構建全面的IT治理體系(二)

本文關鍵字 IT治理 標準

上期內容回顧(構建全面的IT治理體系(一) ):IT治理定義，為什么要作IT治理，IT治理可以解決哪些問題?IT治理的目標和領域。

IT治理的核心思想

為了達到IT治理的三大目標，IT治理需要處理哪些問題，IT治理的核心思想是什么?IT治理的核心思想，就是有效的IT治理必須解決的三個問題:

1. 為了保證有效地管理和使用IT，應當做出怎樣的決策?

2. 由誰做出這樣的決策?

3. 如何做出這些決策以及如何監控這些決策?

對于這三個問題我們一一做出探討。

IT治理要做出哪些決策

我們給出IT治理的5大決策方向(見下圖):

圖1 IT治理的5大決策方向

這五個決策是彼此相關的，有效的治理必須關注它們之間的關聯性。舉例來說，IT原則驅動著整體架構的形成，而整體架構又決定了基礎設施。這種基礎設施所確定的能力又決定著基于業務需求(通常由業務流程的管理者確定)的應用的構建。最后，IT投資必須為IT原則、整體架構、基礎設施和應用需求所驅動。IT治理需要確定每一個決策該由誰來負責輸入，以及由誰來負責做出決策。

由誰做出這樣的決策

可以通過治理設計框架來解決(見下圖):

在此我們給出的是IT治理設計框架最基本的架構，可以在任何一個企業進行實施。這個架構勾畫出了企業的戰略和組織、IT治理安排以及業務實施目標的協調一致性(水平箭頭)。戰略和組織、IT治理安排以及業務實施目標這三者分別通過IT組織和期望行為、治理機制、以及度量指標得以確定。這個框架也同時闡明了IT治理與其他關鍵資產治理保持協調一致的重要性。

圖2 IT治理設計框架

如何監控和評估這些決策

可以通過關鍵成功因素、成熟度模型、關鍵目標指標、關鍵績效指標四個方面的有機作用，確保決策及IT治理的成功。

關鍵成功因素

關鍵成功因素為管理部門控制信息技術及其處理過程提供了實施指南。它們是信息技術處理過程中的最關鍵的要素，是戰略性的、技術性的過程或活動，勾畫出了IT的控制輪廓。

關鍵成功因素是為提高處理過程的成功可能性所做的最重要的事，通常與組織的目標保持一致，是組織和處理過程的可觀察可測量的特征，分布于企業的戰略層、戰術層、應用層及組織的各個方面，可以通過目標分解與識別的方法選擇關鍵成功因素。

關鍵目標指標

關鍵目標指標是指通過創建和維護一套處理和控制適當業務績效的系統，來指導并監督IT傳遞的商業價值。

關鍵目標指標是處理目標的一種表達，明確要取得什么目標，并描繪處理的結果，進行事后評判，直接體現處理過程的完成成功與否，間接體現處理帶給經營活動的價值。

關鍵績效指標

關鍵績效指標對關鍵成功因素進行評價，通過監測某IT處理過程的執行情況，告訴管理層該處理是否滿足其經營需求。關鍵績效指標是IT處理過程的性能指標，表現為IT的實際業績。通過有效性、保密性、完整性、可用性、一致性、可靠性等指標來測定IT的績效。下表列出對企業具有普遍性意義的關鍵績效指標。

成熟度模型

IT成熟度模型制定了一個基準，組織可能根據上面的指標確定自己的等級，從而了解自身目前的境界。

對于監控和評估決策，在COBIT體系中，有著較為清晰明確的最佳實踐。

1. 構建全面的IT治理體系

1.1. IT治理體系、模型介紹

IT治理領域存在一些先進的最佳實踐與國際標準，這些標準反映了大量企業的經驗結晶，并有專業監管實體維護。采用標準的IT治理架構可以給企業帶來諸多收益。如美國堪薩斯州把COBIT標準作為虛擬政府策略的一部分，結果降低了運營成本，并為它的客戶和委托人提供了很高質量的服務。ProctorGamble在采用ITIL標準的四年里，節省超過5億美金的預算。同時ProcterGamble內部財務和IT部門的調查顯示，其運作費用降低6%～8%，而技術人員的人數減少15%～20%。ISO/IEC17799是成為國際標準最快的一個標準，ISO/IEC17799的前身BS7799是賣出拷貝最多的管理標準，目前已有二十多個國家引用BS7799-2作為國標，各大信息安全公司也都以BS7799為指導向客戶提供信息安全咨詢服務。下面我們就幾個通用的IT治理體系架構和標準進行介紹:

(1)COBIT

The Control Objectives for Information and related Technology (COBIT)，最新標準是4.1版。由Information Systems Audit and Control Association (ISACA)出版，最早在1996年發布。COBIT架構由34個高層控制目標和318個細節控制目標組成，通過定義這些目標，可以幫助維護企業業務對IT的有效控制。該標準比較完善，所有的COBIT文檔集合可以在線獲得，包括executive summary、架構、控制目標、審計指引、管理指引和實現指引。

