IT治理的主要內(nèi)控模型比較研究

王 偉

IT治理的主要內(nèi)控模型比較研究

王 偉

福州大學(xué)管理學(xué)院

隨著信息化程度的不斷提高和信息化技術(shù)的發(fā)展，信息技術(shù)已經(jīng)成為推動(dòng)社會(huì)發(fā)展的重要基礎(chǔ)性資源。信息系統(tǒng)廣泛深入地滲透到社會(huì)的各個(gè)領(lǐng)域，并成為政治、經(jīng)濟(jì)、軍事、文化乃至社會(huì)一切領(lǐng)域的基礎(chǔ)。那么對(duì)IT治理也就提到了人們的思考日程上。IT治理的研究自從提出就受到了國(guó)內(nèi)外眾多學(xué)者的關(guān)注，而且隨著信息技術(shù)的發(fā)展，企業(yè)的IT投入越來(lái)越多，對(duì)IT的治理的關(guān)注程度越來(lái)越高。目前，IT治理的主要模型包括ITIL、ISO/IEC17799/27002、Prince2、COBIT。每個(gè)模型都有各自的優(yōu)勢(shì)，適用于不同的領(lǐng)域。

IT治理 內(nèi)控模型 比較

1 IT治理主要內(nèi)控模型的介紹

1.1 ITIL介紹

ITIL的全稱是信息技術(shù)基礎(chǔ)架構(gòu)庫(kù)（IT Infrastructure Library），是由位于英國(guó)Norwich的政府商務(wù)部（OGC）在20世紀(jì)80年代中期，為提高英國(guó)政府部門(mén)服務(wù)質(zhì)量而開(kāi)發(fā)的針對(duì)IT行業(yè)的服務(wù)管理標(biāo)準(zhǔn)庫(kù)，屬于全球范圍內(nèi)IT服務(wù)管理領(lǐng)域較為成熟的時(shí)間框架之一。

ITIL提供各種IT服務(wù)管理的最佳實(shí)踐信息，包括可以根據(jù)各機(jī)構(gòu)的具體情況定制的詳細(xì)的流程，活動(dòng)要求、步驟、規(guī)則和職責(zé)。這些實(shí)踐包含一系列流程，涉及任何IT部門(mén)都必須提供的各種主要活動(dòng)。這些流程可以分為兩大類：服務(wù)支持和服務(wù)交付。其中服務(wù)支持是滿足客戶需求的日常運(yùn)作基礎(chǔ)服務(wù)，ITIL規(guī)范定義了服務(wù)支持的五個(gè)主要流程和一個(gè)服務(wù)臺(tái)工具，包括突發(fā)事件管理、問(wèn)題管理、變更管理、配置管理、版本管理和服務(wù)臺(tái)功能。服務(wù)交付是幫助IT機(jī)構(gòu)提供必要業(yè)務(wù)服務(wù)，包括服務(wù)水平管理、可用性管理、IT服務(wù)的財(cái)務(wù)管理、容量管理、IT服務(wù)連續(xù)性管理等五個(gè)能夠相互轉(zhuǎn)換的流程，它們都與優(yōu)質(zhì)IT服務(wù)的計(jì)劃和交付密切相關(guān)。

多數(shù)情況下，ITIL只敘述應(yīng)該采取哪些措施才能改善服務(wù)，但并沒(méi)有說(shuō)明怎樣采取這些措施。只編寫(xiě)描述可重復(fù)管理流程的ITIL文檔是不能改善實(shí)際服務(wù)的，只有將ITIL的描述制定成可操作的指南和藍(lán)圖，才能將ITIL理論轉(zhuǎn)變成IT服務(wù)管理最佳實(shí)踐。

1.2 ISO／IEC 17799/27002簡(jiǎn)介

ISO／IEC 17799/27002的前身是BS7799，其是由DTI（英國(guó)貿(mào)工部）立項(xiàng)，由政府、業(yè)界和商業(yè)機(jī)構(gòu)共同倡導(dǎo)的，可供開(kāi)發(fā)、實(shí)施和測(cè)量有效安全管理的慣例，它是貿(mào)易伙伴之間信任的通用框架。BS7799分為兩個(gè)部分：BS77991，安全管理實(shí)施規(guī)則；BS77992，安全管理體系規(guī)范。國(guó)家標(biāo)準(zhǔn)化組織在2000年對(duì)BS77991進(jìn)行了認(rèn)證，頒布了ISO/IEC17799，2002年英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)對(duì)BS7799：2-1999進(jìn)行了重新修訂，正式引入PDCA過(guò)程模型（PDCA:Plan—Do—Check—Act）；2004年9月5日BS7799-2：2002正式發(fā)布，并提交ISO；該標(biāo)準(zhǔn)2007年7月又重新編號(hào)為ISO27002。

