構(gòu)建全面的IT治理體系

1、構(gòu)建全面的IT治理體系 2009-10-16 作者：郭宇鋒孫燦 來源： IT治理定義構(gòu)建全面的IT治理體系，首先要搞清楚IT治理是什么，它的起源和發(fā)展歷史，這對我們理解IT治理十分必要。治理與管理的區(qū)別治理和管理分屬不同層面，打個比方來說：火車行駛中管理僅僅是執(zhí)行，是開火車，解決如何讓火車跑 得更快的問題；而治理則是誰來做決策，在哪修軌道，約束火車必須在軌道上行駛的問題。但同時治理和管理又是一個硬幣的兩面，缺了誰也不行。簡單的說管理解 決的是如何把事情做好，治理決定的是要做哪些事，誰來做這些事，以及決策機(jī)制如何建立、監(jiān)控的問題。公司治理與IT治理IT治理

2、的提出，一方面是因?yàn)樾畔⒁呀?jīng)成為我們企業(yè)最為寶貴的資產(chǎn)，IT在組織中已經(jīng)扮演一個影響到組織全局、影響到治理層面的角色，另外一方面與全球矚目的焦點(diǎn)難題 公司治理亦有著深刻的淵源。那么IT治理和公司治理到底是什么關(guān)系呢？眾所周知， 公司治理問題一直是企業(yè)制度與組織的核心問題。近年來， 因上市公司頻頻“驚曝黑幕”，“公司治理”成為全球性的問題。從美國的安然、世通、施樂等粉飾業(yè)績甚至導(dǎo)致企業(yè)崩潰的案件，到日本雪印食品公司舞弊案件， 都使得公司治理正在成為企業(yè)議事日程中最重要和最迫切的任務(wù)。公司治理是一種對公司管理和運(yùn)營進(jìn)行監(jiān)督和控制的體系。它的核心是在所有權(quán)和經(jīng)營權(quán)分離的條 件下，解決好所有者和經(jīng)營者

3、的利益不一致而產(chǎn)生的委托代理關(guān)系。其目標(biāo)是降低代理成本，使所有者不干預(yù)公司的日常經(jīng)營，同時又保證經(jīng)理層維護(hù)股東的利 益，實(shí)現(xiàn)公司價值和利益的最大化。IT治理就是公司治理的一部分。來自國際信息系統(tǒng)審計與控制協(xié)會 (ISACA)對IT治理的定義：IT治理是一個由關(guān)系和過程所構(gòu)成的體制，用于指導(dǎo)和控制企業(yè)，通過平衡信息技術(shù)與過程的風(fēng)險、增加價值來確保實(shí)現(xiàn)企業(yè) 的目標(biāo)。IT治理必須與企業(yè)戰(zhàn)略目標(biāo)一致。IT治理和其它治理主體一樣，是管理執(zhí)行人員和利益相關(guān)者的責(zé)任。研究IT治理，須將其放在組織背景中，將其看 作是必須通過治理而產(chǎn)生價值地六種關(guān)鍵資產(chǎn)（人力、財務(wù)、實(shí)物、知識產(chǎn)權(quán)、IT、關(guān)系）之一。在公司治理

4、的大框架下，有許多和IT治理相關(guān)的概念。圖1清晰地說明了公司治理、IT治理、IT內(nèi)控、IT審計之間的關(guān)系。圖1 公司治理、IT治理、IT控制、IT審計之關(guān)系IT治理和IT管理提到I T治理，很多人難以區(qū)別IT治理和IT管理。IT管理是公司的信息及信息系統(tǒng)的運(yùn)營，確定IT目標(biāo)以及實(shí)現(xiàn)此目標(biāo)所采取的行動；而IT治理是指最高管理層 （董事會）利用它來監(jiān)督管理層在IT戰(zhàn)略上的過程、結(jié)構(gòu)和聯(lián)系，以確保這種運(yùn)營處于正確的軌道之上?？梢姡琁T管理就是在既定的IT治理模式下，管理層為 實(shí)現(xiàn)公司的目標(biāo)而采取的行動。IT治理規(guī)定了整個企業(yè)IT運(yùn)作的基本框架，IT管理則是在這個既定的框架下駕馭企業(yè)奔向目標(biāo)。 缺乏良

