3.1.4 IT治理方法与标准
略。
考虑到IT治理对组织战略目标达成的重要性,国内外各类机构持续研究并沉淀IT治理相关的最佳实践方法、定义相关标准,这里面比较典型的是我国信息技术服务标准库(ITSS)中IT治理系列标准、信息和技术治理框架(COBIT)和IT治理国际标准(ISO/IEC38500)等。
1. ITSS中IT服务治理
我国IT治理标准化研究是围绕IT治理研究范畴,为IT过程、IT资源、信息与组织战略、组织目标的连接提供了一种机制。通过指导、实施、管理和评价等过程,确保IT支持并拓展组织的战略和目标。在IT治理目标和边界确定的情况下,IT治理围绕决策体系、责任归属、管理流程、内外评价四个方面,通过相关框架体系的研究,规范和引导组织的IT治理完成“做什么”“如何做”“怎么样”“如何评价”等问题,如图3-5所示。
图3-5 ITSS-IT治理标准化的逻辑关系图
1) IT治理通用要求
GB/T 34960.1《信息技术服务治理第1部分:通用要求》规定了IT治理的模型和框架、实施IT治理的原则,以及开展IT顶层设计、管理体系和资源的治理要求。该标准可用于:①建立组织的IT治理体系,并实施自我评价;②开展信息技术审计;③研发、选择和评价IT治理相关的软件或解决方案;④第三方对组织的IT治理能力进行评价。各级各类信息化主管部门可根据法律法规、部门规章的要求,使用该标准对所管辖各类组织的IT治理提出要求,并进行评估、指导和监督。
该标准定义的IT治理模型包含治理的内外部要求、治理主体、治理方法,以及信息技术及其应用的管理体系,如图3-6所示。
治理主体以组织章程、监管职责、利益相关方期望、业务压力和业务要求为驱动力,建立评估、指导、监督的治理过程并明确任务。治理主体通过信息技术战略和方针,指导管理者对信息技术及其应用的管理体系进行完善,并对信息技术相关的方案和规划进行评估,对信息技术应用的绩效和符合性进行监督。组织结合治理原则和模型,在IT治理实施的过程中,开展自我监督、自我评估和审计工作,并持续改进。
图3-6 GB/T 34960.1IT治理模型
该标准定义的IT治理框架包含信息技术顶层设计、管理体系和资源三大治理域,每个治理域由如下若干治理要素组成,如图3-7所示。顶层设计治理域包含信息技术的战略,以及支撑战略的组织和架构;管理体系治理域包含信息技术相关的质量管理、项目管理、投资管理、服务管理、业务连续性管理、信息安全管理、风险管理、供方管理、资产管理和其他管理;资源治理域包含信息技术相关的基础设施、应用系统和数据。
图3-7 GB/T 34960.1IT治理框架
2) IT治理实施指南
GB/T 34960.2《信息技术服务治理第2部分:实施指南》提出了IT治理通用要求的实施指南,分析了实施IT治理的环境因素,规定了IT治理的实施框架、实施环境和实施过程,并明确顶层设计治理、管理体系治理和资源治理的实施要求。该标准适用于:①建立组织的IT治理实施框架,明确实施方法和过程;②组织内部开展IT治理的实施;③IT治理相关软件或解决方案实施落地的指导;④第三方开展IT治理评价的指导。
IT治理实施框架包括治理的实施环境、实施过程和治理域,如图3-8所示。实施环境包括组织的内外部环境和促成因素。实施过程规定了IT治理实施的方法论,包括统筹和规划、构建和运行、监督和评估、改进和优化。治理域定义了IT治理对象,包括顶层设计、管理体系和资源。顶层设计包括战略、组织和架构;管理体系包括质量管理、项目管理、投资管理、服务管理、业务连续性管理、信息安全管理、风险管理、供方管理、资产管理和其他管理;资源包括基础设施、应用系统和数据。组织可以结合实施环境的分析,按照实施过程,以治理域为对象开展IT治理实施。
图3-8 GB/T 34960.2 IT治理实施框架
2. 信息和技术治理框架
COBIT是面向整个组织的信息和技术治理及管理框架,由成立于1969年的美国信息系统审计与控制协会(ISACA)组织设计并编制的。COBIT框架对治理和管理进行了明确区分,这两个学科涵盖不同的活动,需要不同的组织结构,并服务于不同目的:①治理确保对利益干系人的需求、条件和选择方案进行评估,以确定全面均衡、达成共识的组织目标;通过确定优先等级和制定决策来设定方向;根据议定的方向和目标监控绩效与合规性;②管理是指按治理设定的方向计划、构建、运行和监控活动,以实现组织目标。在大多数组织中,管理是首席执行官领导下的高级管理层的职责。ISACA设计并编制了《框架:治理和管理目标》《设计指南:信息和技术治理解决方案的设计》,主要供组织信息和技术治理(EGIT)、鉴证、风险和安全专业人员作为学习资料使用。
1) 治理和管理目标
