IT治理相关工具的对比分析,本文主要内容关键词为:工具论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
中图分类号:G201文献标识码:A文章编号:1007-7634(2008)09-1402-06
1 引言
随着信息技术的快速发展,组织在信息技术上的投资不断增加,如何有效管理IT资产,使组织获得较高的投资回报率,是各组织关心的问题,因此,IT治理引起了企业界和研究者的高度关注。根据2005年信息技术治理协会(Information Technology Governance Institute,ITGI)在全球进行的IT治理的调查[1],结果显示有87%的企业已经认识到了IT治理的重要性,有效的IT治理帮助企业确保IT支持商业目标、优化IT商业投资、适当管理IT相关的风险和机会。
2 IT治理
IT治理有时也称为IT治理安排(IT Governance Arrangement),或IT治理结构(IT Governance Strueture),一般认为它是公司治理的一个分支。
根据研究意图和研究方法的不同,IT治理有多种定义。IT治理协会(ITGI)[2]认为IT治理是一种控制企业的关系和流程的框架,以使企业在运用IT及其流程平衡风险和收益的同时,通过价值增值实现企业的目标。V.Sambamurthy(1999)[3]等人认为:IT治理是指企业里关键IT活动的权力模式,关键IT活动包括IT基础设施、IT应用和项目管理。Peter Weill(2004)[4]等人认为:IT治理是指在利用IT过程中,为鼓励期望行为而明确的决策权归属和责任担当框架。
Carr(2003)提出“IT,强势不再”[5],他认为由于IT是一种基础性技术,其快速的商品化导致了信息技术不再能给企业带来竞争优势,而对大多数公司而言,“获得成功的关键不再是侵略性地寻找优势,而是小心翼翼地管理成本和风险”。因此,如何充分利用IT并规避风险是企业获得竞争优势的关键。许多研究者也认为IT只是一种工具,不是一种“万能药”,只有对信息技术进行合理的治理,才能实现组织收益。Weill及其同事经过数百次访谈和大量调查研究后发现,IT治理是从IT中获取商业价值的最为重要的因素[4]。通过IT治理,组织明确了IT决策权的归属问题,使组织规避风险获得收益。企业进行IT治理,首先要选择合适的IT治理工具。企业要根据自身IT建设情况和企业运作情况,采用适合的IT治理工具,并量体裁衣,这是组织进行IT治理的开始和关键。
3 IT治理的相关工具
在IT治理过程中,组织可以创建自己的治理框架,也可以采用那些已经开发的成熟的标准,这些标准结合了许多组织和个人经验。采用标准的IT治理框架,组织可以获得很多好处(Spafford,2003)[6]。在近20年中,出现了许多不同的IT治理框架以及评估IT影响和绩效的方法,这些工具中有的已经开发成为一系列的指南,有些开发了方法或最优实践,而有些已经成为实际的标准。下面的介绍展示了各种IT治理工具的主要区别,据此企业可以采用不同的IT治理工具。
在多种IT治理工具中,ITIL、COBIT、CMM等应用较为广泛,下面对这些主要治理工具进行介绍。
3.1 主要IT治理工具
(1)ITIL——IT基础架构库。ITIL(Information Technology Infrastructure Library,ITIL)主要适用于IT服务管理(Service Management),在该域它是世界范围内的一个事实上的标准[7]。ITIL关注那些为交付高质量服务所必需的关键的商务过程和原则,其核心内容包括服务支持(Service Support)和服务交付(Service Delivery),它描述了IT部门应该包含的各个工作流程以及各个工作流程之间的相互关系。ITIL共包括11个流程,其中,服务支持包括服务台、事故管理、问题管理、配置管理、变更管理和发布管理,服务交付包括服务级别管理、成本管理、持续性管理、可用性管理和容量管理。
除了ITIL框架,该领域出现了基于ITIL的英国标准BS15000,它是世界范围内IT服务管理的第一个标准。2002年,BS15000被国际标准化组织所接受,成为IT服务管理的国际标准的重要组成部分。该方法把IT服务与实际商务需要的匹配程度作为评价IT质量的标准[8],这样,组织就可以完善他们的最佳实践,而不必在意特定的技术。
(2)COBIT——信息及相关技术的控制目标。COBIT (Control Objectives for Information and related Technology,COBIT)是IT治理的一个开放性标准,它是被普遍接受的IT内部控制框架,由美国IT治理协会(IT Governance Institute,ITGI)开发和推广,它已成为IT安全和控制最佳实践所普遍适用和接受的标准[9]。COBIT更关注控制而非执行,它为IT治理提供了具体的控制标准。
