第3章 信息系统治理——3.2 IT 治理（任务、方法与标准）

3.2 IT 治理（任务、方法与标准）

• 新时代的信息技术与各领域发展进入到了深度融合的发展新阶段，成为各类组织实现治理体系与能力现代化，构建敏捷运行管理体系，打造高质量的生产与服务系统，洞察社会与市场变化等高质量发展的必要过程。
• 组织如何从其信息系统投资中获得真正的价值；如何将信息技术战略与组织战略相融合；如何从组织治理的高度，对组织数字化能力做出制度安排；如何从战略投资、组织管理变革的角度，降低IT 的风险；如何利用国内外信息技术开发利用的最佳实践和重要成果，加快组织的信息化、数字化工作推进等。这些都是IT 治理所关注的问题。

*本期将详情展述**IT 治理的任务 *及 IT 治理的方法与标准。

3.2.1 IT治理任务

组织的IT治理活动定义为统筹、指导、监督和改进。

• 统筹现在和未来的IT战略和组织规划、管理和绩效的实施计划、策略；
• 指导IT 管理实施、绩效考评、风险控制和业务合规；
• 监督IT 与业务的一致性、符合性及IT 应用的合规性；
• 改进IT 战略规划、组织策略、信息系统全生命周期管控和数据治理。

组织开展IT治理活动的主要任务聚焦在五个方面：全局统筹、价值导向、机制保障、创新发展、文化助推。详情如下：

1. 全局统筹

• 统筹规划IT治理的目标范围、技术环境、发展趋势和人员责权利。组织需要适应当前信息环境和未来发展趋势，保证利益相关者理解和接受IT的战略、目标和发展方向。
• 组织需要把IT治理作为组织治理的组成部分，建立IT 治理机构，并明确组织负责人对IT治理工作负责。组织还需要关注IT 发展的规划、实施、检查和改进全过程，重点包括下面三点：

1. 制订满足可持续发展的IT 蓝图；
2. 实施科学决策、集约管理的策略，实现横向的业务集成和纵向的业务管控;通过内外部的监督，确保IT 与业务的一致性和适用性；
3. 建立适应内外部信息环境变化的持续改进和创新机制。

2. 价值导向

• 价值导向包括基于实现有效收益，确保预期收益清晰理解，明确实现收益的问责机制。
• 组织需要建立IT 投资的价值框架，确保在可承担成本和可接受风险水平的基础上，实现IT的战略目标。
• 确保IT 治理符合组织治理的价值导向，明确战略投资方向，以及由投资产生的IT 服务、资产和其他资源。组织需要建立价值递送规则，确保利益相关者明确相应的权利和义务，包括：

1. 认可信息技术、信息系统和数据在组织中的价值；
2. 识别投资目录，并以相应的方式进行评估和管理；
3. 对关键指标进行设定和监督，并对变化和偏差做出及时回应；
4. 权衡实施成本与预期效益，并随组织内外部环境的变化及时调整。

3. 机制保障

• 机制保障是指组织应对自身IT发展进行有效管控，保证IT 需求与实现的协调发展，并使IT 安全和风险得到有效的识别、管理、防范和处置。
• 组织需要建立适合组织特点的机制保障方法，满足疏漏互补、协同发展、监督改进和安全风险可控的原则，避免扭曲决策目标方向。
• 组织需要明确管理责任，明晰上下左右权利关系，落实责任制和各项措施。
• 组织可以根据相关法律法规、行业管理和上级监管机构发布的规范文件要求，制定本组织的信息技术治理制度并实施，重点聚焦在:

1. 指导建立规范过程管理和痕迹管理，并向利益相关者公开质量设定举措；
2. 评审IT管理体系的适宜性、充分性和有效性;
3. 审计IT 完整性、有效性和合规性；
4. 监督由审计和管理评审，提出改进内容的实施。

