IT治理的模型分析與應用

1、 HYPERLINK IT治理理的模型型與分析析【摘要】隨著信信息技術術的快速速發(fā)展，組織對對IT的投資資迅速增增加，IT治理成成為企業(yè)業(yè)界和研研究者所所共同關關注的問問題。本本文對IT治理的的主要工工具進行行了回顧顧，并從從領域目目標，作作用和治治理領域域四個領域域分析ITIIL,IISO/IECC177799/270002,PRRINCCE2,COBBIT和和CISSR模型型，以期期對IT治理工工具有更更全面的的認識，提高組組織IT治理水水平?！娟P鍵詞詞】IT治理治理模型模型比較較治理現現狀【Absstraact】Withh thhe sspeeedy devveloopmeent of

2、infformmatiion tecchnoologgy，thee ITT innvesstmeent hass a rappid inccreaase intthe orgganiizattionn Ennterrpriise andd reeseaarchher payy moore atttenttionn onn thhe 11T ggoveernaanceeThiis ppapeer rreviiewss thhe IIT ggoveernaancee tooolss fiirsttly，andd haas aa coompaarattivee annalyysiss off ITT

3、IL,ISOO/IEEC1777999/27700,PRIINCEE2,COBIIT aand CISSR ffromm thhe ffielld ,thee foocuss, tthe efffecttandd gooverrnannce eleemennts thee foour iteemsIt willl hhelpp orrganiizattionnhass a oveeralll uundeersttandd too ITT gooverrnannce andd immproove thee ITT gooverrnannce levve1【Keyy woordss】IT ggov

4、eernaancee, Govvernnancce mmodeel, Modell coompaare, Coondiitioon oof ggoveernaancee 一、引言言（一）II T治理的的產生和和發(fā)展IT治理理是信息息系統(tǒng)審審計和控控制領域域中的一一個新興興的名詞詞，用于于描述企企業(yè)或政政府是否否采用有有效的機機制，使使得IT的應應用能夠夠完成組組織賦予予它的使使命，平平衡信息息技術與與過程的的風險、確保實實現組織織的戰(zhàn)略略目標。IT治理理是一個個全面的的術語，包含信信息系統(tǒng)統(tǒng)、技術術通信、業(yè)務法法律與其其他問題題；涉及及所有股股東、董董事會、高級管管理層、管理執(zhí)執(zhí)行層、過程所所

5、有者、IT供應應商、用用戶、審審計師等等利益相相關者，治理的的目的是是保證IT與企企業(yè)目標標的一致致性。許許多國家家已經開開始研究究IT治理理論論，并開開發(fā)了IT治理理的實踐踐模型。（二）II T治理的的定義IT 治治理定義義, 目前前還沒有有統(tǒng)一的的答案。許多研研究學者者和機構構從不同同的視角角給出了了IT 治理的的定義, 其中中有代表表性的有有如下幾幾個: 國際貿貿易和行行業(yè)部門門19999年給出出定義：組織對對IT 發(fā)展的的控制、戰(zhàn)略實實施、引引領ITT 向適適合的方方向發(fā)展展, 以幫幫助組織織獲得競競爭優(yōu)勢勢的能力力。20001年IT治理協(xié)協(xié)會也給給出定義義：ITT 治理理主要是是董事

6、會會和執(zhí)行行層的責責任,是企業(yè)業(yè)治理的的重要組組成部分分, 通過過領導、組織和和過程來來保證IT實現現和推動動企業(yè)戰(zhàn)戰(zhàn)略目標標的發(fā)展展。Peeterr Weeilll則認為IT治理理是在IT應用用過程中中,為鼓勵勵期望行行為而明明確的IT決策策權和責責任框架架。以上上定義表表述雖有有不同, 但核核心內容容是一致致的。他他們都強強調IT與業(yè)業(yè)務的融融合,以達到到幫助組組織實現現戰(zhàn)略目目標,獲取競競爭優(yōu)勢勢的目的的。IT治理理協(xié)會更更是明確確地說明明它是公公司治理理的重要要組織部部分。（三）IIT 治治理的重重要性及及與公司司治理的的關系IT治理理在企業(yè)業(yè)中起到到非常重重要的作作用，企企業(yè)根據據利

