幽蓝心境

   90年代出现的BPR概念提出，业务流程重组就是要通过对业务流程进行根本性地再思考和彻底性地重新设计来达到企业戏剧性地改善，从而让企业适应新的时代——即我们说的3C时代“顾客、竞争、变化”的要求。当时最典型的是两个企业。一个是通用公司，韦尔奇运用BPR大动企业的组织，缩减企业的层级，将组织从14级缩减到7级。另外一个就是ABB公司，通过流程再造，实现了全球化的组织。BPR是基于许多类似企业的成功经验而总结出来的，所以当时风靡了全球，但是后来有一半的企业都失败了，原因种种。成败皆有，我们该如何来拨开迷雾，看清做流程的本质？

    所谓流程，就是有输入、有输出、有处理的过程。我们将流程分成两类，一类是增值型流程，另一类是非增值型的流程。比如一个企业财务部门的流程属于增值型流程，因为财务部门可以保证一个企业整体的增值。所以我们说企业的管理部门都是因能保证企业的整体或者某一部分的效益最大化而产生的。对于流程本身，要特别关注两点：一个是要注意你的目标是客户，另一个要注意能否给你的客户创造价值。比如一个订单所涉及的流程，我们会发现它要关注的几个地方：顾客、企业战略、涉及到的企业的多个组织、输入、输出，最后是衡量这个流程用的绩效指标。

    从要见实效的角度来看，流程管理有几个关键：第一个关键就是流程管理的关注目标。主要是两个方面，一个是怎样支撑企业的战略，另一个是企业所面临的问题。第二个关键是不能忘记流程的本质是流程的增值。它关注两个点，一个是企业整体的增值，一个是某一流程的增值。第三个关键就是流程的特点。流程是端到端的，它是跨组织的，它不会根据某个组织确定流程。

    为什么很多企业在流程再造之后并没有最终获得成功？我们分析其原因发现，企业需要阶段性的再造，要在过程中持续性地改善流程。根据流程的一些特性我们得出：我们把流程分层下来，进行分层改善；还可以将流程分类，进行分类改善；另外，我们也可以针对问题来改善。流程的优化则可以变成一个持续改善的过程。

    流程管理有很丰富的工具，所有这些工具我们都不排斥。企业要解决什么问题，要达成什么样的目标？，从流程的角度去切入，只要能更好地达成这个目标，所有的工具和方法都会为我们所用。流程本身就是一个工具，是企业业务的表述工具。

    表述企业整体业务的流程叫企业模型，表述某一个业务领域的流程叫做业务模型。最后再分级下来，可以变成很多的流程，流程可以拆成很多的级，不断地拆下来，最后就到了手册和表单。这就是流程分类分级的体系，而这个体系正好对应了我们对企业不同业务的不同表述。如流程的框架体系表述了企业的业务模式，而流程表述了企业业务具体怎么去运转，手册和表单反映企业业务的规范和标准。实际上我们可以分层去优化企业的业务模式，企业的组织，优化企业的业务，最后让企业的业务标准化和知识化。基于这样的分析，流程体系优化可以用这样一个体系来表述：一个诊断、三次优化、两个落实、一个推动。一个诊断就是要找目标。从两个方面找目标，一个是找达成企业战略要求的目标，一个找到企业需要解决的问题。找到目标后，流程优化就有了方向。

    三次优化首先是框架体系的优化。框架体系的优化是优化企业的业务模式、优化企业的资源配置，最后我们还可以优化企业的职能，提升企业组织的效率；然后就是流程的优化。流程的优化其实是框架体系优化——优化企业业务模式最后能落地在流程上。这个方面的流程优化就是要通过流程优化的手段把企业的问题解决掉；第三个优化叫流程的标准化。是把企业一些具体的做事流程、在这个流程里做事的规范做事的标准、做事的知识沉淀下来，然后标准化下来。

    所有的这三个流程优化的最终结果必须落地，企业才可以去执行。两个落实即框架体系的优化和流程的优化一定要落到组织上去。这里所说的组织涉及到一个比较广义的组织，包括企业的组织架构、企业部门的设置、职能的设置、岗位的职责等；第二要落到流程的作业手册上。作业手册包括两方面的内容：一个是流程。另一个是流程运转的一系列的操作顺序、操作规范、操作标准，及相关知识。最终实现效果还要有一个推动——考评。没有考评所有的标准规范都没法执行。另外要注意要有激励，没有激励就没有动力，大家就不会去做这件事情。

流程框架体系的优化

    框架体系的优化就是去优化企业的业务模式。优化的最终结果是流程模式加流程清单。这个清单需要几个因素来形成。一个是我们需要看到企业需要解决哪些问题，找到企业的战略要求；我们还会引出外部的最佳时间，和企业的最佳时间，最后形成对企业业务模式的优化。除了流程的框架体系还会对企业的组织进行调整，为后续编制流程作业手册打下基础。

    我们从战略的角度，以采购的业务模式为例来了解流程框架体系优化。通常来说企业采购要注意最佳时间和采购品分类。通过采购品分类我们了解企业的战略和组织应该怎么去设计，包括采购策略、管理方式、决策分权、组织配合，最后形成企业采购战略、采购管理模式、业务模式。举个例子来说，我们把所有工程性的产品做成战略采购，并进行集中采购。集中采购以后相应的业务管理的方式、业务运转的模式和业务流程都会不一样。采购战略来优化业务模式并不是一个简单的分类能做到的，我们做采购战略至少要考虑这样几个关键因素：比如供应商的数量多少是比较合理的，如何建立跨职能的功能团队等。

    我们看一个企业采购的时候，会看到这个企业产品的总成本。总成本是在整个供应链，整个价值链上这个企业产品总体拥有的成本，而采购价格只是采购成本的一部分。我们要的是总成本的建模。当对供应商建模时，与供应商谈价格要分析他的成本构成，这些成本构成有哪些驱动因素让他去降低这些成本。每一个企业主要的采购品最后都需要做这样的建模，这是一项庞大而复杂的工作。同样我们来看量化收益。特殊采购品成本降低最怕的是损失。比如设备中一个非常关键的螺丝钉丢了，采购需要三个月，结果造成停工一天，可能这个设备很重要，那么给企业造成的损失就是一天几百万，甚至几千万。所以他降低成本的关键是要减少断料的损失。特殊采购品成本降低的空间在于保障供应，降低断料的损失，同时又不能增加太多的库存成本。

    做流程框架体系就是优化企业的框架、优化企业的业务，最终形成的结果就是流程清单。流程清单看起来就是一级、二级、三级、四级的一些流程的名字。但它的关键在于如何运用和理解这些流程清单的涵义。流程框架体系会从整个企业的框架落到某一个业务的框架，最后落到流程清单。而所有这些背后的优化都要我们去分析企业的业务，业务形成这样的结构是有涵义的。比如一些缺失的责任。缺失的责任就是我们在分类分级建立这个流程清单以后发现企业现有的业务里面没有这样一个职能，所以我们要补上去；或者是有这个职能，但是这个职能是分解在别的几个流程里面去了。所以我们将流程清单分类分级，会发现企业缺失的是什么。反过来，流程优化是优化企业的流程，而不是增加流程。我们发现企业流程清单里面没有的流程都是应该优化的。它有两种情况，一种情况是这个流程就不应该存在。另一个情况就是这个流程分布在另外两个流程里去了。通过流程清单我们看出该要的职能和不该要的职能，原有组织里面哪些职能协调的不好，协调沟通不畅，或者是分布不合理的岗位职责设计得不合理。

    框架体系优化的核心是对业务模式的分析及形成流程清单。这两个的作用落地到实践中是落地到企业组织。根据流程清单和业务模式来调整组织的模式，调整企业的职能分配和岗位职责，部门职责，这就是流程框架体系优化的落地，也是我们通常说的BPR，即用流程优化组织。

流程的优化

    流程优化包括两个方面：一个是我们前面做的流程优化的结果要落地，变成流程图；另一个是基于解决问题来做流程优化。模式优化结果的落地是前面流程优化的结果，为什么放在这里来做？把前面组织，岗位职能等都流程优化完，这时候画的流程图才真正有意义。我们先做框架体系优化，优化完再调组织、调管控模式，再画直接的优化流程。

    第二种是基于解决问题的流程优化，前期作诊断时，会发现企业存在着很多问题，这些问题比较散，应该把企业的问题归结起来形成关键的问题。流程优化要去解决这些关键问题。例如某电信企业投资流程优化过程中发现企业有这样的问题：市场导向不够、项目周期长、市场响应速度慢，影响投资收益。电信企业的投资在于建网、建基站。运营商之间的竞争是看网络铺建速度和覆盖广度。市级公司一年可能有上千个投资项目，这些项目都需要相应市场。我们对问题的根源进行分析，结论是企业对投资的项目没有进行区分，无论大项目小项目都是同样的流程；另一个是地市级建网授权不够，项目审批时间长，很多需要上经理会，甚至到省级公司审批。平均每个项目审批时间大约20天左右。框架体系优化后将企业的项目分为两类投资，一类是大型资本性的投资。第二类是小基站的建设，每个项目投资金额不大，但是项目多，总金额大，叫做滚动性投资。对滚动投资优化的结果是对零散的投资要通过预算来控制。前期可根据市场的情况制定投资计划预算。因此需要强化滚动性投资预算的流程。该电信企业的业务中原来没有这个流程，现在就要增加这个流程，对原有的滚动性投资流程进行优化。资本性投资的流程原来没问题。这个优化的流程里面所有公司的总经理会、上级公司不需要再参与这样项目的审批，审批周期由20天降低到8天。

流程作业手册的优化

    流程作业手册的优化就是企业管理的规范化，即企业知识的标准化。作业流程手册一要通过手册来规范企业业务的运作；二要把企业的最佳实践进行总结，然后知识化。做了手册后，所有同类工作都要采用一个标准来做，采用一个流程步骤、一个流程操作规范标准来做，这就是做手册的意义。

    做流程作业手册不仅仅是要把图画出来，还要考虑流程图中的每一个活动要考虑的因素是什么；凭什么判断这个事情该这么做；这件事这么做考核的标准是什么；指标是什么、操作的规范是什么；注意的事项是什么，另外需要学习哪些东西。AMT通常做企业作业手册，成文需要2—4个月。完成一个手册的循环，包括成文、IT的实现推广和评估改进需要4—8个月。做手册最难的是手册里面的标准，没有标批准就没法衡量做事的效果。具体的标准也要考核，如何考核执行的人员也需要考核的标准。标准涉及到的业务是各种各样的，因此标准的制定要不断地坚持努力。这有两个关键：标准运行的成本分析，有些标准很好，但是它会增加企业的运行成本；第二个是标准的阻力分析，有时候制定的标准实际上做不到，会受到抵触，导致流程没法执行。

    流程优化是一个持续不断的过程。如果一个企业想从流程开始来展开企业业务优化，这里有一些策略性的建议：

    一、企业做流程优化要见效果首先要找问题，找到关键的问题，对这些关键问题进行深入的流程分析，找出解决方案，最后去优化流程、优化组织，甚至一直做到相关手册全部标准化、IT化。

    二、有的企业刚刚制定好战略，希望通过流程的手段来把它落实。这时可以制定战略的行动规划，在流程的帮助下落实这些问题。

    三、引入咨询来加速优化的进程。

    企业所有的问题要得到解决都要落到流程上。流程无外乎对企业业务模式、组织、业务的运转的一个表述。我们只不过是利用流程这个工具、方法来解决企业的问题。切记做事情不能忘了目标。希望大家用流程的手段来优化、解决、完成你的任务。

 　　信息化建设对于中国企业来说已不再陌生，但前期效果实在差强人意。以致业信息化建设被称为“IT黑洞”。造成这种结果的原因很多，如管理软件系统不成熟，系统实施队伍经验不足等，但核心的问题是信息化建设并没有与适合企业的管理体系相结合。

　　企业信息化建设是以信息技术应用为基础的管理改造过程。业务流程优化过程不是单纯的管理技术问题，必须考虑现有和未来的信息技术应用，即应利用信息技术的手段固化管理体系，并提高信息交互速度和质量。

　　首先是现状调研。业务流程优化小组的主要工作是，深入了解企业的盈利模式和管理体系、企业战略目标、国内外先进企业的成功经验、企业现存问题以及信息技术应用现状。两者间的差距就是业务流程优化的对象，这也就是企业现实的管理再造需求。以上内容形成调研报告。

　　其次是管理诊断。业务流程优化小组与企业各级员工对调研报告内容协商并修正，针对管理再造需求深入分析和研究，并提出对各问题的解决方案。以上内容形成诊断报告。

　　

　　基于信息化平台的客户服务流程

　　最后是业务流程优化。业务流程优化小组与企业对诊断报告内容协商并修正，并将各解决方案细化。

　　具体的业务流程优化的思路是：总结企业的功能体系；对每个功能进行描述，即形成业务流程现状图；指出各业务流程现状中存在的问题或结合信息技术应用可以改变的内容；结合各个问题的解决方案即信息技术应用，提出业务流程优化思路；将业务流程优化思路具体化，形成优化后的业务流程图。

　　目前，业务流程优化有两种方法，即系统化改造法和全新设计法。

　　其中，系统化改造法以现有流程为基础，通过对现有流程的消除浪费、简化、整合以及自动化（ESIA）等活动来完成重新设计的工作。全新设计法是从流程所要取得的结果出发，从零开始设计新流程。这两种流程优化方式的选择取决于企业的具体情况和外部环境。一般来说，外部经营环境相对稳定时，企业趋向于采取系统化改造法，以短期改进为主；而在外部经营环境处于剧烈波动状况时，企业趋向于采取全新设计法，着眼于长远发展而进行比较大幅度的改进工作。从多数单位的具体情况来说，比较适宜的方式是采取系统化改造法，而且最好用流程图形式表现出来。

　　在企业客户服务流程中，多数问题出在客户的诉求需要经过多个环节才能得到响应。然而对于网络化的企业来说，其管理理念之一是对客户需求的“快速响应”，这种多环节的运作模式显然不适应。于是，基于信息化平台的新的客户服务流程就应运而生，如图所示。

　　客户信息进入新系统后，其诉求立刻在企业诊断系统中得到响应，诊断系统直接向各相关部门发出指令，指挥相关部门解决客户的具体要求。同时，整个服务过程进入知识库，供故障研究与分类部门进行深入分析和总结。这样，一个自动化的“快速响应”系统就形成了。

　　常见的业务流程优化的工作顺序是，首先进行组织建设。组织建设是业务流程优化的前提，因而需要建立由专业人员参加的业务流程优化执行小组，并任命一位具有高层决策权的领导担任小组负责人。

　　执行小组的主要职责包括描述、分析和诊断现有的业务流程，提出改进计划，制订并细化新流程的设计或改造方案，最终落实新方案。

　　有了项目小组之后，就要制定企业业务流程优化目标，明确列出业务流程优化的范围，启动业务流程优化工作：

　　首先是执行小组组织企业各级员工描述企业流程现状，进行岗位职责描述，绘制流程；其次是分析并找出阻碍目标实现的制约因素；最后执行小组向企业领导汇报并得到确认后，开始设计业务流程优化方案。初步方案出台后，还要研讨与分析比较新的流程效率与效益以及可行性，从而确定优化方案。

　　业务流程优化过程实质上是管理再造或优化的实施过程，企业战略定位的变化和战略思路的改进最终都在业务流程中体现，反过来说，可以利用流程优化的手段来规范和提升管理体系。

　　基于以上思想，首先要对当前企业的管理体系进行规范和提升。其基本核心思想是：学习国内外先进企业经验，对目前企业的经营和管理模式的定位进行研究，找出其存在的问题和差距，结合企业的业务特点和公司战略，对企业经营和管理模式进行重新定位，其核心是形成新的管理理念。

　　所谓新的管理理念是指适应于企业独特性的、受到过其他企业检验证明成功的理念，其内容极为丰富，不拘一格。目前，信息化建设过程中常见的新管理理念是：实现从传统的事后管理（静态管理）向实时管理（动态管理）转变，部门管理（职能管理）向岗位管理（流程管理）转变，定性管理（主观管理）向定量管理（客观管理）转变，分散管理向集中管理转变等。

　　以职能管理向流程管理转变为例来说明：传统的企业管理是职能管理，也就是说每一项工作只指定了由哪个部门来负责，具体工作中由该部门的领导来分配工作。而信息化工程要求管理模式由这些传统的职能管理向“流程管理”改进，其目的是缩短信息交互时间，提高客户反应速度。

　　在赛迪顾问为中国核工业集团公司所做的信息化咨询中，将其每一项工作责任落实到了具体的岗位。而往往一项具体工作是跨部门的，流程管理要求跨部门的上下道工序进行工作交流，不必再通过各自部门的领导布置。当每一项工作均采取这种流程管理模式后，这个管理层次就可能被取消了，也就实现了通过信息化来使企业组织结构由“金字塔”型向“扁平化”方向的转化。 

 

    90年代出现的BPR概念提出，业务流程重组就是要通过对业务流程进行根本性地再思考和彻底性地重新设计来达到企业戏剧性地改善，从而让企业适应新的时代——即我们说的3C时代“顾客、竞争、变化”的要求。当时最典型的是两个企业。一个是通用公司，韦尔奇运用BPR大动企业的组织，缩减企业的层级，将组织从14级缩减到7级。另外一个就是ABB公司，通过流程再造，实现了全球化的组织。BPR是基于许多类似企业的成功经验而总结出来的，所以当时风靡了全球，但是后来有一半的企业都失败了，原因种种。成败皆有，我们该如何来拨开迷雾，看清做流程的本质？

    所谓流程，就是有输入、有输出、有处理的过程。我们将流程分成两类，一类是增值型流程，另一类是非增值型的流程。比如一个企业财务部门的流程属于增值型流程，因为财务部门可以保证一个企业整体的增值。所以我们说企业的管理部门都是因能保证企业的整体或者某一部分的效益最大化而产生的。对于流程本身，要特别关注两点：一个是要注意你的目标是客户，另一个要注意能否给你的客户创造价值。比如一个订单所涉及的流程，我们会发现它要关注的几个地方：顾客、企业战略、涉及到的企业的多个组织、输入、输出，最后是衡量这个流程用的绩效指标。

    从要见实效的角度来看，流程管理有几个关键：第一个关键就是流程管理的关注目标。主要是两个方面，一个是怎样支撑企业的战略，另一个是企业所面临的问题。第二个关键是不能忘记流的本质是流程的增值。它关注两个点，一个是企业整体的增值，一个是某一流程的增值。第三个关键就是流程的特点。流程是端到端的，它是跨组织的，它不会根据某个组织确定流程。

    为什么很多企业在流程再造之后并没有最终获得成功？我们分析其原因发现，企业需要阶段性的再造，要在过程中持续性地改善流程。根据流程的一些特性我们得出：我们把流程分层下来，进行分层改善；还可以将流程分类，进行分类改善；另外，我们也可以针对问题来改善。流程的优化则可以变成一个持续改善的过程。

    流程管理有很丰富的工具，所有这些工具我们都不排斥。企业要解决什么问题，要达成什么样的目标？，从流程的角度去切入，只要能更好地达成这个目标，所有的工具和方法都会为我们所用。流程本身就是一个工具，是企业业务的表述工具。

    表述企业整体业务的流程叫企业模型，表述某一个业务领域的流程叫做业务模型。最后再分级下来，可以变成很多的流程，流程可以拆成很多的级，不断地拆下来，最后就到了手册和表单。这就是流程分类分级的体系，而这个体系正好对应了我们对企业不同业务的不同表述。如流程的框架体系表述了企业的业务模式，而流程表述了企业业务具体怎么去运转，手册和表单反映企业业务的规范和标准。实际上我们可以分层去优化企业的业务模式，企业的组织，优化企业的业务，最后让企业的业务标准化和知识化。基于这样的分析，流程体系优化可以用这样一个体系来表述：一个诊断、三次优化、两个落实、一个推动。一个诊断就是要找目标。从两个方面找目标，一个是找达成企业战略要求的目标，一个找到企业需要解决的问题。找到目标后，流程优化就有了方向。

    三次优化首先是框架体系的优化。框架体系的优化是优化企业的业务模式、优化企业的资源配置，最后我们还可以优化企业的职能，提升企业组织的效率；然后就是流程的优化。流程的优化其实是框架体系优化——优化企业业务模式最后能落地在流程上。这个方面的流程优化就是要通过流程优化的手段把企业的问题解决掉；第三个优化叫流程的标准化。是把企业一些具体的做事流程、在这个流程里做事的规范做事的标准、做事的知识沉淀下来，然后标准化下来。

    所有的这三个流程优化的最终结果必须落地，企业才可以去执行。两个落实即框架体系的优化和流程的优化一定要落到组织上去。这里所说的组织涉及到一个比较广义的组织，包括企业的组织架构、企业部门的设置、职能的设置、岗位的职责等；第二要落到流程的作业手册上。作业手册包括两方面的内容：一个是流程。另一个是流程运转的一系列的操作顺序、操作规范、操作标准，及相关的知识。最终实现效果还要有一个推动——考评。没有考评所有的标准规范都没法执行。另外要注意要有激励，没有激励就没有动力，大家就不会去做这件事情。

流程框架体系的优化

    框架体系的优化就是去优化企业的业务模式。优化的最终结果是流程模式加流程清单。这个清单需要几个因素来形成。一个是我们需要看到企业需要解决哪些问题，找到企业的战略要求；我们还会引出外部的最佳时间，和企业的最佳时间，最后形成对企业业务模式的优化。除了流程的框架体系还会对企业的组织进行调整，为后续编制流程作业手册打下基础。

    我们从战略的角度，以采购的业务模式为例来了解流程框架体系优化。通常来说企业采购要注意最佳时间和采购品分类。通过采购品分类我们了解企业的战略和组织应该怎么去设计，包括采购策略、管理方式、决策分权、组织配合，最后形成企业采购战略、采购管理模式、业务模式。举个例子来说，我们把所有工程性的产品做成战略采购，并进行集中采购。集中采购以后相应的业务管理的方式、业务运转的模式和业务流程都会不一样。采购战略来优化业务模式并不是一个简单的分类能做到的，我们做采购战略至少要考虑这样几个关键因素：比如供应商的数量多少是比较合理的，如何建立跨职能的功能团队等。

    我们看一个企业采购的时候，会看到这个企业产品的总成本。总成本是在整个供应链，整个价值链上这个企业产品总体拥有的成本，而采购价格只是采购成本的一部分。我们要的是总成本的建模。当对供应商建模时，与供应商谈价格要分析他的成本构成，这些成本构成有哪些驱动因素让他去降低这些成本。每一个企业主要的采购品最后都需要做这样的建模，这是一项庞大而复杂的工作。同样我们来看量化收益。特殊采购品成本降低最怕的是损失。比如设备中一个非常关键的螺丝钉丢了，采购需要三个月，结果造成停工一天，可能这个设备很重要，那么给企业造成的损失就是一天几百万，甚至几千万。所以他降低成本的关键是要减少断料的损失。特殊采购品成本降低的空间在于保障供应，降低断料的损失，同时又不能增加太多的库存成本。

    做流程框架体系就是优化企业的框架、优化企业的业务，最终形成的结果就是流程清单。流程清单看起来就是一级、二级、三级、四级的一些流程的名字。但它的关键在于如何运用和理解这些流程清单的涵义。流程框架体系会从整个企业的框架落到某一个业务的框架，最后落到流程清单。而所有这些背后的优化都要我们去分析企业的业务，业务形成这样的结构是有涵义的。比如一些缺失的责任。缺失的责任就是我们在分类分级建立这个流程清单以后发现企业现有的业务里面没有这样一个职能，所以我们要补上去；或者是有这个职能，但是这个职能是分解在别的几个流程里面去了。所以我们将流程清单分类分级，会发现企业缺失的是什么。反过来，流程优化是优化企业的流程，而不是增加流程。我们发现企业流程清单里面没有的流程都是应该优化的。它有两种情况，一种情况是这个流程就不应该存在。另一个情况就是这个流程分布在另外两个流程里去了。通过流程清单我们看出该要的职能和不该要的职能，原有组织里面哪些职能协调的不好，协调沟通不畅，或者是分布不合理的岗位职责设计得不合理。

    框架体系优化的核心是对业务模式的分析及形成流程清单。这两个的作用落地到实践中是落地到企业组织。根据流程清单和业务模式来调整组织的模式，调整企业的职能分配和岗位职责，部门职责，这就是流程框架体系优化的落地，也是我们通常说的BPR，即用流程优化组织。

流程的优化

    流程优化包括两个方面：一个是我们前面做的流程优化的结果要落地，变成流程图；另一个是基于解决问题来做流程优化。模式优化结果的落地是前面流程优化的结果，为什么放在这里来做？把前面组织，岗位职能等都流程优化完，这时候画的流程图才真正有意义。我们先做框架体系优化，优化完再调组织、调管控模式，再画直接的优化流程。

    第二种是基于解决问题的流程优化，前期作诊断时，会发现企业存在着很多问题，这些问题比较散，应该把企业的问题归结起来形成关键的问题。流程优化要去解决这些关键问题。例如某电信企业投资流程优化过程中发现企业有这样的问题：市场导向不够、项目周期长、市场响应速度慢，影响投资收益。电信企业的投资在于建网、建基站。运营商之间的竞争是看网络铺建速度和覆盖广度。市级公司一年可能有上千个投资项目，这些项目都需要相应市场。我们对问题的根源进行分析，结论是企业对投资的项目没有进行区分，无论大项目小项目都是同样的流程；另一个是地市级建网授权不够，项目审批时间长，很多需要上经理会，甚至到省级公司审批。平均每个项目审批时间大约20天左右。框架体系优化后将企业的项目分为两类投资，一类是大型资本性的投资。第二类是小基站的建设，每个项目投资金额不大，但是项目多，总金额大，叫做滚动性投资。对滚动投资优化的结果是对零散的投资要通过预算来控制。前期可根据市场的情况制定投资计划预算。因此需要强化滚动性投资预算的流程。该电信企业的业务中原来没有这个流程，现在就要增加这个流程，对原有的滚动性投资流程进行优化。资本性投资的流程原来没问题。这个优化的流程里面所有公司的总经理会、上级公司不需要再参与这样项目的审批，审批周期由20天降低到8天。

流程作业手册的优化

    流程作业手册的优化就是企业管理的规范化，即企业知识的标准化。作业流程手册一要通过手册来规范企业业务的运作；二要把企业的最佳实践进行总结，然后知识化。做了手册后，所有同类工作都要采用一个标准来做，采用一个流程步骤、一个流程操作规范标准来做，这就是做手册的意义。

    做流程作业手册不仅仅是要把图画出来，还要考虑流程图中的每一个活动要考虑的因素是什么；凭什么判断这个事情该这么做；这件事这么做考核的标准是什么；指标是什么、操作的规范是什么；注意的事项是什么，另外需要学习哪些东西。AMT通常做企业作业手册，成文需要2—4个月。完成一个手册的循环，包括成文、IT的实现推广和评估改进需要4—8个月。做手册最难的是手册里面的标准，没有标批准就没法衡量做事的效果。具体的标准也要考核，如何考核执行的人员也需要考核的标准。标准涉及到的业务是各种各样的，因此标准的制定要不断地坚持努力。这有两个关键：标准运行的成本分析，有些标准很好，但是它会增加企业的运行成本；第二个是标准的阻力分析，有时候制定的标准实际上做不到，会受到抵触，导致流程没法执行。

    流程优化是一个持续不断的程。如果一个企业想从流程开始来展开企业业务优化，这里有一些策略性的建议：

    一、企业做流程优化要见效果首先要找问题，找到关键的问题，对这些关键问题进行深入的流程分析，找出解决方案，最后去优化流程、优化组织，甚至一直做到相关手册全部标准化、IT化。

    二、有的企业刚刚制定好战略，希望通过流程的手段来把它落实。这时可以制定战略的行动规划，在流程的帮助下落实这些问题。

    三、引入咨询来加速优化的进程。

    企业所有的问题要得到解决都要落到流程上。流程无外乎对企业业务模式、组织、业务的运转的一个表述。我们只不过是利用流程这个工具、方法来解决企业的问题。切记做事情不能忘了目标。希望大家用流程的手段来优化、解决、完成你的任务。

