标准IT治理架构对企业战略实现有何影响？（by AMT 刘宇编译）

标准IT治理架构对企业战略实现有何影响？

by AMT 刘宇编译

随着经济多样性的突出和企业组织结构的逐渐复杂化，IT治理问题日益受到企业、咨询商和软件商的支持。当面对Building VS Buying，是自己摸索探寻还是拿来主义的问题，业界未有定论。本文简要介绍IT治理的简要定义，分析当今3个主要IT治理标准的特征、异同，并给企业的选择做出初步的建议。

随着911事件和安然事件的出现，组织正在考虑其信息技术（IT）群体，寻找最小化风险和最大化回报的治理模型。

在更广泛的意义上，组织能够在事后基础上达到实现治理，并且创造其自身的架构，或者可以采用很多组织和人员的合作努力曾经开发和完善的标准。通过采用标准的IT治理架构，企业实现一些收益。

一．什么是IT治理？

本质上，治理考虑的是组织的合理管理的问题，IT治理将此问题降低一个层次，印证到IT群体的方面。

可能最好的定义来自COBIT的executive summary，其中将IT治理定义为“关系和流程的一种结构，用来指导和控制企业，并通过价值增加，同时平衡IT及其流程的风险和回报，最终目的是达到企业目标。”

二．三个主要的IT治理标准

为了清楚起见，“事后”架构指企业内部基于自身最佳实践经验所开发的架构。相反，存在一些先进的国际标准，这些标准反映了大量企业的经验结晶，并有专业监管实体维护。如果仔细研究这些监管标准，存在三个比较显著的标准：

（1）COBIT

The Control Objectives for Information and related Technology (COBIT)。该标准现在是第三修订版，由Information Systems Audit and Control Association (ISACA)出版，最早在1996年发布。COBIT架构由34个高层控制目标和318个细节控制目标组成，通过定义这些目标，可以帮助维护企业业务对IT的有效控制。该标准比较完善，所有的COBIT文档集合可以在线获得，包括executive summary、架构、控制目标、审计指引、管理指引和实现指引。

现在，ISACA正在实现COBIT的特殊版本，称为“QuickStart”，为中小型企业准备。其中将包括COBIT的子集，并且特别关注对于那些缺少实现完全标准所需资源的那些组织的需求，提供这些组织所需的必备元素。

（2）ISO 17799

International Organization for Standardization国际标准组织的ISO 17799，全称为“信息技术——信息安全管理实践代码”，该标准首先于2000年12月由ISO发布。然而，该基于英国标准7799，英国标准曾有很多版本，开始于1995年，于1999年中介。ISO 17799的目的是关注于安全，并且辅助企业创造有效的IT安全计划。

该标准有以下的高层次内容：安全政策、组织安全、资产分散和控制、个人安全、物理和环境安全、通讯和操作管理、进入控制、系统开发和维护、业务持续性管理和适应性。该标准比较完善，以精简的方法覆盖了大量材料。

（3）ITIL

Information Technology Infrastructure Library (ITIL)由United Kingdom's Office of Government Commerce (OGC)维护，二十世纪八十年代末根据很多组织的输入开发。有趣的是，虽然该标准在各国知名度不高，却绝对拥有越来越多的加入者。

该标准有以下七部分：服务支持、服务递交、安全管理、应用管理、ICT基础架构管理、业务远景、实现服务管理的计划。ITIL主要关注鉴别最佳实践，这些实践与管理IT服务水平和很多组织相关。这些组织包括：美国海军、宝洁，他们都采用了ITIL，并且得到了现实的显著收益。

三．标准的好处

采用已定义标准的原因包括：

存在性：在当今世界，时间是最宝贵的商品。在国际开发标准已经存在时，何必要花费大量的时间和金钱基于有限的经验来开发IT治理架构。

结构性：模型的架构提供了组织可以跟从的完美结构。另外，结构化帮助共同需求的每个人，他们可以看到他们所期望的内容。

最佳实践：这些标准的建立花费大量的时间，由全世界成百上千的专家和组织进行评估。模型中所反映的经年的经验累积不是单个组织可以负担的。

知识分享：通过跟从标准，人们可以在组织间分享思想，通过用户群、网站、杂志、书本等来分享利润。公司特定事后方法的推动者就不可能达到这一点。

可审计性：没有标准，审计者（尤其是第三方审计者）很难有效衡量控制。即审计者本身应该遵从一定的标准，这是事后审计实现不能达到的。目标是在至少一个基础标准的基础上评估组织，然后推荐最适合的标准。

四．什么标准最好？

有趣的是，三个标准没有太多共同点。COBIT在IT控制和量度指标方面最强。ISO17799覆盖IT安全，而ITIL重点在于流程，尤其是IT帮助相关的部分。

组织不应该仅仅选择一个，而应该对三个标准进行总体浏览，然后计划一个方法，通过该方法混合每种标准中最好和最适合本企业部分。

比如，客户或者监管实体可能需要组织采用ISO17799，结果是至少可以将该标准作为初始焦点。然而，同样的公司最终也可以在远景中包括其他标准。

五．总结

跨出第一步是最难的！这是很多关于IT治理的文章最关注的要点。问题实际上不是“我们是否实现”，而是“我们如何实现？”。在这一点上，存在很多的资源可以帮助组织的研究和实现。企业可以进入此企业自身和利益相关人非常关注的领域，并采用渐进的方法。所有的标准都是非常大的工程，企业跨期地在不同阶段采用不同的元素，要远远优于一下子尝试和实现所有的内容。

COBIT，ISO 17799和ITIL都是实现IT治理的优秀架构。关键是研究这些标准、观察需求、采用初始最适合的标准。最后，所有三个标准都是IT组织回顾和折衷采用的最佳实践。采用某一个标准的公司完全可以进行阶段性实现项目，从标准的元素出发，最终得到组织最适合的标准。

参见AMTeam.org封面专题：《IT治理：中国信息化的必由之道》

作者联系方式：arthur.liu@amteam.org