基于IT治理的分析研究

印克沙

（河南中道電子信息工程監(jiān)理咨詢有限公司，河南 鄭州 450000）

基于IT治理的分析研究

印克沙

（河南中道電子信息工程監(jiān)理咨詢有限公司，河南 鄭州 450000）

IT治理是信息系統(tǒng)建設快速發(fā)展的產(chǎn)物，同時IT治理也是信息化建設監(jiān)管的重要手段。本文分析了IT治理的現(xiàn)狀及必要性，并從對IT治理的認識出發(fā)，結合對IT治理的時間，對我國開展IT治理進行了初步探討。

IT治理；管理研究；業(yè)務探討

1 IT治理的理念研究

1.1 IT治理關鍵問題研究

IT的英文是Information Technology，即信息技術。IT業(yè)劃分為IT生產(chǎn)業(yè)和IT使用業(yè)。IT行業(yè)劃分為IT 生產(chǎn)業(yè)和IT使用業(yè)。IT生產(chǎn)業(yè)包括計算機硬件業(yè)、通信設備業(yè)、軟件、計算機及通信服務業(yè)。至于IT使用業(yè)幾乎涉及所有的行業(yè)，包括各類組織如企業(yè)、政府及相關服務業(yè)［1］。由此可見，IT行業(yè)不僅僅包括硬件和軟件制造業(yè)，還包括幾乎所有的使用及相關服務業(yè)。

美國IT治理協(xié)會給IT治理的定義是:“IT治理是一種引導和控制企業(yè)各種關系和流程的結構，這種結構安排，旨在通過平衡信息技術及其流程中的風險和收益，增加價值，以實現(xiàn)企業(yè)目標。”

國際信息系統(tǒng)審計與控制協(xié)會（ISACA）和IT治理研究所（ITGI）是這樣定義的:“IT治理由高層管理機構負責，由領導、組織結構和過程構成，其目的在于確保IT能夠支撐和擴展組織的戰(zhàn)略和目標”［2］。

德勤事務所認為，“IT治理是一個含義廣泛的術語，包括信息系統(tǒng)、技術、通訊、商業(yè)、所有利益相關者、合法性和其他問題，其主要任務是:保持IT與業(yè)務目標一致，推動業(yè)務發(fā)展，促使收益最大化，合理利用IT資源，IT相關風險的適當管理”。

中國有一種觀點認為，IT治理是描述企業(yè)或政府是否采用有效的機制，使得IT的應用能夠完成組織賦予它的使命，同時平衡信息化過程中的風險，確保實現(xiàn)組織的戰(zhàn)略目標的過程。

我國制定的信息技術服務治理第一部分:通用要求術語中“信息技術治理information technology governance”:專注于信息技術及其績效和風險管理的治理體系，由領導關系、組織結構和過程組成，以確保信息技術能夠支撐組織的戰(zhàn)略目標，具體如下:

IT治理包括信息系統(tǒng)的可行性研究、立項、設計、實施、測試、驗收、后評價、運行維護直至淘汰全生命周期。

IT治理可分為三個階段:前期（包括可研、立項、設計）、中期（實施、測試、驗收）、后期（后評價、運行維護、淘汰）。

IT治理要借助現(xiàn)有的信息系統(tǒng)工程監(jiān)管內容進行延伸和擴充，明確其內容。IT治理要在國外標準體系的框架下，結合我國信息化發(fā)展和企業(yè)的實際管理模式。IT治理要在公司治理的基礎上，完善和發(fā)揮信息系統(tǒng)的功能和作用。IT治理要分層次、分階段地進行治理和管理。

IT治理簡單說就是使參與信息化過程的IT行業(yè)利益最大化的制度措施。IT治理關注兩個方面的問題，即IT治理的“什么”和“誰”。

“什么”是指IT治理應該做出哪些決策。“誰”是指這些決策應該由誰來做出。

1.2 IT治理的必要性

IT治理是公司治理在信息時代的重要發(fā)展，用于描述企業(yè)或政府是否采用有效的機制，使IT的應用能夠完成組織賦予它的使命，同時平衡信息技術與過程的風險、確保實現(xiàn)組織的戰(zhàn)略目標。