   信息部门人越多，反而越觉得缺人，这看起来好像是个悖论。而本报组织的调查结果显示，信息中心人数在10人以下的CIO大多表示不缺人，而管理30人以上的CIO大多表示缺人。这是为什么呢？

缺人的悖论
    中国计算机报调研中心对来自大中小型企业的48位CIO进行了问卷调查，发现部分CIO觉得人手充足，而部分CIO却整日抱怨手下无人。
    此次接受调查的48位CIO分布在金融、电信、医药、政府制造业等行业。从企业人数分布情况可以看到，有65%都属于500人以上的中型或大型企业。在对信息部门的人数进行调研时发现，我国企业信息部门人员普遍较精简，即使是在规模1000人以上的大中型企业里，CIO手下的人也很少超过30人，尤其是在某些大型制造业企业里，信息部门甚至不到5人。
    在对信息部门进行了基本状况的调查之后，我们询问了目前企业信息部门是否缺人的问题，得到了两极化的回答。在同等规模的企业中，信息部门人数越多，CIO反而越觉得缺人。在信息部门人数超过30人以及10~30人的企业里，超过80%的CIO表示缺人；在信息部门人数不足10人的企业里，超过70%的CIO表示不缺人。

 

职能定位是起因

在调查信息部门缺人的原因时，我们发现，信息部门员工是多面手的情况很普遍，硬件、网络、软件等维护工作几乎是由一个人承担。在接受调查的企业当中，有39%的CIO认为，工作太多太杂是信息部门不堪重负的主要原因。

在对调查样本进行关联分析之后，调查发现，在人员较多、规模较大的企业当中，假如信息化部门负责的主要工作是硬件和网络维护的话，人员往往不会超过10人，甚至更少，而CIO一般也表示信息部门并不缺少人手。而在那些信息部门人员负担了硬件维护、网络维护、软件系统维护、软件实施等多种任务的企业，信息部门人员往往较多，而且CIO依旧觉得人手不够。同时还有泰康人寿等第三类企业信息化起步较早，部门分工较细，尽管企业规模超过1000人，信息部门工作人员不足10人，CIO依然觉得人手够用。因此，我们通过此次调查可以得出结论，缺人与否与信息中心的职能定位有关。

从企业信息部门的人员配置和缺人程度可以看出，我国企业的信息化管理水平可以大致分为三个阶段：第一个阶段，对信息中心的需求主要是维护工作，CIO不觉得缺人；第二个阶段，信息中心还要面对软件开发、实施等需求，缺人现象严重；第三阶段，IT治理手段有提升，信息部门可以进行人员精简，却也不会再为缺人而觉得手忙脚乱。

 

   许多IT专业人士认为实施ITIL是非常繁琐的。但现在已经有了简化ITIL的IT服务管理解决方案，这些方案使得利用现有能力快速实施ITIL成为可能。

    Ken Turbitt是资深的ISEB ITIL经理，并被Gartner评为TCO资深顾问。他是信息系统管理学院外包特殊利益集团的创始人之一，并成功创立了一个独立的顾问公司。

    ITIL(IT Infrastructure Library，信息技术基础设施库)的实施是一项具有巨大挑战性的任务，但其回报远远超出所需付出的努力。ITIL为各个组织进行业务管理以及向客户提供更高价值的服务提供了实用指导。ITIL定义了总体的流程，告诉你该做什么，而不是如何去做。它注重方法论，并为构建流程提供了一个路线图。

    然而，ITIL让你必须以最适合的方式来实施流程。这就对你提出了挑战，要求你不仅实施流程，而且还要部署底层技术来支持这些流程。最后，你还要规定你的员工如何遵守这些流程。

    幸运的是，现在已经有了可行的IT服务管理解决方案，这使得利用现有能力实施ITIL流程成为可能。这些解决方案满足了流程、技术和人员等ITIL关键要素的要求，并提供了ITIL流程的集成，而且还创建了CMDB(配置管理数据库)。因此，这些解决方案大大减少了实施ITIL所需的工作量。

    借助这些先进的IT服务管理解决方案，你实施ITIL就有了良好的条件，从而能够通过逐步提高流程管理的成熟度而降低成本，提高效率，并且更好地满足业务需求。

    简化ITIL须具备三种能力

   

    图1 流程生命周期

   

    图2 总体工作流程

    IT服务管理解决方案要想简化ITIL，必须具备三方面的能力：角色和职责定义、工作流程定义、CMDB实施。

    现有的IT服务管理技术可简化并加快ITIL实施过程。IT服务管理解决方案对ITIL实施的推动就如同PC技术对个人计算机使用的简化。

    在早期的PC时代，计算机内包含了很少现成的内容。用户必须成为技术专家才能启动和运行计算机。他们必须努力学会使用难以理解的操作系统。此外，他们必须在没有安装包和向导帮助的情况下，安装应用程序和外围设备驱动程序。如今，计算机几乎可以在打开包装后即可使用。硬件和软件(操作系统、外围设备和应用程序)都已集成。用户只需提供特定细节信息，例如个人偏好、电子邮件账户信息、本地网络及互联网接入信息，计算机就可以工作了。PC应用程序之间的集成现在已经做到了无缝化。

    IT服务管理技术在简化ITIL 实施方面同样得到了长足的发展，现在也已经有了可用于实施关键 ITIL流程的解决方案。这些解决方案要想简化ITIL，必须具备三个方面的能力：角色和职责定义、工作流程定义、CMDB实施。

    角色和职责 解决方案必须预先定义ITIL流程中涉及到的角色，以及这些角色的职责。你需要做的就是：为执行各个ITIL流程的人员定义必要的接入权限。

    工作流程 一个流程包含一项或多项相关联的活动(任务)，这些活动(任务)共同组成流程生命周期。每个活动(任务)都要求有输入，而且其输出成为下一个活动(任务)的输入。解决方案应规定工作流程，并且应在整个生命周期内管理每个流程。(如图1)

    解决方案必须定义组成每个流程的各个最佳实践活动。这涉及到规定用来控制工作流程的工作指令和参数，例如服务等级协议(SLA)参数。(如图2)

    CMDB 它是ITIL实施的核心，是基于ITIL实施的IT服务管理解决方案的基本组件。因此，解决方案应自动实施一个CMDB。这样，用户只需向CMDB中添加描述组织IT环境的数据就可以了。有些解决方案可以自动获取信息，将信息记录在CMDB中，并通过定期扫描IT环境和记录变化而使其保持更新，从而简化CMDB信息补充工作。

    实施ITIL须过三关

    ITIL的实施是一项繁琐的任务，一般来说，分为三个阶段，每个阶段又分别包含五个步骤。

   

    图3 ITIL实施流程图

    1 评估

    制订目标和使命 你首先要确定ITIL实施的目标和使命，而且目标和使命要尽量简单。如果有可能，要将目标数量限制为5到10个，并确保你的目标与ITIL相关联。你不要只是考虑直接的痛点，相反，要从长远考虑。这样，你就可以激励员工向既定的方向努力。

    审查服务管理最佳实践 找出并审查你在实施服务管理解决方案时希望考虑的所有服务管理最佳实践，制订一个包含所有备选项的完整列表，记录搜索结果。利用标准组件方法管理列表是一个不错的做法，例如电子表格。

    选择服务管理最佳实践 从上一步的列表中选择你希望实施的服务管理最佳实践。在选择时，最好成立一个由所有相关利益方组成的委员会。委员会可以发挥以下作用：确定相关利益方共同的最佳实践需求，建立关键的选择标准，确定业务经理之间的冲突领域(例如，一个业务经理可能希望实施一个无意中对另一个业务经理的目标产生负面影响的流程)，剔除明显不具竞争力的最佳实践，对剩下的备选项进行评定。

    从其它框架中选择补充的最佳实践 从对ITIL实施起补充作用的其他框架中，选择你希望实施的最佳实践，例如信息相关技术的控制目标(COBIT)、六西格玛(Six Sigma)和ISO 20000。

    确定实施哪些流程支持最佳实践 你的选择可能受多个因素的限制，你必须确定流程列表的优先级，或者限制你的流程列表，使其符合你的特定需求。

    2 采购和安装

   

    图4 能力成熟度模型

    创建软件需求分析 确定软件要求的范围，以支持你在第一个阶段制订的列表中的每个流程，并确定每个流程中各项要求的优先级，要确保对未来的要求做出预测。

    确定潜在软件 根据软件需求分析结果，确定满足你要求的可用的软件解决方案。在确定哪些软件可用时，可利用召开IT服务管理论坛(itSMF)、向IT基础设施管理协会(ITIM)咨询等方式来确定。

    选择软件 在选择时，需要考虑以下内容：软件能否完全满足第一步划定的特定软件需求、许可和维护选项、可用的支持等级、可从供应商处获得补充产品(例如实现身份管理、预配置和软件配置管理自动化的解决方)、供应商的解决方案路线图(检查供应商的路线图，以确保软件满足你当前和将来的要求)、供应商在业界的声誉。

    制作业务案例 一旦你做出选择，则需要制作用于获取解决方案的业务案例。这项工作涉及到确定软件的投资回报(ROI)，考虑软件采购、实施、定制、维护以及所需的硬件和支持技术的成本因素。然后，根据预期收益评定这些因素的权重，例如提高IT效率，降低风险。

    采购和安装软件 在选择安装软件时，信任你的供应商非常重要。你应该以供应商推荐的方式安装软件，并且不要轻率地做出更改。这样有助于保证实施的解决方案符合ITIL流程。

    3 软件本地化

   

    图5 差距分析

    制订流程/工作指令 在这一步中，你通过提供定义你环境的信息来定制解决方案。这涉及到为解决方案补充数据，例如每个角色的人员姓名，并补充服务等级协议的参数值。你还需要考虑让人员熟悉新流程或新工作方式需要做什么。

    执行基本的个性化 在这一步中，你要对解决方案进行个性化定制，包括定制屏幕布局，添加定制的数据字段以及规定你的组织特定的规则。然而，你做的任何个性化定制都应满足供应商的定制规范。

    创建能力成熟度模型(CMM) 你需要建立一个模型，用于定义你的组织在流程管理方面的成熟度。能力成熟度模型(CMM)就是这样一个模型。如图4所示，CMM定义了五个逐步演进的阶段，这五个阶段描述了在管理流程方面的成熟度增长情况。

    执行差距分析 采用成熟度模型，首先确定你的组织对于每个已定义的流程所达到的成熟度。然后，确定你希望达到的成熟度，这将告诉你对ITIL流程的遵从程度，以及你在何处对流程进行修改，使其更好地遵从ITIL流程。

    微调 简单地说，微调就是弥合实际和目标成熟度之间的差距。如图5所示，可以看出实际成熟度与预期成熟度的对比情况。对于流程A和流程C，你需要提高一个等级。对于流程B，你必须提高三个等级。然而，有一点需要表扬，因为流程D已经达到了预期的成熟度。

    完成这一活动的最佳方式就是将你的流程按逻辑顺序进行排列，因为你不能同时微调所有的流程。记住，你不应该从头开始设计流程，而是应该微调现有的解决方案。

    举个例子，在经过多年对ITIL的研究之后，一家大型服装零售商决定实施ITIL流程，使IT能够更好地支持公司业务的快速增长。

    这家公司的IT人员选择了从服务台开始进行ITIL实施，将目前的基础开票系统以采用ITIL流程的新系统替代，以支持事故、问题、变更和配置管理。在对多种方案进行考虑之后，包括内部构建系统的方案，公司决定采购一种现有的IT服务解决方案。公司内部对管理层的这一决策抵制心理很强，许多员工担心利用现有的技术不能为他们提供所需要的功能。在这种情况下，负责项目的公司领导要求他们：列出在实施后的前6个月到12个月内，他们认为缺失的所有功能。据这位领导称，这些人最初暂时保留了一份列表，但最终人们不再谈论这个列表，而且他们更容易去遵从现有的流程。他说，这是项目进展迅速的关键。这套集成的IT服务管理应用只花费了8到10个星期就部署完成，用于支持符合ITIL要求的服务台。

 

    要理解什么是IT审计，及其未来发展，我们得先了解一些基本概念，如管理、治理、IT管理和IT治理。

       原始积累阶段重管理

　　假设有一个私人公司A，规模50人，年营业额5000万。这样的公司经营发展，老板最关心的是什么呢？是产品、生产、营销方面的竞争力。也就是说有好产品能够生产出来，以合理的价格卖出去，实现资金回笼，然后再生产，公司通过物流和资金流的不断循环增值，得到发展壮大。

　　在这一阶段，公司面临的最大风险可能来自产品、财务、市场、人员。为了公司的发展壮大，就要对开发、生产、销售等各方面进行管理，公司的总体运作由老板（所有人）亲自指挥。所谓管理，按照管理学的定义，就是计划、组织、领导、监督四个职能的结合，即设定目标、安排人员、协调激励、监督考核。

所有权结构演变出治理

　　假若A公司经过5年的发展，规模扩张到员工5000人、遍布全国十几家分公司、年销售额几个亿，还在上交所挂牌，变成了上市公司。公司引入外来资本，所有权结构发生了改变，整个公司再也不是老板一个人说了算了（老板早发达了，在太平洋上买了一个岛屿晒太阳）。

　　这时候谁说了算呢？新的公司有很多股东，只有几个大股东能够提名自己的代表，称为董事，成立了董事会。公司的大事情由董事会决议。董事会委任一个CEO，负责日常的经营管理。这样看起来，股东们轻松了，坐在家里等分红就好了。但实际上，问题出现了。

　　①所有权结构变了，大股东和小股东存在利益冲突。原来股权结构非常简单，股东之间可能彼此都很信任。现在股东数量很多，还可能经常变化。根据股权比例，可以分为大股东和小股东两个利益集团。大股东占有公司控制权，拥有绝对的话语权，小股东相对弱势。如果大股东不厚道，就很容易侵犯小股东的利益，就像家里孩子多，力气大的就可能欺负力气小的。我们经常听说什么关联公司利益输送、大股东把上市公司作为提款机等现象，背后往往就是这么一回事。

　　②所有权和经营权转移的分离，带来所有者和经营者的利益冲突。现阶段，虽然董事会是日常决策机构。但是公司的日常经营是由CEO（管理层）领导的。这就导致了所有权与经营权的分离。董事会和管理层之间构成了委托代理关系。委托方和代理方之间必然存在信息不对称，信息不对称可能导致道德风险和逆向选择。这就是为什么管理层可能会通过报表造价，粉饰业绩来得到高额回报，或者为了片面追求自身利益违背董事会决议，诸如此类。

　　我们周围的上市公司丑闻不断，其实就是公司不同利益相关者的的利益冲突、矛盾激化的结果。为了对付这种情况，学者提出了公司治理的概念。所谓公司治理，是为了满足公司内不同利益相关者的利益诉求，将公司决策权、执行权、监督权进行分离，使利益相关者互相制衡，最终博弈各方达到均衡的一种制度安排。董事会、独立董事、审计委员会、股东大会、内部审计、外部审计等等，都是公司治理的手段或工具选择。

　　好了，现在可以总结一下治理和管理的区别了。管理主要强调的是“做正确的事”，即计划、组织、领导、监督；治理更多强调的是通过组织架构、权力分配等制度安排，来实现不同利益相关者之间的相互制衡。实质上，这二者之间并没有严格的边界。尤其是在大型上市公司中，治理与管理总是同时存在，互相促进，以实现股东利益的最大化。我们也可以把公司治理理解为，公司发展到一定程度，对公司管理提出的新的要求。

      公司上市派生出IT管理

　　前面讲A公司从一个小公司，发展为一个大型上市公司的过程中，公司管理如何派生出公司治理。现在谈谈随着公司发展到不同阶段，IT及其管理如何演变。

　　A公司创业之初，也许就是老板带了几个伙计，开了一个门市部。每天老板进货，找供货商讨价还价，门市部里面一个伙计负责零售，还雇了几个销售员专门去跑客户，拉关系做工程，会计和出纳工作基本上都是老板娘兼职做了。

　　在这个阶段，所谓进货价格、销售价格、库存数量、人员工资、客户信息、应收帐款这些重要数据都在老板的脑袋里面装着。老板如果勤快一点，也许会做个笔记。这个阶段，我们可以看成手工管理阶段。公司里面连个懂电脑的人都没有，更别说程序员、DBA、网管了。这家公司基本上和IT不发生什么关系。

　　后来公司越做越大，开了好多个店面，销售的产品种类，客户数量、雇员数量、销售额都达到更高的规模了。老板发现自己的脑子有点不够用了，而且钱也挣够了（完成原始积累了），就想公司的管理要正规一点。正好有个朋友是做MIS的，跟老板说管理可以通过电脑来完成啊，不仅能提高效率，还能节省人力，降低成本。

　　于是老板决定逐步搞信息化。这个过程一般是这样的：财务部门管钱是最重要的，所以先买了一套会计电算化软件，比如金蝶或用友，用了两年觉得真不错，会计作帐正规多了，而且每个月的报表都很及时，经营情况一目了然。

　　吃到甜头的老板决定在公司内部推广经验，把库存和销售也通过电脑管理，所以上了一套进销存。为加强企业形象建设，还开发了一个网站。再后来公司不断发展，更加有钱了，要国际化，管理上要向世界巨头看齐了。

　　于是公司就花很多钱，聘请海外著名咨询公司上了一套ERP，例如SAP/ORACLE，什么财务集中、制造、库存、销售、HR统统拿来，连看门的门卫面前都摆了电脑，为啥？要考勤，和HR数据库相连。公司成立了一个信息中心，养了一帮闲散的无政府主义的程序员、网管、DBA，就是那些每天没事情就上网发牢骚的人。

　　到这个阶段，公司的很多部门都开始依赖电脑工作了，所有人都觉得电脑是个好东西了。用某个大人物的话说，电脑开始和水、阳光、空气一样不可或缺。

　　但慢慢地问题又来了，例如三天两头的病毒发作；员工把公司自己开发的软件偷偷拷出去卖钱；开发的软件偶尔会算错帐；员工跳槽后，系统没人维护；会计系统硬盘坏了，丢掉一个月的财务数据等等。

　　老板认识到问题的重要性，不敢等闲视之，决定加强IT管理。于是高薪聘请了一个海龟，任命为CIO，享受副总待遇。制定了一系列管理制度，例如电脑安装标准、用户管理制度、信息安全制度、数据备份、病毒防护制度、人员考核制度、系统开发和测试标准、设备采购制度、问题管理流程、重大故障应急处理流程等等。这些就是IT管理手段。

　　这样过了一段时间，公司的IT运行逐渐稳定下来了，业务部门的满意度比以前提高了很多。老板以为这下子觉得可以松一口气了。

       IT治理制衡强势IT部门

　　过段时间，老板注意到新的问题又出来了。公司IT部门势力扩展很厉害，有好几百人，掌握公司所有的IT资源。由于每个业务部门都必须依靠IT才能够开展工作，IT部门通过技术手段逐渐凌驾在业务部门之上，在公司内部处在很强势的地位，逐渐影响到公司的决策以及执行。

　　例如IT投资管理，CIO宣称预算必须大幅增加，以满足系统建设需要（投资黑洞）；IT权力过大，对业务部门指手画脚（IT暴君）；对所有用户的意见开始不以为然，对IT服务质量也没有以前重视了；IT战略制定，由于IT的专业性特征，管理层很难对IT的发展战略进行规划，IT发展与公司总体战略很难协调，影响公司战略执行。

　　这个问题并不是A公司独有的，很多公司信息化发展到一定程度，都会遇到这样的问题。于是学者开始研究并提出各种对策，其中一个研究成果就是IT治理。

　　如同前面对公司治理概念的讨论，IT治理更多强调的，也是组织架构和制度安排，以对IT进行制衡。比较典型的治理手段包括：成立IT委员会，制定IT战略和重大决策；设立IT审计职能部门，向管理层报告；对IT部门进行重组（大概可以分为集中管理、联邦式、分布式、混合式）。

　　好了，我们现在可以再来总结一下IT管理和IT治理了。

　　IT管理是通过管理手段，保证IT部门“做正确的事情”，如提高服务质量、提高系统的可用性、保证信息安全等。既然是管理，其基本内容还是组织、计划、领导、监督。IT治理并不是要替代IT管理工作，IT治理的目的，是通过组织架构和制度安排，来对IT部门进行制衡，促进IT更好地工作，最终目标是保证组织目标的完成。

      IT治理延伸出IT审计工具

　　在谈IT治理的时候，引出了IT审计的概念，认为IT审计（包括内审、外审）是IT治理的手段之一，是实现公司内部IT有关的权力、职责、利益分配制衡的工具之一。这个是IT审计在现代公司存在的地位和意义。

　　IT审计也可以认为是在管理层与IT部门的委托代理关系背景下产生的，接受管理层委托，对IT部门进行监督评价，或提供增值化的咨询服务。

　　这样一说，很多长期受IT压迫的兄弟开心了：在公司受了IT这么多年的气，今天终于风水轮流转，也有人来收拾你们了！是不是这么乐观呢? 一个职业的出现和发展，最终是由市场决定的。市场决定的手段无非是以下几个因素：

　　①需求。需求的问题我们已经论述过了，IT审计已经被定位为IT治理的重要手段和工具了。从目前的现状来看，需求的规模是相当可观的。

　　②供给。供给的问题，实际上就是IT审计的从业者能否提供高质量的审计服务，涉及到IT审计从业者的胜任问题。这是我觉得很难回答的一个问题，以后有机会单独讨论。

　　③成本。成本应该是价格的基础，可能和IT审计的期望待遇有关。

　　这几个方面的讨论如果要深入下去，就要往经济学上面靠了，暂且打住。

敏捷方法是近几年兴起的一种轻量级的开发方法，它强调适应性而非预测性、强调以人为中心，而不以流程为中心，以及对变化的适应和对人性的关注，其特点是轻载、基于时间、Just Enough、并行并基于构件的软件过程。在所有的敏捷方法中，XP（eXtreme Programming）方法是最引人注目的一种轻型开发方法。它规定了一组核心价值和方法，消除了大多数重量型过程的不必要产物，建立了一个渐进型开发过程。该方法将开发阶段的4个活动（分析、设计、编码和测试）混合在一起，在全过程中采用迭代增量开发、反馈修正和反复测试。它把软件生命周期划分为用户故事、体系结构、发布计划、交互、接受测试和小型发布6个阶段，采用这种开发模型的软件过程如图1-15所示。

图1-15  采用XP方法的软件过程

XP模型通过对传统软件开发的标准方法进行重新审视，提出了由一组规则组成的一些简便易行的过程。由于这些规则是通过在实践中观察使软件高效或缓慢的因素而得出的，因此它既考虑了保持开发人员的活力和创造性，又考虑了开发过程的有组织、有重点和持续性。XP模型是面向客户的开发模型，重点强调用户的满意程度。开发过程中对需求改变的适应能力较高，即使在开发的后期，也可较高程度地适应用户的改变。

XP开发模型与传统模型相比具有很大的不同，其核心思想是交流（Communication）、简单（Simplicity）、反（Feedback）和进取（Aggressiveness）。XP开发小组不仅包括开发人员，还包括管理人员和客户。该模型强调小组内成员之间要经常进行交流，在尽量保证质量可以运行的前提下力求过程和代码的简单化；来自客户、开发人员和最终用户的具体反馈意见可以提供更多的机会来调整设计，保证把握正确的开发方向；进取则包含于上述3个原则中。

XP开发方法中有许多新思路，如采用“用户故事”代替传统模型中的需求分析，“用户故事”由用户用自己领域中的词汇并且不考虑任何技术细节准确地表达自己的需求。XP模型的优点如下。

① 采用简单计划策略，不需要长期计划和复杂模型，开发周期短。

② 在全过程采用迭代增量开发、反馈修正和反复测试的方法，软件质量有保证。

③ 能够适应用户经常变化的需求，提供用户满意的高质量软件。

RAD（快速应用开发）模型是一个增量型的软件开发过程模型，强调极短的开发周期。该模型是瀑布模型的一个“高速”变种，通过大量使用可复用构件，采用基于构件的建造方法赢得了快速开发。如果正确地理解了需求，而且约束了项目的范围，利用这种模型可以很快创建出功能完善的信息系统。其流程从业务建模开始，随后是数据建模、过程建模、应用生成、测试及反复。采用RAD模型的软件过程如图1-11所示。

图1-11  采用RAD模型的软件过程

RAD模型各个活动期所要完成的任务如下。

（1）业务建模

确定驱动业务过程运作的信息、要生成的信息、如何生成、信息流的去向及其处理等，可以辅之以数据流图。

（2）数据建模

为支持业务过程的数据流查找数据对象集合、定义数据对象属性，并与其他数据对象的关系构成数据模型，可辅之以E-R图。

（3）过程建模

使数据对象在信息流中完成各业务功能，创建过程以描述数据对象的增加、修改、删除、查找，即细化数据流图中的处理框。

（4）应用程序生成

利用第4代语言（4GL）写出处理程序，重用已有构件或创建新的可重用构件，利用环境提供的工具自动生成以构造出整个的应用系统。

（5）测试与交付

由于大量重用，一般只做总体测试，但新创建的构件还是要测试的。

与瀑布模型相比，RAD模型不采用传统的第3代程序设计语言来创建软件，而是采用基于构件的开发方法复用已有的程序结构（如果可能）或使用可复用构件和或创建可复用的构件（如果需要）。在所有情况下，均使用自动化工具辅助软件创造。很显然，加在一个RAD模型项目上的时间约束需要“一个可伸缩的范围”。如果一个业务能够被模块化使得其中每一个主要功能均可以在不到3个月的时间内完成，则其是RAD的一个候选者。每一个主要功能可由一个单独的RAD组来实现，最后集成起来形成一个整体。

RAD模型通过大量使用可复用构件加快了开发速度，对信息系统的开发特别有效。但是与所有其他软件过程模型一样，RAD方法有如下缺陷。

① 并非所有应用都适合RAD。RAD模型对模块化要求比较高，如果有哪一个功能不能被模块化，那么建造RAD所需要的构件就会有问题。如果高性能是一个指标且该指标必须通过调整接口使其适应系统构件才能赢得，RAD方法也有可能不能奏效。

② 开发人员和客户必须在很短的时间内完成一系列的需求分析，任何一方配合不当都会导致RAD项目失败。

③ RAD只能用于信息系统开发，不适合技术风险很高的情况。当一个新应用要采用很多新技术或当新软件要求与已有的计算机程序的高互操作性时，这种情况就会发生。

原型实现模型从需求收集开始，开发者和客户在一起定义软件的总体目标，标识出已知的需求，并规划出需要进一步定义的区域。然后是“快速设计”，即集中于软件中那些对用户／客户可见的部分的表示。这将导致原型的创建，并由用户／客户评估并进一步精化待开发软件的需求。逐步调整原型使其满足客户的要求，而同时也使开发者对将要做的事情有更好的理解。这个过程是迭代的，其流程从听取客户意见开始，随后是建造／修改原型、客户测试运行原型。然后往复循环，直到客户对原型满意为止。采用原型实现模型的软件过程如图1-10所示。

图1-10  采用原型实现模型的软件过程

原型实现模型的最大特点是能够快速实现一个可实际运行的系统初步模型，供开发人员和用户进行交流和评审，以便较准确地获得用户的需求。该模型采用逐步求精方法使原型逐步完善，即每次经用户评审后修改、运行，不断重复得到双方认可。这个过程是迭代过程，它可以避免在瀑布模型冗长的开发过程中看不见产品雏形的现象。其优点一是开发工具先进，开发效率高，使总的开发费用降低，时间缩短；二是开发人员与用户交流直观，可以澄清模糊需求，调动用户的积极参与，能及早暴露系统实施后潜在的一些问题；三是原型系统可作为培训环境，有利于用户培训和开发同步，开发过程也是学习过程。

原型实现模型的缺点是产品原型在一定程度上限制了开发人员的创新，没有考虑软件的整体质量和长期的可维护性。由于达不到质量要求产品可能被抛弃，而采用新的模型重新设计，因此原型实现模型不适合嵌入式、实时控制及科学数值计算等大型软件系统的开发。