4. 创新发展

• 创新发展是指利用IT 创新开拓业务领域，提升管理水平，改进质量、绩效和降低成本，确保实现战略目标的灵活性和对环境变化的适应性。
• 组织需要通过建立围绕知识资产的创新体系，支撑组织的技术进步、管理提升和业务模式变革。
• 组织可以持续保持管理团队的创造技能，并指导培养各级成员的发问、观察、交际和实验能力。
• 组织可以建立支持创新的人员、技术、制度、资金、风险、文化和市场需求的机制体系，包括:

1. 创造基于业务团队与IT团队的深度沟通以及对内外部环境感知和学习的技术创新环境；
2. 确保技术发展、管理创新、模式革新的协调联动；
3. 对组织创新能力进行评估，并对关键创新要素进行分析和评价；
4. 通过促进和创新有效抵御风险，并确保创新是组织文化的组成部分。

5. 文化助推

• 文化助推是指组织与利益相关者沟通IT 治理的目标、策略和职责，营造积极向上、沟通包容的组织文化。
• 组织需要引导组织人员适应IT建设所带来的变革、遵循道德和职业规范、端正态度和规范行为。
• 组织可以要求各级管理层把符合信息技术战略发展的文化建设作为其职责的一部分。
• 按照文化营造、实施和改进的生命周期，保障利益相关者的沟通和透明，包括:

1. 建立与IT发展相适应的组织文化发展策略；
2. 营造包括知识、技术、管理、情操在内的积极向上的文化氛围；
3. 根据组织内部环境的变化，评估并改进组织文化的管理。

3.2.2 IT治理方法与标准

考虑到IT治理对组织战略目标达成的重要性，国内外各类机构持续研究并沉淀IT治理相关的最佳实践方法、定义相关标准，这里面比较典型的是我国信息技术服务标准库(ITSS)中IT治理系列标准信息和技术治理框架(COBIT)和IT治理国际标准(ISO/IEC 38500)等

1. ITSS 中IT 服务治理

• 我国IT治理标准化研究是围绕IT治理研究范畴，为IT过程、IT资源、信息与组织战略组织目标的连接提供了一种机制。
• 通过指导、实施、管理和评价等过程，确保IT 支持并拓展组织的战略和目标。
• 在IT治理目标和边界确定的情况下，IT 治理围绕决策体系、责任归属、管理流程、内外评价四个方面，通过相关框架体系的研究，规范和引导组织的IT治理完成“做什么”、“如何做”、“怎么样”、“如何评价”等问题，如图3-5所示。

1)IT治理通用要求

GB/T34960.1《信息技术服务治理第1部分:通用要求》规定了IT治理的模型和框架实施IT治理的原则，以及开展IT顶层设计、管理体系和资源的治理要求。该标准可用于:

• 建立组织的IT治理体系，并实施自我评价；
• 开展信息技术审计；
• 研发、选择和评价IT 治理相关的软件或解决方案；
• 第三方对组织的IT 治理能力进行评价。

各级各类信息化主管部门可根据法律法规、部门规章的要求，使用该标准对所管辖各类组织的IT 治理提出要求，并进行评估、指导和监督。

该标准定义的IT 治理模型包含治理的内外部要求、治理主体、治理方法，以及信息技术及其应用的管理体系，如图3-6所示。

• 治理主体以组织章程、监管职责、利益相关方期望、业务压力和业务要求为驱动力，建立评估、指导、监督的治理过程并明确任务。
• 治理主体通过信息技术战略和方针，指导管理者对信息技术及其应用的管理体系进行完善，并对信息技术相关的方案和规划进行评估，对信息技术应用的绩效和符合性进行监督。
• 组织结合治理原则和模型，在IT 治理实施的过程中，开展自我监督、自我评估和审计工作，并持续改进。

该标准定义的IT 治理框架包含信息技术顶层设计、管理体系和资源三大治理域，每个治理域由如下若干治理要素组成，如图3-7 所示。

• 顶层设计治理域包含信息技术的战略，以及支撑战略的组织和架构；
• 管理体系治理域包含信息技术相关的质量管理、项目管理、投资管理、服务管理、业务连续性管理、信息安全管理、风险管理、供方管理、资产管理和其他管理；
• 资源治理域包含信息技术相关的基础设施、应用系统和数据。

