IT是一種基礎性技術、一種工具，不是一種“萬能藥”。只有對IT進行合理的治理，才能實現組織收益。本文IT治理工具是指實現IT治理的一些基本方法、最優實踐、手段、指南、模型或標準。

    選擇合適的IT治理工具是企業實施IT治理的前提。只有對IT治理工具有充分的了解，才能根據企業自身IT建設情況和運作情況，選擇適合的工具，實施IT治理。可見，對IT治理工具進行詳細的介紹和比較分析，是非常有必要的，也是實施好IT治理的前提。

第一節IT治理工具介紹

    IT治理研究的核心是對IT治理模型的研究。目前，IT治理工具提出的有很多。從2006 年和2008 年ITGI 發布的《全球IT治理狀況報告》，和2011 年發布的《GEIT2011》中，得出全球2003 年-2009 年間IT治理模式的應用情況，如表3.1 所示。

表3.1 全球IT治理模型應用情況比較

    從表中可以看出，ITIL、ISO 標準和COBIT標準是目前比較流行的IT治理模型。本節將選取以下8 種IT治理工具進行介紹：CISR、COBIT、PRINCE2IT-CMM、ITIL、IT-BSC、ISO 17799 和ISO 38500，主要圍繞起源與發展、核心內容、基本原理和優點與不足等方面。

    一、CISR

    （一）CISR 模型的起源

    CISR 模型起源于麻省理工學院斯隆管理學院信息系統研究中心，始創者是彼得•維爾(PeterWeill)和珍妮•W.羅斯(Jeanne W.Ross)。他們對20 個國家的300家企業進行研究，花費5 年的時間，提出CISR 模型。

    CISR 模型又稱Weill&Ross 模式，又稱PW模型，在國外較多稱為Weill&Ross模式或GAM (治理安排矩陣，Governance Arrangements Matrix)模式。CISR 模型的是根據研究機構命名的，Weill&Ross 模式是根據其創始人命名的，GAM 是根據其研究內容命名的。本文采用根據研究機構的命名，即“CISR 模型”。

    （二）CISR 模型的五項關鍵決策

    CISR 模型的目的是實現授權和控制間的平衡，強調IT權利的分配。CISR模型提出的五項關鍵決策是從權利配置的角度進行IT治理的研究中得出的。該模型認為通過對IT五項關鍵IT決策的控制來實現IT治理。模型中提出的五項IT決策分別是：IT原則的決策，IT架構的決策，IT基礎設施的決策，業務應用需求的決策和IT投資及優先順序的決策，如表3.2。

表3.2 五項關鍵IT決策

    （1）IT原則

    IT原則描述的是決策層在企業中如何運用IT，是企業戰略的一部分，體現決策層期望通過IT實現業務價值，以及如何幫助實現業務價值。IT原則包括引導具體決策選擇的原則和闡明期望行為的信息技術原則。

    IT原則決策為其它4 個決策提供指導，說明其它4 個決策的取向和原則原則。IT原則決策和企業業務戰略密切相關，通常遠離IT本身。

    （2）IT架構

    IT架構包括數據與信息架構、應用系統架構和基礎設施架構。為IT基礎設施和應用需求提供指導，甚至為投資決策提供指導。IT架構的目的是達到期望的技術和業務的集成化和標準化。IT架構的實現手段是通過一系列關系、政策及技術選擇獲取的信息、應用、數據和IT基礎設施的組織邏輯。

    IT架構決策以IT原則決策為指導，為業務應用需求決策和IT基礎設施決策提供指導。

    （3）IT基礎設施

    IT基礎設施是有效IT能力的基礎。IT基礎設施的目標是提供共享的和可靠的服務。IT基礎設施包含對軟件、技術、IT硬件和IT人力資源的基礎管理。同時，也提供IT業務應用運行的基礎。IT資源包括軟件、硬件、網絡設備、技術和相關人力。IT基礎設施是這些IT資源和其基礎管理的方法。

