IT治理的基本概念释疑

IT 治理的基本概念释疑 近年来 银监会 证券和期货业协会等政府监管部门和行业协会陆续发布了关于 IT 治 理的指引 理论界和实务界也有关于 IT 治理的大量的探讨 但在 IT 治理的若干基本概念 上 却各有各的理解和定义 在执行中也莫衷一是 这显然不利于 IT 治理的交流 推广和 发展 为此 中国 IT 治理研究中心在多年理论研究和实践的基础上 提出 IT 治理的基本 概念定义 以期抛砖引玉 最终形成符合中国国情和企业实际需要的 IT 治理基本定义 IT 治理是什么 IT 治理的定义 IT 治理是指设计并实施信息化过程中各方利益最大化的制度安排 包括业务与信息化 战略融合的机制 权责对等的责任担当框架和问责机制 资源配置的决策机制 组织保障 机制 核心 IT 能力发展机制 绩效管理机制以及覆盖信息化全生命周期的风险管控机制 该制度安排的目的是实现组织的业务战略 促进管理创新 合理管控信息化过程的风险 建立信息化可持续发展的长效机制 最终实现 IT 商业价值 ITGov 中国 IT 治理研究中心 孙强 2008 IT 治理的目标 ITGov 中国 IT 治理研究中心归纳总结 IT 治理有四大目标 IT 与组织战略目标融合互 动 有效利用信息资源 管理风险 构建信息化可持续发展的长效机制 具体内容如下 ITIT 治理的目标之一治理的目标之一 ITIT 与组织战略目标融合互动与组织战略目标融合互动 目前 大多数组织的信息化战略规划是在组织战略规划的驱动下进行的 首先在充分 深入研究组织的发展远景 内外部环境 业务策略和管理基础上 形成信息化的远景 信 息系统的组成架构 信息系统各部分的逻辑关系 以支撑战略规划目标的达成 其次对各 信息系统的支撑硬件 软件 技术等进行计划与安排 组织战略 信息系统战略和信息技 术战略之间的关系见图 1 但是 IT 治理理论与实践告诉我们 信息化战略与组织战略的 关系是双向的 具有业务运营 技术变革 竞争优势和服务四种视角 组织战略与信息化 战略是一种动态的平衡 由组织战略驱动的信息化战略还没有达成与组织战略高度整合 不利于信息化战略的可持续发展 理解关键的组织目标 组织如何达到目标 需要哪些IT支撑IS IS如何支撑这些目标 信息化建设 具体项目的实施 组织战略规划 BSP IS战略规划 ISSP IT战略规划 ITSP 图 1 组织战略与信息化战略的关系 ITIT 治理的目标之二治理的目标之二 有效利用信息资源有效利用信息资源 目前 宏观层面信息化投资规模大 绩效不佳是不争的事实 微观层面上信息孤岛 信息化工程超期 业务需求得不到满足 IT 平台不支持业务发展等问题较为突出 信息 资源的开发和利用是信息化建设的核心任务 是信息化取得实效的关键 是衡量信息化水 平的一个重要标志 通过 IT 治理可以对信息资源的管理职责进行有效的制度设计 保证投 资的回收 并支持业务战略的发展 ITIT 治理的目标之三治理的目标之三 管理风险管理风险 由于企业越来越依赖于信息技术和网络 新的风险不断涌现 例如 新出现的技术缺 乏适当管理 不符合现有法律和规章制度 没有识别对 IT 资产的威胁等 IT 治理强调风 险管理 通过制定信息资源的保护级别 强调关键的信息技术资源 有效实施监控 事故 处理 IT 治理使企业适应外部环境变化 为企业内部实现对业务流程中资源的有效利用 从而达到改善管理效率和水平的重要手段 ITIT 治理的目标之四治理的目标之四 构建信息化可持续发展的长效机制构建信息化可持续发展的长效机制 当前 我国的信息化发展主要依靠合规的强制要求 上级领导部门和 一把手 的重 视 缺乏内生的动力机制 根据 ITGov 中国 IT 治理研究中心的理论研究和实践 充分发挥 好信息化绩效评估的 指挥棒 作用 就可以构建信息化可持续发展的长效机制 即在 IT 