ＩＴ治理：實(shí)現(xiàn)企業(yè)投資戰(zhàn)略的制度保障

李　莉

提要IT治理是企業(yè)信息化領(lǐng)域中的一個(gè)全新概念，本文從多個(gè)角度對IT治理所包括的內(nèi)容進(jìn)行探討。同時(shí)，詳細(xì)論述了IT治理的關(guān)鍵任務(wù)以及COBIT控制模型，對實(shí)現(xiàn)IT投資與企業(yè)戰(zhàn)略的一致定義了完整的框架。

關(guān)鍵詞：IT治理；企業(yè)戰(zhàn)略；信息化

中圖分類號(hào)：F27文獻(xiàn)標(biāo)識(shí)碼：A

一、IT治理的概念

IT治理是企業(yè)信息化領(lǐng)域中的一個(gè)全新概念，涉及到信息技術(shù)、經(jīng)濟(jì)學(xué)、管理學(xué)等多學(xué)科知識(shí)，并且由于對其研究從近幾年才剛剛開始，各方專家學(xué)者對此各抒己見，尚未形成一個(gè)統(tǒng)一的IT治理定義。

提出IT治理概念的國際信息系統(tǒng)審計(jì)與控制聯(lián)合會(huì)（ISACA）認(rèn)為，IT治理是董事會(huì)和管理層的責(zé)任，是公司治理的一個(gè)有機(jī)組成部分，它由領(lǐng)導(dǎo)階層、組織結(jié)構(gòu)和流程組成，確保IT實(shí)現(xiàn)持續(xù)和擴(kuò)展組織的戰(zhàn)略和目標(biāo)。該定義認(rèn)為，IT治理是企業(yè)或公司治理的有機(jī)組成部分。實(shí)際上，為確保能夠有效地管理公司治理中所涉及到的所有內(nèi)容，必須首先對IT進(jìn)行恰當(dāng)管理，獲得IT的支持。這種關(guān)系可以更清晰地描述為“將公司治理問題轉(zhuǎn)化為具體的IT治理問題”。

國際內(nèi)部審計(jì)師協(xié)會(huì)則認(rèn)為，IT治理是一個(gè)由關(guān)系和流程所構(gòu)成的體制，用于指導(dǎo)和控制企業(yè)，通過平衡信息技術(shù)與流程的風(fēng)險(xiǎn)、增加價(jià)值來確保實(shí)現(xiàn)企業(yè)的目標(biāo)。這一定義主要是從IT治理的應(yīng)用角度，對治理過程中的要素、方式、目標(biāo)進(jìn)行描述，認(rèn)為IT治理是流程的集合，由一系列方法、關(guān)系控制要素組成。由此構(gòu)建IT治理的架構(gòu)，通過這種機(jī)制和架構(gòu)，將信息化的決策、實(shí)施、服務(wù)、監(jiān)督等流程，IT相關(guān)的資源與企業(yè)戰(zhàn)略和目標(biāo)緊密關(guān)聯(lián)，從而最大化提升企業(yè)價(jià)值，抓住企業(yè)信息化賦予的機(jī)遇和競爭優(yōu)勢。

盡管在IT治理的定義上沒有達(dá)成統(tǒng)一，但已有的研究還是在幾個(gè)重要方面達(dá)成了一致：（1）IT治理作為公司上層管理的一個(gè)有機(jī)組成部分，由董事會(huì)或高級管理層負(fù)責(zé)，從公司全局的高度對企業(yè)信息化做出制度上的安排，體現(xiàn)了股東、董事會(huì)和最高管理層對信息化建設(shè)的關(guān)注。（2）IT治理強(qiáng)調(diào)信息化目標(biāo)與企業(yè)戰(zhàn)略目標(biāo)保持一致，IT利用其自身特點(diǎn)，為企業(yè)戰(zhàn)略規(guī)劃提供技術(shù)或控制方面的支持，以保證信息化建設(shè)能夠真正落實(shí)和貫徹組織業(yè)務(wù)戰(zhàn)略和目標(biāo)。（3）IT治理保護(hù)利益相關(guān)者的權(quán)益，對風(fēng)險(xiǎn)進(jìn)行有效管理，合理利用IT資源，平衡成本和收益，確保信息化應(yīng)用有效、及時(shí)地滿足需求，并獲得期望的收益，增強(qiáng)企業(yè)的核心競爭力。（4）IT治理是一種制度和機(jī)制，主要涉及管理和制衡信息化與業(yè)務(wù)戰(zhàn)略匹配、信息化建設(shè)投資、信息系統(tǒng)安全和信息化績效評價(jià)等方面的內(nèi)容。（5）IT治理的組成部分包括：管理層、組織結(jié)構(gòu)、制度、流程、人員、技術(shù)等多個(gè)方面，共同構(gòu)建完善的IT治理架構(gòu)，達(dá)到信息化戰(zhàn)略和支持組織的目標(biāo)。