增量模型和原型模型都是从概要需求出发开发的，但二者有明显不同。增量模型是从一些不完整的系统需求出发开始开发，在开发过程中逐渐发现新的需求。然后进一步充实完善该系统，使之成为实际可用的系统；原型开发的目的是为了发现并建立一个完整并经过证实的需求规格说明，然后以此作为正式系统的开发基础。因此原型开发阶段的输出是需求规格说明，这是为了降低整个软件生成期的费用而拉大需求分析阶段的一种方法，大部分原型是“用完就扔”的类型。

WINWIN模型融合了螺旋模型的基本成分和原型实现的迭代特征，强调风险分析和标识。通过早期谈判使客户和开发者之间达成一致协议，它将变成进展到软件和系统定义的关键标准。WINWIN模型引入了3个里程碑，称为“抛锚点”。它可帮助建立一个生命周期的完全性，并提供在软件项目向前进展前的决策里程碑。采用WINWIN模型的软件过程如图1-9所示。

图1-9  采用WINWIN模型的软件过程

本质上，抛锚点表示了项目遍历螺旋时的3个不同的进展视图，第1个抛锚点称为“生存周期目标”，定义了一组针对每个主要软件工程活动的目标；第2个抛锚点称为“生存周期体系结构”，建立了当系统和软件体系结构被定义时必须满足的目标；第3个抛锚点称为“初始操作能力”，它表示一组目标，这些目标和将要安装／销售软件的安装前场地准备和将使用该软件的各方所需的帮助相关联。

WINWIN模型强调风险分析和标识，使得开发人员和用户对每个演化层出现的风险有所了解，继而做出应有的反应。采用WINWIN模型的优点是客户和开发者达到一种平衡，实现双赢，但是需要额外的谈判技巧。

螺旋模型提出了强调客户交流的一个框架活动，该活动的目标是从客户处诱导出项目需求。在理想情况下，开发人员简单地询问客户需要什么，而客户提供足够的细节进行下去，不幸的是这种情形很少发生。而在WINWIN模型中，客户和开发人员进入一个谈判过程，客户被要求在成本和应市之间的约束下平衡功能、性能和其他产品或系统特征。最好的谈判追求“双赢”结果，即通过谈判客户获得大部分系统的功能，而开发人员则获得现实和可达到的预算和时限。

增量模型融合了瀑布模型的基本成分（重复应用）和原型实现的迭代特征，该模型采用随着日程时间的进展而交错的线性序列，每一个线性序列产生软件的一个可发布的“增量”。当使用增量模型时，第1个增量往往是核心的产品，即第1个增量实现了基本的需求，但很多补充的特征还没有发布。客户对每一个增量的使用和评估都作为下一个增量发布的新特征和功能，这个过程在每一个增量发布后不断重复，直到产生了最终的完善产品。增量模型强调每一个增量均发布一个可操作的产品。采用增量模型的软件过程如图1-8所示。

增量模型与原型实现模型和其他演化方法一样，本质上是迭代的，但与原型实现不一样的是其强调每一个增量均发布一个可操作产品。早期的增量是最终产品的“可拆卸”版本，但提供了为用户服务的功能，并且为用户提供了评估的平台。增量模型的特点是引进了增量包的概念，无须等到所有需求都出来，只要某个需求的增量包出来即可进行开发。虽然某个增量包可能还需要进一步适应客户的需求并且更改，但只要这个增量包足够小，其影响对整个项目来说是可以承受的。

图1-8  采用增量模型的软件过程

采用增量模型的优点是人员分配灵活，刚开始不用投入大量人力资源。如果核心产品很受欢迎，则可增加人力实现下一个增量。当配备的人员不能在设定的期限内完成产品时，它提供了一种先推出核心产品的途径。这样即可先发布部分功能给客户，对客户起到镇静剂的作用。此外，增量能够有计划地管理技术风险。增量模型的缺点是如果增量包之间存在相交的情况且未很好处理，则必须做全盘系统分析，这种模型将功能细化后分别开发的方法较适应于需求经常改变的软件开发过程。

智能模型也称为“基于知识的软件开发模型”，它把瀑布模型和专家系统结合在一起，利用专家系统来帮助软件开发人员的工作。该模型应用基于规则的系统，采用归纳和推理机制，使维护在系统规格说明一级进行。这种模型在实施过程中以软件工程知识为基础的生成规则构成的知识系统与包含应用领域知识规则的专家系统相结合，构成这一应用领域软件的开发系统。采用智能模型的软件过程如图1-7所示。

图1-7  采用智能模型的软件过程

智能模型所要解决的问题是特定领域的复杂问题，涉及大量的专业知识，而开发人员一般不是该领域的专家，他们对特定领域的熟悉需要一个过程，所以软件需求在初始阶段很难定义得很完整。因此，采用原型实现模型需要通过多次迭代来精化软件需求。

智能模型以知识作为处理对象，这些知识既有理论知识，也有特定领域的经验。在开发过程中需要将这些知识从书本中和特定领域的知识库中抽取出来（即知识获取），选择适当的方法进行编码（即知识表示）建立知识库。将模型、软件工程知识与特定领域的知识分别存入数据库，在这个过程中需要系统开发人员与领域专家的密切合作。

智能模型开发的软件系统强调数据的含义，并试图使用现实世界的语言表达数据的含义。该模型可以勘探现有的数据，从中发现新的事实方法指导用户以专家的水平解决复杂的问题。它以瀑布模型为基本框架，在不同开发阶段引入了原型实现方法和面向对象技术以克服瀑布模型的缺点，适应于特定领域软件和专家决策系统的开发。

喷泉模型是一种以用户需求为动力，以对象为驱动的模型，主要用于描述面向对象的软件开发过程。该模型认为软件开发过程自下而上周期的各阶段是相互重叠和多次反复的，就像水喷上去又可以落下来，类似一个喷泉。各个开发阶段没有特定的次序要求，并且可以交互进行，可以在某个开发阶段中随时补充其他任何开发阶段中的遗漏。采用喷泉模型的软件过程如图1-6所示。

图1-6  采用喷泉模型的软件过程

喷泉模型主要用于面向对象的软件项目，软件的某个部分通常被重复多次，相关对象在每次迭代中随之加入渐进的软件成分。各活动之间无明显边界，例如设计和实现之间没有明显的边界，这也称为“喷泉模型的无间隙性”。由于对象概念的引入，表达分析、设计及实现等活动只用对象类和关系，从而可以较容易地实现活动的迭代和无间隙。

喷泉模型不像瀑布模型那样，需要分析活动结束后才开始设计活动，设计活动结束后才开始编码活动。该模型的各个阶段没有明显的界限，开发人员可以同步进行开发。其优点是可以提高软件项目开发效率，节省开发时间，适应于面向对象的软件开发过程。由于喷泉模型在各个开发阶段是重叠的，因此在开发过程中需要大量的开发人员，因此不利于项目的管理。此外这种模型要求严格管理文档，使得审核的难度加大，尤其是面对可能随时加入各种信息、需求与资料的情况。

喷泉模型是一种以用户需求为动力，以对象为驱动的模型，主要用于描述面向对象的软件开发过程。该模型认为软件开发过程自下而上周期的各阶段是相互重叠和多次反复的，就像水喷上去又可以落下来，类似一个喷泉。各个开发阶段没有特定的次序要求，并且可以交互进行，可以在某个开发阶段中随时补充其他任何开发阶段中的遗漏。采用喷泉模型的软件过程如图1-6所示。

图1-6  采用喷泉模型的软件过程

喷泉模型主要用于面向对象的软件项目，软件的某个部分通常被重复多次，相关对象在每次迭代中随之加入渐进的软件成分。各活动之间无明显边界，例如设计和实现之间没有明显的边界，这也称为“喷泉模型的无间隙性”。由于对象概念的引入，表达分析、设计及实现等活动只用对象类和关系，从而可以较容易地实现活动的迭代和无间隙。

喷泉模型不像瀑布模型那样，需要分析活动结束后才开始设计活动，设计活动结束后才开始编码活动。该模型的各个阶段没有明显的界限，开发人员可以同步进行开发。其优点是可以提高软件项目开发效率，节省开发时间，适应于面向对象的软件开发过程。由于喷泉模型在各个开发阶段是重叠的，因此在开发过程中需要大量的开发人员，因此不利于项目的管理。此外这种模型要求严格管理文档，使得审核的难度加大，尤其是面对可能随时加入各种信息、需求与资料的情况。

变换模型是基于形式化规格说明语言及程序变换的软件开发模型，它采用形式化的软件开发方法对形式化的软件规格说明进行一系列自动或半自动的程序变换，最后映射为计算机系统能够接受的程序系统。采用变换模型的软件过程如图1-5所示。

图1-5  采用变换模型的软件过程

为了确认形式化规格说明与软件需求的一致性，往往以形式化规格说明为基础开发一个软件原型，用户可以从人机界面、系统主要功能和性能等几个方面对原型进行评审。必要时，可以修改软件需求、形式化规格说明和原型，直至原型被确认为止。这时软件开发人员即可对形式化的规格说明进行一系列的程序变换，直至生成计算机系统可以接受的目标代码。

“程序变换”是软件开发的另一种方法，其基本思想是把程序设计的过程分为生成阶段和改进阶段。首先通过对问题的分析制定形式规范并生成一个程序，通常是一种函数型的“递归方程”。然后通过一系列保持正确性的源程序到源程序的变换，把函数型风格转换成过程型风格并进行数据结构和算法的求精，最终得到一个有效的面向过程的程序。这种变换过程是一种严格的形式推导过程，所以只需对变换前的程序的规范加以验证，变换后的程序的正确性将由变换法则的正确性来保证。

变换模型的优点是解决了代码结构经多次修改而变坏的问题，减少了许多中间步骤（如设计、编码和测试等）。但是变换模型仍有较大局限，以形式化开发方法为基础的变换模型需要严格的数学理论和一整套开发环境的支持，目前形式化开发方法在理论、实践和人员培训方面距工程应用尚有一段距离。

螺旋模型将瀑布和演化模型（Evolution Model）结合起来，它不仅体现了两个模型的优点，而且还强调了其他模型均忽略了的风险分析。这种模型的每一个周期都包括需求定义、风险分析、工程实现和评审4个阶段，由这4个阶段进行迭代。软件开发过程每迭代一次，软件开发又前进一个层次。采用螺旋模型的软件过程如图1-4所示。

图1-4  采用螺旋模型的软件过程

螺旋模型基本做法是在“瀑布模型”的每一个开发阶段前引入一个非常严格的风险识别、风险分析和风险控制，它把软件项目分解成一个个小项目。每个小项目都标识一个或多个主要风险，直到所有的主要风险因素都被确定。

螺旋模型强调风险分析，使得开发人员和用户对每个演化层出现的风险有所了解，继而做出应有的反应，因此特别适用于庞大、复杂并具有高风险的系统。对于这些系统，风险是软件开发不可忽视且潜在的不利因素，它可能在不同程度上损害软件开发过程，影响软件产品的质量。减小软件风险的目标是在造成危害之前，及时对风险进行识别及分析，决定采取何种对策，进而消除或减少风险的损害。

与瀑布模型相比，螺旋模型支持用户需求的动态变化，为用户参与软件开发的所有关键决策提供了方便，有助于提高目标软件的适应能力。并且为项目管理人员及时调整管理决策提供了便利，从而降低了软件开发风险。

但是，我们不能说螺旋模型绝对比其他模型优越，事实上，这种模型也有其自身的如下缺点。

① 采用螺旋模型需要具有相当丰富的风险评估经验和专门知识，在风险较大的项目开发中，如果未能够及时标识风险，势必造成重大损失。

② 过多的迭代次数会增加开发成本，延迟提交时间。

瀑布模型即生存周期模型，其核心思想是按工序将问题化简，将功能的实现与设计分开，便于分工协作，即采用结构化的分析与设计方法将逻辑实现与物理实现分开。瀑布模型将软件生命周期划分为软件计划、需求分析和定义、软件设计、软件实现、软件测试、软件运行和维护这6个阶段，规定了它们自上而下、相互衔接的固定次序，如同瀑布流水逐级下落。采用瀑布模型的软件过程如图1-3所示。

图1-3  采用瀑布模型的软件过程

瀑布模型是最早出现的软件开发模型，在软件工程中占有重要的地位，它提供了软件开发的基本框架。瀑布模型的本质是一次通过，即每个活动只执行一次，最后得到软件产品，也称为“线性顺序模型”或者“传统生命周期”。其过程是从上一项活动接收该项活动的工作对象作为输入，利用一输入实施该项活动应完成的内容给出该项活动的工作成果，并作为输出传给下一项活动。同时评审该项活动的实施，若确认，则继续下一项活动；否则返回前面，甚至更前面的活动。

瀑布模型有利于大型软件开发过程中人员的组织及管理，有利于软件开发方法和工具的研究与使用，从而提高了大型软件项目开发的质量和效率。然而软件开发的实践表明，上述各项活动之间并非完全是自上而下且呈线性图式的，因此瀑布模型存在严重的缺陷。

① 由于开发模型呈线性，所以当开发成果尚未经过测试时，用户无法看到软件的效果。这样软件与用户见面的时间间隔较长，也增加了一定的风险。

② 在软件开发前期末发现的错误传到后面的开发活动中时，可能会扩散，进而可能会造成整个软件项目开发失败。

③ 在软件需求分析阶段，完全确定用户的所有需求是比较困难的，甚至可以说是不太可能的。

我们经常忽视自己职业生涯中良师益友指导的重要性。但是，作为一家企业的首席信息官，也应该有责任把自己的经验和生命中的教训拿出来，让未来的决策者分享。作为首席信息官，也应该把自己作为技术执行者和设计者的成功经验留给这些未来的领导者。以下是Steve Williams (一家大型零售企业的首席信息官兼高级副总裁)在职业生涯中的成功经验。他37岁就成为这家年销售额60亿美元的企业中最年轻的信息技术董事。也许通过他的成功经验，能使你早点成为一名出色的CIO。

1.全面应用客户关系管理观念

公司中的每个人，不论他是看门的门卫还是CEO，你都应该把他看成是你的“客户”。你对待每一个“客户”的时候，就假想他是拥有提升或者是开除你权力的人，这样你就会全力以赴去工作。信不信由你，这是在你是否被看中成为管理者的人选时，最重要、也是最容易被忽视的一步。特别是，因为在信息技术职业领域，这种做法很少见，所以就显得更加有效果，有成绩。

2.切忌工作中使用专业术语

作为一名企业中的CIO，必须能够有效的与那些非技术人员进行沟通。如果你不能够和其他部门负责人一起在非技术领域的商业问题（比如：广告、财务、市场推广、销售、不动产等等）上进行30分钟以上时间的沟通，那么你想进入任何一个管理职位的希望都是非常渺茫的。作为一名企业负责人，应该养成这样一个习惯：在一个星期中，尽可能的与那些不是信息技术部门的经理、董事和执行官进行交谈，同时有意识地回避技术类问题的讨论。这些日常生活中的意见交换，尤其是在高层管理者之间的，将向人们输送这样一个信息：觉得你更像是一个懂管理的人，而不是那种只知道技术的人才。

3.成功时请记住这是团队的成功

在工作中，你应该更加注意到这一点。你的员工也是你的客户——对待他们要像你对待客户那样的尽心尽力。我许多前任的老板最后都成了我的职员，我完全记得当时我是如何被他们对待的。你对他人应该持有的基本态度，事实上与你处在组织中的相对位置并没有太大的关系。但尊敬你的下属，同样会帮助你降低你部门员工的离职率，并且得以向高层管理者展示你的管理才能。而且，尊敬下属也是IT领域内一个不多见的稀奇事。

4.创造服务观念

在你直接管辖的员工中，要求他们做到前面的第一步：客户服务。你应该建立起一种形象，“我不能容忍糟糕的客户服务，我会竭尽全力去发现和培养那些客户服务做得好的人。”这些价值观的建立将会创造一个提供“额外服务”的企业文化，同时也将帮你树立良好的信誉。

5.谦虚的美德

“紫色的活动水扳手。”你看懂了这句话吗？其实，谁也无法清晰知道它的意思。作为你的客户，用专业术语跟他们讲的时候，他们也无法理解。记住，对任何人都不能持有高高在上的态度，一次谦虚的意见交换，真的可以抵得上你多来来艰苦的游说和争辩。

6.始终如一地保持服务水平

保持服务水平是这个世界上比所有技术能力更为重要的一点。许多有天赋的技术人才，为什么最后不得不离开他们的工作岗位，是因为他们没有掌握这一原则。很多时候，我们的技术人员修完了某项东西或是一个项目，但却从不让客户知道这件事情已经完成。所以，永远追踪并保持你的服务水平可以事半功倍。

IT战略与企业战略息息相关。当IT战略与企业战略匹配时，IT就会成为企业发展的助推器；当IT战略与企业战略南辕北辙或者不相匹配时，IT就会成为企业发展的鸡肋。要想制定与企业战略相匹配的IT战略，CIO必须要了解IT与战略的关系，明白企业的战略是怎么样的并能用可执行的语言把它描述出来，最后制定出与企业战略匹配的IT战略。

运用SAM 明确IT战略与企业战略的关系

CIO可以通过企业战略对应模型(Strategy Alignment Model，简称SAM)来明确IT战略与企业战略的匹配关系。SAM模型是通过描述内外部竞争领域间的互动关系，来衡量IT战略与企业战略的契合度，它把IT战略与企业战略的匹配关系分为内外两部分，外部领域包括企业战略、IT战略，内部领域包括企业基础设施和过程、IT基础设施和过程。

我在实践中就是根据下面这个SAM模型来研究企业战略与IT战略的匹配度的。

图1 SAM模型

SAM模型中的外部环境，包括企业的外部环境及IT的外部环境。以医院举例，企业战略和IT战略制定时主要考虑的外部环境因素包括以七个方面：一是，尊从和谐社会主旋律，IT要协助医院处理好四个问题，即好看病难看病贵的问题、医疗纠纷问题、重大公共卫生事件的上报问题以及员工绩效考核问题。IT在这几个方面都应发挥积极作用，比如利用HIS与疾病直报网络集成后，就能解决重大公共卫生事件的上报问题。二是，提高社康中心的服务质量，IT要协助实现医院与社康中心的信息共享。三是，满足全民医保的需求，IT要解决全民社保带来的是第三方付费制度、逐级转诊、医院间信息共享以及医院成本控制等新问题。四是，当医院间的兼并现象出现后，IT系统如何整合将直接影响到合并后医院的效益。五是，医院业务的创新实践当中，IT技术、IT系统应用何发挥作用。六是，IT战略不仅要考虑本医院的发展战略，还要考虑所在区域的卫生信息规划。七是，IT技术和IT行业的发展规律和发展现状与医院需求的适应性。

运用战略地图 清晰描述企业战略

企业战略地图是基于平衡记分卡形成的，通过结构化的方式描述了企业战略的行动步骤，将企业战略转化为一步步可以具体操作的实际路径，使企业内部各单元很清晰地了解自己该做什么及做的目标。比如，某医院的企业战略是成本领先、横向一体化，为实现这一企业战略目标，可以制定如下图得的战略地图。

图2 战略地图

制定与企业战略相匹配的IT战略

在明确了IT战略与企业战略的关系，并制定了企业战略之后，CIO就可以组织制定与企业战略相匹配的IT战略，该医院的IT战略就是：IT要提高医护人员的服务效率；降低医院运行成本；控制医院收费水平；为医疗安全提供支持；与社区健康服务中心互联互通。

按照IT战略规划，该医院IT部门的工作重点包括三个方面：一是重点关注运营流程而不是客户流程，通过运营流程再造及作业优化，提高效率；二是通过IT提供控制成本及收费水平的绩效指标；三是采用数据大集中的方式与社区健康服务中心互联互通。

    缺乏经验、陈规陋习和恐惧会导致CIO承担不必要的风险。本交提供了几条实施安全而高效的IT领导的简单法则，可以帮你避开一些陷阱。领导IT部门尽管从来不是件容易的事，但是有些人却把它搞得复杂很多。最近，在目睹了公路上的一起车祸之后，我带着这个问题的思考回了家。当时好像路面状况并不危险，一个年轻人利用车速过一个转弯，结果撞上另一辆车。虽然自己犯了大错，但是他却大发雷霆，并且竭力羞辱对方。但他不走运的是，对方那位司机是一位消防员，和当地警局有着密切联系。警察一到现场就进行了一项酒精测试,并且逮捕了他，原因是他在醉酒的情况下驾驶。

   很显然，醉酒并且驾车的决定让这个年轻人做出了一系列错误的选择。其实IT领导也有这样的“酒后驾车”版本（DUI，Driver under influence，酒后驾车），也有可能会最终导致死里逃生、车祸事故和灾祸等等。这些场景常常在贸易出版物或一些会议上被CIO们大做分析，他们甚至会这样说：“他们怎么会那么愚蠢”，同时心中却想：“如果不是我运气好，我也会那么倒霉的”。

   糟糕的是，我看到不少IT领导人总是在冒一些没必要的风险。很多人在实施IT领导的时候总是受到一些因素的过度影响，包括经验不足、骄傲自满、恐惧、老习惯、技术强迫症、供应商压力以及公司政治等等。有讽刺意味的是，做为专业人士，我们原本有足够的集体经验去识别那些确保我们的组织和职业取得成功的行为。然而，这些法则几乎不会被书写下来，从而让IT组织以及那些领导组织的人能相应修正自己的行为。

   为了帮助CIO做到这些，我在本文回顾一些我最喜欢的法则，它们是实施IT领导最安全和最有效的法则。

   1、打造并领导一个强有力的、值得信赖的IT组织

   不要成为这样的领导人，有22份直接的工作报告需要你处理，且没有合适的接班人为你分担。建议把你一半的战略规划时间投放到这样一项工作上去：找到合适的人，为他安排好合适的位置，让他以正确的方法做事。你选人的时候要注意，他必须具备一种品质，能够和别人合作，他的行动驱动力是为了开创与众不同的业绩，而不是为了追求个人名誉。这个人要是你的职业伙伴并且能够形成对你能力的补充。把IT部门组织成和业务部门类似的团队。期望你的手下成就业绩并且放手让他们去做，但是要仔细检查他们的工作并确保他们犯的错误不会是致命的。永远不要因为失败而解雇手下，但是碰到不能从经验中吸取教训的员工要勇于请他走人。

   2、培养良好的关系

   管理不能在IT内部闭门造车。你要花些时间，通过观察业务部门的客户服务来学习他们的经验。定期和股东会面。不要担心自己要和他们讲什么，你只需要把重点集中在你打算如何询问他们事情上，尽力去了解他们的目标、动机和担忧就行了。不必事事非得在现场，你只需要保证和业务伙伴在出问题的时候无所不在就行了。

   3、塑造可分享的IT愿景、战略和战术目标

   不要等着业务部门奉献战略，你要和他们主动合作，以积极和协作的方式培育这种关系，要协调好全部的权重和要点。自己下功夫理解业务流程，理解那些驱动你的组织顺畅运行的关键数据，理解那些能够推动战略变革在你的组织发生的技术。最后，要清晰定义好业务和IT的决策权，让优质的IT监管推动工作的开展。

   4、按时、按预算交付项目

   避免这样的创新：使用急流勇进式的项目开发路径，这些方法往往要求有大额预算和长时间的框架搭建工作；这类项目往往要花9个月时间规划，花12个月时间取消。

   5、制定质量方案

   当谈到项目管理、开发方法、技术、法规遵从和持续性这些问题的时候，不要让项目经理一人“自说自话”。打个比喻，你的声誉积累好比存钱和花钱的关系，一分一分挣来，大笔大笔花走。引入流程纪律和标准化要求你从自己的声誉储备里取出大量积蓄，所以你要相应地设定自己的期望和实现路径。

   6、从IT投资实现业务价值

   要认识到，并不是因为你有了一套满足战略目标和做出财务贡献的流程，你才给公司创造了价值。要运用好运营价值计量方法（比如说资金周转率、销售呼叫数量等），这些指标要在项目期间和结束后进行测量，并且要让业务部门的合作伙伴对展示如何实现IT价值负责。

   IT领导人需要帮助其他领导人对自己的行动负责。最佳方法是什么？你要和IT领导团队协力确定安全的IT领导法则，并且要对行动支持和帮助别人做同样的事情负个人责任。好朋友会把车钥匙从醉酒的人身上取走，用同样的方法，同事也必须为展现IT领导力共同承担责任，尽管负面的影响有可能也由此会围绕着他们.

