ＩＴ治理導(dǎo)入模型研究

［摘 要］ SOX法案的頒布使得公司治理再度成為世界的關(guān)注點(diǎn)，如何進(jìn)行有效的IT 治理并以此提升公司治理水平成為亟待解決的問題。本文從IT 治理的涵義出發(fā)，構(gòu)建了一個將IT治理內(nèi)容與流程相結(jié)合的IT 治理導(dǎo)入模型，進(jìn)而對模型中的各主要元素進(jìn)行深入的分析，并給出了具體的方法和工具。本文對我國企業(yè)提升公司治理和IT治理水平具有積極的理論和實(shí)踐指導(dǎo)意義。

［關(guān)鍵詞］ IT 治理；導(dǎo)入模型；公司治理；COBIT

［中圖分類號］F270.7［文獻(xiàn)標(biāo)識碼］A［文章編號］1673-0194（2008）16-0082-03

一、 公司治理的新挑戰(zhàn)

安然公司、世界通訊公司財(cái)務(wù)丑聞的相繼爆出，以及《薩班斯法案》（SOX）的推出，使公司治理再次成為世界性的關(guān)注點(diǎn)。新頒布的SOX法案要求上市公司提高透明度，提高公布信息的質(zhì)量，加強(qiáng)信息披露，完善公司治理水平，保護(hù)投資者的利益。尤其是SOX法案的302、404以及409等條款，對IT一般性控制和應(yīng)用系統(tǒng)/業(yè)務(wù)流程層面的自動控制提出了明確的要求，凸顯了IT治理在公司治理機(jī)制中的作用。

IT治理不但是完善公司治理的利器，也是當(dāng)今法律法規(guī)的必然要求。沒有相應(yīng)IT治理機(jī)制的公司治理，無法提高公司治理水平，無法滿足SOX法案的嚴(yán)格要求。

如何從信息技術(shù)（IT）中獲得最大化的商業(yè)價值，充分利用信息資源，避免“信息孤島”、信息系統(tǒng)與業(yè)務(wù)相脫離等問題，并控制信息化建設(shè)過程中的風(fēng)險，是IT治理的主題，也是公司治理面臨的嶄新而迫切的任務(wù)，也是本文將要探討的主要問題。

二、 IT 治理的涵義

麻省理工學(xué)院（MIT）信息系統(tǒng)研究中心的 Peter Weill教授等認(rèn)為：“IT治理是在IT應(yīng)用過程中，為鼓勵期望行為而明確的決策歸屬和責(zé)任擔(dān)當(dāng)框架”。他們認(rèn)為，對任何一個企業(yè)來說，IT治理包含以下5個關(guān)鍵IT決策問題：IT原則、IT架構(gòu)決策、IT基礎(chǔ)設(shè)施決策、業(yè)務(wù)應(yīng)用需求決策和IT投資優(yōu)先順序決策。而IT 治理就是要明確由誰做這些決策，并承擔(dān)相應(yīng)的責(zé)任。

從以上定義可以看出，IT治理要從制度層面和組織架構(gòu)入手，構(gòu)建一系列的政策、流程和程序，使IT目標(biāo)符合企業(yè)戰(zhàn)略目標(biāo)，企業(yè)從IT中獲得最大的商業(yè)價值。同時，明確IT建設(shè)中各項(xiàng)決策的歸屬權(quán)及責(zé)任，合理利用組織的信息資源，并對IT 建設(shè)中的相關(guān)風(fēng)險加以管理和控制。

三、 IT 治理導(dǎo)入模型

IT 治理在世界范圍內(nèi)還是一個嶄新的領(lǐng)域，IT治理首先由Loh and Venkatraman（1992）提出，Brown（1997）提出“IS治理框架”，Sambamurthy and Zmud（1999）將其發(fā)展成為“IT治理框架”，此后IT治理才真正成為世界研究熱點(diǎn)。

對于IT 治理的相關(guān)要素及治理框架都有一些研究，但對于公司應(yīng)該如何系統(tǒng)性地導(dǎo)入IT 治理的研究還很少，本文試圖將IT 治理的內(nèi)容與IT 治理的流程結(jié)合起來，構(gòu)建一個公司IT 治理導(dǎo)入模型，幫助公司有效地實(shí)施IT 治理。導(dǎo)入模型如圖1所示。