    IT基礎設施決策以IT架構決策為指導。部分的IT基礎設施決策依賴于IT投資決策。業務應用需求對IT基礎設施決策有驅動作用。IT決策設施是為業務應用需求提供IT基礎服務能力。

    （4）業務應用需求

    業務需求體現為企業信息化的業務需求，包括哪些業務職能、業務流程通過IT來實現和優化。同時，也包括確定內部購買或開發的方式。

    業務應用需求決策以IT架構決策為指導。IT架構確定了業務應用間的體系結構。由于實現業務應用需求必須進行投資，所以，業務應用需求需通過投資決策來進行確認和選擇。由于業務應用需求決定了對IT基礎設施的要求，所以，業務應用需求對IT基礎設施決策起決定性的作用。

    （5）IT投資及優先順序

    IT投資是企業決策層對企業IT投入的決定。各項決策都要得到IT投資的確認才能開始實現或實施，特別市IT基礎設施決策和業務應用需求決策。

    IT決策是在IT原則下，企業如何對IT進行投入的具體行為。IT投資決策是為了實現企業決策層對IT原則的設計。IT基礎設施和業務應用需求需要IT投資決策來支

    由此可見，IT原則是IT決策的總體指南，IT架構設計是IT決策的核心內容，IT基礎設施是IT決策的實施條件，業務應用需求是IT決策的出發點和最終歸宿，投資和優先順序是IT決策的資金保障和物質支持。以上五種IT決策是共同存在，不能割裂的。這些決策共同形成了IT治理的作用對象。IT決策的決策權歸屬和責任分配是IT治理解決的問題。

    （三）CISR 模型的決策方式

    CISR 模型針對以上五項關鍵決策，提出了六類治理原型：業務君主制，IT君主制，封建制，聯邦制，IT雙寡頭制和無政府制。該原型用來描述擁有IT決策權或者為IT決策提供信息輸入的人員組合，如表3.3 所示。

表3.3 IT決策原型

    CISR 模型認為組織決策必須考慮對他們的行為，主要針對的是決策的過程，目前也在國內外被廣泛使用。IT治理模式都有其不同的關鍵角色的參與，不同治理模式的顯著特點，關鍵角色所起的作用不同，如表3.4 所示。

表3.4 IT治理原型中的關鍵角色

    IT治理決策安排矩陣的形成：將不同的IT決策安排給不同的人員和組織，實現授權和控制之間的平衡。

    CISR 模型在確定了做哪些決策和誰來做的問題后，提出如何做出決策和實施監督，即設計和實施IT治理機制。研究認為，IT治理機制應能夠促成所希望行為的產生。有效治理的關鍵是產生明確的企業所希望的行為。CISR 模型模式提出了IT治理安排與企業目標和諧的治理模型，如圖3.1 所示。

圖3.1 IT治理模式

    二、COBIT

    （一）COBIT模型的起源與發展

    COBIT模型起源于1996 年ISACA（美國信息系統審計與控制協會）。目前COBIT模型已經有5 個版本，分別是COBIT1.0（1996），COBIT2.0（1998），COBIT3.0（2000），COBIT4.0（2005）和COBIT4.1（2007）。最新版本為2007年5 月頒布的COBIT4.1。該模型已成為國際上公認最權威和最先進的安全與信息技術管理和控制的標準。

    最初COBIT模型用于“IT審計”的知識體系，著重用于IT的安全管理和風險控制，隨后逐步發展成為IT治理的一整套體系標準。該標準為IT治理、安全與控制提供了一個結構化、系統化的框架，企業的各級人員基于這個框架展開IT治理。同時，COBIT也是一個“最佳實踐庫”。COBIT模型已經應用到世界100 多個國家的重要企業和組織中。

    （二）COBIT模型的體系結構

    COBIT模型將IT資源、IT過程和企業目標與策略聯系起來，形成一個三維的體系結構，如圖3.2 所示。

圖3.2 COBIT模型的體系結構

    IT準則維：集中反映了企業的戰略目標，主要從成本、時間、質量、資源利用率、系統效率、保密性、完整性和可用性等方面來保證信息的安全性、可靠性、有效性；

    IT資源維：主要包括IT治理過程的主要對象，如應用系統、人、設施、技術及數據在內的信息相關的資源；

    IT過程維：在IT準則的指導下，對信息及相關資源進行規劃與處理。包括規劃與組織、采集與實施、交付與支持和監控和評價4 個域，34 個處理過程和210 個任務活動。該采用了信息系統生命周期的思想。

