡管理、系統(tǒng)訪問控制、系統(tǒng)開發(fā)與維護、業(yè)務持續(xù)管理及合規(guī)性。ISO/IEC 17799模型如圖3所示。

　　圖3 ISO/IEC 17799模型

資料來源：PWC

需要強調指出的是，ISO/IEC 17799不是一篇技術性的信息安全操作手冊，作為一個通用的信息安全管理指南，其目的并不是說明有關"怎么做"的細節(jié)，它所闡述的主題是安全策略和優(yōu)秀的、具有普遍意義的安全操作。該標準特別聲明，它是"制定一個機構自己的標準的出發(fā)點"，并不是說它所包含的所有方針和策略都是放之四海而皆準的。作為對各類信息安全問題的高級別概述，ISO/IEC 17799有助于人們在高級管理中理解每一類信息安全主題的基礎性問題。它廣泛涵蓋了幾乎所有的安全議題，主要告訴管理者關于安全管理的注意事項和安全制度，這些規(guī)定一般單位都可執(zhí)行。因此，需要建立信息安全管理體系的單位可以此為參照，建立自己在這方面的體系，并在別人經驗的基礎上根據自身情況進行設計、取舍，以達到對信息進行良好管理的目的。

PRINCE2--受控環(huán)境下的項目（Projects IN Controlled Environments），一種對項目管理的某些特定方面提供支持的方法。

項目管理向來就是一個充滿挑戰(zhàn)的管理，管理人員必須在事先確定好的人力、物力、財力、時間基礎上產出預期質量的項目結果。項目管理中的失控一直就是官、產、學界關心的熱點問題。

早在20世紀70年代，英國政府就要求所有政府的信息系統(tǒng)項目必須采用統(tǒng)一的標準進行管理。1979年CCTA采納Simpact Systems公司開發(fā)的PROMPT項目管理方法作為政府信息系統(tǒng)項目的項目管理方法。在PROMPT項目管理方法的基礎上，20世紀80年代年英國政府計算機和電信中心（CCTA）（后來并入英國政府商務部（OGC））出資研究開發(fā)PRINCE，1989年PRINCE正式替代PROMPT成為英國政府IT項目的管理標準。

1993年，OGC又將注意力轉移到PRINCE新改版PRINCE2的開發(fā)。通過整合現(xiàn)有用戶的需求，同時提升該方法成為面向所有類型的項目的、通用的、最佳實踐的項目管理方法。在OGC的組織下，大量項目管理的專家和學者組成設計和開發(fā)團隊，超過150家公共和私人組織參加評審委員會，并為開發(fā)工作提供有價值的反饋意見。開發(fā)工作于1996年3月正式結束。

PRINCE2是基于過程（Process-Based）的結構化的項目管理方法，適合于所有類型項目（不管項目的大小和領域，不再局限于IT項目）的易于剪裁和靈活使用的管理方法。每個過程定義關鍵輸入、需要執(zhí)行的關鍵活動和特殊的輸出目標。

該方法描述了一個項目如何被切分成一些可供管理的階段，以便高效地控制資源的使用和在整個項目周期執(zhí)行常規(guī)的監(jiān)督流程。依據項目的大小、復雜度和組織的能力，該方法描述了項目中應涉及到的各種不同的角色及其相應的管理職責。Prince2的項目計劃是以產品導向的，也就是說項目計劃強調項目按預期交付結果，而不是簡簡單單計劃在何時該做何事。

一個PRINCE2項目由業(yè)務狀況（Business Case）進行驅動，業(yè)務狀況用于描述啟動和繼續(xù)一個PRINCE 項目的信息。它給出了項目的動機，且回答了" 為什么"。它在整個項目的若干關鍵點處被更新。業(yè)務狀況往往和項目進度相結合，來確保項目目標的實現(xiàn)，盡管這些項目目標可能在整個項目周期中會有所變化，但仍能很好地被滿足。

PRINCE2提供從項目開始到項目結束覆蓋整個項目生命周期的基于過程的結構化的項目管理方法，共包括8個過程，每個過程描述了項目為何重要（Why）、項目的預期目標何在（What）、項目活動由誰負責（Who）以及這些活動何時被執(zhí)行（When）。如圖4所示。

