一、问题提出的背景
我们怎样才能控制信息技术使组织获得所需要的信息?我们怎样管理风险和我们所依赖的安全体系?面对类似的许多问题,我们将对这些战略性的问题进行探讨:
问题是什么?
解决方案是什么?
它是怎样构成的?
它将如何发挥作用?
怎样使用它?
我们认为这些问题可以通过技术手段给予解决,也就是说要通过制定代表信息及其相关技术控制标准来解决。它能够在一定水平上对组织的监控信息保密和控制提供一个整体的实用的可接受标准。
这个标准应包括:成熟的模型、鉴定成功要素、关键目标指标以及关键绩效指标。通过过程和指标这样的工具,使得组织的IT环境变得可度量、可控制,从而满足管理者的需要。
这样做会使在IT和网络方面更好管理起到很多改变。信息系统的灾难和电子欺诈的增加,由IT带来的风险管理现在成为企业管理的关键部分之一。严格的业务过程特别依赖于电子信息和IT系统,成功的业务需要更好地管理遍布于组织中的各种复杂的技术,以便于能够快速、安全地响应业务的需要,另外环境的调整是通过信息进行控制的。
在企业管理中,通过IT和它的过程在风险与汇报的平衡中增加附加值,IT管理在实现组织目标方面的作用变得越来越明显。IT管理通过IT过程、IT资源和信息为企业的战略和目标提供一种架构。IT管理将企业好的(或最好的)计划、组织、获取、实现、传递、支持、监测等方面的实践集成化和制度化,从而保证企业的信息及相关技术支持企业的目标。使得企业能够发挥它信息的最大优势,保证利润最大化,抓住机遇确立竞争优势。
随着IT的相互连接和依赖的增长,电子全球经济也日益增长,全面的风险管理和保障依靠专业的管理实践。在我们复杂的环境中,管理在不断探寻及时浓缩的信息以便在风险和控制方面做出快速和成功的决策。例如:
但是仪表盘需要指示器,计分卡需要测量,而标杆需要比较的权重。这些正是建立信息指标体系的主要目标。
二、构建指标体系相关的问题
对任何组织一个基本要求是理解自己IT系统的现状,以及决定IT系统应提供那些安全和控制。在控制层面上无论是理解或决定都不是直截了当的。以一个组织自己的水平获得某个目标的视图不是件容易的事情。如何度量?怎样度量?就是说,一个组织哪些需要度量,由于IT安全和控制领域持续改善,需要什么样的管理手段和工具来监控这些改进是很重要的。要决定什么是正确水平也同样困难。在组织中的高级管理者经常会问要改善信息基础的控制性和安全性的花费等商业问题,时时为此争论不休并不是件好事情,所有人应该常常问他们自己:我们应当走多远?这种代价可以带来好处吗?
我们认为应该首先给一下问题一个一般指导性的答案:
绩效度量—好的绩效的标准是什么?
IT控制脚本—哪些是重要的?哪些是可评价成功因素是可控制的?
知道—不能达到我们目标的风险是什么?
基准—别人是怎么做的?我们怎样度量和比较?
决定和监视适当的IT安全和控制水平的需求答案有一下几点详细说明:
IT控制实践的基准(称为成熟模型)
IT过程的绩效指标—针对它们的结果和表现
可评价成功因素—获得这些控制之下的过程
三、指标与工具
信息指标体系的构成基于现有的IT架构、控制目标和审核指南,还包括已经使用的基于绩效管理、平衡计分卡原则。通过它们定义可识别和度量过程的关键目标指标、评定怎样更好地处理通过度量过程能力的关键绩效指标。我们的信息服务受控于环境,IT已经成为事务的主要角色。因而,事务的目标及其度量与IT的目标及其度量之间的关系将变得非常重要,可以描述为:
简单情况下,这些度量将帮助管理者通过回答下列问题在监视他们的IT部门提供帮助:
1、 管理者关心的是什么?
确认企业需求全部满足。
2、 企业测量放在哪里?
在事务平衡计分卡上的每个关键目标指标,表示过程的一个结果
3、 IT关心的是什么?
IT处理和传递企业基本的适时的信息,使企业的需求得到满足。这是企业的一种评估成功要素。
4、 IT测量结果放在哪里?
在IT平衡计分卡上,作为表示IT成果的关键目标指标是通过适当的标准(效力、效率、机密性、完整性、可用性、服从性和可靠性)来传达的。
5、 其他还需要测量什么?
