信息化觀察網(wǎng)

IT治理有時也稱為IT治理安排(IT Governance Arrangement)，或IT治理結(jié)構(gòu)(IT Governance Structure)，一般認為它是公司治理的一個分支。如何充分運用IT并規(guī)避風險是企業(yè)獲得競爭優(yōu)勢的關(guān)鍵。IT只是一種工具，不是一種“萬能藥”，只有對信息技能執(zhí)行合理的治理，才能實現(xiàn)組織收益。企業(yè)要根據(jù)自身IT建設(shè)情況和企業(yè)運作情況，采用適合的IT治理工具，并量體裁衣，這是組織執(zhí)行IT治理的開始和關(guān)鍵。

在多種IT治理工具中，ITIL、COBIT、C2VIM等運用較為廣泛，下面對這些主要治理工具執(zhí)行介紹，據(jù)此企業(yè)可以采用不同的IT治理工具。

ITIL基礎(chǔ)架構(gòu)庫

ITIL(InformationTechnology Infrastructure Library，ITIL)主要適用于IT服務(wù)管理(Service Management)，在該域它是世界范圍內(nèi)的一個事實上的標準。ITIL關(guān)注那些為交付高質(zhì)量服務(wù)所必需的關(guān)鍵的商務(wù)流程和原則，其核心內(nèi)容包括服務(wù)支持(Service Support)和服務(wù)交付(Service Delivery)，它描述了IT部門應(yīng)該包含的各個工作流程以及各個工作流程之間的相互聯(lián)系。ITIL共包括11個流程，其中，服務(wù)支持包括服務(wù)臺、事故管理、疑問管理、配置管理、變更管理和揭曉管理。服務(wù)交付包括服務(wù)級別管理、成本管理、持續(xù)性管理、可用性管理和容量管理。

COBIT-信息及有關(guān)技能的控制目標

COBIT(Control Objectivesfor Information and related Technology，COBIT)是IT治理的一個開放性標準，它是被普遍接受的IT內(nèi)部控制框架，由美國IT治理協(xié)會(IT GovernanceInstitute，nu)開發(fā)和推廣，它已成為IT安全和控制最佳實踐所普遍適用和接受的標準。COBIT更關(guān)注控制而非執(zhí)行，它為IT治理提供了具體的控制標準。

COBIT通過域和流程架構(gòu)提供了最佳實踐，并用便于管理的、合理的結(jié)構(gòu)介紹了具體的行動。該架構(gòu)包括：籌劃與組織(Planning and Organization)、獲得與實施(Acquisition and Implementation，AI)、交付與支持(Delivery andSupport，Ds)和監(jiān)控(Monitoring，M)這四個域，在這四個域下又分為34個IT處理流程。

Six Sigma—六西格瑪

六西格瑪代表著與均值有六個單位的標準偏差，即每一百萬個機會中有3．4個出錯的機會。六西格瑪是一項以數(shù)據(jù)為基礎(chǔ)，追求幾乎完美的質(zhì)量管理的方，可用于任何流程中的六西格瑪要領(lǐng)為提高性能和減少缺陷提供了技能和工具。該要領(lǐng)通過不斷檢查和調(diào)整流程來提高任何現(xiàn)有的商務(wù)流程。六西格瑪流程提高的主要內(nèi)容包括客戶需求、設(shè)計質(zhì)量、員工卷入度和持續(xù)提高。

CMM——成熟度模型

成熟度模型(Capability Maturity Model，CMM)是美國卡內(nèi)基•梅隆大學軟件工程研究所(SEI)于1987年開發(fā)的，是一個用于完備和精練一個組織的軟件開發(fā)流程的要領(lǐng)，它基于經(jīng)典的瀑布模型(Waterfall Model)。CMM提出了5個軟件流程的成熟度水平，包括原始級，可重復(fù)級，已定義級，已管理級和最優(yōu)級。CMM通過提供這樣的一個框架，給組織指出提高其軟件流程能力的路徑。

ISO 17799——信息安全管理的國際標準

ISO17799或是英國標準BS 7799是一個信息安全方面的標準，包括信息安全方面的一套控制和最佳實踐。它確保一個組織能對所包含的10類管理要項制定一定的合規(guī)水平(compliance level)這十類管理要項包括：安全方針(security policy)、安全組織(security organization)、資產(chǎn)分類與控制(Asset classification and control)、人員安全(personnel security)、物理與環(huán)境安全(physical and environmental security)、通信與操作管理(communications andoperations manage-merit)、系統(tǒng)訪問控制(Access control)、系統(tǒng)開發(fā)與維護(systems development and maintenance)、業(yè)務(wù)持續(xù)管理(business continuity management)及合規(guī)性。

SOX——薩班斯法案

SOX法案(Sabanes Oxley Act)是2002年美國制定的一部涉及會計職業(yè)監(jiān)管、公司治理、證券市場監(jiān)管等多方面改革的主要法律。大家關(guān)注和討論的焦點在SOX法案的302和404條法案上，SOX法案第302條規(guī)定上市公司的首席執(zhí)行官(CEOS)和首席財務(wù)管(CFOS)必須親自確保財務(wù)決算和實物，以及公開控制和程序的有效運行；SOX法案404條包括通過財務(wù)報告來執(zhí)行內(nèi)部控制。規(guī)避風險、完備內(nèi)部控制是SOX法案的重點。

CISR模型

CISR模型是由斯隆管理學院信息系統(tǒng)研究中心的Peter Weill等教授(2004)提出的。該要領(lǐng)主要從權(quán)力配置角度執(zhí)行了IT治理的研究。他們通過研究發(fā)覺了五個IT關(guān)鍵領(lǐng)域，即信息技能原則(IT Principles)、信息技能結(jié)構(gòu)(IT architecture)、信息技能基礎(chǔ)設(shè)施(IT infrastrucure)、企業(yè)運用須要(Business application needs)和信息技能投資及優(yōu)先順序(IT investment and priority order)。對于關(guān)鍵領(lǐng)域提出了六類治理原型，即業(yè)務(wù)君主制(Businessmonarchy)、IT君主制(IT monarchy)、封建制(Feudal)、聯(lián)邦制(Federal)、IT雙寡頭制(IT duopoly)和無政府制(Anarchy)。該模型還提出了評價IT治理績效的有關(guān)要領(lǐng)。

IT治理工具的分類和運用情況

(1)隨著IT治理的深入，企業(yè)越來越多的采用標準的IT治理工具。更多的企業(yè)采用標準的IT治理工具，而不用采用自己開發(fā)的方案。

(2)運用較多的框架有ITIL，ISO 9000，COBIT以及內(nèi)部開發(fā)框架。其中，1TIL的運用最為廣泛。

(3)企業(yè)基本都能確定自身的IT治理工具。隨著IT治理在企業(yè)中的深入，企業(yè)IT治理體會的積累，基本都能確定適合企業(yè)自身的IT治理工具。這對IT治理的執(zhí)行是一個良好的開始。

每種IT治理工具都有其適應(yīng)性，組織可根據(jù)自己的特點和須要選擇適當?shù)墓ぞ?，幫助組織執(zhí)行IT治理，使組織能有效管理IT資產(chǎn)。獲得較高的IT投資回報和競爭優(yōu)勢。