IT服务管理培训
IT服务管理培训讲师:谭小琥
谭小琥老师
助理电话:13733156404
老师介绍:
品牌策略营销专家
清华大学特邀讲师
世界华人500强讲师
中国金牌管理咨询师
国际注册企业教练(RCC)
中国式沙盘模拟培训第一人
授课风格:
演说家的风采、战略家的气度、理论家的才华。
谭老师的培训课程:理论与实践相结合,非常有效,使我们受益很多。
——中国移动集团
讲师风格个性化,易听;易懂;易执行。
——南方石化
谭老师很多实用的方法能直接用到工作中,在很大程度上提高了我们的沟通效率与管理能力。我们会再请谭老师给我们进行三天的培训。
——绿城集团
告别理论讲教、推崇实务操作、亲历案例分享、实战经验传导。
——中海石油
谭老师是集演说家、战略家、学者型于一身的魅力讲师!
——联邦家居
写作经历:
谭先生多次在国内外管理类刊物上发表极具影响力的文章,包括《哈佛商业评论》、《经理人》、《销售与市场》、《商界》等;同时担任全球品牌网、营销传播网、价值中国网等网站专栏作家。
《IT服务管理:概念、理解与实施》
《IT服务管理:概念、理解与实施》是我国首部IT服务管理(ITSM)领域的专著,该书为国内企业驾驭IT服务管理提供了重要的参考资料,对推动国内企业运用科学的管理工具和思路更好地管理其现有的IT架构具有重大指导作用,它从制度,人员和技术三方面入手,全面阐述了IT服务管理的理论和实践。书中不仅介绍了IT服务管理这一全球最新的IT管理方法的产生、发展过程及其理念,深入阐述了实施IT服务管理的方法、应用软件及工具集,并首次披露了我国企业实施ITSM的经验和教训,因此,该书是我们了解IT服务管理和指导实践的必备佳作。 本书不仅适用于CIO(ITIL认证是全球公认的CIO证书)、IT战略规划主管、政府和企业管理人员、IT咨询顾问、注册会计师、系统运维主管,还是准备通过ITIL认证考试人员的必备参考佳作,更可成为高等院校从事信息化管理教学研究的师生的参考文献。
《IT服务管理:概念、理解与实施》目录
概论 7 IT服务管理的产生和发展 7 IT服务管理的产生背景 7 IT服务管理产生的必然性 9 IT服务管理的发展过程 11 IT服务管理的定义和范围 12 IT服务管理的定义 12 IT服务管理的核心思想 13 IT服务管理的基本原理 14 IT服务管理的范围 15 IT服务管理的价值 16 商业价值 16 财务价值 16 员工的受益 16 创新价值 17 IT服务管理价值链 17 价值链再造 17 卡位价值链 18 IT服务管理与企业信息化 18 信息化的“冰面” 18 IT服务管理作为“破冰船” 19 IT服务管理领域的国际进展及在我国的发展现状 20 国际进展:用数字说话 20 国内现状:形势不容乐观 21 第2章 IT服务管理基础知识 23 服务和服务管理 23 服务管理的定义和产生背景 23 服务管理的特征 24 服务战略 24 服务设计 25 服务运营 25 服务利润链 27 服务三角形 27 服务质量和服务质量管理 28 服务质量的定义 28 服务质量要素 29 服务质量差距 29 流程和流程管理 31 流程的定义和意义 31 服务流程模型 31 流程的规模和范围 32 最佳实践 33 为什么要采用最佳实践 33 最佳实践的结晶:ITIL 34 IT服务管理知识框架体系 35 ITIL的产生和发展 35 ITIL的特点 36 ITIL各模块的含义 39 ITIL与ITSM之间的关系 42 第三章 IT服务管理理论(1):服务提供 44 概述 44 服务提供流程的基本内容 44 服务提供流程的特点和功能 44 服务级别管理 45 基本概念 45 目标和范围 46 职责和功能 47 主要活动 47 效益、成本和问题 50 IT服务财务管理 51 基本概念 51 目标和范围 52 职责 52 主要活动 53 成本、效益和问题 57 能力管理 59 基本概念 59 目标和范围 59 职责和功能 60 主要活动 60 成本、效益和问题 64 IT服务持续性管理 65 基本概念 65 目标和范围 66 主要活动 66 成本、效益和问题 71 管理报告和关键绩效指标 72 可用性管理 73 基本概念 73 目标和范围 74 职责和功能 75 主要活动 75 可用性管理方法与技巧 80 效益、成本和问题 83 第4章 IT服务管理理论(2):服务支持 85 概 述 85 服务支持流程的基本内容 85 服务支持流程的特点和功能 85 服务支持流程与服务提供流程的关系 86 服务台 86 基本概念 86 服务台的必要性 87 职能 87 与其它流程的关系 87 服务台的构建模式 88 主要活动 92 服务台的典型角色和关键评价指标 94 事故管理 95 基本概念 95 目标和范围 99 主要活动 99 效益、成本和问题 105 关键绩效指标 106 问题管理 106 基本概念 106 目标、范围和职能 108 问题管理过程 108 问题控制 109 错误控制 111 主动问题管理 112 管理报告 113 效益、成本和问题 113 配置管理 115 基本概念 115 目标和范围 117 主要活动 117 成本、效益和问题 120 管理报告和关键绩效指标 121 变更管理 122 基本概念 123 目标和范围 124 主要活动 125 成本、效益和问题 130 管理报告和绩效指标 131 发布管理 131 基本概念 131 目标和范围 132 主要活动 133 成本、效益和问题 136 管理报告和关键绩效指标 138 第5章 IT服务管理方法 139 概述 139 微软的管理运营框架 139 微软企业服务框架 139 MOF模型简介 140 MOF流程模型 141 MOF团队模型 145 MOF风险模型 148 MOF与ITIL之间的关系 150 惠普的IT服务管理参考模型 151 模型简介 151 模型原理 151 流程介绍 153 PinkRoccade的应用服务库 159 应用管理的原理和方法 159 ASL的框架 160 ASL的流程 161 应用管理专家 164 联盈数码的IT服务管理模型 165 国外“最佳实践”的本土化 165 联盈数码IT服务模型简介 165 第6章 IT服务管理工具 168 IT服务管理工具简介 168 为什么需要服务管理工具 168 工具不是万能的 169 IT服务管理工具的分类 169 软件的评价和选择 170 一般评价标准 170 其它要注意的问题 171 第7章 IT服务管理实施方法论 172 实施IT服务管理的必要性和可行性分析 172 必要性分析 172 可行性分析 173 实施IT服务管理可能碰到的问题 173 确立远景目标 174 ..1 确立服务管理远景目标 174 宣传和推广远景目标 174 授 权 175 设定方向 176 评估现状 176 IT部门成熟度 177 体制变革 177 利益相关者及其需求 178 确立目标 178 计划如何实现目标 181 从哪里开始 181 加强沟通和理解 182 管理组织变革 182 管理文化变革 185 实施角色 187 培 训 189 确认是否达到目标 189 持续改进 190 第8章 IT服务组织设计 192 组织理论简介 192 组织的定义和重要性 192 组织的构成 192 影响组织设计的因素 193 传统的组织结构模式 194 服务组织的设计 196 IT服务组织结构和设计 197 传统的IT组织(部门)结构模式 197 面向服务的IT组织结构模式 198 IT服务组织的人员和角色 198 任务 198 角色 199 人员 200 IT服务组织的文化 201 什么是组织文化 201 为什么要建立服务文化 201 如何形成服务文化 202 IT服务人员培训与发展 203 为什么要培训 203 什么人要接受培训 203 什么时候进行培训 204 怎样进行培训 204 培训的内容是什么 205 IT服务组织:变革和实施 205 制定组织变革规划 205 进行组织变革 208 评审组织变革效果 208 组织变革的成本、效益和风险 209 IT服务组织设计案例研究 209 案例研究1:小规模IT组织 209 案例研究2:大规模IT组织 210 第9章 IT服务外包管理 212 IT服务外包的历史背景与现状 212 历史背景 212 国外发展现状 212 国内发展现状 213 IT外包管理概述 214 IT服务外包的分类 214 IT服务外包的选择动因 216 IT服务外包的基本阶段 217 外包风险管理 223 外包风险种类 223 外包风险管理 224 外包合同管理 227 外包合同类型 227 外包合同条款 228 外包关系管理 233 外包关系的类型 233 外包关系管理的要点 234 外包关系管理机制 235 伙伴关系管理 238 附录1 ITSM网上资源导航 241 附录2 中国银行广东省分行IT服务管理案例 243 附录3 中国信达资产管理公司IT服务管理案例 246 附录4 某省通信公司支撑系统服务管理案例 254
《IT服务管理:概念、理解与实施》封底推荐语
赞 誉 国内外的CIO们一致同意这样一种观点,那就是IT组织必须更加灵活地适应他们业务的需求。现在,IT服务管理成为实现IT基础架构与业务目标统一的关键,并可以有效地降低IT管理的成本。本书作为国内IT服务管理领域的首部专著,不仅介绍了IT服务管理这一全球公认的IT管理方法的产生、发展过程及其理念,还深入阐述了实施IT服务管理的方法、应用软件及工具集,并首次披露了我国企业实施IT服务管理的经验和教训。这里面也包括众多知名公司以及CA公司的IT服务管理解决方案和在中国的实施案例,这些宝贵的经验希望为更多的国内朋友所借鉴。
——冠群电脑(中国)有限公司 中国区总经理 技术对于企业信息化固然十分重要,但管理和文化才是我国企业最需要借鉴和提高的关键方面,对于未来的CEO和CIO尤其重要,特别是像基于ITIL的IT服务管理这样凝聚着全球先进企业IT管理最佳实务结晶的标准,更具有借鉴意义。《IT服务管理:概念,理解与实施》一书从制度,人员和技术三方面入手,全面阐述了IT服务管理的理论和最佳实践,我认为这本书的出版, 为国内企业驾驭IT服务管理提供了重要的参考资料,对推动国内企业运用科学的管理工具和思路更好地管理其现有的信息系统具有重大指导作用,我很乐意向CEO、CIO和IT咨询顾问等人士推荐此书。
——联想集团高级副总裁兼CIO 王晓岩
《IT服务管理:概念、理解与实施》序
伴随着信息技术的快速发展,全球信息化浪潮也席卷了世界的每一个角落。毫无疑问,这股浪潮正在并必将继续对人类的思想观念和生活方式产生深远的影响。目前,我国正在推行“以信息化带动工业化”战略,而这一宏观战略的实现有赖于作为微观经济主体的企业实现其自身业务运作的信息化。事实上,我国已经有越来越多的企业认识到,将企业信息化战略融入其总体发展战略对于提升其业务运作层次和企业的综合竞争能力是极其重要的。 就目前我国企业信息化应用状况来看,IT技术的快速发展使得一部分人产生了如下的思维定势:如果采用了最新的技术,就能够(或容易)取得信息系统的成功。换言之,如果信息系统建设不成功,多半是因为没有采用最新的技术。但是,我们不断地看到这样的案例:一些企业尽管不断地试图采用最新开发技术,然而它们的信息系统仍然没有逃脱失败的命运。这表明有些企业对信息化的认识尚存在一个较大的误区。由于这种误区的存在,同时也导致了整个信息产业结构的倾斜,即整个信息产业偏“硬”。 事实上,从国际上发达国家信息产业发展的情况来看,要使信息技术能够真正地优化企业的业务运作,除了要有先进的设备和技术外,还必须要有良好的配套服务保证IT和企业业务实现最大程度的整合。只有这样,才能让企业信息化发挥真正的效益。我国很多企业在实施信息化战略时,往往出现IT投资巨大却没有取得应有的效益,其微观原因在于企业在进行IT投资时没有重视IT与业务需求的结合,而其宏观原因则在于整个信息产业内缺乏足够的提供IT相关服务的企业。 要改变这种结构性失衡,必须引导信息产业向“软”的方面发展,即大力发展IT服务以促进整个信息产业的结构性升级。具体来说,是要实现两个转变。一是从“以产品为中心”向“以客户和服务为中心”转变,二是从“以技术创新为主导”向“服务创新和技术创新并重”转变。 但是,中国作为发展中的大国,如何有效实现这两个转变,是我国企业和政府正在探索中的问题。越来越多的企业认识到IT服务的价值,并进行了多方面的探索和实践。可是其效果就目前来看,并不是很理想。造成这种状况的一个重要原因,是因为大部分企业提供IT服务的过程还停留在“粗放式”的阶段,缺少成熟有效的方法的指导。而IT服务管理(ITSM)作为一个在国际上发展多年并取得很大成功的领域,其所倡导的标准化方法和流程,则为我们提供了一种较好的思路。我们应当充分发挥后发优势,在吸收国际的先进管理理念和方法的基础上,进一步开发符合我国企业情况的、有中国特色的IT服务管理体系。 信息化建设要用新的观念、新的思路、新的理论来推进,我很高兴地看到,已经有越来越多的企业和研究机构在推动这方面的研究和应用。今年10月份在北京举办的“中国IT治理论坛”就对有关企业和组织前期推广IT服务管理所取得的成果作了一次很好的总结。由中国电子信息产业发展研究院组织有关信息化专家共同撰写的《IT服务管理:概念、理解与实施》一书,在引进、消化和吸收国际上先进的IT服务管理方法论和最佳实务的基础上,很好地结合了我国的国情,全面介绍了IT服务管理这一全球公认的IT管理方法的产生、发展过程及其理念,深入阐述了实施IT服务管理的方法、应用软件及工具集,并辅以我国企业实施IT服务管理的典型案例,因此,本书具有较强的现实指导意义。我希望《IT服务管理:概念、理解与实施》一书的出版,能进一步促进IT管理方法的推广和普及,在我国的信息化建设中发挥其应有的推动作用。
中华人民共和国信息产业部副部长 苟仲文
《IT服务管理:概念、理解与实施》前言
现代信息及通信技术正在以惊人的速度改变着世界,一个全新的信息时代已经到来。尤其是互联网的诞生,则更加速了人们的工作方式、生活方式、娱乐方式及人际交往方式的网络化,信息技术正在以其无比的渗透力和先进的工具性影响着社会经济的方方面面。作为社会经济细胞的企业,也同样面临着信息技术革命所带来的机遇和挑战。随着经济全球化的进一步加快,新一轮产业结构调整正在进行,信息化无疑将成为提高企业整体素质和核心竞争力的重要选择。 目前,我国正在推行“以信息化带动工业化”战略,企业也越来越意识到运用信息技术对于升级传统业务运作模式的重要性。信息技术的运用能否真正提升企业的核心竞争力,并不完全取决于企业在信息技术产品方面的投入,而更为重要的是对信息技术的运用过程进行管理。这也就是人们常说的“三分技术、七分管理”。信息化浪潮不仅在于推动信息技术的开发和应用,更重要的是推动了企业组织结构和管理模式的变革。 然而,许多企业在实施信息化战略时,一味地追求“技术高消费”,而忽视了对信息技术的管理和内部业务流程的变革。有些企业虽然实施了一些系统管理和信息管理,但其侧重点仍然只是侧重于事后的技术支持和故障解决方面。随着组织业务对信息技术的依赖程度的加重,以及“即时响应”、“随需而变”、“柔性化”、“高可用性”和“客户导向”等要求的提出,组织在IT建设方面的成本越来越高,而其产生的效益却越来越难以满足现实的要求。 因此,人们逐渐认识到,IT建设方面的巨额投入并不等于企业就实现了信息化,缺乏有效的管理是目前企业信息化建设的“瓶颈”。而实现有效的IT管理,需要企业IT管理人员自身定位发生转变,即从传统的“救火”职能型向“量体裁衣”职能型转变。具体来说,就是要求IT管理要在考虑企业实际的IT需求的基础上通过业务流程重组和内部管理变革实现IT和业务的最大程度的整合,从而使IT成为真正能够支持组织业务运作的第一驱动力。这就是近年来受到越来越多关注的IT服务管理(ITSM)所要达到的目标。 IT服务管理(ITSM)不同于传统的IT管理的最重要的特征在于,强调IT和业务需求的有效融合同时注重IT投入的成本和效益。从信息系统建设前来看,IT服务管理需要针对组织业务和客户的真实的可用性需求对IT基础架构配置进行合理的安排和设计,避免盲目的IT投资和重复建设;从信息系统运作以后来看,IT服务管理需要通过事件管理、问题管理等流程支持IT基础架构和组织业务的持续运作,保证IT资源的有效利用和业务运作的高可用性、高持续性和高安全性。IT服务管理将所有IT投入纳入统一核算,为考核IT服务的成本和效益提供了可靠的评价依据。 在国际上,早在上个世纪80年代末就开始了IT服务管理方面的理论研究和实践探索。由英国商务部(OGC)组织开发的ITIL(IT基础架构库)是ITSM领域国际上的事实标准。在欧洲其他国家,如荷兰等也在大力推广和应用ITSM的理念和方法。国际上相关ITSM的出版物也越来越多。可是,这些出版物都是基于国外的ITSM“最佳实践”而编著。这种现状与我国企业对国际上先进的信息技术管理方法和理念的迫切需求是不相适应的。如何尽快地熟悉国际上ITSM领域的研究成果并开发和制定适合中国企业信息化现状的IT服务管理“最佳实践”是广大IT界和管理界人士的共同任务。本书编著者正是在这一使命感的推动下,并广泛结合国内企业IT管理现状和实践的基础上编著了国内第一本ITSM方面的出版物。 我们编著本书的目的有三个:第一,推动企业IT管理的理念革命,使人们了解从传统的IT管理到IT服务管理转变的必要性和必然性,从而推动IT服务管理在国内的发展和应用;第二,为关注ITSM的人士提供一本基础的普及性中文读本,使人们了解ITSM和ITIL的核心思想、理念和方法,促进进一步的研究和发展;第三,为企业实施IT服务管理提供一个基本的思路和框架,帮助企业界人士了解IT服务管理实施的途径和方法。 全书由孙强、左天祖进行整体架构与思路的分析设计。初稿第一、二章由左天祖撰写,第三章由刘伟、孙强、孟秀转和王东红撰写,第四章由左天祖、刘伟和章斌编著,第五章由孙强、左天祖和王东红编著,第六、七、八章由左天祖编著,第九章由郝晓玲和孙强编著。案例及附录由孙强和左天祖修订整理。全书最后由孙强、左天祖和刘伟统纂定稿。 在本书写作和出版过程中,我们要感谢许多单位和个人,如中国电子信息产业发展研究院的罗文先生,中国信息化推进联盟的刘献军女士和陈拂晓先生,IBM公司的迟振先生,CA公司的谢春颖女士、刘丁先生,联盈数码公司的杨凯程先生和刘多先生,以及《中国计算机用户》杂志社的段永朝先生。还要特别感谢赛迪顾问的郝亚斌先生,以他的远见和无私精神提供给我们珍贵的协助。最后,但绝非最不重要的是,我们希望对各自家人的爱和支持表达感激之情。完成本书占去了我们过去两年中的大部分时间,而其中一些时间本应该留给家庭生活的。 由于信息技术突飞猛进,IT服务管理所涉及的体系范围非常广泛,书中有一些没有进行深入讨论和清晰阐述的问题,读者朋友可以通过访问中国IT治理论坛()或(), 查看最新的资料,其中包括国内外众多知名公司或协会组织专为本书提供的丰富的软件和案例等,我们也希望能够通过以上的互动网络平台,与更多读者朋友一起交流探讨。对本书内容有任何建议或意见,请填写读者调查表(可从上下载)或发电子邮件至:孙强(sun6869@)或左天祖@),您将成为中国IT治理论坛高级个人会员,并有机会获赠全套丛书。
走有中国特色的IT治理之路(代跋)
