IT治理的主要內控模型比較研究

王 偉

IT治理的主要內控模型比較研究

王 偉

福州大學管理學院

隨著信息化程度的不斷提高和信息化技術的發展，信息技術已經成為推動社會發展的重要基礎性資源。信息系統廣泛深入地滲透到社會的各個領域，并成為政治、經濟、軍事、文化乃至社會一切領域的基礎。那么對IT治理也就提到了人們的思考日程上。IT治理的研究自從提出就受到了國內外眾多學者的關注，而且隨著信息技術的發展，企業的IT投入越來越多，對IT的治理的關注程度越來越高。目前，IT治理的主要模型包括ITIL、ISO/IEC17799/27002、Prince2、COBIT。每個模型都有各自的優勢，適用于不同的領域。

IT治理 內控模型 比較

1 IT治理主要內控模型的介紹

1.1 ITIL介紹

ITIL的全稱是信息技術基礎架構庫（IT Infrastructure Library），是由位于英國Norwich的政府商務部（OGC）在20世紀80年代中期，為提高英國政府部門服務質量而開發的針對IT行業的服務管理標準庫，屬于全球范圍內IT服務管理領域較為成熟的時間框架之一。

ITIL提供各種IT服務管理的最佳實踐信息，包括可以根據各機構的具體情況定制的詳細的流程，活動要求、步驟、規則和職責。這些實踐包含一系列流程，涉及任何IT部門都必須提供的各種主要活動。這些流程可以分為兩大類：服務支持和服務交付。其中服務支持是滿足客戶需求的日常運作基礎服務，ITIL規范定義了服務支持的五個主要流程和一個服務臺工具，包括突發事件管理、問題管理、變更管理、配置管理、版本管理和服務臺功能。服務交付是幫助IT機構提供必要業務服務，包括服務水平管理、可用性管理、IT服務的財務管理、容量管理、IT服務連續性管理等五個能夠相互轉換的流程，它們都與優質IT服務的計劃和交付密切相關。

多數情況下，ITIL只敘述應該采取哪些措施才能改善服務，但并沒有說明怎樣采取這些措施。只編寫描述可重復管理流程的ITIL文檔是不能改善實際服務的，只有將ITIL的描述制定成可操作的指南和藍圖，才能將ITIL理論轉變成IT服務管理最佳實踐。

1.2 ISO／IEC 17799/27002簡介

ISO／IEC 17799/27002的前身是BS7799，其是由DTI（英國貿工部）立項，由政府、業界和商業機構共同倡導的，可供開發、實施和測量有效安全管理的慣例，它是貿易伙伴之間信任的通用框架。BS7799分為兩個部分：BS77991，安全管理實施規則；BS77992，安全管理體系規范。國家標準化組織在2000年對BS77991進行了認證，頒布了ISO/IEC17799，2002年英國標準協會對BS7799：2-1999進行了重新修訂，正式引入PDCA過程模型（PDCA:Plan—Do—Check—Act）；2004年9月5日BS7799-2：2002正式發布，并提交ISO；該標準2007年7月又重新編號為ISO27002。

BS77991對安全管理給出建議，供負責在其組織啟動、實施或維護安全的人員使用；該標準為開發組織的安全標準和有效的安全管理做法提供公共基礎，并為組織之間的交往提供信任；包含了10個“安全控制條款"、36個“主要安全類別”和127個安全控制措施來幫助組織識別在運作過程中對安全有影響的元素，組織可以根據適用的法律法規和章程加以選擇和使用，或者增加其他附加控制。BS77992詳細說明了建立、實施和維護信息安全管理體系的要求，可用來指導相關人員去應用ISO/IEC 17799，其最終目的在于建立適合企業需要的信息安全管理體系。該模型為信息系統的安全控制提供了實用指南。

1.3 PRINCE2簡述

PRINCE是PRoject IN Controlled Environment（受控環境下的項目管理）的簡稱。PRINCE2 由英國政府商務部（OGC）所有，于1996年開始推廣。PRINCE2描述了如何以一種邏輯性的、有組織的方法，按照明確的步驟對項目進行管理。它不是一種工具也不是一種技巧，而是結構化的項目管理流程。這也是為什么它容易被調整和升級，適用于所有類型的項目和情況，當然也適用IT項目的管理。

PRINCE2 使用一系列的8個過程來描述一個項目在何時發生了什么。這些過程涵蓋了從項目開始到項目結束的所有活動，包括項目啟動、項目準備、項目指導、項目階段控制、產品交付管理、階段邊界管理、項目收尾、項目計劃八個過程，可以根據個人的需要對其進行縮減和調整。每個過程鼓勵對項目責任正式的確認（誰具體負責什么），強調項目交付什么（what）、為何交付（why）、交付時間（when ）、為誰交付（whom）。

此外，該方法還包括8個部件和3個技巧。8個部件是：商業論證、組織、計劃、控制、風險管理、項目環境下的質量管理、配置管理、變更管理。3種技巧是：基于產品的規劃、質量檢查技巧、變更控制技巧。

1.4 COBIT介紹

COBIT（信息及相關技術的控制目標）由美國信息系統審計與控制協會（ISACA）出版，最早在1996年發布，現已發布了第四版，目前已成為國際上公認的最先進、最權威的信息技術管理、控制和審計的標準。

COBIT將IT過程、IT資源及信息與企業的策略與目標聯系起來，形成了一個三維的體系結構，從而將IT治理的目標與企業的戰略目標聯系統一起來，核心思想可以概括為：為了實現企業目標，企業需要投資到可以控制的IT資源中去，在IT過程中合理利用IT資源，以交付企業所需要的信息。

