可適應性企業級整體ＩＴ成熟度模型及其評價

收稿日期：2007-12-11；修回日期：2008-03-10

作者簡介：孫建光（1978-），男，河北任丘人，博士研究生，主要研究方向為信息技術與管理(eric.jg.sun@gmail.com)；陳燕（1952-），女，教授，博士，主要研究方向為交通運輸現代化管理、決策支持系統、知識管理、數據倉庫與數據挖掘；馬永剛（1978-），男，博士研究生，主要研究方向為高性能計算、網格計算、信息技術.

（1.大連海事大學 經管學院，遼寧 大連 116026；2.大連理工大學 計算機系，遼寧 大連 116024）

摘 要：目前部分企業計劃或已經采用不同的成熟度模型和指標對其IT成熟度進行評估，如IT服務成熟度、軟件成熟度、信息風險成熟度等方法，但無有效的方法對整體IT成熟度進行評估。基于SEI開發的能力成熟度框架（CMM）提出可適應性整體IT成熟度模型（adaptive total IT maturity model / ATITMM/@ITMM，@ITMM）的概念，并建立可適應性的企業級通用IT成熟度模型；運用一種合適的通用評估緯度反映企業整體IT狀況，同時采用模糊綜合評價法對整體IT成熟度進行評價。該模型的運用可以幫助企業客觀、準確地評估和判斷自身的整體IT成熟度，以期作出科學、合理的IT決策具有積極的意義。

關鍵詞：整體信息技術成熟度；信息技術服務成熟度；軟件成熟度；信息風險成熟度；信息技術治理成熟度

中圖分類號：TP399

文獻標志碼：A

文章編號：1001-3695(2008)10-3002-04

Enterprise adaptive total IT maturity model and its evaluation

SUN Jian-guang¹， CHEN Yan¹， MA Yong-gang²

(1. College of Economics Management， Dalian Maritime University， Dalian Liaoning 116026， China; 2. Dept. of Computer Science， Dalian University of Technology， Dalian Liaoning 116024， China )

Abstract:Varies of maturity models and indicators had been or planed to be adopted by many companies to evaluate their IT maturity for different IT functions， including IT service maturity， software maturity， information risk maturity and so on. But it was very hard to find an effective method to evaluate the total IT maturity currently. The paper proposed a concept of adaptive total IT maturity model for enterprise companies， helping to reflect their total IT conditions via the proposed evaluation latitudes and indicators. Used the compositive evaluation method based on fuzzy theory to evaluate the total IT maturity. The adoption of this model will help the enterprises to assess the IT maturity level objectively and exactly and thus benefit the IT decision ma-king process.

Key words：total IT maturity model; IT service maturity; SW-CMM; information risk maturity; IT governance maturity

隨著社會的進步與發展，信息技術在企業中起著越來越重要的作用，尤其是大型跨國企業和國內大中型企業，信息技術已成為其提升整體管理水平的重要工具；同時企業的整體IT成熟度也成為衡量企業運營狀況和發展潛力的一種重要工具。1 IT成熟度的研究與發展情況

11 IT成熟度研究

IT成熟度（IT maturity） 又稱IT管理復雜度（IT management sophistication），由Churchill等人[1]于1969年首次提出，用于說明管理人員如何運用基于計算機的信息系統。

在Churchill之后，IT成熟度的測度發展大致經歷了三個階段：a)1980年，Benbasat等人[2]利用Nolan的階段假設模型及其幾個獨立研究成果，提出了測度IT成熟度的九個指標的工具，并通過問卷調查，將公司的IT應用分為成熟和不成熟兩類。Benbasat的九個指標側重從IS系統安裝、IS績效評估手段和IS計劃制訂、IS系統的職能（如計劃和控制、高層管理者對IT的態度和IT知識）等角度來說明企業IT的成熟度。b)Sabherwal等人[3]在對學術機構關鍵成功因素和IT能力之間的協調程度的研究中，采用了五個指標衡量IT的成熟度。側重于考核IS計劃與機構未來規劃的契合程度、機構高層領導者的IT知識掌握程度和參與IT計劃的程度、IT經理對機構長期計劃的了解程度和IS績效評估的基礎等方面。c)20世紀90年代中期，Karimi等學者開始從管理職能的視角將IT在計劃、控制、企業和協調方面的職能作為公司運用信息技術成熟情況的衡量指標，并建立了含有20個問題的指標體系，使得IT成熟度的指標體系更加豐富完善，并對美國的金融服務機構的實際情況進行了調查研究。