治理框架和信息化全流程风险管理控制体系的基础上 通过严格的绩效评估和评估结果的 透明披露 靠 问责 的制度化来实现信息化可持续发展的长效机制 总之 IT 治理的目标将帮助管理层建立以组织战略为导向 以外界环境为依据 以业 务与 IT 整合为中心的观念 正确定位 IT 部门在整个组织中的作用 最终能够针对不同业 务发展要求 整合信息资源 制定并执行推动组织发展的 IT 战略 IT 治理与 IT 管理 首先 我们先定义什么是 IT 管理 目前 对于 IT 管理的概念主要有狭义和广义的理 解 过去认为 IT 管理是对所构建的信息系统进行管理 保证系统能正常运行 也有观点 认为 IT 管理是企业 IT 部门在 IT 系统运营阶段中在管理方面采用的方法论 手段 技术 制度 流程 文档的统称 ITGov 中国 IT 治理研究中心 IT 管理是将组织中的 IT 资源进行整合与配置 使其融合 到组织的业务流程之中 发挥其最大效用 ITGov 中国 IT 治理研究中心孙强 2008 IT 管理实现了对人 业务策略 数据 流程和应用系统等资源的全面掌控 涵盖了战略级 战术级和运营级的 IT 应用实践 有效的 IT 管理需要在 IT 规划 组织 控制与 IT 资源的 部署与使用方面达成协同 从而支持组织的战略目标 再进一步 IT 治理与 IT 管理的关系是什么 IT 管理是在 IT 治理既定的 约束和激励 的规则下 对组织 IT 资源进行整合与配置 确定 IT 目标以及实现此目标所采取的行动 而 IT 治理是指最高管理层 董事会 利用它 来监督管理层在实现 IT 战略目标的过程中 处于治理层既定的规则内 风险可控 绩效可 见 这是一个硬币的两面 谁也不能脱离谁而存在 可见 IT 管理就是在既定的 IT 治理 模式下 管理层为实现组织战略目标而采取的行动 IT 治理规定了整个组织 IT 规划与组织 获得与实施 交付与支持 监控与评价的基 本框架 IT 管理则是在这个既定的框架下驾驭组织奔向目标 缺乏良好 IT 治理模式的组 织 即使有 很好 的 IT 管理体系 而这实际上是不可能的 就像一座地基不牢固的大 厦 同样 没有组织 IT 管理体系的畅通 单纯的治理模式也只能是一个美好的蓝图 而缺 乏实际的内容 事实上 很多企业和项目的成功更多地是依赖于人的因素 而不是创新的制度安排 我们认为 如果没有好的治理 约束和激励 机制 组织管理的好是偶然的 管理不好是 必然的 同样 对于 IT 如果存在好的 IT 治理机制 IT 管理的好就是必然的 管理不好 是偶然的 因此 IT 治理是 IT 管理的基石 某种意义上可以认为 IT 治理比 IT 管理更重 要 同样 IT 治理比近年来企业所热衷的 IT 战略规划也重要 原因在于 如果缺乏善治 的 IT 治理机制 约束和激励机制 即使有明确的 IT 战略规划 在执行过程中也会步履维 艰 总之 就我国信息化建设目前的现状而言 迫切需要加强 IT 治理和 IT 管理的理论研 究与实践 IT 治理模式 IT 治理体制和 IT 治理机制等概念的内涵及其相互关系 目前 比较流行的词汇 如 IT 治理结构 IT 治理模型 IT 治理标准等 其概念定 义 内涵和外延均比较混乱 这不利于 IT 治理的传播 推动与发展 ITGov 中国 IT 治理研究中心分析认为 其实大家希望表达的内容更准确的概念是 IT 治理模式 IT 治理体制和 IT 治理机制等 ITGov 是这样界定的 IT 治理 IT 治理思想 IT 治理模式 IT 治理体制 IT 治理机制 2008 简述如下 IT 治理思想即科学的信息化发展观 尽管在广义的 IT 治理模式中涉及 IT 治理思想 但考虑到 IT 治理思想的重要性 我们还是把它独立出来加以强调 IT 治理模式解决有关管理思想 管理方式方法层面的问题 是具有方向性 框架性的 高度概括 其涉及的内容 第一是组织在 