一、引言
　　良好的IT治理是企业实现IT投资价值和降低IT风险的必要条件。随着理论界和实务界对IT治理问题研究的不断深入，对于IT治理的研究已经从IT治理概念和结构等定性层面的研究转向IT治理评价的研究。即IT治理的量化研究阶段。IT治理的定量评价需要可操作的度量模型进行支持。现有的研究中，缺乏有关IT治理评价的系统化的度量模型与度量支持工具，由于没有有效地面向广大的实际工作者，评价方法越来越复杂。几乎成了专家们的专利，离开了这些专家，实际工作者就束手无策，理论成果无法推广应用，造成IT治理评价研究中理论研究与实际应用的脱节。
企业通过IT过程来管理、组织企业中的IT资源以及IT活动。IT过程是企业实施IT治理的基本单元。以IT过程作为企业IT治理的基本度量单元可以使得IT治理的度量和评价更具可操作性。但是，由于IT过程的信息比较模糊，执行数据的收集比较庞杂，这造成了IT过程的度量面临许多难题，主要有：度量目的不明确、不合理，使管理人员和度量参与人员困惑，并产生抵触情绪。度量的指标项定义过于模糊，不够精确，使得度量结果无法清晰地反映IT过程的执行绩效和控制情况。
在这样的一种背景下，本文借鉴软件工程学中的GQM度量模型和美国IT治理研究院(ITGI)提出的COBIT框架中的IT过程模型，提出了一种由绩效目标和控制目标共同驱动的IT治理度量模型——ITGPCGQIM模型，基于IT过程来度量和评价企业IT治理的绩效和控制能力。
二、COBIT4．1的IT过程模型
IT过程是企业为实现既定目标，运用IT资源将输入转化为输出的一系列有序的IT活动的集合。ITGI在C0BIT框架中将企业信息化生命周期中涉及到的IT活动加以概括，归纳了4大IT过程域的34个IT过程及200多个子过程。COBIT为企业提供了一个IT过程的管理控制框架，帮助企业更合理地设计与安排IT过程中的角色与职责，更清楚地了解IT过程的关键控制点和关键活动，IT部门和业务部门的管理者通过它获得了一个双方都可以理解的IT管理视图。
  图1 描绘了COBIT4．1版的IT过程模型。  三、 基于IT过程的IT治理度量评价模型——ITGPCGQIM
GQIM(Coal—Question—Metric)模型是由马里兰大学的Basili教授于1984年提出的一个过程度量模型，作为一种系统地对软件及其开发过程实施定量化度量的方法，被软件行业广泛应用于软件过程的度量。GQM模型中，目标(Goa1)定义了度量的对象、关注点、目的、视角以及度量环境；问题(Question)对目标进行了细化，阐述了达到目标所需要的信息，对于每个目标都细化为一组问题，以描述评估目标或完成目标的方法；采集项(Metric)定义了需要收集的数据及如何收集数据，从而实现定量地描述问题。
目前，有很多研究对GQM模型进行了扩展应用。与软件过程不同的是，企业IT过程比较复杂。要实现的目标比较多，信息比较庞杂和模糊。因此，结合IT治理评价的度量需求，参考COBIT过程模型和GQM相关扩展应用的研究。本文对GQM模型做了相应的改进。
仔细分析COBIT，不难发现，每一个IT过程的管理都包含2个方面的目标：绩效的目标、控制的目标。前者是评判IT过程执行绩效的标准；后者则用于检验是否控制了IT过程隐含的风险。绩效目标指明了IT过程的努力方向，而后者则保障了IT过程是朝正确的方向前进。其中，IT过程的绩效类的目标可以分为三个层次：高层的IT目标，过程的目标和过程下各关键活动的目标。控制类的目标主要包括IT过程的一些关键控制点：过程的输入与输出是否完备、过程是否设置了所有人(Process Owner)、过程的角色和职责安排情况、过程的子过程列表和关键活动列表等。在此基础上，为了让GQM模型更好地适用于IT过程的度量，我们对其进行了如下改进：
a．引入度量模板库的概念，建立度量模板数据库，以帮助管理度量过程中的目标、问题和度量指标。相应地，在Goal—Question—Metric三层引入目标库、问题库和度量指标库的概念。同时引入优先级的概念，对目标和问题设定度量优先级，目的是为了避免产生大量的度量问题，降低度量实施的复杂性，提高同一IT过程度量的可重复性。