12 CMM研究

CMM的理論基礎是由W. E. Deming等人所修正與推廣的全面質量管理技術（total quality management，TQM）。

美國國防部于1986年委托卡內基美隆大學的軟件工程學會（SEI）進行軟件流程改善方面的量化研究。SEI在次年發表軟件流程成熟度架構的研究成果，提出了軟件過程評估和軟件能力評價兩種評估方法和軟件成熟度問卷，之后經過逐步的改進于1991年正式發表軟件能力成熟度模式（capability maturity model for software，SW-CMM 或CMM）1.0版，并在1993年發表了CMM v1.1的修訂版。CMM陸續衍生出軟件工程、系統工程以及軟件采購等模型，已是目前國際間所普遍認同的軟件研發過程標準。

SEI對于修訂CMM版本的工作仍持續進行中，2000年底發布了應美國國防部要求將現有與未來將發展的各種能力成熟度模式整合為一種整體架構的軟件能力成熟度整合模式（capability maturity model integration，CMMI），整合了軟件工程（SW）、系統工程（SE）、整合產品發展（IPD）三個方面。

2 @ITMM的概念及其評估緯度

通過對多家跨國企業和國內大中型企業信息化建設研究發現，目前部分企業計劃或已經采用不同的成熟度模型和指標對其IT成熟度的不同側面進行評估，如IT服務成熟度、軟件成熟度、信息風險成熟度、IT治理成熟度、IT架構成熟度和IT外包成熟度等方法，但基本沒有合適的工具或模型對企業整體IT成熟度進行評估，目前找不到一個適合所有企業的IT成熟度模型。本文基于SEI開發的能力成熟度框架（CMM）概念并推廣，提出整體IT成熟度模型的概念，考慮到企業對IT依賴程度和自身發展階段不同，提出了可適應性的整體IT成熟度模型（@ITMM），使得企業將整體IT狀況通過一種通用的指標反映出來。

之所以選擇CMM作為整體IT成熟度模型的基礎是因為CMM作為一種描述性模型，簡單并具有完整的框架，它本身具備過程改進機制，并已在IT行業的不同領域證明其可用性。

在@ITMM模型中筆者需要圍繞幾個概念進行定義，即IT成熟度模型、整體、通用、企業級和可適應性。

@ITMM的定義：一套針對大中型企業相對成規模IT運營的可適應性通用IT成熟度指標體系、評估等級和評估方法論。

通過對不同性質的大中型企業和跨國企業的不同發展階段IT狀況進行分析，筆者總結出如下六個方面針對@ITMM評估緯度：IT服務成熟度、軟件成熟度、信息風險成熟度、IT治理成熟度、IT架構成熟度和IT外包成熟度。這六個方面雖然在某些細節上有重復，但整體上是相輔相成的，不同企業的不同階段對這六個方面要求不一，在整體IT成熟度模型中可以采用加權等方法進行調整，使其具有很強的適應性，方便不同行業、不同企業進行相應的定制，可以使用模糊綜合評價或層次分析法對企業整體IT成熟度進行評價。

圖1的概念模型描繪出了企業IT成熟度所構成的一個狀態平面，這個狀態平面是相對虛擬的，因為CMM本身作為一個描述型模型對于每個不同的緯度中不一定要選定確定的評價指標，筆者盡量參照業界通用的成熟度等級劃分方法。狀態平面的平整程度表示企業IT發展的協調平衡水平。

21 IT服務成熟度

IT服務成熟度[4，5]是一種規范和控制IT服務的方法，旨在使IT服務提供者評價他們提供IT服務的能力，并給IT服務提供者提供進一步提高他們服務能力的方向和步驟。IT服務成熟度緯度的五個成熟度級別的正式定義為初始級、可重復級、已定義級、已管理級和優化級。

22 軟件成熟度

企業的軟件成熟度主要包括兩個方面，即軟件能力成熟度（SW-CMM）和軟件獲得能力成熟度（SA-CMM）。前者是將TQM應用到軟件領域的軟件開發與維護作業上，目的是提升軟件開發能力來達成高生產力、高質量產品等項目目標；后者則是衡量企業取得或采購軟件相關系統的成熟度模式，用來評估與改善軟件獲得流程。針對軟件成熟度五個級別的正式定義為初始級、已管理級、嚴格定義級、定量管理級和優化級。