不少企业可能抱怨：大量的IT投资，却见不到明显的效益。当前，某些企业通过参考ITIL框架，实施IT财务管流程，获得了明显的效益。这使人们不得不把注意力集中到IT财务管理流程中来。
　　尽管不存在一种可以解决所有问题的灵丹妙药，但仍然可以采取一些方法，来提高财务管理的三个子流程，从而在不降低IT服务质量的情况下缩减成本。其中，值得注意的是，不要仅仅集中在某个单一的方面，而是要综合起来考虑，才能达到显著地降低成本的效果。

六招措施

　　1. 评估财务管理流程的成熟度
　　和绝大多数流程一样，财务管理流程也可以根据成熟度来衡量和评估。一种简单可行的成熟度评估法可以在itsMF网站上获得，它适用于所有的IT流程。
　　美国典型的评估工具，是给财务管理流程提供一个单一的成熟度号码。还有一些较好的方法，是给你提供更多的细节，和与财务控制有关的多重指标，像评估管理，项目实施，成本控制等。
　　综合的成熟度评估方法，会为你提供一个好的解决思路，包括指出目前你所处的状态，以及你应该怎么走等。
　　2. 引进配置和能力管理流程
　　如果没有配置和能力管理流程的正常运作，你可能会随意决定IT预算。配置管理主要针对IT领域的几个组成部分（如应用、网络、服务器等）及其怎样相互作用方面。能力管理则是规划IT容量。来自这两个流程的报告，对于评价企业目前的状况（现有IT资产）及将来的发展方向（投资和预算）是至关重要的。
　　3. 从“服务”而不是“功能”角度来考虑
　　应该根据正在提供的IT服务（如电子邮件，人力资源系统，远程获取服务），来确定企业的预算要求和核算体系。以往，预算常常根据功能部分（如DBAS, Unix系统, 维护框架）的需求来设置。
　　对IT服务预算和成本的理解越深刻，企业就越容易判断这些服务需求的类别及紧迫性。当评估外包模式时，这种方法也有助于合理地进行对比。
　　4. 关注一些方法和广泛搜集基准信息
　　针对IT部门提供的各种复杂的季度数据报告或每月数据报告，只有技术专家才能明白这些晦涩难懂的报告的深刻含义。企业应设法掌握这些报告，并从商业管理的角度分析它们。
　　企业向IT部门提交需求报告时，主要关注那些相对于已经制订的目标（如项目投资的预期回报）来说，具有明确定义和可以获得进展的需求。
　　查阅有关行业分析报告或内部资源状况，以提供一些关于行业、周期或能评估企业财务管理流程的辅助机构等基准信息。要找出外包服务价格。通过比较外包服务价格和自身成本预算，这对管理IT部门也具有很大的帮助。
　　5.投资于作业成本管理(ABM)
　　采取作业成本管理(ABM)方法。传统的成本体系直接按劳动力、原材料、税收和其它过于简单的方法来分派成本。而ABM则衡量了员工附加于客户的价值成本。它关注于员工实际上做了什么，包括简单的工作行为，工具和流程，以及职责水平。
　　这种方法可以识别出IT支出的真实驱动因素，发现节约成本的机会，使预算变化易于理解和控制，有助于实现服务计费。
　　ABM的实施，使得企业对IT服务在公司利润影响的理解更加深刻。从某种程度上说，它的另一个好处就是能很好地切合了平衡记分卡或类似的方法。
　　6.使IT部门掌握一些财务知识
　　培训员工是提高IT部门的财务管理知识的一个方法。另一个方法就是把会计人员合理地转移到IT部门。让双方相互交往，彼此学习和欣赏，并从中受益。
　
三个问题

　　IT财务管理难在哪儿？
　　根据ITIL框架， IT财务管理流程包括三个主要的子流程：投资预算，会计核算和服务计费。由于这三个部分给IT系统管理带来了明显的效益，因此，当今它们已经普遍受到人们的重视。
　　尽管人们开始重视IT财务管理流程，但是，这三个方面仍然存在如下一些问题：
　　1．投资预算：难在两个方面
　　投资预算是成本核算的起始点，因为它可以引导人们去考虑，如何用最少的钱，提供相同的服务。
　　作为IT管理的一个工具，目前，投资预算仍然被忽视或未被广泛应用。因为IT系统的投资预算是相当困难的。为什么呢？
　　首先，从逻辑上说，投资预算应该跟随业务预算来制订，而实际上，又要求它是一种与业务预算同步进行的预算流程。投资预算应该在业务目标确立之后，其他所有支持部门的预算明确之后，以及实际的业务需要都明了之后，才能进行。
　　根据所确立的业务目标和需要，投资预算就可以直接合理地开始进行了。但由于IT部门和业务部门之间缺乏必要的沟通，预算流程常常会因为没有明确的指导，而陷入进退两难的境地。
　　其次，能力管理流程未实现或运作不当，是投资预算难以进行的另一个原因。据猜测，一些企业的IT部门比较有特色，因为它的成立，可能是出于策略目的，并打算以此获得所想要的某种地位，甚至可能是某种妥协的结果。因此，在这样的企业，投资预算肯定是无法推进下去的。

　　2．会计核算：IT部门缺乏必要的财务知识
　　许多IT部门的会计核算流程都是混乱且让人难以理解的。IT部门发生的变化以及对这些变化的疏于控制，常常会令企业核算人员感到头疼。因为绝大多数难以控制的变化，都会制造混乱。
　　在许多情况下，公司领导乐于从IT部门得到一些财务方面的数据。但是，与服务级别管理相关的财务报表，在许多公司的IT部门都不存在。
　　“救火式”的IT管理方式，决定着资金会首先流向最需要支持的部门。IT部门也常常用高技术为借口，来搪塞他们超出预算的原因。
　　许多企业的IT人员都面临着财会知识的挑战， 比如，他们中的绝大多数人不知道（或是不在意）常规支出和核心支出的区别，或是租用设备和买设备间的差别。

　　3．服务计费：难在转变认识
　　内部服务计费，常常被认为是企业内部财务报表上的数字游戏。因此，它的潜在利益，以及对最终用户行为的影响，经常被忽视甚至不为人知。即使在一些实施了服务级别监控的公司中，通常也存在着服务计费流程不明确的情况。
　　某项服务究竟价值多少，或者某个部门在享用该服务时，应该支付多少，诸如此类问题，最终客户很少会获得一个清晰的提示。

所在公司每季度有考核，眼见着离第三季度考核的日子越来越近，王义的神经也绷得越来越紧。偏偏在这个时候，他听到了公司其它部门对信息中心的批评意见。作为公司信息中心的主管，王义心里很不是滋味。

“夹板气”的地位

一直以来，在其它部门成员眼中，好像信息中心的人特牛似的，不出手时就是看着他们死也决不出手。其实，论敬业，信息中心不比任何部门差，虽然没有像业务部等人员整天在外面跑，可始终没闲着！这其中之酸甜苦辣真是说也说不清。

企业领导开会之时，王义终于把握机会，一吐为快：“其实在公司，信息中心就是个服务部门，哪里有单子，我们就得围着哪里转，谁的需求来了我们都不敢怠慢，可是我们就这么几个人，而且一有需求，个个都说是特急的事儿，都是领导，我该听谁的？”

看着大家都望自己，王义喝了口水，缓了缓气，继续说道：“今年下半年的单子肯定会更多更急，肯定还会有更多的人骂我们，这我无所谓。可我觉得这么下去不是个办法，现在公司的研发部门简直就是救火队，哪里单子急就朝哪里去，根本没有什么时间做技术储备和超前研发，就算让我们挺过了今年，那明年、后年怎么办？”

说到最后，王义又恢复了他一向平和的语音，可是大家都听得出话语中的无奈。

难考核的绩效指标

散会之后，王义感觉稍稍轻松了一些。毕竟，在领导面前倒倒苦水有时候会管点儿用。“没有功劳也有苦劳嘛”，有的领导肯定会这么想。但是这不是王义想要的最理想效果。在会上，他很想通过各项具体的考核指标和数字，把信息中心的功劳明白无误地说出来。可惜，公司对于信息中心的绩效考核始终是一笔糊涂账。

在王义的印象里，公司成立以来，对信息中心的考核始终没有一个明确的说法。总结大会上，领导总是以几句类似于“信息中心为我们实现今年的目标做出了突出贡献”之类的概括性极强的话一笔带过。至于技术人员的考核，人事部参照的是业务部门的考核体系，只不过稍微更改了几项技术指标。

去年，人事部信息部门的绩效考核中又增加了一项：其它部门给信息中心打分。对此，人事部给出的解释很简单：既然信息中心的自我定位是服务部门，那么就应该考核服务满意度。结果，信息中心的考核成绩比公司平均水平差了一大截。

不服气但也没办法

王义很不服气，他总觉得人事部的做法不妥。但究竟怎么考核才算科学、公平？他也说不出个道理来。“都说信息中心的功过得失看不清楚、投入产出比难以量化，这话不假啊！” 王义时常感慨。

他也跟人事部的人沟通过，为了让王义放心，他们信誓旦旦地说“我们一定会找到更合理的考核方法。能把信息中心的绩效问题整得像小葱拌豆腐一样—一青二白。”

话说得掷地有声，但王义的心里却一直犯嘀咕：“人事部所谓的‘更合理的考核方法’在哪儿呢？”考核很快就要到了，王义很想在这之前给自己部门的人一个说法。他该怎么做更好？是否该自己拟定考核目标提交给人事部参考？（邢芳）

制定工作职责，打好考核根基

宋洪华 山东道恩集团有限公司企划部副部长

文中的问题是由“王主管听到了公司其它部门对信息中心的批评意见”所引出的。这里反映了两个方面的表面问题，一是“信息中心的工作有问题”，二是“信息中心与其它部门的配合有问题”，我们围绕“绩效管理”来分析这两个方面产生的根源，帮助王主管出谋划策。

制定好工作标准

文中围绕“绩效考核”这一主题所展现的并不单单是考核的问题，“绩效考核”是企业“绩效管理系统”（图1）中最核心的部分，要做好这项工作，文中所涉及到的“部门定位”、“工作标准”和“考核目标” 三个绩效考核体系的主要方面是必不可少的基础前期工作。

“夹板气”的地位是企业中很多服务和技术部门所面对的一个普遍现象，这不是简单的“绩效考核”问题，而是其基础工作“部门定位”和“工作标准”没有做好的原因。

从王主管的牢骚中，我们很难判断出IT部门的具体定位，“研发”和“技术服务”本是两项独立的互不矛盾的职能定位，但王主管的意思让人觉得他确实有“巧妇难为无米之炊”的意思，作为主管不能协助领导确定好部门定位的落实，大谈苦劳未免有些“失职”，建议王主管能主动找领导“要米下锅”，将“研发”和“技术服务”这两项工作落到实处。

作为部门主管面对“没有时间做技术储备和超前研发”的问题，首先应该意识到企业现实环境和老的工作标准已经不相适应了，如果不进行及时的调整，领导和其它部门依然按照原来的标准，衡量现实状态下的IT部门，必然就产生了“一本错账”。

个人对“技术服务”的“救火队”性质深有体会，也认为这符合企业IT部门的现实情况，“谁的需求来了我们都不敢怠慢”这本是工作的本分，“谁先谁后”这来源于“工作标准”，没有标准当然就需要王主管去制定标准，如此才能解决部分实际问题，当然“火情”不同，如何把握还需要王主管的协调能力。人力的不足可以通过多种手段进行解决，通过绩效考核的激励作用，发掘现有潜力是最好的解决方法，这也是后面建议王主管以自己为主做好绩效考核的实惠之处。

有了明确的“部门定位”和适时的“工作标准”，企业IT部门的工作就会“嘹亮”得多，保证了考核的账不会“错”。如何将“糊涂账”做清楚还需要做好“考核目标”确定的工作。这可不是“人事部的信誓旦旦”和“自己拟定考核目标提交给人事部参考”这么简单。宏观上“考核目标”的来源可以通过分解图（图2）来看，当然这里反映的只是宏观的目标来源问题。

共同参与，划出定量指标

关于“考核目标”也就是“理清糊涂账”的具体手段，我想给王主管如下三个方面的建议：

1.考核目标确定的责任是由IT部门和人事部门共同参与的工作

绩效考核的主体是IT部门，只有本部门的主管最了解自己的工作，同时也会实现前面所提到的通过考核激励团队成员的目的，绩效考核方案根据企业环境和工作情况，不断进行调整是部门主管解决实际问题的有效手段之一。

绩效考核的宏观管理部门是人事部门，部门的考核和具体岗位的考核需要人事部门来发布政策和实施才有效，在国内的社会大文化下，两个部门结合来做既可以各取所长，而且还能起到“避嫌”的效果。

2.考核目标必须与公司目标、部门定位、工作标准相结合

考核目标虽然主要由IT部门来设定，但这必须与公司的整体目标相一致，以实现部门定位为目的，结合最新的工作标准来确定。当然这里所说的考核目标是指“部门考核目标”和“具体岗位考核目标”。

针对不同企业，IT部门的定位也不同，结合性的目标可以由简入繁，持续改进。通常对“研发”来说是数量、质量和产品化规模效益为考核指标的，由部门分解到个人；对“技术服务”包括了软件和硬件的运行和能耗等指标，客户（外部客户和内部服务部门）满意度等指标来考核。

王主管可以结合自己企业的情况，先把握主要的工作成绩统计手段，领导在表扬哪个部门时，其核心的数据，首先应该是部门主管提供给领导决策使用的。

3.定性的指标和定量的指标相结合

图3是我在确定绩效考核个人目标时的三个方面“工作成绩”、“工作能力”和“工作态度”，定性与定量指标的结合，主要是因为在IT部门工作中很多项目是难于用数据来测量和记录的，定性的指标即体现了部门主管的管理权利，又能有效地了解其它部门对IT部门的意见，案例中王主管对“批评意见”的态度是非常不可取的。

科学的考核数据是最有说服力的依据，同时也最能直接指导工作水平的提高，对定量的指标应该随着绩效考核水平的不断提高，考核数据的不断积累和完善，逐渐加大在绩效考核中所占的比例。针对IT部门的职能，考核初期主要的定量指标如下（图4）。

由于企业的具体情况不同，对考核目标的统计与测量也是需要注意的工作环节，这里不再进行深入的探讨。

“IT部门绩效考核”是部门主管的主要职责，同时也是落实管理责任的有效手段，希望王主管能结合以上建议将自己的绩效考核体系建好，这完全能够很好地解决案例中所遇到的问题。

有了明确的“部门定位”和适时的“工作标准”，企业IT部门的工作就会“嘹亮”得多，保证了考核的账不会“错”。

图1

图2

图3

图4

以IT支撑为目标

IT部的目标是实现对其它部门的IT支撑，而不是对企业领导和其它部门诉苦。

目前，只要是规模稍大一点的企业都设立了IT部门，但不同企业里的IT部门职能是不尽相同的。有的企业的IT部门是IT管理部门（主要承担技术规划和技术管理职能）；而有些企业的IT部门则是IT管理部门和IT服务部门（具体IT系统、网络和终端的维护工作）的综合体。因而，不同企业对IT部门的评价考核指标就有所差异。

不只是IT服务部门

对于本案例中的企业来说，是综合IT管理服务部门，而不简单是个IT服务部门（因为IT管理工作不可能再单设一个部门来执行）。

对于这样的部门，企业对其考核显然需要考虑其定位问题和不同职能的考核问题。

对职能部门的考核，向来是各企业的考核难点，很多企业常采取企业总体效益增量变化，来考核职能部门的方式来解决，但这种方式并不能解决IT部门真实绩效考核的问题。由于是职能支撑部门，工作的效果无法用明确的价值来衡量，因而一般不用平衡计分卡法来考核IT部门。

那么，IT部门该如何考核呢？既然是职能支撑部门，IT部门一定要起到对业务部门以及其它职能部门工作的IT支持作用，否则就是未达到企业对该部门的定位要求。

那么是否起到对其它部门的IT技术作用，其考核必然是通过其它部门对IT部门的评价（满意度）来体现了（只针对IT服务功能，而IT管理功能，由企业领导对IT规划和技术管理的合理性和预见性等方面来定性考核）。具体包括其它部门对IT部门服务反映速度、IT技术问题处理时间、IT部门人员服务态度等来评价。

不要一味诉苦

但就本案例中，存在的各个部门都要求IT部门支持，而IT部门只有有限的几个人的现象，其实是IT服务需求和服务能力之间的矛盾问题，这一矛盾问题不可能通过考核机制来解决（恐怕现有人员每天比正常情况多工作一、两个小时也不可能从根本上解决这个矛盾问题），而是要通过人力资源合理配置来解决。

所谓企业的IT人力资源合理配置问题，实质上就是根据企业对IT管理服务的实际需要来配置人力资源。

一般规模大的企业由于IT管理服务需求很大，因而均配置较健全的IT管理服务队伍，甚至有些企业的IT管理服务部门还可以对外进行IT技术服务，使其从内部职能部门，转化为业务部门和职能部门的混合体。

这时，这样的企业的IT管理服务部门人员数量很大，且根据企业的具体情况设立更细分的IT部门（如IT管理部门和IT服务部门成为两个独立的部门）。

对于规模小的企业来说，由于人员数量小，而且对IT服务的需求也少，所以一般不单独设立IT部门，其职能往往划归到其它职能部门中来代管。这样的企业，其它IT职能的承担者往往是由于外部IT服务公司来承担（IT服务外包），企业内部只设置一个岗位以及少数的IT人员作为接口。

比较复杂的是对IT服务有一定的需求，但规模又不是很大的企业，其IT管理服务工作往往出现了三种不同的情况：有些是IT服务外包（但有IT管理岗位）；有些是设立IT管理服务部门；还有些是设立了IT管理部门，但具体IT服务工作外包。

对于本案例中IT部门经理面临的问题来说，其解决方案有三个。要么进一步招聘人员充实其IT部门；要么将IT服务外包，现有的IT部门转化为IT管理部门；要么就是将某类IT服务工作外包，其它IT管理和IT服务工作仍由现在的IT部门承担。

不管是选择哪种解决方案，其目标都是实现对其它部门的IT支撑，而不再是对企业领导和其它部门诉苦。这一点本身也正是IT管理职能的工作范畴。

突出IT部门工作重点和功能

吴丹丹 北大纵横管理咨询公司咨询顾问

根据组织目标去分解，知道每个单位或者部门，甚至个人在目标的达成中能够起到什么样的作用。

考核是引导员工行为组织目标的有效办法，你要想使员工的行为趋向于组织目标，那就要设计一套有助于引导员工行为朝向组织目标的考核项目。

以组织目标分解个人目标

作为一个企业的员工和任何一个管理者，都要时刻明白两个问题：第一，组织的目标是什么；第二，为实现这个目标他应该做什么。这样就能根据这个目标去分解，知道每个单位或者部门，甚至个人在目标的达成中能够起到什么样的作用，这样就能够比较容易地建立一套考核体系。

虽然科学的绩效考核体系承担着“指挥棒的作用”，但同时考核也是一个难题，特别是对于一些业绩难以量化体现的单位，例如品牌推广、公共关系、IT服务等。

因为这些部门与企业实际的业绩有辅助或者重要促进作用，不能等同于单纯的服务部门，可以简单地用服务满意度等指标来进行考核，所以文中人事部简单地将IT部门定义为服务部门是不对的。

文中没有过多的交待该企业是从事什么业务，其企业目标是什么，以及该企业的主要业务流程，但是一般说来，作为一个企业，其目的不外乎是追求相关利益群体的利益最大化，所以我们简单假设该企业的目标是追求营业收入和利润的最大化。

在追求营业收入和利润的最大化的过程中，IT部门起到什么作用呢？这里初步判断是，作为工程配备的一部分，为各项目提供技术性支持。

这里的技术性支持有两部分内容，一是配合项目提供其需要的技术支持，另外就是超前研发，将领先的技术优势反过来对项目起到推进作用。毋庸置疑，主动地进行研发与创新，从而推动公司主营业务技术的拓展加强，这才是我们所希望IT部门能够发挥的作用。

我们从文中可以知道，现在王义所在的IT部门就是忙于从事第一类技术性支持，就如上文中提到的，有什么样的考核，就会有什么样的员工行为。

假设现在给IT部门定位为服务部门，并以此来设置相应指标进行考核，其结果不难想象，IT部门最终将没有悬念的沦为一个服务部门，而不能将其业务支持部门的重要性进行发挥。

而如果希望IT部门发挥对公司业务技术的支持，甚至希望能够依托其研发的领先地位来拉动业务技术的话，对该部门的考核就不得不重新进行思考和设置。

用创新、经济、服务来考核

那么，如何设置IT部门的指标呢？个人建议，采取创新性、经济性和服务性三个维度来进行设置。

创新性，是指以前没有做过的，根据需要进行了一定改进的，或者完全自主研发的技术都算具有创新性。创新性从研发内容或改进项目的可靠性、准确性与研发难度等方面进行综合考虑。

之所以在这里考虑创新性指标，是因为这个指标的考核可以使IT部门从被动地给技术部门和业务部门提供服务，转变为一个能够做技术储备和超前研发的，对技术和业务部门提供根本性的前瞻性支持的部门，从而改变IT部门救火队的地位，成为公司重要的战略部门。

经济性，是指IT部门的研发内容或改进项目具有现实可行性，并且能够具有一定经济性，比如说可以带来成本的减少，或者明显的利润的增加。

这个指标的设置，可以保证IT部门的工作内容紧贴企业的目标，即追求营业收入和利润的最大化。

服务性，是反映IT部门在满足现有业务的工作情况，因为对各个项目的技术配合和支持是IT部门工作内容很大的一部分内容，如果没有这个考核指标，无疑，现有业务将无法获得很好的技术支持。

这个指标可以从IT部门对业务部门需求的相应时间、实际工作时间、故障排除率以及文中提到的服务满意度等方面进行考核。

以上三个指标的设立，基本能够有所侧重地对IT部门的工作重点和功劳。但是王义和公司人力资源部门还应该注意，这三个指标的使用应该是根据不同时期的要求有权重的区别的。

这是因为，不同的时期，不同的外部和内部环境，要求IT部门发挥的作用是不一样的，假设现在该企业是处在一个极度成熟的行业，IT技术的更新已经不太可能引起业务的拓展，也即公司所处的环境不要求创新性，那么我们建议将创新性指标的权重减少。

很多企业都反映，确定完整、合理的绩效考核指标是绩效考核的重要前提，但真正的难点是确定每个指标的权重。对于如何确定考核指标的权重，这里因为篇幅所限不做赘述，但是可以扼要概括的是，对于一个意欲持续发展的企业而言，通过一段时间的探索，是完全可能制订出相对科学的考核指标体系的。

IT绩效管理，这个词乍一听有点儿拗口，其实说的是两件事：一个指IT部门内部人员考核，一个则是对公司老总来说，IT到底有什么价值。

“没有‘成绩单’，没有价值，IT部门还有存在的意义吗？”这个问题常常是CIO心头沉甸甸的重负。“管理中最难的就是绩效管理”，一位商学院教授如此感叹。记者本次采访的9位CIO无一不把“价值与贡献”作为头等大事来抓，尽管方法上各显其能。

别说好不好，先说有没有

听说记者想了解IT绩效考核的事儿，温州一家服装企业的CIO答得很干脆：“我们没这块内容。”想了一想，他又补充了一句：“人力资源倒是有一套，是针对职能部门的。”怕记者不明白，他干脆把本企业的“绩效考核登记表”传了一份过来，解释说，他们部门每人年终考核都得填这个表，分数要占到全部考核的60%，剩下的30%由领导打分，10%是考勤。

这个看起来简单得不能再简单的表格，却代表了一批中小企业IT部门绩效考核的现状。王甲佳，温州东经控股有限公司CIO，他告诉记者在东经公司，IT部门绩效考核和行政部门差不多，不太细，也不规范。“总的来说，管得比较松，考核比较少。”

同样在温州，有些企业的考核比这个表格要稍微复杂一些、也更讲究一些。按照庄吉集团信息中心主任肖风华的叙述，庄吉的考核方式是三种模式的结合体：完成工作与指标的比较、服务的次数与数量（自我评价，然后公司鉴定）；年底，相关部门互评，公司领导打分；人力资源部提供数据，如考勤等。岗位不同，考核指标也有差别。比如网站维护人员，考核的就是网站的点击率、新闻更新的及时性；基础设施维护人员则要看服务的次数和质量。

据记者调查，中小企业IT部门绩效考核，大多是把人力资源的考核框架“克隆”过来，然后自己动手“修修补补”。“人事部门不了解技术，为IT部门制订量化指标的时候不准确，而我清楚从哪里可以看出效率的高低，可以抓住重点。”吉尔达鞋业公司信息部经理郑国超把考核分为两大块，一是机房无故障率，一是ERP运营效率。

温州冠盛汽车零部件制造有限公司信息中心经理林坚也认为，由自己设定指标进行考核比较合理，因为“IT部门工作的专业性很强”。具体来说，冠盛的考核也分为两部分，一是系统维护，每个月要把故障率控制在一定范围内；一是项目开发，抓的是进度控制和预算控制。

在东经、吉尔达、冠盛，IT部门一般只有5个人左右，规模小，考核起来相对简单。上海捷路体育用品公司信息管理部有10个人经理童继龙介绍，他把IT部门分成三个组进行考核，一是项目组，考核的是项目的进度、质量；一个是IT运维组，看的是服务器响应速度、停机时间等；还有一个是互联网营销组，要统计广告反馈数量、次数等。“等企业发展得比较成熟和规范了，我会考虑引入ITIL”。和他有相同想法的是西安中萃可口可乐资讯经理王明远，他告诉记者前段时间他尝试着引入ITIL，效果非常好。

对于IT部门内部的考核，达芙妮中国总部信息总监、光明乳业集团前信息总监赵春雨的说法很形象：“你要分清楚每个岗位的分工和职责，比如项目类的员工，他负责的是强制性流程规范，必然要跟其他部门的人有冲突，甚至可以说是专门和别的部门吵架的，你绝对不能用其他部门的满意度、打分这类的方式考核他，而是应该用流程的规范性、稳定性去衡量他的工作。”

至于IT部门内部绩效考核的效果，大部分受访CIO都表示满意，包括发表格给记者的那位CIO，他半开玩笑地说：“我们唯一不满意的就是人力资源部要把考勤算进去。”

一笔难算的账

与IT部门内部绩效考核相比，IT对业务的价值贡献显然是一道难题。这个贡献太复杂，不好算。企业利润增加了，你说IT的贡献有多大？你凭什么这么说？比如，销售额增长20%，有可能是CRM系统发挥了作用，也有可能是销售人员的能力提升，还有可能是因为产品近期降价。

对此，几乎所有的CIO都承认：IT价值的量化是一个很难解决的问题。不过，难归难，有时还应该去做。上海捷路的童继龙目前急需一些量化方法来帮自己算算这笔账。他告诉记者，捷路IT部门内部的人员绩效考核做得不错，但是在“IT对业务的价值”这个“宏观”问题上，目前的状况急需改进。

捷路的IT部门有10个人，和温州一些规模相仿的企业相比，童继龙的部门人丁兴旺。于是，“IT部门为什么需要这么多人”成了童继龙经常要解释的一个问题。首先是讲给老板听，招人是干什么，要达到什么目标；其次是讲给业务部门的人听，把IT部门的工作分解了，一一解释这些工作的价值何在。

对于童继龙来说，整个解释的过程等于把“IT对业务的价值”这个问题粗略地回答了一遍。但这还远远不够，有些时候他需要算的是一笔精细账。比如，在写公司的信息化规划的时候，童继龙会做一个PPT，然后给老总讲，企业的目标（财务目标、市场目标）是什么，IT所给予的支持有哪些（一一列出），IT部门需要哪些投入，需要上哪些项目。做这个PPT是很费脑子的一件事，有时候规划需要改进，童继龙还要重新算一笔账，难度就更大。“每次我算账算不清楚的时候，我对IT价值评估这个问题的重要性和难度都会有更深一层的体会，迫切需要掌握一些方法。”

在童继龙的脑子里萦绕着一堆问题：IT实施效果如何更好地体现？IT效率怎么评估，一个项目做完之后，是超前还是滞后于企业的发展？他把这些困惑写入了博客，引来了一些同行和他讨论。童继龙始终认为：“对国内企业来说，CIO有没有话语权，都是从IT绩效上来看的。其他的，说什么也没用。”

西安中萃可口可乐资讯经理王明远对此的态度是：从最容易量化的部分开始，同时尝试着用其他方式曲线解决。“对我来说，最大的挑战就是如何量化IT的价值。”王明远说。在以前的工作中，他尝试着赋予IT价值一些量化的数字，结果困难重重，一个软件、一套系统对企业业务部门工作效率的提升实在很难变成一堆实打实的数字。

王明远决定，先从最容易量化的服务入手，实施服务级别管理（SLA）。把业务部门的需求分个轻重缓急，先响应谁，应该在多长时间内解决问题。每月形成一个汇报，服务次数、不同级别服务的响应时间分别是多少，一目了然。

等到要推一个信息化项目，需要投资的时候，王明远也免不了要过这一关——给老总一个解释，讲讲信息化会带来哪些好处。“有些难以量化，但可以详细讲解。比如，我们现在用了很多工作流，以前一个单据从文秘手里最后传给总经理签字，可能需要一周时间，有时候单子传着传着就不见了。现在，如果大家都在办公室的话，一个单子10分钟就处理完了。这些都是领导看得见的事例。”并且，他认为，在领导已经意识到信息化重要性的前提下，CIO在IT价值的量化方面大可不必费劲脑筋地强求。“比如，人力资源部的绩效也很难评估，但是领导仍然会认为他们的工作相当重要。”王明远一言以蔽之。

这笔账是否可以不算？

王明远有两句颇富哲理的话：“如果IT价值可以充分量化，IT的角色就不至于这么尴尬；如果IT的重要性已被充分认识，CIO对待IT价值量化这个问题压力就会小得多。”后一句话在信息化成果显著的企业那里，得到了印证。

“IT价值的量化对雅戈尔来说不是大问题，因为我们已经迈上正轨了，见到效益了。”雅戈尔信息中心CTO兼副CIO肖利华语气里满是自信。

这份自信是由几个耀眼的数字强力支撑起来的：自开展信息化5年以来，雅戈尔的库存成本已经降低了4亿多元，设备折旧节省了2000多万，贷款利息省了几百万。此外，推出大规模定制这项新业务，给雅戈尔带来了几千万的收入，如果没有信息化支撑，所谓的大规模定制是无法想像的。

这份“成绩单”是在中科院的帮助下算出来的。“一开始，每个CIO都要经历那个阶段，老总紧盯着IT的投入产出数字，生怕自己花了冤枉钱。但是当他跑遍全世界，看到别人的公司在信息化方面的投入有多大时，他就明白了。过了那个阶段，后面就都是马太效应了。”现在，雅戈尔每年的信息化投入高达几千万，但老板花这笔钱时心甘情愿。

至于IT价值的量化，肖利华认为这是一个过于复杂的问题，目前并没有一个很好的指标体系，能把定量、定性两种方法结合好。“信息化的间接作用很难衡量。管理水平的提高、流程变革、企业文化的提升，这里面都有IT的功劳。企业发展是这些因素一起在发挥作用，IT的价值很难从中剥出来。”

还有一个例证是达芙妮中国总部信息总监、光明乳业前信息总监赵春雨的经历。在他看来，一开始老总在信息化上投入时，经常对投资回报的数字特别敏感，但是到后来，老总关注的是“IT是否为企业的战略转变以及平稳发展提供了足够的支持”。赵春雨在光明乳业工作到第3年时，虽然公司在信息化方面的投入每年都有上千万，但老总已经不会过问。他也不用每次在上新项目时，都拿一堆数字去说服老总。除了每年固定的工作总结、绩效评估，他不会为上项目特意再做一次总结。

按照赵春雨的观点，即使要把IT价值量化，也不应该找库存降低、审批费用下降、资金周转率上升等数字，因为这些并不是IT的核心价值，“如果把这些归功于IT，容易和业务部门产生矛盾。比如说，库存降低有可能是销售部门卖得好，审批费用下降，跟各部门审得紧不紧也有关系。”

