IT治理的模型与应用

【摘要】随着信息技术的快速发展，组织对IT的投资迅速增加，IT治理成为企业界和研究者所共同关注的问题。本文对IT治理的主要工具进行了回顾，并从领域目标，作用和治理领域四个领域分析ITIL,ISO/IEC17799/27002,PRINCE2,COBIT和CISR模型，以期对IT治理工具有更全面的认识，提高组织IT治理水平。 【关键词】 IT 治理 治理模型 模型比较 治理现状

【Abstract】With the speedy development of information technology，the IT investment has a rapid increase inthe organization． Enterprise and researcher pay more attention on the 1T governance ．This paper reviews the IT governance tools firstly，and has a parative analysis of ITIL,ISO/IEC17799/2700,PRINCE2,COBIT and CISR from the field ,the focus, the effectand governance elements the four items．It will help organizationhas a overall understand to IT governance and improve the IT governance leve1．

【Key words】IT governance, Governance model, Model pare, Condition of governance

一、引言

（一）I T治理的产生和发展

IT 治理是信息系统审计和控制领域中的一个新兴的名词，用于描述企业或政府是否采用有效的机制，使得IT 的应用能够完成组织赋予它的使命，平衡信息技术与过程的风险、确保实现组织的战略目标。IT 治理是一个全面的术语，包含信息系统、技术通信、业务法律与其他问题；涉及所有股东、董事会、高级管理层、管理执行层、过程所有者、IT 供应商、用户、审计师等利益相关者，治理的目的是保证IT 与企业目标的一致性。许多国家已经开始研究IT 治理理论，并开发了IT 治理的实践模型。

（二）I T治理的定义

1 / 7

IT 治理定义, 目前还没有统一的答案。许多研究学者和机构从不同的视角给出了IT 治理的定义, 其中有代表性的有如下几个: 国际贸易和行业部门1999年给出定义：组织对IT 发展的控制、战略实施、引领IT 向适合的方向发展, 以帮助组织获得竞争优势的能力。2001年IT治理协会也给出定义：IT 治理主要是董事会和执行层的责任, 是企业治理的重要组成部分, 通过领导、组织和过程来保证IT 实现和推动企业战略目标的发展。Peter Weill则认为IT 治理是在IT 应用过程中, 为鼓励期望行为而明确的IT 决策权和责任框架。以上定义表述虽有不同, 但核心内容是一致的。他们都强调IT 与业务的融合, 以达到帮助组织实现战略目标, 获取竞争优势的目的。IT 治理协会更是明确地说明它是公司治理的重要组织部分。

（三）IT 治理的重要性及与公司治理的关系

IT治理在企业中起到非常重要的作用，企业根据利益相关者的期望，在IT 的帮助下衍生出新的经营模式，企业在竞争中谋求生存、发展和壮大，只能借助于对IT 框架结构进行合理的治理。IT 治理责任属于董事会对公司治理责任框架的一部分，应该成为董事会战略议程的事项。简言之，在高度依赖IT 系统的情况下，治理应该是有效的、透明的和履行受托责任的。公司治理侧重于企业整体规划，IT 治理则侧重于企业信息资源的有效利用和管理。IT 治理有助于董事会和管理者们理解IT 的战略重要性和相关的IT 问题，帮助企业实施面向未来的战略并实现持续经营，同时，它亦能确保对IT 的期望得以实现，而且解决风险问题。鉴于IT 治理的复杂性和专业性， 董事会和执行经理必须为此指明方向，坚持进行控制，但同时又依赖于企业的基层管理人员提供决策和评估信息。要使IT 治理有效，基层管理人员需要运用同样的IT 治理原则来确定目标，提供或取得相应的指导，提供绩效标准并进行评价等。很显然，只有将IT 治理目标在战略层和其他层面分解时它才可能取得成效。