建立完善的信息化监管与服务制度框架体系 走有中国特色的IT治理之路(代跋) 近年来,“信息化带动工业化、工业化促进信息化”的战略国策日益深入人心,信息化应用取得了世人瞩目的成就。与此同时,信息化建设和推进中深层次机制上的矛盾和问题,也受到了越来越广泛的关注。这些问题包括:如何将IT战略与业务战略相融合?如何从公司治理的高度,对企业信息化做出制度安排?如何从战略投资、企业管理变革的角度,降低IT的风险?信息中心的转制与走向如何?如何利用发达国家和本国信息化的最佳实践,指导行业和企业的信息化推进等工作? 目前,发达国家的IT产业发展有了一些新的、值得关注的动向,这些战略层面的动向,将对IT产业和信息化的理论与实践产生重大的影响。用一句话来概括,这种动向就是——从制度、战略、规范和标准的高度,重新看待IT的定位、作用和价值。以“IT治理”为核心,涵盖信息系统审计、信息安全管理、IT服务管理及IT项目管理,着重研究IT发展与企业发展在治理结构、企业战略、企业运营管理、风险与价值、成本与控制、审计与监管、服务标准和规范等方面的新问题、新知识和新方法,势必会对未来IT产业的发展,以及推进我国信息化建设有着十分重大的意义。
国际和国内背景 1999年6月,世界银行与经济合作与发展组织为推动世界范围内公司治理理论的发展签署了理解性备忘录。随着美国的安然、世通、施乐、Tyco, Adelphia, ImClone及我国银广夏和蓝田股份等一些公司丑闻的爆发,公司治理逐渐为大多数人所关注。突然间人们意识到一个企业的治理机制是多么重要。一旦公司治理链条有一个环节出现问题,就会引发一系列失败,如陷入困境、破产等等。在这种情况下,全球股价走低并且几乎没有反弹的迹象就不足为奇了。2002年发布的美国萨班斯—奥克斯利法案,新增了许多加强公众公司治理的规定,包括要求公司报告其内部控制体系。然而这个要求公司报告其内部控制体系法案,没有详述在确保公司治理效率方面IT的地位。 在国内,IT产业和信息化应用已经步入了深化、整合、转型和创新的关键时期,信息技术与信息系统对企业组织形态、治理结构、管理体制、运作流程和商业模式的影响日益深化;政府机构、企业组织对信息技术和信息系统的依赖性在日益加强;信息系统的安全、管理、风险与控制日益成为突出的问题;IT与业务应用的融合,是未来发展的核心;信息化应用的关键词是:持续性、创造价值、风险与控制、整合、绩效管理。在这样的共识下,我们看到:越来越多的目光,聚焦在治理、审计、服务管理、风险与控制、安全等关键词上。越来越多的最佳实践,汇聚成日益丰富的新兴知识体系和方法框架。这些领域正在为IT产业和信息化开辟新的领域,成为IT产业和信息化在健康规范的轨道上运行的制度保障。
国际上IT治理的发展历程 国际组织和各国普遍认为公司治理机制对世界金融市场的稳定及经济发展发挥了至关重要的作用,这直接促进了IT治理机制的形成与发展。在1999年,BIS发布了Internal Control: Guidance for Directors on the Combined Code( Turnbull Report, 1999)报告。该报告认为:企业风险来自于许多活动,不只是财务风险,因为事实说明,在金融界所有过去的风险问题都是由内部控制疏忽、信息技术失败引起的,而且所有企业最终依靠对信息技术基础设施的依赖和新技术风险的脆弱性,并呼吁高层领导树立风险意识。从此,公司治理和风险管理成为企业所有者与管理者日益重要的问题。该报告引入了内部控制的要求,对许多组织而言,信息与其支持技术代表该组织最有价值的资产,而且,竞争和不断变化的商业环境也要求企业能够充分利用信息技术实现更快的交付和更低的成本。因此,有效的公司治理和风险管理必然需要有效的IT治理和IT风险管理。与此同时,BIS还简单陈述了关键的信息系统,如何确保治理应该有效、透明,这也意味管理IT相关风险,实现IT价值的交付成为公司治理中重要的组成部分。 1999年下半年,ISACA成立了IT治理研究院,专门研究IT治理的概念,并提出COBIT模型和最佳实务,帮助企业领导层认识有效实施IT治理的必要性与益处,从而保证长期的可持续的成功,并且增强利益相关者的价值。目前,该体系已在世界100多个国家的重要组织与企业中成功运用,指导这些组织有效利用信息资源,有效地管理信息相关的风险。
对IT本质的新认识 我们长期以来致力于信息化建设中深层次机制问题的研究,研究表明:推动信息化同样是“制度重于一切”,例如,建造一个信息系统是容易的,让这个系统有效地运转起来则是现实的难题。决定信息系统是否有效运转的因素不是信息技术,而是制度、组织结构、规则与标准,最终是人。因此,在这些因素之上,需要合理有效的制度安排。由此,我们认识到良好的公司治理对信息化建设成功的重要性,也可以说建立现代企业制度及良好的公司治理是信息化建设成功的必要条件,反过来,我们也非常清楚地看到在公司治理过程中IT的重要作用。在此基础上,中国信息化推进联盟在今年十月成立了IT治理专业委员会,此后,我们对IT的本质及IT治理对政府或企业的重要性有了新的认识,这些认识可以总结归结为以下三点:
1. IT可以增加利益相关者价值。
信息是有价值的,和其他无形资产(如人力资本、品牌与管理质量等)一样,是企业核心竞争力的一部分,这些资产的运转都离不开IT的应用。目前,越来越多的企业管理层认识到一个组织的信息资产及其利用信息资产能力的战略重要性。这些无形资产的重要性的增加,必然要求人们在如何为利益相关者创造价值方面重新定位信息技术。 但是,IT并不是改善管理、业务流程、工作实践的万能工具,任何IT项目如果无法协助公司达成业务战略目标,那么对这个公司而言就没有任何价值。事实上,国外的研究表明,公司收益率与其在IT方面的花费完全没有关系,IT就像其他工具一样,必须通过有效的应用才能体现价值,因此,关于IT投资战略与业务战略的一致性就是一个非常值得探讨的课题。
2. IT是实现业务目标的基本要素。
没有持续、有效的IT应用,没有业务应用与IT的一致融合,业务目标是无法实现的,甚至一些企业将无法生存,如银行、航空公司、通讯和媒体等,他们依赖于建立在IT基础上的各种商业模型,诸如供应链管理等,没有IT支持,他们难以实现业务流程自动处理,实现现金流,同样,没有IT他们也难以达到合同服务水平等。
3. IT占用大量的投资,并给企业带来风险。
IT占用大量投资,具有很大的风险,这要求管理高层要特别重视IT投资。如努力使IT战略与公司业务目标一致,采用新技术,采用广泛且有效的流程变革等。
结论和建议 从以上的分析可见,在信息时代,信息资产和知识资产是企业最具价值的核心资产要素;信息化是一个需要从治理层面予以关注的战略问题;信息化需要监管、制衡和审计;信息化管理需要规范和标准。 以信息安全管理为例,已有国际标准ISO17799,我国的国家标准应如何与ISO17799接轨?又如IT服务管理,凝聚着全球众多企业最佳实务的结晶,已经成为事实上的国际IT管理标准,我们应当如何看待、吸纳、消化这个对于国内尚是新兴的领域知识,并形成对国内信息化建设管理指导性、监督性和服务性的制度框架和知识体系?我们如何培养自己的信息主管(CIO)、信息系统审计师或信息安全管理顾问?他们具有什么样的职能、职责和工作规范?这些问题都是亟待从国家战略的高度,综合政策、法规、行业规范、知识传播、应用推广、学术交流等各个层面的工作,有序推进的一件大事。 我们的建议可以归纳为建立完善信息化监管与服务制度框架。这是一项系统的工程,任何从技术、业务、管理和战略单一层面解决问题的努力都是无效和失败的,因此,应该建立完善的信息化监管与服务制度框架体系,这一完善的体系里应该有四方面:
IT项目管理;
面向集成商的资质管理;
第三方的监理与审计服务;
面向用户的管理标准规范,包括IT服务管理和信息安全管理。
在这四个方面,IT项目管理是后三者共同需要的管理手段,面向集成商的资质管理已经为我国信息化市场的规范发展发挥了良好的促进作用,第三方的监理服务正在有序推进,现在急需加强的是对信息系统运营阶段的审计和面向用户的管理标准规范,这些领域都已有相应的国际标准,我们可以在借鉴消化的基础上,建立符合国情的对应标准。具体标准规范如下:
一、 IT项目管理、信息系统审计、IT服务管理及信息安全管理标准规范。 二、 IT项目管理、信息系统监理和信息系统审计软件。 三、 监理工程师和信息系统审计师职业规范体系的建立。 四、 监理、审计行业管理体制研究。 五、 监理、审计公司内部管理机制研究。 六、 监理、审计职业规范指南——质量控制。
设计该系统应考虑以下方面:
经营理念
组织结构
建立、健全质量控制系统的政策与程序
沟通质量控制程序的方式
监理、审计公司的规模
现行质量控制系统
所提供专业服务的性质
负责人及监理、审计人员执业的自主性程度
监理公司的区域分布等
总之,在市场经济条件下,政府的作用是加强“引导、规范、监管、服务”,而信息系统工程的突出特点是投资和风险都很巨大,因此对其进行合理规范、监管与服务显得尤为重要。目前信息产业部已经或正准备出台信息系统工程监管与服务的一系列办法,如信息系统工程集成资质、监理资质、咨询资质、绩效评估等,对信息系统工程的质量起到了很好的制度保障作用。然而,各方也普遍认识到这些制度需要与时俱进。因此,研究与探讨国际上IT治理与管理的先进经验,走有中国特色的IT治理之路,建立有中国特色的相对完善的信息系统工程监审制度、IT服务管理标准以及信息安全管理标准,规范信息化建设市场的秩序,保证信息系统工程的质量,降低风险,提高信息系统工程的效率与效益,培育高素质的中介服务机构和从业人员,是加快推进我国信息化建设步伐的一项重要工作。
国际IT服务管理的发展史
IT服务管理的产生和发展经历了一个相当长的过程。这个过程大致可以划分为萌芽期、发展期和成熟期三个阶段。
萌芽期
IT服务刚产生的时候,就有人提“IT服务管理”这个概念。但当时一方面人们更多关注的是如何发展IT服务,至于服务管理则只有当IT服务发展到一定程度的时候才有明确的需求,因而IT服务管理这个概念在当时并不受重视;另一方面,当时即使想进行IT服务管理,人们也还没有一套经过实践证明行之有效的方法来指导。因此,这段时期IT服务管理还仅仅停留在概念阶段。
20世纪80年代中期,人们开始一边总结以前在IT服务方面的经验和教训,一边从质量可测量、成本可计量的原则出发,摸索提供IT服务的规范化方法。在世界上有关专家、组织和政府部门的共同努力下,80年代后期至90年代初期,CCTA(英国中央计算机与电信局)陆续发布了按照流程(Process)组织的有关IT服务管理的最佳实践-ITIL 。至此,人们确定了以流程为中心的IT服务管理方法。我们把从IT服务的产生到ITIL 版本的发布这段时期称之为IT服务管理的萌芽。
发展期
可以说,ITIL确立的以流程为中心的IT服务管理方法,使人们“统一了思想”、“认清了方向”。更为重要的是,ITIL的出现,使IT服务管理不再是一个“虚无飘渺”的概念,而成为了一个独立的领域,并正在形成一个有着巨大发展潜力的行业。自此,从20世纪90年代初开始,IT服务管理从萌芽期进入了发展期。
在IT服务管理的发展期,呈现的是“百花齐放”的局面。
首先,越来越多的公司进入这个领域并加大在这个领域的投入,力图占据一个有利的位置,例如BMC公司通过收购Peregrine公司的Remedy解决方案切入这个市场。
其次,围绕ITIL,人们正在开发各种各样的IT服务管理方法,比如荷兰Virje大学软件工程研究中心(SERC)正在组织开发IT服务能力成熟度模型(IT Service CMM),微软公司为所有微软产品开发了MOF(管理运营框架),HP公司开发了该公司实施IT服务管理的方法论HP ITSM Reference Model(惠普IT服务管理参考模型)。
再次,经过一系列的开发、并购和整合,针对IT服务管理的软件系统和解决方案越来越完善,可为客户提供越来越多的服务,比如CA公司的Unicenter服务管理解决方案已经可以实现ITIL各核心流程的集成管理。
最后,世界范围内越来越多的企业认识到了IT服务管理的重要性,并已经开始或正准备开始实践IT服务管理。这些企业实施IT服务管理的经验和教训有力地促进了IT服务管理方法的改进、提高和发展。正是因为有了这么多新鲜“血液”的输入,英国政府商务部(OGC,CCTA于2001年并入了该机构)在2000年到2003年期间发布了ITIL的全新版本ITIL 。版本的发布是IT服务管理发展期的一个“中期总结”,必将有利于IT服务管理领域更为快速的发展。
直至今天,IT服务管理还处于方兴未艾的发展期。
成熟期
虽然到目前为止,IT服务管理已经取得很大的发展,但它还远未成熟。首先,有关IT服务管理的各种标准和方法大部分还处于开发中,还没有经过企业的大量实践,更谈不上作为成熟的成果进行大规模的推广。
其次,针对IT服务管理的软件系统和解决方案还有待完善。根据META Group的预测,在2007年以前,这些技术解决方案不会完全实现流程整合 。
再次,与ERP、CRM和SCM等领域相比,IT服务管理在企业应用的深度和广度还有待提高。一方面,IT服务管理厂商和相关组织需要进行更广泛的市场推广,以让更多企业了解和认识它,另一方面,这些厂商和组织应协助企业更多地成功实施IT服务管理,让企业真正发现IT服务管理的价值。其中企业实施的效果对IT服务管理的最后成功至关重要,否则,它将不过是昙花一现的概念而已。
最后,一个潜在的问题是,目前市场上并不只有IT服务管理一种IT管理方法,在“得标准者得天下”的这个时代,IT服务管理与COBIT、ISO17799等标准之间存在着很强的竞合关系,最终几者之间形成什么样的态势,现在下结论为时过早。
服务管理领域的国际进展及在我国的发展现状
国际进展:用数字说话
前面已经指出,IT服务管理目前还处于方兴未艾的发展期。前面节对IT服务管理的发展过程进行了分析,并展望了IT服务管理的发展趋势。在这里,我们引用一组数据说明IT服务管理领域的到2003年所取得的成就和最新的进展:
目前全球有超过1万家公司采用了ITIL; 2003年估计有6万人参加ITIL基础培训和认证考试; 全球有超过2000家公司成为itSMF的企业会员; itSMF在15个国家成立了分会; 全球有超过15万人通过了至少一个ITSM认证考试; itSMF的Pocket Guide系列出版物已经售出10万多册; 欧洲目前有约7万名ITSM认证专家,今后两年,这个数字有望增加一倍。
国内现状:形势不容乐观
与国外特别是欧洲和北美地区如火如荼的发展状况相比,IT服务管理在我国还处于发展初期。下面我们根据IT服务管理价值链对IT服务管理在我国的发展状况作一分析,如图1-12所示。
首先,对基本的IT服务管理理念宣传和推广还很不够。我国市场上有关IT服务管理的中文出版物非常少,这对IT服务管理在我国的宣传和推广带来了很多困难。如果单靠几家服务厂商去推广的话,不但提高了整个市场的学习成本,更为重要的是,速度太慢,难于加速市场的成长。
其次,成功案例少且有部分“伪案例”。推动IT服务管理发展的根本动力是客户通过实施产生实际的效益。而我国的现状是IT服务管理的发展主要是厂商在推动,客户的需求还不强烈。造成这种情况的主要原因有三点:一是很多企业基本上还就不知道有IT服务管理这回事或者不能理解IT服务管理的含义和价值,所以就更谈不上要不要实施ITSM;二是有些厂商给客户实施的是传统的系统管理,没有进行IT服务管理最核心的IT管理流程重组,却宣传为实施了IT服务管理,一旦企业看清这点,就会反过来抵制IT服务管理,企业显然没有必要为了一些概念付出更多的代价(费用、人力成本和其他资源);三是成功案例少,缺少“现身说法”。结果是企业越不能看到成功案例,越不想实施,这样就越容易造成恶性循环。
第三,本土的力量还很弱小。观察图1-12所示的生态图不难发现,价值链的每一环,都有数家国外的IT企业占据着领导性的位置,比如IBM公司,它在每一环都有很强的实力。国内企业扮演的只是追随者的角色,特别是越到价值链的上端,越难看到他们的身影,到标准这一环,就根本没有国内企业的参与。在“三流企业做产品,二流企业卖服务,一流企业定标准”这个IT行业的规律面前,我国企业所处的是一个极为不利的位置。
总体上来说,在IT服务管理领域,我国与国外存在着10年以上的差距。鉴于目前的形势,中国IT治理论坛正在国内大力普及推广IT服务管理,我们也欢迎更多的有识之士加入进来。
IT服务管理及其价值
IT服务管理的定义
前面我们详细讲解了IT服务管理的产生和发展,那么到底什么叫IT服务管理呢?要理解IT服务管理的含义,我们先分析构成它的每个词语的含义:
IT(Information Technology,信息技术):IT所指范围相当广泛,包括技术基础设施(硬件、系统软件和通信设施)、应用基础设施(应用软件和数据库)和设施以及文档等。IT是IS(Information System,信息系统)的重要组成部分,两者之间的关系如图1-6所示。
但在实际应用中,我们对两者一般不加区分。
服务(Service):由IT服务提供商支持的、以让客户感觉协调一致的方式满足客户的一种或多种需求的可用系统或功能。
IT服务(IT Service):IT服务指综合利用人、资源和程序以满足客户的信息需求。
管理(Management):管理指在提供和交付服务中使用的战略级、战术级和运营级的概念和实践,它涉及到使用各种资源,包括设备、人力、流程和理念等来实现某个目标,在这里是指交付恰当的服务。
基于不同的出发点和侧重点,人们提出了各种各样的有关IT服务管理的定义。
国际IT领域的权威研究机构加特纳(Gartner)认为,ITSM是一套通过服务级别协议(SLA)来保证IT服务质量的协同流程,它融合了系统管理、网络管理、系统开发管理等管理活动和变更管理、资产管理、问题管理等许多流程的理论和实践。
而ITSM领域的国际权威组织itSMF(国际IT服务管理论坛)则认为ITSM是一种以流程为导向、以客户为中心的方法,它通过整合IT服务与组织业务,提高组织IT服务提供和服务支持的能力及其水平。
IT服务管理的核心思想
ITSM的核心思想是,IT组织,不管它是企业内部的还是外部的,都是IT服务提供者,其主要工作就是提供低成本、高质量的IT服务。而IT服务的质量和成本则需从IT服务的客户(购买IT服务的)和用户(使用IT服务的)方加以判断。ITSM也是一种IT管理。不过与传统的IT管理不同,它是一种以服务为中心的IT管理。我们将传统的IT管理和ITSM比较如图1-7所示。
或者,我们也可以形象地把ITSM称作是IT管理的“ERP解决方案”。从组织层面上来看,它将企业的IT部门从成本中心转化为服务中心和利润中心;从具体IT运营层面上来看,它不是传统的以职能为中心的IT管理方式,而是以流程为中心,从复杂的IT管理活动中梳理出那些核心的流程,比如事故管理、问题管理和配置管理,将这些流程规范化、标准化,明确定义各个流程的目标和范围、成本和效益、运营步骤、关键成功因素和绩效指标、有关人员的责权利,以及各个流程之间的关系。
实施ITSM的根本目标有三个:
(1)以客户为中心提供IT服务; (2)提供高质量、低成本的服务; (3)提供的服务是可准确计价的。
IT服务管理的基本原理
ITSM的基本原理可简单地用“二次转换”来概括,第一次是“梳理”,第二次是“打包”,如图1-8所示。
