姗姗来迟 发表于 2011-3-13 05:00:00

IT治理的具体框架

对于任何一个企业而言,了解其IT系统的运行状况并决定应该实施的安全和控制措施是对企业的基本要求,这两个方面的问题都不会直接呈现在管理者面前,需要“透过现象看本质”,因此要获得对于这两个方面的客观认识并不是件容易的事情。应该衡量什么?怎样衡量?要回答这些问题,有一定的难度。除了需要明确需要在哪些方面进行IT安全控制,还需要衡量控制措施的效果,衡量安全控制措施的持续改进情况,甚至需要衡量用于监控这种改进的工具。
  管理者进行IT治理前应考虑以下四方面的要素以确定IT治理目标,监控IT活动的合理水平。
  (1)基准——其他的人在做什么?该如何衡量和比较?
  (2)IT控制要素组合——什么最重要?控制的成功关键因素是什么?
  (3)风险意识——影响目标达成的风险所在?
  (4)业绩衡量——根据什么样的指标可以认为业绩良好;
  国际信息系统审计与控制协会发布的COBIT管理指南可以帮助管理者回答以上提及的问题,为企业提供了一个很好的IT治理框架。管理指南通过关键成功因素、成熟度模型、关键目标指标、关键绩效指标四个方面的有机作用,使企业中的IT资源、IT过程及其他IT服务得到有效的管理,与IT相关的风险得到有效控制。
  1.成熟度模型——IT治理实务的基准
  成熟度模型用于判断IT治理的水平,作为确定IT治理目标的依据。分为0"5个不同的级别,具体标准如下:
  0不存在级:完全缺乏任何可以识别的IT过程,根本没有认识到IT过程问题的存在及其重要性。
  1初始级:有迹象表明已经意识到IT过程问题的存在和重要性,但仍然没有标准化流程,只是作为应急措施,试图运用到个案中或相互关联的案例中,总体的管理方法仍然缺乏组织性。
  2可重复级:IT过程已经发展到一定的程度,即不同的人遵照相同的步骤进行同样的工作。对标准步骤没有正式的培训和沟通,责任由个人担负。这很大程度上取决于个人的能力,因此错误也极有可能发生。
  3已定义级:通过培训沟通,IT过程已经被标准化和文档化,不过仍然依靠个人去遵循这些步骤,差异也不太可能被检测出。步骤本身不是很复杂,但是却对现有实践活动进行了统一的规范。
  4已管理级:可以监控和衡量程序之间的一致性,当IT过程不能有效工作时可以及时采取措施。IT过程处于不断的改进之中,提供了最佳行动指南,在有限的范围内实现了自动化。
  5最优级:程序已经被提炼到一个最佳的实践水平,是基于不断改进和其他组织成熟模型运用的结果。IT被经常用于自动工作流程、提供改进质量和效果的工具、使企业能够快速适应各种情况。
  2.CSF——确保IT过程处于控制之下
  关键成功因素指影响IT目标达成的最关键的要素,是战略性的、技术性的过程或活动。关键成功因素和性能、技术相关,如最佳成功方案所要求的必备事项或条件、为提高成功的概率所必须完成的最重要的事情等,都属于CSF。CSF通常以行为为导向,用于平衡IT过程中重点考虑的IT资源。
  关键成功因素可以从标准控制模型和IT治理框架的目标与监控指南中获得。按照标准控制模型,控制活动应该满足战略、战术、技术、管理四个不同层面的要求,各层又分别包括计划、执行、审核和纠正四项具有逻辑关联性的活动。
  3.IT过程的绩效管理
  IT治理由管理层和股东负责,指导企业的IT活动和审查企业报告的业绩。IT治理的绩效指标包括两类:关键产出指标(KGI)和关键绩效指标(KPI),KGI和KPI通常都采用数字或百分比明确表示。
  关键产出指标用来识别和衡量业务过程的产出,是对业务活动“应该完成什么”的衡量。不过COBIT框架中给出的许多KGI只是进行了方向性的表述,在实务中,管理者必须结合过的业绩和未来的目标确定特定的目标。
  关键绩效指标则用于评价过程的绩效,是对过程“如何完成”的一种衡量,主要是通过衡量过程的使能器(Enablers)完成。在IT服务占主导的环境下,IT是主要的业务活动使能器,KPI用于描述IT过程完成的好坏及企业对所需资源的配置和管理。一般可以对KPI进行酸性测试以确定其是否能够预测业务目标,并支持管理活动以改进IT过程。
  IT过程的绩效管理,采用了平衡计分卡的评价原则,业务活动和IT过程都拥有自己的平衡计分卡。关键目标指标KGI通常提供支持平衡业务计分卡的财务和顾客方面所需的衡量;如财务结果和顾客满意度,属于衡量是否顺利实现商业目标的具有代表性的指标,是一种事后的衡量。而关键绩效指标KPI关注的是平衡业务记分卡的其他两个方面:内部过程和学习与革新。如过程的先进性和学习、革新的能力就属于衡量组织表现好坏的指标,有助于事前预测能否成功完成的可能性。