（四）IT 治理的关键领域与内容

成功的企业能够理解IT 风险，发掘并利用IT 的优势，如始终保持IT 战略与企业战略协同一致；把IT 战略分解到企业的各个层面，为企业提供便于实施战略、实现目标的组织结构；在企业与IT 之间， 企业与外部合伙人之间建立建设性的关系并进行有效沟通； 坚持采纳并实施IT 控制框架；衡量IT 绩效

2 / 7

等。从根本上说，IT 治理关注两个方面：IT 的价值传递和IT 风险的规避。IT 的价值传递主要取决于IT 的目标与企业目标是否在战略上保持协同一致。IT 风险的规避则需要将受托责任分解于企业各个层面。这两个方面的实现都有赖于充分的资源保障。IT 治理应该体现“以组织战略目标为中心”的思想，通过合理配置IT 资源创造价值。IT 治理包括五个关键领域， 即价值传递、风险管理、战略协同、资源管理和绩效评估，他们都受利益相关者价值的驱动。其中，价值传递和风险管理是结果，战略协同、资源管理和绩效评估是过程。IT 治理是可以看做是一个连续的循环，可以从任何一个点切入。IT 治理可以确保IT目标的实现，IT 风险的规避，支持企业可持续发展。为了确保IT 治理在正确的轨道上运行和发展， 公司有必要根据环境和需求制定有效的行动计划。IT 治理就是为鼓励IT应用的期望行为， 和明确的决策权归属和责任担当框架，是行为而不是战略创造价值，因此，任何战略的实施都要落实到具体的行为上。

二、IT治理的模型 （一）ITIL 模型

ITIL 的全称是信息技术基础架构库（IT InfrastructureLibrary），是由位于英国Norwich 的政府商务部在20 世纪80 年代中期，为提高英国政府部门服务质量而开发的针对IT 行业的服务管理标准库，属于全球X围内IT 服务管理领域较为成熟的时间框架之一。ITIL 提供各种IT 服务管理的最佳实践信息，包括可以根据各机构的具体情况定制的详细的流程，活动要求、步骤、规则和职责。这些实践包含一系列流程，涉及任何IT 部门都必须提供的各种主要活动。这些流程可以分为两大类：服务支持和服务交付。其中服务支持是满足客户需求的日常运作基础服务，ITIL 规X定义了服务支持的五个主要流程和一个服务台工具，包括突发事件管理、问题管理、变更管理、配置管理、版本管理和服务台功能。服务交付是帮助IT 机构提供必要业务服务，包括服务水平管理、可用性管理、IT 服务的财务管理、容量管理、IT 服务连续性管理等五个能够相互转换的流程，它们都与优质IT 服务的计划和交付密切相关。

（二）ISO／IEC 17799/27002 模型

3 / 7

ISO／IEC 17799/27002 的前身是BS77991，其是由DTI（英国贸工部）立项，由政府、业界和商业机构共同倡导的，可供开发、实施和测量有效安全管理的惯例，它是贸易伙伴之间信任的通用框架。国家标准化组织在2000 年对BS77991 进行了认证，颁布了ISO/IEC17799，2002年英国标准协会正式引入PDCA 过程模型（PDCA:Plan—Do—Check—Act）；BS77991 对安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用；该标准为开发组织的安全标准和有效的安全管理做法提供公共基础，并为组织之间的交往提供信任。BS77992 详细说明了建立、实施和维护信息安全管理体系的要求，可用来指导相关人员去应用ISO/IEC 17799，其最终目的在于建立适合企业需要的信息安全管理体系。该模型为信息系统的安全控制提供了实用指南。