2)IT治理实施指南

GB/T 34960.2《信息技术服务治理第2部分:实施指南》提出了IT治理通用要求的实施指南，分析了实施IT治理的环境因素，规定了IT 治理的实施框架、实施环境和实施过程，并明确顶层设计治理、管理体系治理和资源治理的实施要求。该标准适用于:

• 建立组织的IT 治理实施框架，明确实施方法和过程；
• 组织内部开展IT 治理的实施；
• SIT 治理相关软件或解决方案实施落地的指导；
• 第三方开展IT 治理评价的指导。

IT治理实施框架包括治理的实施环境、实施过程和治理域，如图3-8所示。

• 实施环境包括组织的内外部环境和促成因素。
• 实施过程规定了IT 治理实施的方法论，包括统筹和规划、构建和运行、监督和评估、改进和优化。
• 治理域定义了IT 治理对象，包括顶层设计、管理体系和资源。

顶层设计包括战略、组织和架构；

管理体系包括质量管理、项目管理、投资管理、服务管理、业务连续性管理、信息安全管理、风险管理、供方管理、资产管理和其他管理；

资源包括基础设施、应用系统和数据。组织可以结合实施环境的分析，按照实施过程，以治理域为对象开展IT治理实施。

2.信息和技术治理框架

COBIT是面向整个组织的信息和技术治理及管理框架，由成立于1969年的美国信息系统审计与控制协会(ISACA)组织设计并编制的。COBIT框架对治理和管理进行了明确区分，这两个学科涵盖不同的活动，需要不同的组织结构，并服务于不同目的：

• 治理确保对利益干系人的需求、条件和选择方案进行评估，以确定全面均衡、达成共识的组织目标；通过确定优先等级和制定决策来设定方向；根据议定的方向和目标监控绩效与合规性；
• 管理是指按治理设定的方向计划、构建、运行和监控活动，以实现组织目标。

在大多数组织中，管理是首席执行官领导下的高级管理层的职责。

ISACA 设计并编制了《框架:治理和管理目标》《设计指南信息和技术治理解决方案的设计》，主要供组织信息和技术治理(EGIT)、鉴证、风险和安全专业人员作为学习资料使用。

1)治理和管理目标

COBIT框架介绍了40项核心治理和管理目标，以及其中包含的流程和其他相关组件。COBIT核心模型如图3-9所示。COBIT中治理目标被列入评估、指导和监控(EDM)领域在这个领域，治理机构将评估战略方案，指导高级管理层执行所选的战略方案并监督战略的实施。管理目标分为四个领域：

• 调整、规划和组织(APO)针对IT的整体组织、战略和支持活动。
• 内部构建、外部采购和实施(BAI)针对IT 解决方案的定义、采购和实施以及它们到业务流程的整合;
• 交付、服务和支持(DSS)针对IT服务的运营交付和支持，包括安全；
• 监控评价和评估(MEA)针对IT的性能监控及其与内部性能目标、内部控制目标和外部要求的一致程度。

治理目标与治理流程有关，而管理目标与管理流程有关。治理流程通常由董事会和执行管理层负责，而管理流程则在高级和中级管理层的职责范围内。

为满足治理和管理目标，每个组织都需要建立、定制和维护由多个组件构成的治理系统，如图 3-10 所示。
治理系统的组件包括:

1. 流程。流程描述了一组为实现某种目标而安排有序的实践和活动，并生成了一组支持实现整体 IT 相关目标的输出内容。
2. 组织结构。组织结构是组织的主要决策实体。
3. 原则、政策和程序。原则、政策和程序用于将理想行为转化为日常管理的实用指南。
4. 信息。在任何组织中，信息无处不在，包括组织生成和使用的全部信息。COBIT 侧重于有效运转组织治理系统所需的信息。
5. 文化、道德和行为。个人和组织的文化、道德和行为作为治理和管理活动的成功因素，其价值往往被低估。
6. 人员、技能和胜任能力。人员、技能和胜任能力对做出正确决策、采取纠正行动和成功完成所有活动而言是必不可少的。
7. 服务、基础设施和应用程序。服务、基础设施和应用程序包括为组织提供IT 处理治理系统的基础设施、技术和应用程序。

