IT治理工具的比较分析.pdfVIP

财会通讯 ·学术版 2007 年第 5 期 IT 治理工具的比较分析 甄阜铭 ( 东北财经大学 内部控制与风 险管理研 究 中心 辽宁 大连 116023 ) 摘要 : 本文简 单地介绍 了 、 、 、 、 和 等与 治理有关 的理论, 并针 COSO ERM COBIT Sysperanto ITIL CMM UML IT 对这些理论各 自的特 点进 行 了分析 。同时给 出了这些理论在 IT 治理领域 的应用范 围和作用域 。提 出不 同组织不 同的信 息技术 问题, 需要不 同的 IT 治理理论来指导, IT 治理 的理论模型 需要纵 向整合 。 关键词 : 信 息技术 治理 比较分析 一 、 治理相关工具 IT ( 一) COSO ERM 风 险管理 2001 年, COSO( Co ittee of Sponsoring Organization of the Treadway Co ittee) 委托普 华永道设 计 一种 能被企业 管理层用来评估和改善企业风 险管理 的框架 。COSO 于 2004 年发布了 《企业风 险管理———整体框架 》( 简称 ERM) 的 报 告 。COSO ERM 企业风 险管理框架 中, 企业 的风 险管理框架包括四类 目标和八要素 。四类 目标分别是 战略 目标 、经营 目标 、报 告 目 标和合法性 目标, 八要素是 内部环境 、目标制定 、事项识别 、风 险评估 、风 险反应 、控制活动 、信 息和沟通 、监控, 是企业 实现各 类 目标 的保证, 相互之间存在直接 的关系 。风 险管理框架还 强调在整个企业 范 围 内实行风 险管理, COSO ERM 的管理层 次 比较 高, 但 是 目的 却在于 “能够 向一个主体 的管理 当局和董事会提供合理保证 ”, 出发 点和终 点都是 围绕 审计和会计 的观 点 。COSO ERM 把风 险分为 总和风 险和单一 目标( 或事项风 险) 两个层 次, 作为总和风 险与组织使命相关, 是组织使命 实现过程 中障碍或促进, 是一种综合而不 确 定性 。风 险管理在于把这种不确 定性控制于组织 的风 险偏好, 或者 吸收风 险( 或利用机遇) 。作为单一 目标和单一事项而 言, 存在 事项识别 、应对和控制, 风 险管理把风 险控制在组织 的风 险容 忍度 的范 围之 内。所有事项或 目标构成组织 的使命, 所有事项和 目标 的 风 险构成 的综合风 险, 主体风 险控制是使综合风险在主体 的风 险偏好之 内。但是综合风 险不是总和风 险, 而是风 险 的组合 。 ( 二) ITIL ITIL( IT In frastru cture Library) 是英 国政府 中 央计算机 与 电信 管 理 中心( CCTA) 在 20 世 纪 90 年代初期发布 的 IT 服务管理实践指南 。此后 CCTA 在 管理软件厂商近年来所做 出的一系列实践和探 索 的基础上, 总结 了 IT 服务 的最佳实践经验, 形成 了一系列基于流程 的方法, 用 以规范 服务 的水平 。 为企业 的 服务管理实践提供 了客观 、严谨 、可量化 的标准和规范, 企业 IT ITIL IT 的 IT 部 门和最终用户可 以根据 自己的能力和 需求定义 自己所要求 的不 同服务水平, 参考 ITIL 来规划和制定其 IT 基础架构 及服务 管理, 从而确保 IT 服务管理 能为企业 的业务运作提供更好的支持 。ITIL 是基于流程的方法论, 这些流程方法可用于检查是否用一种 可控 的和