（管理科学与工程专业论文）面向多层委托代理关系的it治理研究.pdf

中文摘要 摘要 r r 治理是i t 、经济学及管理学领域一个很新的概念，伴随着信息化的浪潮和 企业对信息技术依赖的日益增强，1 1 r 已经成为企业的重要资产，对企业发展和成 功具有重要的意义，但同时，与r r 相关的风险也在不断地增加，使得i t 治理问题 越来越突出地显现出来。 从r r 治理的角度审视，r r 价值的实现不仅仅取决于是否拥有好的技术，而更 在于如何设置一种良好的结构和机制来保证i t 与业务的一致性。所以，要想从i t 中获得最大的价值，必须对进行有效的治理。本文正是基于r r 治理这一主题， 对i t 治理内容、辅助工具及治理结构、治理机制等进行深入地探讨。 本文首先探究了r r 治理的基本内容，介绍了1 1 r 治理相关的行业标准，分析了 市场上领先的主流产品和方法论，在此基础上，对国内外i t 治理的研究现状及其 方向进行综合评析，指出，目前相关的标准以及辅助工具已日臻成熟，而缺乏良 好的治理结构和完善的治理机制则成为i t 治理实施的瓶颈。由于信息技术对其操 作控制人员专业技能的特殊要求，导致i t 治理中客观存在的信息不对称现象非常 显著，加之治理过程中不同角色追求不同的利益，以及我国目前r r 治理效率低、 治理结构及机制不健全等现状，使得i t 治理中存在的委托代理问题十分突出。因 此，本文结合利益相关者理论和信息经济学，围绕r r 治理结构、治理过程中存在 的多层委托代理关系进行研究，提出了协同共治的i t 治理结构，并结合每一层委 托代理关系的特点，深入探悉治理中的风险分担和激励监督机制。并通过案例 和最新的i t 治理模式的分析，描述其具体结构、流程、机制和辅助工具，对我国 企业实施r r 治理提供参考和指导。最后，给出我国企业现阶段提高i t 治理能力的 建议。 关键词：l t 治理；利益相关者；多层委托代理 英文摘要 r e s e a r c ho i li tg o v e r n a n c eo fm u l t i l a y e rp r i n c i p a l a g e n t r e l a t i o n s h i po r i e n t e d a b s t r a c t i tg o v e r n a n c ei san e wc o n c e p ta t - e c o n o m i e sa n dm a n a g e m e n t w i t hi tw a v e a n dt h ei n e a s i n gt r e n do f i ta p p l i c a t i o ni nb u s i n e s se n t e r p r i s e ) i th a sa l r e a d yb e c o m e a l li m p o r t a n tp r o p e r t yo fe n t e r p r i s e i ti sa l s ov e r yi m p o r t a n tf o re n t e r p r i s ed e v e l o p m e n t a n d 如c c 鹤s b m ，a tt h es a m et i m e , i tr e l a t e dr i s ki si 1 1 c r e a s i i l gc o n t i n u o u s l y p r o b l e mo f i tg o v e r n a n c eb e c o m e sm o r ea n dm o r es e r i o u s f r o mt h ev i e wo fi tg o v e r n a n c e , t h ev a l u eo fi ti sn o to n l yd e c i d e db y h i g h - t e c h n o l o g y , b u tm o r el i e do nh o w t oe s t a b l i s hag o o ds t r u c t u r eo rm e c h a n i s mt o p r o m i s et h ec o n s i s t e n c yo fi ta n db u s i n e s s s o ，i fe n t e r p r i s ew a n t st oa c q u i r et h e b i g g e s tv a l u ef r o mi t , i tm u s ti m p l e m e n ti tg o v e r n a n c ee f f e c t i v e l yn l ep a p e rd i s c u s s e s t h eb a s i cc o n c e p t , s t a n d a r d ，s t r u c t u r ea n dm e c h a n i s mo fi tg o v e r n a n c e f i r s to fa l l ，t h ep a p e ri n t r o d u c e st h