7、益相相關者的的期望，在IT 的幫助助下衍生生出新的的經營模模式，企企業(yè)在競競爭中謀謀求生存存、發(fā)展和和壯大，只能借借助于對對IT 框架結結構進行行合理的的治理。IT 治理責責任屬于于董事會會對公司司治理責責任框架架的一部部分，應應該成為為董事會會戰(zhàn)略議議程的事事項。簡言之之，在高高度依賴賴IT 系統(tǒng)的的情況下下，治理理應該是是有效的的、透明的的和履行行受托責責任的。公司治治理側重重于企業(yè)業(yè)整體規(guī)規(guī)劃，IIT 治治理則側側重于企企業(yè)信息息資源的的有效利利用和管管理。IT 治理有有助于董董事會和和管理者者們理解解IT的戰(zhàn)戰(zhàn)略重要要性和相相關的IT問題題，幫助助企業(yè)實實施面向向未來的的戰(zhàn)略并并實現持

8、持續(xù)經營營，同時時，它亦亦能確保保對IT的期期望得以以實現，而且解解決風險險問題。鑒于IT治理理的復雜雜性和專專業(yè)性，董事會會和執(zhí)行行經理必必須為此此指明方方向，堅堅持進行行控制，但同時時又依賴賴于企業(yè)業(yè)的基層層管理人人員提供供決策和和評估信信息。要要使IT治理理有效，基層管管理人員員需要運運用同樣樣的IT治理理原則來來確定目目標，提提供或取取得相應應的指導導，提供供績效標標準并進進行評價價等。很很顯然，只有將將IT治理理目標在在戰(zhàn)略層層和其他他層面分分解時它它才可能能取得成成效。（四）IIT治理理的關鍵鍵領域與與內容成功的企企業(yè)能夠夠理解IT風險險，發(fā)掘掘并利用用IT的優(yōu)優(yōu)勢，如如始終保保持

9、IT戰(zhàn)略略與企業(yè)業(yè)戰(zhàn)略協(xié)協(xié)同一致致；把IT 戰(zhàn)略分分解到企企業(yè)的各各個層面面，為企企業(yè)提供供便于實實施戰(zhàn)略略、實現現目標的的組織結結構；在在企業(yè)與與IT之間間，企業(yè)與外外部合伙伙人之間間建立建建設性的的關系并并進行有有效溝通通；堅持采采納并實實施IT控制制框架；衡量IT績效效等。從從根本上上說，IT治理理關注兩兩個方面面：IT的價價值傳遞遞和IT風險險的規(guī)避避。IT的價價值傳遞遞主要取取決于IT的目目標與企企業(yè)目標標是否在在戰(zhàn)略上上保持協(xié)協(xié)同一致致。IT風險險的規(guī)避避則需要要將受托托責任分分解于企企業(yè)各個個層面。這兩個個方面的的實現都都有賴于于充分的的資源保保障。IT治理理應該體體現“以組織織

10、戰(zhàn)略目目標為中中心”的思想想，通過過合理配配置IT資源源創(chuàng)造價價值。IT治理理包括五五個關鍵鍵領域，即價值值傳遞、風險管管理、戰(zhàn)戰(zhàn)略協(xié)同同、資源源管理和和績效評評估，他他們都受受利益相相關者價價值的驅驅動。其其中，價價值傳遞遞和風險險管理是是結果，戰(zhàn)略協(xié)協(xié)同、資資源管理理和績效效評估是是過程。IT 治理是是可以看看做是一一個連續(xù)續(xù)的循環(huán)環(huán)，可以以從任何何一個點點切入。IT治理理可以確確保IT目標的的實現，IT風險險的規(guī)避避，支持持企業(yè)可可持續(xù)發(fā)發(fā)展。為為了確保保IT治理理在正確確的軌道道上運行行和發(fā)展展，公司有有必要根根據環(huán)境境和需求求制定有有效的行行動計劃劃。IT治理理就是為為鼓勵IT應用的