一系列评估成功要素需要度量,如同IT运作的关键绩效指标肯定影响最终的结果。
对IT处理进行控制的成熟模型是由一些改进的计分方法构成,一个组织可以从不存在到满意(0到5)进行分级。这种方法来源于软件工程研究院定义软件开发成熟度的成熟模型。根据这些标准,可以将成熟度模型描述如下:
组织当前的状态---当前组织在哪里
行业当前的状态(最好的)--比较
国际标准的当前状态—进一步比较
组织战略的改进—组织想成为什么
下面的图表示了这个模型的量化程度:
主要关键的评价因素应当包括:
1、评估成功因素(CFS):在IT处理中可控的最重要的事件或行为。它们必须是基于执行方针可管理的,标识要做的最重要的事情,如战略上的、技术上的、组织上的或流程上的。
2、关键目标指标(KGI):事后告诉管理者关于IT处理是否达到了业务需求的度量,通常用一些信息标准表示:
满足业务需求的信息的可用性
缺乏集成性和保密性的风险
处理流程和操作的性价比
可靠性、效力和兼容性的确认
3、关键绩效指标(KPI):确定IT过程怎样使目标达到的度量,是目标能否达到的引导指标,代表能力、执行和技能的好指标。
评估成功要素、关键目标指标和关键绩效指标是精练的,它们描述了IT怎样通过传递业务需求信息帮助业务运转。
总之,这样的体系是遵从以行为为导向和一般管理原则的,是需要维护控制企业信息及其相关的过程和技术:
MATURITY MODELS 用于战略选择和对照标准
CSF用于获得控制下的过程
KGI用于监测IT目标发展的成绩
KPI用于监测每一个IT发展的绩效
在一个正在增长的电子商务和技术依赖的年代,组织不得不必须达到安全和控制的新标准。每一个组织必须理解他自己的绩效,必须度量它的发展。基准和度量过程是同等的,而IT安全和控制的竞争新标准是达到企业的战略的一个途径。通过成熟模型、实用和可评估的成功因素、推荐的绩效度量,我们要回答一个永恒的问题:
什么是支持企业目标的适宜的IT控制标准?
四、模型设计
在法人或公众组织中的高级管理者经常被迫思考控制信息组织的资源费用,很少人会争辩这不是一个很好的事情,所有人必须问他们自己:
我们应当走多远,利润支付得起这种花费吗?
为了帮助回答这个问题,可以先问一系列相关的问题:
现存的国际认同的标准是什么,它们有我们怎样的关系?
其他人在做什么,他们有我们怎样的关系?
行业最好的实践是什么,我们怎样得到这种最好的实践。
基于这些外来比较,我们能采取可靠的防范措施来保护我们的信息资产吗?
这些问题通常没有有意义的答案,因为必需的衡量工具并不好用。
为了寻找一种有效的基准和自测试工具,使管理者能够从IT过程和高标准的控制目标出发,过程增加控制目标的基准。需要考虑三个需求:
(1)与组织相关的度量在哪里
(2)决定走向哪里的有效方式
(3)面向目标度量进程的工具
另外过程的所有者应当能够决定控制对象的紧密程度是快速的自评估还是与一个独立对象的参考。这些评估中的任何一个都应当与它们所处的行业和环境做比较,或者与国际标准做比较。为了使结果在管理易于使用,即对于未来的计划它们代表一定的意义,需要提供图形化的表达方式。
为了控制IT过程,成熟模型的处理由一些逐步完善的计分方法构成,以便于一个组织能够从不存在到最优化分出级别来(从0到5)。无论什么样的模型,都不能把权重划分过小,那样会让系统很难使用而达不到判断的目的。
相反,一个人应当专注于一系列能清楚遇到的条件上的成熟度层次。这样可以把这个模型映射成:
数字解释:
0—管理程序没有全部应用 1 ---过程没有很好地组织
2—遵从一般的模式 3 –过程被文档化并可沟通
4—过程可被监视和度量 5 --可以遵从并自动执行的习惯
针对IT过程的每一部分,都有一个从0到5额度的增量度量等级。这个等级与成熟模型中从“不存在”到“最佳”相一致,如下所述:
综合成熟度模型
0 不存在 完全缺乏对程序的任何辨识。组织甚至没有辨认出重要定位。
1 初始化 有证据表明组织已经辨认出议题存在而且需要被定址。然而基于一个独立事件或就事论事而非标准化的处理倾向,将全面破坏组织。
2可重复 过程发展到一种相似的规程可以由不同的人担当相同的任务的阶段。个体不在有对过程和责任的正式的培训或通讯,基于个体知识的高度信任,因而错误有可能发生。
3定义 过程已经被标准化和文档化,通过培训而沟通。对个体而言只剩下遵循这些过程,而且不太可能背离它。过程本身只不过是现存实践的形式化,并不复杂。
4管理 有可能监视和测量符合规程的做法,并在过程不能有效工作时采取行动。过程一直在改进并提供好的实践。自动化和工具只是有限的和零碎使用。
5最佳 基于持续改进和以组织其他模型的成熟度的结果,程序已经被精炼到一个最好的实践层次。IT以一种整合的方式使工作流自动化,提供改进质量和效率的工具,使企业快速适应市场。
五、结论
本文只是对信息的指标体系描述了一个基本的框架和概念,还很不完善和成熟,需要做进一步的工作。一个针对IT管理的一般性的框架,其中的度量标准需要实践应用而且很容易理解。然而有关IT管理中的风险和适度控制过程并不很精确,也不需要机械地按照是软件工程的成熟度模型进行。但是要使IT在企业管理中发挥应有的作用,这样的指标体系是应该建立起来的。