（三）PRINCE2 模型

PRINCE 是Project IN Controlled Environment（受控环境下的项目管理）的简称。PRINCE2 由英国政府商务部（OGC）所有，于1996 年开始推广。PRINCE2 描述了如何以一种逻辑性的、有组织的方法，按照明确的步骤对项目进行管理。它不是一种工具也不是一种技巧，而是结构化的项目管理流程。这也是为什么它容易被调整和升级，适用于所有类型的项目和情况，当然也适用IT 项目的管理。PRINCE2 使用一系列的8 个过程来描述一个项目在何时发生了什么。这些过程涵盖了从项目开始到项目结束的所有活动，包括项目启动、项目准备、项目指导、项目阶段控制、产品交付管理、阶段边界管理、项目收尾、项目计划八个过程，可以根据个人的需要对其进行缩减和调整。每个过程鼓励对项目责任正式的确认，强调项目交付什么、为何交付、交付时间、为谁交付。此外，该方法还包括8 个部件和3 个技巧。8 个部件是：商业论证、组织、计划、控制、风险管理、项目环境下的质量管理、配置管理、变更管理。3 种技巧是：基于产品的规划、质量检查技巧、变更控制技巧。

（四） COBIT 模型

COBIT（信息及相关技术的控制目标）由美国信息系统审计与控制协会（ISACA）出版，最早在1996 年发布，现已发布了第四版，目前已成为国际上公认的最先进、最权威的信息技术管理、控制和审计的标准。COBIT 将IT 过程、IT 资源及信息与企业的策略与目标联系起来，形成了一个三维的体系结构，

4 / 7

从而将IT 治理的目标与企业的战略目标联系统一起来，核心思想可以概括为：为了实现企业目标，企业需要投资到可以控制的IT 资源中去，在IT 过程中合理利用IT 资源，以交付企业所需要的信息。该模型采用信息系统生命周期的思想，将信息技术流程共分为三个层次，即为四个域、34 个处理过程及210 个任务活动。其中四个域的内涵为：计划和组织域、获取和实施域、交付和支持域和监控和评价域。

（五）CISR模型

斯隆管理学院信息系统研究中心的Peter Weill教授和他的研究团队调查了全世界的诸多大型组织，建立了分析治理的实践框架, 我们称之为CISR模型。Peter Weill教授发现一般企业采用的是被广为接受的执行标准, 即由董事会和高管层牢牢控制决策权。随后对个国家的个企业进行了相关研究, 发现五个关键领域, 在这五个关键领域谁做决策和如何决策是区别治理优秀企业和一般企业的标志, 是治理的关键领域。对应于每个关键领域有不同的决策方式, 可分为六类企业君主式决策,高级管理层拥有决策权部门君主式决策, 信息技术部门、专家拥有决策权事业部领地式决策，每个事业部拥有独立的决策权。在确定了应做出哪些决策、谁来做的问题后, 就要解决如何做出决策和实施监督的问题：即设计和实施治理机制。该研究认为，机制应能够促成所希望行为的产生。希望的行为是组织信仰和文化的具体化, 在每一个组织中都是不同的,明确的所希望行为的产生是有效治理的关键。他们强调是行为而不是战略创造价值。

三IT治理主要模型之间的比较 （一）应用领域不同

ITIL 关注的主要是IT 服务管理，该模型认为服务战略是基础，交付IT 服务对企业具有战略意义，也是IT 组织的战略目标；ISO／IEC 17799/27002 适用于企业的信息安全管理，基础是计划—执行—检查—采取行动（PDCA）循环，通过该循环为信息安全管理体系周而复始的创建、发展、运营和维护提供了一个框架；PRINCE2 主要用于项目管理，通过过程和部件的组合，为项目管理提供了一种规X的方法；COBIT 用于管理 IT 业务流程，通过对关键IT 过程进行有效监控，实现对业务流程中资源的有效利用，从而改善管理效率和服务质量。

