I治理的模型與應(yīng)用

IT治理的模型與分析【摘要】隨著信息技術(shù)的快速發(fā)展，組織對IT的投資迅速增加，IT治理成為企業(yè)界和研究者所共同關(guān)注的問題。本文對IT治理的主要工具進行了回顧，并從領(lǐng)域目標，作用和治理領(lǐng)域四個領(lǐng)域分析ITIL,ISO/IEC17799/27002,PRINCE2,COBIT和CISR模型，以期對IT治理工具有更全面的認識，提高組織IT治理水平?！娟P(guān)鍵詞】IT治理治理模型模型比較治理現(xiàn)狀【Abstract】Withthespeedydevelopmentofinformationtechnology，theITinvestmenthasarapidincreaseintheorganization．Enterpriseandresearcherpaymoreattentiononthe1Tgovernance．ThispaperreviewstheITgovernancetoolsfirstly，andhasacomparativeanalysisofITIL,ISO/IEC17799/2700,PRINCE2,COBITandCISRfromthefield,thefocus,theeffectandgovernanceelementsthefouritems．ItwillhelporganizationhasaoverallunderstandtoITgovernanceandimprovetheITgovernanceleve1．【Keywords】ITgovernance,Governancemodel,Modelcompare,Conditionofgovernance一、引言（一）IT治理的產(chǎn)生和發(fā)展IT治理是信息系統(tǒng)審計和控制領(lǐng)域中的一個新興的名詞，用于描述企業(yè)或政府是否采用有效的機制，使得IT的應(yīng)用能夠完成組織賦予它的使命，平衡信息技術(shù)與過程的風(fēng)險、確保實現(xiàn)組織的戰(zhàn)略目標。IT治理是一個全面的術(shù)語，包含信息系統(tǒng)、技術(shù)通信、業(yè)務(wù)法律與其他問題；涉及所有股東、董事會、高級管理層、管理執(zhí)行層、過程所有者、IT供應(yīng)商、用戶、審計師等利益相關(guān)者，治理的目的是保證IT與企業(yè)目標的一致性。許多國家已經(jīng)開始研究IT治理理論，并開發(fā)了IT治理的實踐模型。（二）IT治理的定義IT治理定義,目前還沒有統(tǒng)一的答案。許多研究學(xué)者和機構(gòu)從不同的視角給出了IT治理的定義,其中有代表性的有如下幾個:國際貿(mào)易和行業(yè)部門1999年給出定義：組織對IT發(fā)展的控制、戰(zhàn)略實施、引領(lǐng)IT向適合的方向發(fā)展,以幫助組織獲得競爭優(yōu)勢的能力。2001年IT治理協(xié)會也給出定義：IT治理主要是董事會和執(zhí)行層的責(zé)任,是企業(yè)治理的重要組成部分,通過領(lǐng)導(dǎo)、組織和過程來保證IT實現(xiàn)和推動企業(yè)戰(zhàn)略目標的發(fā)展。PeterWeill則認為IT治理是在IT應(yīng)用過程中,為鼓勵期望行為而明確的IT決策權(quán)和責(zé)任框架。以上定義表述雖有不同,但核心內(nèi)容是一致的。他們都強調(diào)IT與業(yè)務(wù)的融合,以達到幫助組織實現(xiàn)戰(zhàn)略目標,獲取競爭優(yōu)勢的目的。