eb a s i cc o n c e p to fi tg o v e r n a n c e ，i n c l u d i n g s t a n d a r d ，c o r ep r o d u c t , a n dm e t h o d o l o g y s e c o n d ，s y n t h e s i z et h er a s e a r c hd i r e c t i o n sa n d a n a l y z et h ec u r r e n th o tp o i n t s i tp r e s e n t st h a tb e c a u s eo f t h em a t u r a t i o no f p r o d u c ta n d m e t h o d o l o g y , l a c k i n go fs t r u c t u r ea n dm e c h a n i s mb e c o m e st h e b o t t l e n e c ko fi t g o v e r n a n c e i ts p e c i a l i s t sm a k ea s y m m e t r yo fi n f o r m a t i o na ti tg o v e r n a n c e i nt e r m s o f d i f f e r e n tr o l e so f p r o f i t i n g , i ts a y sn o t h i n ga b o u tt h ee f f i c i e n c yo f i tg o v e r n a n c e t h e d i s o r d e ro fs t r u c t u r ea n dm e c h a n i s mc o n d u c em o r es e r i o u sp r o b l e m so fi tg o v e r n a n c e a n di t sp r i n d p a l - a g e n t t h i r d , d i s c u s s e st h er e s e a r c ho fi tg o v e r n a n c em u l t i l a y e r p r i n c i p a l a g e n t , b a s e do ni n f o r m a t i o ne c o n o m i c s ，t h es t r u c t u r eo fi tg o v e r n a n c e ，a n d t h er e l a t e dt h e o r i e s i te m p h a s i z e st h ei m p o r t a n c eo fc o o p e r a t i o ni ni tg o v e r n a n c ea n d p r o v i d eam o d e lf o rt h a t f u r t h e rm o r e ，t h i sp a p e ra n a l y z e se a c hl e v e lo fm u l t i l a y e r p r i n c i p a l - a g e n t i ni tg o v e r n a n c e , e s p e c i a l l yt h er i s kb a l a n c ea n d p r o m o t i o n i t d e s c r i b e st h es t r u c t u r e ，s t r e a m l i n e ，m e c h a n i s ma n dt o o lo f i tg o v e r n a n c eb a s e do nc a s e s t u d y f i n a l l y , o f f e rs 咖es u g g e s t i o n sa b o u tc h i n ai tg o v e r n a n c e k e yw o r d s ：i tg o v e r n a n c e ；s t a k e h o l d e r ：m u l t i l a y e rp r i n c i p a l - a g e n t 大连海事大学学位论文原创性声明和使用授权说明 原创性声明 本人郑重声明：本论文是在导师的指导下，独立进行研究工作所取得的成果， 撰写成硕士学位论文：厘自垒层委托盐堡差丕的渔堡班究：。除论文中已经 注明引用的内容外，对论文的研究做出重要贡献的个人和集体，均已在文中以明 确方式标明。本论文中不包含任何未加明确注明的其他个人或集体已经公开发表 或未公开发表的成果。 本声明的法律责任由本人承担。 论文作者签名型邻“乙修专月形日 学位论文版权使用授权书 本学位论文作者及指导教师完全了解“大连海事大学研究生学位论文提交、 版权使用管理办法”，同意大连海事大学保留并向国家有关部门或机构送交学位论 文的复印件和电子版，允许论文被查阅和借阅。