BS77991對(duì)安全管理給出建議，供負(fù)責(zé)在其組織啟動(dòng)、實(shí)施或維護(hù)安全的人員使用；該標(biāo)準(zhǔn)為開(kāi)發(fā)組織的安全標(biāo)準(zhǔn)和有效的安全管理做法提供公共基礎(chǔ)，并為組織之間的交往提供信任；包含了10個(gè)“安全控制條款"、36個(gè)“主要安全類別”和127個(gè)安全控制措施來(lái)幫助組織識(shí)別在運(yùn)作過(guò)程中對(duì)安全有影響的元素，組織可以根據(jù)適用的法律法規(guī)和章程加以選擇和使用，或者增加其他附加控制。BS77992詳細(xì)說(shuō)明了建立、實(shí)施和維護(hù)信息安全管理體系的要求，可用來(lái)指導(dǎo)相關(guān)人員去應(yīng)用ISO/IEC 17799，其最終目的在于建立適合企業(yè)需要的信息安全管理體系。該模型為信息系統(tǒng)的安全控制提供了實(shí)用指南。

1.3 PRINCE2簡(jiǎn)述

PRINCE是PRoject IN Controlled Environment（受控環(huán)境下的項(xiàng)目管理）的簡(jiǎn)稱。PRINCE2 由英國(guó)政府商務(wù)部（OGC）所有，于1996年開(kāi)始推廣。PRINCE2描述了如何以一種邏輯性的、有組織的方法，按照明確的步驟對(duì)項(xiàng)目進(jìn)行管理。它不是一種工具也不是一種技巧，而是結(jié)構(gòu)化的項(xiàng)目管理流程。這也是為什么它容易被調(diào)整和升級(jí)，適用于所有類型的項(xiàng)目和情況，當(dāng)然也適用IT項(xiàng)目的管理。

PRINCE2 使用一系列的8個(gè)過(guò)程來(lái)描述一個(gè)項(xiàng)目在何時(shí)發(fā)生了什么。這些過(guò)程涵蓋了從項(xiàng)目開(kāi)始到項(xiàng)目結(jié)束的所有活動(dòng)，包括項(xiàng)目啟動(dòng)、項(xiàng)目準(zhǔn)備、項(xiàng)目指導(dǎo)、項(xiàng)目階段控制、產(chǎn)品交付管理、階段邊界管理、項(xiàng)目收尾、項(xiàng)目計(jì)劃八個(gè)過(guò)程，可以根據(jù)個(gè)人的需要對(duì)其進(jìn)行縮減和調(diào)整。每個(gè)過(guò)程鼓勵(lì)對(duì)項(xiàng)目責(zé)任正式的確認(rèn)（誰(shuí)具體負(fù)責(zé)什么），強(qiáng)調(diào)項(xiàng)目交付什么（what）、為何交付（why）、交付時(shí)間（when ）、為誰(shuí)交付（whom）。

此外，該方法還包括8個(gè)部件和3個(gè)技巧。8個(gè)部件是：商業(yè)論證、組織、計(jì)劃、控制、風(fēng)險(xiǎn)管理、項(xiàng)目環(huán)境下的質(zhì)量管理、配置管理、變更管理。3種技巧是：基于產(chǎn)品的規(guī)劃、質(zhì)量檢查技巧、變更控制技巧。

1.4 COBIT介紹

COBIT（信息及相關(guān)技術(shù)的控制目標(biāo)）由美國(guó)信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（ISACA）出版，最早在1996年發(fā)布，現(xiàn)已發(fā)布了第四版，目前已成為國(guó)際上公認(rèn)的最先進(jìn)、最權(quán)威的信息技術(shù)管理、控制和審計(jì)的標(biāo)準(zhǔn)。

COBIT將IT過(guò)程、IT資源及信息與企業(yè)的策略與目標(biāo)聯(lián)系起來(lái)，形成了一個(gè)三維的體系結(jié)構(gòu)，從而將IT治理的目標(biāo)與企業(yè)的戰(zhàn)略目標(biāo)聯(lián)系統(tǒng)一起來(lái)，核心思想可以概括為：為了實(shí)現(xiàn)企業(yè)目標(biāo)，企業(yè)需要投資到可以控制的IT資源中去，在IT過(guò)程中合理利用IT資源，以交付企業(yè)所需要的信息。