IT治理協(xié)會更是明確地說明它是公司治理的重要組織部分。（三）IT治理的重要性及與公司治理的關(guān)系IT治理在企業(yè)中起到非常重要的作用，企業(yè)根據(jù)利益相關(guān)者的期望，在IT的幫助下衍生出新的經(jīng)營模式，企業(yè)在競爭中謀求生存、發(fā)展和壯大，只能借助于對IT框架結(jié)構(gòu)進行合理的治理。IT治理責(zé)任屬于董事會對公司治理責(zé)任框架的一部分，應(yīng)該成為董事會戰(zhàn)略議程的事項。簡言之，在高度依賴IT系統(tǒng)的情況下，治理應(yīng)該是有效的、透明的和履行受托責(zé)任的。公司治理側(cè)重于企業(yè)整體規(guī)劃，IT治理則側(cè)重于企業(yè)信息資源的有效利用和管理。IT治理有助于董事會和管理者們理解IT的戰(zhàn)略重要性和相關(guān)的IT問題，幫助企業(yè)實施面向未來的戰(zhàn)略并實現(xiàn)持續(xù)經(jīng)營，同時，它亦能確保對IT的期望得以實現(xiàn)，而且解決風(fēng)險問題。鑒于IT治理的復(fù)雜性和專業(yè)性，董事會和執(zhí)行經(jīng)理必須為此指明方向，堅持進行控制，但同時又依賴于企業(yè)的基層管理人員提供決策和評估信息。要使IT治理有效，基層管理人員需要運用同樣的IT治理原則來確定目標，提供或取得相應(yīng)的指導(dǎo)，提供績效標準并進行評價等。很顯然，只有將IT治理目標在戰(zhàn)略層和其他層面分解時它才可能取得成效。（四）IT治理的關(guān)鍵領(lǐng)域與內(nèi)容分成功的企業(yè)似能夠理且解挺IT善尺風(fēng)險，發(fā)掘雞并利瞎用書IT淚窄的優(yōu)勢，如辯始終保席持績IT倡插戰(zhàn)略與企業(yè)畫戰(zhàn)略協(xié)同一均致；恭把悲IT掀戰(zhàn)略分解到旦企業(yè)的各個揚層面，薯為企業(yè)提供趙便于實施戰(zhàn)忠略、實現(xiàn)目樸標射的組織結(jié)構(gòu)油；在企業(yè)鳴與尿IT委遲之間般，元畢企業(yè)叫與外部合伙誦人之間建立斜建設(shè)性的關(guān)結(jié)系并進行有疫效溝通類；助輪堅持采納并屯實順施押IT藍博控制框架；款衡側(cè)量像IT么吸績效等。從貌根本上說本，妖IT血驟治理關(guān)注兩孩個方面值：痛IT咽妙的價值傳遞逮和菠IT胃瞎風(fēng)險的規(guī)避傾。股IT洽移的價值傳遞討主要取決礎(chǔ)于慢IT乘歲的目標與企練業(yè)目標是否匠在戰(zhàn)略上?？棾謪f(xié)同一致嘉。液IT革躲風(fēng)險的規(guī)避袖則需要將受憶托責(zé)任分解玉于企業(yè)各個葬層面。這兩莫個方面的實涼現(xiàn)都有賴于總充分的資源俯保障你。普IT歲柱治理應(yīng)該體達現(xiàn)飽“落以組織戰(zhàn)略行目標為中鮮心勞”啊的思想，通抓過合理配浩置升IT熊軋資源創(chuàng)造價算值盆。圈IT渴棚治理包括五崗個關(guān)鍵領(lǐng)舍域趨，弟倚即價值傳遞戚、風(fēng)險管理洽、戰(zhàn)略蓬協(xié)同、資源泄管理和績效關(guān)評估，他們抗都受利益相圓關(guān)者價值的江驅(qū)動。其中謀，價值傳遞月和被風(fēng)險管理是賴結(jié)果，戰(zhàn)略母協(xié)同、資源禁管理和績效皂評估是愿過程。掏IT完治理是貿(mào)可以看做是庸一個連續(xù)的須循環(huán)，可以幟從任何一個翅點切入蠅。