构建全面的IT治理体系（二）

上期内容回顾（构建全面的IT治理体系（一） ）：IT治理定义，为什么要作IT治理，IT治理可以解决哪些问题？IT治理的目标和领域。

IT治理的核心思想

为了达到IT治理的三大目标，IT治理需要处理哪些问题，IT治理的核心思想是什么？IT治理的核心思想，就是有效的IT治理必须解决的三个问题：

1. 为了保证有效地管理和使用IT，应当做出怎样的决策？

2. 由谁做出这样的决策？

3. 如何做出这些决策以及如何监控这些决策？

对于这三个问题我们一一做出探讨。

IT治理要做出哪些决策

我们给出IT治理的5大决策方向（见下图）：

图1 IT治理的5大决策方向

这五个决策是彼此相关的，有效的治理必须关注它们之间的关联性。举例来说，IT原则驱动着整体架构的形成，而整体架构又决定了基础设施。这种基础设施所确定的能力又决定着基于业务需求（通常由业务流程的管理者确定）的应用的构建。最后，IT投资必须为IT原则、整体架构、基础设施和应用需求所驱动。IT治理需要确定每一个决策该由谁来负责输入，以及由谁来负责做出决策。

由谁做出这样的决策

可以通过治理设计框架来解决（见下图）：

在此我们给出的是IT治理设计框架最基本的架构，可以在任何一个企业进行实施。这个架构勾画出了企业的战略和组织、IT治理安排以及业务实施目标的协调一致性（水平箭头）。战略和组织、IT治理安排以及业务实施目标这三者分别通过IT组织和期望行为、治理机制、以及度量指标得以确定。这个框架也同时阐明了IT治理与其他关键资产治理保持协调一致的重要性。

图2 IT治理设计框架

如何监控和评估这些决策

可以通过关键成功因素、成熟度模型、关键目标指标、关键绩效指标四个方面的有机作用，确保决策及IT治理的成功。

• 关键成功因素

关键成功因素为管理部门控制信息技术及其处理过程提供了实施指南。它们是信息技术处理过程中的最关键的要素，是战略性的、技术性的过程或活动，勾画出了IT的控制轮廓。

关键成功因素是为提高处理过程的成功可能性所做的最重要的事，通常与组织的目标保持一致，是组织和处理过程的可观察可测量的特征，分布于企业的战略层、战术层、应用层及组织的各个方面，可以通过目标分解与识别的方法选择关键成功因素。

• 关键目标指标

关键目标指标是指通过创建和维护一套处理和控制适当业务绩效的系统，来指导并监督IT传递的商业价值。

关键目标指标是处理目标的一种表达，明确要取得什么目标，并描绘处理的结果，进行事后评判，直接体现处理过程的完成成功与否，间接体现处理带给经营活动的价值。

• 关键绩效指标

关键绩效指标对关键成功因素进行评价，通过监测某IT处理过程的执行情况，告诉管理层该处理是否满足其经营需求。关键绩效指标是IT处理过程的性能指标，表现为IT的实际业绩。通过有效性、保密性、完整性、可用性、一致性、可靠性等指标来测定IT的绩效。下表列出对企业具有普遍性意义的关键绩效指标。

• 成熟度模型

IT成熟度模型制定了一个基准，组织可能根据上面的指标确定自己的等级，从而了解自身目前的境界。

对于监控和评估决策，在COBIT体系中，有着较为清晰明确的最佳实践。

1. 构建全面的IT治理体系

1.1. IT治理体系、模型介绍

IT治理领域存在一些先进的最佳实践与国际标准，这些标准反映了大量企业的经验结晶，并有专业监管实体维护。采用标准的IT治理架构可以给企业带来诸多收益。如美国堪萨斯州把COBIT标准作为虚拟政府策略的一部分，结果降低了运营成本，并为它的客户和委托人提供了很高质量的服务。Proctor＆Gamble在采用ITIL标准的四年里，节省超过5亿美金的预算。同时Procter＆Gamble内部财务和IT部门的调查显示，其运作费用降低6％～8％，而技术人员的人数减少15％～20％。ISO/IEC17799是成为国际标准最快的一个标准，ISO/IEC17799的前身BS7799是卖出拷贝最多的管理标准，目前已有二十多个国家引用BS7799-2作为国标，各大信息安全公司也都以BS7799为指导向客户提供信息安全咨询服务。下面我们就几个通用的IT治理体系架构和标准进行介绍：

（1）COBIT

The Control Objectives for Information and related Technology (COBIT)，最新标准是4.1版。由Information Systems Audit and Control Association (ISACA)出版，最早在1996年发布。COBIT架构由34个高层控制目标和318个细节控制目标组成，通过定义这些目标，可以帮助维护企业业务对IT的有效控制。该标准比较完善，所有的COBIT文档集合可以在线获得，包括executive summary、架构、控制目标、审计指引、管理指引和实现指引。