5、好IT治理模式的公司，即使有“很好”的IT管理體系（而這實(shí)際上是不可能的），就像一座地基不牢固的大廈；同樣，沒有公司IT管理體系的暢通，單 純的治理模式也只能是一個美好的藍(lán)圖，而缺乏實(shí)際的內(nèi)容。IT治理的起源、發(fā)展歷程為了更好理解IT治理的內(nèi)涵，需要追溯IT治理的起源，搞清楚IT治理的發(fā)展歷程。我們將IT治 理的發(fā)展劃分為三個階段（見圖2），從1980年1999年我們稱為準(zhǔn)備階段，這一階段誕生了許多相關(guān)的IT治理框架模型、但是并沒有一個全面清晰的 IT治理概念的提出，還停留在對IT管理和控制框架的摸索中；1999年BIS的報告將IT管理和控制提高到了IT治理的層面，這個時候IT治理真正進(jìn)入 了

6、起步階段；2006年SOX404條款的生效，促使企業(yè)將IT治理提高到了一個前所未有的高度。最后用一句話來概括IT治理的發(fā)展歷程：企業(yè)管理的信息化和亟待改善的公司治理狀況共同促成了IT治理的誕生、融合和發(fā)展。為什么要做IT治理？為什么要做IT治理，為什么IT治理對于組織的持續(xù)成功至關(guān)重要？對于IT治理的重要性，經(jīng)過大量企業(yè)的調(diào)研歸納總結(jié)出7個原因：1. 良好的IT治理得大于失對于我們研究的盈利企業(yè)而言，從3年期的行業(yè)調(diào)整資產(chǎn)回報率來看，那些有著高于IT治理績效平均 水平的企業(yè)在實(shí)施特定戰(zhàn)略（例如：客戶至上或卓越運(yùn)營等）時會得到更豐厚的利潤。實(shí)際結(jié)果因公司采取的具體戰(zhàn)略不同而有所不同，但這些治理水

7、平超出平均水 平的企業(yè)的資產(chǎn)回報率，比那些采取相同戰(zhàn)略但治理薄弱的企業(yè)要高出20個百分點(diǎn)。2. IT是昂貴的目前，企業(yè)在IT方面的平均投資已經(jīng)超過了營業(yè)額的4.2，并且還在不斷上升。這樣的投資力度 導(dǎo)致了許多企業(yè)的IT投資額占企業(yè)年度總投資額的一半還要多。鑒于IT已經(jīng)變得更加重要和普遍，如何管理和控制IT以確保其為企業(yè)創(chuàng)造價值，是高層管理團(tuán) 隊(duì)面臨的日益嚴(yán)峻的挑戰(zhàn)。3. IT無處不在在很多企業(yè)，集中管理IT既不可能，也不必要。以前IT支出的要求僅僅來自于IT團(tuán)隊(duì)。但是今 天，IT方面的支出可能產(chǎn)生于企業(yè)的任何一個部分。一些估算顯示，IT預(yù)算只占IT相關(guān)支出的20，而余下的部分則包含在業(yè)務(wù)流程預(yù)

8、算、產(chǎn)品開發(fā)預(yù)算， 以及其他各種各樣的預(yù)算之中。良好規(guī)劃的IT治理安排會將IT決策制訂的權(quán)力分配給那些對結(jié)果承擔(dān)責(zé)任的人員。4. 新的信息技術(shù)將為企業(yè)提供大量新的業(yè)務(wù)機(jī)會不斷涌現(xiàn)的新技術(shù)，包括基于網(wǎng)絡(luò)的服務(wù)、移動技術(shù)以及企業(yè)系統(tǒng)，使企業(yè)同時面臨戰(zhàn)略威脅和機(jī)遇。比如大規(guī)模定制化服務(wù)的出現(xiàn)和“一對一”營銷的興起，而這源于我們能夠以更具成本效益的、實(shí)時的方式獲取客戶信息的技術(shù)能力。5. 在組織理解IT價值過程中，IT治理至關(guān)重要企業(yè)力求理解IT相關(guān)活動的價值，因?yàn)檫@種價值難以通過傳統(tǒng)的現(xiàn)金流折算分析說清楚。價值的產(chǎn)生不僅源于流程的不斷完善，而且也源于企業(yè)應(yīng)對競爭壓力能力的增強(qiáng)。有效的治理創(chuàng)造出一系列