他要找的是一些“有关联的、无可辩驳的数字”。具体来说，就是智力参数、人员流动率、业务波动影响。根据跨年度数字的比较，可以发现业务发展是否平稳，招聘门槛是否有所提高等。

目前的评估体系是否科学？

在对CIO们进行采访的时候，说到目前研究机构提供的评估体系，他们几乎众口一词：“这些评估体系有用吗？有必要请第三方机构来帮助做评估吗？”

这也是赵刚在各种研讨会、讲座中被问到最多的问题。赵刚，赛迪顾问信息化咨询中心总经理，2005年他和同事们研究出一套体系——“基于IT平衡记分卡的IT绩效管理体系”。每次他在研讨会或讲座中把这套体系的内容介绍完之后，台下的提问都很踊跃。“怎么把IT的功劳归结出来、计算出来？” 这样的提问，赵刚已经听了几十次，但他的回答依然有些模糊：“首先，IT肯定是有价值的，这是不用去怀疑的，这个价值怎么去评估，你不一定去钻牛角尖，非要从业务部门的绩效中分一部分出来。我们可以从另一个角度去评价。以前没有IT的时候，是一种什么状况，有了IT又是一种什么状况，比较来看，比值、经验值都是可以测算的。”

回答问题的次数多了，赵刚总结了一下，说来说去无非就是三句话：第一，这种定性和定量相结合的方式，肯定是有价值的；第二，最简单的量化是比较信息化前后企业的差异，测算出来，拿给领导看；第三，先找一些关键点，把考核做起来，然后再不断完善，一开始不可能是全面考核。

不久前，在本刊组织的CIO沙龙活动中，赵刚关于IT平衡记分卡的演讲和往常一样，引来了听众们热情地提问。讨论到最后，大家逐渐达成共识：能量化的先量化，不能量化的逐步具体化，不能寄希望用一个体系解决所有考核问题。

“不能用一个体系解决所有考核问题”，这也恰恰是赵刚进一步研究的思路。去年，赛迪顾问开始进行新尝试——把这套体系和行业结合。他们最先选择的是电力行业，研究出一套电力行业信息化评价指标体系。去年年底，赛迪顾问组织专家评审会，把这套体系抛出来。五大发电集团、两大电网公司的CIO都参加了，对这个指标体系提出了很多意见，比如，几位CIO纷纷质疑“计算机入网率100％就能得一百分吗？”制订指标时，在考虑是否先进的同时，还要考虑是否实用？

会后，赛迪顾问对这套体系进行了修改、完善。目前，赛迪顾问已经把这套体系的全部资料向某些电力企业公开，据悉，有的企业已经开始应用这套体系，对下属电厂的信息化水平进行自评。

总得来说，目前的现状是对IT绩效管理感兴趣的企业不少，但是真正找到第三方做评估的却凤毛麟角。赵刚对这个问题的看法很中肯：第一是工具本身的原因，到目前为止，毕竟还没有一个理想的工具能把信息化绩效很好地展示出来。有些评估体系量化的力度不够，以至于信息化水平相差很远的企业，评估结果却差不多。有的用不同的工具评估同一个企业，得出的结论却截然不同；其次，企业的发展还没到这个阶段，首先是信息化建设，随后是规范化，然后才是量化评估；最后还有一个原因，就是考核本身就是一种双刃剑。CIO希望有一套工具把下属管理和考核起来，但这套工具也给他自己上了套。“为什么企业对待IT绩效管理，不像上马新项目那么有动力？这是很重要的一个原因。果评估出来的结果不好，CIO是要承受压力的。”赵刚说。

摆在赵刚目前的另一个问题是找关键指标。目前，有些企业反映，平衡记分卡太复杂了，员工填写各项指标要花去很多时间，苦不堪言。评估体系中设了几十个指标，企业希望能挑出几个、最多十几个关键指标，用这些考核就足够了。关键指标怎么得出来？几乎所有企业的关键指标都不完全相同，如何结合实际情况找到关键指标？这显然是赵刚下一步的研究方向。

和赛迪顾问相似，CECA国家信息化测评中心也从2001年成立之初就开始关注信息化绩效管理方法。去年3月份，国家信息化测评中心承担的《企业信息化就绪、风险与绩效指标体系研究》课题正式开题，中心历时八个多月调查了640多家企业，在此基础上形成了一套指标体系，并顺利通过国信办专家组的验收评审。该项目的负责人、国家信息化测评中心测评技术部主任李洪波介绍，课题的重点和难点是在绩效部分，对于大型国企来说，目前最关心的也是这部分。在中心去年主办的“企业信息化500强大会”上，信息化绩效评估作为论坛主题，被热烈讨论。

在调查研究的过程中，李洪波遇到的问题和赵刚一样——企业最初对这个体系不了解的时候，会反复问怎么评估，接受起来比较慢。实施是通过对系统上线前后关键指标的变化，测算出信息化对业务的贡献价值。目前，李洪波面临的难点之一也是如何找出关键指标。

在调查过程中，中远集团对10亿元的信息化投入进行了投资效益评测。截止到目前，已有多家企业包括军工企业应用了该课题研究成果。

在今年6月份举行的“信息化标杆企业研讨会”上，这套体系被介绍给与会者，许多大型企业都很感兴趣，认为可以把这套体系当作工具，对信息化进行更精确的指导。李洪波告诉记者：“企业用这套体系，并不是出于信息部门想表功的目的，而是要向董事会、决策层说明IT投资的价值所在，为以后的工作争取更多的资源，同时掌握一种管理工具。”

提到这个体系的改进方向，李洪波表示，一个是基础研究方面，需要对信息化本质有更深刻的认识；一个是如何将这套体系与不同行业相结合，在同一个框架下，根据行业、区域的不同，形成细分版本。

评估目的：表功绩还是找问题？

当中远集团采用国家信息化测评中心的指标体系进行评估时，中远集团下属的中国船舶燃料有限责任公司（以下简称中燃）也开始了一次大胆尝试。去年8月份，中燃与赛迪顾问和国家应用软件产品质量监督检验中心达成协议，由前者对其开发和正在推广使用的服务保障体系计算机管理系统进行绩效评估，后者则对系统性能进行评估。

话要从头说起。2000年，“中燃服务保障体系计算机管理系统”项目正式启动。项目总投入400万，是中燃自成立以来，在信息化管理上投资最大的一次。公司领导考虑：我们把钱投进去了，它到底产生了效果没有？管理方面有哪些提升？为此决定要对这个项目进行评估。

据“中燃服务保障体系计算机管理系统”项目负责人、中燃经营管理部郭凯华回忆，项目运行过程中，公司内部有不同声音，有人说好，有人抱怨。这个项目做得究竟好不好呢？他很想做一个评估。把这个活儿交给公司审计部门，审计部门不能胜任。所以，公司领导最终决定聘请第三方机构进行评估。

共有三家评估机构来洽谈，最终中燃选择了两家，其中有赛迪顾问。最初，听赛迪顾问的赵刚讲评估体系，郭凯华心中不免有疑惑，公司领导也私下里犯嘀咕：“他怎么去评估？怎么能把这些指标量化呢？”随着双方进一步沟通，这些疑问才逐渐被打消。

赵刚并没有把IT平衡记分卡照搬过来，而是根据中燃的实际情况，采用了六个方面的评估指标——业务支持、投资价值、系统性能、组织成长、项目管理、整体评估。这些测评指标得到了中燃方面的认可。郭凯华说：“你要看他的评估手段是不是可取的，如果你认可了他的评估手段，结论你多半也会认可。”

尽管如此，评估报告一出来，郭凯华还是大吃一惊——根据评估，该体系应用5年的净收益累计为8349万元，年投资回报率为1186%。这个结果也让中燃的领导们吃惊不小。郭凯华问赵刚：“你是怎么算的？得出这么大的数字？”赵刚详细地把“收益分析”那部分内容讲解了一遍，郭凯华才放下心来。

在IT绩效的量化方面，赵刚参照的是国际惯例，企业1%～3%的效益要归公于信息化。在中燃的此次评估中，赵刚是按0.3%算的。如果按照国际惯例，最终的数字将更加惊人。

评估报告出来之后，中燃方面认为是比较客观的。“这笔钱没有白花。”郭凯华之所以这么说，理由有很多。

首先是达到了评估的目的。此次评估不是为了给项目组成员表功绩，而是为了找出问题和差距，为公司的二期项目做准备。评估报告中指出的问题、不足和项目组成员前期估计得差不多，但是“请专家来把把脉的话，我的思路更清晰。专家的建议会让我们的二期做得更好。”郭凯华说。

再有就是中燃在评估的过程中发现，请局外人士来做评估很有意义。如果是自己人做，一方面能力不够，另一方面他必然受到公司内部关系的制约和影响。比如公司内部的人去调查体系使用者满意度，大家碍于面子肯定都说好，那这评估就不客观，也起不到充当“二期起点”的意义了。

对于“IT绩效评估是双刃剑”的看法，郭凯华说：“这次评估的出发点不是为了歌颂或者贬低项目组，而是指明方向，二期项目值不值得再推，在什么基础上推，还要克服哪些问题。”

国家应用软件产品质量监督检验中心也指出了软件本身的一些瑕疵，比如语言不够简练等。此次评估一共花掉了15万元，中燃公司从公司领导到项目负责人一致认为这笔钱花得很值，以后做二期、三期的时候，还会考虑请第三方来做评估。

按端口号可分为3大类： 
（1）公认端口（Well Known Ports）：从0到1023，它们紧密绑定（binding）于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如：80端口实际上总是HTTP通讯。 
（2）注册端口（Registered Ports）：从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。例如：许多系统处理动态端口从1024左右开始。 
（3）动态和/或私有端口（Dynamic and/or Private Ports）：从49152到65535。理论上，不应为服务分配这些端口。实际上，机器通常从1024起分配动态端口。但也有例外：SUN的RPC端口从32768开始。 
0 通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口，当你试图使用一种通常的闭合端口连接它时将产生不同的结果。一种典型的扫描：使用IP地址为0.0.0.0，设置ACK位并在以太网层广播。



1　tcpmux　TCP Port Service Multiplexer　传输控制协议端口服务多路开关选择器 
2　compressnet　Management Utility　　 compressnet 管理实用程序 
3　compressnet　Compression Process　　 压缩进程 
5　rje　Remote Job Entry　　　　 远程作业登录 
7　echo　Echo　　　　　　 回显 
9　discard　Discard　　　　 丢弃 
11　systat　Active Users　　　　 在线用户 
13　daytime　Daytime　　　　　 时间 
17　qotd　Quote of the Day　　　 每日引用 
18　msp　Message Send Protocol　　　 消息发送协议 
19　chargen　Character Generator　　 字符发生器 
20　ftp-data　File Transfer[Default Data]　 文件传输协议(默认数据口)　 
21　ftp　File Transfer[Control]　　　 文件传输协议(控制) 
22　ssh　SSH Remote Login Protocol　　 SSH远程登录协议 
23　telnet　Telnet　　　　 终端仿真协议 
24　any private mail system　　　 预留给个人用邮件系统 
25　smtp　Simple Mail Transfer　　　 简单邮件发送协议 
27　nsw-fe　NSW User System FE　　　 NSW 用户系统现场工程师 
29　msg-icp　MSG ICP　　　　　 MSG　ICP 
31　msg-auth　MSG Authentication　　 MSG验证 
33　dsp　Display Support Protocol　　 显示支持协议 
35　any private printer server　　 预留给个人打印机服务 
37　time　Time　　　　　　 时间 
38　rap　oute Access Protocol　　　 路由访问协议 
39　rlp　Resource Location Protocol　　 资源定位协议 
41　graphics　Graphics　　　　 图形 
42　nameserver　WINS Host Name Server　　 WINS 主机名服务 
43　nicname　Who Is　　　　 "绰号" who is服务 
44　mpm-flags　MPM FLAGS Protocol　　 MPM(消息处理模块)标志协议 
45　mpm　Message Processing Module [recv]　 消息处理模块　 
46　mpm-snd　MPM [default send]　　　 消息处理模块(默认发送口) 
47　ni-ftp　NI FTP　　　　 NI FTP 
48　auditd　Digital Audit Daemon　　 数码音频后台服务
49　tacacs　Login Host Protocol (TACACS)　 TACACS登录主机协议
50　re-mail-ck Remote Mail Checking Protocol　 远程邮件检查协议[未结束] 
51　la-maint　IMP Logical Address Maintenance　 IMP(接口信息处理机)逻辑地址护 
52　xns-time　XNS Time Protocol　　　 施乐网络服务系统时间协议 
53　domain　Domain Name Server　　　 域名服务器 
54　xns-ch　XNS Clearinghouse　　　　 施乐网络服务系统票据交换 
55　isi-gl　ISI Graphics Language　　 ISI图形语言 
56　xns-auth　XNS Authentication　　 施乐网络服务系统验证 
57　?　any private terminal access　　 预留个人用终端访问 
58　xns-mail　XNS Mail　　　　 施乐网络服务系统邮件 
59　any private file service　　　 预留个人文件服务 
60　Unassigned　　　　　 未定义 
61　ni-mail　NI MAIL　　　　　 NI邮件? 
62　acas　ACA Services　　　　 异步通讯适配器服务 
63　whois+ whois+　　　　　 WHOIS+ 
64　covia　Communications Integrator (CI)　 通讯接口　 
65　tacacs-ds　TACACS-Database Service　　 TACACS数据库服务 
66　sql*net　Oracle SQL*NET　　　 Oracle SQL*NET 
67　bootps　Bootstrap Protocol Server　　 引导程序协议服务端 
68　bootpc　Bootstrap Protocol Client　　 引导程序协议客户端 
69　tftp　Trivial File Transfer　　　 小型文件传输协议 
70　gopher　Gopher　　　　 信息检索协议 
71　netrjs-1　Remote Job Service　　 远程作业服务 
72　netrjs-2　Remote Job Service　　 远程作业服务 
73　netrjs-3　Remote Job Service　　 远程作业服务 
74　netrjs-4　Remote Job Service　　 远程作业服务 
75　any private dial out service　　 预留给个人拨出服务 
76 deos　Distributed External Object Store 分布式外部对象存储　 
77　any private RJE service　　 　 预留给个人远程作业输入服务 
78　vettcp　vettcp　　　　 修正TCP? 
79　finger　Finger　　　　 查询远程主机在线用户等信息 
80　http　World Wide Web HTTP　　　　 全球信息网超文本传输协议
81　hosts2-ns　HOSTS2 Name Server　　 HOST2名称服务 
82　xfer　XFER Utility　　　　 传输实用程序 
83　mit-ml-dev　MIT ML Device　　　　 模块化智能终端ML设备 
84　ctf　Common Trace Facility　　　 公用追踪设备 
85　mit-ml-dev　MIT ML Device　　　　 模块化智能终端ML设备 
86　mfcobol　Micro Focus Cobol　　　 Micro Focus Cobol编程语言 
87　any private terminal link　　 预留给个人终端连接 
88　kerberos　Kerberos　　　　 Kerberros安全认证系统 
89　su-mit-tg　SU/MIT Telnet Gateway　　 SU/MIT终端仿真网关 
90　dnsix　DNSIX Securit Attribute Token Map　 DNSIX 安全属性标记图
91　mit-dov　MIT Dover Spooler　　　 MIT Dover假脱机 
92　npp　Network Printing Protocol　　 网络打印协议 
93　dcp　Device Control Protocol　　 设备控制协议 
94　objcall　Tivoli Object Dispatcher　　 Tivoli对象调度 
95　supdup　 SUPDUP　　　　 
96　dixie　DIXIE Protocol Specification　　 DIXIE协议规范 
97　swift-rvf（Swift Remote Virtural File Protocol）快速远程虚拟文件协议
98　tacnews　TAC News　　　　　 TAC新闻协议 
99　metagram　Metagram Relay　　　　 
100　newacct　[unauthorized use] 
101=NIC Host Name Server 
102=ISO-TSAP 
103=Genesis Point-to-Point Trans Net 
104=ACR-NEMA Digital Imag. & Comm. 300 
105=Mailbox Name Nameserver 
106=3COM-TSMUX3com-tsmux 
107=Remote Telnet Service 
108=SNA Gateway Access Server 
109=Post Office Protocol - Version 2 
110=Post Office Protocol - Version 3 
111=SUN RPC 
112=McIDAS Data Transmission Protocol 
113=Authentication Service 
114=Audio News Multicast 
115=Simple File Transfer Protocol 
116=ANSA REX Notify 
117=UUCP Path Service 
118=SQL Servicessqlserv 
119=Network News Transfer Protocol 
120=CFDPTKTcfdptkt 
121=Encore Expedited Remote Pro.Call 
122=SMAKYNETsmakynet 
123=Network Time Protocol 
124=ANSA REX Trader 
125=Locus PC-Interface Net Map Ser 
126=Unisys Unitary Login 
127=Locus PC-Interface Conn Server 
128=GSS X License Verification 
129=Password Generator Protocol 
130=cisco FNATIVE 
131=cisco TNATIVE 
132=cisco SYSMAINT 
133=Statistics Service 
134=INGRES-NET Service 
135=Location Service 
136=PROFILE Naming System 
137=NETBIOS Name Service 
138=NETBIOS Datagram Service 
139=NETBIOS Session Service 
140=EMFIS Data Service 
141=EMFIS Control Service 
142=Britton-Lee IDM 
143=Interim Mail Access Protocol v2 
144=NewSnews 
145=UAAC Protocoluaac 
146=ISO-IP0iso-tp0 
147=ISO-IPiso-ip 
148=CRONUS-SUPPORT 
149=AED 512 Emulation Service 
150=SQL-NETsql-net 
151=HEMShems 
152=Background File Transfer Program 
153=SGMPsgmp 
154=NETSCnetsc-prod 
155=NETSCnetsc-dev 
156=SQL Service 
157=KNET/VM Command/Message Protocol 
158=PCMail Serverpcmail-srv 
159=NSS-Routingnss-routing 
160=SGMP-TRAPSsgmp-traps 
161=SNMP 
162=SNMP TRAP 
163=CMIP/TCP Manager 
164=CMIP/TCP Agent 
165=Xeroxxns-courier 
166=Sirius Systems 
167=NAMPnamp 
168=RSVDrsvd 
169=Send 
170=Network PostScript 
170=Network PostScript 
171=Network Innovations Multiplex 
172=Network Innovations CL/1 
173=Xyplexxyplex-mux 
174=MAILQ 
175=VMNET 
176=GENRAD-MUXgenrad-mux 
177=X Display Manager Control Protocol 
178=NextStep Window Server 
179=Border Gateway Protocol 
180=Intergraphris 
181=Unifyunify 
182=Unisys Audit SITP 
183=OCBinderocbinder 
184=OCServerocserver 
185=Remote-KIS 
186=KIS Protocolkis 
187=Application Communication Interface 
188=Plus Five's MUMPS 
189=Queued File Transport 
189=Queued File Transport 
190=Gateway Access Control Protocol 
191=Prospero Directory Service 
192=OSU Network Monitoring System 
193=srmp, Spider Remote Monitoring Protocol 
194=irc, Internet Relay Chat Protocl 
195=DNSIX Network Level Module Audit 
196=DNSIX Session Mgt Module Audit Redir 
197=Directory Location Service 
198=Directory Location Service Monitor 
199=SMUX 
200=IBM System Resource Controller 
201=at-rtmp AppleTalk Routing Maintenance 
202=at-nbp AppleTalk Name Binding 
203=at-3 AppleTalk Unused 
204=AppleTalk Echo 
205=AppleTalk Unused 
206=AppleTalk Zone Information 
207=AppleTalk Unused 
208=AppleTalk Unused 
209=Trivial Authenticated Mail Protocol 
210=ANSI Z39.50z39.50 
211=Texas Instruments 914C/G Terminal 
212=ATEXSSTRanet 
213=IPX 
214=VM PWSCSvmpwscs 
215=Insignia Solutions 
216=Access Technology License Server 
217=dBASE Unix 
218=Netix Message Posting Protocol 
219=Unisys ARPsuarps 
220=Interactive Mail Access Protocol v3 
221=Berkeley rlogind with SPX auth 
222=Berkeley rshd with SPX auth 
223=Certificate Distribution Center 
224=Reserved (224-241) 
241=Reserved (224-241) 
242=Unassigned# 
243=Survey Measurement 
244=Unassigned# 
245=LINKlink 
246=Display Systems Protocol 
247-255 Reserved 
256-343 Unassigned 
344=Prospero Data Access Protocol 
345=Perf Analysis Workbench 
346=Zebra serverzserv 
347=Fatmen Serverfatserv 
348=Cabletron Management Protocol 
349-370 Unassigned 
371=Clearcaseclearcase 
372=Unix Listservulistserv 
373=Legent Corporation 
374=Legent Corporation 
375=Hasslehassle 
376=Amiga Envoy Netwok Inquiry Proto 
377=NEC Corporation 
378=NEC Corporation 
379=TIA/EIA/IS-99 modem client 
380=TIA/EIA/IS-99 modem server 
381=hp performance data collector 
382=hp performance data managed node 
383=hp performance data alarm manager 
384=A Remote Network Server System 
385=IBM Application 
386=ASA Message Router Object Def. 
387=Appletalk Update-Based Routing Pro. 
388=Unidata LDM Version 4 
389=Lightweight Directory Access Protocol 
390=UISuis 
391=SynOptics SNMP Relay Port 
392=SynOptics Port Broker Port 
393=Data Interpretation System 
394=EMBL Nucleic Data Transfer 
395=NETscout Control Protocol 
396=Novell Netware over IP 
397=Multi Protocol Trans. Net. 
398=Kryptolankryptolan 
399=Unassigned# 
400=Workstation Solutions 
401=Uninterruptible Power Supply 
402=Genie Protocol 
403=decapdecap 
404=ncednced 
405=ncldncld 
406=Interactive Mail Support Protocol 
407=Timbuktutimbuktu 
408=Prospero Resource Manager Sys. Man. 
409=Prospero Resource Manager Node Man. 
410=DECLadebug Remote Debug Protocol 
411=Remote MT Protocol 
412=Trap Convention Port 
413=SMSPsmsp 
414=InfoSeekinfoseek 
415=BNetbnet 
416=Silverplattersilverplatter 
417=Onmuxonmux 
418=Hyper-Ghyper-g 
419=Arielariel1 
420=SMPTEsmpte 
421=Arielariel2 
422=Arielariel3 
423=IBM Operations Planning and Control Start 
424=IBM Operations Planning and Control Track 
425=ICADicad-el 
426=smartsdpsmartsdp 
427=Server Location 
429=OCS_AMU 
430=UTMPSDutmpsd 
431=UTMPCDutmpcd 
432=IASDiasd 
433=NNSPnnsp 
434=MobileIP-Agent 
435=MobilIP-MN 
436=DNA-CMLdna-cml 
437=comscmcomscm 
439=dasp, Thomas Obermair 
440=sgcpsgcp 
441=decvms-sysmgtdecvms-sysmgt 
442=cvc_hostdcvc_hostd 
443=https 
444=Simple Network Paging Protocol 
445=Microsoft-DS 
446=DDM-RDBddm-rdb 
447=DDM-RFMddm-dfm 
448=DDM-BYTEddm-byte 
449=AS Server Mapper 
450=TServertserver 
512=exec, Remote process execution 
513=login, remote login 
514=cmd, exec with auto auth. 
514=syslog 
515=Printer spooler 
516=Unassigned 
517=talk 
519=unixtime 
520=extended file name server 
521=Unassigned 
522=Unassigned 
523=Unassigned 
524=Unassigned 
526=newdate 
530=rpc courier 
531=chatconference 
532=readnewsnetnews 
533=for emergency broadcasts 
539=Apertus Technologies Load Determination 
540=uucp 
541=uucp-rlogin 
542=Unassigned 
543=klogin 
544=kshell 
545=Unassigned 
546=Unassigned 
547=Unassigned 
548=Unassigned 
549=Unassigned 
550=new-who 
551=Unassigned 
552=Unassigned 
553=Unassigned 
554=Unassigned 
555=dsf 
556=remotefs 
557-559=rmonitor 
560=rmonitord 
561=dmonitor 
562=chcmd 
563=Unassigned 
564=plan 9 file service 
565=whoami 
566-569 Unassigned 
570=demonmeter 
571=udemonmeter 
572-599 Unassigned ipc server 
600=Sun IPC server 
607=nqs 
606=Cray Unified Resource Manager 
608=Sender-Initiated/Unsolicited File Transfer 
609=npmp-trapnpmp-trap 
610=npmp-localnpmp-local 
611=npmp-guinpmp-gui 
634=ginadginad 
666=Doom Id Software 
704=errlog copy/server daemon 
709=EntrustManager 
729=IBM NetView DM/6000 Server/Client 
730=IBM NetView DM/6000 send/tcp 
731=IBM NetView DM/6000 receive/tcp 
741=netGWnetgw 
742=Network based Rev. Cont. Sys. 
744=Flexible License Manager 
747=Fujitsu Device Control 
748=Russell Info Sci Calendar Manager 
749=kerberos administration 
751=pump 
752=qrh 
754=send 
758=nlogin 
759=con 
760=ns 
762=quotad 
763=cycleserv 
765=webster 
767=phonephonebook 
769=vid 
771=rtip 
772=cycleserv2 
774=acmaint_dbd 
775=acmaint_transd 
780=wpgs 
786=Concertconcert 
800=mdbs_daemon 
996=Central Point Software 
997=maitrd 
999=puprouter 
1023=Reserved 
1024=Reserved 
1025=network blackjack 
1030=BBN IAD 
1031=BBN IAD 
1032=BBN IAD 
1067=Installation Bootstrap Proto. Serv. 
1068=Installation Bootstrap Proto. Cli. 
1080=SOCKS 
1083=Anasoft License Manager 
1084=Anasoft License Manager 
1155=Network File Access 
1222=SNI R&D network 
1248=hermes 
1346=Alta Analytics License Manager 
1347=multi media conferencing 
1347=multi media conferencing 
1348=multi media conferencing 
1349=Registration Network Protocol 
1350=Registration Network Protocol 
1351=Digital Tool Works (MIT) 
1352=/Lotus Notelotusnote 
1353=Relief Consulting 
1354=RightBrain Software 
1355=Intuitive Edge 
1356=CuillaMartin Company 
1357=Electronic PegBoard 
1358=CONNLCLIconnlcli 
1359=FTSRVftsrv 
1360=MIMERmimer 
1361=LinX 
1362=TimeFliestimeflies 
1363=Network DataMover Requester 
1364=Network DataMover Server 
1365=Network Software Associates 
1366=Novell NetWare Comm Service Platform 
1367=DCSdcs 
1368=ScreenCastscreencast 
1369=GlobalView to Unix Shell 
1370=Unix Shell to GlobalView 
1371=Fujitsu Config Protocol 
1372=Fujitsu Config Protocol 
1373=Chromagrafxchromagrafx 
1374=EPI Software Systems 
1375=Bytexbytex 
1376=IBM Person to Person Software 
1377=Cichlid License Manager 
1378=Elan License Manager 
1379=Integrity Solutions 
1380=Telesis Network License Manager 
1381=Apple Network License Manager 
1382=udt_os 
1383=GW Hannaway Network License Manager 
1384=Objective Solutions License Manager 
1385=Atex Publishing License Manager 
1386=CheckSum License Manager 
1387=Computer Aided Design Software Inc LM 
1388=Objective Solutions DataBase Cache 
1389=Document Manager 
1390=Storage Controller 
1391=Storage Access Server 
1392=Print Managericlpv-pm 
1393=Network Log Server 
1394=Network Log Client 
1395=PC Workstation Manager software 
1396=DVL Active Mail 
1397=Audio Active Mail 
1398=Video Active Mail 
1399=Cadkey License Manager 
1400=Cadkey Tablet Daemon 
1401=Goldleaf License Manager 
1402=Prospero Resource Manager 
1403=Prospero Resource Manager 
1404=Infinite Graphics License Manager 
1405=IBM Remote Execution Starter 
1406=NetLabs License Manager 
1407=DBSA License Manager 
1408=Sophia License Manager 
1409=Here License Manager 
1410=HiQ License Manager 
1411=AudioFileaf 
1412=InnoSysinnosys 
1413=Innosys-ACLinnosys-acl 
1414=IBM MQSeriesibm-mqseries 
1415=DBStardbstar 
1416=Novell LU6.2novell-lu6.2 
1417=Timbuktu Service 1 Port 
1417=Timbuktu Service 1 Port 
1418=Timbuktu Service 2 Port 
1419=Timbuktu Service 3 Port 
1420=Timbuktu Service 4 Port 
1421=Gandalf License Manager 
1422=Autodesk License Manager 
1423=Essbase Arbor Software 
1424=Hybrid Encryption Protocol 
1425=Zion Software License Manager 
1426=Satellite-data Acquisition System 1 
1427=mloadd monitoring tool 
1428=Informatik License Manager 
1429=Hypercom NMSnms 
1430=Hypercom TPDUtpdu 
1431=Reverse Gosip Transport 
1432=Blueberry Software License Manager 
1433=Microsoft-SQL-Server 
1434=Microsoft-SQL-Monitor 
1435=IBM CISCibm-cics 
1436=Satellite-data Acquisition System 2 
1437=Tabulatabula 
1438=Eicon Security Agent/Server 
1439=Eicon X25/SNA Gateway 
1440=Eicon Service Location Protocol 
1441=Cadis License Management 
1442=Cadis License Management 
1443=Integrated Engineering Software 
1444=Marcam License Management br />1445=Proxima License Manager 
1446=Optical Research Associates License Manager 
1447=Applied Parallel Research LM 
1448=OpenConnect License Manager 
1449=PEportpeport 
1450=Tandem Distributed Workbench Facility 
1451=IBM Information Management 
1452=GTE Government Systems License Man 
1453=Genie License Manager 
1454=interHDL License Manager 
1454=interHDL License Manager 
1455=ESL License Manager 
1456=DCAdca 
1457=Valisys License Manager 
1458=Nichols Research Corp. 
1459=Proshare Notebook Application 
1460=Proshare Notebook Application 
1461=IBM Wireless LAN 
1462=World License Manager 
1463=Nucleusnucleus 
1464=MSL License Manager 
1465=Pipes Platform 
1466=Ocean Software License Manager 
1467=CSDMBASEcsdmbase 
1468=CSDMcsdm 
1469=Active Analysis Limited License Manager 
1470=Universal Analytics 
1471=csdmbasecsdmbase 
1472=csdmcsdm 
1473=OpenMathopenmath 
1474=Telefindertelefinder 
1475=Taligent License Manager 
1476=clvm-cfgclvm-cfg 
1477=ms-sna-server 
1478=ms-sna-base 
1479=dberegisterdberegister 
1480=PacerForumpacerforum 
1481=AIRSairs 
1482=Miteksys License Manager 
1483=AFS License Manager 
1484=Confluent License Manager 
1485=LANSourcelansource 
1486=nms_topo_serv 
1487=LocalInfoSrvr 
1488=DocStordocstor 
1489=dmdocbrokerdmdocbroker 
1490=insitu-confinsitu-conf 
1491=anynetgateway 
1492=stone-design-1 
1493=netmap_lmnetmap_lm 
1494=icaica 
1495=cvccvc 
1496=liberty-lmliberty-lm 
1497=rfx-lmrfx-lm 
1498=Watcom-SQLwatcom-sql 
1499=Federico Heinz Consultora 
1500=VLSI License Manager 
1501=Satellite-data Acquisition System 3 
1502=Shivashivadiscovery 
1503=Databeamimtc-mcs 
1504=EVB Software Engineering License Manager 
1505=Funk Software, Inc. 
1524=ingres 
1525=oracle 
1525=Prospero Directory Service non-priv 
1526=Prospero Data Access Prot non-priv 
1527=oracletlisrv 
1529=oraclecoauthor 
1600=issd 
1651=proshare conf audio 
1652=proshare conf video 
1653=proshare conf data 
1654=proshare conf request 
1655=proshare conf notify 
1661=netview-aix-1netview-aix-1 
1662=netview-aix-2netview-aix-2 
1663=netview-aix-3netview-aix-3 
1664=netview-aix-4netview-aix-4 
1665=netview-aix-5netview-aix-5 
1666=netview-aix-6netview-aix-6 
1986=cisco license management 
1987=cisco RSRB Priority 1 port 
1988=cisco RSRB Priority 2 port 
1989=cisco RSRB Priority 3 port 
1989=MHSnet systemmshnet 
1990=cisco STUN Priority 1 port 
1991=cisco STUN Priority 2 port 
1992=cisco STUN Priority 3 port 
1992=IPsendmsgipsendmsg 
1993=cisco SNMP TCP port 
1994=cisco serial tunnel port 
1995=cisco perf port 
1996=cisco Remote SRB port 
1997=cisco Gateway Discovery Protocol 
1998=cisco X.25 service (XOT) 
1999=cisco identification port 
2009=whosockami 
2010=pipe_server 
2011=raid 
2012=raid-ac 
2013=rad-am 
2015=raid-cs 
2016=bootserver 
2017=terminaldb 
2018=rellpack 
2019=about 
2019=xinupageserver 
2020=xinupageserver 
2021=xinuexpansion1 
2021=down 
2022=xinuexpansion2 
2023=xinuexpansion3 
2023=xinuexpansion4 
2024=xinuexpansion4 
2025=xribs 
2026=scrabble 
2027=shadowserver 
2028=submitserver 
2039=device2 
2032=blackboard 
2033=glogger 
2034=scoremgr 
2035=imsldoc 
2038=objectmanager 
2040=lam 
2041=interbase 
2042=isis 
2043=isis-bcast 
2044=primsl 
2045=cdfunc 
2047=dls 
2048=dls-monitor 
2065=Data Link Switch Read Port Number 
2067=Data Link Switch Write Port Number 
2201=Advanced Training System Program 
2500=Resource Tracking system server 
2501=Resource Tracking system client 
2564=HP 3000 NS/VT block mode telnet 
2784=world wide web - development 
3049=ccmail 
3264=ccmail, cc:mail/lotus 
3333=dec-notes 
3984=MAPPER network node manager 
3985=MAPPER TCP/IP server 
3986=MAPPER workstation server 
3421=Bull Apprise portmapper 
3900=Unidata UDT OS 
4132=NUTS Daemonnuts_dem 
4133=NUTS Bootp Server 
4343=UNICALL 
4444=KRB524 
4672=remote file access server 
5002=radio free ethernet 
5010=TelepathStarttelelpathstart 
5011=TelepathAttack 
5050=multimedia conference control tool 
5145=rmonitor_secure 
5190=aol, America-Online 
5300=HA cluster heartbeat 
5301=hacl-gs # HA cluster general services 
5302=HA cluster configuration 
5303=hacl-probe HA cluster probing 
5305=hacl-test 
6000-6063=x11 X Window System 
6111=sub-process HP SoftBench Sub-Process Control 
6141/=meta-corp Meta Corporation License Manager 
6142=aspentec-lm Aspen Technology License Manager 
6143=watershed-lm Watershed License Manager 
6144=statsci1-lm StatSci License Manager - 1 
6145=statsci2-lm StatSci License Manager - 2 
6146=lonewolf-lm Lone Wolf Systems License Manager 
6147=montage-lm Montage License Manager 
7000=afs3-fileserver file server itself 
7001=afs3-callback callbacks to cache managers 
7002=afs3-prserver users & groups database 
7003=afs3-vlserver volume location database 
7004=afs3-kaserver AFS/Kerberos authentication service 
7005=afs3-volser volume managment server 
7006=afs3-errors error interpretation service 
7007=afs3-bos basic overseer process 
7008=afs3-update server-to-server updater 
7009=afs3-rmtsys remote cache manager service 
7010=ups-online onlinet uninterruptable power supplies 
7100=X Font Service 
7200=FODMS FLIP 
7626=冰河 
8010=Wingate 
8181=IMail 
9535=man
下面解释的更具体，也算是补充。 
0 通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口，当你试图使用一种通常的闭合端口连接它时将产生不同的结果。一种典型的扫描：使用IP地址为0.0.0.0，设置ACK位并在以太网层广播。 