11、的期望行行為，和明確確的決策策權歸屬屬和責任任擔當框框架，是是行為而而不是戰(zhàn)戰(zhàn)略創(chuàng)造造價值，因此，任何戰(zhàn)戰(zhàn)略的實實施都要要落實到到具體的的行為上上。二、ITT治理的的模型（一）IITILL 模型型ITILL的全稱是是信息技技術基礎礎架構庫庫（ITT InnfraastrructtureeLibbrarry），是是由位于于英國Norrwicch的政政府商務務部在20世紀80年代代中期，為提高高英國政政府部門門服務質質量而開開發(fā)的針針對IT行業(yè)業(yè)的服務務管理標標準庫，屬于全全球范圍圍內IT服務務管理領領域較為為成熟的的時間框框架之一一。ITIIL提供供各種IT服務務管理的的最佳實實踐信息息，包括括

12、可以根根據各機機構的具具體情況況定制的的詳細的的流程，活動要要求、步步驟、規(guī)規(guī)則和職職責。這這些實踐踐包含一一系列流流程，涉涉及任何何IT部門門都必須須提供的的各種主主要活動動。這些些流程可可以分為為兩大類類：服務務支持和和服務交交付。其其中服務務支持是是滿足客客戶需求求的日常常運作基基礎服務務，ITIIL規(guī)范范定義了了服務支支持的五五個主要要流程和和一個服服務臺工工具，包包括突發(fā)發(fā)事件管管理、問問題管理理、變更更管理、配置管管理、版版本管理理和服務務臺功能能。服務務交付是是幫助IT機構構提供必必要業(yè)務務服務，包括服服務水平平管理、可用性性管理、IT服務務的財務務管理、容量管管理、IT服務務連

13、續(xù)性性管理等等五個能能夠相互互轉換的的流程，它們都都與優(yōu)質質IT服務務的計劃劃和交付付密切相相關。（二）IISOIECC 1777999/2770022 模型型ISOIECC 1777999/2770022的前身身是BS7779991，其是是由DTI（英國國貿工部部）立項項，由政政府、業(yè)業(yè)界和商商業(yè)機構構共同倡倡導的，可供開開發(fā)、實實施和測測量有效效安全管管理的慣慣例，它它是貿易易伙伴之之間信任任的通用用框架。國家標標準化組組織在20000年對BS7779991進行行了認證證，頒布布了ISOO/IEEC1777999，20002年英國國標準協(xié)協(xié)會正式式引入PDCCA過程程模型（PDCCA:PP

14、lannDoCheeckAct）；BS7779991對安安全管理理給出建建議，供供負責在在其組織織啟動、實施或或維護安安全的人人員使用用；該標標準為開開發(fā)組織織的安全全標準和和有效的的安全管管理做法法提供公公共基礎礎，并為為組織之之間的交交往提供供信任。BS7779922詳細說說明了建建立、實實施和維維護信息息安全管管理體系系的要求求，可用用來指導導相關人人員去應應用ISOO/IEEC 1177999，其最最終目的的在于建建立適合合企業(yè)需需要的信信息安全全管理體體系。該該模型為為信息系系統(tǒng)的安安全控制制提供了了實用指指南。（三）PPRINNCE22 模型型PRINNCE是是Projjectt

15、INN Coontrrollled Envviroonmeent（受控控環(huán)境下下的項目目管理）的簡稱稱。PRIINCEE2由英英國政府府商務部部（OGC）所有有，于19996年開開始推廣廣。PRIINCEE2描述述了如何何以一種種邏輯性性的、有有組織的的方法，按照明明確的步步驟對項項目進行行管理。它不是是一種工工具也不不是一種種技巧，而是結結構化的的項目管管理流程程。這也也是為什什么它容容易被調調整和升升級，適適用于所所有類型型的項目目和情況況，當然然也適用IT項目目的管理理。PRIINCEE2使用用一系列列的8個過程程來描述述一個項項目在何何時發(fā)生生了什么么。這些些過程涵涵蓋了從從項目開開始