COBIT通过域和流程架构提供了最佳实践,并用便于管理的、合理的结构介绍了具体的行动。该架构包括:规划与组织(Planning and Organization,PO)、获得与实施(Acquisition and Implementation,AI)、交付与支持(Delivery and Support,DS)和监控(Monitoring,M)这四个域,在这四个域下又分为34个IT处理流程。
(3)Six Sigma——六西格玛。六西格玛代表着与均值有六个单位的标准偏差,即每一百万个机会中有3.4个出错的机会。六西格玛是一项以数据为基础,追求几乎完美的质量管理的方法,可用于任何过程中的六西格玛方法为提高性能和减少缺陷提供了技术和工具。该方法通过不断检查和调整过程来提高任何现有的商务过程[10]。六西格玛过程提高的主要内容包括客户需求、设计质量、员工卷入度和持续提高。
(4)CMM——成熟度模型。成熟度模型(Capability Maturity Model,CMM)是美国卡内基·梅隆大学软件工程研究所(SEI)于1987年开发的,是一个用于完善和精练一个组织的软件开发过程的方法,它基于经典的瀑布模型(Waterfall Model)。CMM提出了5个软件过程的成熟度水平,包括初始级,可重复级,已定义级,已管理级和最优级。CMM通过提供这样的一个框架,给组织指出提高其软件过程能力的路径。
(5)ISO 17799——信息安全管理的国际标准。ISO 17799或是英国标准BS 7799是一个信息安全方面的标准,包括信息安全方面的一套控制和最佳实践。它确保一个组织能对所包含的十类管理要项制定一定的合规水平(compliance level)[11],这十类管理要项包括:安全方针(security policy)、安全组织(security organization)、资产分类与控制(asset classification and control)、人员安全(personnel security)、物理与环境安全(physical and environmental security)、通信与操作管理(communications and operations management)、系统访问控制(access control)、系统开发与维护(systems development and maintenance)、业务持续管理(business continuity management)及合规性(compliance)。
(6)SOX——萨班斯法案。SOX法案(Sarbanes_Oxley Act)是2002年美国制定的一部涉及会计职业监管、公司治理、证券市场监管等多方面改革的重要法律。大家关注和讨论的焦点在SOX法案的302和404条法案上,SOX法案第302条规定,上市公司的首席执行官(CEOs)和首席财务官(CFOs)必须亲自确保财务决算和实物,以及公开控制和程序的有效运行;SOX法案404条包括通过财务报告来进行内部控制[12]。规避风险、完善内部控制是SOX法案的重点。
(7)CISR模型。CISR模型是由斯隆管理学院信息系统研究中心的Peter Weill等教授(2004)[4]提出的。该方法主要从权力配置角度进行了IT治理的研究。他们通过研究发现了五个IT关键领域,即信息技术原则(IT Principles)、信息技术结构(IT architecture)、信息技术基础设施(IT infrastructure)、企业应用需要(Business application needs)和信息技术投资及优先顺序(IT investment and prioritization)。对于关键领域提出了六类治理原型,即业务君主制(Business monarchy)、IT君主制(IT monarchy)、封建制(Feudal)、联邦制(Federal)、IT双寡头制(IT duopoly)和无政府制(Anarchy)。该模型还提出了评价IT治理绩效的相关方法。
3.2 IT治理工具的分类和应用情况
在上述IT治理工具中,它们的特点也各不相同,Michael Holm Larsen等人(2005)根据过程类型和组织实体的不同,将各类工具进行了分类,结果如表1所示。
表1 IT治理工具的分类
表1中的IT Governance Review和IT Governance Assessment即Peter Weill等人(2004)提出的CISR模型。