1 tcpmux 这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者，缺省情况下tcpmux在这种系统中被打开。Iris机器在发布时含有几个缺省的无密码的帐户，如lp, guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和4Dgifts。许多管理员安装后忘记删除这些帐户。因此Hacker们在Internet上搜索tcpmux并利用这些帐户。 


7 Echo 你能看到许多人们搜索Fraggle放大器时，发送到x.x.x.0和x.x.x.255的信息。常见的一种DoS攻击是echo循环（echo-loop），攻击者伪造从一个机器发送到另一个机器的UDP数据包，而两个机器分别以它们最快的方式回应这些数据包。另一种东西是由DoubleClick在词端口建立的TCP连接。有一种产品叫做“Resonate Global Dispatch”，它与DNS的这一端口连接以确定最近的路由。Harvest/squid cache将从3130端口发送UDP echo：“如果将cache的source_ping on选项打开，它将对原始主机的UDP echo端口回应一个HIT reply。”这将会产生许多这类数据包。 


11 sysstat 这是一种UNIX服务，它会列出机器上所有正在运行的进程以及是什么启动了这些进程。这为入侵者提供了许多信息而威胁机器的安全，如暴露已知某些弱点或帐户的程序。这与UNIX系统中“ps”命令的结果相似。再说一遍：ICMP没有端口，ICMP port 11通常是ICMP type=11。 


19 chargen 这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时，会发送含有垃圾字符的数据流知道连接关闭。Hacker利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。由于服务器企图回应两个服务器之间的无限的往返数据通讯一个chargen和echo将导致服务器过载。同样fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包，受害者为了回应这些数据而过载。 


21 ftp 最常见的攻击者用于寻找打开“anonymous”的ftp服务器的方法。这些服务器带有可读写的目录。Hackers或Crackers 利用这些服务器作为传送warez (私有程序) 和pr0n(故意拼错词而避免被搜索引擎分类)的节点。 


22 ssh PcAnywhere 建立TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点。如果配置成定的模式，许多使用RSAREF库的版本有不少漏洞。（建议在其它端口运行ssh）。还应该注意的是ssh工具包带有一个称为make-ssh-known-hosts的程序。它会扫描整个域的ssh主机。你有时会被使用这一程序的人无意中扫描到。UDP（而不是TCP）与另一端的5632端口相连意味着存在搜索pcAnywhere的扫描。5632（十六进制的0x1600）位交换后是0x0016（使进制的22）。 


23 Telnet 入侵者在搜索远程登陆UNIX的服务。大多数情况下入侵者扫描这一端口是为了找到机器运行的操作系统。此外使用其它技术，入侵者会找到密码。 


25 smtp 攻击者（spammer）寻找SMTP服务器是为了传递他们的spam。入侵者的帐户总被关闭，他们需要拨号连接到高带宽的e-mail服务器上，将简单的信息传递到不同的地址。SMTP服务器（尤其是sendmail）是进入系统的最常用方法之一，因为它们必须完整的暴露于Internet且邮件的路由是复杂的（暴露+复杂=弱点）。 


53 DNS Hacker或crackers可能是试图进行区域传递（TCP），欺骗DNS（UDP）或隐藏其它通讯。因此防火墙常常过滤或记录53端口。需要注意的是你常会看到53端口做为UDP源端口。不稳定的防火墙通常允许这种通讯并假设这是对DNS查询的回复。Hacker常使用这种方法穿透防火墙。 


67&68 Bootp和DHCP UDP上的Bootp/DHCP：通过DSL和cable-modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址分配。Hacker常进入它们分配一个地址把自己作为局部路由器而发起大量的“中间人”（man-in-middle）攻击。客户端向68端口（bootps）广播请求配置，服务器向67端口（bootpc）广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。 


69 TFTP(UDP) 许多服务器与bootp一起提供这项服务，便于从系统下载启动代码。但是它们常常错误配置而从系统提供任何文件，如密码文件。它们也可用于向系统写入文件。 


79 finger Hacker用于获得用户信息，查询操作系统，探测已知的缓冲区溢出错误，回应从自己机器到其它机器finger扫描。 


80 web站点默认80为服务端口，采用tcp或udp协议。 


98 linuxconf 这个程序提供linux boxen的简单管理。通过整合的HTTP服务器在98端口提供基于Web界面的服务。它已发现有许多安全问题。一些版本setuid root，信任局域网，在/tmp下建立Internet可访问的文件，LANG环境变量有缓冲区溢出。此外因为它包含整合的服务器，许多典型的HTTP漏洞可能存在（缓冲区溢出，历遍目录等） 


109 POP2 并不象POP3那样有名，但许多服务器同时提供两种服务（向后兼容）。在同一个服务器上POP3的漏洞在POP2中同样存在。 


110 POP3 用于客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出的弱点至少有20个（这意味着Hacker可以在真正登陆前进入系统）。成功登陆后还有其它缓冲区溢出错误。 


111 sunrpc portmap rpcbind Sun RPC PortMapper/RPCBIND。访问portmapper是扫描系统查看允许哪些RPC服务的最早的一步。常见RPC服务有：rpc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。入侵者发现了允许的RPC服务将转向提供服务的特定端口测试漏洞。记住一定要记录线路中的daemon, IDS, 或sniffer，你可以发现入侵者正使用什么程序访问以便发现到底发生了什么。 


113 Ident auth 这是一个许多机器上运行的协议，用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多机器的信息（会被Hacker利用）。但是它可作为许多服务的记录器，尤其是FTP, POP, IMAP, SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务，你将会看到许多这个端口的连接请求。记住，如果你阻断这个端口客户端会感觉到在防火墙另一边与e-mail服务器的缓慢连接。许多防火墙支持在TCP连接的阻断过程中发回RST，着将回停止这一缓慢的连接。 


119 NNTP news 新闻组传输协议，承载USENET通讯。当你链接到诸如：news://comp.security.firewalls/. 的地址时通常使用这个端口。这个端口的连接企图通常是人们在寻找USENET服务器。多数ISP限制只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子，访问被限制的新闻组服务器，匿名发帖或发送spam。 


135 oc-serv MS RPC end-point mapper Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和/或RPC的服务利用机器上的end-point mapper注册它们的位置。远端客户连接到机器时，它们查询end-point mapper找到服务的位置。同样Hacker扫描机器的这个端口是为了找到诸如：这个机器上运行Exchange Server吗？是什么版本？这个端口除了被用来查询服务（如使用epdump）还可以被用于直接攻击。有一些DoS攻击直接针对这个端口。 


137 NetBIOS name service nbtstat (UDP) 这是防火墙管理员最常见的信息。 


139 NetBIOS File and Print Sharing 通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于Windows“文件和打印机共享”和SAMBA。在Internet上共享自己的硬盘是可能是最常见的问题。大量针对这一端口始于1999，后来逐渐变少。2000年又有回升。一些VBS（IE5 VisualBasic Scripting）开始将它们自己拷贝到这个端口，试图在这个端口繁殖。 


143 IMAP 和上面POP3的安全问题一样，许多IMAP服务器有缓冲区溢出漏洞运行登陆过程中进入。记住：一种Linux蠕虫（admw0rm）会通过这个端口繁殖，因此许多这个端口的扫描来自不知情的已被感染的用户。当RadHat在他们的Linux发布版本中默认允许IMAP后，这些漏洞变得流行起来。Morris蠕虫以后这还是第一次广泛传播的蠕虫。这一端口还被用于IMAP2，但并不流行。已有一些报道发现有些0到143端口的攻击源于脚本。 


161 SNMP(UDP) 入侵者常探测的端口。SNMP允许远程管理设备。所有配置和运行信息都储存在数据库中，通过SNMP客获得这些信息。许多管理员错误配置将它们暴露于Internet。Crackers将试图使用缺省的密码“public”“private”访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向你的网络。Windows机器常会因为错误配置将HP JetDirect remote management软件使用SNMP。HP OBJECT IDENTIFIER将收到SNMP包。新版的Win98使用SNMP解析域名，你会看见这种包在子网内广播（cable modem, DSL）查询sysName和其它信息。 


162 SNMP trap 可能是由于错误配置 


177 xdmcp 许多Hacker通过它访问X-Windows控制台， 它同时需要打开6000端口。 


513 rwho 可能是从使用cable modem或DSL登陆到的子网中的UNIX机器发出的广播。这些人为Hacker进入他们的系统提供了很有趣的信息。 


553 CORBA IIOP (UDP) 如果你使用cable modem或DSL VLAN，你将会看到这个端口的广播。CORBA是一种面向对象的RPC（remote procedure call）系统。Hacker会利用这些信息进入系统。 


600 Pcserver backdoor 请查看1524端口。 
一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统-- Alan J. Rosenthal. 


635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口的扫描是基于UDP的，但基于TCP的mountd有所增加（mountd同时运行于两个端口）。记住，mountd可运行于任何端口（到底在哪个端口，需要在端口111做portmap查询），只是Linux默认为635端口，就象NFS通常运行于2049端口。 


1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端口连接网络，它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这一点，你可以重启机器，打开Telnet，再打开一个窗口运行“natstat -a”，你将会看到Telnet被分配1024端口。请求的程序越多，动态端口也越多。操作系统分配的端口将逐渐变大。再来一遍，当你浏览Web页时用“netstat”查看，每个Web页需要一个新端口。 


1025，1026 参见1024 


1080 SOCKS 这一协议以管道方式穿过防火墙，允许防火墙后面的许多人通过一个IP地址访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置，它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于Internet上的计算机，从而掩饰他们对你的直接攻击。WinGate是一种常见的Windows个人防火墙，常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。 


1114 SQL 系统本身很少扫描这个端口，但常常是sscan脚本的一部分。 


1243 Sub-7木马（TCP） 


1524 ingreslock 后门许多攻击脚本将安装一个后门Shell于这个端口（尤其是那些针对Sun系统中sendmail和RPC服务漏洞的脚本，如statd, ttdbserver和cmsd）。如果你刚刚安装了你的防火墙就看到在这个端口上的连接企图，很可能是上述原因。你可以试试Telnet到你的机器上的这个端口，看看它是否会给你一个Shell。连接到600/pcserver也存在这个问题。 


2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪个端口，但是大部分情况是安装后NFS运行于这个端口，Hacker/Cracker因而可以闭开portmapper直接测试这个端口。 


3128 squid 这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口：8000/8001/8080/8888。扫描这一端口的另一原因是：用户正在进入聊天室。其用户（或服务器本身）也会检验这个端口以确定用户的机器是否支持代理。 


5632 pcAnywere 你会看到很多这个端口的扫描，这依赖于你所在的位置。当用户打开pcAnywere时，它会自动扫描局域网C类网以寻找可能得代理（译者：指agent而不是proxy）。Hacker/cracker也会寻找开放这种服务的机器，所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描常包含端口22的UDP数据包。 


6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如当控制者通过电话线控制另一台机器，而被控机器挂断时你将会看到这种情况。因此当另一人以此IP拨入时，他们将会看到持续的，在这个端口的连接企图。（译者：即看到防火墙报告这一端口的连接企图时，并不表示你已被Sub-7控制。） 


6970 RealAudio RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP7070端口外向控制连接设置的。 


13223 PowWow PowWow 是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应。这造成类似心跳间隔的连接企图。如果你是一个拨号用户，从另一个聊天者手中“继承”了IP地址这种情况就会发生：好象很多不同的人在测试这一端口。这一协议使用“OPNG”作为其连接企图的前四个字节。 


17027 Conducent 这是一个外向连接。这是由于公司内部有人安装了带有Conducent "adbot" 的共享软件。Conducent "adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。有人试验：阻断这一外向连接不会有任何问题，但是封掉IP地址本身将会导致adbots持续在每秒内试图连接多次而导致连接过载： 
机器会不断试图解析DNS名—ads.conducent.com，即IP地址216.33.210.40 ；216.33.199.77 ；216.33.199.80 ；216.33.199.81；216.33.210.41。（译者：不知NetAnts使用的Radiate是否也有这种现象） 


27374 Sub-7木马(TCP) 


30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。 


31337 Back Orifice “elite” Hacker中31337读做“elite”/ei’li:t/（译者：法语，译为中坚力量，精华。即3=E, 1=L, 7=T）。因此许多后门程序运行于这一端口。其中最有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来越少，其它的木马程序越来越流行。 


31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马（RAT, Remote Access Trojan）。这种木马包含内置的31790端口扫描器，因此任何31789端口到317890端口的连接意味着已经有这种入侵。（31789端口是控制连接，317890端口是文件传输连接） 


32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说：早期版本的Solaris（2.5.1之前）将portmapper置于这一范围内，即使低端口被防火墙封闭仍然允许Hacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper，就是为了寻找可被攻击的已知的RPC服务。 


33434~33600 traceroute 如果你看到这一端口范围内的UDP数据包（且只在此范围之内）则可能是由于traceroute。参见本站相关部分

全面认识计算机启动过程【 载自ChinaUnix】

　　首先让我们来了解一些基本概念。第一个是大家非常熟悉的BIOS（基本输入输出系统），BIOS是直接与硬件打交道的底层代码，它为操作系统提供了控制硬件设备的基本功能。BIOS包括有系统BIOS（即常说的主板BIOS）、显卡BIOS和其它设备（例如IDE控制器、SCSI卡或网卡等）的BIOS，其中系统BIOS是本文要讨论的主角，因为计算机的启动过程正是在它的控制下进行的。BIOS一般被存放在ROM(只读存储芯片)之中，即使在关机或掉电以后，这些代码也不会消失。

　　第二个基本概念是内存的地址，我们的机器中一般安装有32MB、64MB或128MB内存，这些内存的每一个字节都被赋予了一个地址，以便CPU访问内存。32MB的地址范围用十六进制数表示就是0～1FFFFFFH，其中0～FFFFFH的低端1MB内存非常特殊，因为最初的8086处理器能够访问的内存最大只有1MB，这1MB的低端640KB被称为基本内存，而A0000H～BFFFFH要保留给显示卡的显存使用，C0000H～FFFFFH则被保留给BIOS使用，其中系统BIOS一般占用了最后的64KB或更多一点的空间，显卡BIOS一般在C0000H～C7FFFH处，IDE控制器的BIOS在C8000H～CBFFFH处。

　　第一步： 当我们按下电源开关时，电源就开始向主板和其它设备供电，此时电压还不太稳定，主板上的控制芯片组会向CPU发出并保持一个RESET（重置）信号，让CPU内部自动恢复到初始状态，但CPU在此刻不会马上执行指令。当芯片组检测到电源已经开始稳定供电了（当然从不稳定到稳定的过程只是一瞬间的事情），它便撤去RESET信号（如果是手工按下计算机面板上的Reset按钮来重启机器，那么松开该按钮时芯片组就会撤去RESET信号），CPU马上就从地址FFFF0H处开始执行指令，从前面的介绍可知，这个地址实际上在系统BIOS的地址范围内，无论是Award BIOS还是AMI BIOS，放在这里的只是一条跳转指令，跳到系统BIOS中真正的启动代码处。

　　第二步： 系统BIOS的启动代码首先要做的事情就是进行POST（Power－On Self Test，加电后自检），POST的主要任务是检测系统中一些关键设备是否存在和能否正常工作，例如内存和显卡等设备。由于POST是最早进行的检测过程，此时显卡还没有初始化，如果系统BIOS在进行POST的过程中发现了一些致命错误，例如没有找到内存或者内存有问题（此时只会检查640K常规内存），那么系统BIOS就会直接控制喇叭发声来报告错误，声音的长短和次数代表了错误的类型。在正常情况下，POST过程进行得非常快，我们几乎无法感觉到它的存在，POST结束之后就会调用其它代码来进行更完整的硬件检测。

　　第三步： 接下来系统BIOS将查找显卡的BIOS，前面说过，存放显卡BIOS的ROM芯片的起始地址通常设在C0000H处，系统BIOS在这个地方找到显卡BIOS之后就调用它的初始化代码，由显卡BIOS来初始化显卡，此时多数显卡都会在屏幕上显示出一些初始化信息，介绍生产厂商、图形芯片类型等内容，不过这个画面几乎是一闪而过。系统BIOS接着会查找其它设备的BIOS程序，找到之后同样要调用这些BIOS内部的初始化代码来初始化相关的设备。

　　第四步： 查找完所有其它设备的BIOS之后，系统BIOS将显示出它自己的启动画面，其中包括有系统BIOS的类型、序列号和版本号等内容。

　　第五步： 接着系统BIOS将检测和显示CPU的类型和工作频率，然后开始测试所有的RAM，并同时在屏幕上显示内存测试的进度，我们可以在CMOS设置中自行决定使用简单耗时少或者详细耗时多的测试方式。

第六步： 内存测试通过之后，系统BIOS将开始检测系统中安装的一些标准硬件设备，包括硬盘、CD－ROM、串口、并口、软驱等设备，另外绝大多数较新版本的系统BIOS在这一过程中还要自动检测和设置内存的定时参数、硬盘参数和访问模式等。

　　第七步： 标准设备检测完毕后，系统BIOS内部的支持即插即用的代码将开始检测和配置系统中安装的即插即用设备，每找到一个设备之后，系统BIOS都会在屏幕上显示出设备的名称和型号等信息，同时为该设备分配中断、DMA通道和I/O端口等资源。

　　第八步： 到这一步为止，所有硬件都已经检测配置完毕了，多数系统BIOS会重新清屏并在屏幕上方显示出一个表格，其中概略地列出了系统中安装的各种标准硬件设备，以及它们使用的资源和一些相关工作参数。

　　第九步： 接下来系统BIOS将更新ESCD（Extended System Configuration Data，扩展系统配置数据）。ESCD是系统BIOS用来与操作系统交换硬件配置信息的一种手段，这些数据被存放在CMOS（一小块特殊的RAM，由主板上的电池来供电）之中。通常ESCD数据只在系统硬件配置发生改变后才会更新，所以不是每次启动机器时我们都能够看到“Update ESCD… Success”这样的信息，不过，某些主板的系统BIOS在保存ESCD数据时使用了与Windows 9x不相同的数据格式，于是Windows 9x在它自己的启动过程中会把ESCD据修改成自己的格式，但在下一次启动机器时，即使硬件配置没有发生改变，系统BIOS也会把ESCD的数据格式改回来，如此循环，将会导致在每次启动机器时，系统BIOS都要更新一遍ESCD，这就是为什么有些机器在每次启动时都会显示出相关信息的原因。

　　第十步： ESCD更新完毕后，系统BIOS的启动代码将进行它的最后一项工作，即根据用户指定的启动顺序从软盘、硬盘或光驱启动。以从C盘启动为例，系统BIOS将读取并执行硬盘上的主引导记录，主引导记录接着从分区表中找到第一个活动分区，然后读取并执行这个活动分区的分区引导记录，而分区引导记录将负责读取并执行IO.SYS，这是DOS和Windows 9x最基本的系统文件。 Windows 9x的IO.SYS首先要初始化一些重要的系统数据，然后就显示出我们熟悉的蓝天白云，在这幅画面之下，Windows将继续进行DOS部分和GUI（图形用户界面）部分的引导和初始化工作。

　　如果系统之中安装有引导多种操作系统的工具软件，通常主引导记录将被替换成该软件的引导代码，这些代码将允许用户选择一种操作系统，然后读取并执行该操作系统的基本引导代码（DOS和Windows的基本引导代码就是分区引导记录）。 　　

　　上面介绍的便是计算机在打开电源开关（或按Reset键）进行冷启动时所要完成的各种初始化工作，如果我们在DOS下按Ctrl＋Alt＋Del组合键（或从Windows中选择重新启动计算机）来进行热启动，那么POST过程将被跳过去，直接从第三步开始，另外第五步的检测CPU和内存测试也不会再进行。我们可以看到，无论是冷启动还是热启动，系统BIOS都一次又一次地重复进行着这些我们平时并不太注意的事情，然而正是这些单调的硬件检测步骤为我们能够正常使用电脑提供了基础。

Windows的系统文件夹中有各种系统文件，看着为数众多的文件类型，你想过了解它们的作用吗？本期我们将对其中的一种文件格式进行深挖，帮你实现一键备份个人设置，自动添加/删除系统组件，安装受限程序等功能。