1. 制定企業(yè)發(fā)展戰(zhàn)略

首先，一個公司要生存和發(fā)展必須要有自己的企業(yè)目標(biāo)。為了實(shí)現(xiàn)戰(zhàn)略目標(biāo)，公司必須制定自己的發(fā)展戰(zhàn)略，在發(fā)展戰(zhàn)略中，公司建立了自己的組織，制定了自己的業(yè)務(wù)運(yùn)作模式和競爭策略，以及與公司戰(zhàn)略和組織相匹配的IT 發(fā)展戰(zhàn)略，以支持公司業(yè)務(wù)更好地發(fā)展。可以說，企業(yè)的發(fā)展戰(zhàn)略和競爭策略決定了公司的IT發(fā)展戰(zhàn)略，公司的IT 發(fā)展戰(zhàn)略必須要與公司的戰(zhàn)略目標(biāo)相匹配和協(xié)調(diào)一致。這是IT 治理的第一步，也是最重要的一步。

2. 制定5個關(guān)鍵決策

為了有效地制定ITF規(guī)劃，取得良好的治理效果，公司必須制定以下5個關(guān)鍵決策：

IT原則。它是關(guān)于IT在公司如何運(yùn)用的一系列最高陳述。它體現(xiàn)了公司IT價值和目標(biāo)，并指導(dǎo)戰(zhàn)術(shù)上的決策，以及IT以何種方式支持組織的運(yùn)營。

IT架構(gòu)。根據(jù)公司的IT原則，需要構(gòu)建公司的數(shù)據(jù)、應(yīng)用程序以及基礎(chǔ)設(shè)施的組織邏輯，對流程和數(shù)據(jù)的標(biāo)準(zhǔn)化程度進(jìn)行定義。它是對組織運(yùn)營支持的具體實(shí)現(xiàn)。

IT基礎(chǔ)設(shè)施。IT基礎(chǔ)設(shè)施可以為多個應(yīng)用提供共享的、基礎(chǔ)的服務(wù)。企業(yè)的基礎(chǔ)設(shè)施通常包括無線通訊網(wǎng)絡(luò)服務(wù)、大規(guī)模計(jì)算和管理、共享數(shù)據(jù)的管理、新技術(shù)的研發(fā)以及內(nèi)聯(lián)網(wǎng)等。

業(yè)務(wù)應(yīng)用需求。企業(yè)的業(yè)務(wù)應(yīng)用決策直接為企業(yè)帶來價值。企業(yè)應(yīng)該根據(jù)公司的價值鏈，識別出企業(yè)的核心流程，確定哪些流程可以為企業(yè)帶來最大價值，從而將戰(zhàn)略系統(tǒng)的應(yīng)用集中在這些流程上。需要強(qiáng)調(diào)的是，企業(yè)的各單位業(yè)務(wù)系統(tǒng)的應(yīng)用，不能破壞整個企業(yè)的IT架構(gòu)。

IT投資和優(yōu)先順序。IT在不同的企業(yè)中扮演不同的戰(zhàn)略角色，應(yīng)該根據(jù)公司的發(fā)展戰(zhàn)略決定IT的投資順序和額度，并隨公司的發(fā)展戰(zhàn)略的變化而變化。

這5個決策是相互作用、相互影響的。任何一個都不能單獨(dú)決策，必須聯(lián)系起來綜合考慮。IT原則是最重要的，它闡明了企業(yè)的IT目標(biāo)，決定了其他決策的方向；IT架構(gòu)決策把IT原則轉(zhuǎn)化為清晰愿景，從而幫助企業(yè)實(shí)現(xiàn)其商業(yè)目標(biāo)；IT基礎(chǔ)設(shè)施和應(yīng)用決策是由原則、架構(gòu)和投資標(biāo)準(zhǔn)決定的。

3. 建立IT 治理組織、治理安排及實(shí)現(xiàn)機(jī)制

（1） 建立IT 決策組織，明確治理安排

明確了IT治理需要制定哪些決策之后，還需要確定這些決策由誰來制定。在企業(yè)中通常可能由高層管理委員會（由一群CxOs 組成）或IT管理委員會（由公司和各業(yè)務(wù)部門的IT專家組成）、高管會與業(yè)務(wù)部門聯(lián)手、高管會與IT部門聯(lián)手決策。安排框架如表1所示，說明了由誰負(fù)責(zé)那項(xiàng)決策，由誰提供決策所需的信息。