9、機(jī)制，企業(yè)可以使用這些機(jī)制更好的探討本公司潛在的價值是什么，并使組織學(xué)習(xí)正規(guī)化。6. IT價值不僅僅取決于好的技術(shù)近年來有一些令人震驚的大型IT投資的失敗案例 大型企業(yè)資源計劃系統(tǒng)（ERP），構(gòu)思錯誤和執(zhí)行乏力的e-business項(xiàng)目，以及能獲得大量數(shù)據(jù)卻幾乎不能帶來任何價值的數(shù)據(jù)挖掘?qū)嶒?yàn)，等等。有人 估算，IT項(xiàng)目的失敗率在70以上。雖然有些項(xiàng)目的失敗是由于技術(shù)方面的問題，但絕大多數(shù)失敗都是因?yàn)榻M織無力采用新的流程，以有效應(yīng)用新技術(shù)而造成 的。由于IT的實(shí)施不斷地推動業(yè)務(wù)流程的標(biāo)準(zhǔn)化和一體化，技術(shù)專家和業(yè)務(wù)領(lǐng)導(dǎo)作用的相互交叉也越來越 緊密。IT決策必須成為聯(lián)合的決策。當(dāng)高層主管人員忽視了決

10、定IT成功的IT實(shí)施責(zé)任時，巨大的災(zāi)難往往會接踵而來。成功的企業(yè)不僅有著更好的IT決策， 也有著更好的IT決策流程。7. 高層管理層的有限管理幅度一個大型企業(yè)的高級主管人員，不能考慮所有有關(guān)IT投資的請求，更不用說參與其他很多與IT相關(guān) 的決策了。如果高級主管人員試圖事無巨細(xì)地親自處理，那么他們就會成為瓶頸。但是那些與企業(yè)整體發(fā)展相關(guān)的決策，則必須與高級主管人員所確定的組織發(fā)展方 向一致。審慎規(guī)劃的IT治理，能夠提供一個清楚透明的IT決策制訂流程。這樣在增強(qiáng)組織每一個成員創(chuàng)造力的同時，也能保證其行為與高級主管人員規(guī)劃的組織 愿景相一致。IT治理可以解決哪些問題IT治理如此重要，那么它到底可以解

11、決哪些問題呢？在探討IT治理可以解決哪些問題之前，我們先就身邊發(fā)生的事件看一下IT治理失靈的例子：南京火車站電腦售票系統(tǒng)突然發(fā)生死機(jī)故障，整個車站售票處于癱瘓狀態(tài)，車站售票大廳內(nèi)人滿為患， 眾多旅客不得不改乘其它交通工具離開南京。車站領(lǐng)導(dǎo)和計算機(jī)技術(shù)人員告訴記者是由于電腦升級換代，調(diào)試時線路發(fā)生故障，才引發(fā)了此次系統(tǒng)癱瘓的。某銀行在 信息系統(tǒng)技術(shù)升級時，IT人員只注重保證系統(tǒng)在技術(shù)上的平滑過渡，而忽視了升級給客戶帶來的不便，導(dǎo)致客戶流失，這些都表明當(dāng)IT發(fā)生改變時會對業(yè)務(wù)目標(biāo) 產(chǎn)生沖擊，而以上發(fā)生的問題都是通過IT治理機(jī)制可以合理避免的。我們認(rèn)為IT治理對商業(yè)目標(biāo)而言有著戰(zhàn)略意義，IT治理狀況