首先,将纵向的各种技术管理工作(这是传统IT管理的重点),如服务器管理、网络管理和系统软件管理等,进行“梳理”,形成典型的流程,比如ITIL中的10个流程。这是第一次转换。流程主要是IT服务提供方内部使用的,客户对他们并不感兴趣兴仅有这些流程并不能保证服务质量或客户满意。还需将这些流程按需“打包”成特定的IT服务,然后提供给客户。这是第二次转换。第一次转换将技术管理转化为流程管理,第二次转换将流程管理转化为服务管理。
之所以要进行这样的转换,有多方面的原因。从客户的角度说,IT只是其运营业务流程的一种手段,不是目的,需要的是IT所实现的功能,客户没有必要,也不可能对IT有太多的了解,他和IT部门之间的交流,应该使用“商业语言”,而不是“技术语言”,IT技术对客户应该是透明的。为此,我们需要提供IT服务。为了灵活、及时和有效地提供这些IT服务,并保证服务质量、准确计算有关成本,服务提供商就必须事先对服务进行一定程度上的分类和“固化”。流程管理是满足这些要求的一种比较理想的方式。
IT服务管理的范围
ITSM适用于IT管理、而不是企业的业务管理。清楚这点非常重要,因为它明确划分了ITSM与ERP、CRM和SCM等管理方法和软件之间的界限,这个界限是:前者面向IT管理,后者面向业务管理。
ITSM不是通用的IT规划方法。ITSM的重点是IT的运营和管理,而不是IT的战略规划。如果把组织的业务过程比作安排一辆汽车去完成一趟运输任务,那么IT规划的任务相当于为这次旅行选定正确的路线、合适的汽车和司机。而ITSM的任务则是确保汽车行驶过程中司机遵循操作规程和交通规则,对汽车进行必要的维修和保养,尽量避免其出现故障;一旦出现故障也能很快修复;并且当汽车到达目的地时,整个行驶过程中的所有费用都可以准确地计算出来,这便于衡量成本效益,为做出有关调整提供决策依据。简单地说,IT规划关注的是组织的IT方面的战略问题,而ITSM是确保IT战略得到有效执行的战术性和运营性活动。
虽然技术管理是ITSM的重要组成部分,但ITSM的主要目标不是管理技术。有关IT的技术管理是系统管理和网络管理的任务,ITSM的主要任务是管理客户和用户的IT需求。这有点像营销管理。营销管理的本质是需求管理,其目标在于如何让组织生产的最终产品或提供的服务满足市场(客户)的需求。同样,在ITSM中,IT部门或IT外包商是IT服务的提供者,业务部门是IT部门或IT外包商的客户,如何有效的利用IT资源恰当地满足业务部门的需求就成了ITSM的最终使命。换个角度说,对客户而言,业务部门只需关心IT服务有没有满足其要求,至于IT服务本身能不能或者怎样满足要求,业务部门作为客户不用也没有必要关心。
关于这一点,可以用下面的例子说明。某个用户急需打印一份页数较多的文件,但恰好此时打印机出现故障,那么用户传统的处理方式是通知和等待IT部门修复打印机,然后从感情上表达不满,而“ITSM式”的处理方式是,对IT部门说:“我需下午5:00前使用该打印文档,OK?”至于打印工作是怎样完成的,比如是通过修复或换一台打印机,那是IT部门的事,业务部门只需为服务本身付费。这就是ITSM与传统的IT管理的本质不同之处。
IT服务管理的价值
作为IT管理的“ERP解决方案”,IT服务管理给实施它的企业、企业员工及其他利益相关者提供多方面的价值。《IT服务管理实施规划》将这些价值归纳为商业价值、财务价值、员工利益、创新价值和内部价值:
商业价值
IT在商业中扮演着越来越重要的角色,通过实施IT服务管理,可以获取多方面的商业价值,比如:
确保IT流程支撑业务流程,整体上提高了业务运营的质量; 通过事故管理流程、变更管理流程和服务台等提供了更可靠的业务支持; 客户对IT有更合理的期望,并更加清楚为达到这些期望他们所需要的付出; 提高了客户和业务人员的生产率; 提供更加及时有效的业务持续性服务; 客户和IT服务提供者之间建立更加融洽的工作关系; 提高了客户满意度。
财务价值
IT服务管理不但提供商业价值,而且使企业在财务上直接受益,比如:
降低了实施变更的成本; 当软件或硬件不再使用时,可以及时取消对其的维护合同; “量体裁衣”的能力,即根据实际需要提供适当的能力,如磁盘容量; 恰当的服务持续性费用。
员工的受益
IT服务管理也使服务人员多方面受益,比如:
IT人员更加清楚了解对他们的期望,并有合适的流程和相应的培训以确保他们能够实现这些期望; 提高IT人员的生产率; 提高了IT人员的士气和工作满意度; 使IT部门的价值得到更好的体现,从而提高了员工的工作积极性。
创新价值
IT服务管理提供的创新价值包括:
IT服务提供方更为清楚地理解客户的需求,确保IT服务有效支撑业务流程; 更多地了解当前提供的IT服务的有关信息; 改进IT支持,使业务部门能够更加灵活地使用IT; 提高了服务的灵活性和可适应性; 提高了预知未来发展趋势的能力,从而能够更加迅速地采用新的服务需求和进行相应的市场开发。
IT服务管理与企业信息化
信息化的“冰面”
企业信息化实质上是将企业的生产过程、物料移动、事务处理、现金流动、客户交互等业务过程数字化,通过各种信息系统网络加工生成新的信息资源,提供给各层次的人们洞悉、观察各类动态业务中的一切信息,以做出有利于生产要素组合优化的决策,使企业资源合理配置,从而使企业能适应瞬息万变的市场经济竞争环境,求得最大的经济效益 。
为了实现信息化,企业需要购买必要的硬件设备和组建网络,并运行一系列信息系统,如ERP(企业资源计划系统)、CRM(客户关系管理系统)和SCM(供应链管理系统)等管理系统以及CAD(计算机辅助设计系统)、CAE(计算机辅助工程分析系统)和CAM(计算机辅助制造系统)等技术系统。企业利用这个IT基础架构来辅助或支撑业务运营。IT基础架构与企业业务之间的关系如图1-10所示。
我们把企业需要实现的各种目标看作大海的“彼岸”,为了达到“彼岸”,实现既定目标,企业必须在激烈竞争的商业环境(有时伴随着“飓风”和“海浪”)中进行一系列业务运营。为了确保业务稳定、可靠并快速、有效地开展,现代企业运用了多个信息系统进行辅助支撑。我们不妨把信息系统形容为业务运营这条船的“划桨”或“助推器”。而“划桨”和“助推器”是在水面以下,即水中工作的,在水面以上推动船的前进只是其工作的结果。
显然,当信息系统的数量到达一定程度的时候,就会出现两个问题。一是如何管理、控制和维护这些系统,二是如何在资源有限的条件下协调这些系统以使它们“往一个方向使劲”。一旦这两个问题没解决好,就会产生另外两个问题。一是IT部门成了“救火队员”,而且往往是吃力不讨好;二是业务部门“我选择,但我不快乐”,虽然公司不断进行大量IT投资,却不但感觉不到信息系统带来的效益,还经常碰到这些系统出现各种问题,有时甚至还会影响自己的工作。
从上述分析可以看出,企业在信息化过程中,一方面试图利用信息系统实现更多功能,以支持业务运营,另一方面却不注重对信息系统本身的有效支持和维护。我们把这种现象称之为“信息化‘冰面’”。由于存在这个“冰面”,信息系统不能充分发挥其应有的效用,加之信息系统本身也存在诸多问题。最终结果就像图1-10所示的一样,在信息系统和业务的相互跌跌撞撞之中,企业目标无法实现。
IT服务管理作为“破冰船”
IT服务管理属于企业信息化的一部分,它的作用相当于是“破冰船”,如图1-11所示。IT服务管理利用一套全新的方法,对IT基础架构进行全面而集中的管理,并根据业务的实际需要,提供可计量成本的、可测量质量的IT服务,以确保业务的平稳、高效运营,实现企业目标。具体来说,IT服务管理在企业信息化中扮演着三个重要的角色。 首先,作为企业信息化过程中的“IT后勤保障部长”。IT服务管理的首要和基本的作用是变企业IT基础设施的“粗放式”管理方式为“集约式”管理方式。例如,它通过配置管理流程和配置管理数据库,将企业所有的或者超过一定价值的IT资产置于全面的监督和控制之下,及时掌握和了解这些IT资产的状态、出现过的问题、可能会出现哪些问题和存在的价值,以及它们满足业务需要的情况。通过变更管理和发布管理,确保这些IT资产的变动是可控的和可靠的。通过执行一系列服务管理流程,保证了IT基础架构及时适应和满足业务的需要。
其次,作为企业IT部门和业务部门之间的“客户经理”。通过实施IT服务管理,企业IT部门的一个重要变化是化被动管理为主动管理,或者说从被动提供IT支持的角色转变为主动提供IT服务的角色。IT部门设立统一的服务台(服务台是虚拟的“客户经理”),及时有效地响应客户的服务请求,并根据服务请求的性质,利用一套合理的机制将其分配给一线、二线和三线支持进行处理,然后进行相应的变更、配置和发布,最后,将处理客户请求过程中的重要信息和处理结果以及得到的经验教训存入各类知识库。这个过程是以提供服务的形式进行的,IT部门必须更为关注客户的感受,根据客户的需求提供IT服务,同时收取相应的服务费。IT服务管理通过这套规范的流程,设立类似“客户经理”的角色,使提供端到端的IT服务成为可能。
最后,作为企业与第三方IT服务提供方之间的“仲裁员”。当企业部分或全部外包其IT服务时,需要一套方法来指导其处理与第三方IT服务提供方之间的关系,有效管理外包的服务。为此,IT服务管理将IT服务标准化和模块化,同时以ITIL和其它必要的标准和准则作为“国际公约”(当然ITIL是最重要的公约),将所外包的服务进行量化,然后双方签订服务级别协议(Service Level Agreement )详细规定双方的责权利,约束双方的行为,协调双方的不一致之处。在极端的情况下,双方甚至可以据此“法庭上见”。
IT服务管理知识框架体系
我们在前文已经指出,ITIL是有关IT服务管理流程的最佳实践,事实上,经过近20年的发展,以流程为主线,进行了全面的扩充,最终形成了如图1所示的框架。这个框架现在成为了事实上的IT服务管理知识框架体系。 下面我们先介绍ITIL的产生和发展以及ITIL的特点,然后再介绍图1中的各个模块。
ITIL的产生和发展
利用IT服务管理提高业务水平这并不是什么新想法,甚至在IT服务出现的初期,IT服务管理这个概念就开始有人提出。但收集、整理、文档化和维护服务管理最佳实践并将其组织成一个合理而具有一定逻辑性的知识库这个概念却是革命性的。
80年代中期,英国政府部门发现提供给其的IT服务质量不佳,于是要求当时的政府计算机和电信局(CCTA)(后来并入英国政府商务部(OGC)),启动一个项目对此进行调查,并开发一套有效的和可进行财务计量的IT资源使用方法以供本国的政府部门和私有部门使用。同时,这种方法还应该是独立于厂商的并且可适用于不同规模、不同技术和业务需求的组织。这个项目的最终成果是一套公开出版的IT管理指南,即本节所要讲的ITIL(Information Technology Infrastructure Library)。
这套指南中的第一本于1989年出版,之后其它的9本也陆续出版。这10本指南分别说明了IT服务管理中的10个核心流程。后来CCTA为了消除各指南间的重复和某些不一致之处,就将它们合编成《服务支持》(《Service Support》)和《服务提供》(《Service Delivery》)两本书。最近,也就是从2000年开始,CCTA又组织有关力量对这两本书进行全面修订,同时对ITIL进行了较大的扩充和完善,最终形成了如图2-9所示的由6个模块组成的架构。
虽然ITIL当初只是为英国政府开发的,但是在90年代初期,它很快就在欧洲其它国家和地区流行起来。特别是在荷兰,荷兰政府甚至比英国政府还早明确规定政府部门必须采用ITIL作为IT管理标准。到90年代中期,ITIL成为了事实上的欧洲IT服务管理标准。90年代后期,ITIL又被引入到美国、南非和澳大利亚等国家和地区。2001年英国标准协会(BSI)在国际IT服务管理论坛(itSMF)年会上正式发布了以ITIL为基础的IT服务管理英国国家标准BS15000。2002年BS15000被提交给国际标准化组织(ISO),申请成为IT服务管理国际标准。国际标准组织已接受这个申请,并为此设立了一个专门工作组。该标准有望在2006年前后生效,可以说,ITIL已是事实上的国际IT服务管理标准。
ITIL的特点
ITIL具有以下几个方面的显著特点:
公共框架
ITIL是一个公共框架。这里有两层含义:
首先,公共开发。OGC自己并没有编写每本指南,而是提名和选定其它组织和专家进行这项工作,同时组织世界各地的有关专家对这些原稿进行评审以保证其质量。OGC担当组织和协调者的角色。
其次,公共使用。任何组织都可以免费使用ITIL,包括以ITIL为基础开发自己的服务管理方法论和方案、进行ITIL方面的培训和咨询以及实际应用它进行IT服务管理。
最佳实践框架
ITIL是根据实践而不是理论开发的:OGC收集和分析各种组织解决服务管理问题方面的信息,找出那些对本部门和在英国政府部门中的客户有益的做法,最后形成了ITIL。
ITIL来源于实践,反过来它又用于指导实践。它列出了各个服务管理流程的“最佳”的目标、活动、输入和输出以及各个流程之间的关系,但并没有说明具体的日常运营活动。其重点是保证流程实现其应有的功能并与其它流程相协调。至于具体怎样实现这些功能,组织可根据实际需要采取不同的方式。这有点近似于现在流行的“基于组件编程”思想:各个流程是相对独立的,实现某些特定的功能;流程之间及流程和业务之间的接口已根据业务和IT管理方面的需要事先设计好;可以方便地增加或放弃某个流程,同时其它流程还可继续保持运营。
此外,实施ITIL并不是需要组织重建其所有的IT管理部门和职能。ITIL提供了一个指导性框架,这个框架可以保留组织现有的IT管理方法和技术中的合理部分,同时增加必要的方法和技术,并且方便和加强了各种IT职能间的沟通和协调。
事实上的国际标准
到90年代中期,ITIL已被认为是世界IT服务管理领域的事实上的标准。自从ITIL出现后,其它公司和组织开发的IT管理“最佳实践”大部分都明确宣称其是遵循ITIL的,包括惠普公司的“IT服务管理参考模型”(The IT Service Management Reference Model)和微软公司的“管理运营框架”(Management Operations Framework),以及IBM的IT服务管理方法。IBM在70年代晚期开发了“IT流程模型(IT Process Model)”,后来又于80年代初期将其系统管理原理总结发表为“黄皮书”-“信息系统管理系统”(A Management System for Information Systems)。IT流程模型连同黄皮书一起成为开发ITIL时的重要参考。但随着ITIL在全球的推广,现在IBM公司在IT服务方面想尽办法和ITIL“套近乎”,包括积极参与ITIL的开发工作和行业发展,使管理软件Tivoli支持ITIL以及提供ITIL方面的培训、咨询和实施服务。
ITIL成为标准的意义在于,作为IT服务管理领域的共同语言和标准语法,各利益相关者包括客户、用户、IT员工、开发人员、供应商以及企业业务和IT方面的高层管理者都可以利用它来进行沟通和讨论。而这一点对IT服务管理的成功是至关重要的。
质量管理方法和标准
就目前而言,IT已成为许多业务流程必不可少的部分,它和业务流程形成了一个有机的整体,这对IT本身是件好事。但这种地位的提升同时意味着IT要承担更大的责任。一方面为了提高业务流程的质量和效率,IT必须满足业务流程不断变化的需求;另一方面,为了降低业务流程的运营成本,IT有关的成本也必须不断降低。可是,实际情况是IT在这两个方面都没有做出令人满意的回答。部分原因是IT部门自认为是公司的“特殊部门”,不能以常规对待它,往往从技术角度考虑问题,出现问题时往往是一句“这就是IT”就推掉了所有责任。业务部门因为不懂IT,即使感觉不对劲,也不知原因何在。
为了解决这种情况,ITIL贯彻质量思想,应用质量方法和标准来管理IT服务。服务提供流程制定服务级别协议、监督协议的执行并评价最终结果,服务提供流程根据服务协议提供服务。这整个过程关注的不仅仅是IT部门是否提供了某种服务,更重要的是IT部门是否提供了用户满意的服务,并且这个过程是符合成本效益原则的。通过ITIL,业务部门可以避免前面提到的尴尬局面,根据一套量化的质量指标,“理直气壮”地处理与IT部门之间的关系;IT部门也可以提高服务质量、降低服务成本、学习以前的经验并处理好和业务部门之间的关系。
此外,ITIL通过定义流程和最佳实践,可以让IT部门很容易通过ISO9000质量认证。
形成了一个完整的产业
围绕ITIL已经形成了一个具有完整价值链的IT服务管理行业,这个行业包括出版、培训、咨询、认证、软件和行业组织等,如图2所示:
(1)ITIL出版物
根据作者的统计,到目前为止,世界范围内与ITIL直接相关的各种语言版本的正式出版物已不下100种。这些出版物大致分为3类。第一类是ITIL核心出版物,主要指与ITIL的6个模块相对应的7本书(服务管理模块有《服务支持》和《服务提供》两本),以及详细说明ITIL各个方面的相关出版物如项目管理PRINCE2方面的;第二类是与ITIL培训和认证有关的出版物如《ITIL Revision and Examination Aid》;第三类是以ITIL为基础发展的各种IT管理方法方面的出版物如《MOF Pocket Guide》。
(2)行业组织
与ITIL紧密相关的行业组织有5个:英国商务部OGC、英国标准协会BSI、国际IT服务管理论坛itSMF以及EXIN和ISEB。
OGC
ITIL最初是由英国计算机和电信中心(CCTA)开发的。2001年4月CCTA并入英国商务部(OGC),ITIL也因此转由OGC所拥有。OGC的目标是帮助英国公共部门改进它们的采购活动,通过有效应用IT和其它手段提高这些部门的服务水平。为此,OGC在公共部门中推广了各种“最佳实践”(如项目管理、采购和IT服务管理)。这些最佳实践被整理成一系列指南,比如项目管理最佳实践被称之为PRINCE2(PRINCE2已成为欧洲项目管理事实上的标准)。
BSI
BSI(British Standard Institute)即英国标准协会是世界标准领域一个非常活跃的组织,如ISO90000系列质量标准最初就是由BSI提出的。BSI以ITIL为基础,制定了IT服务管理标准BS15000。
itSMF
itSMF全称Information Technology Service Management Forum,即(国际)IT服务管理论坛,成立于1991年,是一个世界性的非营利性质的组织,致力于发展和推动IT服务管理最佳实践标准和认证。itSMF现已成为世界IT服务管理领域唯一受到广泛认可的国际组织。
itSMF现已成立了包括英国、澳大利亚、奥地利、比利时、加拿大、德国、荷兰、美国、南非和瑞士在内的15个国家分会。在这些有分会的国家和还没有成立分会的国家中有1000多家公司成为itSMF的公司成员。
itSMF提供包括IT服务专家、相关信息和文件在内的多种资源,帮助公司通过采用IT服务管理最佳实践,确定IT服务管理方面的问题,以期提供高质量、一致的IT服务目标。
EXIN 和ISEB
OGC是ITIL的所有者,itSMF是世界IT服务管理用户组织,但它们并不具体负责ITIL的认证考试,而是将其授权给EXIN和 ISEB。EXIN 和ISEB分别是位于荷兰和英国的两个非营利性质的组织,其中后者负责英国及英联邦国家,前者负责其它国家和地区。
3 认 证