b．在度量目标层(Goal)，增加一类度量目标——控制类目标，不仅对IT治理的绩效进行度量，同时对IT治理的控制情况也进行度量。相应的，在Question，Metric层增加控制类问题，控制类度量指标等。设立控制类度量目标的目的是为IT治理的风险控制情况设立评判标准，以评估该IT治理的控制机制的设计是否完备、执行是否真正到位和风险是否得到了有效管理。
c．在Question—Metric层中间增加一个指示器(Indicator)层。指示器由一个或多个度量结果组成，它把某个过程的度量结果以一种指定的形式表现出来，以便回答问题。指示器可以看成是一个数据解释模型，以收集的数据为输入，为问题提供一个解释。指示器主要有三类：反应式指示器，通过当前的状态信息采取行动，每个指示器都规定了期望值及其相应的阈值，当实际值与期望值超过阈值时都有相应的反应；预测式指示器，通过当前和历史的状态信息预测未来的情况，如根据当前数据和历史数据预测未来工作的进展、工作量等；统计式指示器，通过当前与历史数据利用统计控制理论进行分析。判断IT过程是否出现了异常。
d．对度量采集项Metric进行扩展，增加以下属性：数据值集，单位，指标采集的频率，采集方式(自动采集还是人工采集)，采集责任人，指标类型(对应的是IT目标，还是过程目标或活动目标)。同时，对应控制类度量目标，增加一类度量指标——控制类度量采集项，采集控制执行方面的数据。扩展后的度量模型(ITPG—PCGQIM)见图2。
  图2 基于IT过程的IT治理度量模型(ITG-PCGQIM)  四、ITG—PCGQIM模型的形式化描述
对度量模型进行形式化描述可以帮助规范化地定义度量模型，保证对度量模型理解的一致性，并以此开发相应的度量支持系统。以下是ITG—POGQIM模型的形式化描述。
定义1：度量模型MM。度量模型MM是一个八元组：MM=(Gp，Gc，Qp，Qc，Ip，Ic，Mp，Me)，其中：Gp表示绩效类度量目标集，Gc表示控制类度量目标集，两者明确了度量过程中所需要关注的焦点，保证了度量的结果是遵循明确的特定目标的。Ip是绩效类指示器集，是绩效类数据度量分析的基础和核心，是一个或几个绩效类采集项的综合计算或类比；Ic是控制类指示器集，定义了能够展示当前过程的内部控制情况的指示器，回答了某个IT过程的风险控制是否充分和有效的问题；Mp是绩效类采集项集，它为IT治理绩效的度量提供了最终的量化数据；Mc是控制类采集项集，它为度量IT治理的控制情况提供最终的量化数据。
定义2：绩效类度量目标集(Gp)。绩效类度量目标集中的每个度量目标都是一个四元组：Gpi=(GpN，Ig，Pg，Ag)，其中GpN是度量目标名，具有唯一性。每个度量目标都是三维的．由Ig，Pg，Ag组成：Ig是IT目标；Pg是过程目标，选自COBIT34个IT过程中列出的过程目标(Process Goal)；Ag是活动目标，选自COBIT34个IT过程中列出的活动目标(ActivityGoal)。
定义3：控制类度量目标集(Gc)。控制类度量目标集中的每个度量目标都是一个五元组：Cci=(GcN，Ig，Og，Rg，Ag)。其中GcN是度量目标名，具有唯一性；Ig是ODBIT中各IT过程要求提供的输入文档；og是OOBIT中各IT过程要求的输出文档；Rg是COBIT中各IT过程中要求设置的角色与责任的安排；Ag是COBIT中各IT过程中列出的关键活动。
定义4：绩效类问题集(Qp)。指示器集中的每个问题都是一个五元组：Qpi=QpN，QpD。GpN，Ip，Qw)，其中QpN是问题编号，具有唯一性；QpD是问题描述；GpN是该问题源自的度量目标名；Ip是与本问题相关的指示器集；Qw是问题的优先级，标识了问题的重要程度。
定义5：控制类问题集(Qc)。指示器集中的每个问题都是一个四元组：Qd=(QcN，QcD，GcN，Ic)。其中QcN是问题编号，具有唯一性；QcD是问题描述；GcN是该问题源自的度量目标名；Ic是与本问题相关的指示器集；控制类问题赋予相同的优先级，表示了所有的控制环节同等重要。
定义6：绩效类指示器集(Ip)。指示器集中的每个指示器都是一个四元组：Ipi=(IpN，MP，T，R)，其中IpN是指示器名；Mp是与本指示器相关的采集项集；T是指示器类型，是统计型指示器还是预测型指示器或反应式指示器；R是应用于该指示器的计算、分析、预测模型。