　　一、程序操作更简单——轻松实现软件安装与卸载

　　1）自动添加/删除系统组件

　　INF文件作为系统的关键文件，在很多地方都体现着作用，例如，系统用其定义“添加/删除Windows组件”中显示的内容。选择“开始→运行”，输入：%windir%\inf后回车，双击里边的Sysoc.inf，你可以找到形如：msmsgs=msgrocm.dll,OcEntry,msmsgs.inf,hide,7这样的字段，将这段的hide删除，然后选择“控制面板→添加或删除程序→添加/删除Windows组件”，你就可以在里边找到Windows Messenger了，如图1所示。同样的方法，你可以删除很多你不想要的系统组件，你也可以在Sysoc.inf文件中需要的字段后边加上hide，隐藏指定的组件，以防其被别人删除。

图1 显示被隐藏的系统组件 

　　在“添加/删除Windows组件”中你可以添加你需要的系统组件，但是每次通过进入“添加/删除Windows组件”进行添加或卸载组件实在是麻烦，我们可以利用INF文件实现自动安装或卸载。这里我们以添加或删除传真组件为例。打开Sysoc.inf，找到：Fax=fxsocm.dll,FaxOcmSetupProc,fxsocm.inf,,7，这段话表示安装传真组件需要的文件。在放置Sysoc.inf文件的文件夹中，可以找到fxsocm.inf文件，在C盘下建立一个ABC文件夹，将这个INF文件拷贝进去。双击这个文件，在文件的顶端加入[Components]字段，然后换行，在其下边加入，在Sysoc.inf文件中找到的与传真相关的那行话，如图2所示。加入该字段的目的是告诉inf文件传真服务需要哪些组件。

图2 修改INF文件  

　　然后在fxsocm.inf中搜索，[Optional Components]字段，将该字段下的文字复制，然后在ABC文件夹下建立一个文本文件，命名为1.txt，双击打开，输入：[Components]，换行后将复制的字段粘入，针对本例该字段为：Fax，对于包含子组件的组件，将子组件列在组件的下方。然后在这些组件后边加上=on，如果你需要卸载组件则输入=off。然后输入：[NetOptionalComponents]，换行后将[Components]下边的字段复制过来，将on改为1，如图3所示。如果是卸载或者安装的组件不包含子组件则不需[NetOptionalComponents]字段。

图3 设置INF的安装参数 

　　再建立一个文本文档，在里边输入：%systemroot%\system32\sysocmgr.exe /i:"c:\ABC\fxsocm.inf" /u:"c:\ABC\1.txt"，保存该文本文档，并将其改名为FAX.bat，将Windows XP光盘放入，再双击这个bat文件，即可完成组件的安装。以后只要需要安装这个组件，只需将ABC文件夹拷贝到C盘根目录下，运行里边的bat文件即可。

2）突破软件安装限制
 
　　很多优秀的软件都对我们的硬件又要求，比如SoundMAX软件可以很好的提高我们集成声卡的音质，但是其要求声卡芯片必须是AD188x、AD189x、AD198x等。否则将禁止安装。事实上这种限制很多都是通过在INF文件上加入限制实现的，只要修改INF的相应字段就可以突破这个限制。打开SoundMAX的Win2000/XP版的驱动，一般你会在里边找到3个INF文件，smwdmCH4.inf、smwdmCH6.INF、smwdmCH5.inf，分别对应ICH4芯片、ICH6芯片和其他非Intel芯片，如果你无法确定你的主板芯片，就把它们都改了，呵呵。
 
　　打开其中的一个INF文件，然后搜索[AnalogDevices]字段，该段的最后一行为声卡的ID号。选择“开始→运行”，输入：dxdiag，回车后打开“DirectX诊断工具”，选择“声音”标签，如图4所示，将“设备ID”后边的字段覆盖INF文件中的对应字段即可。切记格式要完全一样，否则将无法安装。

图4 查看声卡ID 

　　二、个人设置不再丢——备份常用文件夹

　　说是备份个人设置，不如理解成重定向个人设置文件夹的位置更为贴切。我们常用的一些个人设置文件夹，如：收藏夹、Cookie文件夹、桌面文件、我的文档等，在每次重装系统时都要进行备份，否则重装后，这些信息将一去不复返。但是如果我们将这些文件夹移动到别的分区，就无需再费心的备份了。所以将这类操作也归为文件备份。 
 
　　假设系统盘是C盘，具体的操作步骤如下：用于存储用户的个人数据的分区为E区，我们需要将用户数据保存到E:\MyData。首先我们编个bat文件，将需要备份的个人设置文件夹，都统统拷贝到这个文件夹中（如果是刚装的操作系统，这步就可以省了）。
 打开个记事本，输入下边的命令：
 
 set NEWDEST=E:\MyData
    　　xcopy "%USERPROFILE%\Favorites" "%NEWDEST%\Favorites"  /I /S /E
    　　xcopy "%USERPROFILE%\Cookies" "%NEWDEST%\Cookies"  /I /S /E
    　　xcopy "%USERPROFILE%\My Documents" "%NEWDEST%\My Documents"  /I /S /E
 xcopy "%USERPROFILE%\Desktop" "%NEWDEST%\Desktop"  /I /S /E

　　保存这个文档，将扩展名改为.bat，然后执行该批处理命令。
 
　　然后再编个文件，自动修改注册表中的有关个人数的路径，再打开记事本，在里边输入：
 
 [Version]
    　　Signature="$Windows NT$"
    　　[DefaultInstall]
    　　AddReg=Shell Folders_AddReg
    　　[Shell Folders_AddReg]
    　　HKCU,"%User_Shell_Folders%","Favorites",0x00020000,"E:\MyData\Favorites"
    　　HKCU,"%User_Shell_Folders%","Personal",0x00020000,"E:\MyData\My Documents"
    　　hkcu,"%User_Shell_Folders%","Cookies",0x00020000,"E:\MyData\Cookies"
    　　HKCU,"%User_Shell_Folders%","Desktop",0x00020000,"E:\MyData\Desktop"
    　　HKCU,"%User_Shell_Folders%","My Pictures",0x00020000,"E:\MyData\My Documents\My Pictures"
    　　[Strings]
    　　User_Shell_Folders="Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders"

　　把这个内容保存，设置文件的扩展名为.INF，然后在文件上单击鼠标右键，选择右键菜单中的安装就可以了实现注册表更改了。注销后再登录，注册表中的设置就可以生效了。为了节省磁盘空间，你还可以把原来位置的个人数据都删了。下次再重装完以后，只需要再执行一下执行INF文件，并重登陆一次，你原来的设置就回来了。

三、磁盘分区多个性——为驱动器增加功能

　　Windows有一个功能，可以自动读取驱动器（硬盘分区、光驱、U盘均可）下的AutoRun.inf文件，我们可以通过编制该文件实现操纵磁盘驱动器的功能。

　　我们先来个简单的，修改硬盘的盘符图标，并在操作分区是加入快捷操作某个程序的功能。在D盘新建一个文本文件，在里边输入：[AutoRun]

Icon=D:\123.ico
//Icon用于设置盘符图标，这个图标必须为ico格式（可以用ACDSee将其他格式的图片转换为ico格式，或者将BMP的文件后缀直接改为ICO）
Open=D:\foobar2000.exe D:\123.fpl
//Open字段表示双击盘符时运行的程序，fpl文件是foobar的播放列表文件（winamp的是m3u文件）

　　保存该文件，将其命名为：AutoRun.inf即可。但是如果是双击的话，并不一定能满足我们的要求，这样会影响我们正常的访问硬盘分区，我们其实可以把音乐播放功能加到右键菜单里，在刚才的文件中加入：

shell\1=用foobar听歌
shell\1\command\=D:\foobar2000.exe D:\123.fpl

　　保存文件，再右击硬盘图标，你就可以在弹出菜单中找到“用foobar听歌”的菜单了。
 
　　同样的方法你可以在右键菜单中加入很多功能，或者在双击硬盘盘符时加入更多的动作。但是这样可能就会有危险产生，例如黑客只有向你硬盘中拷贝文件的权限，他就完全可以编制一个这样的INF文件，用Open打开一个其事先拷贝到硬盘中的木马或病毒文件。所以为了安全，有时我们需要考虑在驱动器上禁用INF功能。

　　最直接的方法当然是关闭硬盘读取AutoRun.inf文件的功能，选择“开始→运行”，输入：regedit，回车后打开注册表编辑器，定位到：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Exploer，双击右侧的“NoDriveTypeAutoRun”，其默认值是95，将其改为9D，然后打开任务管理器，将Explorer结束运行，并重新运行一次即可生效，硬盘读取AutoRun.inf的功能也就不再有用，如图5所示。

图5 禁用自动读取AutoRun.inf功能

　　如果你还是觉得不踏实，就干脆禁用掉INF运行功能，打开注册表编辑器，定位到：HKEY_LOCAL_MACHINE\Software\CLASSES\.inf，双击右侧的“默认”，将原来的：inffile，改为：txtfile即可，不过这样修改影响甚大，请谨慎使用。
 
　　INF文件功能强大这里介绍的仅仅是冰山一角，INF文件其他的功能例如用INF文件自动安装操作系统，锁定/解锁注册表，修改鼠标右键菜单等，读者还可自行尝试。

引言

    “信息化带动工业化”是我国长期的重要发展战略，江泽民同志在十六大的报告中指出：“实现工业化仍然是我国现代化进程中艰巨的历史性任务。信息化是我国加快实现工业化和现代化的必然选择。坚持以信息化带动工业化，以工业化促进信息化，走出一条科技含量高、经济效益好、资源消耗低、环境污染少、人力资源优势得到充分发挥的新型工业化路子。”这段论述表现了我们党对信息化建设的高度重视，也指明信息化带出一条新型工业化路子的光明前景。
    目前，各地区、各部门都在认真贯彻十六大精神，十分重视推进信息化工作，我国信息化建设已经进入新的阶段，我国信息化事业已发展到一个新的阶段。各级政府正在积极推进“电子政务”，许多城市及企业也已着手整合与升级其信息化应用系统。可以预计，全国将有更多、更大的信息系统建设项目展开。但是，在信息化推进过程中，存在不同程度上的一些问题，主要表现在规划制订不够科学，项目管理不够严格，监理机制不够健全，系统运行效益不够明显。致使相当一部分信息化项目失败或未能实现预期目标，浪费了大量资源。究其根源主要原因之一是信息化建设第三方监管机制的缺失和标准的不健全。
    国内外的实践表明：信息化是有风险的，信息系统规模越大，功能越复杂，风险也就越大。英国Kalido于英国时间2001年12月12日公布了有关企业信息管理的调查结果。调查显示，96％的企业对于本公司的信息管理系统感到不满。关于目前正在使用的信息系统，认为"所制作的报告缺乏一贯性"或者是"核对信息花费了太多时间"的企业约占70％。特别引人深思的是该调查是由美国HarteHanks以全球500强企业以及财富1000企业中的171家公司为对象通过问卷方式实施的。调查对象中，40％以上的企业年交易额超过20亿美元。其他主要调查结果如下∶回答目前的信息系统不能灵活因应变化的企业约占60％；对于数据的精度表示担心的企业约占60％；60％以上的企业正在策划有关数据及信息的整合计划。这充分说明，信息系统的建设项目较之传统工业工程项目成功率更低，风险也更加突出。
    中央领导同志在国家信息化领导小组第一次会议中特别强调：信息化建设一定要讲求效益，不能搞花架子。因此建立并逐步完善我国信息系统审计制度是健康、有序地推进信息化和落实领导小组会议精神的一项重要措施。
    目前，在国内的信息化项目工程建设中，绝大多数用户（业主）无法组织队伍对信息系统建设进行专业化管理，难以胜任从可行性分析、规划设计、招标、方案评审到工程监理和工程验收全过程的管理与组织协调工作，建设方和承建方在信息建设过程中存在严重的信息不对称问题。这表现为借助外援进行工程管理咨询的案例越来越多，一些省市的行业主管部门也开始在信息系统建设中推行由监理进行工程质量管理的做法。但是，监理介 入信息系统在我国还处于一个探索的过程中。
    我国加入WTO后，鉴于我国IT服务业未来巨大的增长空间，国际知名咨询顾问公司、专业技术服务提供商等纷纷抢滩我国市场。在信息系统第三方鉴证业务方面，他们提供符合国际标准的信息系统审计服务。因此当前监理事业的发展面临新的形势，监理工作外部环境发生了深刻变化，势将对我国监理企业形成严重冲击，本土监理企业面临前所未有的严峻挑战。监理事业往何处去？这是摆在每一个监理人面前的重大课题。每一个监理企业必须以发展的眼光、动态的观点、创新的思想和创新的理论正确认识和判断当前的监理形势，增强危机感和紧迫感，迎接新的挑战。

     信息系统监理
    信息系统监理概念

    依据信息产业部《信息系统工程监理暂行规定》，信息系统工程监理是指依法设立且具备相应资质的信息系统工程监理单位，受业主单位委托，依据国家有关法律法规、技术标准和信息系统工程监理合同，对信息系统工程项目实施的监督管理。

     信息系统监理产生动因及其发展

     1、信息系统监理产生动因分析
    监理工作、监理企业是我国在计划经济向市场经济转变的过程中在建设领域中应运而生的，并取得了有目共睹的显著成效，直接促进了工程监理业的繁荣发展，这也导致在通信业工程建设、信息系统建设等方面监理的出现。因此，回顾建设工程监理的发展，将有助于对信息系统监理的认识。
    1988年7月建设部发布了《关于开展建设监理工作的通知》，随后又于1988年11月印发了《关于开展建设监理试点问题的若干意见》，使得试点工作有章可循。1989年，根据初步试点取得的经验，建设部制定了《建设监理试行规定》，这是我国第一个比较完备的关于工程建设监理的法规文件，勾画出具有我国特色的工程建设监理制度的初步框架。1991年又分别制定颁发了《建设监理单位资质管理试行办法》和《监理工程师资格考试及注册试行办法》，建设监理法规制度进一步配套完善。1993年，上海市开始了程设备监理制度的试点工作。1998年，国务院机构改革后赋予了国家质量技术监督局“协调建立设备工程监理制度”的职能要求，随后，国家质量技术监督局拟定了《协调建立设备工程监理制度的方案》，在国家发展计划委员会的指导和具体参与下，会同国务院有关部门，在国内有关技术及咨询机构的帮助、支持下,完成了设备监理制度中有关规章的起草工作。此间，世界银行、国家开发银行等亦曾规定，其贷款的有关项目要有监理公司监理，并作为申请贷款的项目单位获得贷款的基本条件。由此开始推行建设工程监理制度，监理事业得到持续快速发展，从而积累了一定经验，取得了积极成效。发展至今建立了一套比较完整的监理法规体系，组成了一支规模较大的监理队伍，监理出一批优良的工程项目，监理工作在工程建设中发挥了重要作用，得到了各级领导的支持，得到了社会的普遍认可，正逐步向规范化、制度化、科学化方向迈进。
    但同时我国工程监理事业经过十多年的发展，虽然取得了一定成绩，但也存在不少问题。如：监理人员整体素质不高、监理工作缺位、监理取费普遍较低、监理市场竞争机制不健全、监理企业缺乏自我积累和发展能力、监理责任不明确、监理工作缺乏系统的理论研究、宣传工作滞后等问题比较突出。

     2、信息系统监理的发展
    目前信息系统工程的现状类似于二十世纪八十年代以前建筑工程的状态。自1988年建设部颁布《关于开展建设监理工作的通知》以后，特别是1996年建设监理全面推行后，建筑工程的质量普遍提高，业主和承建商之间的纠纷普遍减少，凡是出问题的工程，监理也有问题。因此，要求参考建筑工程的管理办法对信息工程实施监理的呼声日益高涨，这既是信息工程用户（业主）的愿望，也是系统集成商的愿望，信息工程市场呼唤“第三方”—信息系统工程监理的出现。
    早在1995年，原电子工业部就出台了《电子工程建设监理规定（试行）》。1996年，深圳市成立了全国第一家信息工程质量监督机构—信息工程质量监督检验总站。1998年，西安协同软件股份有限公司经西安技术监督局和西安市科委批准，获得“计算机管理信息系统工程监理”资质认证，成为国内第一家获此资格的公司。1999年6月，深圳市政府在国内率先出台了包括实施信息工程监理条款在内的《深圳市信息工程管理办法》，并要求首届我国国际高新技术成果交易会信息网络工程实施监理。2000年7月，深圳市信息化建设委员会办公室制订了《深圳市信息工程建设管理办法实施意见》，要求“市、区、镇人民政府及其所属部门使用财政性资金（包括预算内资金、预算外资金、事业收入等），投资规模在100万元以上的信息工程建设项目必须遵照本实施意见进行立项、招投标、监理、质量监督、验收”。2002年7月，北京市信息化工作办公室制定了《北京市信息系统工程监理管理办法（试行）》，要求“本市推行信息系统工程监理制度，建设单位应当通过协议或者招标的方式优先选择具有相应资质等级的信息系统工程监理单位承担监理业务。各级财政全部补助或者部分补助以及为社会提供公共服务的重大信息化工程项目必须通过招标的方式选择信息系统工程监理单位，实行强制监理。”2002年11月，国家质量监督检验检疫总局公布《设备监理单位资格管理办法》，在该管理办法的21类设备工程专业中，涉及信息工程的共有三类，即信息网络系统、信息资源开发系统和信息应用系统。最近，在国家信息办和国家标准管理委员会直接领导下，信息化系统监理规范化项目正在加紧制定中，并且是作为电子政务标准化项目的一个子项目而提出的。预计在今年年底，监理规范就要完成，经过试用和修改后，将上升为国家标准。2002年12月，信息产业部在广泛征求意见和开展试点工作的基础上，正式颁布《信息系统工程监理暂行规定》，这标志着我国信息工程监理开始迈向科学化、专业化和规范化，也预示着在我国即将出现一个新的中介服务行业，将很快涌现一批监理机构和执业人员，从此信息系统工程监理工程师也将逐步成为国民经济和社会信息化的“警察”。
    但我国的信息系统工程监理目前仅仅是处在起步阶段，事实上根据对国内信息化应用程度较高的行业部门（如银行、证券、保险、气象、社保、旅游等）和部分大型企业（如华北制药、哈尔滨轴承集团、哈尔滨飞机制造企业、跃进汽车集团、我国石化等）30个样本作为调查对象的调查结果显示，对于大多数企业来说，项目监理是个新概念。只有30%的被调查者表示在某些信息化项目中使用过监理服务。在70%未使用过项目监理的被调查者中，5%表示听说过，95%表示知道建筑工程有监理，但在IT信息化项目中引入监理还是第一次听说。

 
     图1监理服务内容重要程度（引自胡敏《市场呼唤项目监理》）

    目前，我国还没有一套完善的IT项目监理制度，相应的监理法规、监理内容、收费标准等也都没有制定。特别是收费标准问题，大多数用户采用协商解决。以北京城域网项目的监理费为例，其采用了建筑行业的监理服务收费标准（2%10%），支付的服务费占整个项目资金支出的2%。广大用户也反映，项目监理的标准如何才能做到公正、科学，项目监理的工作流程是否也应该规范，如何界定和权衡监理公司、用户、IT厂商三方利益？监理过程中出了问题，该怎么办？，这一系列问题都需要不断探索。原北京市信息中心主任华平澜表示，只有使监理更加规范化，才能更好地推进监理工作，才能使信息系统的建设更加顺利。事实上，与建筑等其他发展很成熟的行业的监理相比，对IT项目的监理要难得多。并且由于信息技术是一个新兴技术，它本身还在不断发展和完善，因此，即使制定出的监理的内容和标准也不能僵化，需要不断地变更和完善。

     信息系统监理的基本理论

    信息系统监理的中心任务是科学地规划和控制工程项目的投资、进度和质量三大目标;监理的基本方法是目标规划、动态控制、组织协调和合同管理；监理工作贯穿规划、设计、实施和验收的全过程。信息工程监理正是通过投资控制、进度控制、质量控制以及合同管理和信息管理来对工程项目进行监督和管理，保证工程的顺利进行和工程质量。
    1、成本控制
    成本控制的任务，主要是在建设前期进行可行性研究，协助建设单位正确地进行投资决策；在设计阶段对设计方案、设计标准、总概（预）算进行审查；在建设准备阶段协助确定标底和合同造价；在实施阶段审核设计变更，核实已完成的工程量，进行工程进度款签证和索赔控制；在工程竣工阶段审核工程结算。
    2、进度控制
    进度控制首先要在建设前期通过周密分析研究确定合理的工期目标，并在实施前将工期要求纳入承包合同；在建设实施期通过运筹学、网络计划技术等科学手段，审查、修改实施组织设计和进度计划，做好协调与监督，排除干扰，使单项工程及其分阶段目标工期逐步实现，最终保证项目建设总工期的实现。
    3、质量控制
    质量控制要贯穿在项目建设从可行性研究、设计、建设准备、实施、竣工、启用及用后维护的全过程。主要包括组织设计方案评比，进行设计方案磋商及图纸审核，控制设计变更；在施工前通过审查承建单位资质等；在施工中通过多种控制手段检查监督标准、规范的贯彻；以及通过阶段验收和竣工验收把好质量关等。
    3、合同管理

 合同管理是进行投资控制、工期控制和质量控制的手段。因为合同是监理单位站在公正立场采取各种控制、协调与监督措施，履行纠纷调解职责的依据，也是实施三大目标控制的出发点和归宿。
    4、信息管理
    信息管理包括投资控制管理、设备控制管理、实施管理及软件管理。
    5、协调
    协调贯穿在整个信息系统工程从设计到实施再到验收的全过程。主要采用现场和会议方式进行协调。
    总之，三控两管一协调，构成了监理工作的主要内容。为完满地完成监理基本任务，监理单位首先要协助建设单位确定合理、优化的三大目标，同时要充分估计项目实施过程中可能遇到的风险，进行细致的风险分析与评估，研究防止和排除干扰的措施以及风险补救对策。使三大目标及其实现过程建立在合理水平和科学预测基础之上。其次要将既定目标准确、完整、具体地体现在合同条款中，绝不能有含糊、笼统和有漏洞的表述。最后才是在信息工程建设实施中进行主动的、不间断的、动态的跟踪和纠偏管理。

图2监理内容示意图

 

    信息系统监理的主要业务和依据

    1、信息系统监理的主要业务
    信息系统监理的主要业务范围有信息网络系统、信息资源系统、信息应用系统的新建、升级、改造工程。根据国内信息系统监理的实践，其涵盖计算机工程、网络工程、通信工程、结构化布线工程、智能大厦工程、软件工程、系统集成工程以及有关计算机和信息化建设的工程及项目。其业务内容具体如下：

    帮助建设单位做好项目需求分析，协助建设单位选择合适的承建单位；
    审定承建单位的开工报告、系统实施方案、施工进度计划；
    对项目实施的各个阶段进行有效的监督和控制，帮助建设单位控制工程进度、投资和质量；
    审查和处理工程变更；
    参与工程质量和其他事故调查；
    调解建设单位与承包单位的合同争议，处理索赔、审批工程延期；
    组织进行竣工验收测试。
    组织建设单位和承建单位完成工程移交。

     2、信息系统监理的依据
    信息系统监理的依据如下：
    国务院颁发的《质量振兴纲要》；
    现行国家、各省、市、自治区的有关法律、法规、规定；
    国际、国内IT行业质量标准规范；
    建设单位和承建单位的合同；
    将来还有国家标准，例如《信息化工程监理规范》等。
    信息系统监理的程序

图3信息系统监理的程序

    信息系统工程监理的特点是全过程监理，主要包括四个阶段的监理工作：招投标阶段、设计阶段、实施阶段、验收阶段。监理的目标、方法和程序都体现在这四个阶段的监理工作中。

     信息系统审计
    信息系统审计概念

    信息系统审计是全部审计过程的一个部分，信息系统审计（ISaudit）目前还没有固定通用的定义，美国信息系统审计的权威专家RonWeber将它定义为“收集并评估证据以决定一个计算机系统（信息系统）是否有效做到保护资产、维护数据完整、完成组织目标，同时最经济的使用资源”。

    信息系统审计的目的是评估并提供反馈、保证及建议。其关注之处可被分为如下三类：
    可用性——商业高度依赖的信息系统能否在任何需要的时刻提供服务？信息系统是否被完好保护以应对各种的损失和灾难？
    保密性——系统保存的信息是否仅对需要这些信息的人员开放，而不对其他任何人开放？
    完整性——信息系统提供的信息是否始终保持正确、可信、及时？能否防止未授权的对系统数据和软件的修改？

     信息系统审计产生动因及其发展

    1、信息系统审计产生动因分析
    关于信息系统审计的产生动因，目前国际上存在两种观点：一种观点认为是从会计审计发展到计算机审计再发展到信息系统审计（计算机审计的范围扩展，最后涵盖整个信息系统）演变过来的；另外一种认为由于信息系统尤其是大型信息系统的建设是一项庞大的系统工程，它投资大、周期长、高技术、高风险，在系统的建设过程中，对工程进行严格、规范的管理和控制至关重要。而正是由于信息系统工程所具有的这些特点，建设单位往往由于技术力量有限，无力对项目的技术、设备、进度、质量和风险进行控制，无法保证项目的实施成功。所以需要有第三方进行独立审计。
    2、信息系统审计在国际上的发展
    信息系统审计的发展是伴随着信息技术的发展而发展的。在数据处理电算化的初期，由于人们对计算机在数据处理中的应用所产生的影响没有足够的认识，认为计算机处理数据准确可靠，不会出现错弊，因而很少对数据处理系统进行审计，主要是对计算机打印出的一部分资料进行传统的手工审计。随着计算机在数据处理系统中应用的逐步扩大，利用计算机犯罪的案件不断出现，使审计人员认识到要应用计算机辅助审计技术对电子数据处理系统本身进行审计，即EDI审计。同时随着社会经济的发展，审计对象、范围越来越大，审计业务也越来越复杂，利用传统的手工方法已不能及时完成审计任务，必须应用计算机辅助审计技术（CAATs）进行审计。八十年代、九十年代信息技术的进一步发展与普及，使得企业越来越依赖信息及产生信息的信息系统。人们开始更多的关注信息系统的安全性、保密性、完整性及其实现企业目标的效率、效果，真正意义的信息系统审计才出现。随着电子商务的全球普及，信息系统的审计对象、范围及内容将逐渐扩大，采用的技术也将日益复杂。到目前为止，信息系统审计在全球来看，还是一个新的业务，从美国五大会计师事务所的数据看1990年拥有信息系统审计师12名到近百名，1995年已有500名，到2000年时，信息系统审计师正以40%——50%的速度增加，说明信息系统审计正逐渐受到重视。
    美国在计算机进入实用阶段时就开始提出系统审计（SYSTEMAUDIT），从成立电子数据处理审计协会（EDPAA后更名为ISACA）以来，从事系统审计活动已有三十多年历史，成为信息系统审计的主要推动者，在全球建有一百多个分会，推出了一系列信息系统审计准则、职业道德准则等规范性文件，并开展了大量的理论研究，IT控制的开放式标准COBIT（ControlObjectivesforInformationandRelatedTechnology）已出版了第三版。
    3、信息系统审计在国内的发展
    目前国内有学者提出计算机审计，电算化审计，但基本上停留在对会计信息系统的审计上，延伸手工会计信息系统审计，尚未全面探讨信息时代给审计业务带来的深刻变化。以我国在1999年颁布了独立审计准则第20号——计算机信息系统环境下的审计为例，其更多关注的是会计信息系统。在信息时代，面对加入WTO后全球一体化市场，我国IT服务业面临巨大的挑战，开展信息系统审计业务不失为推动我国IT服务业发展的一次绝佳机会。

     信息系统审计的理论基础

    信息系统审计不仅仅是传统审计业务的简单扩展，信息技术不单影响传统审计人员执行鉴证业务的能力，更重要的是公司和信息系统管理者都认识到信息资产是组织最有价值的资产，和传统资产一样需要控制，组织同时需要审计人员提供对信息资产控制的评价。因此信息系统审计是一门边缘性学科，跨越多学科领域。
    如图3所示，信息系统审计是建立在四个理论基础之上的：
    传统审计理论。传统审计理论为信息系统审计提供了丰富的内部控制理论与实践经验，以保证所有交易数据都被正确处理。同时收集并评价证据的方法论也在信息系统审计中广泛应用，最为重要的是传统审计给信息系统审计带来的控制哲学，即用谨慎的眼光审视信息系统在保护资产安全、保证信息完整，并能有效地实现企业目标的能力。
    信息系统管理理论。信息系统管理理论是一门关于如何更好地管理信息系统的开发与运行过程的理论，它的发展提高了系统保护资产安全、保证信息完整，并能有效地实现企业目标的能力。
    行为科学理论。人是信息系统安全最薄弱的环节，信息系统有时会因为人的问题而失败，比如对系统不满的用户故意破坏系统及其控制。因此审计人员必须了解哪些行为因素可能导致系统失败。这方面行为科学特别是组织学理论解释了组织中产生的“人的问题”。
    计算机科学。计算机科学本身的发展也在关注如何保护资产安全、保证信息完整，并能有效地实现企业目标。但是技术是一把双刃剑，计算机科学的发展可以使审计人员降低对系统组件可靠性的关注，信息技术的进步也可能启发犯罪，例如一个重要的问题是信息技术在会计制度中的应用是否给罪犯提供了较多缓冲时间？如果是，那么今天网络犯罪产生的社会威胁较以往任何时候都要大。