23 信息風險成熟度

信息風險成熟度是測度信息風險等級的一種方法，旨在根據業界最佳實踐發現信息風險管理存在的缺陷，全面反映各個成熟度等級，有助于組織將主要精力投入到關鍵的信息風險管理方面，從而確定組織在信息風險方面的未來發展目標，五個成熟度級別的定義為初始級、可重復級、已定義級、已管理級和優化級。

24 IT治理成熟度

IT治理成熟度是一種度量IT決策權和IT管控程度的一種方法，旨在評估企業IT的決策制定和決策權問題，并將組織的IT管控與最佳實踐進行參照，從而確定企業IT的發展目標。IT治理成熟度模型從一般的質量控制模型開始，在各個層次以遞增的方式增加對多方面的控制原則，包括對風險和IT控制的理解、認識、交流與培訓、管控處理和實施、IT管理過程的有效性和自我完善機制、政策、法規的遵從性等，五個成熟度級別的正式定義為初始級、可重復級、已定義級、已管理級和優化級。

25 IT架構成熟度

IT架構成熟度[6]用于確定組織的 IT 架構的成熟度級別的方法，旨在確定企業的最佳架構路線所需的信息，幫助企業標志自己所處的級別。IT架構成熟度模型允許企業IT向公司需要的方向發展，從而較好地滿足快速變化的業務需求，五個成熟度級別的正式定義為初始級、可重復級、已定義級、已管理級和優化級。

26 IT外包成熟度模型

IT外包成熟度模型即由META Group的Raffoul提出了outsourcing maturity model（OMM），使用這個模型能夠建立有效的供應商管理結構，制定可衡量、可實施的服務水平協議（service level agreements，SLAs），按照正式的流程督促供應商改進服務質量。五個成熟度級別的正式定義為供應商基本管理級、已定義服務產出級、度量級、信任級、已證明業務價值級。

3 @ITMM結構及成熟度等級

31 @ITMM的結構

@ITMM是基于SEI開發的能力成熟度框架（CMM）設計的，@ITMM成熟度級別和關鍵過程域是根據企業的IT成熟度經驗指標設計的，并考慮企業不同發展階段和規模可以完成自適應的定制。@ITMM的結構與軟件能力成熟度模型基本相同[4]，如圖2所示。@ITMM模型由五個成熟度級別組成，每個級別包含關鍵過程域，為了達到相應的成熟度級別，企業必須實現所要達到級別及以下級別的關鍵過程。每個關鍵過程域由共同特征構成，共同特征是一些實踐活動，當被一起執行時，這些活動確保關鍵過程域得到實現并制度化。共同特征由必須實施的關鍵實踐或必須存在的基礎設施組成。

32 @ITMM的特點

@ITMM具有下面一些特點：

a)核心。模型的焦點是整個IT企業的成熟度。模型不是針對某個IT元素、項目或企業的單元，而是測量整個企業IT的成熟度。

b)范圍。模型包括企業所有IT活動。企業IT活動包括IT戰略的制定、IT決策活動、IT服務提供、信息系統平臺建制及維護、應用系統開發和信息風險管理等。

c)排序。 關鍵過程域被分配到相應的成熟度級別以使低級別過程為高級別過程提供支持。為了達到級別a，企業必須實現所有a、a-1直至1級別的所有關鍵過程。由于是最小模型，這些需求比較嚴格，但具有一定的靈活性。同時，模型并沒有禁止在達到級別a之前實施從級別a+1、a+2等關鍵過程，一般情況下，從較高級別全面實現關鍵過程是比較困難的，高一級別關鍵過程的實現是建立在實現了低級別關鍵過程域的活動和基礎之上的。作為最小模型只描述達到某一成熟度級別的過程和活動。模型不說明怎樣實現這些過程和活動，應該采用何種策略等。在業務實踐中筆者通常使用最佳實踐，如COBIT、ITIL、CMM等。