IT治理在IT行業(yè)的發(fā)展中，具有如下意義:

第一，使企業(yè)發(fā)展戰(zhàn)略在整體規(guī)劃、標準化和規(guī)范化等在信息化工作、信息化建設和信息化服務與支持方面上的細化，是企業(yè)戰(zhàn)略在IT層面的落地。

第二，使公司高層領導對企業(yè)信息化工作的極大重視和實質性的推動并監(jiān)理良好溝通。

第三，促使企業(yè)的管理人員和IT從業(yè)人員站在全局化和大局觀的角度去看待、評估企業(yè)的信息化現(xiàn)狀和信息化工作的未來，以及IT工作與其他業(yè)務工作之間的關系使IT預算更完整。

第四，對企業(yè)IT建設工作形成長期性指導，使項目投資減少失誤和提高投資回報。

第五，促進企業(yè)對現(xiàn)有問題和IT需求進行全方位的診斷與梳理加強了項目管理的控制手段。

第六，明確IT問題及事故的職責。

第七，完善后期運維及服務，發(fā)揮IT最大價值。

綜上，IT治理的目的是使IT與組織業(yè)務有效融合，其出發(fā)點首先是組織的發(fā)展戰(zhàn)略，以組織發(fā)展戰(zhàn)略為起點，遵循組織的風險與內控體系，制定相應的IT建設運行的管理機制。IT治理的最終目標:價值提升與風險管控。

1.3 IT治理現(xiàn)狀及實證調查

目前企業(yè)和政府實施IT項目時，很多只是意識到了業(yè)務需要，然后決定開始實施IT系統(tǒng)。但是管理者對于IT系統(tǒng)是否能帶來好的績效，實施IT系統(tǒng)有哪些潛在的風險？IT系統(tǒng)失敗了會產(chǎn)生什么負面效果？怎樣審核IT系統(tǒng)的績效？怎樣制定清晰的責任鏈？怎樣制定IT決策等問題都缺乏全面認識。

國外一些研究表明IT治理有助于企業(yè)獲取高IT投資回報，好的IT治理模式可為企業(yè)增加20%以上的利潤。

但是國內企業(yè)IT治理普遍欠佳。尤其IT規(guī)劃、IT制度體系和IT評估缺失現(xiàn)象嚴重。

IT治理是信息系統(tǒng)審計和控制領域中的一個理念。2006年原信息產(chǎn)業(yè)部信息化推進司開始推動IT治理工作，還有一些機構、高校都在推動這項工作。近年來，IT治理的國家標準也在制定過程中。

2 IT治理的內容、本質及關鍵要素

2.1 IT治理的內容

IT治理不同于IT管理。從工作內容看，IT管理一般是從具體的操作層面出發(fā)，針對信息系統(tǒng)具體目標的實現(xiàn)所采取的行動。而IT治理則是在宏觀層面的戰(zhàn)略角度上，對IT戰(zhàn)略上的過程、結構和聯(lián)系進行梳理和監(jiān)控，以確保組織信息系統(tǒng)的運營管理能夠始終沿著正確的方向進行。具體如下:

戰(zhàn)略一致（Strategic Alignment）。是如何在IT計劃與組織整體規(guī)劃和業(yè)務計劃之間建立關聯(lián)、如何合理的描述并確認IT價值，以及如何使IT運作與組織的業(yè)務運作相一致。

價值交付（Value Delivery）。如何確保信息系統(tǒng)能夠按照戰(zhàn)略要求，實現(xiàn)組織提供承諾的價值，通過降低組織成本、提高業(yè)務效率等方式使組織受益。

資源管理（Resource Management）。如何對支持IT運作的關鍵資源進行最優(yōu)化投資和最佳管理。對于一個組織的IT運作而言，這些關鍵資源包括四方面內容:應用系統(tǒng)、信息、技術架構和人力資源。

