善治的IT治理架構是確保IT資源與公司戰略目標保持一致的基礎,同樣也能確保IT服務滿足組織對優質、可信和安全的信息需要。採用標準的IT治理(IT Governance)架構可以給企業帶來諸多收益。如美國堪薩斯州把COBIT標準作爲虛擬政府策略的一部分,結果降低了運營成本,併爲它的客戶和委託人提供了很高質量的服務。Proctor&Gamble在採用ITIL標準的四年裏,節省超過5億美金的預算。同時Procter&Gamble內部財務和IT部門的調查顯示,其運作費用降低6%~8%,而技術人員的人數減少15%~20%。ISO/IEC17799是成爲國際標準最快的一個標準,ISO/IEC17799的前身BS7799是賣出拷貝最多的管理標準,目前已有二十多個國家引用BS7799-2作爲國標,各大信息安全公司也都以BS7799爲指導向客戶提供信息安全諮詢服務。近年來Prince2在Prince的基礎上迅速席捲包括IT項目在內的項目管理,PRINCE 2 已風行歐洲與北美等國。Sun、Oracle等將PRINCE2作爲實施項目的標準管理方法;香港特別行政區政府資訊科技署將PRINCE作爲政府項目管理的標準指南。
何爲IT治理
IT治理是IT、經濟學及管理學界中一個新的概念,用於描述企業或政府是否採用有效的機制,使得IT的應用能夠完成組織賦予它的使命,同時平衡信息化過程中的風險,確保實現組織的戰略目標。其主要使命是:保持IT與業務目標一致,推動業務發展,促使收益最大化,合理利用IT資源,適當管理與IT相關的風險。具體而言如下:
IT戰略目標必須與企業戰略目標保持一致,IT對於來說組織非常關鍵,也是戰略規劃的重要組成部分,甚至直接影響到戰略競爭機遇。
IT治理包含治理委員會、治理結構、治理流程和企業文化等。
IT治理使風險透明化,從而保護利益相關者的權益。
IT治理可用來指導和控制IT投資、機遇、收益及風險。
IT治理通過引導IT戰略,並建立標準的信息基礎架構,來實現業務增長。
IT治理對核心IT資源做出合理的制度安排,這將成爲進入新的市場、進行有效競爭、實現總收入增長、改善客戶滿意度及維繫客戶關係的制度保障。
四種基本的IT治理支持手段
COBIT——信息及相關技術的控制目標(Control Objectives for Information and related Technology,COBIT) ,是IT治理的一個開放性標準,由美國IT治理研究院(IT Governance Institute)開發與推廣,現已更新爲第三版。IT業務流程是COBIT關注的焦點,對每一個IT業務流程,COBIT提出了一系列的控制目標、相應的實現這些控制目標的控制程序,評價這些控制程序是否存在,並被有效執行的一系列審計程序。該標準爲IT的治理、安全與控制提供了一個普遍適用的公認標準,以輔助管理層進行IT治理。目前已在世界一百多個 國家的重要組織與企業中運用,指導這些組織有效利用信息資源,有效地管理與信息相關的風險。COBIT模型如圖1所示。
COBIT架構的主要目的是爲業界提供關於IT控制的清晰策略和良好典範。該架構的四個域分別是:PO(Planning & Organization)、AI(Acquisition & Implementation)、DS(Delivery & support)和 Monitoring。進一步細分爲34個IT處理流程。如表1。
資料來源:ISACA
COBIT產品家族分類如圖2所示。
資料來源:ISACA
①管理指導方針(Management Guidelines)其中:成熟度模型(Maturity Models)是用來決定每一個控制階段和期望水準是否符合標準規範。關鍵成功要素(Critical Success Factors)是用來辨認在信息化過程中實現有效控制所必需的最重要的活動。關鍵目標指標(Key Goal Indicators)是用來定義關鍵目標的績效衡量標準。關鍵績效指標(Key performance Indicators)用來測量IT控制程序是否能達到目標。以上管理方針都是爲了確保企業能成功和有效地整合業務流程與信息系統。