該模型的最新版本為4.1版，其采用信息系統(tǒng)生命周期的思想，將信息技術(shù)流程共分為三個(gè)層次，即為四個(gè)域(Domains)、34個(gè)處理過(guò)程(Processes)及210個(gè)任務(wù)活動(dòng)(Activities Tasks)。其中四個(gè)域的內(nèi)涵為：計(jì)劃和組織域（PO）、獲取和實(shí)施域（AI）、交付和支持域（DS）和監(jiān)控和評(píng)價(jià)域（ME）。

2 IT治理主要內(nèi)控模型之間的比較

2.1 應(yīng)用領(lǐng)域不同

ITIL關(guān)注的主要是IT服務(wù)管理，該模型認(rèn)為服務(wù)戰(zhàn)略是基礎(chǔ)，交付IT服務(wù)對(duì)企業(yè)具有戰(zhàn)略意義，也是IT組織的戰(zhàn)略目標(biāo)；ISO／IEC 17799/27002適用于企業(yè)的信息安全管理，基礎(chǔ)是計(jì)劃—執(zhí)行—檢查—采取行動(dòng)（PDCA）循環(huán)，通過(guò)該循環(huán)為信息安全管理體系周而復(fù)始的創(chuàng)建、發(fā)展、運(yùn)營(yíng)和維護(hù)提供了一個(gè)框架；PRINCE2主要用于項(xiàng)目管理，通過(guò)過(guò)程和部件的組合，為項(xiàng)目管理提供了一種規(guī)范的方法；COBIT用于管理 IT業(yè)務(wù)流程，通過(guò)對(duì)關(guān)鍵IT過(guò)程進(jìn)行有效監(jiān)控，實(shí)現(xiàn)對(duì)業(yè)務(wù)流程中資源的有效利用，從而改善管理效率和服務(wù)質(zhì)量。

2.2 重點(diǎn)不同

ITIL的重點(diǎn)是過(guò)程管理，該模型的最新版V3采用服務(wù)生命周期的思想組織主題，核心的出版物包括：服務(wù)戰(zhàn)略、服務(wù)設(shè)計(jì)、服務(wù)過(guò)渡、服務(wù)運(yùn)營(yíng)、持續(xù)服務(wù)改進(jìn)，一系列的出版物涵蓋了服務(wù)生命周期的所有基礎(chǔ)方面；ISO／IEC 17799/27002側(cè)重于安全控制，該標(biāo)準(zhǔn)提供了信息安全的基線，每一安全控制大類覆蓋了不同的主題和區(qū)域，利用該準(zhǔn)則人們可以識(shí)別與特定企業(yè)或特定責(zé)任領(lǐng)域相適應(yīng)的安全控制問(wèn)題；PRINCE2強(qiáng)調(diào)項(xiàng)目的可控性，它確定了項(xiàng)目啟動(dòng)所需的信息，指定了項(xiàng)目必需的決策者，并在高層管理人員之間建立起了聯(lián)系，明確了項(xiàng)目管理中人員的職責(zé)；COBIT的重點(diǎn)在控制和度量，該模型不僅為34個(gè)過(guò)程定義了詳細(xì)的控制目標(biāo)，并且包含了成熟度模型。企業(yè)可以據(jù)此來(lái)確定IT的現(xiàn)在狀態(tài)和未來(lái)的狀態(tài)，結(jié)合控制目標(biāo)和績(jī)效指標(biāo)，衡量組織是否能達(dá)到關(guān)鍵目標(biāo)指標(biāo)中所設(shè)定的業(yè)務(wù)活動(dòng)目標(biāo)，然后采取措施改進(jìn)。

2.3 作用不同

ITIL基于服務(wù)生命周期的思想，所以有助于梳理服務(wù)管理的流程，組織可以根據(jù)流程逐步實(shí)現(xiàn)IT服務(wù)管理的目標(biāo)，也可以據(jù)此來(lái)發(fā)現(xiàn)現(xiàn)有流程中的缺陷；ISO／IEC 17799/27002能夠增強(qiáng)組織在識(shí)別、防止、減少和控制組織信息安全風(fēng)險(xiǎn)方面的能力，PDCA的每次循環(huán)都會(huì)使所運(yùn)營(yíng)的信息安全體系的績(jī)效更趨近與相關(guān)方面對(duì)信息安全的要求和預(yù)期；PRINCE2為管理項(xiàng)目提供支持，保證項(xiàng)目的質(zhì)量和順利完成；COBIT采用系統(tǒng)生命周期的思想，提供了關(guān)于控制的清晰策略，規(guī)范了企業(yè)的業(yè)務(wù)流程，為每個(gè)流程的實(shí)施都提供了控制框架。