12、直接影響到企業(yè)實(shí)現(xiàn)目標(biāo)的可能性，良好的IT治理有助于增強(qiáng)企業(yè)的靈活性和學(xué)習(xí)能力，巧妙管理風(fēng)險，辨別發(fā)展機(jī)遇。對于最高管理層（董事會）而言，IT治理可以解決以下幾個方面問題：1. 發(fā)現(xiàn)信息技術(shù)本身的問題。例如IT項(xiàng)目未能實(shí)現(xiàn)期望價值的概率；終端用戶是否滿意IT服務(wù)的質(zhì)量；是否有足夠的IT資源、基礎(chǔ)設(shè)施、競爭力來滿足戰(zhàn)略目標(biāo)；信息技術(shù)平均操作失誤的原因；IT沒有推動業(yè)務(wù)改善卻阻礙業(yè)務(wù)的次數(shù)。2. 幫助管理者處理IT問題。例如，IT和組織戰(zhàn)略目標(biāo)的一致性程度怎么樣；怎樣衡量IT的交付價值；執(zhí)行管理人員采取什么樣 的戰(zhàn)略動機(jī)來管理IT；與企業(yè)的運(yùn)營與成長管理相關(guān)的問題；企業(yè)是否清楚其商業(yè)目標(biāo)與技術(shù)的關(guān)

13、系：領(lǐng)先、跟隨者還是滯后者；企業(yè)對風(fēng)險（風(fēng)險規(guī)避和風(fēng)險承 擔(dān)）是否清楚；有沒有最新的企業(yè)關(guān)于IT風(fēng)險的清單，采取哪些行動處理這些風(fēng)險。3. 自我評估IT管理的效果。例如，是否經(jīng)常向最高管理層（董事會）定期匯報IT風(fēng)險；IT是否是最高管理層（董事會）議程中 的一個常用的術(shù)語，它是否以結(jié)構(gòu)化形式表達(dá)；最高管理層（董事會）是否就商業(yè)目標(biāo)與信息技術(shù)一致性進(jìn)行闡明和溝通；最高管理層（董事會）對主要IT投資是 否有清楚的觀點(diǎn)，包括風(fēng)險和回報；最高管理層（董事會）是否定期得到主要IT過程的報告；最高管理層（董事會）在獲取IT目標(biāo)和限制IT風(fēng)險時是否得到獨(dú) 立的保證。IT治理的目標(biāo)與領(lǐng)域IT治理的最終目標(biāo)是什

14、么？關(guān)注企業(yè)的哪些領(lǐng)域？IT治理的三大目標(biāo)：1. 與業(yè)務(wù)目標(biāo)一致IT治理要從組織目標(biāo)和信息化戰(zhàn)略中抽取信息需求和功能需求，形成總體的IT治理框架和系統(tǒng)整體模型，為進(jìn)一步系統(tǒng)設(shè)計和實(shí)施奠定基礎(chǔ)，保證信息技術(shù)跟上持續(xù)變化的業(yè)務(wù)目標(biāo)。2. 有效利用信息資源目前信息工程超期、 IT客戶的需求沒有滿足、IT平臺不支持業(yè)務(wù)應(yīng)用等問題較為突出，通過IT治理可以對信息資源的管理職責(zé)進(jìn)行有效管理，保證投資的回收，并支持決策。3. 風(fēng)險管理由于企業(yè)越來越依賴于信息技術(shù)和網(wǎng)絡(luò)，新的風(fēng)險不斷涌現(xiàn)，例如，新出現(xiàn)的技術(shù)沒有管理，不符合現(xiàn) 有法律和規(guī)章制度、沒有識別對IT服務(wù)的威脅等。IT治理強(qiáng)調(diào)風(fēng)險管理，通過制定信息資源

15、的保護(hù)級別，強(qiáng)調(diào)關(guān)鍵的信息技術(shù)資源，有效實(shí)施監(jiān)控，事故處理。 IT治理適應(yīng)企業(yè)外部環(huán)境變化，為企業(yè)內(nèi)部實(shí)現(xiàn)對業(yè)務(wù)流程中資源的有效利用，從而達(dá)到改善管理效率和水平的重要手段。IT治理的目標(biāo)將幫助管理層建立以組 織戰(zhàn)略為導(dǎo)向, 以外界環(huán)境為依據(jù), 以業(yè)務(wù)與IT整合為重心的觀念，正確定位IT部門在整個組織的作用。最終能夠針對不同業(yè)務(wù)發(fā)展要求，整合信息資源，制定并執(zhí)行推動組織發(fā)展的IT戰(zhàn)略。根 據(jù)IT治理的目標(biāo)，IT治理應(yīng)該關(guān)注的領(lǐng)域（圖2）：圖2 IT治理應(yīng)該關(guān)注的領(lǐng)域IT治理的核心思想為了達(dá)到IT治理的三大目標(biāo)，IT治理需要處理哪些問題，IT治理的核心思想是什么？IT治理的核心思想，就是有效的IT