風險管理（Risk Management）。要求組織的高層管理者必須具備足夠的風險意識，能夠充分理解組織面臨的主要風險，將風險作為組織管理工作的重點考慮問題，并在組織結構設計中劃分和明確指派風險責任。

績效度量（Performance Measurement）。如何運用平衡計分卡等科學地對IT運作的戰(zhàn)略目標實現(xiàn)程度、IT資源的使用情況、IT過程的執(zhí)行情況以及IT服務的交付效果進行跟蹤和監(jiān)控。

2.2 IT治理的本質

通過一套包括正式及非正式的制度來協(xié)調公司與所有利益相關者之間的利益關系，以保證公司決策的科學化，從而最終維護公司各方面的利益。

從IT中獲得最大的價值，取決于在IT應用上產(chǎn)生期望的行為。期望行為是組織信念和文化的具體體現(xiàn)，它們的確定和頒布不僅基于戰(zhàn)略，而且基于公司的價值綱要、使命綱要、業(yè)務規(guī)則、約定的行為習慣以及結構等。在每一家公司里，期望行為都各不相同。

IT治理屬于公司治理的組成部分，是指導和控制IT資源的結構，關系和過程，通過平衡風險和回報獲取IT價值，以實現(xiàn)企業(yè)目標。價值實現(xiàn)，風險控制是IT治理的兩個核心。

“管理”和“治理”是硬幣的兩面，但是治理卻更具統(tǒng)籌效應。IT治理，不是解決如何信息化的問題，而是解決如何管理、監(jiān)控IT的問題；業(yè)務和IT戰(zhàn)略整合是IT治理的關鍵。IT治理為IT決策、風險控制、監(jiān)控和績效提升提供了指南和標準。

2.3 IT治理的關鍵要素

IT原則:企業(yè)期望的運行模式是什么。IT如何支持期望的運行模式。如何資助IT。

IT架構:哪些數(shù)據(jù)必須整合。哪些技術性能應當在企業(yè)范圍內得到標準化。哪些行為應當在企業(yè)范圍內標準化以支持數(shù)據(jù)整合。

IT基礎設施:哪些共享可以提供服務?；A設施服務定位在哪個層次。如何為服務定價。什么時候應更新服務。

IT商業(yè)應有需求:新業(yè)務的應用市場和業(yè)務流程機會是什么。如何評估業(yè)務應用成功與否。如何保證必需的資源以實現(xiàn)項目或業(yè)務的目標。

IT投資和先后次序:對IT投資多少。如何分配IT投資。如何協(xié)調IT投資與戰(zhàn)略優(yōu)先順序。

綜上，IT治理的關鍵要素，涵蓋IT組織、IT戰(zhàn)略、IT架構、IT基礎設施、業(yè)務需求、IT投資、信息安全等。主要確定這些要素或活動中“做什么決策？誰來決策？怎么來決策？如何監(jiān)督和評價決策？”。

圍繞著IT建設全生命周期過程，構建持續(xù)的信息化建設長效機制，是IT治理的目標。因此，整個IT建設生命周期都是IT治理的對象，包括IT組織與規(guī)劃、IT建設與交付、IT運行與維護、IT評估與優(yōu)化。IT治理的最佳實踐就是基于各個對象治理的成熟的方法論和工具，包括CobiT、ITIL、ISO27001、Prince2等。

3 IT治理框架分析

3.1 國外IT治理框架

關于IT治理的框架規(guī)范最著名的就是:ITIL（IT基礎架構庫）和COBIT（信息及相關技術的控制目標）了。ITIL框架起源于英國的中央計算機與電信局（現(xiàn)在為政府商務辦公室），它向用戶提供了一種可定制的實踐框架，為內部用戶提供高質量的服務，涵蓋了服務支持、軟件支持、計算機操作以及安全管理等功能。COBIT是由美國IT治理協(xié)會提出的一個IT治理的開放性框架或標準，是基于組織的信息技術平臺而設計的，并在IT治理實踐中廣泛使用，它包含了34個信息技術過程控制，并歸集為四個控制域:IT規(guī)劃和組織（Planning and Organization）、系 統(tǒng) 獲得和實施（Acquisition and Implementation）、交付與支持（Delivery and Support）以及信息系統(tǒng)運行性能監(jiān)控（Monitoring），COBIT目前已成為國際上公認的IT管理與控制標準。