EXIN称IT服务管理方面的认证为“ITIL认证”,而ISEB称之为“ITSM认证”,实质上这两种叫法是一样的,因为ITSM认证的考试大纲是以ITIL为基础制定的,所以我们一般对这两种叫法不加区分。 ITSM认证分为三个层次:基础认证、实践者认证和经理认证。其中实践者认证是针对ITIL核心流程授予的,目前分为九种,分别是事故管理和服务台、问题管理、变更管理、配置管理、服务级别管理、可用性管理、能力管理、财务管理和安全管理。这些认证之间的关系如图3所示。 (4) 培 训
EXIN和ISEB并不负责具体的ITIL培训。虽然任何组织都可以提供ITSM培训,但只有得到EXIN或ISEB授权的组织才有权组织ITSM认证考试。
EXIN 和ISEB建议参加各级认证考试的应试者在考试前先接受一定时期的培训。事实上,考虑到实施ITIL是一项实践性很强的专业工作,参加培训有利于真正理解ITIL,学习成功经验。
(5) 咨 询
在第一章中我们把IT服务管理理解成IT管理的“ERP解决方案”,ITIL就是这些方案的制定和实施标准。比如,实施ERP之前,一般要重组业务流程,相应地,实施ITSM前,也应该先重组IT管理流程;实施ERP时,涉及开发(或购买)和安装软件,相应地,实施ITSM时也涉及ITSM软件,有时候这些软件相当庞大和复杂。这些过程最好由有经验的专业人员参与,提供咨询服务。
(6) 软 件
同时,作为IT管理的“ERP解决方案”,IT服务管理的运营必然需要相应软件的支持。虽然全球目前还没有哪个软件宣称完全是为ITIL定做的,但许多软件都或多或少实现了ITIL的部分功能,比如惠普公司的OpenView、IBM公司的Tivoli。为此,全球ITIL服务领域领导公司Pink Elephant推出受到业界广泛认可的PinkVerify认证对各种软件所实现ITIL各流程功能的情况进行测试和证明,目前已经有包括CA和HP在内的多家公司通过了该认证。
ITSM网上资源导航
组织机构
中国IT治理论坛网站。致力于探讨信息化建设中深层次的机制问题,倡导将国际上前沿的IT治理机制及其方法论与中国的国情相结合,走有中国特色的IT治理之路。聚焦领域涵盖信息系统审计、信息化工程监理、IT服务管理、信息安全管理、IT项目管理以及国内外的IT标准和咨询方法论。
国际IT服务管理门户中国分站。
英国政府商务部(OGC)官方网站。OGC是IT服务管理领域事实上的国际标准ITIL的所有者。
国际IT服务管理论坛(itSMF)官方网站。ItSMF是国际上唯一被认可的IT服务管理行业组织,在全世界设立了超过16个国家分会。
IT服务管理学院(Institute of Service Management)网站。IoSM是一个面向IT服务管理专业人士的机构。
商业和信息技术整合研究中心(The Business IT Alignment (bITa) Center)网站。该中心致力于商业与信息技术的战略整合,以及各种IT管理标准之间的协调和融合。
帮助台协会(HDI)官方网站。HDI是世界服务和支持业中最大的协会。
英国计算机协会(BCS)网站。BCS通过信息系统考试委员会(Information Systems Examination Board)负责英联邦地区的IT服务管理(ITSM)认证考试。
英国标准协会(BSI)网站。BSI是英国IT服务管理国家标准BSI15000的制订者和所有者。BSI15000现正提交给国际标准化组织以成为IT服务管理国际标准。
新闻、白皮书、术语表和出版物
赛迪网中国信息化子站,关注中国信息化建设的热点、难点和疑点,读者亦可通过此站与本书著者互动交流。
《中国计算机用户周刊》,面向高端用户的IT权威媒体。
国际IT服务管理领域最大的独立IT服务管理方面信息交换平台,在多个国家设有分站,包括中国(见)。
一个包含大量ITSM类文章、术语、链接和缩略语的网站。
包含大量ITSM方面的文档。同时该网站还出版一份电子版的ITSM月刊。
软件
冠群电脑(中国)有限公司Unicenter软件的官方网站。
HP公司OpenView软件的官方网站。
日立信息系统(上海)有限公司JP1软件的官方网站。
博思软件(中国)有限公司Remedy软件的官方网站。
IBM公司Tivoli软件的官方网站。
培训和认证
中国电子信息产业发展研究院培训中心(简称赛迪培训)。赛迪培训为政府组织和企业提供世界级水准的信息化管理培训服务,其课程体系中立于任何软硬件提供商,围绕着IT治理这一核心理念,从客观的立场提供六大系列紧密相关的课程,即IT服务管理系列、信息系统审计系列、评估和监理系列、信息安全管理系列、管理信息化系列、IT项目管理系列、信息化战略规划系列。
冠群电脑(中国)有限公司网站教育与培训频道。
HP公司IT管理学院。
中国银行广东省分行IT服务管理案例
这个案例是关于中国银行广东省分行电脑投诉中心利用Unicenter ServicePlus Service Desk来提高IT系统效率、确保银行系统稳定的。
不过需要指出的是,IT服务管理在我国还处于发展初期,其应用情况与国外相比仍有很多待改进之处。比如这个案例,我们看到的是怎样利用Unicenter ServicePlus Service Desk这个工具解决问题,而较少看到针对IT管理流程的分析、设计与变革(重组)。正如本书前面所指出的,IT服务管理的核心是流程,工具可以固化流程但它本身并不能取代流程。但从另一方面说,流程重组在我国是一个说起来容易做起来难的事情。因此,希望这个案例可以给我们一些启发,促进我们更多的去实践IT服务管理并不断对其进行改进。
企业背景
中国银行广东省分行(以下简称中行广东分行)是一家国际化银行,在多年的发展历程中,中行广东分行曾创造了中国银行业和中国银行系统内的许多第一,目前在外汇存贷款、国际结算、外汇资金和银行卡等业务领域仍居领先地位。是中国银行系统国内业务量最大的分行之一,也是广东省内外汇资金实力最雄厚、外汇业务市场占有率最大的银行之一。中行广东分行与世界各地1千多家银行的近4千家分支机构建立了代理关系,在省内设置机构网点1千多个,从业人员2万多人,遍及全省各市、县及重点乡镇。一直以来,中行广东分行的科技应用水平在同业和中国银行系统内中长期处于前列,先后推出了中银通、外汇宝、网上银行等先进的科技应用。目前,全辖区储蓄与会计网点上机覆盖率均达100%,银联网络已覆盖了广东省21个地市和省外的北京、上海、香港、澳门等多个城市。
面临的问题
由于电脑普及率高,银行卡的发卡量大,通存通兑、ATM的应用范围广,并且在未来将面对越来越多的数据业务,因此中行广东分行对其计算机网络、系统及各终端设备的稳定性和故障的快速处理/恢复能力的要求比任何时候都要迫切。面对技术含量极高的电脑设备,不可能要求每一位使用者都具备故障判断与排除的能力,尤其是复杂的网络故障,更需要经过严格技术培训的专业人员来处理。针对上述问题,中行广东分行电脑投诉中心应运而生了。
投诉中心是中行广东分行信息科技处对外的服务窗口,服务对象是中行广东分行所有使用电脑的业务人员,投诉中心负责解决电脑故障,提供技术支持和帮助。同时,电脑投诉中心还是一个协调中心,通过对故障的判断,对信科处的全体工程师进行合理调配,从而达到及时解决电脑故障的目的。
因此,中行广东分行信息科技处的人员非常希望能够找到一个功能强大、自动化程度高、权限控制灵活的工具,从而达到保障全行整个网络和计算机系统的稳定、可靠的管理目标。
解决方法
在经过对CA的电子商务基础架构管理工具Unicenter的综合考察后,信息科技处最终决定选用Unicenter ServicePlus Service Desk这一业界最全面的服务台解决方案作为投诉中心流程处理过程的管理工具。 秉承“有求必应”的服务口号,投诉中心实行二级投诉制,即原则上业务人员应首先向各二级分行电脑部投诉,如果二级分行电脑部无法处理,再由二级分行电脑部向投诉中心投诉,并且要求规范投诉要素、建立投诉档案。用户可以通过电话和邮件两种方式投诉,对于已经连接进入办公自动化(OA)局域网的用户,可通过邮件将投诉发至中行广东分行电脑投诉中心邮箱。投诉的处理流程如图1所示。
实施过程
从2000年6月开始,经过3个月的准备和客户化工作,Unicenter ServicePlus Service Desk于9月7日在投诉中心正式投入使用。系统的运行基本环境是:Unicenter ServicePlus Service Desk、IBM xSeries 800服务器、简体中文Windows NT Server (Service Pack 6a)、选用MS SQL (SP3)数据库、MS Exchange和Lotus/Notes邮件系统。
Unicenter ServicePlus Service Desk在投诉中心的运用包括以下内容:
1) 选择投诉数据库的字段:由于Unicenter ServicePlus Service Desk功能强大,提供很多字段,投诉中心因此可以根据自身需求选择部分投诉字段,主要包括:投诉人、问题类型、受理人、负责人、负责群组、投诉状态、优先级、开始时间、解决时间、简述、故障原因、详细描述、服务类型等等;
2) 创建用户类型:目前投诉中心的用户主要有三种类型:分析员、Help Desk人员和客户。录入211名分析员(ANALYSTS)资料、1585名客户(辖内行所有网点和广州地区所有网点)(CUSTOMERS)资料、24个群组(GROUPS)资料、190家支行或处室(ORGNIZATION)资料、26个地点(LOCATION)资料;
3) 定义安全机制:通过Data Partition对用户权限进行控制,定义为只有投诉中心人员可以创建投诉记录,维护人员只能修改发给自己的投诉记录,分行电脑中心可以查看自己分行的投诉记录;
4) 定义投诉的处理流程:投诉中心人员受理投诉后录入数据库,数据库自动将邮件通知发给相关负责人员,如果超时未解决,数据库自动将有关信息发给相关领导,当投诉解决后,自动生成邮件通知相关人员;
5) 定义投诉的升级策略:根据不同的投诉级别制订相应的投诉升级策略,普通问题一周上报到相关科长,两周上报到生产管理科科长;一般故障3天上报到相关科长,5天上报到生产管理科科长;重大故障5分钟上报相关科长、生产管理科科长和处长室;
6) 制作统计报表:使用BRIO来制作Unicenter ServicePlus Service Desk的统计报表;为了便于使用,投诉中心还汉化了原英文版本的客户端操作界面,并根据需要对Web界面进行了客户化,并编写了Unicenter ServicePlus Service Desk操作指南、建立了Unicenter ServicePlus Service Desk的问题库,让所有人员均可通过IE浏览器进行关键词查找,此外,还建立了Unicenter ServicePlus Service Desk的测试环境。
在投诉的处理流程中,Unicenter ServicePlus Service Desk所发挥的主要作用就是:
1) 提供查询和生成统计报表:将投诉数据保存在SQL SERVER数据库中,提供查询、生成统计报表;
2) 自动分发邮件通知:可在多处进行设置,通知相关人员;
3) 超时自动报警:当投诉在规定的时间内没有解决时,系统会自动生成报警邮件通知预先设定的人员;
4) 数据共享:无需安装专门的软件,合法用户通过浏览器就可以查询投诉记录,维护人员通过浏览器登陆Unicenter ServicePlus Service Desk的WEB界面可修改投诉状态、填写解决报告;
5) 知识库:可将成熟的解决方案录入知识库,进行数据共享。
效果分析
自从应用Unicenter ServicePlus Service Desk以来,投诉中心解决IT投诉的效率明显提高。由于该产品具有超时自动报警功能,上级管理人员对未解决的投诉问题的监控也明显加强。对于部分已经申请ID的分行,管理人员通过浏览器就可以随时看到自己分行投诉的处理情况,而无需像以前那样一味地等待投诉中心的电话通知。此外,如果遇到一些相对简单的问题,还可以直接到局域网上查找知识库中是否已有解决方案,参照自行快速处理。
在银行系统中,时间和效率往往是取信于客户的根本。在运用Unicenter ServicePlus Service Desk管理投诉流程的一段时间后,其自动化程度高、权限控制灵活、功能强大的特点给投诉中心的工作人员留下了深刻印象。遇到超时不能解决的问题,系统还可以自动向上级主管反映,以求能以最快的速度解决。此外,投诉中心对Unicenter ServicePlus Service Desk所具备的知识库功能也极为赞赏,因为这一功能可以对以往的故障处理经验进行汇总,供后来遇到类似问题的人员参照解决。
经验总结
从投诉中心近三年来运行Unicenter ServicePlus Service Desk的情况来看,选择Unicenter ServicePlus Service Desk服务台解决方案来对中心的业务流程实行有效管理,并利用其来共享企业知识、管理关键IT资产,是提高生产效率、减少客户流失并增加银行收益的有效途径。
中国信达资产管理公司IT服务管理案例
公司背景
业务性质和公司规模
基本情况
中国信达资产管理公司经国务院以及中国人民银行批准,并经国家工商行政管理局注册登记,于1999年4月20日在北京正式成立。 她是具有独立法人资格,独立承担民事责任的国有独资非银行金融机构,公司注册资本金100亿元人民币,由财政部全额划拨;公司营运资金除了注册资本以外,可以通过发行金融债券、向金融机构借款和向人民银行再贷款等手段获取运行资金;其主要任务是利用国家给予的特殊法律地位和专业优势,管理、处置因收购中国建设银行、国家开发银行不良贷款形成的资产,最大限度保全资产,减少损失。
公司经营方针:“千方百计提高资产回收率,千方百计降低处置成本”。
业务架构
公司实行总公司、办事处制。经财政部同意,中国人民银行批准,公司根据业务需要,在业务量较大、不良资产集中的地区设立29个办事处,办事处按国有独资商业银行省级分行管理,根据总公司授权开展业务,不具有法人资格。
其主要业务范围包括: ■ 收购并经营中国建设银行和国家开发银行剥离的不良资产; ■ 追偿本外币债务; ■ 对所收购本外币不良贷款形成的资产进行租赁或者以其他形式转让、重组; ■ 本外币债权转股权,并对企业阶段性持股; ■ 资产管理范围内公司的上市推荐及债券、股票承销; ■ 发行金融债券,向金融机构借款; ■ 财务及法律咨询,资产及项目评估; ■ 中国人民银行、中国证券监督委员会批准的其他业务活动。
业务运作
根据国务院批复精神,公司收购了中国建设银行、国家开发银行3730亿元不良资产。依据《金融资产管理公司条例》,公司全方位开展了债务追偿,资产租赁、转让、重组,债转股和阶段性持股,资产管理范围内公司的上市推荐及债券、股票承销,财务及法律咨询,资产及项目评估等业务。
截止到2002年6月底,公司累计回收现金已超过296亿元。
IT部门的角色设置
信达资产管理公司负责IT的部门是技术保障部,它负责信达全公司信息系统的规划、建设和管理部门,内设软件开发处、网络运行处和综合处等部门。
企业信息化状况
按照“收购、管理、处置建设银行剥离的不良资产、最大限度保全资产、减少损失”的经营目标,中国信达资产管理公司计算机信息系统总体设计目标是:采用当代先进的高科技产品与先进技术,加强资产处置与经营业务信息的收集和管理,提高资产管理的经营水平和市场竞争能力,提高资产处置与经营业务的经营管理、决策水平。利用计算机技术推动资产管理的合理化、科学化。最终实现办公管理自动化、资产管理业务计算机化、信息管理网络化、管理决策科学化。
从1999年开始至今的信息化建设进程中,信达先后建立了多项IT系统,为其管理、经营和决策奠定了坚实的基础。具体如下:
1.信达资产管理公司企业信息网
信达总公司与各地办事处通过国家金融数据专用网中元网(帧中继方式)连接起来,构成专用企业信息网。整个企业信息网使用路由器互联为IP网,网络拓扑结构采用辐射型连接方式,以总公司为中心分别连接下属各地的办事处。企业信息网通过总公司提供的Internet出口与Internet互联,加强企业信息网的安全控制,为全公司充分利用Internet的有效资源提供方便、快捷的网络平台。同时企业信息网还提供全公司的邮件系统,为公司的内部和外部沟通和交流提供服务。
2.对外信息披露和资产销售的网上交易平台
利用Internet技术,建立公司的信息网站系统,扩大公司对外的影响,树立公司的良好现象。利用信息网站这个对外的窗口,进行公司资产信息的披露,及时了解投资者的意向,提高资产出售的变现率,扩大公司的客户群。同时建立公司的内部网站,为公司的内部信息共享,树立各业务部门的部门形象提供平台。通过建立相应的安全体系,在ISP提供的网站平台上建立资产销售的交易平台,展示信达待出售的资产信息,收集客户的反馈信息和购买信息,加快公司资产的销售进度,扩大资产出售的客户群。
3.综合经营管理决策支持系统
A.资产管理信息系统
建立“以资金财务为核心,资产处置与经营信息为基础,管理和控制业务为目的”的资产管理信息系统。建立统一集中会计核算体系,资产处置与经营的项目管理体系,建立快捷、易用的市场信息收集和管理体系。形成全公司资产处置与经营的管理信息网络化,以提高公司管理决策的科学程度,为全公司的资产处置与经营业务提供全面、准确的信息基础。加强资产处置与经营过程中道德风险控制,最大限度减少资产损失,加快不良资产的变现和回收。
B.资金财务管理系统
在数据大集中的基础上,建立较为完善的管理控制功能-财务管理、资金计划子系统,在一定程度上实现财务管理的电子化。系统提供对资产管理公司资金财务业务的全面支持,包括:会计核算、工资管理、固定资产、购入贷款、资本金管理等功能;实现了与前台系统的数据交互与对账,保证了前后台数据的统一;实现了总公司对全辖资金财务数据实时查询分析、汇总以及监控,在很大程度上实现了财务核算与管理的大集中;在核算层与管理层的基础上,查询分析层系统-综合查询子系统为企业的中、高层领导提供了多角度、全方面的查询分析工具,清楚地揭示财务数据中蕴藏的内涵,使财务数据能真正为企业经营决策所用。
C.资产处置与综合统计系统
在资产管理信息系统的基础上,建立信达公司的数据仓库,引入OLAP技术,进行资产处置与经营业务信息的分析,为资产的处置与经营提供有关资产处置分类、企业经营评估、资金使用分析以及公司财务分析的辅助决策支持。为公司资产处置与经营的决策、方针的制定,提供及时、准确、完整的科学数据,以实现领导层的科学决策。
面临问题
在中国信达资产管理公司信息化建设的过程中,南天公司作为其重要的战略合作伙伴参与了信达的IT基础平台建设、支撑内部管理和业务运作的应用系统开发、IT系统运行维护外包服务等多个方面。在这个过程中,我们发现在信达的IT规划、建设和系统运营等各个环节,存在如下的困难:
1.不主张自己拥有大量专业技术资源
作为新兴的专业金融机构,信达资产管理公司不可能象传统的四大国有银行一样,建立一个规模庞大的内部IT部门来负责内部的IT规划、基础建设、应用软件开发和系统运营维护等职能。这种方式需要长期的前期准备、足够的专业技术资源和相当的资金投入,与当前的快速、专业、集中资源专著于自身专业方向的要求和潮流并不相符。
如何才能使信达资产管理公司既能集中资源和实力专著于不良资产的管理、处置和优化,又能够有及时、有效、合适的IT系统和服务来支撑其业务和管理?