（2）ISO 17799

International Organization for Standardization国际标准组织的ISO-17799，目前最新的版本是ISO-27001，全称为“信息技术——信息安全管理实践代码”，该标准首先于2000年12月由ISO发布。该标准基于英国标准7799，英国标准曾有很多版本，开始于1995年。ISO 17799的目的是关注于安全，并且辅助企业创造有效的IT安全计划。该标准有以下的高层次内容：安全政策、组织安全、资产分散和控制、个人安全、物理和环境安全、通讯和操作管理、进入控制、系统开发和维护、业务持续性管理和适应性。

（3）ITIL

Information Technology Infrastructure Library (ITIL)由United Kingdom's Office of Government Commerce (OGC)维护，二十世纪八十年代末根据很多组织的输入开发。该标准为IT服务管理的最佳实践。主要关注10个流程：服务级别管理、IT服务财务管理、能力管理、IT服务连续性管理、可用性管理、事件管理、问题管理、变更管理、发布管理、配置管理。

什么标准最好？

存在如此多的IT治理的体系和标准，那么哪种标准最好？我们说没有最好，只有最适合。COBIT在IT控制和量度指标方面最强。ISO17799覆盖IT安全，而ITIL重点在于流程，尤其是IT服务相关的部分。组织不应该仅仅选择一个，而应该对三个标准进行总体浏览，然后计划一个方法，通过该方法混合每种标准中最好和最适合本企业部分。比如，客户或者监管实体可能需要组织采用ISO17799，结果是至少可以将该标准作为初始切入点，但从长远来看，同样的公司最终也可以在远景中包括其他标准。

下图为各种标准比对：

图3 IT治理标准比较

1.2. 构建全面的IT治理体系理论模型

IT治理体系保证总体战略目标能够从上而下贯彻执行。IT治理和其它治理活动一样，集中在最高管理层（董事会）和执行管理层。然而，由于IT治理的复杂性和专业性，治理层必须强烈依赖企业的下层来提供决策和评估活动所需要的信息。为保证有效的IT治理，下层应用要和企业总体目标采用相同的原则，提供评估业绩的衡量方法。因此，好的IT治理实践需要在企业全部范围内推行。

构建全面的IT治理模型首先要解决董事会、执行管理层、业务及服务部门三者的任务和使命，弄清其中的关系。

图4 董事会执行管理层业务及服务部门三者任务及关系

IT治理使得最高管理层（董事会）和执行经理的一系列活动成为可能。这些活动主要包括：IT的目标，新技术的机遇和风险，关键过程与核心竞争力。如指导信息技术的职能和对企业的影响，分配责任，定义操作，衡量业绩，管理风险和获得保证的约束等。

IT治理体系理论模型

明确了企业各个层面在IT治理体系中的任务和使命的基础上，我们提出了IT治理体系的理论模型。这个理论模型是基于对现行的各种IT治理体系结构和国际标准的基础上建立的。企业IT面临的变化和问题，体现在IT体系的核心三要素技术、人员、流程上，通过建立全面的IT治理体系可以解决企业IT面临的所有问题。

图5 构建全面的IT治理体系

全面的IT治理体系分为三层，底层有ISO/IEC27001支撑的IT基础架构、IT安全，负责IT架构管理、统一的监控与性能管理、安全管理、端到端的应用管理。中层由ITIL3.0 ISO/IEC 20000为支撑的IT服务管理，关注IT服务，运营层面，包括服务设计及管理、服务交付保障、实施测试与发布、服务运维管理。顶层是由COBIT4.1 ISO/IEC 38500支撑的治理结构，其三大核心职能指导、评价、监控。确保企业的IT战略与企业战略一致，IT通过明确的期望和衡量手段交付、指导IT战略、平衡支持企业成长的投资、指导信息资源的分配。

整个IT治理理论体系框架，可以借助COBIT的管理指南（最佳实践的决策事项，和决策人RACI图，来建立决策体系，过程KPI和目标来建立监控和评估指标，成熟度模型来衡量企业IT治理的水平，详细控制目标可以做为IT审计和IT内控的目标。ITIL服务支持和服务提供流程，做为企业IT服务管理的流程的最佳实践，联系企业的业务需求与IT服务的提供（包括内部和外部IT供应商），借助统一的IT服务平台管理企业所有的IT服务。ISO/IEC 27001做为企业IT架构安全管理的标准。综合应用诸多的IT治理体系框架和国际标准，才能打造最完备的IT治理体系。

通过建立全面的IT治理体系统一IT技术、IT人员、IT流程，除了可以满足SOX合规要求之外，真正的使企业的IT和业务保持一致，发挥出IT的最大价值，管理好企业的IT体系。

1.3. AMT IT治理方法论介绍

从IT治理的理论体系框架到企业的具体应用，需要大量的工具手段，AMT在IT治理领域积累了大量的理论和实践经验，对于如何将IT治理体系真正运用到企业之中有一整套的方法论支撑（见下图）。通过AMT IT治理咨询服务方法论，可以将IT治理的理论模型真正运用到企业的实践，建立起符合企业本身特点的IT治理体系。

IT治理和企业持续性发展息息相关，从IT治理理论体系到具体的企业实践必将是一个长期的、不断深入的过程，笔者愿意与各方一起为IT治理在中国企业的应用做出努力。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友