首页 > 人工智能 > 正文

电子政务的IT治理研究

2009-06-26 14:57:19  来源:

摘要:  针对电子政务建设的六个关键要素(组织和角色、流程、安全、风险、审计和评估、标准和法规),本文选择了COBIT、ITIL、ISO/IEC 17799、COSO/ERM和SOX法案5种IT治理支持手段。
关键词: IT治理

  建设电子政务不仅仅是技术层面的工作,它实质上是对政府结构的优化和政务流程的重组,是通过对信息技术的应用而实现政府业务目标即“提高行政效率、创建服务型政府”的过程。因此,决定电子政务是否实现预期目标的关键,在于能否使所有具体的IT目标与政府的业务目标相一致,使所有相关工作都紧密围绕着共同的目标而展开。目前,我国的电子政务建设由于IT治理缺失造成了很多问题,如IT战略目标与政府战略目标偏差、组织保障乏力、政务流程改造不够深入、缺乏风险管理意识等等。IT 治理理论就是专门为解决这些问题而提出的。
  IT治理是目前在企业广泛运用的管理手段,它的目标是帮助管理层建立以组织战略为导向,以外界环境为依据,以业务与IT整合为中心的观念,正确定位IT部门在整个组织中的作用,最终能够针对不同业务的发展要求,整合信息资源,制定并执行推动组织发展的IT战略。本文结合电子政务建设的需求和特点,将IT治理引入电子政务,提出了电子政务的IT治理架构模型,以针对性的解决电子政务中现存的问题,实施善治的政府治理。
  针对电子政务建设的六个关键要素(组织和角色、流程、安全、风险、审计和评估、标准和法规),本文选择了COBIT、ITIL、ISO/IEC 17799、COSO/ERM和SOX法案5种IT治理支持手段。
  COBIT(信息及相关技术的控制目标)对每个IT业务流程,提出一系列的控制目标、相应的实现这些控制目标的控制程序,评价这些控制程序是否存在,并被有效执行的一系列审计程序。
  ITIL(IT基础架构库)描述的是IT部门应该包含的各个工作流程以及各个工作流程之间的相互关系。
  ISO/IEC 17799是信息安全管理的国际标准,对各类信息安全问题的高级别概述,详细说明了建立、实施和维护信息安全管理体系的要求,指出实施机构应该遵循的风险评估标准。
  COSO/ERM,即加入ERM(企业风险管理)框架的新COSO报告,是帮助企业构建以风险管理为中心的内部控制体系的框架的方法。
  SOX法案是IT治理的法制规定,由于IT和财务报告的关联性,IT也需要加强控制以达到SOX合规要求,IT的SOX合规审计必须落实到企业对IT的有效管理控制上来。实际上,在SOX法案的合规要求中,40%在IT控制,60%在财务控制方面。
  在电子政务的实际建设中,问题都是综合的,也是复杂的,仅仅从一个角度出发考虑问题是不全面的,也是不正确的。例如,一套完善的政府信息安全管理体系,应该包括规范化的信息安全管理内容、以风险和策略为核心的建设方法、定性和定量的信息安全管理度量。同时,政府信息安全管理体系应该能够将信息安全管理同信息系统审计、信息系统内控体系、信息技术服务体系相互结合,形成有安全保障的政府信息系统运维管理体系,以真正达到保护政府信息和信息资产的安全,保护业务持续性。一个标准在一个方面是强项,在另一个方面可能就是弱项,将COBIT、ITIL、ISO/IEC 17799、COSO/ERM、SOX法案等多个标准结合起来,发挥整体优势,才能更好地解决复杂的问题。下面将着重阐述这5种IT治理手段之间密切的联系,并将它们融合成为一个整体以构建出完善的电子政务IT治理框架。
  在这5种IT治理手段中,COBIT与SOX法案包含的内容最广,层次最高,本文主要以COBIT与SOX法案为中心介绍它们之间的联系。
  一、COBIT与其它IT治理手段的联系
  COBIT 4.0分析了如何将具体的控制目标划入五个IT管理域,并可识别潜在缺口以使COBIT符合其他标准(ITIL、CMM、COSO、PMBOK、ISF 和 ISO 17799等)。COBIT是一个伞状模型,构建了IT治理的整体框架。
  1.COBIT和ITIL的联系