3.2 國內IT治理框架

結合國際IT治理框架，根據(jù)我國實際情況，國內對于IT治理模型大概包括了三方面內容即標準體系、管理體系、治理體系。

標準體系:參照已有的國際標準如信息安全標準、質量管理標準等；以及我國正在制定的IT治理標準。

管理體系:組織的架構分類，分級別。

治理體系:對于信息系統(tǒng)來說按三個大階段劃分，前期以咨詢、評估為主要手段；中期以監(jiān)理、評測、評價、審計（控制和管理）為主要手段；后期以后評價、審計（控制和管理）、治理為主要手段。

3.3 IT治理框架的三個支柱

企業(yè)架構計劃。企業(yè)架構造型和管理、戰(zhàn)略性的IT計劃和路線圖、標準管理等。

投資組合合理化。應用系統(tǒng)和基礎設施的合理化、項目-投資分析、合并和收購運營整合。

服務融合。服務提供管理、業(yè)務關系管理、供應商和外包商管理、IT財務管理。

4 IT治理業(yè)務研究

4.1 IT治理業(yè)務分析

IT治理業(yè)務是覆蓋信息系統(tǒng)全生命周期，按活動階段劃分IT治理業(yè)務:信息系統(tǒng)前期主要包括，可研、立項、設計；信息系統(tǒng)中期主要包括，實施、測試、驗收，信息系統(tǒng)后期主要包括，后評價、運行維護、淘汰等。

按控制手段劃分IT治理業(yè)務:第三方系統(tǒng)評估、系統(tǒng)評價、系統(tǒng)測試、IT審計等。

按組織管理工作劃分IT治理業(yè)務:IT組織、IT戰(zhàn)略、IT架構、IT基礎設施、業(yè)務需求、IT投資、信息安全等。

4.2 IT治理業(yè)務開展問題研究

誰來做，哪個組織實體在IT治理過程中起作用？業(yè)務單位、公司、架構服務。

做什么，IT治理流程、決策、角色和職責是什么？資源分配、初始的優(yōu)先級、IT預算。

如何做，IT治理如何被執(zhí)行？框架定義、試點、實施、指導。

綜上，IT治理就是保證IT系統(tǒng)能夠處于正確的軌道之上，IT系統(tǒng)能夠和業(yè)務系統(tǒng)有效地契合，并為企業(yè)創(chuàng)造持續(xù)的卓越績效。開展IT治理就要確定誰來做，認定做什么，決定如何做，最后按照整體規(guī)劃，分步實施，關注試點，持續(xù)優(yōu)化的方式來實施。而且，隨著IT建設的一些問題逐漸的暴露出來，作為企業(yè)的管理者已經(jīng)親身體驗了這樣或那樣的問題，實施IT治理非常重要。

［1］孟秀轉，郝曉玲，于秀艷，孫強.IT治理：標準、框架與案例分析［M］.北京：清華大學出版社，2011.

［2］韓玲，郭宗文.基于IT治理的信息系統(tǒng)內部控制對策研究［R］.第十屆全國會計信息化年會論文集，2011.

Analysisand Research on IT governance

Yin Kesha
（Henan Zhongdao Electronic Information Engineering SupervisionConsulting Co.，Ltd.，Zhengzhou Henan 450000）

ITgovernance is the productof the rapid developmentof information system construction，and IT governance is also an importantmeans of information construction supervision.This paper analyzes the current situation and the necessity of IT governance，and from the understanding of IT governance，combined with the timeof ITgovernance，carriesoutapreliminary discussion on the developmentof ITgovernance in china.

ITgovernance；ManagementResearch；BusinessDiscussion

D630

A

1671-0037（2015）12-70-3

2015-10-16

印克沙（1953.3-），男，本科，高級工程師，研究方向：信息工程管理。

·信息資源管理·