(2)ISO 17799

International Organization for Standardization國際標準組織的ISO-17799，目前最新的版本是ISO-27001，全稱為“信息技術——信息安全管理實踐代碼”，該標準首先于2000年12月由ISO發布。該標準基于英國標準7799，英國標準曾有很多版本，開始于1995年。ISO 17799的目的是關注于安全，并且輔助企業創造有效的IT安全計劃。該標準有以下的高層次內容:安全政策、組織安全、資產分散和控制、個人安全、物理和環境安全、通訊和操作管理、進入控制、系統開發和維護、業務持續性管理和適應性。

(3)ITIL

Information Technology Infrastructure Library (ITIL)由United Kingdom's Office of Government Commerce (OGC)維護，二十世紀八十年代末根據很多組織的輸入開發。該標準為IT服務管理的最佳實踐。主要關注10個流程:服務級別管理、IT服務財務管理、能力管理、IT服務連續性管理、可用性管理、事件管理、問題管理、變更管理、發布管理、配置管理。

什么標準最好?

存在如此多的IT治理的體系和標準，那么哪種標準最好?我們說沒有最好，只有最適合。COBIT在IT控制和量度指標方面最強。ISO17799覆蓋IT安全，而ITIL重點在于流程，尤其是IT服務相關的部分。組織不應該僅僅選擇一個，而應該對三個標準進行總體瀏覽，然后計劃一個方法，通過該方法混合每種標準中最好和最適合本企業部分。比如，客戶或者監管實體可能需要組織采用ISO17799，結果是至少可以將該標準作為初始切入點，但從長遠來看，同樣的公司最終也可以在遠景中包括其他標準。

下圖為各種標準比對:

圖3 IT治理標準比較

1.2. 構建全面的IT治理體系理論模型

IT治理體系保證總體戰略目標能夠從上而下貫徹執行。IT治理和其它治理活動一樣，集中在最高管理層(董事會)和執行管理層。然而，由于IT治理的復雜性和專業性，治理層必須強烈依賴企業的下層來提供決策和評估活動所需要的信息。為保證有效的IT治理，下層應用要和企業總體目標采用相同的原則，提供評估業績的衡量方法。因此，好的IT治理實踐需要在企業全部范圍內推行。

構建全面的IT治理模型首先要解決董事會、執行管理層、業務及服務部門三者的任務和使命，弄清其中的關系。

圖4 董事會執行管理層業務及服務部門三者任務及關系

IT治理使得最高管理層(董事會)和執行經理的一系列活動成為可能。這些活動主要包括:IT的目標，新技術的機遇和風險，關鍵過程與核心競爭力。如指導信息技術的職能和對企業的影響，分配責任，定義操作，衡量業績，管理風險和獲得保證的約束等。

IT治理體系理論模型

明確了企業各個層面在IT治理體系中的任務和使命的基礎上，我們提出了IT治理體系的理論模型。這個理論模型是基于對現行的各種IT治理體系結構和國際標準的基礎上建立的。企業IT面臨的變化和問題，體現在IT體系的核心三要素技術、人員、流程上，通過建立全面的IT治理體系可以解決企業IT面臨的所有問題。

圖5 構建全面的IT治理體系

全面的IT治理體系分為三層，底層有ISO/IEC27001支撐的IT基礎架構、IT安全，負責IT架構管理、統一的監控與性能管理、安全管理、端到端的應用管理。中層由ITIL3.0 ISO/IEC 20000為支撐的IT服務管理，關注IT服務，運營層面，包括服務設計及管理、服務交付保障、實施測試與發布、服務運維管理。頂層是由COBIT4.1 ISO/IEC 38500支撐的治理結構，其三大核心職能指導、評價、監控。確保企業的IT戰略與企業戰略一致，IT通過明確的期望和衡量手段交付、指導IT戰略、平衡支持企業成長的投資、指導信息資源的分配。

整個IT治理理論體系框架，可以借助COBIT的管理指南(最佳實踐的決策事項，和決策人RACI圖，來建立決策體系，過程KPI和目標來建立監控和評估指標，成熟度模型來衡量企業IT治理的水平，詳細控制目標可以做為IT審計和IT內控的目標。ITIL服務支持和服務提供流程，做為企業IT服務管理的流程的最佳實踐，聯系企業的業務需求與IT服務的提供(包括內部和外部IT供應商)，借助統一的IT服務平臺管理企業所有的IT服務。ISO/IEC 27001做為企業IT架構安全管理的標準。綜合應用諸多的IT治理體系框架和國際標準，才能打造最完備的IT治理體系。

通過建立全面的IT治理體系統一IT技術、IT人員、IT流程，除了可以滿足SOX合規要求之外，真正的使企業的IT和業務保持一致，發揮出IT的最大價值，管理好企業的IT體系。

1.3. AMT IT治理方法論介紹

從IT治理的理論體系框架到企業的具體應用，需要大量的工具手段，AMT在IT治理領域積累了大量的理論和實踐經驗，對于如何將IT治理體系真正運用到企業之中有一整套的方法論支撐(見下圖)。通過AMT IT治理咨詢服務方法論，可以將IT治理的理論模型真正運用到企業的實踐，建立起符合企業本身特點的IT治理體系。

IT治理和企業持續性發展息息相關，從IT治理理論體系到具體的企業實踐必將是一個長期的、不斷深入的過程，筆者愿意與各方一起為IT治理在中國企業的應用做出努力。