2.4 對(duì)應(yīng)的治理要素不同

如果我們把IT治理的要素分為五大類，即：組織結(jié)構(gòu)和角色、量度、過(guò)程、技術(shù)、控制，那么ITIL對(duì)應(yīng)的是組織結(jié)構(gòu)和角色、過(guò)程、技術(shù)；ISO／IEC 17799/27002對(duì)應(yīng)組織結(jié)構(gòu)和角色；PRINCE2對(duì)應(yīng)組織結(jié)構(gòu)和角色、過(guò)程；COBIT對(duì)應(yīng)量度、過(guò)程、控制。

2.5 適用人群不同

ITIL適用于T服務(wù)管理的責(zé)任人員，從IT主管、首席信息官到實(shí)務(wù)工作者、IT支持技術(shù)人員和管理人員都應(yīng)該應(yīng)用；ISO／IEC 17799/27002適用于信息安全的負(fù)責(zé)人員；PRINCE2適用于項(xiàng)目經(jīng)理、有項(xiàng)目決策權(quán)的高級(jí)管理人員；COBIT框架著重讓人們理解IT業(yè)務(wù)需求，重點(diǎn)關(guān)注企業(yè)需要什么，而不是需要企業(yè)如何做，它只是一個(gè)控制框架而不是具體過(guò)程架構(gòu)。這使得COBIT對(duì)公司主管、企業(yè)領(lǐng)導(dǎo)人及其資深I(lǐng)T經(jīng)理具有很大的吸引力，而對(duì)那些更需要提供如何執(zhí)行的具體指導(dǎo)的IT新手來(lái)說(shuō)作用不大。

3 結(jié)論

ITIL、ISO/IEC17799/27002、Prince2、COBIT都是IT治理領(lǐng)域出色的模型，對(duì)它們的取舍關(guān)鍵在于企業(yè)的真正需求。每個(gè)模型都有各自不同的應(yīng)用領(lǐng)域和關(guān)注的重點(diǎn)，采用不同的模型給組織帶來(lái)的結(jié)果必然不同。在具體的選擇過(guò)程中，我們要根據(jù)企業(yè)的實(shí)際需要，考慮需解決的關(guān)鍵問(wèn)題，選用某個(gè)模型或把幾個(gè)模型組合起來(lái)應(yīng)用。總之要把能切實(shí)解決問(wèn)題放在首位。組織還應(yīng)開(kāi)展適當(dāng)?shù)呐嘤?xùn)，讓涉及到的相關(guān)人員做好準(zhǔn)備，宣傳變革的益處，從而保障模型的順利實(shí)施。此外，其他企業(yè)的成功案例、咨詢機(jī)構(gòu)等都會(huì)對(duì)模型的實(shí)施提供很大的幫助，我們不能閉門(mén)造車，要多方面合作促成模型的成功運(yùn)用。

[1] ITGI.COBIT4.1[EB].www.itgi.org, 2007.

[2] ITGI and OGC. Aligning COBIT, ITIL and ISO 17799 for Business Benefit, 2005.www.isaca.org/research.

[3] 陶黎娟.IT環(huán)境下我國(guó)財(cái)務(wù)報(bào)告內(nèi)部控制研究[D].廈門(mén):廈門(mén)大學(xué)博士學(xué)位論文,2009.

[4] 王海林.國(guó)際上與信息技術(shù)相關(guān)的內(nèi)部控制框架與規(guī)范分析[J].中國(guó)管理信息化,2009,12（14）：8-10.

[5] 王德祿.IT治理的理論研究與實(shí)踐[J].生產(chǎn)力研究,2006,（5）:14-16.

[6] 鄭煦平,陽(yáng)杰.COBIT的解讀及其在我國(guó)的應(yīng)用[J].生產(chǎn)力研究,2009,（17）:154-156.

[7] 計(jì)春陽(yáng),唐志豪,胡克瑾.企業(yè)IT治理實(shí)施框架模型研究[J].情報(bào)雜志,2008,（5）:60-63.

[8] 胡為民.內(nèi)部控制與企業(yè)風(fēng)險(xiǎn)管理—實(shí)務(wù)操作指南[M]．北京：電子工業(yè)出版社,2009.