定义7：控制类指示器集(Ic)。指示器集中的每个指示器都是一个三元组：Ici=(IcN，Me，R)，其中IcN是指示器名；Mc是与控制类指示器相关的采集项集；R是应用于该指示器的决策准则。
定义8：绩效类采集项集(Mp)。绩效类采集项集中的每个采集项都是一个七元组：Mpi=(MpN，IpN．V，F，f，R。S。T)，其中MpN是采集项名；IpN是与本采集项相关的指示器；V是本采集项采集到的数据值集；F是计算本采集项的公式或函数，例如：遵循正式变更控制流程的变更数量／所有变更数量；f为本采集项数据采集的频率，如每天／每周／每月等；R是本采集项负责采集数据的角色，如IS审计人员、过程负责人等：S是本采集项数据采集所使用的方式，如人工采集、程序提供、在线调查等；S是本采集项的单位。
定义9：控制类采集项集(Mc)。控制类采集项集中的每个采集项都是一个三元组：Mci=(McN，IcN．V，f)，其中MeN是采集项名；IcN是与本采集项相关的控制指示器：V是本采集项采集到的数据值集；f为本采集项数据采集的频度，如每天／每周／每月等。
五、基于ITG—PCGQIM模型的度量支持系统(ITGMSS)
为了将ITG—PCGQIM度量模型更好地应用到IT治理的度量与评价中，我们开发了一套度量支持系统。系统采用了B／S体系结构，使用Java进行开发，数据库采用了MySQL。系统的用户主要有4类：企业IT高层管理者、实施度量与评价的团队，过程所有人，数据采集人员。图3和4描绘了系统的主要功能模块和用例。主要功能模块中：
  图3 ITG-MSS功能模块图    图4 ITG-MSS用例图  IT过程定义模块以COBIT4．1的IT过程模型为基础，提供了3种方式供企业根据自己的业务目标和IT目标，对CDBIT的34个标准的IT过程进行选择，定制个性化的企业IT过程矩阵。定义好的IT过程矩阵模型最终以XML的形式输出并保存。
度量模板管理模块负责具体的IT过程度量模板的生成和维护。每一个IT过程的度量模板都是一颗度量树，包括度量目标、度量问题、度量指示器和度量采集项四个层次的内容。该模块支持自动从度量模板库中自动生成度量模板，同时还支持对自动生成的模板进行定制修改。度量计划管理模块提供度量计划的制定和管理功能。度量计划既可以是针对单个IT过程，也可以是多个IT过程。通过该模块，可以随时可以了解并监控某个度量计划的执行情况。度量计划管理模块包括两个子模块：度量数据采集管理模块和度量数据汇总分析模块。度量数据采集管理模块集中管理度量数据的采集。该模块可以对采集项设定采集方式，并可针对不同的采集方式，对最终的采集项进行跟踪管理。对采集方式为程序自动提交方式的采集项，采用SOA的思想，提供标准的采集服务接口，要求采集源(通常是某些应用系统)订阅该采集服务，按照度量模板定义的采集频率，定期提供度量数据。对人工方式采集的采集项则跟踪管理采集责任人和采集执行情况。度量数据汇总分析模块则对所有采集到的数据，按照度量模板的定义进行汇总和分析。以度量模板中度量指示器规定的方式(图形方式、报表方式等)，选择度量分析工具库中的算法或模型，提供数据的分析和展示。
六、结束语
IT过程是企业实施IT治理的基本单元。以IT过程作为企业IT治理的基本度量单元可以使得IT治理的度量和评价更具可操作性。现有的研究中，缺乏有关IT治理评价的系统化的度量模型，也缺少可操作的IT治理评价度量支持工具，造成IT治理评价研究中理论研究与实际应用的脱节。本文通过深入研究美国IT治理研究院(ITGI)提出的COBIT框架中的IT过程模型，引入软件工程学中的GQM度量模型，提出了一种由绩效目标和控制目标共同驱动的IT治理度量模型——ITGPCGQIM模型，基于IT过程来度量和评价企业IT治理的绩效和控制能力。文章给出了该模型的形式化描述和相应的度量支持系统。在后续的研究中，将继续完善该度量模型，继续设计、开发以该模型为基础的度量支持软件，充实度量模板库，使其更加实用化，帮助企业降低IT治理评价的成本。提高IT治理评价与度量的可操作性，提高度量结果的客观性和及时性，更好地支持企业IT治理的实施和改进。

不错 支持一个了

元芳你怎么看？