5 / 7

CISR模型是基于治理如下的概念而设计的治理是对信息技术投人和使用的权力划分和责任分配, 并形成组织所希望的行为。

（二） 重点不同

ITIL 的重点是过程管理，该模型的最新版V3 采用服务生命周期的思想组织主题，核心的出版物包括：服务战略、服务设计、服务过渡、服务运营、持续服务改进，一系列的出版物涵盖了服务生命周期的所有基础方面；ISO/IEC17799/27002 侧重于安全控制，该标准提供了信息安全的基线，每一安全控制大类覆盖了不同的主题和区域，利用该准则人们可以识别与特定企业或特定责任领域相适应的安全控制问题；PRINCE2 强调项目的可控性，它确定了项目启动所需的信息，指定了项目必需的决策者，并在高层管理人员之间建立起了联系，明确了项目管理中人员的职责；COBIT 的重点在控制和度量，该模型不仅为34 个过程定义了详细的控制目标，并且包含了成熟度模型。企业可以据此来确定IT 的现在状态和未来的状态，结合控制目标和绩效指标，衡量组织是否能达到关键目标指标中所设定的业务活动目标，然后采取措施改进。CISR模型机制应能够促成所希望行为的产生,希望的行为是组织信仰和文化的具体化，在每一个组织中都是不同的，明确的所希望行为的产生是有效治理的关键。

(三) 作用不同

ITIL 基于服务生命周期的思想，所以有助于梳理服务管理的流程，组织可以根据流程逐步实现IT 服务管理的目标，也可以据此来发现现有流程中的缺陷； ISO /IEC17799/27002 能够增强组织在识别、防止、减少和控制组织信息安全风险方面的能力，PDCA 的每次循环都会使所运营的信息安全体系的绩效更趋近与相关方面对信息安全的要求和预期；PRINCE2 为管理项目提供支持，保证项目的质量和顺利完成；COBIT 采用系统生命周期的思想，提供了关于控制的清晰策略，规X了企业的业务流程，为每个流程的实施都提供了控制框架。CISR既保证决策的科学性, 也保证了决策权力、责任及利益的合理划分和分配。其次, 重视所希望行为的产生和组织文化的作用, 使得治理从制度的层面规X组织结构、业务流程、管理模式等。

（四） 对应的治理要素不同

6 / 7

如果我们把IT 治理的要素分为五大类，即：组织结构和角色、量度、过程、技术、控制，那么ITIL 对应的是组织结构和角色、过程、技术；ISO／IEC 17799/27002 对应组织结构和角色；PRINCE2 对应组织结构和角色、过程；COBIT对应量度、过程、控制。CISR对应的是角色，过程和控制。

ITIL、ISO/IEC17799/27002、PRINCE2、COBIT和CISR都是IT 治理领域出色的模型，对它们的取舍关键在于企业的真正需求。每个模型都有各自不同的应用领域和关注的重点，采用不同的模型给组织带来的结果必然不同。在具体的选择过程中，我们要根据企业的实际需要，考虑需解决的关键问题，选用某个模型或把几个模型组合起来应用。总之要把能切实解决问题放在首位。组织还应开展适当的培训，让涉及到的相关人员做好准备，宣传变革的益处，从而保障模型的顺利实施。

四、我国I T治理现状

目前我国外部市场监控机制尚不健全，公司治理结构中的监控职能被严重削弱，并使董事会失去监督，风险管理意识淡薄，安全上采用纯粹技术手段解决。缺乏优良公司治理和IT 治理机制是一些国内企业与金融机构无法抵御全球经济低迷和无法适应市场环境快速变化的重要原因之一，加强IT 治理实质上是一个政府和企业机构必须携手面对的问题。政府必须扮演一个重要的推动角色，并且尤其需要强调的是政府制定规则比较合理的方法是通过听证会或知情会上下协商、交互式的制定规则，这样才能解决规则的充分合法性、可执行问题。

参考文献

[1]X金城.《信息系统审计》.清华大学

[2] 王海林.国际上与信息技术相关的内部控制框架与规X分析[J].中国管理信息化,2009,12（14）：8-10.

[3] 王德禄.IT 治理的理论研究与实践[J].生产力研究,2006,（5）:14-16.

[4] X煦平,阳杰.COBIT 的解读及其在我国的应用[J].生产力研究,2009,（17）:154-156. [5] 计春阳,唐志豪,胡克瑾.企业IT 治理实施框架模型研究[J].情报杂志,2008,（5）:60-63.

7 / 7