②執行概要(E xecutive Summary)提供了讓管理層瞭解COBIT關鍵概念和原則的綜合性簡介,還概述了COBIT四大領域的體系架構。
③架構(Framework)詳細描述了的34個控制目標,並指出了企業對信息標準的要求和在IT資源上的需求是如何融入控制目標中的。
④審計指導方針(Audit Guidelines)提供了關於34個控制目標的審計步驟,以協助信息系統審計師檢驗IT程序是否符合控制目標,並提供管理上的保證和改進的建議。
⑤控制目標(Control Objectives)爲IT控制提供了一個用來明晰策略和實施指導的關鍵方針,包括控制目標的詳細說明。
⑥應用工具集(Implementation Tool Set)包括管理意識(Management Awareness),IT控制診斷(IT Control Diagnostics),應用指導(Implementation Guide),常見問題及(FAQs)等。這些新工具主要是設計讓COBIT的應用更容易,讓組織能快速且成功地從教材中掌握如何在工作中應用COBIT。
需要指出的是,COBIT可具體應用到幾乎所有企業信息系統中。目前ISACA也提供相關專業人士的認證服務,經認證的專家可在一百多個國家執行信息系統審計業務。
ITIL—— IT基礎架構庫(Information Technology Infrastructure Library, ITIL)由英國政府部門CCTA(Central Computing and Telecommunications Agency)在20世紀80年代末制訂,現由英國商務部OGC(Office of Government Commerce)負責管理,主要適用於IT服務管理(ITSM)。20世紀90年代後期,ITIL的思想和方法,被美國、澳大利亞、南非等國家廣泛引用,並進一步發展。2001年英國標準協會(British Standard Institute,BSI)在國際IT服務管理論壇(itSMF)年會上,正式發佈了基於ITIL的英國國家標準BS15000。2002年,BS15000爲國際標準化組織(ISO)所接受,作爲IT服務管理的國際標準的重要組成部分。目前,ITSM領域正成爲全球IT廠商、政府、企業和業界專家廣泛參與的新興領域,對未來的IT走向和企業信息化,將會產生深遠的影響。其內容描述的是IT部門應該包含的各個工作流程以及各個工作流程之間的相互關係。ITIL的核心內容包括服務支持和服務交付,共11個流程。如表2。其架構模型如圖2所示。
資料來源:Paul Graham等著,《ICT Infrastructure Management》,P7,OGC,2002年。
ISO/IEC17799——信息安全管理的國際標準。在信息時代,信息資產已經成爲最有價值的資產,因此需要恰當地保護它。具體而言,通過信息安全管理,可以保護信息不受廣泛威脅地損害,確保業務的持續性,將商業損失降至最小,使投資收益最大並創造新的戰略機遇。
1995年,英國貿工部根據英國國內企業對信息安全日益高漲的呼聲,組織大企業的信息安全經理們制定了世界上首部信息安全管理體系標準BS7799-1:1995《信息安全管理實施規則》,作爲企業和政府組織實施信息安全管理的指南。1998年,英國又制定了第一部《信息安全管理體系認證標準》BS7799-2:1998《信息安全管理體系規範》,作爲對一個組織的全面或和部分信息安全管理體系進行評審認證的依據標準。此後英國又進行了多次修訂並提交給ISO。2000年12月,ISO/IEC正式採納BS7799-1:1999做爲國際標準ISO/IEC17799:2000。
ISO/IEC 17799包含10個管理要項,分別是:安全方針、安全組織、資產分類與控制、人員安全、物理與環境安全、計算機與網絡管理、系統訪問控制、系統開發與維護、業務持續管理及合規性。ISO/IEC 17799模型如圖3所示。
資料來源:PWC
