IT治理,标准.对比和思索

IT 治理，标准、对比和思索

2010-12-17 11:01:46 来源：blog 分享 |

摘要： 在采用相同战略目标的情况下具有良好IT 治理的企业其利润要比那些治理低下的企业高出20% 关键词： IT 治理

一、 IT 治理内涵和标准的发展

IT 治理的概念，从安全管理、到IT 审计延展而来，是从安全管理的概念上延伸而来的，有人把ISO17799（BS7799）作为第一个IT 治理的工具；中间牵涉到IT 服务的管理（ITIL ）其实时间上出现得比COBIT 要晚，概念上更接近安全管理一些；IT 审计的概念是由COBIT 主导，从那时候开始，人们已经开始思考治理的问题了。

1. 治理，从7799到COBIT

原先的BS7799标准（后来的ISO17799、再后来发展到ISO27000系列标准，其核心的内容为11个大类安全的最佳实践、133个安全控制措施；ITIL 标准（信息系统基础设施库）目前发展到ISO20000，是针对IT 服务而制定的标准，其核心内容是IT 服务中的问题管理、事故管理、配置管理和连续性服务，ITIL 过程中加入了服务台管理的内容，ISO20000没有服务台管理而加入了持续改进的内容；COBIT 是IT 审计管理，目前已经发展到COBIT3.0, 其核心内容为控制目标与指标，采用规划与组织、输入与采集、运营与服务、监控四个大类，34个内部控制流程，工具上推荐使用平衡积分卡。从COBIT 之后，人们提出不同的IT 治理工具，很多人还综合了不少其它的标准，其目的是希望一个更加全面、宏观，适合管理角度的标准来控制和管理整个IT 的过程，其中，CMM 、ISO9000等更加基础的概念也被引入，直到第一个国际治理的标准ISO38500出现，这种探索仍然在继续。

图1 IT治理概念发展图

2. 治理道路，从单向到全过程

从安全管理出发，IT 治理的概念和道路由单项也走向全过程。BS7799(ISO17799)阶段，主要的关注内容为安全管理；到了ITIL 关注的是动态服务的安全，内容转向服务管理；COBIT 的角度是内部控制，与BS7799和ITIL 一并关系到的是效率管理ISO38500内容核心转向业务目标的管理，关心的是效能问题；另外像TIVOLI 、上海IT 治理试点等行业和企业标准，更加融合行业应用，以行业、地域和应用为特色。CIO 视野的安全与治理，更加关注角色的治理，可以说应该融合以上标准和其它项目管理和质量管理的有益的知识，从CIO 的视角上来关心和关注IT 项目和组织的管理和控制，更加走向全面和全过程。

图２IT 治理的内涵发展图

二、 ISO38500介绍

1. 目的

n 确保利益相关者对于组织IT 治理的信心；

n 指导管理者治理组织的IT 使用；

n 为IT 治理的目标评估提供了基础；

2. 应用范围

“ISO/IEC 38500:2008可以用于任何规模的组织，包括公/私有性质的公司，政府机构以及非营利组织。这一标准提供了一个IT 治理的框架，以协助组织高层管理者理解并履行他们对于其组织IT 使用的既定职责，实现IT 治理的有效性、可用性及效率。”

3. 来源：

“ISO (国际标准化组织) 和 IEC(国际电工委员会) 是世界范围的标准化组织。各国的相关标准化组织都是其成员，并通过各种技术委员会参与相关标准的制定。其他国际组织，政府机构及非政府机构也协同工作。国际标准的草案，须能得到所有会员75%以上的赞成票，该标准才可被公布为国际标准。在信息技术领域， ISO 和IEC 成立了一个联合技术委员会ISO/IEC JTC 1。该委员会以澳大利亚标准AS8015为蓝本，并结合 AS 8000:2003 – 良好的治理原则和AS 3806:2006 – 合 规性程序，制定了IT 治理的国际标准ISO/IEC 38500:2008。”