16、治理必須解決的三個問題：1. 為了保證有效地管理和使用IT，應(yīng)當(dāng)做出怎樣的決策？2. 由誰做出這樣的決策？3. 如何做出這些決策以及如何監(jiān)控這些決策？上期內(nèi)容回顧（構(gòu)建全面的IT治理體系（一） ）：IT治理定義，為什么要作IT治理，IT治理可以解決哪些問題？IT治理的目標(biāo)和領(lǐng)域。IT治理的核心思想為了達(dá)到IT治理的三大目標(biāo)，IT治理需要處理哪些問題，IT治理的核心思想是什么？IT治理的核心思想，就是有效的IT治理必須解決的三個問題：1. 為了保證有效地管理和使用IT，應(yīng)當(dāng)做出怎樣的決策？2. 由誰做出這樣的決策？3. 如何做出這些決策以及如何監(jiān)控這些決策？對于這三個問題我們一一做出探討。IT治

17、理要做出哪些決策我們給出IT治理的5大決策方向（見下圖）：圖1 IT治理的5大決策方向這五個決策是彼此相關(guān)的，有效的治理必須關(guān)注它們之間的關(guān)聯(lián)性。舉例來說，IT原則驅(qū)動著整體架 構(gòu)的形成，而整體架構(gòu)又決定了基礎(chǔ)設(shè)施。這種基礎(chǔ)設(shè)施所確定的能力又決定著基于業(yè)務(wù)需求（通常由業(yè)務(wù)流程的管理者確定）的應(yīng)用的構(gòu)建。最后，IT投資必須 為IT原則、整體架構(gòu)、基礎(chǔ)設(shè)施和應(yīng)用需求所驅(qū)動。IT治理需要確定每一個決策該由誰來負(fù)責(zé)輸入，以及由誰來負(fù)責(zé)做出決策。由誰做出這樣的決策可以通過治理設(shè)計框架來解決（見下圖）：在此我們給出的是IT治理設(shè)計框架最基本的架構(gòu)，可以在任何一個企業(yè)進(jìn)行實(shí)施。這個架構(gòu)勾畫出了 企業(yè)的戰(zhàn)略和

18、組織、IT治理安排以及業(yè)務(wù)實(shí)施目標(biāo)的協(xié)調(diào)一致性（水平箭頭）。戰(zhàn)略和組織、IT治理安排以及業(yè)務(wù)實(shí)施目標(biāo)這三者分別通過IT組織和期望行 為、治理機(jī)制、以及度量指標(biāo)得以確定。這個框架也同時闡明了IT治理與其他關(guān)鍵資產(chǎn)治理保持協(xié)調(diào)一致的重要性。圖2 IT治理設(shè)計框架如何監(jiān)控和評估這些決策可以通過關(guān)鍵成功因素、成熟度模型、關(guān)鍵目標(biāo)指標(biāo)、關(guān)鍵績效指標(biāo)四個方面的有機(jī)作用，確保決策及IT治理的成功。· 關(guān)鍵成功因素關(guān)鍵成功因素為管理部門控制信息技術(shù)及其處理過程提供了實(shí)施指南。它們是信息技術(shù)處理過程中的最關(guān)鍵的要素，是戰(zhàn)略性的、技術(shù)性的過程或活動，勾畫出了IT的控制輪廓。關(guān)鍵成功因素是為提高處理過程的

19、成功可能性所做的最重要的事，通常與組織的目標(biāo)保持一致，是組織和處理過程的可觀察可測量的特征，分布于企業(yè)的戰(zhàn)略層、戰(zhàn)術(shù)層、應(yīng)用層及組織的各個方面，可以通過目標(biāo)分解與識別的方法選擇關(guān)鍵成功因素。· 關(guān)鍵目標(biāo)指標(biāo)關(guān)鍵目標(biāo)指標(biāo)是指通過創(chuàng)建和維護(hù)一套處理和控制適當(dāng)業(yè)務(wù)績效的系統(tǒng)，來指導(dǎo)并監(jiān)督IT傳遞的商業(yè)價值。關(guān)鍵目標(biāo)指標(biāo)是處理目標(biāo)的一種表達(dá)，明確要取得什么目標(biāo)，并描繪處理的結(jié)果，進(jìn)行事后評判，直接體現(xiàn)處理過程的完成成功與否，間接體現(xiàn)處理帶給經(jīng)營活動的價值。· 關(guān)鍵績效指標(biāo)關(guān)鍵績效指標(biāo)對關(guān)鍵成功因素進(jìn)行評價，通過監(jiān)測某IT處理過程的執(zhí)行情況，告訴管理層該處理是否 滿足其經(jīng)營需求。關(guān)鍵