　　圖4 PRINCE2模型

　　資料來源：OGC

PRINCE2為管理項目提供了最本質的原理，它集中于項目管理的戰(zhàn)略層次，同時它是一種通用的架構。它用8個過程（其中6個過程為項目管理的流程，指導項目(DP)與計劃(PL)在項目整個生命周期中支持其他6個流程）指明項目管理應該做什么，但是沒有描述如何做？至于如何做？企業(yè)應求助于咨詢公司或其他公司的案例，然后結合自身的情況。對于每個過程，PRINCE沒有提供具體實現(xiàn)技術和工具，用戶可根據實際需要，使用有益的任何工具，如甘特圖，關鍵路徑法、項目管理軟件等。PRINCE2提供的8個過程也僅僅作為參考過程，企業(yè)在具體實施時，必須依據項目的規(guī)模和需要對這些過程進行剪裁。

哪個標準更好？

有趣的是，關于四個標準之間的對照研究似乎成了許多國際組織熱衷的研究項目，我們認為與其研究這四者之間并不太多的重疊之處，倒不如深入探討這四者之間的互補關系。

·COBIT和ITIL的比較

COBIT基于已有的許多架構,如SEI的能力成熟度模型（CMM）對軟件企業(yè)成熟度5級的劃分，以及ISO9000等標準，COBIT在總結這些標準的基礎上重點關注企業(yè)需要什么，而不是企業(yè)需要如何做，它不包括具體的實施指南和實施步驟，它是一個控制架構（Control Framework）而非具體如何做的過程架構（Process Framework）。COBIT的"目標聽眾"是信息系統(tǒng)審計師，企業(yè)高級管理人員以及高級IT管理人員，如CIO。

ITIL基于企業(yè)的最佳實務（Best Practice），OGC收集和分析各種組織解決服務管理問題方面的信息，找出那些對本部門和對英國政府其它部門有益的做法，最后形成了ITIL。它列出了各個服務管理流程"最佳"的目標、活動、輸入和輸出以及各個流程之間的關系，但沒定義范圍廣泛的控制架構。它關注方法和實施過程。由于它關注IT服務管理（ITSM），它的視野相對COBIT來說狹窄，但它對IT服務的提供和支持定義了更為詳細和更易理解的過程集。它的"目標聽眾"是IT人員和服務管理人員。

盡管兩個標準有著許多的不同之處，但在COBIT和ITIL背后卻有著非常一致的指導原則。信息系統(tǒng)審計師通常綜合使用COBIT和ITIL的自評估方法，去評估企業(yè)IT服務管理環(huán)境。COBIT為每一個過程提供了關鍵目標指標（KGIs）、關鍵績效指標(KPIs)、關鍵成功要素(CSFs)，這些指標與ITIL過程相結合，可以建立ITIL過程管理的基準。在實際應用中，某些企業(yè)綜合兩個標準提出了更易理解的適用于本企業(yè)環(huán)境的IT治理和運行架構。

很多COBIT的過程特別是交付與支持（DS）域的很多過程如DS1、DS3、DS4、DS8、 DS9和DS10與ITIL的過程有著很好的映射關系，如服務級別管理、成本管理、可用性管理、事故管理、問題管理、配置管理、發(fā)布管理、容量能力管理。同樣AI6變更管理過程與ITIL中變更管理和其他服務支持過程如發(fā)布管理形成了較好的對應關系。（對比表1、2）

·COBIT和ISO/IEC 17799的比較

ISO/IEC 17799強調信息安全管理體系的有效性、經濟性、全面性、普遍性和開放性，目的是為希望達到一定管理效果的組織提供一種高質量、高實用性的參照。其最大特點就是廣泛但不深入，而且僅作參考之用。