@ITMM旨在測量和提高企業整體IT能力的成熟度，而這種成熟度需與企業所處行業和發展狀況相匹配。

33 @ITMM的目標與優點

可適應性整體IT成熟度是企業IT活動過程被明確定義、管理、測量、控制及其有效的程度。設計@ITMM的主要目標有兩個：

a） 提供IT管理者評價他們企業整體IT成熟度的方法；

b） 提供IT管理者進一步提高企業IT運營的方向和步驟。

@ITMM的優點如下：

a) 整體性，可以通過更大范圍和視角將IT成熟度整合到一個整體的框架。

b) 通用性，此模型具有行業無關性，適合各類企業、政府機構、學校或組織。

c) 可適應性，針對不同企業、不同發展階段進行相應的選擇和調整而不是一刀切。

d) 目標明確，對每一個成熟度等級有專門的預定義標準，需要實現對應標準要求的所有目標才可以符合該標準。

e) 靈活性，采用最小模型，并沒有禁止在達到較低級別之前實施較高級別的可能，可以根據企業需要進行選擇。

f) 易實施性，模型設計參考業界最佳實踐，如COBIT、ITIL、CMM等，易于實施和評估量度。

34 @ITMM的成熟度級別

企業整體IT成熟度定義為如下的五個有序成熟度級別， 這五個級別是通過@ITMM的六個評估緯度綜合評估得到，對于級別1沒有規定關鍵過程域，對于其他級別則建議根據不同級別的管理過程選定相應的評估緯度的成熟度水平進行評估，如圖3所示。

a）級別1即初始級（basic）。企業IT歷史的反映，沒有相關的關鍵過程域，所有沒有實施級別2關鍵過程域的企業都處于初始級。整體IT管理是無序的，沒有什么經過定義的作業過程，成功一般依賴于個人的努力。

b）級別2是成長級（emerging）。達到這一級應滿足以下條件：企業IT服務成熟度、軟件成熟度、信息風險成熟度方面已經步入正軌或開始相應的工作（2級）、 IT治理成熟度、IT架構成熟度和IT外包成熟度剛剛開始（1級）。

c）級別3是中間級（intermediate）。達到這一級要滿足以下條件：企業IT服務成熟度、軟件成熟度、信息風險成熟度方面已經比較完善（3級以上）、IT治理成熟度、IT架構成熟度和IT外包成熟度已經步入正軌（2級）。

d）級別4為優化級（optimization）。達到這一級應滿足以下條件，企業IT服務成熟度、軟件成熟度、信息風險成熟度方面已經相對成熟（4級以上）、IT治理成熟度、IT外包成熟度、IT架構成熟度已經逐步完善（3級以上）。

e）級別5定義為模范級（role model）。達到這一級滿足以下條件：企業IT服務成熟度、軟件成熟度、信息風險成熟度方面比較成熟（5級）、IT治理成熟度、IT架構成熟度和IT外包成熟度已經相對成熟（4級以上）。

4 對@ITMM的綜合評價

為了更為科學地對企業級IT成熟度進行評價，可通過綜合模糊評價和層次分析法（analytic hierarchy process，AHP）等方法對整體IT成熟度進行評價，評測結果對應預定義的描述性成熟度等級，為決策提供可以進行比較、評判和進行管理決策的依據。對于具體的企業IT成熟度評估，本文采用模糊綜合評判方法[7]進行評測。

首先確定與評價有關的各參數集：評價因素集U、評價等級集V和評價因素的權重系數集A。

1)評價因素

在模糊綜合評價中首要的是全面、適當地確定評價因素。對于企業IT成熟度的評估問題而言評估所需考慮的評價因素大體相同，只是各自的權重分配在不同緯度隨著企業性質和發展階段的不同而有所不同。評價因素主要為前面提到的評估緯度的六個大類，即IT服務成熟度、軟件成熟度、信息風險成熟度、IT治理成熟度、IT架構成熟度和IT外包成熟度。這六大類因素中的每一類又可派生出若干個與之對應的評價因素。這些評價因素中，有的還可以細分為幾個子評價因素。對于六大類評價因素可以參照業界最佳實踐進行評價，在此著重對最后級別的綜合評價進行論述。

2) 評價等級

在進行企業IT成熟度評估過程中，由于評價因素是很難直接用量化指標劃分等級的，為評價方便并結合業界習慣將等級劃分為1、2、3、4、5個等級來進行等級劃分。

3) 權系數

權系數的確定方法有許多種，但對于企業IT成熟度評價問題，在采用模糊綜合評判方法時較適用的主要有分級導出法和平均值法。由于分級導出法和平均值法綜合了各方面的意見，且經過一定的數學方法處理，更能反映客觀情況，應用起來也較方便。