这实际上是专业IT外包服务所要解决的问题。
2.IT维护和管理的方法和流程
有了上述的“专业IT外包服务”是否就可以解决信达的担心吗?其实这还远远不够。作为信达来说,花钱买了服务,但是服务的质量如何,能不能满足业务和管理的需要这是信达最关注的问题。作为服务商南天来说,用户花钱买了我的服务,能不能满意,是不是符合用户的要求,能不能长期为信达服务,这些困难也是服务商必须要面对和解决的。
通过信达和南天对于国际先进服务理念和标准的学习,以及双方在IT服务方面的长期的沟通、理解和磨合,共同整理并提出了符合信达需求的专业IT服务的方法和流程。基于这样客户化定制的方法和流程,信达的专业IT外包服务逐步走上了正轨。
3.支持的工具
当然在专业IT服务中,我们定义的方法、流程还需要一些专业的技术工具和服务管理工具来支撑,减少人为的差错,降低服务难度。否则服务过程中的问题发现、问题记录、处理过程、系统配置信息、系统变更等过程和信息无法得到有效的管理和规范,严重的时候还可能还会导致系统可用性的下降等问题。
解决方案
为了稳定、高效地对信达IT系统进行日常维护和管理,信达资产管理公司最终决定引进南天公司的运行管理和技术支持服务。信达通过外包服务的方式,既能够严格定制服务的标准和目标,又可以在很大程度上控制运行管理的预算和规模。
需求和目标
信达IT系统维护的主要需求如下:
1. 对信达业务系统的HP V系列主机、操作系统和数据库进行日常维护和管理; 2. 对信达公司广域网和总公司局域网进行日常维护和管理; 3. 对信达公司企业信息网系统(邮件系统、Internet代理、信息发布、登录认证系统、安全系统等)进行日常维护和管理; 4. 对信达总公司局域网客户端进行支持和维护; 5. 对所服务系统提供一线和二线技术支持; 6. 对总公司机房环境进行7*24小时监控;
信达IT系统维护服务的目标如下:
1. 及时发现和处理所服务的系统中的故障和问题,对问题的处理过程有详细跟踪; 2. 对系统日常运行进行监控和记录,及时发现所服务系统的潜在问题; 3. 规范对系统的日常操作步骤和操作过程,因服务方原因造成的服务系统中断一年不超过72小时; 4. 对于电话咨询和服务请求1小时内给与答复。 5. 确保信达企业信息网及其构架在网络上的各项应用7*24小时连续稳定运行。
解决方案
南天公司根据以上需求为信达定制了以下运行维护服务的解决方案。方案以信达总公司服务台为依托,将服务台建立为信达服务的监控平台、信息采集平台、任务发起平台和用户接口平台。在服务台的基础上建立事件管理、问题管理、配置管理和变更管理等工作流程。
下面本别介绍。
服务台:在信达总公司机房现场设立服务台,完成以下任务。
接收服务请求和咨询:在5*8小时工作时间内设置由专人职守的热线电话2部,分别接听总公司内部的服务请求和各办事处管理员的咨询和请求;在非工作时间设置有专人7*24小时接听的移动电话热线,用于解决总公司、办事处加班工作人员的技术问题以及接听7*24小时机房监控人员的机房情况汇报和请示。同时还通过E-mail/BBS/Msn等多种方式与用户,包括与办事处管理员进行密切联系和沟通,及时了解各地系统的运行状况。
系统运行状况监控:在总公司机房设立7*24小时不间断的监控岗位,主要通过一些系统管理工具进行诸如网络运行状况、系统服务状况的监控,同时监控机房的温度、湿度、供电等环境状况以及相应设备的运行状况。在5*8小时的工作时间内还会针对一些重要的应用服务进行进一步的检查,例如:每天定时进行关于业务系统、邮件系统重要功能的检查,并对检查结果进行详细记录。
日常问题的处理:服务台的一项重要的工作是承担对总公司300个客户端的技术支持,通过电话或现场解决客户端问题。
发起管理过程:服务台通过对系统的监控和用户请求,初步判断系统中是否已经有紧急事件发生,或者有问题需要解决,由此发起相应管理过程,例如:系统紧急恢复或者进入问题跟踪处理流程、进行配置的更改等等。
执行应对紧急情况的处理操作:根据事件管理过程和问题管理过程预先定义的紧急情况假设和相应的应对办法,当有紧急情况发生时,如果符合预先定制的紧急情况特征,则在最短的时间内启动应急处理操作,并确认应急操作是否达到预期的效果。日常情况下,需要定期在测试环境中演练紧急操作步骤,并根据系统配置变更调整应急操作的过程。
执行对系统问题的一线解决:负责服务台的工程师有责任进行现场的问题处理,在应急措施到位的前提下,服务台的工程师还要进行诸如联系相应的供应商,申请相关服务的工作。对于要解决的问题除进行记录以外,要对问题进行首次解决,并判断发生问题的单元。如果在规定的时间内不能解决,则根据流程调用二线、三线的技术支持。
统计服务情况,与用户定期进行沟通:项目组月度与用户进行交流,汇报本月系统运行状况,和对问题的跟踪解决情况。并接受用户方对项目组的要求和下一阶段需要配合得的重要工作。
事件管理过程:
南天和信达在针对信达各系统定制事件管理过程时,详细分析了信达公司业务的特点,将5*8小时工作时间里的系统可用性放在了首要的地位,事件管理的重点是应对工作时间内系统可能发生的紧急情况。结合信达现有的技术条件,项目组尽可能的使用冗余设备,为系统服务建立在线热备、冷备机制。例如强化重要系统(业务系统、数据库、邮件系统等)双机热备的可用性,定期进行双机的切换演练,并通过一些措施加快双机切换的速度。
对于一些没有实现双机的服务也可以进行建立备份机的冷备策略,本着设备充分利用的原则,将一台备用设备同时冷备2~3台生产设备,通过不同的应急操作可以在最短的时间内将备用设备模拟成生产设备,并对用户透明。
对于不能实现在线备份的系统则进行系统恢复的预想和演练。例如数据通过磁带恢复工作,预先编写的应急恢复操作手册将操作步骤尽可能简化,以降低操作者的操作难度和技术要求。大量采用脚本编写的方式使许多工作自动完成。也采用一些第三方工具使例如NT系统的恢复自动完成。
问题管理过程:
信达服务内容涉及主机、磁盘阵列、服务器、磁带备份设备、三层交换机、路由器、交换机、卫星接收设备、同步传输设备、高速行打印设备等多种硬件;同时包括Unix、Netware、Windows、Oracle、Informix、Weblogic、Exchange等多种大型的应用软件系统。所以服务于信达就需要以上各个方面的专业技术人员。针对这种情况,在问题管理的流程中为问题的解决定义了相对更加复杂的支持级别。
服务台人员作为第一级问题处理人员,需要对上述每一种系统有比较详尽的了解,同时了解上述系统相应业务系统中所处的地位,在解决问题过程中既能够判断问题原因,又能够为二、三线的技术专家进行有力的配合。
二线的技术专家指南天公司的相关技术人员,他们通过巡检、远程连接的方式检查相应系统。在一线问题解决不能完成的情况下,二线技术专家将迅速开始问题解决过程,必要时将会到达现场解决。二线专家在一定领域内拥有丰富的经验和技术积累,在与一线人员的配合工作中发挥各自优势,以利于问题解决。
三线技术专家指南天以外的例如厂家的技术专家,南天公司通过合同的方式与重要的产品供应商或线路服务商建立战略合作关系,在相应产品或系统故障发生时通过三线专家的介入,使问题解决时间能够大大缩短。
一线、二线、三线专家都将为问题彻底解决或找到有效的解决方法负责,防止同样问题不再重复发生。
变更管理和配置管理:
建立配置库控制变更管理、配置管理。
为规范信达各个系统的配置和配置的变更,南天公司在信达建立了专门定制的配置管理库,除了将所有系统的配置参数、更改历史记录在数据库中,同时将服务过程中的所有内容记录在案。配置库中对于人员角色的定义和权力的分配有严格的定制,对配置的更改和对问题的跟踪处理都有详尽的时间记录和操作员记录。配置数据库为实现变更管理和配置管理提供可能。
其他模块:
目前,IT系统管理的其他一些模块在信达暂时还没有使用,或没有将这部分内容进行流程化定义,是因为这些模块的内容在信达服务中发生的次数较少(例如容量管理),而且许多外界因素导致一些模块需要更长的时间才能有详细的定制(例如财务管理)。
对于SLA的管理,南天和信达形成一个共识,认为现阶段暂时不需要对SLA进行过分的苛求,因为SLA涉及到设备、软件、线路、服务、客户端等多个方面,过高和过低的SLA要求都是对信达IT系统管理不负责任的表现,而要严格计算出针对于信达系统的SLA并将其付诸实施需要大量的积累和工作量投入,势必带来大量的成本投入,所以这个过程现在并没有出现在服务中。但是系统每年的服务中断时间和次数都有严格的记录和统计,以务实的态度处理好每一次是事件的发生和问题的解决。
实施过程
信达IT服务管理系统的实施是一个循序渐进和持续改进的过程。实施过程分为四个阶段进行:
第一阶段准备阶段:对于信达的IT运行管理方案并不是在短的时间内实施到位的,信达运行管理方案的实施最初的准备经过了三个多月的时间。在这个阶段,信达广域网和企业信息网刚刚建成,对于系统运行稳定性和可用性没有运行记录,信达和南天共同组成的项目组详细分析了当前系统的状况,并开始记录和建立系统运行基线和问题数据库。项目组与信达总公司各个部门和办事处代表组织了讨论会,了解用户对于当前系统的运行管理和培训方面的需求。
经过对用户意见的调研和讨论,项目组组织安排了的定期和不定期的技术和管理的培训,包括总公司各部门的用户进行客户端和各应用系统的前端操作培训;针对办事处管理员的办事处系统管理和总公司IT运行管理的培训。
经过大约3个月的准备,对系统的基本运行情况有了一定的了解,对每一个系统对服务工作量的需求也有了一定的了解,这些为IT运行管理的试运行奠定了基础。 同时在这个阶段初步建立了服务台的架构,热线电话、Email、BBS都建立起来了,虽然没有定制的工作流程,但在这个过程中与信达技术保障部和其他部门的管理工作进行了反复的磨合。
第二阶段试行阶段:本阶段的主要目标是将IT运行管理流程贯彻到运行服务工作当中,同时试用管理过程的记录表格、数据库和一线二线三线技术支持的配合。这个过程大约进行了3个月。同时,经过上一个阶段的系统运行,开始为每一个系统建立紧急恢复机制,通过测试环境的搭建,操作手册的编写,实际系统的演练,对各个系统的应急恢复进行了详细的准备。在这个阶段的后期进行了关于此阶段工作的评审,评审各个流程和服务台的工作是否达到了预期的效果。
经过评审和调整运行管理过程,对一些方面进行了改进,基本完成了管理方案。
第三阶段实施阶段:在实施阶段,将所有管理流程固定下来,并编写详细的《运行管理规范》系列文档,在规范中规定的时间粒度和要进行的工作,以及流程中每一个环节的时间要求。同时在信达内部对各个部门和各个业务部门宣传标准的服务过程,使用户了解到对外服务的内容、过程和标准,这样做有利于提高用户对服务的了解和服务台工作效率的提高。
第四阶段改进阶段:经过大约一年的IT运行管理,系统和最初的情况有了一些变化,所以项目组进行了一定的修改,调整了一些不必要的流程,引入了更多的管理工具,提高了运行管理的效率。
效果分析
对业务影响
在服务启动初期,我们结合信达的实际情况,对各种运行应用进行统计和分析,界定关键业务的服务要求,如:对信达邮件系统、Internet代理、信息发布、登录认证系统、安全系统的系统配置、网络带宽、响应时间进行监控、统计和分析,以此规划和定制服务流程,使服务平台符合业务发展,具有可扩展性。制定应用服务标准的时候也考虑到关键业务的需求,确保关键业务的服务水平。实践证明,该服务项目在3年的服务过程中业务需求得到充分的支持,关键业务运行稳定。
对IT管理影响
通过服务项目实施,信达IT部门完善了现有日常工作流程,通过服务台向业务部门和其他用户提供了统一的联系点,提高了IT事件响应速度和故障处理能力,同时,丰富和完善了信达的事件和问题知识库,提高了服务台人员解决问题的能力。
通过流程化的日常管理,服务商和用户可以方便地了解IT系统资源的使用情况,并能预测系统资源的支持能力,结合IT资产管理,及时完成对设备的软硬件维护和系统升级。
日常管理中生成大量的原始数据,经过统计分析,有助于及时发现问题,避免故障发生,使网络、系统的可用性不断提高,从而实现主动的IT管理。
经济效益
一方面,借助专业的服务管理,信达IT部门能够有效控制服务成本,提高服务水平和客户满意度。现在,信达IT部门人员能够专注于提高自身的业务水平,创造更大的价值。另一方面,日常管理数据的统计分析能够为网络、系统的运维提供有力的数据支持。例如:信达通过分析设备的日常运维状况,对系统备份方案重新进行了评估,并在原有方案基础上有效降低了投资成本。
信达资产管理公司技术保障部主任李德燃评价信达服务项目“保证了信达企业网的正常运转,为信达公司各项业务的正常开展提供了有效的技术支持,得到了我部技术和管理人员以及信达公司总部广大员工的好评。”
经验和体会
服务流程客户化
在流程定制过程中,服务商要结合实用性、先进性原则,基于用户实际情况,保护用户投资,定制、优化用户服务流程。例如:在信达服务项目中,经过分析用户现状和需求,我们强调了服务流程中的服务台功能、事件管理流程和配置管理流程,并注重用户知识库的积累。
服务的平稳过渡
在服务流程的部署和推广过程中,如何保证服务的平稳过渡十分重要。服务提供商和用户需要进行充分的沟通,对定制的服务流程取得共识,共同保证业务和服务的平稳过渡。服务商要充分发挥自身经验优势,进行有效的风险管理,如:沟通风险、人力资源风险、服务管理风险等。
服务的共性和个性
对于IT服务,用户普遍关心服务商的公司实力、技术水平、服务流程等,这是服务的共性。此外,服务也强调在规范、有效的服务流程上体现用户服务的个性,关注用户的服务体验,尤其是基于用户的增值服务,如:服务增值工具的开发和应用。
服务的持续改进
经过长期服务实践,我们发现,服务水平的提高不能一蹴而就,需要服务商和用户互相磨合和调整,持续改进服务,是一个循序渐进、不断完善的过程。随着IT服务发展,服务商需要逐步量化服务内容和服务衡量标准,实现服务水平管理(SLM)。
揭开信息系统审计师的神秘面纱
信息系统审计师是做什么的?信息系统审计师,我们通常也称为IT审计师,是指一批既通晓信息系统的软件、硬件、开发、运营、维护、管理和安全,又熟悉经济管理的核心要义的专家级人士,他们能够利用规范和先进的审计技术,对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造,以降低组织日益面临的信息系统风险,有效率使用资源,使到组织IT目标与业务目标保持一致。
能给企业带来什么样的利益?如香港证券交易所宕机事件导致在线交易中断,经济损失惨重,事后调查发现是UPS没有检查维护,以致不能及时启动;2003年1月25日2003年度影响最大的蠕虫发作,全球互联网受此影响,网络速度明显降低,各大小ISP均不同程度受到影响,事后调查是如此大面积地受到影响,一个主要原因是没有及时打补丁。以上仅是几则信息系统风险引起的信息事件,实际上信息系统所涉及的内容与领域非常广泛,如系统应用、逻辑安全、实体安全、软件开发、知识产权、个人隐私等等,如何保证信息系统被有效控制,控制措施是否按程序执行等正是由信息系统审计师来实现的。
当然,信息系统审计师还可以作为IT咨询师出现。某大型物流企业集团,拥有19家全国性公司和区域性公司,各公司下属企业共300多家,形成了遍布全国的流通服务网络,是国内规模最大的物资流通产业集团,他们在全集团内建设一个大型网络,包括物流系统、客户管理系统、企业资源管理系统、人力资源管理系统、办公自动化系统等,那么就需要信息系统审计师来帮助做IT战略规划、投资回报率分析、实施控制、验收评估、维护审查等最大限度的降低企业面临的信息系统不确定风险。
信息系统审计师扮演的角色?从以上可以看出,信息系统审计师不仅可以在IT及相关行业内扮演信息系统审计的角色;而且可以在各个组织内担任CIO的角色,管理信息系统;更可以在很多正在向信息化和网络化迈进的传统行业内担任咨询顾问大显身手。
信息系统审计是一门边缘性学科,跨越传统审计理论、信息系统管理理论、行为科学理论和计算机科学四个科学领域,随着中国加入WTO,信息系统审计师也将在各行各业发挥至关重要的作用。赛迪培训新近开设的信息系统审计师培训班正是培养这类复合型人才,为推动整个中国信息系统建设发挥自己的力量。
信息系统审计与信息系统监理的再比较
[摘要] 信息化建设和电子商务的推广,使得人们越来越关注信息建设投资的风险和电子数据的完整性与可靠性。由此,国内产生了信息系统监理,国外出现了信息系统审计。由于两者作用不同、业务范围和目的不同、服务对象不同、工作主体与工作方法也不同。所以在信息化过程中,信息系统审计的作用是无可替代的,信息化过程只有监理是不够的,必须开展审计,这是信息时代的需求;我国应该大力宣传信息系统审计,培养CPA或IT人士成为信息系统审计人员,开展信息系统审计的制度规范研究,推动我国IS审计的发展。本文是继 “信息系统监理向何处去”(《计算机世界》2003年2月17日)之后对信息系统审计与信息系统监理的再比较。