IT原則的治理安排。在IT原則的決策中，絕大多數(shù)企業(yè)采用了由IT專業(yè)人員和CxO們組成的高管會共同決策的治理模式。這種模式可以確保IT與公司的業(yè)務(wù)戰(zhàn)略一致，使公司的IT原則具有一定的前瞻性。單獨(dú)由高管會或IT部門來做出決策，都面臨著巨大的風(fēng)險。

IT架構(gòu)的典型治理安排。超過70%的企業(yè)由IT部門負(fù)責(zé)將公司的IT原則轉(zhuǎn)化為支持企業(yè)戰(zhàn)略的IT架構(gòu)，同時由各業(yè)務(wù)部門提供所需要的信息。這樣業(yè)務(wù)部門的需求就可以糅進(jìn)企業(yè)的IT架構(gòu)中，保證企業(yè)的IT架構(gòu)符合企業(yè)的目標(biāo)。

IT基礎(chǔ)設(shè)施的典型治理安排。IT基礎(chǔ)設(shè)施的決策和IT架構(gòu)一樣，約有60%的企業(yè)由IT部門制定。決策所需要的信息來源于各業(yè)務(wù)部門的需求。

業(yè)務(wù)應(yīng)用需求的典型治理安排。對于IT業(yè)務(wù)應(yīng)用需求的決策，由高管會與業(yè)務(wù)部門或高管會與IT部門聯(lián)合決策的形式較多。由高管會與業(yè)務(wù)部門共同決策，可以將部門的應(yīng)用需求與企業(yè)的目標(biāo)相結(jié)合。由高管會與IT部門共同決策的方式，需要各業(yè)務(wù)部門將各自的需求匯報(bào)到IT部門，IT部門將各部門的共同需求制定出共同的解決方案。這樣，一方面可以為企業(yè)節(jié)約大量的資金，另一方面，增強(qiáng)了技術(shù)標(biāo)準(zhǔn)和現(xiàn)有的IT基礎(chǔ)設(shè)施能力對應(yīng)用選擇的影響力。

IT投資和優(yōu)先級的典型治理安排。對IT投資和優(yōu)先級的決策主要有：由高管會決策、由高管會與業(yè)務(wù)部門或與IT部門共同決策3種形式。每種方法的著眼點(diǎn)各不相同。高管會主要負(fù)責(zé)整個資金預(yù)算和項(xiàng)目優(yōu)先級的決策。對于企業(yè)與各業(yè)務(wù)部門的需求平衡則由高管會與業(yè)務(wù)部門共同決策；高管會與IT部門聯(lián)合決策可以保證公司有限的資金得到最合理的使用，并保證最急需的項(xiàng)目能夠順利進(jìn)行。

（2） 建立IT 治理的實(shí)現(xiàn)機(jī)制

有了治理安排，企業(yè)還需要一系列的治理機(jī)制來實(shí)現(xiàn)及監(jiān)控這些安排。設(shè)計(jì)周詳?shù)?、容易理解和清晰的機(jī)制，可以較好地實(shí)現(xiàn)IT治理。反之，治理安排則不會實(shí)現(xiàn)預(yù)期的結(jié)果。有效的IT治理機(jī)制通常由治理流程、溝通方式來構(gòu)成。

治理流程。有效的治理流程與決策一樣重要。關(guān)鍵的治理流程包括：IT投資批準(zhǔn)流程、架構(gòu)的例外流程、服務(wù)水平協(xié)議、費(fèi)用分?jǐn)倷C(jī)制、在建項(xiàng)目追蹤、項(xiàng)目建設(shè)績效評估。流程的定義應(yīng)該是非常清晰、明確、透明的。

溝通方式。包括企業(yè)采用什么樣的方法將IT治理的原則、政策和有關(guān)的IT決策的結(jié)果傳播出去，以及對用戶的教育、培訓(xùn)等。常用的方法有：高層管理者的公告、正式委員會的會議、通過IT治理辦公室來溝通治理安排等。企業(yè)越是采用正式的溝通方式對他們的IT治理機(jī)制、工作方式、預(yù)期效果進(jìn)行溝通，治理的效果就越好。

總的來說，在設(shè)計(jì)企業(yè)的治理機(jī)制時，應(yīng)該根據(jù)企業(yè)的實(shí)際情況，以簡單、透明、適合為原則。機(jī)制應(yīng)該明確定義特定組織和個人所承擔(dān)的責(zé)任和目標(biāo)；治理的流程應(yīng)該是正式的、非常清晰的；所制定的治理機(jī)制應(yīng)該是適合企業(yè)自身的實(shí)際情況的。