本人授权大连海事大学可以将本 学位论文的全部或部分内容编入有关数据库进行检索，也可采用影印、缩印或扫 描等复制手段保存和汇编学位论文。 不保密囤( 请在以上方框内打“”) 一锨1 荔彩讯 日期：h 。年、月 6 日 面向多层委托代理关系的r r 治理研究 第1 章绪论 信息技术给企业的运作和管理带来了巨大的变革。随着技术的迅猛发展和应 用的不断深入，r r 作为企业运营的重要支撑环境发挥出越来越重要的作用，它已 经从传统的后台支持转变为新业务开展的直接驱动力，甚至正日益成为企业的直 接利润中心。在这样的大背景下，r r 治理( i tg o v e r n a n c e ) 走进我们的视野。 1 1 选题背景 在探讨r r 治理问题之前，我们先看一下发生在身边的r r 治理失灵的例子“1 ： 2 0 0 2 年5 月2 9 日上午8 时3 0 分，南京火车站电脑售票系统突然发生死机故 障。整个车站售票处于瘫痪状态，车站售票大厅内人满为患，事件的原因是由于 电脑升级换代，调试时线路发生故障，引发了此次系统的瘫痪。 2 0 0 2 年7 月2 3 日，央视晚间新闻播报，首都机场因电脑系统故障，6 0 0 0 多 人滞留机场，1 5 0 多架飞机延误。 某银行在信息系统技术升级时，r r 人员只注重保证系统在技术上的平滑过渡， 而忽视了升级给客户带来的不便，导致客户大量流失。 这些事件都可以通过i t 治理机制合理地避免。 回顾我国信息化十多年来的建设进程，我们更多的从技术视角去关注信息技 术和设备的先进性，较少聚焦在r r 战略和组织战略目标的互动上，较少考虑如何 规避风险，如何达到业务和盯的一致性，因而不可避免地和组织的业务环境、业 务目标脱节，随着信息技术的更新加快，许多早期工程只剩下一推摆设，管理层 看不到在i t 上的投资回报，这又导致i t 得不到应有的重视，形成恶性循环。可 以说信息化建设从总体上看不是技术问题，更重要的是治理问题。 r r 治理是r r 、经济学及管理学领域一个很新的概念，1 9 9 9 年，英国b i s l 发布 的i n t e r n a lc o n t r o l ：g u i d a n c ef o rd i r e c t o r so nt h ec o m b i n e dc o d e ( t u m b u l l r e p o r t 。1 9 9 9 ) 报生”1 直接促进了i t 治理机制的形成与发展。该报告认为：企业风险 来自于许多活动，不只是财务风险，因为事实说明，金融界过去的风险问题大都 1 b i s ( b a n kf o ri n i e r n a t i o n a ls c t n e m c n 国际清算银行。 - l - 第1 章绪论 是由内部控制疏忽、信息技术失败引起的，所有企业最终将面临对信息技术基础 设施的依赖和承担脆弱的新技术而带来的风险，呼吁高层领导树立风险意识。该 报告引入了内部控制的要求，对许多组织而言，r r 代表着组织最有价值的资产， 而且竞争和不断变化的商业环境也要求企业能够充分利用信息技术实现更快的交 付和更低的成本。因此，有效的公司治理必然需要有效的r r 治理。b i s 还简单陈 述了关键的信息系统，如何确保治理有效、透明，这也意味管理信息技术相关风 险，实现信息技术价值的交付成为公司治理中重要的组成部分。 自1 9 9 9 年以来，国际信息系统审计与控制协会( i s a c a ) 等多家机构开始致力 于r r 治理的研究，并形成了一些通用的标准，i b m 、i - i p 等公司也提出了相关的解 决方案。目前，r r 治理在许多国家的政府及公共机构、企业、大学、银行、保险 业等都有大量成功的案例，事实表明，通过r r 治理的确收到了很好的效果，g a r t n e r l 公司和麻省理工学院在2 0 0 3 年对2 5 6 家大企业进行的研究表明：在设定同样战略 目标的情况下，拥有设计良好的r r 治理的公司，其盈利与在这方面做得较差的企 业相比，至少高出2 0 。在普华永道2 提交给r i 治理研究院( i t g o v e r n a n c e i n s t i t u t e ， i t o i ) 的i t 治理调查报告中，通过对全球范围内2 7 6 家组织进行的调查表明，有 8 3 组织机构已经或是正在考虑进行一定形式的r r 治理。可见，r r 治理已经得到 了世界范围的广泛关注。在我国，对r r 治理的研究、交流和应用还处于起步和借 鉴阶段，相对还很薄弱，但r r 治理的重要性日益为人们所认识。 1 2 研究的目的与意义 从r r 治理的角度审视，r r 价值的实现不仅仅取决于是否拥有好的技术，而更 在于如何设置一种良好的结构和机制来保证r r 与业务的一致性，使r r 更好地服务 于组织绩效。所以，要想从r r 中获得最大的价值，我们必须对r r 进行有效的治理。 国外许多组织已经采用r r 治理提高绩效，而在中国，我们的治理机制还不完善， 一个治理机制不完善的企业很难对外部竞争有积极的反应。因此，借鉴先进的r r 治理思想，对r r 治理结构和治理机制进行研究，对推动我国信息化建设的发展具 1 g a r t n e r 是全球最具权威的l t 研究与顾问咨询公司，成立于1 9 7 9 年。