    四大領域囊括了IT的全部活動，每一個種類下面又包括若干流程，每一個流程又進行了細分；一共是318 個控制目標，也叫審計點。根據COBIT4.1，COBIT基本模型，如圖3.3 所示。

圖3.3 COBIT基本模型

    COBIT的34 個IT個處理過程，如表3.5 所示。

表3.5 COBIT模型中的34 個IT過程

    COBIT模型為企業管理的成功提供了集成的IT管理，通過保證有關企業處理過程的高效改進措施，以更快、更好和更安全地響應企業需求。

    （三）COBIT模型的關注點

    COBIT模型的主要關注點有五個：戰略一致、價值傳遞、資源管理、風險管理和績效測評，如圖3.4 所示。

圖3.4 COBIT的五個關注點

    戰略一致即戰略融合，使IT目標和企業目標保持一致；價值傳遞即價值交付，通過在整個交付周期內實施價值建議，確保IT實現預期戰略收益，關注成本優化，提供IT固有價值；資源管理對IT資源優化投資和適當管理，基礎設施和知識優化是其關鍵問題；風險管理要求企業管理者應具備風險意思，了解企業承擔風險的偏好等，將企業面臨的突出風險透明化；績效測評適用平衡記分卡，將戰略轉化為措施。

    由COBIT模型的五個關注點可知，COBIT模型提供一個可以實現4 個目標的框架。實現的4 個目標為：IT與業務的一致，IT推動業務并獲得最大收益，IT資源利用的可靠性和充分管理IT風險。

    （四）COBIT模型的基本原理

    COBIT模型提供IT循環的思想：業務需求驅動IT資源，IT資源通過IT過程提供服務，服務傳遞企業信息，信息響應企業業務需求，如圖3.5 所示。

    （五）COBIT產品組成部分

    以COBIT4.1 為例，COBIT產品組成包括：執行概要、框架、應用工具集、管理指南、具體控制目標和審計指南，以及一些重要的測量方法和指標，如圖3.6 所示。這些產品分別為專業人員、IT適用者和管理者三個不同層次的用戶提供支持。

    （六）COBIT模型的優點與不足

    COBIT模型的優點在于： COBIT模型具有通用性，可以在全球范圍內適用；COBIT模型易于理解和實施，在IT、管理層和審計之間提供溝通的共同語言；COBIT模型使IT管理工作簡單并量化。

    COBIT模型的不足在于：COBIT模型采用層次結構的方法將IT過程分為4個域和34 個處理過程，但并為給出各個過程或各個域的相對權重；COBIT模型只是一個定性控制框架，缺乏定量描述。

    三、PRINCE2

    （一）PRINCE2 的起源與發展

    1975 年，Simpact Systems 公司建立項目管理方法PROMP II；

    1979 年，英國CCTA(Central Computer and Telecommunications Agency，中央計算機與電信局)將PROMP II 接受為政府部門IS 項目的標準；

    1989 年，PRINCE(Projects IN Controlled Environments，受控環境中的項目)取代了PROMP II；

    1996 年，CCTA 對PRINCE 做了進一步的開發，形成PRINCE2，并開始推廣。

    （二）PRINCE2 的過程模型

    PRINCE2 是結構化的項目管理方法。PRINCE2 是基于幾十位項目經理的錯誤和失誤或成功的經驗和教訓。PRINCE2 的過程模型由8 個管理過程組成，這8 個過程涵蓋了從項目啟動到結束過程中進行項目管理和控制的所有活動，如圖3.7 所示。每個過程鼓勵對項目責任正式的確認，強調項目交付什么、為何交付、交付時間和為誰交付。

