近年来,随着企业信息化建设的深入,IT技术和管理人员们面对的压力也越来越大,他们必须回答最高管理层、董事会和股东们提出的种种质疑,例如“信息化项目为什么迟迟不能结束?”,“为什么业务人员普遍感觉交付的信息系统不好用?”,“为什么信息系统不能满足企业业务需求和商业规则的变化?”,“几千万的信息化投资为什么只能支持简单的数据整理而决策分析还必须依赖专人进行?”……。随着信息化建设的深入,关于信息化项目失败率的讨论还将一直继续下去。这是信息化建设中的普遍问题,赛迪顾问的调查数据显示:国内80%的信息化项目延迟交付,60%的项目不能完全实现预定目标,50%的项目被证明是失败的。赛迪顾问的研究结论是:产生这些问题的根本原因在于信息化建设者仅仅重视“建设”,而忽略了对“信息化建设”本身的管理。在信息化时代,IT与业务的联系越来越紧密,IT对企业的重要性越来越突出,IT投资对企业竞争力和经济效益的影响也越来越大,因此,IT本身的管理已经不能再被忽视,IT必须被作为一种“业务”来进行管理和监督。在这种背景下,IT服务管理和IT治理成为近年来国内外IT学术和产业界的关注热点。
在企业中,IT管理部门与人力资源管理部门、财务管理部门一样,是企业的基础管理部门,IT服务管理也已经形成一套较为完善的管理流程,主要包括IT战略规划、信息系统设计、信息系统选型与实施、信息系统运营维护、信息安全、信息化绩效评价和风险管理等流程。在人们逐渐认同IT服务管理是企业管理的一个重要组成部分的过程中,作为公司治理的有机组成部分的“IT治理”自然而然也被提了出来。所谓IT治理是指股东及其利益相关者对信息化建设的监督和控制的制度,以确保信息化建设能够支持和实现企业的业务战略和目标。从这个意义上讲,IT治理首先是公司治理的一个有机组成部分,它体现了股东、董事会和最高管理层对信息化建设的关注。第二,IT治理是一种制度和机制,主要涉及管理和制衡IT与业务战略匹配、IT投资价值、信息安全、IT风险和IT绩效的制度和机制。第三,IT治理的目标是实现股东和其他利益相关主体对信息化建设的监督与制衡,以保证信息化建设能够真正落实和贯彻组织业务战略和目标。
对大多数人来说,IT治理还只是一个新的概念。但事实上,IT治理不仅仅是一个停留在理论层面的概念,它是伴随着信息系统审计与控制的实践而产生的,经过多年的发展已经形成一套经实践验证的不断完善的IT监控制度,并且具有一系列规范的流程和完整的可操作的治理方法。赛迪顾问认为,对于中国的大部分企业来说,IT治理,有法可依,它是企业在现阶段就可以引入、应用和执行的一套制度和机制,因为:
首先,IT治理具有规范的流程,这个流程包含四个步骤:第一,在业务目标的驱动下,监督制定IT战略,并保障IT战略与业务战略目标的匹配;第二,督促挖掘业务需求,完善信息系统建设,使IT真正为业务提升、管理创新贡献价值;第三,实施IT项目管理与风险管理,保护投资,规避风险;第四,进行IT绩效评估,并激励和指导信息化建设的发展。这是一个循序渐进的往复循环的过程,通过这个过程,IT治理能够逐步实现股东利益的最大化。
其次,在IT治理的流程中,有一套完整的控制目标、控制准则和控制方法来帮助股东及其利益相关者对IT服务流程进行监督和控制,并且对应每一个IT服务流程都有一套IT治理的方法。近几年,国际上已经形成一些较为完整的IT服务流程的管理规范和治理规范,如ITIL(信息技术基础结构库)和COBIT(信息和相关技术的控制目标)等。其中,COBIT是信息系统审计与控制协会(ISACA)提出的IT治理的控制框架,已经被业界公认为标准的IT治理方法论。COBIT主要包括以下几个方面:
(1)把被控制的IT服务流程分为四个领域,包括系统规划与组织、系统获取和实施、系统交付和维护、系统监控。每个领域中又包含多个IT流程,共34个IT流程,即:
●规划与组织:定义IT战略规划;确定信息架构;确定技术方向;定义IT组织及其关系;管理IT投资;沟通目标和方向;管理人力资源;确保与外部标准的兼容;评估风险;管理项目;管理质量;
●获取和实施:识别自动化的解决方案;开发和维护IT程序;安装和授予系统权限;选型和维护应用软件;管理变革;选型和维护技术基础结构;
●交付与支持:定义和管理服务级别;管理第三方服务;管理绩效和能力;确保持续服务;确保系统安全;识别和分配成本;管理运营;教育和培训用户;帮助和指导IT客户;管理配置;管理问题和突发事件;管理数据;管理设备;
●监控:监控流程;评估内部控制的充分性;获得独立的保障;提供独立审计
在软件工程中,我们已经熟知的软件开发生命周期通常包括:项目定义;用户需求定义;系统需求定义;系统分析与设计;系统构建/原型化/试验;系统实施与培训;系统维护等。它与COBIT的四个领域存在一种对应关系,如图所示1,这种对应关系是由COBIT治理的目标所决定的。图1能帮助我们直观地了解COBIT每个领域的控制范围。
(2)对已经定义的每个IT服务流程都设定一个高层次的控制目标,并以7个信息准则(效果、效率、可用性、完整性、保密性、可靠性和兼容性准则)进行监控,监控过程中做到:
●找出在这个IT流程中哪条信息准则最重要?
●阐明流程运作中,通常哪些资源需要被均衡?
●考虑什么是控制那个IT流程最重要的因素?
例如,对于“定义IT战略规划”这个流程,它的高层控制目标定义如图2:
在“定义IT战略规划”这个流程的控制中,效果性准则最为重要,效率性准则其次,其他准则可不予考虑。同时,该控制流程中需要均衡人力、应用、技术、设施和数据等多个资源。在“定义IT战略规划”流程的高层控制目标下又定义了如下7个详细的控制目标:
● IT作为企业长期和短期计划的一个组成部分的控制目标
●IT长期规划的控制目标
●IT长期规划变化的控制目标
●实现IT功能的短期规划控制目标
●IT规划沟通的控制目标
●监督和评价IT规划的控制目标
●现有系统评估的控制目标
(3)在COBIT中,34个IT流程中每一个流程都有类似的一套控制目标。针对管理层和IT参与者总共34个流程形成了34个高层控制目标和318个详细控制目标。
(4)建立在这些控制目标上的IT流程的审计指南、管理指南和实施工具集。
COBIT审计指南描述和提出了对应于每个IT流程的高层控制目标所应实际执行的审计活动,同时阐述了控制目标不被满足的风险。
COBIT实施工具集包含了管理意识、IT控制诊断书、实施指南、FAQ、COBIT案例和COBIT幻灯片。工具集用于辅助COBIT的实施,并能吸取成功组织的应用经验。
COBIT管理指南描述了每个IT流程的控制目标在企业中的具体运用的标准,包括关键成功要素(CSF)、成熟度模型(MM)、关键目标指标(KGI)和关键绩效指标(KPI)四个方面有机的作用:
CSF——对于每个IT流程,COBIT给出了一些关键成功因素,这些因素保证IT流程始终在控制之中。
MM——每个IT流程的成熟度模型把流程在组织中的运行状况划分为不同等级,即:0-没有级别、1-初始级、2-可重复级、3-已定义级、4-已管理级、5-优化级,组织通过MM可以评估IT流程的运行程度,找出IT流程控制的差距,并采取措施有效改进。
KGI和KPI——给出每个流程运行的目标指标和绩效指标,通过这些指标,企业能够衡量IT流程控制的绩效。
因此,COBIT是一个完整的、系统的、可操作的IT治理的方法论,并且是一个在业界公开的并为众多政府和企业所接受的IT治理方法论的标准。在国内企业和政府进行IT治理的过程中,引入和应用COBIT,必将带动国内IT治理水平的整体提升。随着更多的人通过注册信息系统审计师(CISA)的认证,随着IT治理应用软件系统的进一步成熟,COBIT必将为整个IT治理产业的形成做出贡献。(e-works)
