(二)ITIL 的核心组件
ITIL 主要包括六个模块,即服务管理,业务管理,IT服务管理规划与实施,基础架构管理、应用管理和安全管理。如图3.9 所示。
服务管理是ITIL 中6 个模块中的最核心模块,其又包括服务服务支持和服务提供。服务支持流程组包括5 个运营级流程:事故管理、问题管理、配置管理、变更管理以及发布管理;服务提供流程组包括5 个战术级流程:服务级别管理、IT服务财务管理、能力管理、IT服务持续性管理和可用性管理。
(三)ITIL 的特点
ITIL 的特点有:ITIL 作为最佳实践框架不是基于理论开发的,而是根据实践开发的;ITIL 是事实上的国际标准;ITIL 内含质量管理思想。
(四)ITIL 的优点与不足
ITIL 是一种以流程为基础、以客户为导向的IT服务管理指导框架。ITIL 摆脱了传统IT管理以技术管理为中心的弊端,实现了从技术管理到流程管理,再到服务管理的转化。提供的IT服务更符合业务的需求和成本效益原则。
ITIL 的优点在于:ITIL 帮助企业最终完善服务管理;促进用户和IT人员之间的关系;推进IT部门和业务部门的沟通等。
ITIL 的不足在于:ITIL 只是一系列可执行的事件列表;ITIL 只说明了要做什么,没有对如何做进行深入的探讨;ITIL 不是一个正式标准,而是一份指南,是普遍被接受实行的;ITIL 只叙述应该采取哪些措施才能改善服务,但并没有说明怎样采取这些措施。
六、IT-BSC
(一)IT平衡记分卡的产生与内容
IT平衡记分卡是以卡普兰创建的平衡记分卡基础上发展而来。Grem Bergen教授从信息化与企业目标之间的关系出发,将IT和业务平衡记分卡进行关联,提出通用平衡记分卡,其适合绝大多数企业信息化建设。所形成的通用IT平衡记分卡,如图3.10 所示。
(二)IT平衡记分卡的开发原则
开发平衡记分卡时,需要遵循的原则有:建立IT和业务的因果关系;结果型指标和驱动型指标的有机结合和在度量的基础上行动。
(三)IT平衡记分卡的瀑布模型
IT平衡记分卡通过IT价值贡献和业务相关联。该瀑布模型是通过IT项目平衡记分卡和IT操作平衡记分卡帮助IT平衡记分卡的实现,进而实现业务平衡记分卡,如图3.11 所示。
图3.6 IT平衡记分卡的瀑布模型
(四)IT平衡记分卡的瀑布模型与COBIT之间的映射关系
由于IT平衡记分卡的瀑布模型与COBIT模型之间原本就存在很多交叉,因此,可以完整地实现相互之间的映射关系。其映射关系,如图3.12 所示。
图3.7 IT平衡记分卡的瀑布模型与COBIT的映射关系
七、ISO 17799
(一)ISO 17799 的起源及发展
ISO 17799 的前身是BS7799《信息安全管理体系标准》。1995 年,BSI(英国标准协会)提出BS7799。其目的是为了解决信息安全和网络问题,最大限度地降低风险。1999 年,BS7799 进行了修订改版,增加了两部分内容。第一部分是《信息安全管理体系实施规则》,第二部分是《信息安全管理体系规范》。2002年,BS7799 的第一部分正式转化成国际标准,即ISO 17799。
(二)ISO 17799 的内容
信息安全是管理问题,而不仅仅是技术问题。ISO 17799 包括11 个方面、39 个控制目标和133 项控制措施。其11 个内容包括:安全策略,组织信息安全,资产管理,人力资源管理,物理环境安全,通讯和运作管理,访问控制,信息系统获取、开发和维护,信息安全事件管理、业务连续管理和符合性。其中有3个与技术密切相关:访问控制,通信与操作管理和信息系统获得、开发与维护;其它8 个侧重组织整体个管理和运营操作。每一项控制措施都可以从控制、实施指南和其他信息3 个方面进行阐述。
(三)ISO 17799 的优点与不足