    （三）PRINCE2 的組成部分

    PRINCE2 有8 個組成部分：商業論證、組織、計劃、控制、風險管理、項目環境下的質量管理、配置管理和變更管理。其中，商業論證的可行性是PRINCE2 的主要控制條件，任何時候，無論何種原因導致商業論證不可行，項目就終止；PRINCE2 提供項目管理團隊的組織結構。同時，對組織結構中的項目成員的職責及其關系進行了界定。根據項目復雜度和規模不同，可以對角色經行分解或合并。PRINCE2 提供一套控制手段，保證提供進行關鍵決策所需要的信息；PRINCE2 規定了風險審核關鍵點，同時概述了風險分析和管理方法；PRINCE2 在技術和管理過程中融入了質量方法；PRINCE2 對配置管理方法所需要的信息和基本設施進行了定義。也說明了應如何與PRINCE2 的其他幾個組成部分進行銜接；PRINCE2 強調變更控制的必要性。

    PRINCE2 提出3 種技巧，分別是：基于產品的規劃、質量檢查技巧和變更控制技巧。

    （四）PRINCE2 的優勢

    PRINCE2 是一種有效的項目管理結構化方法。嚴格遵循以下3 個項目管理原則：項目是一個有限的過程，且有明確的起點和終點；需要始終對項目進行管理；項目所有相關方面都必須清楚項目的預期目標、必要性、方法及其各自的義務等。

    PRINCE2 包含了管理和運行項目所必需的所有基本流程和概念，可以應用于任何環境中的所有項目；PRINCE2 為參與項目的所有人提供了一種通用語言。

    四、IT-CMM

    IT成熟度又稱IT管理復雜度，由Churchill 等人與1969 年首次提出。IT成熟度用于說明管理人員如何運用基于計算機的IS。

    IT治理成熟度模型是結合成熟度模型和IT治理知識所形成的，如圖3.8 所示。IT成熟度模型制定了一個基準，組織可以根據其了解自身目前的信息化水平。

圖3.5 IT治理成熟度模型

    五、ITIL

    （一）ITIL 的起源與發展

    ITIL 模型起源于20 世紀80 年代末，由OGC（Office Government Commerce，英國商務部）發布。ITIL 模型最初的目的是通過應用IT提升政府業務的效率。ITIL 開始是作為政府IT部門的最佳實踐指南，之后被推廣到英國私營企業，然后傳遍歐洲，興起于美國。自1980 年至今，主要經歷了三個主要版本：ITIL v1（1986-1999）、ITIL v2（1999-2006）和ITIL v3（2004-2007）。

    ITIL v1 是基于職能型的實踐，有40 多卷圖書；ITIL v2 是基于流程型的實踐，有10 本圖書，包含7 個體系。此時，已經成為IT服務管理領域全球廣泛認可的最佳實踐框架；ITIL v3 基于服務生命周期的實踐，整合了ITIL v1 和ITIL v2的精華，是IT服務管理領域當前的最佳實踐。

    ITIL 已經成為了IT管理領域的事實上標準，相關的IT產品有IBM 的Tivoli，微軟公司MOF（Microsoft Operations Framework，微軟運營框架），惠普公司的ITSM 參考模型（ITService Management Reference Model）等。ITIL 是目前普遍實行的“事實”上的標準，不是一個正式標準。

    1999 年ITIL 引入中國。1999 年至2002 前，國內對ITIL 了解的單位不多，成功案例也十分有限。2002 年開始日益受關注。2003 年，ITIL 在國內發展有很大突破：翰緯IT管理研究咨詢中心出版了第一本中文ITIL 專著；《中國計算機用戶》周刊創辦了中國第一個IT服務管理專欄；翰緯IT管理研究咨詢中心和ITSM PORTAL International 的合作下正式創辦第一個面向ITIL 的門戶網站“ITSM 資訊網”。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://m.vmgcyvh.cn/

本文標題：IT治理工具比較及架構構建之IT治理工具介紹與比較分析(上)

本文網址：http://m.vmgcyvh.cn/html/support/1112189931.html