閉IT琴楚治理可以確有保鍋I弓T蜂目標的實現(xiàn)堡，擁IT告針風(fēng)險的規(guī)避仍，支持企業(yè)叫可持續(xù)發(fā)展秘。為了確姿保孕IT醋乒治理在正確炒的軌道上運澆行和發(fā)展嚷，讓肚公司有必要捆根據(jù)環(huán)境和毅需求制定有夏效的行動計坐劃估。桐IT鈴睡治理就是為醋鼓壺勵撒I叉T瞇應(yīng)用的期望柜行為勇，廁喬和明確的決荷策權(quán)歸屬和諸責(zé)任擔(dān)當(dāng)框薄架，是行為肥而不是戰(zhàn)略駝創(chuàng)造價值，克因此，任何狹戰(zhàn)略的實施醋都要落實到退具用體的行為上雨。義二速、部I登T陸治理的模型貓（一）同ITIL明模型凳ITIL菊狼的全裂稱是信息技理術(shù)基礎(chǔ)架構(gòu)爛庫（甘ITIn槐frast泡ructu京re猶熄Libra仆r稈y廟），是鍵由位于英聰國仇Norwi宋ch殼諸的政府商務(wù)句部耕在攏20霞猾世機紀蠢80屋斃年代中期，獻為提高英國賢政府部門服茶務(wù)質(zhì)量而開互發(fā)的針晴對煙IT堤裳行業(yè)的服務(wù)線管理標準庫霧，屬于全球呀范圍使內(nèi)涼IT脈犧服務(wù)管理領(lǐng)漂域較為成熟寸的時間框架房之一撲。聽ITIL現(xiàn)朽提供各堪種弄IT顫章服務(wù)管理的刺最佳實踐信刻息，包括可患以根據(jù)各機訊構(gòu)的具體情廢況定制的詳武細的流程，楊活動要求、氏步驟、規(guī)則譽和職責(zé)。這鍵些實踐包含暖一系列流程反，涉及任逼何厘IT協(xié)身部門都必須爺提供計的各種主要參活動悔。這些流程渣可以分為福兩大類：服第務(wù)支持和服梅務(wù)交付。其辣中服務(wù)支持迷是滿足客戶玩需求的日?？眠\作基礎(chǔ)服閱務(wù)斑，更ITIL抱占規(guī)范定義了蓮服務(wù)支持的遼五個主要流濾程和并一個服務(wù)臺晃工具，包括鍛突發(fā)事件管能理、問題管車理、變更管哄理、配置管性理、版本管幸理和服務(wù)臺狼功能。服務(wù)漆交付是幫騾助所IT切黎機構(gòu)提供必觸要業(yè)務(wù)服務(wù)霸，包括服務(wù)灑水平管理、可可用性管理武、蕩IT君廉服務(wù)的財務(wù)患管理、容量頂管理臂、皂IT帝現(xiàn)服務(wù)連續(xù)性進管理等五個很能夠相互轉(zhuǎn)澡換的流程，豬它們都與優(yōu)謝質(zhì)伙IT扭予服務(wù)的計劃憶和交付密切稿相關(guān)。醋（二）交沒IS扔O輔／偏IEC1坐7799/治27002敢僵模型濃IS烏O唐／回IEC1其779飲9/270敢02站袍的前身佩是次BS77仇99針1品，其是壇由椒DT勞I累（英國貿(mào)工裕部）立項，沖由政府、業(yè)怨界長和商業(yè)機構(gòu)可共同倡導(dǎo)的絹，可供開發(fā)告、實施和測拜量有效安全因管理的慣例冒，它是側(cè)貿(mào)易伙伴之使間信任的通蘆用框架。國闊家標準化組飽織字在合2000夢器年誦對芬BS779館91高駝進行了認證譜，頒布所了搬ISO/I兼EC177簽9洗9抵，飛200立2澆年英國標準權(quán)協(xié)會正式引礦入管PDCA野液過程模型秘（爽PDCA:盈小Pla狐n平—鉆D逮o少—著Chec成k亡—活A(yù)c喘t苗）連；薄BS779瘋91封淘對安全管理堡給出建議，完供負責(zé)在其震組織啟動、從實施或維護丟安全的人員酬使用；該標某準為開發(fā)組辯織的安全標藏準和有效的想安全管理做叮法提供公共撥基礎(chǔ)，并充為組織之間芬的交往提供期信任。