16、到項項目結束束的所有有活動，包括項項目啟動動、項目目準備、項目指指導、項項目階段段控制、產品交交付管理理、階段段邊界管管理、項項目收尾尾、項目目計劃八八個過程程，可以以根據個個人的需需要對其其進行縮縮減和調調整。每每個過程程鼓勵對對項目責責任正式式的確認認，強調調項目交交付什么么、為何何交付、交付時時間、為為誰交付付。此外外，該方方法還包包括8個部件件和3個技巧巧。8個部件件是：商商業(yè)論證證、組織織、計劃劃、控制制、風險險管理、項目環(huán)環(huán)境下的的質量管管理、配配置管理理、變更更管理。3種技巧巧是：基基于產品品的規(guī)劃劃、質量量檢查技技巧、變變更控制制技巧。（四） COBBIT 模型COBIIT（信

17、息息及相關關技術的的控制目目標）由由美國信信息系統(tǒng)統(tǒng)審計與與控制協(xié)協(xié)會（ISAACA）出版版，最早早在19996年發(fā)發(fā)布，現現已發(fā)布布了第四四版，目目前已成成為國際際上公認認的最先先進、最最權威的的信息技技術管理理、控制制和審計計的標準準。COBBIT將將IT過程程、IT資源源及信息息與企業(yè)業(yè)的策略略與目標標聯系起起來，形形成了一一個三維維的體系系結構，從而將將IT治理理的目標標與企業(yè)業(yè)的戰(zhàn)略略目標聯聯系統(tǒng)一一起來，核心思思想可以以概括為為：為了了實現企企業(yè)目標標，企業(yè)業(yè)需要投投資到可可以控制制的IT資源源中去，在IT過程程中合理理利用IT資源源，以交交付企業(yè)業(yè)所需要要的信息息。該模模型采用用

18、信息系系統(tǒng)生命命周期的的思想，將信息息技術流流程共分分為三個個層次，即為四四個域、34個處處理過程程及2100個任務務活動。其中四四個域的的內涵為為：計劃劃和組織織域、獲獲取和實實施域、交付和和支持域域和監(jiān)控控和評價價域。（五）CCISRR模型斯隆管理理學院信信息系統(tǒng)統(tǒng)研究中中心的PPeteer WWeilll教授授和他的的研究團團隊調查查了全世世界的諸諸多大型型組織，建立了了分析治治理的實實踐框架架,我們稱稱之為CCISRR模型。Petter Weiill教教授發(fā)現現一般企企業(yè)采用用的是被被廣為接接受的執(zhí)執(zhí)行標準準, 即由由董事會會和高管管層牢牢牢控制決決策權。隨后對對個國家家的個企企業(yè)進行

19、行了相關關研究, 發(fā)現現五個關關鍵領域域,在這五五個關鍵鍵領域誰誰做決策策和如何何決策是是區(qū)別治治理優(yōu)秀秀企業(yè)和和一般企企業(yè)的標標志,是治理理的關鍵鍵領域。對應于于每個關關鍵領域域有不同同的決策策方式,可分為為六類企企業(yè)君主主式決策策,高級管管理層擁擁有決策策權部門門君主式式決策,信息技技術部門門、專家家擁有決決策權事事業(yè)部領領地式決決策，每個事事業(yè)部擁擁有獨立立的決策策權。在確定定了應做做出哪些些決策、誰來做做的問題題后, 就要要解決如如何做出出決策和和實施監(jiān)監(jiān)督的問問題：即即設計和和實施治治理機制制。該研研究認為為，機制應應能夠促促成所希希望行為為的產生生。希望望的行為為是組織織信仰和和文

20、化的的具體化化,在每一個個組織中中都是不不同的,明確的的所希望望行為的的產生是是有效治治理的關關鍵。他他們強調調是行為為而不是是戰(zhàn)略創(chuàng)創(chuàng)造價值值。三IT治治理主要要模型之之間的比比較（一）應應用領域域不同ITILL關注的的主要是是IT服務務管理，該模型型認為服服務戰(zhàn)略略是基礎礎，交付付IT服務務對企業(yè)業(yè)具有戰(zhàn)戰(zhàn)略意義義，也是是IT組織織的戰(zhàn)略略目標；ISOIECC 1777999/2770022適用于企企業(yè)的信信息安全全管理，基礎是是計劃執(zhí)行檢查采取行行動（PDCCA）循環(huán)環(huán)，通過過該循環(huán)環(huán)為信息息安全管管理體系系周而復復始的創(chuàng)創(chuàng)建、發(fā)發(fā)展、運運營和維維護提供供了一個個框架；PRIINCEE2