4. IT 治理實(shí)施及評估

流程的效果取決于實(shí)施。公司在明確了IT 治理的內(nèi)容，建立了相關(guān)的組織結(jié)構(gòu)、治理流程和溝通機(jī)制之后，對于各個治理活動應(yīng)該建立嚴(yán)格的治理計(jì)劃，根據(jù)各個活動所需，分配相應(yīng)的資源，并嚴(yán)格按照公司的治理流程進(jìn)行。具體項(xiàng)目的實(shí)施，如ERP， SCM 等大型系統(tǒng)，應(yīng)該將IT 項(xiàng)目的管理方法與公司的治理流程相結(jié)合，以保證項(xiàng)目的成功。

對公司的各項(xiàng)IT 項(xiàng)目及治理活動，在完成之后，都需要進(jìn)行評估。評估可以參照平衡記分卡的理論體系進(jìn)行，即從財(cái)務(wù)視角、業(yè)務(wù)流程視角、客戶視角及企業(yè)的創(chuàng)新持續(xù)發(fā)展的視角進(jìn)行評估。目前，評估的理論體系非常豐富，不存在優(yōu)劣之分，企業(yè)應(yīng)該選擇最適合自己的理論方法進(jìn)行評估。

至此，已經(jīng)完成了公司IT 治理的一個循環(huán)。但是，公司的IT 治理是一個動態(tài)的而不是靜態(tài)的過程，公司應(yīng)該根據(jù)在治理過程中發(fā)現(xiàn)的問題以及出現(xiàn)的新技術(shù)，不斷更新公司的戰(zhàn)略目標(biāo)和IT 規(guī)劃，從而開始新一輪的治理循環(huán)。公司IT 治理的過程應(yīng)該是一個循環(huán)往復(fù)螺旋式上升的過程，治理水平不斷提高。

四、 總 結(jié)

本文建立的IT治理導(dǎo)入框架模型強(qiáng)調(diào)組織導(dǎo)入IT治理必須遵循一個科學(xué)的流程：制定與戰(zhàn)略目標(biāo)相一致的IT 發(fā)展規(guī)劃，建立相關(guān)的決策組織、決策流程和實(shí)現(xiàn)機(jī)制，在具體實(shí)施中，公司應(yīng)該嚴(yán)格對各項(xiàng)治理活動進(jìn)行監(jiān)控與評估。只有科學(xué)地遵循IT治理導(dǎo)入流程，才能有效提高IT治理水平，從而強(qiáng)有力地提升我國企業(yè)的公司治理水平。

主要參考文獻(xiàn)

［1］ 彼得·維爾，珍妮·W·羅斯. IT 治理 ［M］． 楊波譯． 北京：商務(wù)印書館，2005.

［2］ G Trites． Director Responsibility for IT Governance ［J］． International Journal of Accounting Information Systems，2004，5（2）.

［3］ V Sambamurthy and R W Zmud. Arrangements for Information Technology Governance：A Theory of Multiple Contingencies［J］． MIS Quarterly，1999，23（2）.

［4］ C V Brown. Examining the Emergence of Hybrid IS Governance Solutions： Evidence from a Single Case Site［J］． Information Systems Research，1997，8（1）.

［5］ IT Governance Institute，Information System Audit and Control Foundation. COBIT 4.0［S］． 2005.

［6］ 胡克瑾，陳民． IT 治理——公用事業(yè)信息化風(fēng)險控制 ［J］． 城市公用事業(yè)，2006（4）.

［7］ 李維安，王德祿． IT 治理及其模型的比較分析 ［J］． 首都經(jīng)濟(jì)貿(mào)易大學(xué)學(xué)報(bào)，2005（5）.

［8］ 田野，寶貢敏，常紅．基于IT 治理的企業(yè)信息戰(zhàn)略管理探討 ［J］．技術(shù)經(jīng)濟(jì)，2005（10）.

［9］ 饒艷超．公司治理的新視角： IT治理——建立企業(yè)目標(biāo)和信息技術(shù)之間的聯(lián)系 ［J］．會計(jì)研究，2003（8）.

［10］ 郝曉玲，李明． IT 治理對企業(yè)的影響分析［J］． 科研管理，2005 （5）.