“ISO/IEC 29382，信息和通讯技术治理标准，作为现有澳大利亚标准AS8015的快速跟随者，于2007年首次发布。2008年4月该标准官方正式更名为ISO/IEC 38500， 原ISO/IEC 29382放弃使用。”

4. 模型

图三 ISO38500概念模型图

1) 三个关键点：

关于IT ，管理者有三项主要活动，即：指导、评价与监控。有效地IT 治理应当是可实施的、具有一致性的。DEM 模型聚焦于更广泛层次上的IT 治理，它略微不同于管理者典型使用的PDCA 模型。在这一模型中，管理者依据业务压力与业务需求来监控（Monitor ）并评价（Evaluate ）组织的IT 使用，而后指导（Direct ）实施政策方针以弥补差距。

2) 6项原则：

A. 准则一：职责分工

n 对分配职责进行评价

n 确保能够胜任所分配的职责

n 监控所分配职责的实施

为IT 分配职责的方式取决于组织所使用的业务模式和组织架构。例如：有些设备需要内部管理；建议来自于外部的咨询顾问；还有一些IT 来源于厂商与专业服务提供商。

B. 准则二：IT 支持组织发展

n 考虑机遇使IT 更好的服务于业务发展

n 分配其当下的活动

n 指导计划的实施与发展以弥补差距

C. 准则三：可获得性

n 这一准则覆盖了风险与价值的规划分配和近期的IT 投资。

n 管理者需要履行政策与程序来确保投资的安全性。

n 投资案例中的资源分配必须确保以及时的形式重新分配。

D. 准则四：可用性

n IT实施包括信息整合、系统能力。

n 拓展了退出与处理，以确保组织的环境和数据管理职责得以履行。

E. 准则五：符合性

n 技术使用（包括：电子邮件与搜索引擎）

n 职责履行（记录保持、财务报表、关于组织与业务持续性隐私信息的保护）

F. 准则六：尊重人性因素

n 用户界面的可用性与友好性

n 人们受到IT 所带来的业务流程改变的影响的需求

由于IT 会直接而迅速的影响组织的实施，管理者应当像管理其财务与人力资源那样，指挥、评价与监控其组织的IT 应用。

三、 IT 治理和COBIT

表１ ISO38500与COBIT 对比

ISO38500 是第一个IT 治理国际标准，先出的部分给出了一个框架，并没有给出评估的过程；这个标准简短的、易读，但相关概念十分复杂；IT 治理提供了一个有效的、易实施的、高效的框架，更好的将组织决策与IT 联系起来；该标准中建议与指南适用于任何形式规模组织；该标准中的建议与指南建议和着眼点不仅供管理者使用，还可面向其下属职员，组织中各个层面人都能读懂；该标准为所有关键员工提供了合适的IT 治理基本指南；该标准介绍了好的治理所需要的一些特征及治理流程，但是离真正的实施还有距离，需要其他标准的补充。

四、 CIO 视野下的治理思考

1. CIO 视野下的安全治理与IT 治理的需求

ISO38500出现以前，人们已经开始有很多IT 治理的实践和思索了，每个人和每个组织的定义都很不同，也没有业内一致的看法，ISO39500的出现，给出了一个很好的IT 治理模型参考，然而这种参考模型也只是一个框架，更多的适合组织的宏观管理，再加上没有还没有评估和认证机构，其也是一种很重要的尝试。然而，针对一个CIO 来讲，它面对的很多所谓“治理”是一个集合的概念，包含了大量的内涵，因此，ISO38500不能也不可能代替以往的标准和控制，CIO 针对行业需要融合其它标准和实践。

作为一个CIO 来讲，非常希望将安全管理的内容、审计的内容、IT 治理的内容融合起来，而ISO38500与我们理解的CIO 角色的IT 治理方面项目并不重合，欠缺我们关注的基于项目视角的管理内容。