與ISO/IEC 17799不同，COBIT完全基于IT，其IT準則反映了企業(yè)的戰(zhàn)略目標，IT資源包括人、系統(tǒng)、數據等相關資源，IT管理則是在IT準則指導下對IT資源進行規(guī)劃處理。COBIT在PO、AI、DS、M四個方面確定了34個處理過程以及318個詳細控制目標。此外對每個過程還有評審工具。如圖5COBIT原理所示。

　　圖5 COBIT原理

　　資料來源：PWC

　　·COBIT和PRINCE2的比較

PRINCE2為包括IT項目在內的項目管理提供了通用的管理方法，內置了在項目管理實踐中已證明成功的最佳實踐，通過為所有參與者提供的通用語言，便于被廣泛理解和接受。PRINCE鼓勵對項目責任正式的確認（誰具體負責什么），強調項目交付什么（what）、為何交付（why）、交付時間（when）、為誰交付（whom）。PRINCE能給項目帶給：

#可控的組織良好的開端、過程、結尾

#在決策關鍵點（Decision Point）時重新審視項目計劃和業(yè)務狀況

#自動管理和控制對計劃的任何偏離

#股東和高級管理者只是在恰當的時機介入項目

#在項目組、項目管理層、組織的其他人員間搭建暢通的交流通道

COBIT從戰(zhàn)略、戰(zhàn)術、技術等層面給出了如何有效管理IT項目。在PO10中專門給出了項目管理的方法論，詳細定義了13個具體控制目標：項目管理架構；用戶方參與項目啟動；項目團隊身份及其職責；項目定義；項目批準；項目階段批準；項目主要計劃；系統(tǒng)質量保證計劃；保證方法計劃；正式的項目風險管理；測試計劃；培訓計劃；實施后的評審計劃。除給出項目管理具體控制目標外，COBIT還給出了與項目管理相關的關鍵成功要素(CSFs)，其定義了最重要的面向項目管理的實施指南，以達到對IT項目過程內外部的控制；關鍵目標指標(KGIs),定義了一些尺度，便于在項目關鍵點（或里程碑），告訴管理者某個IT項目管理過程是否實現(xiàn)了其業(yè)務需求；關鍵績效指標(KPIs)，定義的是IT項目管理過程在促使項目目標達成時履行得有多好的尺度。

從兩者的比較我們可以看出，COBIT重點在于對13個"控制目標"的管理上，PRINCE2典型的在于對8大"流程"的管理上。雖然二者從不同的角度出發(fā)認識IT項目管理，但二者有許多共同之處。COBIT的項目中主要計劃，系統(tǒng)質量保證計劃，保證方法計劃，測試計劃，培訓計劃，實施后的評審計劃等控制目標映射到PRINCE2的計劃（PL）流程；項目管理架構等映射到PRINCE2的指導項目(DP)流程；PRINCE2的開始項目(SU)和啟動項目(IP)流程對應著COBIT的用戶方參與項目啟動，項目團隊身份及其職責，項目定義；項目批準，項目階段批準，正式的項目風險管理則較好的被其它幾個PRINCE2流程所包含。當然，在COBIT管理指南中我們不能明確看出對PRINCE2中結束項目(CP)流程相關的控制目標，但COBIT的其他控制目標以及審計指南等隱含包括了該流程的控制。

PRINCE2從流程的角度對項目管理中各個活動進行管理，比較便于項目管理的具體實施，而COBIT從控制目標的角度闡述項目管理"應該怎樣，應該達到什么目標"，這樣便于企業(yè)控制和評審項目管理整體過程的執(zhí)行情況。同時COBIT給出了項目管理成熟度模型，便于組織自評估或第三方評估企業(yè)項目管理的成熟度，從而不斷改進項目管理的執(zhí)行過程。如圖6所示。

圖6 項目管理成熟度模型

　　資料來源：ISACF

當然PRINCE2和COBIT的視野并不僅僅限于對具體項目的管理。它們不僅包括項目級的管理，而且涵蓋了在組織范圍對項目的管理，目的在于企業(yè)級的項目管理（Enterprise Project Management, EPM）或者稱為項目治理（Project Governance）。從企業(yè)長期發(fā)展戰(zhàn)略的高度來規(guī)劃項目管理。如圖7所示。