IT 治理工作中所遵循的治理思想或坚守的治理理 念 治理观念 是什么 第二是治理的结构问题 其中包括根据组织发展目标确定的 IT 治 理定位 采用什么样的治理方式和治理途径 治理运行的要求 治理关系的原则等三个方 面 第三是治理的运行机制 即涉及 IT 治理流程及制度体系 组织的价值观 IT 文化及 沟通机制 IT 绩效管理与激励约束机制等 同时 为保障治理模式行之有效 需要建立 IT 治理自身的绩效评估 持续改进提高的良性循环机制 ITGov 中国 IT 治理研究中心通 常只把治理思想理念和治理结构及方式纳入治理模式的研究范畴 而把治理流程层面的内 容纳入治理运行机制的范畴 IT 治理体制表达的是治理的组织架构 治理体制是界定组织中各相关主体在各自方面 的治理范围 责权利及其相互关系的准则 它的核心是治理机构 如 IT 治理委员会等 的 设置和权限的划分 各治理机构职权的分配以及各机构间的相互协调 它的强弱直接影响 到治理的效率和效能 对 IT 治理效率起着决定性的作用 一个组织选择不同的治理体制 将决定其设置不同的组织机构和运行规则 相应地将会有不同的运行效果 确定现代化的 治理体制是建立高效管理组织的基本条件 选择符合组织发展需要的治理体制 必须是在 对组织所处行业领域 行业地位 行业特点 竞争状况 资本结构 产权结构 组织结构 人员结构 发展战略或阶段目标 政策环境和内外部资源条件等方面进行详细调查分析 并系统归纳组织的优势与劣势和现有管理体制存在问题的基础上进行 组织的治理体制 往往根据其所从事的事业来划分为集权治理体制 分权治理体制和联邦民主式治理体制 治理机制的涵义 是指治理体系结构及其运行机理 治理机制又细分为运行机制 动 力机制 约束机制 运行机制是指组织 IT 相关基本职能的活动方式和运行关系 动力机制 是指推动信息化可持续发展的内生动力产生与运作的机理 约束机制是指对 IT 治理行为进 行约束与纠正的功能与机理 通过细分的运行机制 动力机制和约束机制 就比较容易理 解什么是治理机制了 ITGov 中国 IT 治理研究中心根据当前的国情和信息化发展所处的 阶段 强调把建立完善信息化全生命周期风险管理控制体系作为构建落地的运行机制的主 要内容 把信息化绩效评估作为信息化可持续发展的内在动力机制 把信息化风险管控体 系和绩效问责共同作为约束机制 总之 在治理思想治理模式 治理体制 治理机制四个概念中 治理思想回答的是方 向性问题 治理模式侧重于具有代表性 稳定性治理方式 治理路径 治理体制倾向于解 决各相关主体的治理范围 责权利及其相互关系的准则等问题 治理机制所要解决的是运 行机理 动力和约束问题 IT 治理思想决定 IT 治理模式 IT 治理模式决定 IT 治理体制 和 IT 治理机制 可以说有什么样的 IT 治理思想 就会有什么样的治理模式 有什么样的 IT 治理模式 就会有什么样的 IT 治理体制和机制 依据上述思路 ITGov 中国 IT 治理研究中心自主创新了符合中国国情的 中国企业 IT 治理框架 该框架有七要素组成 科学的信息化发展观 IT 商业价值 IT 治理方法 IT 治理绩效 IT 治理决策模式 IT 风险管理控制体系 核心 IT 能力 2008 公司治理和 IT 治理的关系 公司治理主要关注利益相关者权益和管理 包括一系列责任和条例 由最高管理层和 执行管理层实施 目的是提供战略方向 保证目标能够实现 风险适当管理 企业的资源 合理使用 公司治理 驱动和调整 IT 治理 同时 IT 能够提供关键的输入 形成战略计划的一 个重要部分 见图 2 所示 这被认为是公司治理的一种重要功能 IT 影响企业的战略竞 争机遇 图 2 IT 治理和公司治理关系 ITGov 中国 IT 治理研究中心 网址 IT 治理的一个关键性问题是 公司的 IT 投资是否与战略目标相一致 从而构筑必要 