http://tech.sina.com.cn/s/2008-08-19/0909773198.shtml
信息技術的迅速發展,推動全球進入了知識經濟時代,這個時代的顯著特徵之一是把計算機網絡通訊技術融入組織業務創新領域,尤其是組織業務系統已邁向經營業務電子化發展軌道,從業務流程的電子化到服務渠道的網絡化,從客戶資源的系統化到決策支持的智能化,信息技術正逐步改變着傳統組織的運營模式。隨着IT組織對IT依賴程度的加重,新的風險也隨之而來。
新技術蓬勃發展的起初幾年,企業的失敗和相關的財務損失使得投資者和監管者變得謹慎,並要求更高級別的信息披露與說明程度。大規模的外包證明服務提供商的利益並不是總與用戶一致的。一些IT管理的失敗不僅僅浪費了組織的戰略機遇,甚至還導致了法律爭議。究其失敗原因,發現多是由於較差的企業治理、風險管理職責分配不清以及從IT投資中獲取利益和價值方面缺乏指導造成的,因此,IT治理變得越來越重要,它指的不僅僅是制度、流程、合規性,還包括更廣泛的含義,其關鍵內容是一套科學的發展能力。可以說如果存在良好的IT治理機制,IT發揮的價值會更大,與企業戰略充分融合,不斷提升企業的核心競爭力,反之亦然。
ISO 38500:2008 是第一個IT 治理國際標準,它的出臺不僅標誌着IT 治理從概念模糊的探討階段進入了一個正確認識的發展階段,而且也標誌着信息化正式進入IT 治理時代。這一標準將促使國內外一直爭論不休的IT治理理論得到統一,也會促使我國在引導信息化科學方面發揮重要作用,本文扼要介紹了標準的內容、目標、受衆人羣與應用要領,及與CobiT 的區別,供大家參考。
一、標準概覽
1、名稱
ISO/IEC 38500:2008 corporate governance of information technology -信息技術的組織治理- (以下稱IT治理),利用了大量的資源,但主要衍生於AS8015。
ISO/IEC 29382,信息和通訊技術治理標準,作爲現有澳大利亞標準AS8015的快速跟隨者,於2007年首次發佈。2008年4月該標準官方正式更名爲ISO/IEC 38500,原ISO/IEC 29382放棄使用。ISO/IEC 38500:2008的購買價格是84法郎。
2、發行者
ISO?(國際標準化組織)?和?IEC(國際電工委員會)?是世界範圍的標準化組織。各國的相關標準化組織都是其成員,並通過各種技術委員會參與相關標準的制定。其他國際組織,政府機構及非政府機構也協同工作。國際標準的草案,須能得到所有會員75%以上的贊成票,該標準纔可被公佈爲國際標準。在信息技術領域,?ISO和IEC成立了一個聯合技術委員會ISO/IEC JTC 1。該委員會以澳大利亞標準AS8015爲藍本,並結合AS 8000:2003 – 良好的治理原則和AS 3806:2006 – 合規性程序,制定了IT治理的國際標準ISO/IEC 38500:2008。
3、標準發佈的目標
確保利益相關者對於組織IT治理的信心
指導管理者治理組織的IT使用
爲IT治理的目標評估提供了基礎
4、目標讀者
高級管理者
組織中的資源監控團隊成員
外部的業務或技術專家,包括法律或財務專家、行業協會及專業團體
硬件、軟件、通訊及其他IT產品的廠商
內部或外部的服務提供者(包括諮詢顧問)
IT審計師
5、適用範圍
ISO/IEC 38500:2008可以用於任何規模的組織,包括公/私有性質的公司,政府機構以及非營利組織。這一標準提供了一個IT治理的框架,以協助組織高層管理者理解並履行他們對於其組織IT使用的既定職責,實現IT治理的有效性、可用性及效率。
6、認證
目前還沒有相關的認證(對個人和組織)。
二、主要內容
1、 主要內容:
範圍、應用與目標
良好的IT治理框架
IT治理指南
2、 指導準則:
職責分工
IT支持組織發展
可獲得性
可用性
合規性
尊重人性因素(以人爲本)
準則一:職責分工
對分配職責進行評價
確保能夠勝任所分配的職責
監控所分配職責的實施
爲IT分配職責的方式取決於組織所使用的業務模式和組織架構。例如:有些設備需要內部管理;建議來自於外部的諮詢顧問;還有一些IT來源於廠商與專業服務提供商。
準則二:IT支持組織發展
考慮機遇使IT更好的服務於業務發展
分配其當下的活動
指導計劃的實施與發展以彌補差距
近幾年來,IT相關設備的發展日新月異,逐漸向小型化、低廉化發展。互聯網制定的一系列標準使得不同廠商的設備兼容性與內部可操作性越來越強。這提高了各廠商之間的競爭,也爲更廣闊的市場創造了新的業務機遇。與此同時,業務實踐也有了發展。早期的措施現在往往會導致浪費,極少業務利潤,還影響新市場的開拓。預期客戶採用新系統的實踐越來越長,例如:聯網銀行間AMT的切換不能瞬間完成。
準則三:可獲得性
這一準則覆蓋了風險與價值的規劃分配和近期的IT投資。管理者需要履行政策與程序來確保投資的安全性。投資案例中的資源分配必須確保以及時的形式重新分配。
準則四:可用性
IT實施包括信息整合、系統能力,它還拓展了退出與處理,以確保組織的環境和數據管理職責得以履行。
準則五:合規性
這一準則覆蓋了所有的內部政策,包括:技術使用(包括:電子郵件與搜索引擎)、職責履行(記錄保持、財務報表、關於組織與業務持續性隱私信息的保護)
準則六:尊重人性因素
其中IT的人性因素包括:
用戶界面的可用性與友好性
人們受到IT所帶來的業務流程改變的影響的需求
由於IT會直接而迅速的影響組織的實施,管理者應當像管理其財務與人力資源那樣,指揮、評價與監控其組織的IT應用。
三、治理機制
關於IT,管理者有三項主要活動,即:指導、評價與監控。有效地IT治理應當是可實施的、具有一致性的。DEM模型聚焦於更廣泛層次上的IT治理,它略微不同於管理者典型使用的PDCA模型。在這一模型中,管理者依據業務壓力與業務需求來監控(Monitor)並評價(Evaluate)組織的IT使用,而後指導(Direct)實施政策方針以彌補差距。該模型如下圖所示:
 |
四、與CobiT 的區別
五、ITGov 觀點
1、 這是第一個IT治理國際標準。
2、 這個標準簡短的、易讀,但相關概念十分複雜。
3、 爲IT治理提供了一個有效的、易實施的、高效的框架,更好的將組織決策與IT聯繫起來。
4、 該標準中的建議與指南適用於任何形式規模的組織。
5、 該標準中的建議與指南不僅供管理者使用,還可面向其下屬職員,組織中各個層面的人都能讀懂。
6、 該標準爲所有關鍵員工提供了合適的IT治理基本指南。
7、 該標準介紹了好的治理所需要的一些特徵及治理流程,但是離真正的實施還有距離,需要其他標準的補充。
 |