需要強調指出的是,ISO/IEC 17799不是一篇技術性的信息安全操作手冊,作爲一個通用的信息安全管理指南,其目的並不是說明有關“怎麼做”的細節,它所闡述的主題是安全策略和優秀的、具有普遍意義的安全操作。該標準特別聲明,它是“制定一個機構自己的標準的出發點”,並不是說它所包含的所有方針和策略都是放之四海而皆準的。作爲對各類信息安全問題的高級別概述,ISO/IEC 17799有助於人們在高級管理中理解每一類信息安全主題的基礎性問題。它廣泛涵蓋了幾乎所有的安全議題,主要告訴管理者關於安全管理的注意事項和安全制度,這些規定一般單位都可執行。因此,需要建立信息安全管理體系的單位可以此爲參照,建立自己在這方面的體系,並在別人經驗的基礎上根據自身情況進行設計、取捨,以達到對信息進行良好管理的目的。
PRINCE2——受控環境下的項目(Projects IN Controlled Environments),一種對項目管理的某些特定方面提供支持的方法。
項目管理向來就是一個充滿挑戰的管理,管理人員必須在事先確定好的人力、物力、財力、時間基礎上產出預期質量的項目結果。項目管理中的失控一直就是官、產、學界關心的熱點問題。
早在20世紀70年代,英國政府就要求所有政府的信息系統項目必須採用統一的標準進行管理。1979年CCTA採納Simpact Systems公司開發的PROMPT項目管理方法作爲政府信息系統項目的項目管理方法。在PROMPT項目管理方法的基礎上,20世紀80年代年英國政府計算機和電信中心(CCTA)(後來併入英國政府商務部(OGC))出資研究開發PRINCE,1989年PRINCE正式替代PROMPT成爲英國政府IT項目的管理標準。
1993年,OGC又將注意力轉移到PRINCE新改版PRINCE2的開發。通過整合現有用戶的需求,同時提升該方法成爲面向所有類型的項目的、通用的、最佳實踐的項目管理方法。在OGC的組織下,大量項目管理的專家和學者組成設計和開發團隊,超過150家公共和私人組織參加評審委員會,併爲開發工作提供有價值的反饋意見。開發工作於1996年3月正式結束。
PRINCE2是基於過程(Process-Based)的結構化的項目管理方法,適合於所有類型項目(不管項目的大小和領域,不再侷限於IT項目)的易於剪裁和靈活使用的管理方法。每個過程定義關鍵輸入、需要執行的關鍵活動和特殊的輸出目標。
該方法描述了一個項目如何被切分成一些可供管理的階段,以便高效地控制資源的使用和在整個項目週期執行常規的監督流程。依據項目的大小、複雜度和組織的能力,該方法描述了項目中應涉及到的各種不同的角色及其相應的管理職責。Prince2的項目計劃是以產品導向的,也就是說項目計劃強調項目按預期交付結果,而不是簡簡單單計劃在何時該做何事。
一個PRINCE2項目由業務狀況(Business Case)進行驅動,業務狀況用於描述啓動和繼續一個PRINCE 項目的信息。它給出了項目的動機,且回答了“ 爲什麼”。它在整個項目的若干關鍵點處被更新。業務狀況往往和項目進度相結合,來確保項目目標的實現,儘管這些項目目標可能在整個項目週期中會有所變化,但仍能很好地被滿足。
PRINCE2提供從項目開始到項目結束覆蓋整個項目生命週期的基於過程的結構化的項目管理方法,共包括8個過程,每個過程描述了項目爲何重要(Why)、項目的預期目標何在(What)、項目活動由誰負責(Who)以及這些活動何時被執行(When)。如圖4所示。
資料來源:OGC
PRINCE2爲管理項目提供了最本質的原理,它集中於項目管理的戰略層次,同時它是一種通用的架構。它用8個過程(其中6個過程爲項目管理的流程,指導項目(DP)與計劃(PL)在項目整個生命週期中支持其他6個流程)指明項目管理應該做什麼,但是沒有描述如何做?至於如何做?企業應求助於諮詢公司或其他公司的案例,然後結合自身的情況。對於每個過程,PRINCE沒有提供具體實現技術和工具,用戶可根據實際需要,使用有益的任何工具,如甘特圖,關鍵路徑法、項目管理軟件等。PRINCE2提供的8個過程也僅僅作爲參考過程,企業在具體實施時,必須依據項目的規模和需要對這些過程進行剪裁。
哪個標準更好?