罪鴉BS堂77992先睡詳細說明了接建立、實施陣和維護信息嚇安全管理體曉系的要求饅，可用來指掘?qū)嚓P(guān)人員池去應(yīng)輕用申ISO/I獎EC17覆79弦9針，其最催終目的在于餐建立適合企服業(yè)需要的信挨息安全管理元體系。該模蛇型為信息系語統(tǒng)的安全控撐制提供了實災(zāi)用指南。忌（三）改PRINC槽E2竟模型臥PRINC藥E丸騰是裝Pr雨oject舌INC磚ontro賊lled殺Envir漸onmen愉t娃（受控環(huán)境衛(wèi)下的項目管愁理）的簡稱支。崖PRINC濾E2電宴由英國政府小商務(wù)部漠（假OG我C揮）所有，府于門1996票見年開始推廣未。換PRINC釣E2董獻描述了如何詠以一種邏輯徐性的、有組框織的方法，桿按照明確的芹步驟對項目貴進行管理。墨它不傻是一種工具愛也不是一種衡技巧，而是潤結(jié)構(gòu)化的項繭目管理流程栗。這也是為狂什么它容易肯被鈔調(diào)整和升級肅，適用于所廣有類型的項翠目和情況，雁當(dāng)然也兼適虛用歸IT顧扣項目的管理六。奧PRINC奴E2到村使用一系列吐的盲8懷此個過程來描沉述一個項目求在何時發(fā)生急了什么。這西些過程涵蓋誓了從項目開元始到項目結(jié)某束的所有活涂動，包括項曉目啟動、項蛛目準備、項緩目指導(dǎo)、項振目階段控制甚、產(chǎn)品交付渣管理、階段稍邊界管理、腫項目收尾、診項目計劃八停個過程，可款以根據(jù)個人正的需要對其士進行縮減和遞調(diào)整。每個墓過程鼓勵對用項目責(zé)任正巖式的確認，夾強調(diào)項俘目交付什么河、為何交付覺、交付時間芽、為誰交付惹。此外，該盾方法還包馬括見8匯任個部件愚和償3癢啄個技巧攜。燒8齒漆個部件是：著商業(yè)論證、咬組織、計劃許、控制、風(fēng)擔(dān)險管理、項瘋目環(huán)境下的腰質(zhì)量管理、柿配置管理、嗽變更管理粱。紗3亦飽種技巧是：夜基于產(chǎn)品的肺規(guī)劃、質(zhì)量騙檢查技巧、羞變更控制技貓巧。型（四）挽COBI久T逼模型蠅COBI江T股（信息及相率關(guān)技術(shù)的控危制目標）由寺美國信息系雀統(tǒng)審計與控查制協(xié)會織（院ISAC蓮A淋）出版，最絡(luò)早眉在廚1996池厲年發(fā)布，現(xiàn)彩已發(fā)布了第控四版，目前鷹已成為國際桐上公認的最段先進、最權(quán)床威的信息技穴術(shù)管理、控增制和審計的核標準勉。辯COBIT舟碗將遙IT煩宵過程朵、翼IT乓挖資源及信息躬與企業(yè)的根策略與目標司聯(lián)系起來，跳形成了一個煤三維的體系匹結(jié)構(gòu)，從而題將術(shù)IT蝦躁治理的目標笛與企業(yè)棟的戰(zhàn)略目標季聯(lián)系統(tǒng)一起修來，核心思撤想可以概括蒜為：為了實框現(xiàn)企業(yè)目標跟，企業(yè)需要摘投資到可以奔控制灣的詠IT嬸桿資源中去，恐在旺IT研逃過程中合濤理利抗用柔IT返助資源，以交怠付企業(yè)所需起要的信息。弱該模型采用竊信息系統(tǒng)生逝命周期的思樹想，將信息泊技術(shù)流程共射分為三個層賽次，即為四驅(qū)個域奔、粗34架親個處理過程抬及夜210譯鑼個任務(wù)活動獵。其中四個禿域的內(nèi)涵為閘：計劃和組下織域農(nóng)、獲取和實體施域涂、交付和支薦持域和監(jiān)控昌和評價域。腦（五）引遠CIS蜻R懸模型納斯隆管理學(xué)盞院信息系統(tǒng)震研究中心的廚Peter想Weil困l犧教授和他的淹研酒究團隊調(diào)查鑒了全世界的勁諸多大型組涌織尾，煤地建立了分析添治理的實踐貌框悅架低,掠靈我們稱之為槳CISR脅模型。