的核心竞争力 因为企业目标变化太快 很难保证 IT 与业务目标始终保持一致 因此需要 多方面的协调 保证 IT 治理继续沿着正确的方向走 这也是 IT 投资真正关心的问题 对 IT 治理而言 要能体现未来信息技术与组织的战略集成 既要尽可能地保持开放性和长远 性 以确保系统的稳定性和延续性 同时又因为规划赶不上变化 再长远的规划也难以保 证能跟上企业环境的变化 在信息化规划时 认真分析企业的战略与 IT 支撑之间的影响度 并合理预测环境变化可能给企业战略带来的偏移 在规划时留有适当的余地 从业务战略 到信息战略 做务实的牵引 不要追求大而全 IT 治理有助于建立一个灵活的 具有适应性的企业 IT 治理能够影响信息和知识 组织能够感知市场正在发生的事情 使用知识资产并从中学习 创新新产品 服务 渠道 过程 迅速变化 将革新带入市场 衡量业绩 IT 治理应该体现 以组织战略规划目标为 中心 的思想 通过合理配置 IT 资源创造价值 公司治理侧重于企业整体规划 IT 治理 侧重于企业中信息资源的有效利用和管理 企业目标在于远景和商业模式 IT 目标在于商业模式的实施 企业目标与 IT 目标之间的关系见图 3 IT 治理主要涉及两个方面 IT 要为企业交付价值 IT 风险要降低 前者受与企业战 略一致性驱动 后者由责任义务落实到企业驱动 这两者都需要衡量 如使用平衡计分卡 这就可以看出 IT 治理的核心领域 都是由利益相关者价值驱动的 驱动与 设定 公司治理 IT 治理 公司治理活动 IT 治理活动 从下面获取信息 概括地说 公司治理和 IT 治理都是市场 含政府 他律的机制 是如何 管好管理者 的机制 其目标也是一致的 达到业务永续运营 并增加组织的长期获利机会 无论大环 境好或坏 最高管理层均应以达成其目标为责任 而且管理层需要有能力协助其达成目标 因此 最高管理层必须常常监督管理部门对决策与政策实施绩效判断 图 3 企业目标和 IT 目标之间的关系 IT 治理指引有哪些 IT 治理已成为国内外政府治理 公司治理及全面风险管理关注的新领域 截至 2009 年 10 月 国内外政府部门和行业协会发布的 IT 治理指引主要有 在 2002 年美国颁布萨班斯法案 该法案被称为 自罗斯福总统以来美国商业界影响最 为深远的改革法案 以前所未有的法律的形式 强调 良好的公司治理和高管层对 IT 治理的职责再也不是一个可有可无的美好愿景 公司数据的完整性受到公司 IT 控制的充分性影响 公司交易从交易开始 记录 处理到报告全程应用 IT 加快并支持财务报告的 IT 的控制 IT 控制有效性记录与评价的要求 IT 一般控制与应用控制 利用 IT 自动记录并监控控制制度的执行 因此 萨班斯方案开始要求 CIO 必须成为管理控制专家 不仅要参与到公司治理领域 以使 IT 与业务战略从治理到管理再到执行层面始终保持精确校准 还要在完善内部控制和 全面风险管理体系中发挥作用 2006 年 6 月 国务院国有资产监督管理委员会出台 中央企业全面风险管理指引 对中央企业开展全面风险管理工作的总体原则 基本流程 组织体系 风险评估 风险管 理策略 风险管理解决方案 监督与改进 风险管理文化 风险管理信息系统等方面进行 了详细阐述 对 指引 的贯彻落实也提出了明确要求 2006 年 11 月 银监会发布 银行业金融机构信息系统风险管理指引 其内容包括 总则 机构职责 总体风险控制 研发风险控制 运行维护风险控制 外包风险控制 审 计和附则等八个部分 该指引目的是防范银行业金融机构运用信息系统进行业务处理 经 营管理和内部控制过程中产生的风险 实现对信息系统风险的识别 计量 评价 预警和控 制 2008 年 6 月 财政部 证监会 审计署 银监会 保监会联合发布我国第一部 企业 企业战略 企业运作 IT 战略 IT 运作 协调活动 内部控制基本规范 