有趣的是,關於四個標準之間的對照研究似乎成了許多國際組織熱衷的研究項目,我們認爲與其研究這四者之間並不太多的重疊之處,倒不如深入探討這四者之間的互補關係。
COBIT和ITIL的比較
COBIT基於已有的許多架構,如SEI的能力成熟度模型(CMM)對軟件企業成熟度5級的劃分,以及ISO9000等標準,COBIT在總結這些標準的基礎上重點關注企業需要什麼,而不是企業需要如何做,它不包括具體的實施指南和實施步驟,它是一個控制架構(Control Framework)而非具體如何做的過程架構(Process Framework)。COBIT的“目標聽衆”是信息系統審計師,企業高級管理人員以及高級IT管理人員,如CIO。
ITIL基於企業的最佳實務(Best Practice),OGC收集和分析各種組織解決服務管理問題方面的信息,找出那些對本部門和對英國政府其它部門有益的做法,最後形成了ITIL。它列出了各個服務管理流程“最佳”的目標、活動、輸入和輸出以及各個流程之間的關係,但沒定義範圍廣泛的控制架構。它關注方法和實施過程。由於它關注IT服務管理(ITSM),它的視野相對COBIT來說狹窄,但它對IT服務的提供和支持定義了更爲詳細和更易理解的過程集。它的“目標聽衆”是IT人員和服務管理人員。
儘管兩個標準有着許多的不同之處,但在COBIT和ITIL背後卻有着非常一致的指導原則。信息系統審計師通常綜合使用COBIT和ITIL的自評估方法,去評估企業IT服務管理環境。COBIT爲每一個過程提供了關鍵目標指標(KGIs)、關鍵績效指標(KPIs)、關鍵成功要素(CSFs),這些指標與ITIL過程相結合,可以建立ITIL過程管理的基準。在實際應用中,某些企業綜合兩個標準提出了更易理解的適用於本企業環境的IT治理和運行架構。
很多COBIT的過程特別是交付與支持(DS)域的很多過程如DS1、DS3、DS4、DS8、 DS9和DS10與ITIL的過程有着很好的映射關係,如服務級別管理、成本管理、可用性管理、事故管理、問題管理、配置管理、發佈管理、容量能力管理。同樣AI6變更管理過程與ITIL中變更管理和其他服務支持過程如發佈管理形成了較好的對應關係。(對比表1、2)
COBIT和ISO/IEC 17799的比較
ISO/IEC 17799強調信息安全管理體系的有效性、經濟性、全面性、普遍性和開放性,目的是爲希望達到一定管理效果的組織提供一種高質量、高實用性的參照。其最大特點就是廣泛但不深入,而且僅作參考之用。
與ISO/IEC 17799不同,COBIT完全基於IT,其IT準則反映了企業的戰略目標,IT資源包括人、系統、數據等相關資源,IT管理則是在IT準則指導下對IT資源進行規劃處理。COBIT在PO、AI、DS、M四個方面確定了34個處理過程以及318個詳細控制目標。此外對每個過程還有評審工具。如圖1 COBIT原理所示。
圖1 COBIT原理
資料來源:PWC
COBIT和PRINCE2的比較
PRINCE2爲包括IT項目在內的項目管理提供了通用的管理方法,內置了在項目管理實踐中已證明成功的最佳實踐,通過爲所有參與者提供的通用語言,便於被廣泛理解和接受。PRINCE鼓勵對項目責任正式的確認(誰具體負責什麼),強調項目交付什麼(what)、爲何交付(why)、交付時間(when)、爲誰交付(whom)。PRINCE能給項目帶給:
可控的組織良好的開端、過程、結尾
在決策關鍵點(Decision Point)時重新審視項目計劃和業務狀況
自動管理和控制對計劃的任何偏離
股東和高級管理者只是在恰當的時機介入項目
在項目組、項目管理層、組織的其他人員間搭建暢通的交流通道
COBIT從戰略、戰術、技術等層面給出瞭如何有效管理IT項目。在PO10中專門給出了項目管理的方法論,詳細定義了13個具體控制目標:項目管理架構;用戶方參與項目啓動;項目團隊身份及其職責;項目定義;項目批准;項目階段批准;項目主要計劃;系統質量保證計劃;保證方法計劃;正式的項目風險管理;測試計劃;培訓計劃;實施後的評審計劃。除給出項目管理具體控制目標外,COBIT還給出了與項目管理相關的關鍵成功要素(CSFs),其定義了最重要的面向項目管理的實施指南,以達到對IT項目過程內外部的控制;關鍵目標指標(KGIs),定義了一些尺度,便於在項目關鍵點(或里程碑),告訴管理者某個IT項目管理過程是否實現了其業務需求;關鍵績效指標(KPIs),定義的是IT項目管理過程在促使項目目標達成時履行得有多好的尺度。