其研究范围覆盖全部盯产业 2 普华永道国际公司是全世界最大的会计和专业咨询服务公司。 面向多层委托代理关系的r r 治理研究 有十分重要的现实意义。 1 3 论文的基本结构 1 3 1 论文的主要内容及本人所作的工作 鉴于r r 治理是一个崭新的领域，本文首先介绍了r r 治理的基本内容、通用标 准及市场上的主流产品，对国内外i t 治理的研究现状及其方向进行综合评析，较 为全面地阐述r r 治理涵盖的内容以及实施i 丁治理的辅助工具。进而提出在标准和 产品日臻成熟的今天，治理结构和机制应该成为研究的重点。因此，本文结合 利益相关者理论和信息经济学，围绕r r 治理结构、治理过程中存在的多层委托代 理关系进行研究。通过案例分析更为直观地走进r r 治理，并描述了i t 治理的最新 模式，分别侧重工具的使用和治理结构、机制的描述，对我国企业实施r r 治理提 供很好的参考和指导。最后给出了现阶段我国企业实施i t 治理的建议。 在1 1 r 治理过程中，由于信息技术专用性所带来的信息不对称、r r 投资的高风 险、治理链中各角色的利益追求不一致等特征，导致委托代理问题显著。而i t 治 理的关键就在于机制是否科学，而这主要取决于是否有一套有效的、健全的治理 结构和激励机制来激励、约束代理人的行为。我国学术界很少涉及这方面的研究。 本人所作的工作概要如下： 通过阅读大量的i t 治理方面的书籍、资料、网站以及国内外在这方面的研究 成果，搜集整理目前i t 治理的研究成果以及各公司提出的解决方案。通过走访调 研及在公司中实习的方式，掌握第一手资料，从实践中发现研究r r 治理问题的新 角度，即i t 治理中的委托代理关系。运用委托代理模型，将i t 治理过程置于委 托- f 弋理的链条上进行分析，抽象出两个层次的委托代理关系作为分析的重点， 通过调研总结出每一层委托代理关系的特点，进而提出不同的侧重点：高级经理 团队与c i o 之间的代理问题侧重于风险分担机制；c i o 与i t 团队的代理问题侧重 于激励约束机制。根据不同的侧重点，提出委托人与代理人共同分担风险的机制 ( 流程) ，及针对于i t 团队的激励约束机制( 显性及隐性机制) 和团队监督机制。 最后案例剖析r r 治理。选择一个国内i t 治理建设方面的典范及最新的治理模式， 力图描述治理结构、过程及工具等。 3 第1 章绪论 1 ，3 2 论文的体系结构 本文的研究结构如下： r r 治理的基本内容 上 i 综述i t 治理标准及市场上的主要产品和方法论 上 r r 治理结构及应用框架 ( 基于利益相关者理论) 上 盯治理中双层委托代理关系的构建 ( 基于委托代理理论) 上 r r 治理中双层激励约束机制分析 ( 风险分担+ 显性激励+ 隐性激励+ 监督机制) 上 案例分析及建议的提出 工 结论与展望 图1 1 论文结构图 f 培1 1p a p e rf r a m e w o r k 面向多层委托代理关系的r r 治理研究 第2 章l t 治理概述 2 1 基本内容 2 。1 1i t 治理的定义 由于1 1 r 治理是个新兴的概念，所以，对于r r 治理的定义众说纷纭，作者认为， 目前关于1 1 r 治理的定义，主要着眼于以下三个方面： 其一；侧重于内部审计与控制。 最具代表性的当属国际信息系统审计与控制协会( i s a c a ) i 侧, t 3 】：i t 治理是 董事会和管理执行人员的责任。作为企业治理的一个不可分割的部分，它是一个 由领导关系和组织结构过程所构成的体制，用于指导和控制企业，通过平衡信息 技术与过程风险、增加价值来确保实现企业目标。 德勤1 认为：r r 治理是一个含义广泛的概念，包括信息系统、技术、通讯、商 业、所有利益相关者、合法性和其他问题。其主要任务是：保持r r 与业务目标一 致，推动业务发展，促使收益最大化，合理利用r r 资源，管理l t 相关风险。 其二：侧重于利益相关者收益。 g r e m b e r g e n ( 比利时安特卫普大学) 【4 嘲认为i t 治理包括全部由利益相关者 驱动的四个主要方面的内容，两个收益方面即价值贡献和风险规避；两个来源于 其驱动力即战略的致性和绩效评估。 r o b e r ts r o u s s e y ( 美国南加州大学教授) 认为四：i t 治理用于描述被委托治 理实体的人员在监督、检查、控制和指导实体的过程中如何看待信息技术。r r 的 应用对于组织能否达到它的远景、使命、战略目标至关重要。 其三：侧重责权归属框架。 美国麻省理工学院的p e t e rw e i l l 和j o a n n er o s s 在大量实证研究的基础上指出 【6 】，r r 治理就是为鼓励i t 应用的期望行为，而明确的决策权归属和责任担当框架。 是行为而不是战略创造价值，任何战略的实施都要落实到具体的行为上。 无论这些定义从哪个角度关注r r 治理，但都肯定了它是一个内涵丰富的术语， 1 德勤公司是世界四大会计师事务所之一。 第2 章r r 治理概述 包括信息系统、技术及连通性、商业活动、法律相关事宜以及所有利益相关者 公司董事、高级管理人员、业务流程的执行者、r r 供应商、r r 的使用者以及审计 人员等。 