基本规范共七章五十条 各章分别是 总则 内部环境 风险评估 控制活动 信息与沟通 内部监督和附则 该基本规范还有机融合世界主要经济体加强内 部控制的做法经验 提出了企业建立与实施有效内部控制的要素 即构建以内部环境为重 要基础 以风险评估为重要环节 以控制活动为重要手段 以信息与沟通为重要条件 以 内部监督为重要保证 相互联系 相互促进的五要素内部控制框架 此次基本规范的印发 标志着中国企业内部控制规范体系建设取得重大突破 2008 年 9 月 中国证券业协会和中国期货业协会共同发布 证券期货经营机构信息技 术治理工作指引 试行 在行业机构中倡导信息技术 IT 治理理念 使 IT 治理被纳入 公司治理范畴 提升机构驾驭 IT 的能力 保障行业的信息系统安全运行 2009 年 7 月 中国期货业协会发布 期货公司信息技术管理指引 该指引共分为四个技术等级 包含总 则 技术管理 机房建设 核心系统 安全 日常运行 备份 系统维护和营业部技术要 求九方面的内容 2009 年 6 月 为进一步加强商业银行信息科技风险管理 银监会发布 商业银行信息 科技风险管理指引 共十一章七十六条 分为总则 信息科技治理 信息科技风险管理 信息安全 信息系统开发 测试和维护 信息科技运行 业务连续性管理 外包 内部审 计 外部审计和附则等十一个部分 该指引的发布 将进一步推动我国银行业信息科技风 险管理向更高水平迈进 ITGov 中国 IT 治理研究中心认为 政府监管部门 资本市场 投资人和价值链上的所有利益相关方 都在公司治理和 内控方面寻求更大的保证 因此 未来政府和监管机构将不遗余力地出台大量的合 规要求 合规 全面风险管理和 IT 治理的要求是大势所趋 在法规遵从上不存在折衷与妥协 尽管目前我国出台的相关合规要求还远远没有达 到萨班斯法案那样的法律力度 但政府监管机构要求 又好又快 地发展 而不是 又快又好 地发展 也将成为未来的大趋势 IT 治理委员会 ITGov 中国 IT 治理研究中心认为 IT 治理委员会和 CIO 制度的缺失 是当前我国信 息化建设制度安排上的 致命性 缺陷 既然 IT 治理是公司治理的重要组成部门 IT 能力是组织核心竞争能力之一 IT 资 产已经成为组织最为宝贵的战略性资产 IT 已经成为影响到组织全局性的角色 那就需要 治理层面对 IT 的关注 就需要从组织保障上设立 IT 治理委员会 实现最高管理层 董事 会 对 IT 的监管 董事会不对 IT 进行监管 好比公司不对财务进行审计 这是非常危险 的 ING 梅隆金融等发达国家先进企业都是在董事会设立的 IT 治理委员会 当董事会和 高管层需要做 IT 决策时 该委员会能够提供支持 从而使投资巨大的 IT 项目处于可控状 态 并使企业获得更大的竞争优势 尤其对于转型模式下的中国证券企业 董事会的监管 至关重要 从另外一个角度来看 当前的信息化过程已经不是从前的在局部管理工作上变手工操 作为自动化的过程 而是已经演变成为 流程的重组和利益的再分配 势必触及到一些部 门和个人的利益 势必遭到他们的反对 并且是种种冠冕堂皇的理由的反对 这种情况下 的指导和协调工作 已经远远超出信息化部门领导的职责和权力范围 必须在治理层面建 立 IT 治理的体制和机制 才能有效地推进信息化工作 规避 IT 风险 实现业务战略目标 在设立 IT 治理委员会时 我们要考虑三个问题 即 IT 治理委员会由谁担任主席 由 哪些部门的哪些人组成 委员会的章程是什么 IT 治理委员会由组织的最高管理层 董事会 及管理执行层包括 IT 管理和业务管理 有关部门负责人 管理技术人员组成 定期召开会议 就企业战略与 IT 战略的驱动与设置 等议题进行讨论并做出决策 为组织 IT 管理提供导向与支持 把 IT 治理的相关规范融入 到组织的内部控制中 ITGov 中国 IT 治理研究中心认为 