　　資料來源：ISACF

同時，對于每個過程和控制目標，PRINCE2與COBIT僅僅指明了"該做什么"，至于"如何做"，二者都沒有提供具體實現(xiàn)技術和工具，用戶可以根據實際需要使用有益的任何工具，如甘特圖，關鍵路徑法、項目管理軟件、風險管理軟件等。PRINCE2提供的8個過程與COBIT提供的13個控制目標也僅僅作為參考過程和控制目標，企業(yè)在具體實施時，必須依據項目的規(guī)模和需要對這些過程和控制目標進行適當的剪裁。

·四個標準間的相互聯(lián)系

為了更有效地實現(xiàn)股東的價值，IT需要在既定的時間內支持企業(yè)業(yè)務的發(fā)展，提高服務質量、有效控制風險、銳減服務成本以及縮短產品交付周期。如圖8所示：

　　圖8 IT與企業(yè)戰(zhàn)略

　　資料來源：PWC

為了實現(xiàn)上述目標，需要做到對IT組織結構和角色、量度、過程、技術、控制以及人員等方面進行管理。如圖9所示：

　　圖9 IT管理要素模型圖

　　資料來源：PWC

COBIT、ITIL、ISO/IEC17799和PRINCE2在管理IT上述各方面各有優(yōu)勢，如圖10所示。具體分述如下：

$ COBIT重點在于IT控制和IT度量評價

$ ITIL重點在于IT過程管理，強調IT支持和IT交付

$ ISO/IEC17799重點在于IT安全控制

$ PRINCE2重點在于項目管理，強調項目的可控性，明確項目管理中人員、角色的具體職責，同時實現(xiàn)項目管理質量的不斷改進。

　　圖10 IT管理要素與四個標準映射圖

　　資料來源：PWC

總之，四個標準架構發(fā)展過程盡管并不一致，但本質上這四者并不相互排斥，通過整合COBIT、 ITIL、ISO/IEC17799和PRINCE2，在企業(yè)中實施善治的IT治理戰(zhàn)略，將對企業(yè)IT戰(zhàn)略發(fā)展和企業(yè)戰(zhàn)略發(fā)展有莫大的幫助。

剪裁與實施

今年以來，官、產、學及媒體對信息化建設進程中存在的深層次的問題，諸如"IT與業(yè)務的融合"、"信息系統(tǒng)工程監(jiān)理向何處去"、"信息中心的轉制與走向"、"IT治理、公司治理及企業(yè)治理的關系"、"信息主管、CIO的治理結構"、"信息系統(tǒng)審計對IT投資有效的監(jiān)督和控制作用"、"規(guī)范、標準化的IT服務管理流程的重要性"等，展開全方位的、深度的探討，以期重新認識IT的定位、作用和價值，共同促進建設有效益的、可持續(xù)發(fā)展的信息化。COBIT、 ITIL、ISO/IEC17799和PRINCE2作為全球公認的輔助IT治理的工具，或許給我們探索以上難題提供了一條新道路。

在組織中具體應用這些標準時，我們的建議是：

1、 要專注于解決組織信息化過程中最大的問題。因為對于任何一個組織而言，采用整套標準都是不可行的，相反地，應該從最大的問題著手；

2、 通過對模型的剪裁找出最適合本企業(yè)環(huán)境的實施方案；

3、 先完成培訓再進行組織變革，并在單一領域內(如培訓經驗)取得一定成績后，再轉向其它有問題的領域。

4、 在開始項目之前，評估一下目前的環(huán)境，這樣就有利于評測出進展的效果。

此外，組織在具體實施的過程中，其他組織成功實施的案例、培訓機構和第三方咨詢機構都可以提供很好的幫助。

總結

COBIT、 ITIL、ISO/IEC17799和PRINCE2都是IT治理領域全球公認的輔助工具。采納何種標準的關鍵在于：發(fā)掘你的真正需求，對標準進行剪裁制定最適合的實施方案，然后持續(xù)改善。這將給組織帶來諸多益處，這其中就包括當前業(yè)界普遍關心的提高IT投資回報率難題。