对r r 治理内涵的诠释，作者给出的结论是： i t 治理其本质是一种治理结构，它包含了所有与r r 有关的活动，也包括 信息技术条件下所有利益相关者新的利益均衡； r r 治理是一种机制的集合，其治理机制的形成是一个动态的过程，责权利 的归属及利益和风险的分担虽会因组织的性质、不同的战略目标和组织文 化而各有差异，但均会在反复的动态博弈中达到均衡。 盯治理的目标是：提高从r i 中获取的价值；保持r r 与业务的一致性；保 证与r r 相关的资产、人员、流程、技术等处于可控的范围内。 2 1 2i t 治理与公司治理 公司治理核心在于企业通过权力制衡，监督管理者的绩效，保证股东和其他 利益相关者的权利；i t 治理是公司治理的一个有机组成部分，是利益相关者对r r 经营者的监督和制衡机制。公司治理更注重战略目标的制定；而i t 治理则关注与 目标相匹配的过程实现。公司治理侧重于企业整体规划，r r 治理侧重于信息资源 在有效的机制下利用和管理。 概括地说，r r 治理是现代公司治理在信息化环境中不可缺少的组成部分。一 方面，它提示公司治理的利益相关者，共同关注r r 给组织、产品和服务带来的巨 大变化，并将这些变化纳入治理的轨道；另一方面，r r 已经对公司产生了重大的 影响，那么公司治理结构中必须包括这种影响，也就是说，“确保r r 战略和公司 战略的一致和匹配”。可以说，没有i t 治理，公司治理是不充分的，反之亦然。 2 1 3i t 治理与i t 管理 关于r r 治理与r r 管理的关系，可以这样区分： i t 治理是一种结构安排和机制设计，最高管理层利用它来监督管理层在r r 战 略上的过程、结构和联系，以确保r r 运营处于正确的轨道之上，它规定了整个企 业r r 运作的基本框架；r r 管理则是在这个既定的框架和原则的指导下实施的具体 面向多层委托代理关系的r r 治理研究 活动，即在既定的r r 治理模式下，管理层为了实现既定的r r 目标所采取的行动。 它们是一个硬币的两面，谁也不能独立存在。缺乏良好的r r 治理模式，即使有好 的1 1 r 管理体系，也会像地基不牢的建筑；同样，如果r r 管理体系不畅通，单纯的 治理模式也只能是一个美好的蓝图，而缺乏实际的内容。i t 治理决定了企业如何 进行决策，属于战略层面；i t 管理则是制定和执行这些决策的战术。 当然，我们在实践中，并不一定能够完全绝对地划分他们的界限，在具体的 操作中，可能先对r r 进行管理，而后在管理中发现问题，进而上升到r r 治理的层 面，形成具体的治理安排，再由治理来指导进一步的r r 管理。它们之间存在着交 叠是不可避免的，以i t 服务管理为例，最开始是作为一种管理理念提出的，但在 实践过程中不断地得到扩充和发展，逐渐上升到治理的层面，其标准也成为了r r 治理实施的辅助工具。 2 1 4l t 治理的范围 和其它治理活动一样，i t 治理集中在最高管理层和执行管理层，然而，由于 r r 治理的复杂性和专业性，治理层必须强烈依赖基层来提供决策和评估活动所需 要的信息。因此，好的i t 治理需要在企业全部范围内推行。此外，i t 治理的范围 是动态的，随着企业的业务战略与r r 战略的进一步结合而不断扩大。 那么什么样的企业应该实施i t 治理? 笔者认为以下几点特征可作参考： ( 1 ) 从行业的角度。金融业、电信业等现代服务业对i t 资源的依赖程度很 高，一旦i t 出现问题，对这些行业的影响是致命的，所以迫切需要进行r r 治理， 事实也证明这些行业的r r 治理进程是迅速的：而传统工业、制造型企业实施r r 治理的例子目前并不多见。 ( 2 ) i t 与企业核心业务的关联度。这直接影响了r r 治理模式及其侧重点。 若关联度不高，企业可以选择将全部或部分的r r 运作外包，这种情况下的i t 治理 更侧重于高层i t 决策和外包商的选择；若关联度较高，则企业应自行运作r r ，此 时的i t 治理就是必须的，而且更侧重于整体的治理结构和机制设计。 ( 3 ) i t 投资回报率。如果企业面临这样的情况：不断地向信息化建设中投资， 但看到的回报( 即信息资源对于企业总体绩效的提高) 却很少，这意味着1 1 r 资产 第2 章r r 治理概述 的投资回报率较低，可以说是企业迸行r r 治理的一个预警， 源已经不是重要的问题，问题的根本出现在治理缺位上。 2 1 5i t 治理的过程 这一节笔者归纳了r r 治理的一般过程： ( 1 ) 从企业的整体战略目标中抽象出企业信息化目标， 的投资与战略目标一致。 它提示企业技术和资 保证企业在r r 方面 ( 2 ) 根据企业信息化目标，形成r r 治理的需求和整体架构，制订适合企业 实际的i t 原则。 ( 3 ) 充分考虑由信息化带来的新的利益格局，建立r r 治理结构和治理机制， 明确r r 决策权和由此产生的责任归属体系，描述具体的实施流程并形成规范的制 度安排。 ( 4 ) 测评企业当前的i t 应用水平，从i t 与业务一致性的角度出发，评价出 企业的i t 治理现状以及在r r 方面要解决的现实问题，锁定r r 治理的着眼点。 ( 5 ) 进入具体实旌阶段，有两种模式可供选择：一是完全由企业自己实施r r 治理，二是根据企业实际，选择专业的外部服务提供商( 例如i b m 、h p 、b o r l a n d 等) ，来提供某一方面或全方位的定制化服务。 ( 6 ) 如企业自己实施r r 治理，则可选用通用标准中提供的工具来测评企业 i t 治理现状，根据差距，制订具体的解决方案和实施流程，选择相应的标准和开 发工具，开发或购买相应的软件产品；如企业选择外部服务提供商，则提供商针 对不同的问题，都有自己的评价指标来衡量企业在某一方面是否达到应有的指标， 然后根据企业特点量体裁衣，选择不同的解决方案及其配套的软件产品来实麓。 ( 7 ) 进行阶段性结果的测评，考察是否达到预期效果，把i t 当成一项资产 来投资就要充分考虑它的投资回报率，以保证在r r 中获取最大的价值。 2 2i t 治理标准介绍 r r 治理是一种先进的理念，在具体的实施过程中，也需要一些辅助手段，经 过几年的发展与实践，r r 治理领域形成了c o b i t 、i t i l 、i s o i e c2 7 0 0 1 ( b s 7 7 9 9 ) 、 面向多层委托代理关系的r r 治理研究 p r i n c e 2 1 等标准，不同组织根据自身的需要，选择不同的标准，给企业带来了诸 多收益 7 1 。如欧洲共同体委员会选择c o b i t 来保证信息的安全并控制其农业资金 支付。宝洁公司在采用i t i l 标准的四年里，节省了超过5 亿美元的预算。s u n 、 o r a c l e 等将p r i n c e 2 作为实施项目管理的标准方法等。 尽管以上四种标准都是r r 治理的辅助手段，但是b s 7 7 9 9 侧重于信息安全管 理、p r i n c e 2 侧重于项目管理，而c o b i t 侧重于r r 控制和r r 度量评价，是公认 的最先进、最权威的i t 治理标准，同时，随着服务管理理念的不断成熟，作为 最佳实务集合的i t i l 已经被众多r r 服务提供商所采用，成为其产品和解决方案的 标准支撑，所以我们具体介绍c o b i t 和i t i l 。 2 2 1c o b i t ( 信息系统和技术控制目标) c o b i t 2 是信息及相关技术控制目标的缩写，被看作是r r 治理、控制和保证的 最佳实务文件集合嘲。c o b i t 第一版由i s a c a 于1 9 9 6 年发行。2 0 0 6 年已经更新 至第四版。c o b i t 最初作为审计师的改善工具，目前已经扩展到了r r 治理的框架。 c o b i t 的贡献主要集中在以下四个方面：它由3 4 个高级控制目标和3 1 8 个细 节控制目标组成，通过定义这些目标，可以帮助维护企业业务对i t 的有效控制， 实现了企业目标与r r 治理目标之间的桥梁作用：可实现跟踪的业绩衡量，通过平 衡记分卡评价企业目标的实现情况及r r 绩效，并调整业务目标和r r 战略，进行持 续管理；采用成熟度模型和关键成功因素，定位企业的i t 治理现状，以及未来的 努力方向；覆盖了从分析设计到开发实施，再到运营维护的全过程。 c o b i t 将i t 过程、i t 资源及信息与企业的策略与目标联系起来，形成一个三 维体系结构，如图2 1 。 它提供了与1 1 r 流程相对的3 4 个高级控制目标，并分成四个域：规划与组织 ( p l a n n i n ga n do r g a n i z a t i o n ) ，获取与交付( a c q u i s i t i o na n di m p l e m e n t a t i o n ) ，交付与支 持( d e l i v e r ya n ds u p p o r t ) ，监控( m o n i t o r i n g ) 。四个域覆盖了信息和信息技术的所有 方面，通过它们，管理层可以确保为i t 环境提供充分的控制系统。 1 受控环境中的项目，p r o j e c t si nc o n t r o l l e de n v i r o n n n e n t 2c o n t r o l o b j e c t i v e s f o r i n f o m m u o na n d r e l a t e d t e c h n o l o g y - 9 第2 章r r 治理概述 戤 翟 譬 图2 1c o b i t 模型 f i g 2 1c o b i tm o d e l 从r r 治理的角度来看，单一的服务流程是不全面的，必须集中关注p d c a l 循 环模型，c o b i t 也描述了高级的控制角色，这些角色可作为平衡记分卡的内容。 