[关键词] 信息系统;审计;监理;鉴证 [中图分类号] [文章标识码] A [文章编号]
所谓信息系统审计是指,审计人员接受委托或授权,收集并评估证据以判断一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整并最有效率地完成组织目标的活动过程。它既包括信息系统外部审计的鉴证目标——即对被审计单位的信息系统保护资产安全及数据完整的鉴证,又包含内部审计的管理目标——即不仅包括被审计信息系统保护资产安全及数据完整而且包括信息系统的有效性目标。信息系统工程监理,依据信息产业部《信息系统工程监理暂行规定》,是指依法设立且具备相应资质的信息系统工程监理单位,受业主单位委托,依据国家有关法律法规、技术标准和信息系统工程监理合同,对信息系统工程项目实施的监督管理。两者都可以服务于信息化建设,可以降低信息化投资风险。但目前在信息化建设领域,信息系统审计尚未被人们接受,在国内的推动中一提到审计,大家就认为是只有对会计报表的审计,似乎与IT和信息系统无关,相比较而言,人们更接受信息系统监理的概念,有些人甚至认为信息系统监理就是信息系统审计。对这两者认识的模糊,不仅影响到我国信息系统审计业的发展,而且影响到信息时代的市场经济秩序与国家安全等问题。国外没有信息系统监理的概念,在我国这一概念的提出是借鉴工程建设监理,而信息系统审计是21世纪初从国外介绍到国内的,尽管人们对两者存在模糊认识,但目前尚未见到系统比较两者的文章,笔者想通过比较,使人们认识到在信息化建设中,信息系统审计是不可替代与必不可少的,推动我国信息系统审计的发展是信息时代的要求。
1信息系统审计与信息系统监理的发展与实践
信息系统审计。信息系统审计最早称为计算机审计,是随着计算机在财务会计领域的应用而产生的,作为传统财务审计业务的一种辅助工具,对客户的电子化会计数据进行处理和分析,为财务报表审计人员提供服务。随着计算机技术应用范围的不断扩展,计算机对被审计单位各个业务环节的影响越来越大,计算机审计所关注的内容也从单纯的对电子的处理,延伸到对计算机系统的可靠性、安全性进行了解和评价。信息技术的爆炸性发展改变了经济、社会、文化的结构和运行方式,网上商务、网上银行、网上证券、网上政府等相继出现,信息资源的作用得到充分发挥。人们的生活、工作越来越依赖信息技术。利用信息技术攻击对手信息系统,窃取机密,借助网络非法占有财富,特别是数字化财富等现象也日益增多,扰乱了国家正常的经济秩序。这让人们更加关注网络所传递信息的安全、完整、真实,关注产生、处理、传递信息的系统本身的安全、可靠、有效,关注企业如何评估其面临的风险,并如何采取措施预防和监控。
由于技术的限制等原因,信息的使用者不能自己验证信息的质量,因此急需有独立的第三方出面对信息的保密性(Data Confidentiality)、完整性(Data Integrity ) 、交易行为的不可否认性(Non –Repudiation)、交易对手的身份明示(User Authentication)、系统的安全有效等做出鉴证,以合理保护信息使用者的利益。同时,企业在信息化过程中也急需专业人士提供有效控制信息系统风险,提高信息化效益的服务。真正意义上的信息系统审计应运而生。如今的信息系统审计的业务已经超出了为财务报表审计提供服务的范围,在很多大型会计公司内部,信息系统审计部门已经成为一个独立的对外提供多种服务的部门。尤其是互联网和电子商务的兴起,更是为信息系统审计业务带来了无尽的商机。为财务报表审计提供服务只占信息系统审计部门业务内容很小的一部分。与信息安全相关的防火墙审计、安全诊断、信息技术认证以及ERP相关的新型咨询业务也不断涌现。“未来审计行业和审计技术的发展动力将主要来自于信息系统审计的发展”,这一观点已经逐渐成为国外会计、审计界的一个共识。
信息系统监理。20时90年以来,从中央到地方,从政府到企业,纷纷投入了大量的资金从事信息工程建设和信息系统的建设,但这其中真正按进度、质量要求、投资预算完成且用户(业主)满意的,只占极少数,不足20%,即便是一些搞得比较好的工程项目,也或多或少地存在一些问题,如项目可行性论证不充分;用户需求不全面、不准确;用户要求一变再变、工程进度一拖再拖;甲乙双方的合同书条文不规范,缺乏可执行性,或存在二义性,出现争执时,双方各执一词、争执不下;缺少设备、系统监理评测验收;工程结束后,承包方没有提交与工程有关的文档资料,严重影响了工程的连续性、继承性、可扩展性;工程长时间不能投入正常运行、工程款一再拖欠,承建单位也迟迟拿不到工程款,等等。严重地影响了信息系统工程项目的质量和进度,不仅损害了合同签约双方(建设方和承建方)的利益,还给国家和社会造成了许多不应有的损失。
为保障信息系统工程签约双方的利益,确保国家信息产业更加健康、有序地发展,“信息系统工程监理”就应运而生了。
信息产业部于2000年元月发布了信规(2000第206号文),即“关于认真开展信息工程监理的通知”。在通知中指出:凡属于信息工程建设项目,包括新建、扩建、技术改造,一律按国家规定实行监理;承担工程监理的单位,必须具备与工程性质、规模等级相应的监理资质,没有信息工程监理资质的单位不得承担信息工程监理业务。要求监理公司要对建设项目的质量、成本、进度实施监理控制,保护建设项目建设方与承建方的利益。
2信息系统审计与信息系统监理的区别
从信息系统审计与信息系统监理的概念以及国内外的实践总结,笔者认为两者之间的主要区别包括:
作用不同
与财务报表审计相同,信息系统审计的作用也包括:
第一,鉴证作用。信息系统审计的鉴证价值是指通过审计,合理地保证被审计单位信息系统及其处理、产生的信息的真实性、完整性与可靠性,政策遵循的一贯性。在市场经济条件下,被审计单位输出的信息资料对该单位的存在与发展及其业务经营活动非常重要,对一些利益相关者而言也非常重要。例如,在电子商务中,交易双方在虚拟的空间进行交易活动,信息的真实性、可靠性、完整性,双方声明的商业政策能否一贯的遵循直接影响到交易是否顺利实现或公平实现。这种情况下,不仅被审计单位自己关注其信息系统对信息资产的安全、完整、真实的作用,同时交易的另一方也非常关心。由于技术、商业机密以及距离上的限制,信息的使用者不可能亲自对信息的质量做出审查,因此需要一个可信赖的一方为此提供鉴证。信息系统审计师以其独立的身份,对被审计单位的信息系统及其输出的信息进行审计,查出各种错误与舞弊,是合理地保证被审计单位信息系统及其处理、产生的信息的真实性、完整性与可靠性,政策遵循的一贯性的重要环节,是维护电子商务时代正常经济秩序必不可少的重要手段。
第二促进作用。促进价值体现在两个方面,一是指信息系统审计可以促进被审计单位更有效地融入到社会经济生活中;二是指审计可以促进被审计单位改进内部控制,加强管理,提高信息系统实现组织目标的效率、效果。
从第一个方面来看,信息系统审计师在完成审计后,出具审计证明,即审计报告,以证明被审计单位信息的真实、完整、可靠。审计师的证明可以增强人们对其信息的信任程度。随着网络技术的普及,商业信息的在线和实时披露都是不可扭转的必然趋势。信息系统审计师能够以在线、实时的信息为基础提供鉴证,对使用信息的所有相关体而言是具有巨大价值的。当然,对投资大众而言将更有意义。这样会给被审计单位带来更多的资金、更多的业务及合作伙伴。同时,信息的使用者也可以借助这些信息,加强被审计单位的管理决策,提高其经济效益。
从第二个方面来看,信息系统审计在审计过程中发现的控制缺陷或漏洞,可以审计报告、管理建议书等形式报告给委托人或被审计单位管理当局,并提出解决问题的建议,从而促进被审计单位提高管理水平,提高经济效益。信息系统审计的一个出发点在于从外部对被审计单位信息系统进行全面的审视,可以发现从内部看不到的问题。俗话说“不识庐山真面目,只缘身在此山中”。信息系统审计师提供的外部审视的价值既表现在用新的思维方式、新的观点去观察企业,分析其存在的问题及原因,也表现在以科学的态度和创新精神,去设计解决问题的方案。
第三咨询作用。信息技术的发展为组织的管理变革提供了技术手段,组织扁平化、工作丰富化等管理变革都要信息技术来实现。信息化已是大势所趋。但是,信息化建设是有风险的,据报道,一家咨询集团曾对美国24家大型企业开发的客户/服务器系统进行了调查,结果表明,其中68%的项目超过了预定的开发周期,55%的项目其费用超过预算,88%的项目必须进行系统再设计。另有一家美国著名的调查公司SPR对美英两国的企业信息系统工程进行了类似的调查,报告显示,有30%~50%的客户/服务器项目中途放弃开发。为减少信息化风险,信息系统审计师可凭借其专门知识和实践经验,受托或主动服务于被审计单位的管理者或其业务人员,在企业信息化过程中,帮助企业建立健全内部控制制度,进行系统诊断,根据企业需要,确定信息化的目标和内容,选择合适的软件产品,帮助企业调整现有的管理架构和流程或修改软件产品使其更好地服务于管理的需要。
与信息系统审计不同,信息系统监理的作用主要包括:
第一监督控制作用。信息系统工程监理可以帮助业主单位更合理的保证工程的质量、进度、投资,并合理、客观的处理好它们之间的关系。在项目建设全过程中,监理单位依据国家有关法律和相关技术标准,遵循守法、公平、公正、独立的原则,对信息系统建设的过程进行监督和控制,确保质量、安全和有效性的前提下,合理的安排进度和投资。监理单位是帮助业主单位对工程有关方面控制的再控制,就是对承建单位项目控制过程的监督管理。
第二合理地协调业主单位和建设单位之间的关系,这是监理的一项主要工作。在信息系统工程建设中,很多时候业主单位和承建单位有许多问题存争议,业主单位和承建单位都希望由第三方在工程的立项、设计、实施、验收、维护等的各个阶段的效果都给予公正、恰当、权威的评价,这就需要监理单位来协调和保障这些工作的顺利进行。另外还需要协调系统内部关系以及系统外部关系中的非合同因素等,保证项目顺利实施。
两者业务范围和目的不同。
信息系统工程监理和信息系统审计虽然都有一定的监督作用,但两者业务范围和目的均有所差别。
首先信息系统工程监理是具有信息系统工程监理资质的单位,接受建设单位的委托,依据国家和本市有关规定、信息系统工程建设标准和工程承建、监理合同,对信息系统工程的质量、进度和投资方面实施监督。主要应用在信息化工程建设阶段。而信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。它是立足于组织的战略目标,为有效的实现组织战略目标而采取的一切活动过程都在审计师的业务之内。其业务范围包括与信息系统有关的所有领域,例如对组织的信息系统审计(主要集中在对信息技术的管理控制)、技术方面的信息系统审计
(包括架构、数据中心、数据通信等)、应用的信息系统审计(包括经营、财务)、开发实施信息系统审计(包括需求识别、设计、开发以及实施后阶段)和信息系统是否符合国家或国际标准的审计以及网誉审计、电子签名审计业务等电子商务审计。
其次,信息系统工程监理的目的是保证工程建设质量、进度和投资额满足建设要求。监理活动随着工程的完成而结束。监理关注的是项目建设的质量、成本和进度。信息系统审计的目的是合理保证信息系统能够保护资产的安全、数据的完整、系统有效地实现组织目标并有效率的利用组织资源,其关注的核心是资产保护与信息系统的效率、效果。不仅包括对建设过程的审计,更重要的是对信息系统的运营审计,向公众出具审计报告,鉴证信息系统能否保护企业资产安全,其产生、传递的信息是否完整,整个系统是否有效地实现组织目标并有效率的利用组织资源。只要信息系统在运行,审计活动一直存在。另外,信息系统工程监理的过程是可见的,即对项目成本、进度和质量与目标出现的偏差是可见的,及时纠正也方便。但信息系统审计对信息系统的安全性、可靠性与有效性的认定具有不可见性,这也正是信息系统比工程项目复杂的主要原因。信息系统建设完毕,这仅仅是信息化的开始,大量的问题将出现在信息系统运营维护阶段,因此,从这个角度而言,信息系统审计是保证信息系统质量的行之有效的方法。
服务对象不同
从审计定义我们可以知道审计鉴证服务是鉴证人、信息使用者和信息提供者的三方合约,即由鉴证人接受委托或授权,对信息提供者进行审计,并就其提供的信息质量向信息使用人提供鉴证报告。因此审计服务的对象是所有的信息使用者,包括被审计单位的股东、债权人、管理当局、政府机构和一般社会公众。其关系图如1所示。
监理服务于建设合同的双方。建设方与承建方签署建设合同后,两者之间的关系是等价交换关系,即承建方要按时交付既定质量等级的工程、开发实物,建设方要按时支付等价的工程款。监理单位接受建设方委托后,作为工程承包合同的洽商者,它所执行的原则是使工程承包合同成为“平等条约”,作为工程承包合同管理和工程款支付的签认者,它所执行的原则是等价交换。因此,监理单位是为双方的利益服务的,而不仅仅为委托方——建设单位服务。其关系图如2所示。
工作主体不同
信息系统审计主体包括内部审计主体与外部审计主体。当审计人员是被审计单位的组成部分时,称为内部审计,其职责主要是搜集证据,判断系统的有效性以及利用资源的效率。当审计人员独立于被审计单位时,称为外部审计,其职责重要是关注被审计单位资产的安全、真实、完整。而监理主体只能独立于建设方和承建方,作为外部独立的第三方参与项目建设。
方法不同
审计的方法主要是搜集证据的方法,包括检查、观察、分析性复合、查询及函证等方法,并利用统计技术、计算机技术完成证据的搜集。监理主要是利用项目管理技术,包括成本核算控制、网络图及质量控制方法等实施对工程项目的三控制。
3 结论与建议
从以上的比较,笔者认为:
第一,信息系统审计的作用是无可替代的,信息化过程只有监理是不够的,必须开展审计,这是信息时代的需求。
电子商务以及传统价值链向以客户为中心的价值链的转变改变了审计师所从事的传统鉴证业务。供应链管理中的各种过程和步骤——如库存需求计划、购货定单、销售定单、运货通知和现金支出等,通过信息系统被电子化处理时,审查交易数据和评估其完整性及可靠性,对交易数据进行实时控制成为必要。当企业开始与新的贸易伙伴(而不是以前的贸易伙伴)交换数据并进行交易时,贸易伙伴及其交易处理系统的可靠性必须得到评估。审计师可能还需要评价客户的交易伙伴的可靠性和诚信度。此外,从事电子商务的公司必须将其内部控制扩展到交易处理系统的各个方面,因为该系统与包括贸易伙伴在内的其他系统有着密切的联系。电子商务系统的内部控制评估和风险管理也离不开信息系统审计。所有这些都不是信息系统监理所能完成的。
第二,积极开展我国信息系统审计。
首先,我们要加大信息系统审计的宣传,让人们了解什么是信息系统审计,为什么要进行信息系统审计。
其次要大力培养信息系统审计师。开展信息系统审计业务,有两支力量可以挖掘:一是传统的审计师。注册会计师在执行传统的财务报表鉴证业务方面具有长久不衰的声誉和经验,在经营惯例、交易处理的完整性、信息保护、内部控制的评价与建议方面一直都是注册会计师的专长。在提供信息系统及电子数据质量的鉴证与咨询服务方面,会计师事务所面临竞争,为使市场信服它是执行这种业务的最佳候选人,会计师需要:(1)学习提高技术能力。(2)继续维护他们现有的作为独立的、被信任的第三方的角色。(3)必须将信息技术、网络技术技能融入传统的鉴证业务。(4)必须拓展在系统可靠性、风险确认和影响分析,以及网站认证方面的业务。二是从事信息化咨询的IT技术人员。在电子商务时代,交易大部分是由系统自动完成的,人的参与较少,审计轨迹存在较少,在这种条件下,审计必须穿过计算机进行。IT技术人员具备了相应的技术技能:编程知识、系统运营、网络技术、认证技术、防火墙技术及其他安全技术等,这对于发现被审计信息系统及其控制的缺陷等相对较容易。但他们在鉴证市场还缺乏会计师事务所的独立、客观、公正的信誉,缺乏对管理与内部控制认识、评价的经验,缺少审计的理论与技能。因此,IT技术人员从事信息系统审计业务,要补充审计理论知识,学会用审视的目光,从管理控制角度,而非纯技术角度思考问题。
此外,要尽快形成制度规范,如从事电子商务的企业必须经过审计,上市公司的信息系统必须经过审计等,借鉴注册会计师的经验,对信息系统审计职业的自律规范开展研究,包括资格考试制度、职业道德、执业规范与惩戒等,使我国信息系统审计规范化发展。
[参考文献] 1、玛丽莲.格林斯坦 电子商务的安全与风险管理[M]. 谢淳 译 北京:华夏出版社,2001. 2、孟秀转 “IS审计:信息时代审计业务的发展”,《北京联合大学学报》2002年4期. 3、孙强 孟秀转 “什么是信息系统审计师”,《中国注册会计师》2003年1期. 4、孟秀转 孙强 “信息系统监理向何处去”《计算机世界》2003年2月17日.