二、IT治理的關(guān)鍵任務(wù)：實(shí)現(xiàn)IT投資與企業(yè)戰(zhàn)略的一致

IT治理的關(guān)鍵任務(wù)就是運(yùn)用信息技術(shù)輔助管理層建立以企業(yè)戰(zhàn)略為導(dǎo)向、以外界環(huán)境為條件、以業(yè)務(wù)與信息系統(tǒng)整合為目標(biāo)的觀念。準(zhǔn)確定位信息技術(shù)部門在整個(gè)組織中的作用，規(guī)定整個(gè)企業(yè)信息化的基本框架，在此基礎(chǔ)上建立起IT治理架構(gòu)；采用有效的機(jī)制，使企業(yè)信息化完成組織賦予它的使命，同時(shí)整合信息資源，平衡信息化過程中的風(fēng)險(xiǎn)；制定、執(zhí)行并推動(dòng)組織發(fā)展的信息化戰(zhàn)略，最終確保實(shí)現(xiàn)組織的總體戰(zhàn)略目標(biāo)。（圖1）

1、監(jiān)督信息化目標(biāo)與企業(yè)目標(biāo)保持一致。IT治理指導(dǎo)企業(yè)信息化支撐業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)，使其應(yīng)用效果符合企業(yè)的實(shí)際需要，保證信息技術(shù)跟上持續(xù)變化的業(yè)務(wù)目標(biāo)，隨時(shí)做出適當(dāng)調(diào)整，使之與業(yè)務(wù)發(fā)展保持一致。從信息化建設(shè)之初，IT治理就關(guān)注于系統(tǒng)的總體規(guī)劃滿足企業(yè)的業(yè)務(wù)要求，從組織目標(biāo)和信息化戰(zhàn)略中抽取出對企業(yè)信息化的總體要求、詳細(xì)需求和功能概況，形成總體的IT治理框架和系統(tǒng)整體模型；決策之前，IT治理強(qiáng)調(diào)進(jìn)行充分論證，綜合考慮投資的效益和效率以及信息系統(tǒng)風(fēng)險(xiǎn)對企業(yè)業(yè)務(wù)目標(biāo)實(shí)現(xiàn)程度的影響。在信息系統(tǒng)的實(shí)施與應(yīng)用過程中，IT治理始終在戰(zhàn)略高度強(qiáng)調(diào)與企業(yè)業(yè)務(wù)、管理、發(fā)展戰(zhàn)略相融合，指導(dǎo)信息化建設(shè)的各個(gè)階段。

2、充分利用信息資源。信息資源是企業(yè)資產(chǎn)的組成部分，IT治理應(yīng)確保對其進(jìn)行有效管理，提高利用率，收回投資并增加收益。通過正確的信息政策，保證智力資本在組織中獲得合理存儲(chǔ)、共享和利用；通過減少信息的重復(fù)、濫用、誤用、浪費(fèi)來節(jié)省成本；通過正確的技術(shù)架構(gòu)和手段，提高資源的配置效率，對業(yè)務(wù)流程中資源進(jìn)行有效利用，提高管理效率。

3、有效實(shí)施風(fēng)險(xiǎn)管理。信息技術(shù)帶來的風(fēng)險(xiǎn)往往是潛藏的，難以察覺，并且一旦發(fā)生后果嚴(yán)重，相關(guān)的風(fēng)險(xiǎn)既包括技術(shù)風(fēng)險(xiǎn)，也包括業(yè)務(wù)風(fēng)險(xiǎn)和管理風(fēng)險(xiǎn)等。IT治理強(qiáng)調(diào)以全局的眼光控制信息化過程中存在的風(fēng)險(xiǎn)，并制定一整套風(fēng)險(xiǎn)管理策略，通過風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)應(yīng)對、風(fēng)險(xiǎn)監(jiān)控等手段有效利用企業(yè)內(nèi)部業(yè)務(wù)流程中的各種資源，使企業(yè)適應(yīng)外部環(huán)境變化，從而達(dá)到降低業(yè)務(wù)風(fēng)險(xiǎn)、改善管理效率和提高管理水平的目標(biāo)。