图2 2 描绘了c o b i t 主要组件及其关系： 图2 2c o b i t 主要组件及其关系 f 噜2 2k e yc o b i tc o m p o n e n t s r e l a t i o n s h i p s 1 p d c a ：p l a n ( 计划) 、d o ( 执行) 、c h e c k ( 检查) 和a c t i o n ( 处理) 面向多层委托代理关系的r r 治理研究 较之以前的版本，新推出的c o b i t 4 0 做了许多新的改进： 基于五个方面( 战略整合、价值交付、风险管理、资源管理和绩效管理) 整合r r 治理，加入一个矩阵图，描绘r r 流程和治理域的对应关系； 以业务需求为原则，提供一个表格来说明业务目标、1 1 r 目标和c o b i t 中 i t 流程的关系，以帮助用户确定组织业务与r r 的联接； 更加注重于其他标准的整合； 提供了r a c i 图表1 阐明每个r r 流程的角色和职责，更关注企业结构； 为了改善对r r 流程模型的理解，描述了每个流程，包括流程的输入与输 出及与其他流程的关系。 c o b i t 模型覆盖范围广泛，可以说是名副其实的r r 治理标准，尤其是新的版 本更加全面详尽的给出了治理从理论到实践的指导路径，具有更强的操作性。 关于c o b i t 的更多内容可以访问信息系统审计和控制协会的网站w w w i s a c a o r g ， 以及i t 治理研究院的网站w w w i t g i o r g 。 2 2 2i t l l ( 信息技术基础架构库) i t i l ( i ti n f r 枞el i b r a r y ) 诞生于1 9 8 0 年，是英国政府发起，由c c t a 2 开 发的一套服务管理标准库嗍，本质上是一系列文档的集合，用以指导组织搭建r r 服务管理架构。目前已被众多服务提供商所采用，成为业界主流产品的基础。 i t i l 是基于流程的方法论。以业务流程为导向、以客户为中心，i t 部门可用 其检查是否用一种可控的和训练有素的方法为最终用户交付所需的i t 服务，i t i l 合并了一套最佳的实践惯例，对硬件、软件、程序、文档、人员进行有效管理， 在具体实施时，可以从人员、技术、业务流程3 个方面入手。其目标是找出对i t 顾客而言真正需要的程序，而这些程序正是在可接受的成本下提供高品质、最合 适的服务所必要的，i t i l 可以部分或全部采用，很适合用来作为管理平台的基础。 但是，需要注意，i t i l 不是一种产品，而是一种业务流程和准则，它存在着从理 论到实践的差异，这也为许多r r 厂商提供了广阔的市场。 1 r e s p o n s l b l e 负责执行任务的角色、a c c 叫n t a b k ：对任务负全责的角色、c o n s u l t e d 提供信息辅助执行任务的人 员，i n f o r m e d ：拥有既定特权、应及时得到通知的人员 2 c e n a a l c o m p u t e r a n d t b l e c 呲m 岫c a n o n s a g e n c y - l l - 第2 章r r 治理概述 i t i l 将r r 服务管理分为1 0 个核心流程和一项管理职能。这些流程和职能之 间的关系如图2 3 所示【1 0 】： ， j 、l瓣越格艟 擀糊如 k 。 r - y ”“”8 8 y 。 掣妒磊b 1 徽鬈，鬻鬈 卜 瓢 辍 多p l 害 磐 上 辩 耱 产 攥 鞔心瓣箨f 鹱掰，耱钟辕9 静瓣 荔 辫缁埘簿撬津黧蒋产 孵 垆 矗b 蓊 僦鬣蒋糍鬟摧镣鬻 吵磊羚磊心 至 囊鬻赞璐 攀羁蟹翮绷纛罄鞲 图2 3i t i l 各流程和职能之间的关系 f i g 2 3r e l a t i o n s h i p sb e t w e e nf l o w f u n c t i o no f l t i l i t i l 遵循了i t 服务管理的理念，通过整合r r 服务于组织业务，提高组织r r 服务提供和服务支持的能力及其水平，i t i l 整体框架【1 0 】如图2 4 ： 图2 4i t i l 整体框架 f i g 2 4t h ef r a m e w o r k o fi t i l 面向多层委托代理关系的r r 治理研究 关于i t i l 的更多内容可以访问w w w i t i l o r g u k 。 2 3i t 治理的方法论及主要产品 虽然存在着上述标准作为实施i t 治理的辅助手段，但是由于其自身的理论性 和框架性，影响了企业直接实施这些标准，为了弥补这种从理论到实践的差距， 众多的服务提供商推出了自己的软件产品和解决方案，成为1 1 r 治理实施过程中 的辅助工具。 2 3 1h p 的i t s m 作为1 1 r 服务的先行者，惠普公司从上世纪9 0 年代初期就开始致力于i t 服务 管理的研究，并形成了自己的i t s m 参考模型，目前已被全球1 0 0 0 0 多家企业采用。 惠普的参考模型并非一个简单的技术模型，而是在业界广泛认可的i t i l 基础之上， 结合不同企业的运作环境、组织结构、r r 资源和管理流程等方面的特点，从流程、 人员和技术三方面来规划企业的r r 结构，形成全面集成的流程图，对i t 组织发现 问题、找到解决办法具有重要的参考价值。 按照服务的生命周期理论，惠普的i t s m 参考模型“”将i t 服务管理分为五大 流程模块组，侧重服务生命周期不同的重要领域，如图2 5 所示： 图2 5h p 的i t s m 参考模型 f i g 2 5t h ei ts e r v i c em a n a g e m e n tr e f e r e n c em o d e lo f l i p 第2 章r r 治理概述 在这一参考模型的基础上，h p 提供全面的软、硬件产品，咨询、培训以及整 体解决方案。