ISO 17799 的优点在于:根据环境的变化调整风险的评估和应对方法,满足动态管理风险的原则;提出全员参与风险的评估工作;ISO 17799 中业务连续性管理为组织业务的持续性提出了有效的建议;提出预防控制为主的思想原则;使用了管理学中的PDCA 持续改进循环模型,增加了风险评估的互动性和准确性。
ISO 17799 的不足在于:提出11 个方面、39 个控制目标和133 项控制措施,并没有明确给出相应的权重,且只提出了解决方案,而要点之间没有关联性,在解决一个风险的时候,可能会引起另外一个风险;ISO 17799 不具有技术标准所必须的测量精度;没有给风险等级划分的参考或规定,这是风险评估中不可少的一点;没有形成规模范围的风险评估标准,尚没有得到广泛应用。ISO 17799评估所得出的风险分析未必得到多有人的认可。因此,ISO 17799 未必能得到风险评估的最佳效果。
八、ISO 38500
(一)ISO 38500 的起源
ISO/IEC 38500:2008 由澳大利亚标准(AS8015:2005)起草,ISO/IEC JCT1信息技术联合技术委员会所采纳,得到了ISO 和IEC 的国家组织批准。
ISO/IEC 38500 是全球第一个谈企业内IT治理的标准,但它不仅仅使用在企业内,在非盈利机构及政府单位同样可以使用。
ISO/IEC 38500 是基本性的、原则性的建议标准,旨在为领导者在组织内评估、领导和监控信息技术(IT)的使用,提供一个原则框架。另外,为了向管理团队提供组织广泛的指导,鼓励组织使用适当的标准去支撑IT治理。
(二)ISO 38500 的定义、原则和模型
ISO 38500 是有定义、原则和模型组成。
(1)ISO 38500 做出的定义:可接受的、组织治理、组织的IT治理、能力、领导者、人员行为、信息技术、IT投资、管理、组织、方针、建议、资源、风险、风险管理、利益相关方、策略和IT的适用。
(2)ISO 38500 提出的6 个原则:原则1:职责,组织内的个人或团体理解和接受其与IT提供和需求相关的职责。并且这些活动的责任人,具有履行这些获的权利;原则2:策略,组织的业务战略应考虑当前和未来IT的容量;IT的策略计划应该满足组织当前和持续的业务战略的需要;原则3:采购,应基于适当的和持续的分析、清晰可见的决策,并具有合理的理由确定IT的采购。这是对短期或长期的利益、机会、成本和风险是一个合适平衡;原则4:绩效,IT应适合于支持组织的目的并提供服务,服务等级和服务质量应满足当前和将来的业务要求;原则5:符合,IT应符合所有强制法律法规的要求。应该清晰定义方针和实际操作,并加以实施和推行;原则6:人员行为,IT方针、实际操作和决策展示对人员行为的尊重,包括当前和发展所需的所有“过程中的人员”。
(3)ISO 38500 的模型
ISO 38500 认为领导者应该通过三项主要任务治理IT:评估现在和将来对IT的利用;领导准备和实施计划和方针的,以保证IT的利用符合业务目标;监视方针的符合性和对应计划的实际绩效。
ISO 38500 给出一个评估-领导-监视的IT治理循环模型,如图3.13 所示。
图3.8 ISO 38500 模型
评估:领导者应该检查和评判当前和将来对IT的利用,包括策略、建议和供给安排(不管是内部、外部,还是两者都有)。在评估IT的使用时,领导者应该考虑对于业务的内外部压力,如技术的变更、经济和社会的发展、以及政治影响。领导者应该随着压力的变化,持续评估。领导者还应该考虑现在和将来的业务需求-当前和将来的组织必须达到的目标,如维持竞争优势,以及正在评估中的战略或意图的特定目标。