COBIT框架介绍了40项核心治理和管理目标,以及其中包含的流程和其他相关组件。COBIT核心模型如图3-9所示。COBIT中治理目标被列入评估、指导和监控(EDM)领域,在这个领域,治理机构将评估战略方案,指导高级管理层执行所选的战略方案并监督战略的实施。管理目标分为四个领域:①调整、规划和组织(APO)针对IT的整体组织、战略和支持活动;②内部构建、外部采购和实施(BAI)针对IT解决方案的定义、采购和实施以及它们到业务流程的整合;③交付、服务和支持(DSS)针对IT服务的运营交付和支持,包括安全;④监控、评价和评估(MEA)针对IT的性能监控及其与内部性能目标、内部控制目标和外部要求的一致程度。治理目标与治理流程有关,而管理目标与管理流程有关。治理流程通常由董事会和执行管理层负责,而管理流程则在高级和中级管理层的职责范围内。
图3-9 COBIT核心模型
图3-10 COBIT治理系统组件
为满足治理和管理目标,每个组织都需要建立、定制和维护由多个组件构成的治理系统,如图3-10所示。治理系统的组件包括:①流程。流程描述了一组为实现某种目标而安排有序的实践和活动,并生成了一组支持实现整体IT相关目标的输出内容。②组织结构。组织结构是组织的主要决策实体。③原则、政策和程序。原则、政策和程序用于将理想行为转化为日常管理的实用指南。④信息。在任何组织中,信息无处不在,包括组织生成和使用的全部信息。COBIT侧重于有效运转组织治理系统所需的信息。⑤文化、道德和行为。个人和组织的文化、道德和行为作为治理和管理活动的成功因素,其价值往往被低估。⑥人员、技能和胜任能力。人员、技能和胜任能力对做出正确决策、采取纠正行动和成功完成所有活动而言是必不可少的。⑦服务、基础设施和应用程序。服务、基础设施和应用程序包括为组织提供IT处理治理系统的基础设施、技术和应用程序。
2) 信息和技术治理解决方案的设计
COBIT设计指南描述了组织如何设计量身定制的组织IT治理解决方案。高效和有效的IT治理系统是创造价值的起点。COBIT定义的IT治理系统设计因素包括组织战略、组织目标、风险概况、IT相关问题、威胁环境、合规性要求、IT角色、IT采购模式、IT实施方法、技术采用战略、组织规模和未来因素,如图3-11所示。这些设计因素可能影响组织治理系统的设计,为成功使用IT奠定基础。
图3-11 COBIT治理体系设计因素
组织开展治理系统设计通过流程化的方式进行,如图3-12所示,COBIT给出了建议设计流程:①了解组织环境和战略;②确定治理系统的初步范围;③优化治理系统的范围;④最终确定治理系统的设计。
图3-12 COBIT治理系统设计工作流程
3. IT治理国际标准
2008年4月,ISO/EC正式发布IT治理标准ISO/IEC 38500,它的出台不仅标志着IT治理从概念模糊的探讨阶段进入了一个正确认识的发展阶段,而且也标志着信息化正式进入IT治理时代。这一标准将促使国内外一直争论不休的IT治理理论得到统一,也促使我国在引导信息化科学方面发挥重要作用。2014年,ISO/IEC发布了第二版的ISO/IEC FDIS 38500,替换了2008第一版的ISO/IEC 38500,ISO/IEC FDIS 38500:2014提供了IT良好治理的原则、定义和模式,以帮助最高级别组织的人员理解和履行其在组织使用IT方面的法律、法规和道德义务。
该标准为组织的治理机构(可包括所有者、董事、合伙人、执行经理或类似机构)的成员提供了关于在其组织内有效、高效和可接受地使用信息技术(IT)的指导原则。该标准包括:①责任。组织内的个人和团体理解并接受他们在IT的供应和需求方面的责任。那些负有行动责任的人也有权执行这些行动。②战略。组织的业务战略考虑到IT的当前和未来的能力;使用IT的计划满足了组织业务战略的当前和持续的需求。③收购。IT收购是出于正当的理由,在适当和持续的分析基础上,有明确和透明的决策。在短期和长期内,在利益、机会、成本和风险之间都存在着适当的平衡。④性能。IT适合于支持组织,提供满足当前和未来业务需求所需的服务、服务水平和服务质量。⑤一致性。IT的使用符合所有强制性法律和法规。政策和实践有明确的定义、实施和执行。⑥人的行为。IT团队的政策、实践和决策表明了对人的行为的尊重,包括所有“在这个过程中的人”的当前和不断发展的需求。
该标准规定治理机构应通过评估、指导和监督三个主要任务来治理IT。
(1)评估。治理机构应审查和判断当前和未来的使用,包括计划、建议和供应安排(无论是内部、外部或两者兼有)。在评估IT的使用时,治理机构应考虑作用于组织的外部或内部压力,如技术变革、经济和社会趋势、监管义务、合法的利益相关者期望和政治影响。治理机构应根据情况的变化不断地进行评价。治理机构还应考虑到当前和未来的业务需要,即他们必须实现的当前和未来的组织目标,例如维持竞争优势,以及他们正在评估的计划和建议的具体目标。
(2)指导。治理机构应负责战略和政策的编制和执行。战略应该为IT领域的投资设定方向以及IT应该实现的目标。政策应在使用IT时建立良好的行为。治理机构应通过要求管理者及时提供信息、遵守方向和遵守良好治理的六项原则来鼓励其组织中的良好治理文化。
(3)监督。治理机构应通过适当的测量系统来监测TT的表现。他们应该保证自己业绩符合战略,特别是在业务目标方面。治理机构还应确保IT符合外部义务(法规、立法、普通法、合同)和内部工作惯例等。