  COBIT重点关注企业需要什么,而不是企业需要如何做,它不包括具体的实施指南和具体实施步骤。ITIL基于企业的最佳实务(Best Practice),列出了各个服务管理流程“最佳”的目标、活动、输入和输出以及各个流程之间的关系,但没定义范围广泛的控制架构,它关注方法和实施过程。尽管两个标准有着许多的不同之处,但在COBIT和ITIL背后却有着非常一致的指导原则,总体来说,ITIL覆盖了COBIT中40-50%的控制目标。在实际应用中,综合这两个标准可以实现优势互补,更好的进行IT治理。COBIT为每一个过程提供了关键目标指标(KGIs)、关键绩效指标(KPIs)、关键成功要素(CSFs),与ITIL过程相结合可以建立ITIL过程管理的基准。以ITIL为基础的COBIT可以将IT流程、IT资源及信息与企业的策略与目标联系起来,为企业管理的成功提供集成的IT管理,通过保证有关企业处理流程的高效的改进措施,以更快、更好、更安全地响应企业需求。
  2.COBIT和ISO/IEC 17799的联系
  ISO/IEC 17799强调信息安全管理体系的有效性、经济性、全面性、普遍性和开放性,目的是为希望达到一定管理效果的组织提供一种高质量、高实用性的参照,它将安全管理理念渗透到组织管理的每个环节,包括业务的安全管理并不仅仅局限在IT范围,而且它是基于风险管理的安全管理标准。与ISO/IEC 17799不同,COBIT完全基于IT,侧重于IT安全管理是否实现了IT战略目标,即IT安全管理审计。COBIT 4.0注重了与其它标准的兼容,对于ISO/IEC 17799标准,COBIT能够很好的将其纳入IT治理框架。
  3.COBIT和COSO/ERM的联系
  COBIT和COSO/ERM包含很多相同的内容,但是在使用目的和范围以及提供指导的详尽程度等方面有一定差别。COBIT提供了评价支持企业目标的IT技术的内部控制的指导,主要强调IT控制措施与企业目标的关系,COBIT将内部控制视为一个包括政策、程序、实务和组织结构的支持企业完成目标的程序,强调内部控制是一个程序,突出了保证财务报告可靠性这一目标。COSO/ERM提供了可以用于评估内部控制系统的手段,但主要致力于推荐用以检查控制措施的形式和提供所有形式的样本。
  4.SOX法案与其它IT治理手段的联系
  严格来说,SOX法案并不是某种具体的IT治理手段,而是规定企业和组织如何使用具体的IT治理手段以进行合规性实践的法规,因此,它与其他IT治理手段有着密切的联系。法律制度对IT治理的监督是IT治理有效实施的重要保证。目前,我国此方面的法制建设工作严重滞后,经验严重匮乏,我国可以从SOX法案与其它IT治理手段的关系,获得制定相关法律法规的启发。
  二、 ITIL、ISO/IEC 17799与COSO/ERM的联系
  在COBIT与SOX法案的总体指导下,ITIL、ISO/IEC 17799、COSO/ERM虽然涉及的是IT治理的不同方面,但实际上存在着千丝万缕的内在联系,它们不但相互补充,还互为支持手段。ITIL中的安全管理指导方针就是建立在ISO/IEC 17799标准之上的,其中的突发事件流程与问题流程的设计可以从COSO/ERM中的事项识别、风险评估、风险反应中获得指导;ISO/IEC 17799是基于风险管理的信息安全管理标准,因此COSO/ERM可以为其提供更充分的支持,而建立COSO/ERM制度也需要ISO/IEC 17799作为他们的安全规范;ISO/IEC 17799、ISO/IEC 17799要融入具体服务流程环节中,都需要ITIL的指导。
  对于目前的电子政务建设来说,问题不是在技术方面而是在管理方面,因此本文中的电子政务侧重于管理,包括组织和角色、流程、风险、安全、审计和评估、标准和法规六个关键要素。本文根据这六个关键要素构建了电子政务的IT治理架构模型,以解决目前电子政务建设中存在的问题。这里需要注意的是,虽然政府的每个关键要素都侧重对应于某个或多个IT治理手段,但是其它的IT治理手段都对其提供了补充和支持,因此要把IT治理的各个支持手段融合成为一个整体应用到电子政府建设当中。本文构建的电子政务架构模型侧重了IT治理手段在电子政务关键要素中的应用,并将其映射到IT治理手段的相互联系当中,如下图所示:

ITIL


  图中的下半部分直观的表现了上述这5种IT治理手段的相互关系。图中的上半部分为电子政务的组织和角色、流程、风险、安全、审计和评估、标准和法规这六个关键要素与IT治理手段的对应关系,并映射到IT治理手段的关系图中。通过图中所示的电子政务架构模型,我们可以清晰直观地看到电子政务的关键要素与各个IT治理手段的对应关系,可以更加有针对性更加全面的进行电子政务的IT治理。
  (作者单位:中央财经大学)


第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。