在確定了評價因素、評價等級和評價因素的權重系數后，根據企業具體情況，組成由技術專家和管理人員參加的專家組（組員人數一般8~15人），每位專家組的成員對各層次中沒有下一層次評價子因素的各評價因素，給出評價等級的建議。在此基礎上，逐層建立評價因素與評價等級之間的模糊關系矩陣R(i)及相應的權重系數集A(i)，再根據業界經驗完成對六個評估緯度的成熟度評估后，則只需對此六個評估緯度建立評價因素與評估等級間的模糊關系矩陣R(i)及相應的權重系數集A(i) 。

下面給出模糊綜合評判法的具體步驟。

1）建立模糊集合

(1)評價因素集U={U1，U2，…，Un}(1)

評價因素集就是前述的企業IT成熟度評價過程中所需考慮的評價因素，U1，U2，…，Un分別代表不同評價因素。在本評價中對應選定的六大評估緯度，n=6。

（2）評價等級集V={V1，V2，…，Vm}(2)

評價等級集為前述的企業整體IT成熟度等級 （1、2、3、4、5）的集合，在此m=5。

(3)評價權重集A={a1，a2，…，an} j=1(3)

權重集就是所有評價因素的各自權重系數的集合。個數n與評價因素的個數一致，n=6。

2）建立模糊關系矩陣

進行模糊綜合評價必須確定評價因素集中各因素與權重系數集中各權重系數的模糊隸屬關系，也就是各因素對應于各權重系數的隸屬度。專家組每位成員分別根據等級說明和自己的判斷確定每個評價因素所屬的等級，在同一因素中，把選擇相同等級的人數相加，再除以參加評價的總人數，則可得出各因素隸屬于各等級的隸屬度。可組成如下各因素與各等級之間的模糊關系矩陣。R=V1V2…Vm

r11r12…r1m

r21r22…r2m



rn1r2n…rnm

U1

U2



Un(4) 其中：rij是針對第i個評價因素評價為第j個等級的隸屬度。

3）進行變換

用模糊綜合評價模型對各評價層次的模糊關系矩陣進行變換，即用公式B=[A]·[R]進行矩陣乘法運算，得出各層次的評價矩陣B(i)。

由前面的模糊集合和模糊矩陣，可以建立如下的模糊綜合評價模型： B=A⊙R=(b1，b2，…，bm)（5）其中：⊙代表運算子，取（·，+）運算。式(5)可寫成矩陣形式：B=[A]1×n·[R]n×n=[b1，b2，…，bm](6)其中：b1，b2，…，bm即為對評價因素的綜合評價結果，反映了該層次所有評價因素總體對應于各評價等級的隸屬情況。

4）數據處理

對最終的評價矩陣B進行數據處理，得出最終的評價結果，并用此結果作為決策的依據。同時，依據各層次的評價矩陣B(i)所提供的各評價因素等級信息，對企業整體IT活動作出相應的修訂與完善。

5 結束語

與傳統的IT成熟度研究相比，@ITMM模型具有整體性、通用性、可適應性、目標明確、靈活性、易實施性等幾個特點。這對于企業客觀、準確地評估和判斷自身的整體IT成熟度，以期作出科學、合理的IT決策具有積極的意義。同時，還有一些問題需要筆者進一步研究：a)動態地模擬各種因素變化導致的企業IT成熟度變化，對企業IT成熟度發展變化趨勢進行預測。b)本模型中，除最高層次分析外各類因素的初始評估建議依照業界最佳實踐進行，在符合行業習慣的同時不可避免帶有一定重復或交叉項目，之后需要進行更深層次的分析與評價。

參考文獻：

[1]CHURCHILL N C， KEMPSTER J H， URETSKY M. Computer-based information systems for management: a survey[C]//Proc of National Association of Accountants. New York:[s.n.]， 1969.

[2]BENBASAT I， DEXTER A S， MANTHA R W. Impact of organizational maturity on information system skill needs[J].MIS Quart， 1980，4(1):21-34.

[3]SABHERWAL R， KIRS P. The alignment between organizational critical success factors and information technology capability in academic institutions[J]. Decision Sciences， 1994，25(2): 301-330.

[4]NIESSINK F. IT service CMM， version 1.0.2.-en[R]. The Netherlands: Software Engineering Research Center， 2003.

[5]NIESSINK F， VLIET H van. Towards mature IT services [EB/OL]. (1998). http://citeseer.ist.psu.edu.

[6]MITTAL K. Build your SOA， part 1: maturity and methodology [EB/OL].(2005-05-20). http://www-128.ibm.com.

[7]TIMOTHY J. Fuzzy logic with engineering applications [M]. Singapore: McGraw-Hill Companies， 2000: 315-317.