謊Peter攝Weil甲l母教授懼發(fā)現(xiàn)億一般企業(yè)采蛇用的是被廣漂為接受的執(zhí)證行標制準腿,則即由董事會逆和高管層牢記牢控制看決策權(quán)。噸隨后對個國播家的個企業(yè)槍進行了相關(guān)功研棉究仙,言發(fā)現(xiàn)五個夏關(guān)鍵領(lǐng)王域立,菠柳在這五個關(guān)蠶鍵領(lǐng)域誰做津決策和如何樹決策是區(qū)別標治理優(yōu)秀企啦業(yè)和一般企威業(yè)的標令志勸,言訓(xùn)是治理的關(guān)尋鍵領(lǐng)域。對撞應(yīng)于每個關(guān)稀鍵領(lǐng)域有不春同的決策方箱式株,男者可分為六類魔企業(yè)君主式焦決婦策科,異高級管理層假擁有決策權(quán)畢部門君主式下決令策咳,傅芝信息技術(shù)部宇門、專家擁紋有決策權(quán)事桶業(yè)部領(lǐng)地式御決策光，漠每個事業(yè)部蛾擁有獨立的秘決策擾權(quán)歲。奮在確定了應(yīng)納做出哪些決擦策、誰來做趙的問題誰后虹,丙就要解決如置何做出決策損和實施監(jiān)仔督的問題：償即設(shè)計和實違施治理機制性。該研究認脅為畝，唯機制應(yīng)能夠奏促成所希望松行為的產(chǎn)生甘。希望的行酷為是組織信乘仰和文化的項具體佳化作,晝禁在每承一個組織中鋸都是不同的玩,洽明確的所希能望行為的產(chǎn)摩生是有效治潔理的關(guān)鍵。潑他們強調(diào)是巡行為而不是虹戰(zhàn)略創(chuàng)造價紅值?？s三革墓晃IT后治理主要付模型之間的筋比較察（一）應(yīng)鞠用領(lǐng)域不同鷹ITIL甜騾關(guān)注的主要獄是毫IT液鏡服務(wù)管理，濱該模型認為勒服務(wù)戰(zhàn)略是通基礎(chǔ)，交憂付末IT縣效服務(wù)對企業(yè)遺具有戰(zhàn)略意征義，也司是含IT叛遭組織的戰(zhàn)略赤目標伯；肝IS悄O赤／窩IEC1撒7799/努27002問窮適用盈于企業(yè)的信滿息安全管理羽，基礎(chǔ)是計輝劃桿—雨執(zhí)坊行龍—香檢炮查栗—戶采取行動弟（蠻PDC錯A偏）循環(huán)，通娘過該循環(huán)為假信息安全管邊理體系周而黑復(fù)始的創(chuàng)建闖、發(fā)展、運喘營和維護提派供了一個框齊架徑；塊PRINC斗E2自校主要用于項聲目管理，通島過過程和耗部件的組合蝴，為項目管器理提供了一泉種規(guī)范的方企法惠；釀COBIT鳴聚用于管妄理良IT古巴業(yè)務(wù)流程，樂通過對關(guān)柴鍵炭IT垃禽過程進行有幅效監(jiān)控，實未現(xiàn)對業(yè)務(wù)流均程中資源的齡有效利用，邁從而改善管返理效率和服心務(wù)質(zhì)量。正CIS穗R患模型是基于礎(chǔ)治理如下的我概念而設(shè)計炊的治理是對垂信息技術(shù)投絕人和使用的速權(quán)力劃分和掏責(zé)任分浩配喜,回雀并形成組織聞所希望的行粘為。座（二）膨栗重點不同鑰ITIL伴滾的重點是過陵程管理，該借模型的最新廣版賭V3純航采用服務(wù)生捉命周期的思魂想組織主題縫，核心動的出版物包給括：服務(wù)戰(zhàn)綿略、服務(wù)設(shè)掀計、服務(wù)過沙渡、服務(wù)運餃營、持續(xù)服房務(wù)改進，一腐系列的出版家物涵蓋了服蒸務(wù)生命周期包的所有基礎(chǔ)配方面碎；肥I筍SO伏/晃IEC柿17799犬/2700拋2慢側(cè)重于安全綢控制，該標宣準提供了信壺息安全的基邪線，每一安獵全控制大類娃覆蓋了不同嘆的主題和區(qū)漁域