IT治理工具比较分析.docVIP

IT治理工具比较分析 　　摘要：本文简单地介绍了COSO ERM、COBIT、Sysperanto,ITIL、CMM和UML等与IT治理有关的理论，并针对这些理论各自的特点进行了分析。同时给出了这些理论在IT治理领域的应用范围和作用域。提出不同组织不同的信息技术问题，需要不同的IT治理理论来指导，IT治理的理论模型需要纵向整合。 　　关键词：信息技术 治理 比较分析 　　作者简介：甄阜铭(1966―)，男，河北定兴人，东北财经大学内部控制与风险管理研究中心副教授 　　 　　一、IT治理相关工具 　　 　　(一)COSO　ERM风险管理2001年，COSO(Committee of Sponsoring Organization of theTreadway Committee)委托普华永道设计一种能被企业管理层用来评估和改善企业风险管理的框架。COSO于2004年发布了《企业风险管理――整体框架》(简称ERM)的报告。COSO ERM企业风险管理框架中，企业的风险管理框架包括四类目标和八要素。四类目标分别是战略目标、经营目标、报告目标和合法性目标，八要素是内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控，是企业实现各类目标的保证，相互之间存在直接的关系。风险管理框架还强调在整个企业范围内实行风险管理，COSO ERM的管理层次比较高，但是目的却在于“能够向―个主体的管理当局和董事会提供合理保证”，出发点和终点都是围绕审计和会计的观点。COSO ERM把风险分为总和风险和单一目标(或事项风险)两个层次，作为总和风险与组织使命相关，是组织使命实现过程中障碍或促进，是一种综合而不确定性。风险管理在于把这种不确定性控制于组织的风险偏好，或者吸收风险(或利用机遇)。作为单一目标和单一事项而言，存在事项识别、应对和控制，风险管理把风险控制在组织的风险容忍度的范围之内。所有事项或目标构成组织的使命，所有事项和目标的风险构成的综合风险，主体风险控制是使综合风险在主体的风险偏好之内。但是综合风险不是总和风险，而是风险的组合。 　　(二)ITIL ITIL(IT Infrastructure Library)是英国政府中央计算机与电信管理中心(CCTA)在20世纪90年代初期发布的IT服务管理实践指南。此后CCTA在管理软件厂商近年来所做出的一系列实践和探索的基础上??总结了IT服务的最佳实践经验，形成了一系列基于流程的方法，用以规范IT服务的水平。ITIL为企业的IT服务管理实践提供了客观、严谨、可量化的标准和规范，企业的IT部门和最终用户可以根据自己的能力和需求定义自己所要求的不同服务水平，参考ITIL来规划和制定其IT基础架构及服务管理，从而确保服务管理能为企业的业务运作提供更好的支持。ITIL是基于流程的方法论，这些流程方法可用于检查是否用一种可控的和可训练有素的方法为最终用户交付所需的IT服务。ITIL合并了一套最佳的实践惯例，可适用于几乎所有IT组织，无论其规模大小或采取何种技术。ITIL已经成为IT行业服务管理的理论基础，在全球IT服务管理领域得到了广泛的认同和支持。 　　(三)COBIT美国信息系统审计与控制协会(ISACA)从1967年成立时起，就开始研究信息技术的安全控制问题，提出了信息及相关技术的控制目标(COBIT)。该标准为IT的治理、安全与控制提供了一般适用的公认标准，以辅助管理层进行IT治理。该标准体系已在世界多个国家的重要组织与企业中运用，指导这些组织有效利用信息资源，有效地管理与信息相关的风险。COBIT是COSO ERM的补充，目的是使COSO ERM具有可操作性，提供一种可用于管理的有逻辑性的结构。COBIT架构由34个高层控制目标和318个细节控制目标组成，并归集为四个控制域：IT规划和组织、系统获得和实施、交付与支持以及信息系统运行性能监控。COBIT的目标是建立IT与经营目标之间的连接，使IT与企业的经营目标一致。通过定义这些目标可以帮助维护企业业务对IT的有效控制。COBIT使IT与企业经营一致，即经营目标为IT目标。其原理在于企业经营有需求，这种需求要依靠IT资源通过IT流程来实现。为了实现这一目标，COBIT制定了相应的信息标准：效果、效率、保密、完整、实用、合规和可靠。用信息支持企业经营目标的制定，是经营目标制定需求的一种信息标准。IT战略是企业经营战略的组成部分，服务并且服从于企业的经营战略，IT目标介于企业战略目标和企业IT基础之间。COBIT的作用在于，使IT活动成为一种一般化的过程模型，IT风险能够常规化管理；识别主要IT资源的作用和功能，最大化实现IT的价值；定义管理控制的目标，风险有效控制，IT能够正常和正确被使用。COBIT应用成熟度