领导:导者应该安排计划和方针的准备和实施的职责,并予以领导。计划应该设定IT项目和IT运作的投资方向。方针应该确定IT利用健全大行为。领导者应该保证从项目转到日程运作得到了计划和管理,并考虑对业务和现有IT系统和基础设施运作习惯的影响。领导者应该通过要求管理者提供及时的信息、符合组织的指导以及符合良好治理的六项原则,来鼓励组织内良好IT治理的文化。如果需要,领导者应该领导所提交的建议方案的批准,以处理已识别的要求。
监视:领导者应该通过合适的测量体系监视IT的绩效。他们应该确保遵循计划,特别是与业务目标相关的。领导者应该确保IT符合外部义务(法律、法规以及合同)和内部实际工作的要求。IT特定方面的责任可能委托给组织内的管理人员。但领导者仍需为组织的IT有效和可接受的使用及交付承担责任,而不能委托。
ISO/IEC 38500 利用评估、领导及监视这三项主要工作,展现出针对这六项原则的作为。其实,从这六项原则来看,已经确实跳脱了生命周期的概念!也就是说:人类在这六项基础上,运用三件主要的工作,来“治理”IT在整个生命周期的成效,是否达到:有效、高效、可接受的IT使用于他的组织。
ISO 38500 提供有关良好IT治理一般原则的指南和实施这些原则所需要的实践。
(三)ISO 38500 的优劣势
ISO 38500 的优势在于:提供IT有效治理的框架,帮助组织高层人员理解和实现其组织在利用IT方面的法律、法规和道德要求;确定原则,有助于责任人平衡风险和鼓励从IT使用中获得机会;通过对IT原则模型的合理应用,降低责任人未能履行其职责的风险;ISO 38500 描述的实践适用于多数的大型的或小型的组织,多数情形。
ISO 38500 的劣势在于:每个原则描述应该采取什么措施,但没有说明如何、何时及由谁来实施这些原则,这些方面要依赖组织自身特点;ISO 38500 中所描述的实践,不是全面的,只是IT治理的建议指南。
第二节IT治理工具的比较与分析
IT治理提出以来,全世界各国组织和专家对IT治理的工具进行了研究。麻二磊等(2011)[67]从产生时间、发布机构、应用领域、内容、重点和作用几个方面,对COBIT、ISO/IEC17799、ITIL、PRINCE2、CMM 和ITBSC 模型与标准进行了对比。
这些IT治理工具在IT治理过程中各有优势。每个工具的提出都有各自的目标,适用于不同的环境,基于不同的假设,用于解决特定的问题。因此,在对IT治理工具介绍的基础上,有必要进行多方面的比较、分析和总结。
本节从企业选择IT治理工具时所关心的几个角度进行比较:基本情况比较、内容范围比较、侧重点比较以及特点和不足比较。并给出每个IT治理工具的具体情况,用表格的形式表示,可以起到对这些IT治理工具的应用领域、内容范围、侧重点等方面起到速查的作用。
一、基本情况比较
IT治理的研究是个新兴的研究热点。不同的学者或机构从不同的应用领域对IT治理进行不断的研究,也形成不同的IT治理模型或标准。不同的应用领域,决定了IT治理工具不同的应用场合。目前涉及到的应用主要有:服务管理、安全管理、项目管理和绩效评价等。从发布时间、发布机构和应用领域三个方面进行归纳对比,如表3.6 所示。
IT治理是一个复杂的过程。往往不但是某一方面需要治理,而是整个过程都要进行治理。而目前的IT治理工具只是提出某一领域内的标准或模型,这些工具是单独开发出来的。是否可以进行融合,是否可以通过裁剪切入到其它模型或标准中,这些是研究者开始没有想到的问题,也是今后所要关注的问题。
表3.6 IT治理工具基本情况比较
二、内容范围比较
治理理念,即IT治理工具蕴含的思想理念。起源不同,也决定了这些IT治理工具的治理理念不同。唐志豪等(2008)[68]将IT治理模式分为控制型和引导型两大类。本文根据这种分类,得出以上IT治理工具中控制型的有:ITIL、ISO17799、COBIT和PRINCE2;引导型的有:IT成熟度模型、ITBSC、CISR 和ISO38500。通过上文对IT治理工具的介绍,明显看出每个IT治理工具的内容范围和其核心也不同,如表3.7 所示。