21、主要要用于項項目管理理，通過過過程和和部件的的組合，為項目目管理提提供了一一種規(guī)范范的方法法；COBBIT用用于管理理 ITT業(yè)務流流程，通通過對關關鍵IT過程程進行有有效監(jiān)控控，實現現對業(yè)務務流程中中資源的的有效利利用，從從而改善善管理效效率和服服務質量量。CIISR模型是是基于治治理如下下的概念念而設計計的治理理是對信信息技術術投人和和使用的的權力劃劃分和責責任分配配,并形成成組織所所希望的的行為。（二）重重點不同同ITILL的重點點是過程程管理，該模型型的最新新版V3采用用服務生生命周期期的思想想組織主主題，核核心的出出版物包包括：服服務戰(zhàn)略略、服務務設計、服務過過渡、服服務運營營、持續(xù)

22、續(xù)服務改改進，一一系列的的出版物物涵蓋了了服務生生命周期期的所有有基礎方方面；ISO/IECC177799/270002 側重于于安全控控制，該該標準提提供了信信息安全全的基線線，每一一安全控控制大類類覆蓋了了不同的的主題和和區(qū)域，利用該該準則人人們可以以識別與與特定企企業(yè)或特特定責任任領域相相適應的的安全控控制問題題；PRRINCCE2 強調項項目的可可控性，它確定定了項目目啟動所所需的信信息，指指定了項項目必需需的決策策者，并并在高層層管理人人員之間間建立起起了聯系系，明確確了項目目管理中中人員的的職責；COBBIT 的重點點在控制制和度量量，該模模型不僅僅為344 個過過程定義義了詳細細

23、的控制制目標，并且包包含了成成熟度模模型。企企業(yè)可以以據此來來確定IIT 的的現在狀狀態(tài)和未未來的狀狀態(tài)，結結合控制制目標和和績效指指標，衡衡量組織織是否能能達到關關鍵目標標指標中中所設定定的業(yè)務務活動目目標，然然后采取取措施改改進。CCISRR模型機制制應能夠夠促成所所希望行行為的產產生,希望的的行為是是組織信信仰和文文化的具具體化，在每一一個組織織中都是是不同的的，明確確的所希希望行為為的產生生是有效效治理的的關鍵。(三) 作用不不同ITILL基于服服務生命命周期的的思想，所以有有助于梳梳理服務務管理的的流程，組織可可以根據據流程逐逐步實現現IT服務務管理的的目標，也可以以據此來來發(fā)現現現

24、有流程程中的缺缺陷； ISSO /IEC1177999/2270002能夠夠增強組組織在識識別、防防止、減減少和控控制組織織信息安安全風險險方面的的能力，PDCCA的每每次循環(huán)環(huán)都會使使所運營營的信息息安全體體系的績績效更趨趨近與相相關方面面對信息息安全的的要求和和預期；PRIINCEE2為管管理項目目提供支支持，保保證項目目的質量量和順利利完成；COBBIT采采用系統(tǒng)統(tǒng)生命周周期的思思想，提提供了關關于控制制的清晰晰策略，規(guī)范了了企業(yè)的的業(yè)務流流程，為為每個流流程的實實施都提提供了控控制框架架。CIISR既保證證決策的的科學性性, 也保保證了決決策權力力、責任任及利益益的合理理劃分和和分配。

25、其次, 重視所所希望行行為的產產生和組組織文化化的作用用, 使得得治理從從制度的的層面規(guī)規(guī)范組織織結構、業(yè)務流流程、管管理模式式等。（四）對對應的治治理要素素不同如果我們們把IT治理理的要素素分為五五大類，即：組組織結構構和角色色、量度度、過程程、技術術、控制制，那么么ITIIL對應應的是組組織結構構和角色色、過程程、技術術；ISOIECC 1777999/2770022對應組組織結構構和角色色；PRIINCEE2對應應組織結結構和角角色、過過程；COBBIT對應量量度、過過程、控控制。CCISRR對應的的是角色色，過程程和控制制。ITILL、ISOO/IEEC1777999/2770022、PRINNCE22、COBBIT和和CISSR都是IT治理理領域出出色的模