关于IT治理,当前流行的工具有ISO标准、ITIL,COBIT等。根据2006、2008年ITGI发布的关于《全球IT治理状况报告》[1][13],我们可以看到各种IT治理工具在实际中的应用情况,具体数据如表2所示。
由表2可以看出企业对IT治理工具的采用趋势的变化:
(1)随着IT治理的深入,企业越来越多的采用标准的IT治理工具。在2003年企业最多采用的是内部开发框架和当地(国家)专业组织解决方案,其次为国际专业组织解决方案。有将近一半(47%)的企业采用这三种治理工具。到了2007年,采用这三者的企业仅占23%,更多的企业采用标准的IT治理工具,而不用采用自己开发的方案。
(2)应用较多的框架有ITIL,ISO 9000,COBIT以及内部开发框架。其中,ITIL的应用最为广泛。虽然ITIL主要关注的是服务交付问题而不是IT治理架构问题,但2007年有24%的企业采用和准备采用ITIL,从2003年至今越来越多的企业采用该框架的。其次,ISO 9000,COBIT以及内部开发框架的采用较为广泛,都为14%的应用比例。
(3)企业基本都能确定自身的IT治理工具。2005年还有22%企业没有确定采用哪种治理工具,但在2007年仅有3%。由此可以看出,随着IT治理在企业中的深入,企业IT治理经验的积累,基本都能确定适合企业自身的IT治理工具,这对IT治理的进行是一个良好的开始。
同时,与2003年相比,2005年COBIT的应用略微有所降低。对此结论,一个可能的解释就是由于COBIT常常作为一个未来详细的内部开发框架的基准,因此,COBIT可能作为内部开发框架的一个整合部分反映在这些回答中。而ISO 9000从2003年以来有显著的增长,可能是因为2005年的调查样本中加入了印度。
在我国,翰纬IT治理研究中心进行了“2007年全国IT服务管理应用调查”[14],该项调查选取了我国409家企业,样本包括华东地区、华北地区和中南地区,在地理区域上能反映全国范围内IT治理的基本特征,同时,调查包括了电信、金融、政府、制造业等多了领域,其结果基本代表了IT治理在不同行业的整体水平。该调查结果显示,目前有63%的企业还没有考虑实施IT治理或处在需求分析收集信息阶段,还未进行IT治理,其他企业分别处在项目规划、项目实施、评估产品和培训验收阶段。在已经实施IT治理的企业中,各IT治理工具的应用状如表3所示。
由调查结果可以看出,在我国ISO 9001标准应用最多,其实施满意度也最高,这与ITGI在2005年进行的全球范围的调查结果相一致;同时我们看到,ITIL和ISO 2000的培训占据主要认证培训市场,其中,对ITIL认证培训的满意度最高,达到了68.4%,通过大量的培训,在未来企业中有更多的经过ITIL培训认证的IT专业人员,会大大推动企业IT治理的进行,同时可以预测未来我国企业会更多地采用ITIL标准,这与2008年《全球IT治理状况报告》中ITIL目前应用比例最高相一致。上述结果说明我国在IT治理工具的应用上与国际保持一致,但我国企业进行IT治理的比例还较低,这不利于对企业IT资源的合理利用。
4 COBIT标准模型与CISR研究模型的对比
在上述IT治理工具中,COBIT是现在被普遍采用的IT治理的标准,而CISR提出的IT治理安排矩阵为我们展示了最佳IT治理实践在制度上的安排,在IT治理的研究中,这两个模型应用的较为广泛。一些研究对比了一些IT治理工具的不同,我国IT治理中心学者孙强等人(2004)[15]探讨了COBIT,ITIL,ISO/IEC17799和PRINCE2这四个工具间的差异与互补关系。李维安和王德禄(2005)[16]两位学者分析了COBIT和CISR两个模型,分别从其概念、目标和IT治理的层次三个方面对它们进行了对比。本研究将从以两模型的研究层面等四个方面进行对比分析,明确各自的特点,帮助用户选择合适的IT治理工具。
4.1 两者关注的层面和领域不同
COBIT从整个IT治理的全过程出发,它关注五个领域,即战略一致性(Strategic alignment),价值交付(Value delivery),资源管理(Resource management),风险管理(Risk management)和绩效测量(Performance measurement)。
CISR模型仅从信息技术的相关决策出发,关注的是五个IT关键领域,即信息技术原则、信息技术架构、信息技术基础设施、企业应用需要和信息技术投资及优先顺序。该模型没有关注IT治理的相关内容,仅从与信息技术相关的领域进行研究。