IT 治理委员会的职责包括但不限于 遵守并贯彻执行国家有关信息化治理 管理 的法律 法规和技术标准 落实政 府监管部门相关监管要求 负责开展信息化相关的合规工作 审查批准信息化战略 确保其与业务战略和重大策略相一致 评估信息技术及其 风险管理工作的总体效果和效率 分析信息技术风险成因 掌握主要的信息技术风险 确定可接受的风险级别 确 保相关风险能够合理管理 规范职业道德行为和廉洁标准 增强组织文化建设 统一全体人员对信息化治理的思想 认识和意识养成 设立一个由来自高级管理层 信息化部门和主要业务部门的代表组成的专门信息 技术管理委员会 负责监督各项职责的落实 定期向董事会和高级管理层汇报信 息化战略规划的执行 信息化预算和实际支出 信息化管理的整体状况 在建立良好的公司治理的基础上进行信息化治理 形成分工合理 职责明确 相 互制衡 报告关系清晰的信息化治理组织结构 加强信息化专业队伍的建设 建 立人才激励机制 确保内部审计部门进行独立有效的信息技术风险管理审计 对审计报告进行确认 并落实整改 每年审阅并向政府监管部门报送信息化治理的年度报告 确保信息化治理工作所需资金 确保所有员工充分理解和遵守经其批准的信息化治理制度和流程 并安排相关培 训 确保本法人机构涉及客户信息 账务信息以及产品信息等核心信息资产的安全 及时向政府监管部门报告本机构发生的重大信息技术事故或突发事件 按相关预 案快速响应 配合政府监管部门做好信息科技风险监督检查工作 并按照监管意见进行整改 履行信息化治理其他相关工作 IT 治理的核心问题 五个决策 美国 MIT 彼得 维尔和珍妮 罗斯关于 IT 治理的研究报告指出 IT 治理决策模式是为 鼓励 IT 应用的期望行为 而明确的决策权归属和责任担当框架 IT 治理决策模式关注于 两个维度 IT 的有效管理和应用必须做出哪些决策 应该由谁来做出这些决策 该研究认 为具体体现在五个 IT 决策上 1 IT 原则 阐述 IT 的商业作用 2 IT 架构 定义集成和标准化的要求 3 IT 基础设施 决定共享和可提供的服务 4 商业应用需求 确定购买或内部开发应用的商业需求 5 IT 投资和优先权 选择资助哪一个立项以及投入多少资金 在彼得 维尔和珍妮 罗斯研究的基础上 结合中国国情 ITGov 中国 IT 治理研究中 心认为 IT 治理决策主体主要有组织领导者 公司的 CIO IT 主管 业务部门领导者 有如下几种治理决策模式 见表 1 表 1 中国企业 IT 治理决策模式 IT 指标原 则 IT 体系架构IT 基础设施业务应用需求IT 投资与优先级 组织总部负责制 IT 部门负责制 组织总部和业务 部门负责制 业务部门负责制 IT 部门和其它 部门 组织总部负责制 最高领导者 IT 部门负责制 IT 专家 业务部门负责制 每个业务部门独立决策 组织总部和业务部门负责制 公司的决策层和业务部门联合决策 有或者没有 IT 部 门的参与 IT 部门和其它部门负责制 IT 团队和其他的某一个团队 例如 最高决策层或者业 务部门的领导等 以上决策模式要对 IT 治理决策领域进行决策 IT 治理决策领域包括 IT 指导原则决策 IT 体系架构决策 IT 基础设施决策 业务应用需求决策 IT 投资和优先级决策五个部分 IT 治理框架 推进 IT 治理工作 我们需要已国内外最佳实践为出发点 目前业界已经有许多 IT 治 理框架 标准和模型 ITGov 中国 IT 治理研究中心紧密结合中国国情 也自主创新了一系 列 IT 治理相关的框架 模型和体系 这些框架和模型为改善 IT 治理提供了方法和工具 并对实现业务目标 财务绩效和竞争优势具有积极的影响 如果能够在充分了解企业信息 化现状的基础上 理解 掌握这些现有的标准框架体系并合理加以运用 就能够有效地利 用 IT 资源 为实现战略目标服务 目前常用的 IT 