4、進(jìn)行績效評價(jià)。公司利益相關(guān)者關(guān)心的是信息化投資是否獲得回報(bào)，是否對企業(yè)業(yè)務(wù)增長產(chǎn)生作用，對企業(yè)目標(biāo)的貢獻(xiàn)度如何，怎樣更好地利用和改良信息系統(tǒng)。IT治理需要找到評估績效的合理方法，對信息化投資實(shí)施持續(xù)的過程管理和評價(jià)，建立起綜合的績效考核體系，考核并監(jiān)控信息系統(tǒng)交付的價(jià)值是否符合企業(yè)的戰(zhàn)略任務(wù)與目標(biāo)，保持整體目標(biāo)一致，通過對信息系統(tǒng)各項(xiàng)指標(biāo)的優(yōu)化實(shí)現(xiàn)整個(gè)企業(yè)績效指標(biāo)的優(yōu)化。總之，IT治理是企業(yè)內(nèi)部各利益相關(guān)者之間良性互動(dòng)的過程，良好的IT治理，要在戰(zhàn)略高度實(shí)現(xiàn)企業(yè)信息化與業(yè)務(wù)的匹配，并使這一動(dòng)態(tài)過程保持下去，在使信息系統(tǒng)的交付價(jià)值最大化的同時(shí)，也實(shí)現(xiàn)了企業(yè)價(jià)值的最大化。

三、COBIT：IT投資規(guī)劃與企業(yè)戰(zhàn)略規(guī)劃之間的橋梁

COBIT（信息及相關(guān)技術(shù)的控制目標(biāo)）是一個(gè)國際通用的IT治理方法和IT控制模型，是IT治理的一個(gè)開放性標(biāo)準(zhǔn)。由美國IT治理協(xié)會(huì)開發(fā)與推廣，目前已成為國際上公認(rèn)的最先進(jìn)、最權(quán)威的安全與信息技術(shù)管理和控制的標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)為IT的治理、安全與控制提供了一個(gè)一般適用的、公認(rèn)的標(biāo)準(zhǔn)，以輔助管理層進(jìn)行IT治理。該標(biāo)準(zhǔn)體系已在世界上100多個(gè)國家的重要組織與企業(yè)中運(yùn)用，指導(dǎo)這些組織有效利用信息資源，有效地管理與信息相關(guān)的風(fēng)險(xiǎn)。

在COBIT模型中，組織對信息化進(jìn)行管理和控制過程是將IT資源、IT準(zhǔn)則、IT過程與企業(yè)的戰(zhàn)略目標(biāo)緊密聯(lián)系起來，形成一個(gè)三維的體系結(jié)構(gòu)。其中，IT資源是與信息相關(guān)的資源，是IT治理的主要對象；IT準(zhǔn)則集中反映了企業(yè)的戰(zhàn)略目標(biāo)；IT過程是在IT準(zhǔn)則指導(dǎo)下，對IT資源進(jìn)行規(guī)劃與處理，從IT規(guī)劃與組織、獲取與實(shí)施、交付與支持、監(jiān)控等4個(gè)方面確定了34個(gè)信息技術(shù)處理過程，每個(gè)處理過程還包括更加詳細(xì)的控制目標(biāo)和審計(jì)方針對其進(jìn)行評估。（圖2）

COBIT包括以下四個(gè)域：

1、規(guī)劃與組織。包括戰(zhàn)略和戰(zhàn)術(shù)兩個(gè)層面，重點(diǎn)關(guān)注如何識(shí)別滿足業(yè)務(wù)目標(biāo)的信息系統(tǒng)。同時(shí)，戰(zhàn)略目標(biāo)的實(shí)現(xiàn)應(yīng)該注重規(guī)劃，從不同的層面溝通和管理，最后要制定良好的組織架構(gòu)和技術(shù)基礎(chǔ)架構(gòu)。

2、獲得與實(shí)施。理解信息化戰(zhàn)略后，應(yīng)識(shí)別、開發(fā)或獲取、實(shí)施信息化解決方案，同時(shí)注意業(yè)務(wù)流程的緊密融合。另外，該域還包括對已有系統(tǒng)的變更與維護(hù)，以確保系統(tǒng)生命周期的持續(xù)改進(jìn)。

3、交付與支持。重點(diǎn)關(guān)注系統(tǒng)滿足業(yè)務(wù)需求的實(shí)際情況，即價(jià)值交付，包括從日常操作到培訓(xùn)。為了保證價(jià)值交付，IT服務(wù)支持流程是不可或缺的。另外，這個(gè)域還包括應(yīng)用系統(tǒng)中的實(shí)際數(shù)據(jù)處理流程，前者通常按照應(yīng)用控制分類。