IT治理本身就是一个复杂的过程,加上IT治理工具的复杂性,任何一个组织采用全部的工具是不现实的;每个IT治理工具的应用范围不同,单独采用整套的一个标准也不可行。
因此,企业实施IT治理时,如何有针对性和选择性的选择IT治理标准,是企业所关注和关心的。
表3.7 IT治理工具内容范围的比较
三、侧重点比较
企业选择IT治理标准时,自然想到目前企业所存在的问题,即想通过IT治理解决什么样的问题。这时候,对每个IT治理工具的目的、侧重点和作用的了解显得尤为重要。在对IT治理工具介绍的基础上,对此进行总结,如表3.8 所示。
目的、侧重点和作用之间是相互联系的,是不能分开考虑的。这些IT治理工具有侧重IT安全控制的,有侧重决策权分配的,有强调IT过程的等。所起到的作用也不相同。有的可以起到梳理IT服务管理流程的作用,有的可以起到对IT治理有整体认识的作用,还有的起到绩效测评和管理的作用等。企业在进行选择IT治理工具时的思路可以是:首先明确想要解决的问题;然后明确达到的目的,结合IT治理工具的侧重点和作用,确定IT治理工具;最后实施IT治理。
表3.8 IT治理工具侧重点的比较
四、特点和不足比较
只是对IT治理工具的内容范围和侧重点了解还不够,还要对每个IT治理工具的特点和不足有足够的了解。这样才能在确定选择使用何种IT治理工具后,根据其特点进行实施,规避其存在的不足,以及采用其它手段来弥补其不足,这样才能起到良好的效果。IT治理工具特点和不足的比较,如表3.9 所示。
表3.9 IT治理工具特点的比较
表3.9 对每个IT治理工具的特点和不足进行了归纳,发现很多IT治理工具都存在实践操作指导性的不足。可见,只是确定IT治理工具还是不够的。如何更好的实施IT治理工具才是重点。
第三节结论
显而易见,每个IT治理工具都有其自身的特点、使用范围、侧重点以及应用范围等。因此,企业选择IT治理工具的时候,必须对此有充分的了解,即明确哪种工具可以干什么活,在什么情况下使用,以及所选择工具的优势与不足等。再者,IT治理涉及很多方面,如何把这些已有工具进行整合,形成一个IT治理的整体框架,至关重要。
ISO 38500 面向高层管理者,旨在提供清晰的治理流程和原则,对IT治理有个整体上的认识;CISR 强调决策权的分配;IT-CMM 可以判定企业信息化级别;COBIT提供控制和审计;PRINCS2 提供结构化项目管理方法;ITIL 提供整个过程的服务管理;ISO 17799 提供安全管理;IT-BSC 可以对绩效进行评估。这些IT治理工具显然在其各自领域内是最佳工具。而这些领域在IT治理全过程中并都是有所涉及的。如何根据IT治理的思想,构建出一个反应IT治理全过程的架构,以及如何使用这些IT治理工具来实现架构中的每部分,是下章所研究的重点。
本章小结
本章主要围绕起源与发展、核心内容、基本原理和优点与不足等方面,对8种IT治理工具,CISR、COBIT、PRINCE2、IT-CMM、ITIL、IT-BSC、ISO 17799和ISO 38500 进行了详细的介绍,并从基本情况(发布时间、发布机构和应用领域)、内容范围(治理理念、内容范围和核心)、侧重点(侧重点和作用)以及特点和不足4 个方面分别对上面介绍的IT治理工具进行深入比较分析。
同时,对比较分析进行了总结。指出,清楚的了解每种IT治理工具的应用范围、作用、侧重点、特点与不足的重要性。也指出,在此基础上对已有工具进行整合,是为了形成一个IT治理的整体框架,更好的实施IT治理。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/