治理框架 见表 2 从第二章开始 将详细介绍 IT 规划管理 IT 实现 与获取管理 IT 服务管理 IT 项目管理 IT 质量管理 信息安全管理 IT 风险管理 IT 绩效管理和灾难恢复和业务持续性管理 核心 IT 能力评价等方面的内容 表 2 IT 治理框架分类汇总表 分类框架 知识体系 IT 规划管理 ITGov 信息化科学发展观理论 Zachman TOGAF SOA SAM CSF BSP SST SG IT Gov IT 治理框架 IT 获取与实现管理RUP AUP Scrum eSCM SP IT 服务管理 ITGov 一体化运维管理体系 ITIL ISO IEC 20000 ISPL ITS CMM BiSL eTOM ASL ITGov 外 包治理框架 IT 项目管理PMBoK IPMBOK iPMBOK2004 PRINCE2 MSP IT 质量管理 TQM CMM ISO 9000 TickIT Six Sigma ITGov 协 调式咨询方法论 IT 风险管理 COSO ERM M o R AS NZS 4360 CobiT ITGov 信息 化风险管控体系 信息安全管理 信息安全等级保护管理办法 ISO27001 ISO IEC 13335 ISO IEC 15408 及 CC ITGov 信息安全治理框 架 灾难恢复与业务持续性 管理 GB20988 2007 BS25999 NIST SP 800 34 IT 绩效管理 ITGov 绩效管理九宫格 ITBSC ITGov 三位一体绩效 评价框架 FEA EAF ITGov 信息系统审计标准体系 ITGov 基于数据挖掘和网络技术的舞弊审计模型 ITGov 电子政务绩效评估体系 ITGov 运维与外包绩效 评价体系 核心 IT 能力 ITGov 核心 IT 能力模型及其评价体系 ITGov IT 领导 力九项修炼 当前 我国信息化建设中最大的问题 不是技术问题 也不是资金问题 而是缺乏科 学的 IT 管理理念 我国 IT 领导者最大的问题不是缺少经验和能力 而是缺乏卓越的管理 素质和管理方法 孙强 2003 从 IT 治理框架分类汇总表中可以看出 其中大多数治理 框架都是目前企业 IT 管理者所不熟悉的 甚至闻所未闻 而这些最佳实践正是全球智慧的 结晶 也是我们最缺乏的 如果不以最佳实践为出发点 我们在 IT 治理 IT 管理 工作 中不知道还要走多少弯路 多付出多少学费 因此 我们迫切需要掌握这些凝聚着全球 智慧结晶的 IT 治理框架 并用来指导我们的 IT 治理实践 ITGov 自主创新的中国企业 IT 治理框架 ITGov 自主创新的中国企业 IT 治理框架 该框架有七要素组成 科学的信息化发展观 IT 商业价值 IT 治理方法 IT 治理绩效 IT 治理决策模式 IT 风险管理控制体系 核心 IT 能力 2008 如图 4 所示 高水平的 可持续的 IT 治理 需要考虑同时到这七个要素 科学的信息化发展观是 IT 治理框架构建的理论指导方针 国外公认的 IT 治理方法和中国国内自主创新的 IT 治理方法是 IT 治理框架构建的 工具 二者的结合是正确构建 IT 治理框架的前提基础 科学的发展离不开科学决策 科学决策是科学发展的重要环节 IT 治理首当其冲 的就是建立什么样的决策模式 IT 治理必须要树立科学决策意识 并健全决策机 制 完善决策方式 规范决策程序 强化决策责任 保证决策的正确有效 IT 治理决策的实施是要靠规范化 精细化和主动式的 IT 全生命周期风险管控流程 来实现 同时对 IT 全生命周期风险管理控制过程与结果进行评价 并持续改进过 程与度量方法 具有持续竞争优势的动态的核心 IT 能力是 IT 治理水平背后的决定性因素 IT 治 理水平是核心 IT 能力的表现 IT 治理的最终目的是实现 IT 商业价值 科