從兩者的比較我們可以看出,COBIT重點在於對13個“控制目標”的管理上,PRINCE2典型的在於對8大“流程”的管理上。雖然二者從不同的角度出發認識IT項目管理,但二者有許多共同之處。COBIT的項目中主要計劃,系統質量保證計劃,保證方法計劃,測試計劃,培訓計劃,實施後的評審計劃等控制目標映射到PRINCE2的計劃(PL)流程;項目管理架構等映射到PRINCE2的指導項目(DP)流程;PRINCE2的開始項目(SU)和啓動項目(IP)流程對應着COBIT的用戶方參與項目啓動,項目團隊身份及其職責,項目定義;項目批准,項目階段批准,正式的項目風險管理則較好的被其它幾個PRINCE2流程所包含。當然,在COBIT管理指南中我們不能明確看出對PRINCE2中結束項目(CP)流程相關的控制目標,但COBIT的其他控制目標以及審計指南等隱含包括了該流程的控制。
PRINCE2從流程的角度對項目管理中各個活動進行管理,比較便於項目管理的具體實施,而COBIT從控制目標的角度闡述項目管理“應該怎樣,應該達到什麼目標”,這樣便於企業控制和評審項目管理整體過程的執行情況。同時COBIT給出了項目管理成熟度模型,便於組織自評估或第三方評估企業項目管理的成熟度,從而不斷改進項目管理的執行過程。如圖2所示。
圖2 項目管理成熟度模型
資料來源:ISACF
當然PRINCE2和COBIT的視野並不僅僅限於對具體項目的管理。它們不僅包括項目級的管理,而且涵蓋了在組織範圍對項目的管理,目的在於企業級的項目管理(Enterprise Project Management, EPM)或者稱爲項目治理(Project Governance)。從企業長期發展戰略的高度來規劃項目管理。如圖3所示。
圖3 項目治理機構模型
資料來源:ISACF
同時,對於每個過程和控制目標,PRINCE2與COBIT僅僅指明瞭“該做什麼”,至於“如何做”,二者都沒有提供具體實現技術和工具,用戶可以根據實際需要使用有益的任何工具,如甘特圖,關鍵路徑法、項目管理軟件、風險管理軟件等。PRINCE2提供的8個過程與COBIT提供的13個控制目標也僅僅作爲參考過程和控制目標,企業在具體實施時,必須依據項目的規模和需要對這些過程和控制目標進行適當的剪裁。
四個標準間的相互聯繫
爲了更有效地實現股東的價值,IT需要在既定的時間內支持企業業務的發展,提高服務質量、有效控制風險、銳減服務成本以及縮短產品交付週期。如圖4所示。
圖4 IT與企業戰略
資料來源:PWC
爲了實現上述目標,需要做到對IT組織結構和角色、量度、過程、技術、控制以及人員等方面進行管理。如圖5所示。
圖5 IT管理要素模型圖
資料來源:PWC
COBIT、ITIL、ISO/IEC17799和PRINCE2在管理IT上述各方面各有優勢,如圖6所示。具體分述如下:
COBIT重點在於IT控制和IT度量評價
ITIL重點在於IT過程管理,強調IT支持和IT交付
ISO/IEC17799重點在於IT安全控制
PRINCE2重點在於項目管理,強調項目的可控性,明確項目管理中人員、角色的具體職責,同時實現項目管理質量的不斷改進。
圖6 IT管理要素與四個標準映射圖
資料來源:PWC
總之,四個標準架構發展過程儘管並不一致,但本質上這四者並不相互排斥,通過整合COBIT、 ITIL、ISO/IEC17799和PRINCE2,在企業中實施善治的IT治理戰略,將對企業IT戰略發展和企業戰略發展有莫大的幫助。
剪裁與實施
今年以來,官、產、學及媒體對信息化建設進程中存在的深層次的問題,諸如“IT與業務的融合”、“信息系統工程監理向何處去”、“信息中心的轉制與走向”、“IT治理、公司治理及企業治理的關係”、“信息主管、CIO的治理結構”、“信息系統審計對IT投資有效的監督和控制作用”、“規範、標準化的IT服務管理流程的重要性”等,展開全方位的、深度的探討,以期重新認識IT的定位、作用和價值,共同促進建設有效益的、可持續發展的信息化。COBIT、 ITIL、ISO/IEC17799和PRINCE2作爲全球公認的輔助IT治理的工具,或許給我們探索以上難題提供了一條新道路。
在組織中具體應用這些標準時,我們的建議是:
1、 要專注於解決組織信息化過程中最大的問題。因爲對於任何一個組織而言,採用整套標準都是不可行的,相反地,應該從最大的問題着手;
2、 通過對模型的剪裁找出最適合本企業環境的實施方案;
3、 先完成培訓再進行組織變革,並在單一領域內(如培訓經驗)取得一定成績後,再轉向其它有問題的領域。
4、 在開始項目之前,評估一下目前的環境,這樣就有利於評測出進展的效果。
此外,組織在具體實施的過程中,其他組織成功實施的案例、培訓機構和第三方諮詢機構都可以提供很好的幫助。
總結
COBIT、 ITIL、ISO/IEC17799和PRINCE2都是IT治理領域全球公認的輔助工具。採納何種標準的關鍵在於:發掘你的真正需求,對標準進行剪裁製定最適合的實施方案,然後持續改善。這將給組織