4、監(jiān)控。為了保證系統(tǒng)的質(zhì)量并滿足控制需求，所有的流程應(yīng)被定期評估。該域強(qiáng)調(diào)管理者站在全局角度把握組織的控制過程，確保內(nèi)部、外部審計(jì)的獨(dú)立性，獲得所需資源。

COBIT框架模型是企業(yè)戰(zhàn)略目標(biāo)和信息技術(shù)戰(zhàn)略目標(biāo)的橋梁，使得信息技術(shù)目標(biāo)和企業(yè)戰(zhàn)略目標(biāo)之間實(shí)現(xiàn)互動(dòng)。該框架模型的意義就在于實(shí)現(xiàn)了企業(yè)目標(biāo)與IT治理目標(biāo)之間的橋梁作用。COBIT考慮了企業(yè)自身的戰(zhàn)略規(guī)劃，對業(yè)務(wù)環(huán)境和企業(yè)總的業(yè)務(wù)戰(zhàn)略進(jìn)行分析定位，并將戰(zhàn)略規(guī)劃所產(chǎn)生的目標(biāo)、政策、行動(dòng)計(jì)劃作為信息技術(shù)的關(guān)鍵環(huán)節(jié)，并由此確定IT準(zhǔn)則。COBIT使信息技術(shù)目標(biāo)和企業(yè)戰(zhàn)略目標(biāo)之間實(shí)現(xiàn)互動(dòng)，形成互相依托、互相促進(jìn)的有機(jī)整體。組織通過COBIT可以更加有效地利用信息資源，有效地管理與信息相關(guān)的風(fēng)險(xiǎn)，從而更好地幫助組織實(shí)現(xiàn)其業(yè)務(wù)戰(zhàn)略。COBIT通過制定詳盡的框架，34個(gè)過程覆蓋了IT管理的全過程，任何組織都可以在其中找到自己需要的框架模型；同時(shí)，COBIT把管理落到實(shí)處，它提供了每個(gè)過程所需的管理目標(biāo)、管理方法、管理成熟度的判定、績效考核指標(biāo)等工具，使得各個(gè)過程管理真正落到實(shí)處，并能夠指引前進(jìn)的方向，促進(jìn)管理持續(xù)的改進(jìn)，實(shí)實(shí)在在為企業(yè)帶來價(jià)值，提升企業(yè)信息化管理水平，降低信息化風(fēng)險(xiǎn)。

COBIT要求在業(yè)務(wù)目標(biāo)之上定義IT戰(zhàn)略規(guī)劃，獲得信息技術(shù)與業(yè)務(wù)需求的最佳平衡，同時(shí)確保戰(zhàn)略的進(jìn)一步落實(shí)；確保傳遞給業(yè)務(wù)的信息符合信息準(zhǔn)則，并且可以用關(guān)鍵目標(biāo)指標(biāo)測量；能夠在常規(guī)間隔時(shí)間內(nèi)執(zhí)行戰(zhàn)略規(guī)劃過程，形成一個(gè)長期計(jì)劃；該長期計(jì)劃應(yīng)當(dāng)被周期性地轉(zhuǎn)換為清晰而具體、操作性強(qiáng)的短期目標(biāo)；權(quán)衡具體的IT資源和可測量的關(guān)鍵績效指標(biāo)來考慮制定關(guān)鍵成功因素。

從活動(dòng)、流程到域，這樣的結(jié)構(gòu)覆蓋了信息技術(shù)所支持的所有方面，既能夠從全局上把握，又能夠在細(xì)節(jié)處加強(qiáng)控制。上述四個(gè)域及各自包含的IT流程、IT資源與信息準(zhǔn)則形成了COBIT的三維體系結(jié)構(gòu)，將信息環(huán)境下所有需要控制的過程、資源等各個(gè)環(huán)節(jié)內(nèi)容包括其中，實(shí)現(xiàn)IT投資與企業(yè)戰(zhàn)略的一致，定義了完整的框架。

（作者單位：天津商業(yè)大學(xué)商學(xué)院）

參考文獻(xiàn)：

[1]田野，寶貢敏，常紅.基于IT治理的企業(yè)信息戰(zhàn)略管理探討［J］.技術(shù)經(jīng)濟(jì)，2005.10.

[2]饒艷超.公司治理的新視角：IT治理－建立企業(yè)目標(biāo)和信息技術(shù)之間的聯(lián)系［J］.會(huì)計(jì)研究，2003.8.