两者的差异源于它们对IT治理的不同定义。COBIT认为IT治理是“一种控制企业的关系和流程的框架,以使企业在运用IT及其流程平衡风险和收益的同时,通过价值增值实现企业的目标”,因此,它强调控制,制定全面、详细的标准帮助组织对IT资源进行有效利用。CISR认为“IT治理是在利用IT过程中,为鼓励期望行为而明确的决策权归属和责任担当框架”,该模型强调决策权的分配问题,明确了不同的IT治理安排影响组织IT治理的绩效。
4.2 两者的研究框架不同
COBIT的主要目的是为业界提供一个开放式的标准,使企业可结合自身情况制定标准,它关注控制而非执行。该架构分为4个域,包括34个IT过程,如表3所示。COBIT4.0版中,每个过程下包括四部分内容,前两部分为高标准的控制目标(High-level control objective)和具体的控制目标(Detailed control obietcives),第三部分管理指南(Management guidelines)中包括该过程的投入(Inputs)和产出(Outputs),RACI图以及目标和标准(Goals and metrics),RACI图详细说明了哪些活动需要委派给谁,目标和标准提供了如何测量该过程,第四部分的成熟度模型(Maturity model)评价了目前该过程的能力以及如何提高。COBIT的研究结构见表4。
而CISR模型利用矩阵架构来确定不同的IT决策和不同的IT治理原型的组合。利用该矩阵,使组织能明确在五个关键IT领域中,如何配置IT决策权。CISR模型的研究结构见表5。
4.3 对绩效评价的方法不同
COBIT采用了平衡记分卡(Balance scorecard)的评价原则,从财务、顾客、内部过程和学习与革新四个方面进行全面评价,平衡记分卡的方法突破了单从财务方面评价IT治理绩效的不足。在该模型中,IT治理的绩效指标包括两类:关键产出指标(KGI)和关键绩效指标(KPI),关键产出指标(KGI)对业务活动“应该完成什么”提出目标,评价IT过程是否达到了它的业务要求,关键绩效指标(KPI)评价当IT过程达到目标时它的绩效如何。
表5 CISR模型的治理安排矩阵
CISR对IT治理绩效提出了自己的评价方法。首先,该方法从成本控制、增长、资产利用和业务灵活性四个方面评价这四个治理结果的重要性程度,接着评估IT治理有助于实现结果的程度,以重要性程度为权重经过计算可以得出该组织的IT治理的绩效。即提出组织IT治理的目标,评估实现目标的程度,最终得到该组织的绩效。
COBIT分别对34个过程提供了评价的内容,但其没有提供对组织整体IT治理绩效的评价结果,而CISR对组织整个IT治理绩效进行评价,其评价结果可以直接用于组织间的横向比较。
4.4 IT决策权的配置不同
COBIT的4.0版较3.0版在管理指南中加入了RACI图,该图表明了组织中对IT决策的权责配置,它明确了在每个决策过程中具体的决策应该由谁来负责、负何种责任。RACI分别表示管理者在IT决策中应承担的责任:职责(Responsibility)、问责(Accountable)、顾问(Consulted)及被告知(Informed)。该模型指出,应由首席执行官(CEO),首席财政官(CFO),首席信息官(CIO),业务经理,IT主管等11个职务的管理者对IT决策承担起相应的责任。
CISR的一个贡献在于提出了六种IT治理原型。它对每种原型都定义了做出IT决策的人员类型:业务君主制的IT决策人是最高管理者、IT君主制的IT决策人是IT专家、封建制的IT决策人是每个业务部门独立决策、联邦制的IT决策人是公司的决策层和业务层联合决策、IT双寡头制的IT决策人是IT团队和其他的某一个团队、无政府制的IT决策人是孤立的个体或者小团体。但该模型并未规定各类决策的制定者,而是通过对最佳实践的分析,得到了一组IT治理原型,从而为IT决策权的配置提供选择。
由以上分析可以看出,COBIT对职责的划分更加细致,不仅仅明确由谁来决策,即谁来承担职责,还明确了应该由谁承担问责、顾问和被告知的责任;同时,其责任承担者也更为具体,共包括了CEO、CFO等11个重要职务。而CISR中的决策者基本是某一个部门或某一类管理人员,没有明确到某一职务。
5 结论
本文对IT治理的相关工具进行了介绍,对其在全球和我国的应用情况进行了分析,并重点分析对比了COBIT和CISR两个模型,通过对比我们发现两者关注的层面和领域、研究框架、对绩效评价的方法以及IT决策权配置上有所不同。通过本文的分析,我们可以看到每种IT治理工具都有其适应性,组织可根据自己的特点和需要选择适当的工具,帮助组织进行IT治理,使组织能有效管理IT资产,获得较高的IT投资回报和竞争优势。
标签:cobit论文; itil论文; 过程管理论文; 绩效目标论文; 组织绩效论文; 信息安全论文; it治理论文; it服务论文; 框架论文;