20、績效指標(biāo)是IT處理過程的性能指標(biāo)，表現(xiàn)為IT的實(shí)際業(yè)績。通過有效性、保密性、完整性、可用性、一致性、可靠性等指標(biāo)來測定IT的 績效。下表列出對企業(yè)具有普遍性意義的關(guān)鍵績效指標(biāo)。· 成熟度模型IT成熟度模型制定了一個基準(zhǔn)，組織可能根據(jù)上面的指標(biāo)確定自己的等級，從而了解自身目前的境界。對于監(jiān)控和評估決策，在COBIT體系中，有著較為清晰明確的最佳實(shí)踐。1. 構(gòu)建全面的IT治理體系1.1. IT治理體系、模型介紹IT治理領(lǐng)域存在一些先進(jìn)的最佳實(shí)踐與國際標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)反映了大量企業(yè)的經(jīng)驗(yàn)結(jié)晶，并有專業(yè)監(jiān) 管實(shí)體維護(hù)。采用標(biāo)準(zhǔn)的IT治理架構(gòu)可以給企業(yè)帶來諸多收益。如美國堪薩斯州把COBIT標(biāo)準(zhǔn)

21、作為虛擬政府策略的一部分，結(jié)果降低了運(yùn)營成本，并為它的客 戶和委托人提供了很高質(zhì)量的服務(wù)。ProctorGamble在采用ITIL標(biāo)準(zhǔn)的四年里，節(jié)省超過5億美金的預(yù)算。同時ProcterGamble 內(nèi)部財務(wù)和IT部門的調(diào)查顯示，其運(yùn)作費(fèi)用降低68，而技術(shù)人員的人數(shù)減少1520。ISO/IEC17799是成為國際標(biāo)準(zhǔn)最快的一個標(biāo) 準(zhǔn)，ISO/IEC17799的前身BS7799是賣出拷貝最多的管理標(biāo)準(zhǔn)，目前已有二十多個國家引用BS7799-2作為國標(biāo)，各大信息安全公司也都以 BS7799為指導(dǎo)向客戶提供信息安全咨詢服務(wù)。下面我們就幾個通用的IT治理體系架構(gòu)和標(biāo)準(zhǔn)進(jìn)行介紹：（1）COBITThe

22、Control Objectives for Information and related Technology (COBIT)，最新標(biāo)準(zhǔn)是4.1版。由Information Systems Audit and Control Association (ISACA)出版，最早在1996年發(fā)布。COBIT架構(gòu)由34個高層控制目標(biāo)和318個細(xì)節(jié)控制目標(biāo)組成，通過定義這些目標(biāo)，可以幫助維護(hù)企業(yè)業(yè)務(wù)對 IT的有效控制。該標(biāo)準(zhǔn)比較完善，所有的COBIT文檔集合可以在線獲得，包括executive summary、架構(gòu)、控制目標(biāo)、審計指引、管理指引和實(shí)現(xiàn)指引。（2）ISO 17799Internatio

23、nal Organization for Standardization國際標(biāo)準(zhǔn)組織的ISO-17799，目前最新的版本是ISO-27001，全稱為“信息技術(shù)信息安全管理實(shí)踐代碼”， 該標(biāo)準(zhǔn)首先于2000年12月由ISO發(fā)布。該標(biāo)準(zhǔn)基于英國標(biāo)準(zhǔn)7799，英國標(biāo)準(zhǔn)曾有很多版本，開始于1995年。ISO 17799的目的是關(guān)注于安全，并且輔助企業(yè)創(chuàng)造有效的IT安全計劃。該標(biāo)準(zhǔn)有以下的高層次內(nèi)容：安全政策、組織安全、資產(chǎn)分散和控制、個人安全、物理和 環(huán)境安全、通訊和操作管理、進(jìn)入控制、系統(tǒng)開發(fā)和維護(hù)、業(yè)務(wù)持續(xù)性管理和適應(yīng)性。（3）ITILInformation Technology Infrastr