图4 ：IS审计的理论基础 

     信息系统审计的基本业务和依据

    1、信息系统审计的基本业务
    信息系统审计业务将随着信息技术的发展而发展，为满足信息使用者不断变化的需要而增加新的服务内容，目前基本业务如下：
    系统开发审计，包括开发过程的审计、开发方法的审计，为IT规划指导委员会及变革控制委员会提供咨询服务；
    主要数据中心、网络、通讯设施的结构审计，包括财务系统和非财务系统的应用审计；
    支持其他审计人员的工作，为财务审计人员与经营审计人员提供技术支持和培训；

    为组织提供增值服务，为管理信息系统人员提供技术、控制与安全指导；推动风险自评估程序的执行；
    软件及硬件供应商及外包服务商提供的方案、产品及服务质量是否与合同相符审计；
    灾难恢复和业务持续计划审计；
    对系统运营效能、投资回报率及应用开发测试审计；
    系统的安全审计；
    网站的信誉审计；
    全面控制审计等。
    一个信息系统不等同于一台计算机。今天的信息系统是复杂的，由多个部分组成以做出商业解决方案。只有各个组成部分通过了评估，判定安全，才能保证整个信息系统的正常工作。对一个信息系统审计的主要组成部分分成以下几类：
    信息系统的管理、规划与组织——评价信息系统的管理、计划与组织方面的策略、政策、标准、程序和相关实务。
    信息系统技术基础设施与操作实务——评价组织在技术与操作基础设施的管理和实施方面的有效性及效率，以确保其充分支持组织的商业目标.
    资产的保护——对逻辑、环境与信息技术基础设施的安全性进行评价，确保其能支持组织保护信息资产的需要,防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失。
    灾难恢复与业务持续计划——这些计划是在发生灾难时，能够使组织持续进行业务,对这种计划的建立和维护流程需要进行评价。
    应用系统开发、获得、实施与维护——对应用系统的开发、获得、实施与维护方面所采用的方法和流程进行评价，以确保其满足组织的业务目标。
    业务流程评价与风险管理——评估业务系统与处理流程，确保根据组织的业务目标对相应风险实施管理。
    2、信息系统审计的依据
     信息系统审计师须了解规划、执行及完成审计工作的步骤与技术，并尽量遵守国际信息系统审计与控制协会的一般公认信息系统审计准则、控制目标和其他法律与规定。
    一般公认信息系统审计准则——包括职业准则、ISACA公告和职业道德规范。职业准则可归类为：审计规章、独立性、职业道德及规范、专业能力、规划、审计工作的执行、报告、期后审计。ISACA公告是信息系统审计与控制协会对信息系统审计一般准则所做的说明。ISACA职业道德及规范提供针对协会会员或信息系统审计认证（CISA）持有者有关职业上及个人的指导规范。
    信息系统的控制目标——信息系统审计与控制协会在1996年公布的COBIT（ControlObjectivesforInformationandrelatedTechnology）被国际上公认是最先进、最权威的安全与信息技术管理和控制的标准，目前已经更新至第三版。它在商业风险、控制需要和技术问题之间架起了一座桥梁，以满足管理的多方面需要。面向业务是COBIT的主题。它不仅设计用于用户和审计师，而且更重要的是可用于全面指导管理者与业务过程的所有者。商业实践中越来越多的包含了对业务过程所有者的全面授权，因此他们承担着业务过程所有方面的全部责任。特别的是，这其中包含着要提供足够的控制。Cobit框架为业务过程所有者提供了一个工具，以方便他们承担责任。其框架包括四大部分：架构、控制目标、审计指南及执行概要。COBIT架构着重各项处理的高层次控制，控制目标则着重于各项IT处理或对该架构所包括的34项IT处理的特定详细控制目标，每一项IT处理都有5至25个详细控制目标，控制目标使整体架构和详细控制目标密切对应，相互一致。详细控制目标有18种主要来源，涵盖现行的及法定有关IT的国际性准则与规定。这包括对各项IT工作所建置的控制程序拟达到的预期结果或目标的叙述，以提供全球所有的产业有关IT控制的明确方针及实际最佳的应用。

    其他法律及规定。每个组织不论规模大小或属于何种产业，都需要遵守政府或外部对与电脑系统运作、控制，及电脑、程序、信息的使用情况等有关的规定或要求，对于一向受严格管制的行业，尤其要注意遵守。以国际性银行为例，若因不良备份及复原程序而无法提供适当的服务水准，其公司及员工将受严重处罚。此外，由于对EDP及信息系统的依赖性加重，许多国家极力建立更多有关信息系统审计的规定。这些规定内容是关于建置、组织、责任与财务及业务操作审计功能的关联性。有关的管理阶层人员必须考虑与组织目标、计划及与信息服务部门/职能/工作的责任及工作等有关的外部规定或要求。

     信息系统审计流程

    开始审计工作的准备包括收集背景信息，估计完成审计需要的资源和技巧。包括合理进行人员分工。与负责的高级经理举行一次正式的开始审计会议，最后决定范围，理解特别关注之处，如果有的话，制定日程，解释审计方法。这样的会议有高级经理的参与，使人们互相认识，阐明问题强调商业关注点，使得审计工作得以顺利进行。类似的，在审计完成后，也召开一次正式会议，向高级经理交流审计结果，提出改进建议。这将确保进一步的理解，增加审计建议的接纳程度。也给了被审计者一个机会来表达他们对提出问题的观点。会议之后书写报告，可以大大增加审计的效果。
     开始审计工作预备工作了解内部控制结构评价控制风险是否信赖内部控制？是否仍可信赖内部控制？内部控制测试评价控制风险是否提高内部控制的信赖程度？扩大实质性测试有限的实质性测试形成审计意见出具审计报告是否是是否结束否
    基于风险的审计方法
    很多组织意识到技术能带来的潜在好处。然而，成功的组织还能够理解和管理好与采用新技术相关的很多风险。因此，审计从基于控制（ControlBased）演变为基于风险（RiskBased）的方法,其内涵包括企业风险、确定风险、风险评估、风险管理、风险沟通。
    每个组织使用许多信息系统。对不同功能和活动有不同的应用软件，在不同的地理区域可能有众多的计算机配置。审计者面临的问题是审计什么，什么时候及审计频率。其答案是接纳基于风险的方法。信息系统有着与生俱来的风险，这些风险用不同方式冲击信息系统。对繁忙的零售超市，信息系统哪怕一个小时的不可用都会对营业系统造成严重影响。未授权的修改可能造成对在线银行系统的欺诈及潜在损失。系统运行的技术环境也可能影响系统的运行风险。
    基于风险方法来进行审计的步骤是：
    编制组织使用的信息系统清单并对其进行分类。
    决定哪些系统影响关键功能和资产。
    评估哪些风险影响这些系统及对商业运做的冲击。
    在上述评估的基础上对系统分级，决定审计优先值，资源，进度和频率。审计者可以制定年度审计计划，罗列出一年之中要进行的审计项目。

     信息系统监理与信息系统审计之对比分析

    从前面两部分的介绍可知，信息系统审计在国际上已经体系化、标准化、程序化，而 我国信息系统监理仅有最基本的轮廓，积累了一些经验，但尚没有形成完整的方法论。因此，目前只能从概念、发展动因等方面做较为宽泛的对比。不过，对比国际通用体系，可为我国发展信息系统监管体系以及制定相应的管理制度或实施细则提供借鉴。
    信息系统监理与信息系统审计之对比，可归纳出以下特点：
    两者性质相同，都是第三方监督，但对独立性的要求有差别。
    两者都是立足在第三方的立场，公平对待委托方与被监督方，并要求确保公正性、公平性，以《北京市信息系统工程监理管理办法》为例，其第十四条是“信息系统工程监理单位应当客观、公平、公正地执行监理任务”，但是对这一行业赖以存在并得以发展的信条和灵魂——独立性没做明确要求。而信息系统审计对第三方的超然独立要求极其严格，也因此在保证客观、公正上更有可操作性。
    客观公正应当是每个信息系统审计师和监理工程师职业道德方面追求的最高目标，但是人们很难衡量其在执行业务时是否已经达到了客观公正，如果只作精神上的要求，那么准则和要求将变成牧师的布道，职业人员很难执行，社会公众很难观察，所以信息系统审计准则中有关于审计师独立性的要求。有关独立性问题的系统研究当首推罗伯特.K.莫茨（R.K.Mautz）和侯赛因.A.夏拉夫（H.A.sharaf）1961年出版的《审计哲学》（ThephilosophyofAuditing）。其中对独立性的讨论包含了两个方面：执业者的独立性(Practitionerindependence)和职业的独立性（Professionindependence）。前者包括审计计划的独立性、审计过程的独立性和审计报告的独立性；后者则是指社会公众对注册会计师行业的一种印象。曾任美国注册会计师协会职业道德委员会主席的托马斯.G.希金斯（ThomasGHiggins）在1962年对独立性概念又进行了进一步的提升与概括，他认为：“注册会计师必须拥有的独立性，实际上有两种，实质上的独立性和形式上的独立性”。所谓形式上的独立性，是指注册会计师必须与被审查企业或个人没有任何特殊的利益关系，如不得拥有被审查企业股权或担任其高级职务，不能是企业的主要贷款人、资产受托人或与管理当局有亲属关系，等等。否则，就会影响注册会计师公正地执行业务。形式上的独立性又可进一步分为组织上的独立性、经济上的独立性与人员上的独立性三种。所谓实质上的独立性，又称为精神独立性，即认为独立性是一种精神状态、一种自信心以及在判断时不依赖和屈从于外界的压力和影响。它要求注册会计师在执业过程中严格保持超然性，不能主观袒护任何一方当事人，尤其不应使自己的结论依附或屈从于持反对意见利益集团或人士的影响和压力。由上可知，实质上的独立性是无形的，通常是难以观察和度量的，而形式上的独立性则是有形的和可以观察的。社会公众通常是透过注册会计师形式上的独立性来推测其实质上的独立性。因此，从这个意义上来说，形式上的独立性是实质上的独立性的载体和重要前提。由此可见，形式上独立很重要，因为它很好界定，便于准则规范，在现实环境中有很好的可执行性。因此我们认为，信息系统监理行业如果不能在独立性的制度建设上取得重大突破，整个行业的社会信任度大打折扣，而诚信和道德水准的提升对制度缺陷的修正也会很难在实质上取得成效。信息系统监理行业发展中所面临的各种问题都很重要，但围绕信息系统监理职业独立性的建设可能是各项工作中的重中之重。（本文对注册会计师的讨论同样适用于信息系统审计师）。

     国外信息系统审计已经发展为较完善的行业监督体系。

    目前国内信息系统审计刚刚起步，而信息工程监理还不够规范。国家缺乏相应的法律、法规和标准，至今还没有有效的管理手段，在委托方和被委托方之间也没有一种协调的机制来建立两者之间的信任。并且我国行业不规范的责任往往被轻易地归咎于政府监管的不力；同样轻易得到的结论，是因此要“加强监管机构的权力和范围”。美国的会计行业规范不是这么一种逻辑。在规范行业行为中，政府监管是一个重要的辅助措施；而真正起决定性作用的，是市场中的制衡力量，以及为这些制衡力量切实发挥作用而形成的各种正式 或非正式的制度安排。
    美国注册会计师行业的管理机制——行业自我管理和外部约束向结合发挥了重要作用。行业自我管理是通过行业组织、准则和规则、监督来实现的，行业外部约束通过政府组织、准则和规则、监督和实施来实现。如美国国会和SEC监管下的行业自律。外部监管以加强管制的可能性来对行业施加约束。而较强的行政管制，将在很大程度上限制会计行业自主发展的权利和业务拓展空间，损害所有从业者的利益，因此行业总体上需要以行业自律来换取行业自我管制。如果行业不能自律，公众要求国会加强行政管制的压力使得这种可能性现实存在。
    两者业务范围和目的均有所差别。
    信息系统工程监理和信息系统审计都是对质量控制的再控制，但两者业务范围和目的均有所差别。
    1、两者业务范围差别
    信息系统工程监理是指具有信息系统工程监理资质的单位，接受建设单位的委托，依据国家和本市有关规定、信息系统工程建设标准和工程承建、监理合同，对信息系统工程的质量、进度和投资方面实施监督。目前主要应用在信息化工程建设阶段。
    信息系统审计是一个获取并评价证据，以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。它是立足于组织的战略目标，为有效的实现组织战略目标而采取的一切活动过程都在审计师的业务之内。其业务范围包括与信息系统有关的所有领域，例如信息系统安全审计、网誉审计、PKI/CA审计、电子签名审计业务等。
    2、两者目的差别
    信息系统工程监理的目的是保证工程建设质量、进度和投资额满足建设要求。监理活动随着工程的完成而结束。信息系统审计的目的是合理保证信息系统能够保护资产的安全、数据的完整、系统有效地实现组织目标并有效率的利用组织资源，其核心是信息系统的效率、效果。不仅包括对建设过程的审计，更重要的是对信息系统的运营审计，向公众出具审计报告，鉴证信息系统能否保护企业资产安全，其产生、传递的信息是否完整，整个系统是否有效地实现组织目标并有效率的利用组织资源。只要信息系统在运行，审计活动一直存在。
    另外，信息系统工程监理的过程是可见的，即对项目成本、进度和质量与目标出现的偏差是可见的，及时纠正也方便。但信息系统审计对信息系统的安全性、可靠性与有效性的认定具有不可见性，这也正是信息系统比工程项目复杂的主要原因。信息系统建设完毕，这仅仅是信息化的开始，大量的问题将出现在信息系统运维阶段，因此，从这个角度而言，信息系统审计是保证信息系统质量的行之有效的方法。

     信息系统审计与方法研究具有科学化、规范化、智能化和系统化的特点。

    所谓科学化，是指现代审计技术与方法的研究，已经超越了传统的经验论，非常强调把科学手段和经验总结相结合。比较典型的例子就是分析性复核技术的发展。所谓分析性复核，其实质就是将审计人员掌握的一些客观规律总结出来，测算出被审计事项的合理预期值，再与被审计事项的实际值相比较，进一步评估差异的合理性之后，确定是否还需要对被审计事项进行详细测试。这一个过程，实际上被许多审计人员不自觉地运用了多年，但通过公式和比率等形式总结出来，主动指导审计人员的实践，却是最近２０年来审计技术与方法研究的一大突出特点。科学化的另一个表现就是数学和统计学技术在审计中的运用日益广泛，抽样统计技术的全面推广就是例证。
    所谓规范化，是指审计机构将审计程序设计与审计技术方法的运用有机结合，规范和引导审计人员运用适当的审计技术和方法。以往，审计人员在运用审计技术和方法的过程中容易有较大的随意性，用与不用，在什么时候用，如何使用，都没有规范和约束，导致整个审计机构的标准不统一，质量没有保证。随着程序导向式审计软件平台的开发和广泛运用，越来越多的审计机构开始把审计技术与方法融入到规范的审计程序之中，要求并指导审计人员合理运用审计技术。
    所谓智能化，强调的就是将历史经验总结、科学规律推导和审计人员的专业判断结合起来，指导审计人员得出合理的审计结论。在审计过程中，数学、统计学的分析结果，都不能完全替代审计人员的专业判断，因为在其利用的数学公式中，仍然有许多变量需要审计人员主观确定。在这种情况下，越来越多的审计机构，倾向于在审计软件中为审计人员的决策提供参考。目前，许多审计机构不惜花巨资，邀请审计领域的专家，分析在各种情况下常见的审计策略或方法以及对不同审计结果的判断标准。当然，对审计而言，智能化永远都是一个相对的概念，电脑和机器永远不能替代审计人员的决策，但提供决策辅助和参考意见，确实非常必要。
    所谓系统化，是指审计战略（策略）和审计技术方法的全面协调。审计战略（策略）解决的是要审什么、想达到什么目的，审计技术和方法解决的是怎么审和怎么达到目的，这两者的协调是审计技术与方法的研究成果得以全面运用的关键。回顾最近２０多年来审计技术与方法的研究历程，可以清晰地发现，审计技术的研究和运用完全是在风险基础审计理论指导下的开拓和发展，而脱离理论指导的实践经验总结相对越来越少。这一点给我们的启示在于，审计技术与方法的研究，不能超越基本审计理论和审计目标的研究，也不能脱离审计战略和审计目标的总体要求。

     信息系统审计具有较完善的职业教育和认证体系。

    国际信息系统审计与控制协会ISACA（InformationSystemAuditandControlAssociation）是唯一有权授予国际信息系统审计师资格的跨国界、跨行业专业机构，该协会成立于1969年，总部在美国的芝加哥。目前在世界上100多个国家设有160多个分会，现有会员两万多人。注册信息系统审计师CISA（CertifiedInformationSystemAuditor）资格由ISACA授予，是信息系统审计领域的唯一职业资格，受到全世界的广泛认可。由于信息技术的国际性，国际信息系统审计师资格在世界任何一个国家的使用都不会受到任何制约。自1978年以来，国际信息系统审计师CISA认证已经成为在信息系统审计、控制与安全专业领域中取得成绩的标准，并得到了全世界的公认。在世界各地，每年都要举行一次认证考试和若干次后续教育，目前在我国香港、台湾、北京、上海、广州、深圳设有考点。经过认证的信息系统审计师最擅长鉴别信息系统的有效性，最安全和最稳定的系统不一定是最有效的系统，而效率不高的系统就会消耗企业大量的资源，信息系统审计师的优势就是对财经管理和信息技术融会贯通，为企业信息系统的改造提供建议。
    鉴于信息安全市场的高速增长，最近国际信息系统审计与控制协会又迅速推出了信息安全管理师认证CISM，以配合市场对安全人才的巨大需求。
    
    对信息系统监理的建议

    目前，我国的信息系统监理业巨大的发展空间吸引着越来越多的国际咨询公司和专业服务提供商抢滩我国市场。据不完全统计，前在我国的海外咨询足有百余家。随着摩立特集团（我国）公司日前在北京成立，国际上最著名的咨询公司如麦肯锡、科尔尼、埃森哲、BCG、PWC、罗兰贝格、德勤等皆已在我国登陆，给国内的咨询包括监理机构带来了巨大的压力，其丰富的案例库、数据库、知识库，数十甚至百年创下的品牌，短时期内本土咨询业与其的差距依然较大。
    面对机遇和挑战，如何借鉴国际上先进的经验，推动我国信息系统监理的健康发展，避免其他中介服务行业曾走过的弯路，我们在广泛的理论分析和实证研究的基础上提出如下具体建议：

     建立健全的管理体制与法律法规体系，尽快形成统一、规范、竞争、有序的信息系统工程监理服务市场。
    各级信息化主管部门，在规范政府管理职能的同时（政府部门要避免管的过多、过细，应过多关注整个监理市场的宏观管理和调控），注重加强行业自律管理，避免其他中介服务行业曾出现过的多种问题。例如，个别人凭借权利强行包揽监理业务，采取高回扣等不正当手段，以及为独揽业务，不惜损害其他方和当事人的权益等。
    鉴于信息系统工程监理具有专业性强和风险大的特点，建议把执业队伍的业务素质和职业道德素质的提高作为一项重要工作常抓不懈，使信息系统工程监理工程师真正成为国民经济和社会信息化的“警察”。

     尽快建立信息系统工程监理的标准和执业规范。
    推动信息系统工程监理工业的分化整合，探索信息系统工程监理公司扩大规模的方式和途径。在我国加入WTO的新形势下，面对国际IT服务咨询业巨头的竞争，我国信息系统工程监理行业刚起步，监理公司如何脱颖而出、迅速成长，参与国内甚至国际信息系统中介服务市场的竞争，将是重中之重的工作。

     开展信息系统工程监理公司内部管理机制研究。努力提高信息系统工程监理行业的监理质量。
    执业程序要统一。“四大”发展到今天这样的规模，执业程序的统一是其基石。这些程序历经多年的经验积累而形成，并针对新出现的问题随时加以完善。从某种意义上将，客户对“四大”的统一的执业程序的认同，超过了对其名称品牌的认同。
    培训统一。为保证执业程序的统一，首先要做到培训统一。信息系统监理工程师在开始执业前要经过严格的培训，定期培训当然更不可少。建议信息系统监理公司设立专门的培训部门，并将每年收入相当大的比重用于培训。另外，严格、规范的培训也是监理公司能够吸引众多高素质从业人员的一个重要因素。
    人事管理在一定范围内统一。建议将监理工程师的级别进行细分，并且不要出现一个地方的人员比另外一个地方同一级别的人员水平明显高的情况。这种管理方式，对于监理机构来说非常重要。
    总之，我国信息系统监理事业发展几年来，虽然取得了一定成绩，但在思想认识、理论研究、管理体制、法规建设及实际操作中仍存在诸多问题，监理企业面临前所未有的严峻挑战。但是机遇与挑战同在，我国本土的咨询和监理企业最了解我国的国情环境。我们要充分利用这一优势，发挥自身的能动力量，积极参与竞争，加强与国际同行的合作交流，借鉴国际咨询机构和专业服务提供商的经验、知识、规则乃至在实施过程中的具体方法，把我国的信息系统监理事业做稳、做实、做大，做出我国的监理和咨询品牌。

大型信息系统建设是一项投资大、周期长、知识密集、高风险的系统工程，行业新颖、人员年轻、科技含量高、智力密集、所涉及的领域宽广、对实践经验要求高。但目前信息系统工程的市场不规范、政策法规不完善、缺少监督监理机制，致使不成功的信息系统工程建设屡见不鲜。
保障信息系统工程签约双方的利益是保证我国计算机信息产业和信息系统工程顺利发展的重要方面。在新形势下，为了确保国家信息产业更加健康、有序地发展，为了使我国信息资源得到更充分的利用，对计算机信息系统工程建设进行有组织、规范化的监理，就显得更加重要。
一、信息系统工程监理的概念和内容
信息系统工程监理是监理方受业主方委托，代表业主的利益，保护投资、控制质量、确保进度；站在第三方的立场，公平对待工程各方，确保公正性、公平性、公开性。在实际操作中，我们把信息系统工程监理分为网络工程监理和软件工程监理。
所谓网络工程监理，是指在网络建设过程中，给用户提供建设前期咨询、网络方案论证、系统集成商的确定、网络质量控制等一系列的服务，帮助用户建设一个性价比最优的网络系统。
所谓软件工程监理，是参照软件工程的思想，对在建软件系统的整个软件生命周期进行的全过程监理；并给用户提供咨询、帮助建设运行制度等有益的服务项目，目的是帮助用户建设一个高质量的、具有可持续生命力的软件系统。
二、软件工程监理现况
近期流行这样一句话：软件就是服务。CCID在发布的2001-2002年中国软件市场研究年度报告中指出，2002年及以后几年的重点是建立软件服务评测体系和监理制度。可见，包括业主和软件提供商都认识到了软件质量对一个软件系统建设的重要性。软件工程监理逐渐会得到大家的共识和认同。
但软件工程监理的难度并非一般人所能想象的，下面从软件工程本身和监理依据两个方面来解释这一观点：
1．软件工程的特点及对监理人员的要求
软件工程技术含量高，是智力、知识密集型的产业；往往处于发展中的高科技领域，涉及当前最新的研究领域，有时会是多种科学技术领域的综合与交叉；与技术的继承程度相比，创新成分多，新开发的工作量大；工程类型广泛，涉及国民经济的各行各业。这些特点决定了从事软件工程的监理人员必须具有较高、较广的知识面，并且相对熟悉所涉及行业的领域知识。
软件工程不可预见成分高，风险程度大，监理人员必须认识到软件质量对用户的重要性。另外，用户需求随形势发展而容易发生急速变化，甚至有许多要求超过新技术的发展。监理人员必须能有效控制用户需求的不确定性对项目管理所带来的影响，另一方面，有时需要监理人员花费时间和精力收集资料，为用户提供前期咨询。
2．软件工程监理依据的缺乏
首先，计算机信息系统工程中缺少信息系统建设的规范及详细的成套标准，软件工程更是如此，监理人员对项目的控制可以参照的依据和标准不多。另外，国家在信息产业中还没有实行过信息系统工程建设监理制度，虽然有些城市已经开始制定信息产业工程监理的法制体系和管理结构体系，但很多地方还不完善。好在近几年有些研究机构和企业一直坚持从事着信息系统工程监理、包括软件工程监理的探索工作，这对创造一个有效的信息系统工程监理的大环境是巨大的推动。
对工程进行规范化管理，按标准规范开展工作是顺理成章的。而软件系统建设的实际情况较为复杂，由于技术更新快，标准规范常常滞后，如何坚持按软件工程的思想对项目进行有力的控制，这需要监理人员有很高的创新性。既能在情况复杂的条件下支持软件工程的思想对项目进行监督约束，又能做到合作协调，在目前没有更多的依据作参照的前提下，如何进行软件工程监理工作，是一个巨大的课题。
三、软件工程监理的几点探索
1．监理首要是咨询
监理首要是咨询。其次才是对工程的监督与控制。实践中表明这两点并不矛盾。深入的和具有说明力的咨询工作会引导监督与控制工作向着更健康、更协调的方面发展。需要强调一点：对工程技术文档的熟悉和理解。文档包括业主的需求报告、集成方的需求分析报告、概要设计、详设计等标识软件生命周期各阶段的文档。监理人员对工程项目的理解和把握很大部分通过这些文档实现。监理人员对这些文档所述内容的咨询、建议可以通过监理意见书的形式提交与业主和集成方。
2．全过程监理
著名的质量管理专家W.E.Deming认为，产品质量涉及到生产的所有环节，只有各个生产层面都不忽视质量，最后才能得到高质量的产品。监理人员对软件工程几个开发阶段如分析、设计、实施、测试等实施全过程监理，使影响系统质量的要素在开发过程中处于受控状态。
我们参考建筑工程监理的流程和规范制订软件工程监理的通用规划，根据软件工程开发规范和ISO90003标准制订软件开发和系统集成过程的监理规范。并根据工程的特点及需要，制定工程的监理依据，包括质量保证书等全局性依据和其他阶段性监理依据。
3．确定三方工作流程
由于软件开发独有的特点，监理方对工程细节的理解远不如集成方，为实施有效的监督控制工作，必须制定规范的三方工作流程，并征得业主同意。对某一个重要阶段，也有必要制定相应的三方工作流程。如针对子项开发与验收，我们制定了以下流程：
4．系统初验
软件系统的初验是监理工作在软件项目管理上的一个创新点，是人为地将软件试运行另外划分为一个新的阶段。它的目的在于尽可能快的和有效地解决用户对软件系统的不适应，增强软件的生命力。通过初验的形式，使集成方投入相对多的人力对系统进行完善。当然，如果业主与集成方事先有约定，可以作为分期付款的一个阶段。
初验应遵循严格的流程，这样才能体现出初验在全过程监理中的特殊作用。符合初验的系统（子项）应满足以下条件：1)集成方开发结束；2)监理方已经进行过阶段性验收；3)集成方进行相应的修改（若有必要）；4)监理已进行第二次针对性检验；5)子系统已经上线试运行；6)已上线一个月左右，已有用户反馈意见（视具体工程而定）。
四、案例
本人及所在的监理组在苏州河综合整治MIS（SSRCC-MIS）等软件工程的监理项目中进行了更多有益的探索。实践证明，这些探索是科学的、有效的，有力地提高了用户满意度，提高了监理公司的理论和实践水平，也会对软件工程监理的健康、科学的发展有一定的启发。