The comparison IS Auditing with IS Surveillance Meng Xiuzhuan Sun Qiang (College of Applied Sciences and Humanities of Beijing Union University, Beijing 100083,China) (China Federation of IT Promotion IT Governance Committee, Beijing 100044,China) Abstract: With the expansion of informatization and electronic commerce, people pay more and more attention to risk of the investment and the reliability of electronics data. So IS (information system) surveillance appears in China and IS audit in overseas. But they are different in effect, scope of business, service object and method. IS audit can’t be replaced. It is necessary for information age. Accordingly we should publicize the IS audit, increase people to concern IS audit, give the CPA information technique training or IT personnel audit training; research our country's IS auditing standard to push IS auditing to develop in our country.
Key words: information system ;audit;surveillance;assurance
[收稿日期] 2003-07-28
[作者简介] 孟秀转,女,北京联合大学应用文理学院讲师,数量经济学硕士,注册会计师,主要从事审计、信息系统审计、投资的教学与研究。
信息系统审计与信息系统工程监理的再比较
[摘要] 信息化建设和电子商务的推广,使得人们越来越关注信息建设投资的风险和电子数据的完整性与可靠性。由此,国内产生了信息系统工程监理,国外出现了信息系统审计。由于两者作用不同、业务范围和目的不同、服务对象不同、工作主体与工作方法也不同。所以在信息化过程中,信息系统审计的作用是无可替代的,信息化过程只有监理是不够的,必须开展审计,这是信息时代的需求;我国应该大力宣传信息系统审计,培养CPA或IT人士成为信息系统审计人员,开展信息系统审计的制度规范研究,推动我国IS审计的发展。本文是继 “信息系统工程监理向何处去”(《计算机世界》2003年2月17日)之后对信息系统审计与信息系统工程监理的再比较。
[关键词] 信息系统;审计;监理;鉴证 [中图分类号] [文章标识码] A [文章编号]
所谓信息系统审计是指,审计人员接受委托或授权,收集并评估证据以判断一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整并最有效率地完成组织目标的活动过程。它既包括信息系统外部审计的鉴证目标——即对被审计单位的信息系统保护资产安全及数据完整的鉴证,又包含内部审计的管理目标——即不仅包括被审计信息系统保护资产安全及数据完整而且包括信息系统的有效性目标。信息系统工程监理,依据信息产业部《信息系统工程监理暂行规定》,是指依法设立且具备相应资质的信息系统工程监理单位,受业主单位委托,依据国家有关法律法规、技术标准和信息系统工程监理合同,对信息系统工程项目实施的监督管理。两者都可以服务于信息化建设,可以降低信息化投资风险。但目前在信息化建设领域,信息系统审计尚未被人们接受,在国内的推动中一提到审计,大家就认为是只有对会计报表的审计,似乎与IT和信息系统无关,相比较而言,人们更接受信息系统工程监理的概念,有些人甚至认为信息系统工程监理就是信息系统审计。对这两者认识的模糊,不仅影响到我国信息系统审计业的发展,而且影响到信息时代的市场经济秩序与国家安全等问题。国外没有信息系统工程监理的概念,在我国这一概念的提出是借鉴工程建设监理,而信息系统审计是21世纪初从国外介绍到国内的,尽管人们对两者存在模糊认识,但目前尚未见到系统比较两者的文章,笔者想通过比较,使人们认识到在信息化建设中,信息系统审计是不可替代与必不可少的,推动我国信息系统审计的发展是信息时代的要求。
1信息系统审计与信息系统工程监理的发展与实践
信息系统审计。信息系统审计最早称为计算机审计,是随着计算机在财务会计领域的应用而产生的,作为传统财务审计业务的一种辅助工具,对客户的电子化会计数据进行处理和分析,为财务报表审计人员提供服务。随着计算机技术应用范围的不断扩展,计算机对被审计单位各个业务环节的影响越来越大,计算机审计所关注的内容也从单纯的对电子的处理,延伸到对计算机系统的可靠性、安全性进行了解和评价。信息技术的爆炸性发展改变了经济、社会、文化的结构和运行方式,电子商务、网络银行、网络证券、电子政府等相继出现,信息资源的作用得到充分发挥。人们的生活、工作越来越依赖信息技术。利用信息技术攻击对手信息系统,窃取机密,借助网络非法占有财富,特别是数字化财富等现象也日益增多,扰乱了国家正常的经济秩序。这让人们更加关注网络所传递信息的安全、完整、真实,关注产生、处理、传递信息的系统本身的安全、可靠、有效,关注企业如何评估其面临的风险,并如何采取措施预防和监控。
由于技术的限制等原因,信息的使用者不能自己验证信息的质量,因此急需有独立的第三方出面对信息的保密性(Confidentiality)、完整性(Integrity ) 、交易行为的不可否认性(Non –Repudiation)、交易对手的身份验证(User Authentication)、系统的安全有效等做出鉴证,以合理保护信息使用者的利益。同时,企业在信息化过程中也急需专业人士提供有效控制信息系统风险,提高信息化效益的服务。真正意义上的信息系统审计应运而生。如今的信息系统审计的业务已经超出了为财务报表审计提供服务的范围,在很多大型会计公司内部,信息系统审计部门已经成为一个独立的对外提供多种服务的部门。尤其是互联网和电子商务的兴起,更是为信息系统审计业务带来了无尽的商机。为财务报表审计提供服务只占信息系统审计部门业务内容很小的一部分。与信息安全相关的防火墙审计、灾难恢复与业务持续计划以及ERP相关的新型咨询业务正在不断涌现。“未来审计行业和审计技术的发展动力将主要来自于信息系统审计的发展”,这一观点已经逐渐成为国外会计、审计界的一个共识。
信息系统工程监理。20世纪90年以来,从中央到地方,从政府到企业,纷纷投入了大量的资金从事信息工程建设和信息系统的建设,但这其中真正按进度、质量要求、投资预算完成且用户(业主)满意的,只占极少数,不足20%,即便是一些搞得比较好的工程项目,也或多或少地存在一些问题,如项目可行性论证不充分;用户需求不全面、不准确;用户要求一变再变、工程进度一拖再拖;甲乙双方的合同书条文不规范,缺乏可执行性,或存在二义性,出现争执时,双方各执一词、争执不下;缺少设备、系统监理评测验收;工程结束后,承包方没有提交与工程有关的文档资料,严重影响了工程的连续性、继承性、可扩展性;工程长时间不能投入正常运行、工程款一再拖欠,承建单位也迟迟拿不到工程款,等等。严重地影响了信息系统工程项目的质量和进度,不仅损害了合同签约双方(建设单位和承建单位)的利益,还给国家和社会造成了许多不应有的损失。
为保障信息系统工程签约双方的利益,确保国家信息产业更加健康、有序地发展,“信息系统工程监理”就应运而生了。
信息产业部从2002年起相继发布了《信息系统工程监理暂行规定》、《信息系统工程监理单位资质管理办法》和《信息系统工程监理工程师资格管理办法》。以上规定和管理办法明确指出了监理范围和监理内容,监理单位和监理工程师的权利与义务,监理单位资质申请、评审和审批的管理办法,监理工程师资格取得的管理办法等。
2信息系统审计与信息系统工程监理的区别
从信息系统审计与信息系统工程监理的概念以及国内外的实践总结,笔者认为两者之间的主要区别包括:
作用不同
与财务报表审计相同,信息系统审计的作用也包括:
第一,鉴证作用。信息系统审计的鉴证价值是指通过审计,合理地保证被审计单位信息系统及其处理、产生的信息的真实性、完整性与可靠性,政策遵循的一贯性。在市场经济条件下,被审计单位输出的信息数据对该单位的存在与发展及其业务经营活动非常重要,对一些利益相关者而言也非常重要。例如,在电子商务中,交易双方在虚拟空间进行交易活动,信息的真实性、可靠性、完整性以及双方声明的商业政策能否一贯的遵循,直接影响到交易是否顺利实现或公平实现。这种情况下,不仅被审计单位自己关注其信息系统对信息资产的安全、完整、真实的作用,同时交易的另一方也非常关心。由于技术、商业机密以及距离上的限制,信息的使用者不可能亲自对信息的质量做出审查,因此需要一个可信赖的一方为此提供鉴证。信息系统审计师以其独立的身份,对被审计单位的信息系统及其输出的信息进行审计,查出各种错误与舞弊,是合理地保证被审计单位信息系统及其处理、产生的信息的真实性、完整性、可靠性以及商业政策遵循的一贯性的重要环节,是维护电子商务时代正常经济秩序必不可少的重要手段。
第二促进作用。促进价值体现在两个方面,一是指信息系统审计可以促进被审计单位更有效地融入到社会经济生活中;二是指审计可以促进被审计单位改进内部控制,加强管理,提高信息系统实现组织目标的效率、效果。
从第一个方面来看,信息系统审计师在完成审计后,出具审计证明,即审计报告,以证明被审计单位信息的真实、完整、可靠。审计师的证明可以增强人们对其信息的信任程度。随着网络技术的普及,商业信息的在线和实时披露都是不可扭转的必然趋势。信息系统审计师能够以在线、实时的信息为基础提供鉴证,对使用信息的所有相关体而言是具有巨大价值的。当然,对投资大众而言将更有意义。这样会给被审计单位带来更多的资金、更多的业务及合作伙伴。同时,信息的使用者也可以借助这些信息,加强被审计单位的管理决策,提高其经济效益。
从第二个方面来看,信息系统审计在审计过程中发现的控制缺陷或漏洞,可通过审计报告、管理建议书等形式报告给委托人或被审计单位管理当局,并提出解决问题的建议,从而促进被审计单位提高管理水平,提高经济效益。信息系统审计的一个出发点在于从外部对被审计单位信息系统进行全面的审视,可以发现从内部看不到的问题。俗话说“不识庐山真面目,只缘身在此山中”。信息系统审计师提供的外部审视的价值既表现在用新的思维方式、新的观点去观察企业,分析其存在的问题及原因,也表现在以科学的态度和创新精神,去设计解决问题的方案。
第三咨询作用。信息技术的发展为组织的管理变革提供了技术手段,组织扁平化、工作丰富化等管理变革都要通过信息技术来实现。信息化已是大势所趋,但是,信息化建设是有风险的,据报道,一家咨询集团曾对美国24家大型企业开发的客户/服务器系统进行了调查,结果表明,其中68%的项目超过了预定的开发周期,55%的项目其费用超过预算,88%的项目必须进行系统再设计。另有一家美国著名的调查公司SPR对美英两国的企业信息系统工程进行了类似的调查,报告显示,有30%~50%的客户/服务器项目中途放弃开发。为减少信息化风险,信息系统审计师可凭借其专门知识和实践经验,受托或主动服务于被审计单位的管理者或其业务人员,在企业信息化过程中,帮助企业建立健全内部控制制度,进行系统诊断,根据企业需要,确定信息化的目标和内容,选择合适的软件产品,帮助企业调整现有的管理架构和流程或修改软件产品使其更好地服务于管理的需要。
与信息系统审计不同,信息系统工程监理的作用主要包括:
第一监督控制作用。信息系统工程监理可以帮助业主单位更合理的保证工程的质量、进度、投资,并合理、客观的处理好它们之间的关系。在项目建设全过程中,监理单位依据国家有关法律和相关技术标准,遵循守法、公平、公正、独立的原则,对信息系统建设的过程进行监督和控制,确保质量、安全和有效性的前提下,合理的安排进度和投资。监理单位是帮助业主单位对工程有关方面控制的再控制,就是对承建单位项目控制过程的监督管理。
第二合理地协调业主单位和建设单位之间的关系,这是监理的一项主要工作。在信息系统工程建设中,很多时候业主单位和承建单位在许多问题上存在争议,业主单位和承建单位都希望由第三方在工程的立项、设计、实施、验收、维护等的各个阶段的效果都给予公正、恰当、权威的评价,这就需要监理单位来协调和保障这些工作的顺利进行。另外还需要协调系统内部关系以及系统外部关系中的非合同因素等,保证项目顺利实施。
两者业务范围和目的不同。
信息系统工程监理和信息系统审计虽然都有一定的监督作用,但两者业务范围和目的均有所差别。
首先信息系统工程监理是具有信息系统工程监理资质的单位,接受建设单位的委托,依据国家和本市有关规定、信息系统工程建设标准和工程承建、监理合同,对信息系统工程的质量、进度和投资方面实施监督。主要应用在信息化工程建设阶段。而信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。它是立足于组织的战略目标,为有效的实现组织战略目标而采取的一切活动过程都在审计师的业务之内。其业务范围包括与信息系统有关的所有领域,例如对信息系统的战略规划与组织的审计(主要集中在信息系统的战略规划、业务流程重组、信息系统的策略和流程、组织结构和职责等方面);技术基础平台建设的审计(包括信息系统硬件、信息系统软件、信息系统网络及通信技术基础平台);应用系统建设审计(包括系统开发方法、系统开发工具、系统开发过程、项目管理等);信息系统管理和运营审计(包括信息系统管理和运营审计等);风险管理与应用控制审计(包括输入控制、输出控制、处理控制等);信息系统是否符合国家或国际标准的审计以及网誉审计、电子签名审计等。
其次,信息系统工程监理的目的是保证工程建设质量、进度和投资额满足建设要求。监理活动随着工程的完成而结束。监理关注的是项目建设的质量、成本和进度。信息系统审计的目的是合理保证信息系统能够保护资产的安全、数据的完整、系统有效地实现组织目标并有效率的利用组织资源,其关注的核心是资产保护与信息系统的效率、效果。不仅包括对建设过程的审计,更重要的是对信息系统的运营审计,向公众出具审计报告,鉴证信息系统能否保护企业资产安全,其产生、传递的信息是否完整,整个系统是否有效地实现组织目标并有效率的利用组织资源。只要信息系统在运行,审计活动一直存在。另外,信息系统工程监理的过程是可见的,即对项目成本、进度和质量与目标出现的偏差是可见的,及时纠正也方便。但信息系统审计对信息系统的安全性、可靠性与有效性的认定具有不可见性,这也正是信息系统比工程项目复杂的主要原因。信息系统建设完毕,这仅仅是信息化的开始,我国信息化建设中若干失败的案例,并不是信息系统没有建设好,往往是在运营维护时期出了问题。因此,从这个角度而言,信息系统审计是保证信息系统质量的行之有效的方法。
服务对象不同
从审计定义我们可以知道审计鉴证服务是鉴证人、信息使用者和信息提供者的三方合约,即由鉴证人接受委托或授权,对信息提供者进行审计,并就其提供的信息质量向信息使用人提供鉴证报告。因此审计服务的对象是所有的信息使用者,包括被审计单位的股东、债权人、管理当局、政府机构和一般社会公众。其关系图如1所示。
监理服务于建设合同的双方。建设单位与承建单位签署建设合同后,两者之间的关系是等价交换关系,即承建单位要按时交付既定质量等级的工程、开发实物,建设单位要按时支付等价的工程款。监理单位接受建设单位委托后,作为工程承包合同的洽商者,它所执行的原则是使工程承包合同成为“平等条约”,作为工程承包合同管理和工程款支付的签认者,它所执行的原则是等价交换。因此,监理单位是为双方的利益服务的,而不仅仅为委托方——建设单位服务。其关系图如2所示。
工作主体不同
信息系统审计主体包括内部审计主体与外部审计主体。当审计人员是被审计单位的组成部分时,称为内部审计,其职责主要是搜集证据,判断系统的有效性以及利用资源的效率。当审计人员独立于被审计单位时,称为外部审计,其职责重要是关注被审计单位信息资产的安全、真实、完整。而监理主体只能独立于建设单位和承建单位,作为外部独立的第三方参与项目建设。
方法不同
审计的方法主要是搜集证据的方法,包括检查、观察、分析性复合、查询及函证等方法,并利用统计技术、计算机技术完成证据的搜集与评价。监理主要是利用项目管理技术,包括成本核算控制、网络图及质量控制方法等实施对工程项目的“三控两管一协调”。
3 结论与建议
从以上的比较,笔者认为:
第一,信息系统审计的作用是无可替代的,信息化过程只有监理是不够的,必须开展审计,这是信息时代的需求。
电子商务以及传统价值链向以客户为中心的价值链的转变改变了审计师所从事的传统鉴证业务。供应链管理中的各种过程和步骤——如库存需求计划、购货定单、销售定单、运货通知和现金支出等,通过信息系统被电子化处理时,审查交易数据和评估其完整性及可靠性,对交易数据进行实时控制成为必要。当企业开始与新的贸易伙伴(而不是以前的贸易伙伴)交换数据并进行交易时,贸易伙伴及其交易处理系统的可靠性必须得到评估。审计师可能还需要评价客户的交易伙伴的可靠性和诚信度。此外,从事电子商务的公司必须将其内部控制扩展到交易处理系统的各个方面,因为该系统与包括贸易伙伴在内的其他系统有着密切的联系。电子商务系统的内部控制评估和风险管理也离不开信息系统审计。所有这些都不是信息系统工程监理所能完成的。
第二,积极开展我国信息系统审计。
首先,我们要加大信息系统审计的宣传,让人们了解什么是信息系统审计,为什么要进行信息系统审计。
其次要大力培养信息系统审计师。开展信息系统审计业务,有两支力量可以挖掘:一是传统的审计师。注册会计师在执行传统的财务报表鉴证业务方面具有长久不衰的声誉和经验,在经营惯例、交易处理的完整性、信息保护、内部控制的评价与建议方面一直都是注册会计师的专长。在提供信息系统及电子数据质量的鉴证与咨询服务方面,会计师事务所面临竞争,为使市场信服它是执行这种业务的最佳候选人,会计师需要:(1)学习提高技术能力。(2)继续维护他们现有的作为独立的、被信任的第三方的角色。(3)必须将信息技术、网络技术技能融入传统的鉴证业务。(4)必须拓展在系统可靠性、风险确认和影响分析,以及网站认证方面的业务。二是从事信息化咨询的IT技术人员。在电子商务时代,交易大部分是由系统自动完成的,人的参与较少,审计轨迹存在较少,在这种条件下,审计必须穿过信息系统进行。IT技术人员具备了相应的技术技能:编程知识、系统运营、网络技术、认证技术、防火墙技术及其他安全技术等,这对于发现被审计信息系统及其控制的缺陷等相对较容易。但他们在鉴证市场还缺乏会计师事务所的独立、客观、公正的信誉,缺乏对管理与内部控制认识、评价的经验,缺少审计的理论与技能。因此,IT技术人员从事信息系统审计业务,要补充审计理论知识,学会用审视的目光,关注信息技术的效益,从管理控制角度,而非纯技术角度思考问题。
此外,要尽快形成行业管理制度规范,如从事电子商务的企业必须经过审计、上市公司的信息系统必须经过审计、网上银行要审计等,借鉴会计师业的经验,对信息系统审计职业的自律规范开展研究,包括资格考试制度、职业道德、执业规范与惩戒等,使我国信息系统审计事业在健康规范的轨道上快速发展。
[参考文献] 1、玛丽莲.格林斯坦 电子商务的安全与风险管理[M]. 谢淳 译 北京:华夏出版社,2001. 2、孟秀转 “IS审计:信息时代审计业务的发展”,《北京联合大学学报》2002年4期. 3、孙强 孟秀转 “什么是信息系统审计师”,《中国注册会计师》2003年1期. 4、孟秀转 孙强 “信息系统工程监理向何处去”《计算机世界》2003年2月17日.