2)信息和技术治理解决方案的设计

COBIT设计指南描述了组织如何设计量身定制的组织IT治理解决方案。高效和有效的IT治理系统是创造价值的起点。

COBIT 定义的IT 治理系统设计因素包括组织战略、组织目标、风险概况、IT相关问题、威胁环境、合规性要求、IT角色、IT采购模式、IT实施方法、技术采用战略、组织规模和未来因素，如图3-11所示。这些设计因素可能影响组织治理系统的设计，为成功使用IT奠定基础。

组织开展治理系统设计通过流程化的方式进行，如图3-12所示，COBIT 给出了建议设计流程：

1. 了解组织环境和战略;
2. 确定治理系统的初步范围;
3. 优化治理系统的范围;
4. 最终确定治理系统的设计。

3.IT 治理国际标准

2008年4月，ISO/EC正式发布IT 治理标准ISO/IEC 38500，这一标准将促使国内外一直争论不休的IT 治理理论得到统一，也促使我国在引导信息化科学方面发挥重要作用。

它的出台不仅标志着IT治理从概念模糊的探讨阶段进入了一个正确认识的发展阶段，而且也标志着信息化正式进入IT 治理时代。

2014年，ISO/EC发布了第二版的ISO/IEC FDIS 38500，替换了2008第一版的ISO/IEC 38500，ISO/IEC FDIS 38500:2014提供了IT良好治理的原则、定义和模式以帮助最高级别组织的人员理解和履行其在组织使用IT 方面的法律、法规和道德义务。

该标准为组织的治理机构(可包括所有者、董事、合伙人、执行经理或类似机构)的成员提供了关于在其组织内有效、高效和可接受地使用信息技术(IT)的指导原则。该标准包括:

• 责任。组织内的个人和团体理解并接受他们在IT 的供应和需求方面的责任。那些负有行动责任的人也有权执行这些行动。
• 战略。组织的业务战略考虑到IT 的当前和未来的能力;使用IT的计划满足了组织业务战略的当前和持续的需求。
• 收购。IT 收购是出于正当的理由，在适当和持续的分析基础上，有明确和透明的决策。在短期和长期内，在利益、机会、成本和风险之间都存在着适当的平衡。
• 性能。IT 适合于支持组织，提供满足当前和未来业务需求所需的服务、服务水平和服务质量。
• 一致性。IT 的使用符合所有强制性法律和法规。政策和实践有明确的定义、实施和执行。
• 人的行为。IT 团队的政策、实践和决策表明了对人的行为的尊重,包括所有“在这个过程中的人”的当前和不断发展的需求。

该标准规定治理机构应通过评估、指导和监督三个主要任务来治理IT。

• 评估。治理机构应审查和判断当前和未来的使用，包括计划、建议和供应安排(无论是内部、外部或两者兼有)。在评估IT的使用时，治理机构应考虑作用于组织的外部或内部压力，如技术变革、经济和社会趋势、监管义务、合法的利益相关者期望和政治影响。治理机构应根据情况的变化不断地进行评价。治理机构还应考虑到当前和未来的业务需要，即他们必须实现的当前和未来的组织目标，例如维持竞争优势，以及他们正在评估的计划和建议的具体目标。
• 指导。治理机构应负责战略和政策的编制和执行。战略应该为IT 领域的投资设定方向以及IT应该实现的目标。政策应在使用IT时建立良好的行为。治理机构应通过要求管理者及时提供信息、遵守方向和遵守良好治理的六项原则来鼓励其组织中的良好治理文化。
• 监督。治理机构应通过适当的测量系统来监测IT的表现。他们应该保证自己业绩符合战略，特别是在业务目标方面。治理机构还应确保IT符合外部义务(法规、立法、普通法、合同)和内部工作惯例等。