，利用該好準則人們可對以識別與特減定企業(yè)或特技定責(zé)任領(lǐng)域蛋相適應(yīng)的安蠢全控制問題膽；遺PRINC腳E2壺強調(diào)項目的貴可控性，它畫確定了項目泛啟動所需的凱信息，指定區(qū)了項目必需竄的決策者，仁并在高層管卷理人員之間眾建立起了聯(lián)務(wù)系，明確了誘項目管胖理中人員的剪職責(zé)；陳COBIT勸讀的重點在控式制和度量，功該模型不僅給為瀉34榆個過程定驟義了詳細的隨控制目標，拋并且包含了專成熟度模型愈。企業(yè)可以賽據(jù)此來確定脂IT谷的現(xiàn)在狀態(tài)怠和未來的狀籠態(tài)，結(jié)合控啦制目標和績必效指標，衡如量苗組織是否能辛達到關(guān)鍵目啊標指標中所錦設(shè)定的業(yè)務(wù)鉛活動目標，死然后采取措墾施改進。原CIS冠R謙模型膝機制應(yīng)能夠塊促成所希望大行為的產(chǎn)生屑,富希望的行為扎是組織信仰盈和文化的具抖體化，在每律一個組織中灣都是不同的惹，明確的所短希望行為的健產(chǎn)生是有效騰治理的關(guān)鍵曠。革(吉三斬)蚊作用不同徑ITIL慨盒基于服務(wù)生稠命周期的思丙想，所以有扁助于梳理服谷務(wù)管理的流包程，組織可感以根據(jù)流程服逐步實縣現(xiàn)膛IT迅但服務(wù)管理的圖目標，也可養(yǎng)以據(jù)此來發(fā)砍現(xiàn)現(xiàn)有流程彎中的缺陷此；己ISO頁/紙IE萍C1779源9/270飲02贈側(cè)能夠增強組芳織在識別、響防止、減少辭和控制組織噴信息安全風(fēng)精險方面的能票力富，懷PDCA判灣的每次循灶環(huán)都會使所警運營的信息寄安全體系的規(guī)績效更趨近鎮(zhèn)與相關(guān)方面胞對信息安全甚的要求和預(yù)指期蘆；挨PRINC碼E2驟堤為管理項目季提供支持，蜜保證項目的蒼質(zhì)量和順利子完成胖；談COBIT老柔采用系統(tǒng)生殺命周期的思擊想，提供了識關(guān)于控制的桃清晰策略，巴規(guī)范了企業(yè)版的業(yè)務(wù)流程慌，為每個流基程的實施都尋提供了控制裁框架。恩CIS國R牢既保證決策渴的科學(xué)性枯,稈也保證了決比策權(quán)力、責(zé)旅任及利益的糕合理劃分和箏分配柄。括其次升,剝重視所希望筑行為的產(chǎn)生宣和組織文化利的作用逢,息使得治理從腿制度的層面秤規(guī)范組解織結(jié)構(gòu)、業(yè)唐務(wù)流程、管耳理模式等幼。曲（四）良坦對應(yīng)的治理諒要素不同竭如果我們遵把凍IT調(diào)留治理的要素副分為五大類久，即：組織原結(jié)構(gòu)和角色快、啊量度、過程勵、技術(shù)、控膨制，那刮么緞ITIL救殃對應(yīng)的是組豪織結(jié)構(gòu)和角攜色、過程、爭技術(shù)備；慎IS糞O稼／斧IEC1飛7799/沾27002萄痕對應(yīng)組織結(jié)拳構(gòu)和角色匹；磁PRINC縱E2舒思對應(yīng)組織結(jié)乘構(gòu)和角色、局過程魯；陽COBI彈T誤對應(yīng)量度、暴過程、控制喚。劈CISR綢對應(yīng)的是角沙色，過程和鐘控制。犧罷ITI事L均、咳ISO/I朵EC177羅99/27磁00單2猛、拌P甚RINCE腿2回、喉COBIT莖和胞胳CISR足都民是挺IT真旗治理領(lǐng)域出綿色的模型，取對它們的取綱舍關(guān)鍵在于塑企業(yè)的真正攀需穴求。每個模叔型都有各自斯不同的應(yīng)用顫領(lǐng)域和關(guān)注船的重點，采火用不同的模粒型給組織