The comparison IS Auditing with IS Surveillance
Meng Xiuzhuan Sun Qiang (College of Applied Sciences and Humanities of Beijing Union University, Beijing 100083,China) (China Federation of IT Promotion IT Governance Committee, Beijing 100044,China) Abstract: With the expansion of informatization and electronic commerce, people pay more and more attention to risk of the investment and the reliability of electronics data. So IS (information system) surveillance appears in China and IS audit in overseas. But they are different in effect, scope of business, service object and method. IS audit can’t be replaced. It is necessary for information age. Accordingly we should publicize the IS audit, increase people to concern IS audit, give the CPA information technique training or IT personnel audit training; research our country's IS auditing standard to push IS auditing to develop in our country.
Key words: information system ;audit;surveillance;assurance
企业IT部门成本管理研究
京联合大学应用文理学院国际金融财务学系 孟秀转 中国信息化推进联盟IT治理专业委员会 孙强
[摘要] 企业信息化成本的居高不下,使得人们越来越关注IT部门的成本问题。成本构成分析是成本管理的基础,在分析IT部门成本构成和成本管理目标的基础上,提出企业IT部门成本管理的模式,并对实施过程中存在的问题提出建议。
[关键词] IT;成本;成本管理
引言 自从1981年沈阳第一机床厂从德国工程师协会引入MRPⅡ软件以来,随着信息技术的发展和管理理念的进步,各种各样的企业信息化项目接踵而来,企业资源计划(ERP)、客户关系管理(CRM)、供应链管理(SCM)及企业流程再造(BPR)等等,国内各种企业争相花巨资对企业进行信息化改造,成立专门的IT部门,设立CIO,仿佛搭上信息化快车,企业便可以高枕无忧地进入新经济时代了。然而有专家调查发现,从1981年沈阳第一机床厂从德国工程师协会引入MRPⅡ软件到2002年的20多年时间里,企业ERP应用情况不容乐观,按期按预算成功实施实现系统集成的企业占10%-20%,没有实现系统集成的或实现部分集成的企业占30%-40%,而失败的却占50%,在实施成功的企业中大多是外资企业。国外的调查也存在类似情况,英国Kalido于2001年12月12日公布了有关企业信息管理的调查结果。调查显示,96%的企业对于本公司的信息管理系统感到不满。引人深思的是该调查是由美国Harte-Hanks以全球500强企业以及财富1000企业中的171家公司为对象通过问卷方式实施的。调查对象中,40%以上的企业年交易额超过20亿美元。回答目前的信息系统不能灵活因应变化的企业约占60%;对于资料的精度表示担心的企业约占60%;60%以上的企业正在策划有关数据及信息的整合计划。国内外数字表明企业信息化投资成功率很低。一方面是巨额的不惜代价的投入,一方面是不能令人满意的产出效果,这让企业的CIO们感到极大的压力。造成这种困境的一个重要原因是企业缺乏对IT部门的成本管理。
在互联网泡沫时期,企业对IT部门的成本支出几乎处于失控状态,大把“烧钱”是这一时期的生动写照。但严酷的市场竞争现实让企业不得不考虑IT部门对企业价值增加的贡献,考虑IT部门的成本快速增长的合理性。虽然越来越多的人士认为到IT部门的服务是一个企业或一项业务不可缺少的支持,但IT成本的快速增加影响了企业对IT部门的进一步投入,甚而影响新的IT服务项目的开发。为了衡量IT部门工作绩效,同时IT部门也想证明自身所做的努力,无论是IT服务的接受者还是IT部门本身都需要清楚提供一项IT服务的真实成本是多少,IT部门是如何管理控制这些成本的。IT部门的成本管理与控制被提到议事日程。
一、企业IT部门成本构成分析
正确理解成本的分类及其性质,是有效控制成本的前提。IT部门发生的成本主要包括: 硬件成本;软件成本;人力资源成本;场所成本,包括计算机房、办公室及其他设备用房如测试室、培训室、空调等;外包服务成本,即从外部组织购买服务的成本,它可以是购买应用系统开发服务也可以是数据中心的建设,因此成本中包括硬件软件等不同成本类型,但由于服务提供方不愿提供详细的成本数据等原因,很难将外包服务成本分解为最基本的成本类型,因此将它单独列出作为一类;转移成本,对于跨国公司或较大的企业,通常都有较为复杂的内部会计核算体系,在组织内部不同的部门之间相互提供产品或服务时,要制定一个转移价格,转移价格对于提供产品或服务的部门来说表示收入,对于使用这些产品或服务的购买部门来说则表示成本,即转移成本。通常包括:硬件、软件(公司财务部门为IT部门成本管理制定的控制机制)、人力资源成本(公司人力资源部门收取的人力资源费用)、场所成本(主要由公司设施管理部门收取的费用)。我们可以根据成本管理的不同需要,按不同的标准将这些成本分成不同种类。
1.根据成本的可追溯性划分为直接成本与间接成本。
直接成本是指可以追溯到个别产品、服务或部门的成本叫做直接成本。例如IT部门为其他部门或企业外的客户提供某项IT服务而直接耗费的资源,这一资源的耗费只与该项服务有关,则这些耗费就是直接成本。间接成本是指由几项服务或部门共同引起的成本叫做间接成本。例如IT部门的管理费用,它不是专为某项服务或部门而发生的,因此算作IT部门的间接成本。
2.根据成本性态划分为固定成本与可变成本。
成本性态是指成本总额对业务量的依存关系。业务量是指组织的生产经营活动水平的标志量。它可以是产出量也可以是投入量;可以使用实物量、时间度量,也可以使用货币度量。当业务量变化以后,各项成本有不同的性态,大体可以分为:固定成本和变动成本。
固定成本是指不受业务量影响的成本。它包括硬件、软件及建筑物的投资,但这不是指硬件、软件及建筑物的购置价格,而是其每月或每年的折旧。这些折旧无论业务量增加还是降低,一直保持稳定,这就是IT服务部门的固定成本。变动成本是指随着业务量增长而正比例增长的成本。例如,IT人员工资、打印机墨盒、纸张、电力等的耗费都会随着IT服务提供量的增加而增加,这些就是IT部门的变动成本。
3.根据成本的性质划分为资本成本和营业成本。
为购置长期使用的资产而发生的成本叫做资本成本。这些成本一般以一定年限内的折旧体现在会计科目中。所以资本成本一般指折旧而不是购置资产的价格。营业成本是指日常发生的与形成有形资产无关的成本。例如硬件、软件的维护费用、保险费以及许可证费用等。
此外根据管理人员对成本项目的可控性可划分为可控成本与不可控成本:如果管理人员可以控制成本或对成本水平有重大影响,这种成本就叫做可控成本。管理人员不能对其发生重大影响的成本叫做不可控成本。许多成本不能由人完全控制。在区分可控成本与不可控成本时,要特别注意管理人员是否有能力影响成本。
二、企业IT部门的成本管理目标
由于企业是若干部门共同构成, 每个部门都有自己的目标, 所以对IT部门的成本管理的立足点, 就十分关键。对企业IT部门的成本管理应以企业为中心, 站在企业的角度进行分析。企业对IT部门的成本管理, 并不是单纯追求成本最低, 利润最大化, 而不考虑其他各部门的利益。也不是以牺牲其他部门或企业的利益为代价而使IT部门获取超额利润。企业各成部门之间是为了共同的目标——增加提高企业价值而形成的一种利益关系,如果各部门之间没有利益关系,不进行内部核算的话,企业便会缺少对各部门行动的有效控制,缺乏对各部门工作绩效的有效评价和奖惩。这影响到企业各部门的工作积极性和效果,进而影响到企业的生存与发展。所以,企业IT部门的成本管理的目标可以这样定义: 是企业追求企业价值最大为前提的IT服务的成本优势。
具体而言,成本管理中应能使IT部门管理者:基于成本效益原则对每项IT服务做出决策;以可靠的数据信息为基础制定预算计划;采取商业化形式实施IT服务及其相关投资;以商业化模式审视IT服务,以成本补偿为基础制定投资计划等等。
三、 IT部门成本管理模式设计
所谓成本管理是指以预算成本为限额,按限额开支成本和费用,以实际成本和预算成本比较,衡量活动的成绩和效果,并以例外管理原则纠正不利差异,以提高工作效率,实现以至超过预期目标。因此成本管理模式应包括:预算、IT会计记录、企业内部核算以及成本分析与考核。
1 预算
预算是指组织按照一定的业务量水平及质量水平,估计各项成本,计算预算成本,并以预算成本为控制经济活动的依据,衡量其合理性。当实际状态和预算有了较大差异时,要查明原因并采取措施加以控制。编制预算是以预算项目的成本预测及IT服务工作量的预测为基础的。
(1)预算项目的成本预测
预算项目一般按照成本项目划分,一旦确定一般要保持稳定,这样一是可以使企业了解其成本变动趋势,进行纵向比较,也可以与其他企业之间进行横向比较,二是为成本管理活动提供了一个简单的处理基础,如折旧可以按照成本类型的不同分别进行处理。
在预算编制时,各预算项目的成本一般都是未知的,如加班工资、 外部网收费等,因此必须对其进行预测。预测这些成本是以从前IT会计年度的成本数据为基础或以未来工作量的预测为基础进行的。IT成本管理必须谨慎地估计不可控制的成本的变化。
(2)IT服务工作量预测
IT工作量是成本变化的一个主要原因之一,因此,在编制预算的时候,要预测未来IT工作量。不仅成本管理活动需要估计工作量,在服务级别管理和容量管理中也需要对工作量进行预测。工作量预测是以工作量的历史数据为基础,考虑数据的更新与计划的修改,得出未来IT工作量。
2 会计记录
会计记录是跟踪监测IT部门或组织的费用是如何形成的书面记录。包括各种分类账,由会计人员进行管理。会计记录非常重要,它是人们认识、识别与IT部门有关的成本,了解费用的去向的工具,可以帮助企业计算向企业内部及外部客户提供每一项服务的成本,指出在提供服务过程中资金的去向,提供IT成本效益分析或投资回报分析数据,描述成本的变化趋势。IT会计的基本原则与其他业务活动的会计原则没什么两样。
IT会计最主要的工作是定义成本要素,成本要素是成本项目的进一步细分,例如,硬件可以再分为办公室硬件、网络硬件以及中心服务器硬件。这有利于识别的每一项成本都较容易地填报在成本表中。成本要素结构一般在一年当中是相对固定的。定义成本要素结构一般可以按部门、按客户或按产品划分。对IT部门而言,理想的方法应该是按照服务要素结构定义成本要素结构,这样可以使硬件、软件、人力资源成本等直接成本项目的金额十分清晰,同时有利于间接成本在不同服务之间的分配。服务要素结构越细,对成本的认识越清晰。表.1是一个简单的服务要素结构,底层的服务为上层的服务提供支持,越高层的服务要素,其功能与业务关系越密切。
在确定服务要素结构的基础上,识别成本,在各项服务当中分配归集成本。如图1所示。
3内部核算
内部核算是指向接受IT部门服务的客户收取费用,进行成本效益核算的过程。内部核算包括收费的对象确定和计算收费额的方法的选择。良好的内部核算体系是以存在有效的会计系统,完善的会计记录为前提。如果接受IT服务的客户是组织外部的客户,则收取费用作为提供服务的回报,如果接受IT服务的客户是企业内部其他部门,则用模拟方式进入适当的会计科目,以反映IT部门的活动效果及其对应部门的活动耗费。
进行内部核算的目的有两个:防止成本转移带来的部门间责任转嫁,使每个责任中心都能作为单独的组织单位进行业绩评价;作为一种价格引导下级部门采取明智的决策,IT部门据此确定提供产品或服务的数量,IT服务需求部门据此确定所需要的产品或服务的数量。但是,这两个目的往往有矛盾。能够满足评价部门业绩的转移价格,可能引导部门经理采取并非对企业最理想的决策;而能够正确引导部门经理的转移价格可能使某个部门获利水平很高而另一个部门亏损。因此很难找到理想的转移价格,而只能根据企业的具体情况选择基本满意的解决办法。常见的定价方法有:成本法、成本加成定价法、现行价格法、市场价格法、固定价格法等。
4成本分析与考核
IT会计人员将每月、每年成本、收益、工作量、服务水平等的实际数据与相应的预算、计划数据相比较,确定其差额,发现有无例外情况。对存在的例外情况,要进行差异分析。
差异分析是指确定差异的数额,将其分解为不同的差异项目,并在此基础上调查发生差异的具体原因并提出分析报告。通过差异分析,找到造成差异的原因,分清责任,采取纠正行动,实现降低成本的目的。
四、 开展IT部门成本管理的难点与建议
目前在国内外的企业在尝试实施IT的成本管理,但在实施过程中遇到了各种问题。
第一,缺少既懂IT又熟悉会计知识的人员,致使IT部门成本管理模式有待完善。成本管理活动对于IT人员和会计人员而言都是一个新事物,往往由于会计人员对IT业务不熟悉或IT人员对成本模型、收费机制等缺乏充分认识,致使成本管理模式设计不完善,造成成本管理系统无效。
第二,高层管理人员对IT服务的成本管理缺乏认识,导致各部门之间不能有效的协调,致使不能获得成本管理相关信息,成本管理过程不能严肃认真的执行。IT部门的成本监测、计算、补偿等都需要企业其他部门的相关计划信息,没有企业高层的协调,这些计划的详细信息通常不容易获得,成本管理也就流于形式。
第三,IT成本管理本身的成本效益问题。对IT部门实行成本管理本身也是存在成本和风险的,因此实施成本管理要考虑实行成本管理而带来的效益是否高于为之付出的代价。如果否,那么实行成本管理是无效的。
对IT部门实施成本管理是企业追求企业价值最大化的必然选择,因此我们必须做好以下工作,逐步完善IT部门成本管理模式:一是加强宣传,强化企业全员成本管理意识,议建立数据搜集机制,建立起采集包括:工作量、服务种类、客户、成本、资源存量等数据的采集点。二是加强员工培训工作,对IT部门成本管理系统的每位员工都要进行适当的培训。对原IT人员要加强会计知识技能的培训,理解会计原理及本质;对于原财务人员则要加强IT知识技能的培训。通过培训使所有IT财务管理人员都能理解会计原理以及IT服务管理各流程的基本原则。三是进行成本管理的可行性研究。可行性也就是对项目的“必要性”、“可能性”和“合理性”等问题进行分析论证。对IT服务实行成本管理是否必要、有无实现的可能性,实行成本管理是否符合成本与效益原则,是计划阶段应该回答的问题。可行性研究的主要工作包括:确定实行成本管理所需的人、财、物等资源;界定与组织其他部门的财务界限;定量分析实行IT成本管理的成本与效益,评价其合理性等,有效解决IT部门成本管理自身的成本效益问题。
PAGE
PAGE 40