該模型的最新版本為4.1版，其采用信息系統生命周期的思想，將信息技術流程共分為三個層次，即為四個域(Domains)、34個處理過程(Processes)及210個任務活動(Activities Tasks)。其中四個域的內涵為：計劃和組織域（PO）、獲取和實施域（AI）、交付和支持域（DS）和監控和評價域（ME）。

2 IT治理主要內控模型之間的比較

2.1 應用領域不同

ITIL關注的主要是IT服務管理，該模型認為服務戰略是基礎，交付IT服務對企業具有戰略意義，也是IT組織的戰略目標；ISO／IEC 17799/27002適用于企業的信息安全管理，基礎是計劃—執行—檢查—采取行動（PDCA）循環，通過該循環為信息安全管理體系周而復始的創建、發展、運營和維護提供了一個框架；PRINCE2主要用于項目管理，通過過程和部件的組合，為項目管理提供了一種規范的方法；COBIT用于管理 IT業務流程，通過對關鍵IT過程進行有效監控，實現對業務流程中資源的有效利用，從而改善管理效率和服務質量。

2.2 重點不同

ITIL的重點是過程管理，該模型的最新版V3采用服務生命周期的思想組織主題，核心的出版物包括：服務戰略、服務設計、服務過渡、服務運營、持續服務改進，一系列的出版物涵蓋了服務生命周期的所有基礎方面；ISO／IEC 17799/27002側重于安全控制，該標準提供了信息安全的基線，每一安全控制大類覆蓋了不同的主題和區域，利用該準則人們可以識別與特定企業或特定責任領域相適應的安全控制問題；PRINCE2強調項目的可控性，它確定了項目啟動所需的信息，指定了項目必需的決策者，并在高層管理人員之間建立起了聯系，明確了項目管理中人員的職責；COBIT的重點在控制和度量，該模型不僅為34個過程定義了詳細的控制目標，并且包含了成熟度模型。企業可以據此來確定IT的現在狀態和未來的狀態，結合控制目標和績效指標，衡量組織是否能達到關鍵目標指標中所設定的業務活動目標，然后采取措施改進。

2.3 作用不同

ITIL基于服務生命周期的思想，所以有助于梳理服務管理的流程，組織可以根據流程逐步實現IT服務管理的目標，也可以據此來發現現有流程中的缺陷；ISO／IEC 17799/27002能夠增強組織在識別、防止、減少和控制組織信息安全風險方面的能力，PDCA的每次循環都會使所運營的信息安全體系的績效更趨近與相關方面對信息安全的要求和預期；PRINCE2為管理項目提供支持，保證項目的質量和順利完成；COBIT采用系統生命周期的思想，提供了關于控制的清晰策略，規范了企業的業務流程，為每個流程的實施都提供了控制框架。

2.4 對應的治理要素不同

如果我們把IT治理的要素分為五大類，即：組織結構和角色、量度、過程、技術、控制，那么ITIL對應的是組織結構和角色、過程、技術；ISO／IEC 17799/27002對應組織結構和角色；PRINCE2對應組織結構和角色、過程；COBIT對應量度、過程、控制。

2.5 適用人群不同

ITIL適用于T服務管理的責任人員，從IT主管、首席信息官到實務工作者、IT支持技術人員和管理人員都應該應用；ISO／IEC 17799/27002適用于信息安全的負責人員；PRINCE2適用于項目經理、有項目決策權的高級管理人員；COBIT框架著重讓人們理解IT業務需求，重點關注企業需要什么，而不是需要企業如何做，它只是一個控制框架而不是具體過程架構。這使得COBIT對公司主管、企業領導人及其資深IT經理具有很大的吸引力，而對那些更需要提供如何執行的具體指導的IT新手來說作用不大。

3 結論

ITIL、ISO/IEC17799/27002、Prince2、COBIT都是IT治理領域出色的模型，對它們的取舍關鍵在于企業的真正需求。每個模型都有各自不同的應用領域和關注的重點，采用不同的模型給組織帶來的結果必然不同。在具體的選擇過程中，我們要根據企業的實際需要，考慮需解決的關鍵問題，選用某個模型或把幾個模型組合起來應用。總之要把能切實解決問題放在首位。組織還應開展適當的培訓，讓涉及到的相關人員做好準備，宣傳變革的益處，從而保障模型的順利實施。此外，其他企業的成功案例、咨詢機構等都會對模型的實施提供很大的幫助，我們不能閉門造車，要多方面合作促成模型的成功運用。

[1] ITGI.COBIT4.1[EB].www.itgi.org, 2007.

[2] ITGI and OGC. Aligning COBIT, ITIL and ISO 17799 for Business Benefit, 2005.www.isaca.org/research.

[3] 陶黎娟.IT環境下我國財務報告內部控制研究[D].廈門:廈門大學博士學位論文,2009.

[4] 王海林.國際上與信息技術相關的內部控制框架與規范分析[J].中國管理信息化,2009,12（14）：8-10.

[5] 王德祿.IT治理的理論研究與實踐[J].生產力研究,2006,（5）:14-16.

[6] 鄭煦平,陽杰.COBIT的解讀及其在我國的應用[J].生產力研究,2009,（17）:154-156.

[7] 計春陽,唐志豪,胡克瑾.企業IT治理實施框架模型研究[J].情報雜志,2008,（5）:60-63.

[8] 胡為民.內部控制與企業風險管理—實務操作指南[M]．北京：電子工業出版社,2009.