24、ucture Library (ITIL)由United Kingdom's Office of Government Commerce (OGC)維護(hù)，二十世紀(jì)八十年代末根據(jù)很多組織的輸入開發(fā)。該標(biāo)準(zhǔn)為IT服務(wù)管理的最佳實(shí)踐。主要關(guān)注10個流程：服務(wù)級別管理、IT服務(wù)財務(wù)管理、能 力管理、IT服務(wù)連續(xù)性管理、可用性管理、事件管理、問題管理、變更管理、發(fā)布管理、配置管理。什么標(biāo)準(zhǔn)最好？存在如此多的IT治理的體系和標(biāo)準(zhǔn)，那么哪種標(biāo)準(zhǔn)最好？我們說沒有最好，只有最適合。COBIT 在IT控制和量度指標(biāo)方面最強(qiáng)。ISO17799覆蓋IT安全，而ITIL重點(diǎn)在于流程，尤其是IT服務(wù)相關(guān)的部分。組

25、織不應(yīng)該僅僅選擇一個，而應(yīng)該對三 個標(biāo)準(zhǔn)進(jìn)行總體瀏覽，然后計劃一個方法，通過該方法混合每種標(biāo)準(zhǔn)中最好和最適合本企業(yè)部分。比如，客戶或者監(jiān)管實(shí)體可能需要組織采用ISO17799，結(jié) 果是至少可以將該標(biāo)準(zhǔn)作為初始切入點(diǎn)，但從長遠(yuǎn)來看，同樣的公司最終也可以在遠(yuǎn)景中包括其他標(biāo)準(zhǔn)。下圖為各種標(biāo)準(zhǔn)比對：圖3 IT治理標(biāo)準(zhǔn)比較1.2. 構(gòu)建全面的IT治理體系理論模型IT治理體系保證總體戰(zhàn)略目標(biāo)能夠從上而下貫徹執(zhí)行。IT治理和其它治理活動一樣，集中在最高管 理層（董事會）和執(zhí)行管理層。然而，由于IT治理的復(fù)雜性和專業(yè)性，治理層必須強(qiáng)烈依賴企業(yè)的下層來提供決策和評估活動所需要的信息。為保證有效的IT治 理，下層

26、應(yīng)用要和企業(yè)總體目標(biāo)采用相同的原則，提供評估業(yè)績的衡量方法。因此，好的IT治理實(shí)踐需要在企業(yè)全部范圍內(nèi)推行。構(gòu)建全面的IT治理模型首先要解決董事會、執(zhí)行管理層、業(yè)務(wù)及服務(wù)部門三者的任務(wù)和使命，弄清其中的關(guān)系。圖4 董事會執(zhí)行管理層業(yè)務(wù)及服務(wù)部門三者任務(wù)及關(guān)系IT治理使得最高管理層（董事會）和執(zhí)行經(jīng)理的一系列活動成為可能。這些活動主要包括：IT的目標(biāo)，新技術(shù)的機(jī)遇和風(fēng)險，關(guān)鍵過程與核心競爭力。如指導(dǎo)信息技術(shù)的職能和對企業(yè)的影響，分配責(zé)任，定義操作，衡量業(yè)績，管理風(fēng)險和獲得保證的約束等。IT治理體系理論模型明確了企業(yè)各個層面在IT治理體系中的任務(wù)和使命的基礎(chǔ)上，我們提出了IT治理體系的理論模型。 這個理論模型是基于對現(xiàn)行的各種IT治理體系結(jié)構(gòu)和國際標(biāo)準(zhǔn)的基礎(chǔ)上建立的。企業(yè)IT面臨的變化和問題，體現(xiàn)在IT體系的核心三要素技術(shù)、人員、流程上， 通過建立全面的IT治理體系可以解決企業(yè)IT面臨的所有問題。圖5 構(gòu)建全面的IT治