其中，h p o p e n v i e w 解决方案及产品集合是h p 的代表作。 簿鼗舞 撩辩一鼙 i i 藏麓 舞赣能 麓嘲蠛 虢纯 图2 6h p0 p e n v i e w 解决方案 f i g 2 6h po p e n v i e wr e s o l u t i o n 如图2 6 所示，h po p e n v j e w 提供了三种途径来解决业务与技术闯题“”： 业务同步：保持i t 服务交付和服务支持与业务需求、客户要求和治理问题之 问的协调一致。以一种完全自动的方式，将i t 服务管理与特定业务流程、关键性 能指标和风险管理策略相互关联起来。 i t 流程自动化：包括构成i t 运作核心的流程。成熟的企业会借助统一的服务 台技术来集成和执行流程，通过整个生命周期的自动化，将手动或人力密集型活 动( 如清点库存、配置和开通) 排除在系统之外。 基础设施优化：开发集成式异构管理技术架构，确保可靠的i t 服务交付。从 使用单一组件管理工具管理多个独立i t 域的方式过渡到借助整合的端到端视图进 行管理的方式。 此外，对于每种途径中的具体解决方案，l i p 都提供了相应的软件产品，以保 证其完整性和应用性。 面向多层委托代理关系的r r 治理研究 2 3 2g i c r o s o f t 的m o f l m o f 是m i c r o s o t t 管理解决方案的核心“”，它由过程模型、团队模型和风险 管理模型三个核心模型组成，如表2 1 ，提供全面的技术指导以及利用微软的产品 和技术实现关键任务的可靠性、可用性、可支持性和可管理性，并对与其他技术 平台的相互运营提供指导。 表2 1m o f 模型 t a b 2 1m o fm o d e l 状态需求结果 环境复杂性的增强管理复杂性的结构过程模型( 图2 7 ) 繁多的操作目标解决机制团队模型( 图2 8 ) r r 的失败对业务影响提升导入事前的风险管理风险管理模型( 图2 9 ) m o f 着重处理当前分布式t r 环境的动态、随机变化的特性，将在不同的系统、 应用流程和平台上同时发生的许多流程、过程以及通信这一复杂的动态系统简化 为一个易于理解的框架，m o f 提供了关于如何对任务密集型服务解决方案所支持 的玎运行过程进行规划、部署与维护的指导方针。 1 m i c r o 丘o p e r a t i o nf r a m e w o r k 圈 l t 母“m i 拂f l l ”g 豫t l 乍寻 f 咚乡1 ls u r n m n g”8 i r 急z 。 l 絮 m # l “ l 图2 7 过程模型 f i g 2 7p r o c e s sm o d e l 图2 8 团队模型 f i g 2 8t e a m m o d e l 图2 9 风险管理模型 f i g 2 9r i s km o d e l 2 ，3 3c a 的e s m e s m t 是c a 公司在长期的实践中形成的一套方法论，其中包括了e s m 实施流 程和标准的工具库。标准工具有：管理目标界定工具( 就绪度测定工具) ，p p t 原 则( p e o p l e p o l i c y p r o c e s s t c c h n o l o g y ) ，传统工具( i n t e r v i e w s u r v e y d o c u m e n t a u d i t ) ，专有工具( e i n t e r v i e w c a s s e s s m e n t ) 。e s m 方法论n 0 1 通常分为五个阶段，1 2 个步骤来帮助企业建设r r 服务管理体系。如图2 1 0 。 四p $ 印印 自宙囱囱圈 自豳豳宙 1e n t e r p r i s es y s t e mm a n a g e m e n t 图2 1 0e s m 模型 f i g 2 1 0e s m m o d e l 匝锣 面向多层委托代理关系的r r 治理研究 管理战略阶段主要帮助企业管理层设定实施i t i l 的整体战略，明确管理层对 于1 1 r 服务管理的承诺，交付总体管理战略和明确管理目标建设的优先等级：组织 架构阶段对企业现有i t 服务组织现状调研、差距分析，参照最佳实践与标准，提 出组织架构的调整意见、明确人员岗位职责，交付各类岗位描述、岗位手册、组 织架构图设计等；管理制度与流程阶段分析调整及补充当前r r 服务的管理制度与 流程，交付符合i t i l 规范的管理制度，并对己明确为优先建设的管理目标交付实 施细则；考核体系阶段则是建立r r 服务管理的考核体系，设计关键考核指标和考 核流程；流程管理平台规划阶段根据前几步设计的组织架构和管理制度，选择、 设计并定制相应的技术工具实现整体的服务管理系统。 在上述整个e s m 实施的不同阶段均会使用到不同的工具，这些工具部分是在 整体管理战略设定时使用，而其他则可能贯穿实施的全程。对于管理工具的灵活 使用，也正是e s m 方法论的重要特点之一。