企业的CIO 是一个综合的角色，不可能像专业的学术机构那样把每个标准的准确概念的细节掌握得像学者和软件开发人员那样清晰，需要一个融合的综合的概念，总结起来，CIO 视角的治理需要的11个融合治理准则和四个主要内容：那就是安全管理、绩效管理、项目周期管理和能力管理的四个主要内容，以及目标管理、生命周期、裁减优化、效能评价、效率控制、内部控制、能力成熟、价值贡献、过程改进、最佳实践、控制措施，这些概念或有交叉，然而出于标准来源的模块完整性和概念的饿延续性考虑，还是不合并或者拆分这些概念为好。

图４ CIO 视野下的治理准则和内容

2. CIO 视野下的安全与治理的建议：

n 项目视角。管理项目有两个视角项目成功和能力成熟，前者着眼于项目，后着着眼于组织和人员。CIO 的成长其实是项目和组织相辅相成在发展，我们假设组织选择CIO 是最合适的选择，那么，项目视角就非常重要，CIO 只有通过项目的不断锻炼，自身的能力和组织的成熟度才会不断提高，“大项目培养人”，往往经过一个真正项目的洗礼，CIO 本人和其团队，成熟能力也会得到很大提高。

n 生命周期控制。在项目进展的过程，最开始的概念和最容易接受和实施的概念就是项目生命周期控制，这里面，就不免要用到ISO9000的一些原则和PDCA 的基本概念，只有掌握了项目生命周期中的关键要素，配合持续改进的观念，项目才能够获得基本的保障。

n 效率和效能管理。传统的目标管理比较重视效能管理，其实效率管理和效能管理同样重要，就像目标管理和过程管理在IT 管理中一样重要。

n CIO职能应用和行业只能应用。CIO 不但要面对技术上的创新和管理、外包的管理，更重要的是要围绕组织的目标和IT 的战略，因此，在进行IT 治理的时候，非常注重应用，对关键点的敏感性要求高而对概念的饿严谨性以及细节的要求并不是很高。

n 融合标准在行业中的应用。CIO 的治理要求各种标准的位置以及解决的问题及关键措施要有充分和综合的认识，要善于吸取不同标准的核心为我所用。

n 状态管理和能力成熟并举。较好的组织成熟能力会带来较好的项目结果，较好的项目经验又会训练出来更好的组织成熟能力，CIO 来说，重复采购和不断的项目是必然的，因此要注意状态管理、成功度管理的同时，能力管理不仅仅是CIO 为项目而使用的手段，其实也是CIO 存在的重要目标。

n 充分吸收最新的国际成果。各国的标准、概念以及行业标准和国家标准发展很快，每个标准、概念都会有自己的使用场所，都会声称自己的重要性。对于一个成熟的CIO 来讲，正像CMM5中所要求的不段优化和持续的改进，要客观地和谦虚地掌握和吸收最新的标准，又不能被新标准或其推广者所声称的表象所迷惑。 n 充分融合已有的有益经验和标准。CIO 掌握各种标准之后，要有机地融合到自己的饿实践当中，“只有有效才是衡量最终的唯一标准”，不要怕概念不严谨，其实学者的争论更多，只要坚持实践，其实任何一种方式都会走到最终的系统化解决之路的。

n 充分关注其它 CIO 多年最佳实践成果和项目管理沉淀. 对于项目管理，欧洲、美国的思路也很不同，对于每一个行业以及地域特点，具有浓厚的特点不但不是项目管理能力差的表现，反而是必然的事情。关键在于除了吸收不同国家和行业高度概括和浓缩的标准、概念之外，更加应该重视同行业、其它类似项目或者组织、环境中CIO 的成功经验，以及采纳和使用最新标准的经验。一般标准的发展也有一个从实践、总结、学者提炼、再实践、变革和饿变化、再改进和总结、新标准的过程，而往往实践的例子是，一个成熟的CIO 听一个新标准的推广者、学习、实践，最后不久，往往水准比原先的推广者还高、认识还深刻。