  4.建立业务和IT及衡量指标之间的联系
  COBIT框架根据企业实现业务活动目标所需信息的质量标准来描述IT目标,IT目标可以表述为:确保IT过程提供的提供业务活动所需信息满足一定信息质量标准要求。质量标准通常包括以下几个方面:
  (1)支持业务活动所需信息的可获得性
  (2)完整性缺乏和保密性风险
  (3)效率(过程和操作的成本效益比率)
  (4)可靠性、效果和一致性保证
  以上信息质量标准并非同等重要,其重要性程度是业务活动及其环境的函数。每个企业都必须为其业务活动确定各不同质量标准的重要性,而且其对不同信息标准重要性的认定表明了企业对于风险的偏好程度。必须说明的是信息标准的重要性在适用于不同目标的过程时可能会发生变化,信息质量标准的相对重要性意味着管理者需要从COBIT框架最佳行动指南列表中所给出的考虑因素、控制目标甚至CSF中做出恰当的选择。企业根据业务目标确定信息需求,对信息质量标准的重要性进行排列,以确定IT目标及其衡量指标,建立起业务和IT目标及衡量指标之间的联系。
  综上所述,管理者可以获得一个较为清晰的IT治理框架:
  (1)首先管理者可以根据IT成熟度模型制定的基准,判断自己所处的IT治理级别。
  (2)确定IT治理目标,包括整体IT治理目标和每个IT过程目标。
  (3)然后为整个IT治理目标和每个IT过程目标确定关键成功因素(CSF)。
  (4)确定关键目标指标(KGI)和关键绩效指标(KPI)。
  (5)通过关键绩效指标进行监控,衡量组织是否能达到关键目标指标中所设定的业务活动目标。
  IT治理通常发生在不同的层次,因此要求将企业战略和目标进行细分。IT治理过程开始于企业IT目标的设置,为IT活动提供方向性的指导。接下来是一个往复循环的过程,衡量IT活动的绩效指标,与事先设定的目标进行对比,根据对比结果调整IT活动方向,再衡量对比调整,循环往复下去。因此IT治理首先要求确定合理的IT目标和IT活动的绩效衡量指标。一般而言,KGI用于衡量企业业务目标,KPI通常可以用于衡量IT过程及其关键成功因素,如果对IT过程进行监控并且积极采取相应措施,有助于企业抓住机会改进IT过程,IT过程的改进又将对业务活动的产出产生积极的影响,从这一意义上来说,KPI和KGI之间存在着因果关系。正因为这种因果关系的存在,我们才可以建立企业目标和IT之间的联系,通过IT治理,提高企业的公司治理水平,帮助股东和企业的其他相关利益者实现各自的目标。
  从IT治理的角度,对IT目标和IT活动之间的相互作用进行了概念上的描述。这里所说的IT活动不仅指各层的计划、执行、审核和纠正等四项活动。同时还指COBIT控制框架中描述的IT活动(计划和组织、获得和实施、交付和支持、监控等四个领域)。
  虽然IT治理在大多数企业并没有出现,但是随着INTERNET、电子商务和网络的广泛应用,组织对其信息系统依赖性的不断增长,加上在信息系统上运作业务的风险、收益和机会,IT治理已经逐步受到更多企业董事会的关注。高层管理者不仅需要了解IT相关风险和局限性以提供有效的指导和充分的控制,更需要将IT治理摆上其议事日程,IT治理成为公司治理越来越关键的一部分。企业必须更好地管理IT系统以迅速、安全的响应企业的需求,这是企业成功的关键影响因素之一,最高管理层(董事会)和执行管理层需要确保IT适应企业战略,企业战略应该恰当利用IT的优势。通过IT治理,提高企业的公司治理水平,帮助股东和企业的其他相关利益者实现各自的目标。

loonger 发表于 2011-7-14 16:48:00

ingxing:ingxing:ingxing:ingxing:ingxing:

小女巫 发表于 2014-4-11 05:33:25

跟大家交流一个ITIL的概念吧:ITIL是什么呢?它是一套IT服务管理的实践指南,是一系列的方法,是用来规范和提供IT服务的管理能力,他是从最佳实践中总结出来的。他是IT服务行业的管理方法,他通过整合IT服务与企业的业务,以提供IT对企业业务的提供与支持能力。

恋恋1983 发表于 2014-4-11 06:17:38

跟大家交流一个ITIL的概念吧:IT运维管理社区是目前国内ITIL最大的IT运维管理社区,为满足广大IT运维管理社区网友的ITIL培训需求,在北京不定期举办ITIL培训课,包括了ITIL Foundation课程、ITIL想IT运维管理社区独有的落地培训课程、ITIL Expert认证培训课程。IT运维管理社区网友可以在IT运维管理社区的qq群中进行报名北京ITIL培训。
页: [1]
查看完整版本: IT治理的具体框架