我國企業(yè)IT決策模式的實(shí)證研究——基于CISR模型和COBIT模型的綜合分析

北京服裝學(xué)院商學(xué)院 周常蘭

一、引言

近十年來，隨著信息技術(shù)尤其是網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，企業(yè)信息化的廣度與深度均得到擴(kuò)展，使得企業(yè)的日常運(yùn)營越來越依賴于信息化系統(tǒng)，信息技術(shù)（IT）對(duì)于企業(yè)而言越來越重要，信息化涉及到企業(yè)的方方面面，不僅僅是IT部門的責(zé)任，IT相關(guān)決策權(quán)的分配影響到信息化的績效，改善IT治理結(jié)構(gòu)和提高企業(yè)業(yè)績之間存在有很強(qiáng)的相關(guān)性。因此，本文主要研究如下問題：對(duì)于當(dāng)前我國企業(yè)而言，在IT相關(guān)決策權(quán)的分配方面是什么狀況？對(duì)當(dāng)前我國企業(yè)的信息化而言，什么樣的決策權(quán)分配模式是理想的？

二、理論分析

（一）IT治理與IT管理 IT管理與IT治理是有本質(zhì)區(qū)別的。與IT管理不同，IT治理不是應(yīng)該決定哪些特定決策，而是系統(tǒng)地決定由誰來做出每種決策，誰應(yīng)該參與決策，以及這些人應(yīng)對(duì)他們的角色負(fù)何種責(zé)任。“管理者”經(jīng)營、開發(fā)、實(shí)施并監(jiān)控經(jīng)營戰(zhàn)略下的日常活動(dòng)，“治理者”則處理整個(gè)組織的政策、文化及方向。Bird（2001）對(duì)管理者下了如下定義：“管理機(jī)構(gòu)因治理而得到授予他們的權(quán)限”。換句話說，即“治理”決定誰來做決策，而“管理”則是做決策以及實(shí)施決策的過程。

（二）公司治理與IT治理Weill與Ross（2000）從兩個(gè)互補(bǔ)的方面來表述公司治理，其中，行為方面的公司治理包含組織的不同代理人之間的關(guān)系和行為模式，規(guī)范方面的公司治理是為處理上述代理人關(guān)系進(jìn)行決策權(quán)的分配，以及為確保公司目標(biāo)實(shí)現(xiàn)提供委托代理關(guān)系形成機(jī)制和規(guī)章、操作規(guī)程的制定機(jī)制。IT治理和公司治理主體一樣，是管理執(zhí)行人員和利益相關(guān)者的責(zé)任（以董事會(huì)為代表）。公司治理主要關(guān)注利益相關(guān)者權(quán)益和管理，由最高管理層（董事會(huì)）和執(zhí)行管理層實(shí)施，目的是提供戰(zhàn)略方向，保證目標(biāo)能夠?qū)崿F(xiàn)，風(fēng)險(xiǎn)適當(dāng)管理，企業(yè)的資源合理使用。公司治理驅(qū)動(dòng)和調(diào)整IT治理。IT治理是信息技術(shù)條件下所有利害相關(guān)者的利益均衡，IT治理的核心是權(quán)利的分配和責(zé)任的承擔(dān)。不同的組織層次應(yīng)擁有不同的決策權(quán)力和責(zé)任，并且通過機(jī)制建設(shè)保證決策權(quán)力和責(zé)任的適當(dāng)歸屬。

（三）IT治理現(xiàn)行的主要理論框架 與IT治理有關(guān)的現(xiàn)行理論框架主要有ISACA（國際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)）的COBIT（2007）、CISR（麻省理工大學(xué)斯隆管理學(xué)院信息系統(tǒng)研究中心）的IT決策權(quán)分配模式（2004）：（1）ISACA的COBIT（Control Objectives for Information and related Technology，信息及相關(guān)技術(shù)的控制目標(biāo)）1996年，COBIT作為一項(xiàng)IT安全與控制的實(shí)踐標(biāo)準(zhǔn)，是由美國信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（ISACA）及其所屬的IT治理研究所（ITGI）共同開發(fā)、公布的業(yè)界標(biāo)準(zhǔn)，目前已經(jīng)更新至第4.1版，是國際上公認(rèn)的最先進(jìn)、最權(quán)威的安全與信息技術(shù)管理和控制的標(biāo)準(zhǔn)。COBIT形成了一套專供企業(yè)經(jīng)營者、使用者、IT專家、信息系統(tǒng)審計(jì)員與安全控制人員來強(qiáng)化和評(píng)估IT管理和控制的規(guī)范，為IT的治理、安全與控制提供了一個(gè)一般適用的公認(rèn)標(biāo)準(zhǔn)，并輔助管理層進(jìn)行IT治理。它正在成為控制數(shù)據(jù)、系統(tǒng)和相關(guān)風(fēng)險(xiǎn)的優(yōu)秀的實(shí)踐法則，并逐漸被越來越多的用戶所接受。它將幫助企業(yè)部署對(duì)系統(tǒng)和網(wǎng)絡(luò)的有效管理。（2）CISR的CISR模型。CISR的Peter Weill教授（2002）發(fā)現(xiàn)優(yōu)秀企業(yè)的IT治理與一般企業(yè)是不同的，存在五個(gè)IT關(guān)鍵領(lǐng)域：信息技術(shù)原則、信息技術(shù)結(jié)構(gòu)、信息技術(shù)基礎(chǔ)設(shè)施、企業(yè)應(yīng)用需要和信息技術(shù)投資及優(yōu)先次序。優(yōu)秀企業(yè)在這五個(gè)關(guān)鍵領(lǐng)域誰做決策和如何決策和一般企業(yè)不同，對(duì)應(yīng)于每個(gè)關(guān)鍵領(lǐng)域分別有著不同的決策方式，可分為六類，如表1所示。李維安、王德祿（2005）指出，COBIT模型強(qiáng)調(diào)的是應(yīng)加強(qiáng)對(duì)信息技術(shù)投入和使用的監(jiān)督和控制過程，CISR模型則強(qiáng)調(diào)對(duì)信息技術(shù)投入和使用的權(quán)力劃分和責(zé)任分配，并形成組織所希望的行為。并認(rèn)為兩者雖然都強(qiáng)調(diào)控制，但COBIT模型強(qiáng)調(diào)對(duì)決策過程的控制，而CISR模型強(qiáng)調(diào)決策前的控制。唐志豪、計(jì)春陽、胡克瑾（2008）則認(rèn)為COBIT可稱為控制型模型，歸入了控制型IT治理流派；認(rèn)為CISR模型可稱為引導(dǎo)型模型，歸入了引導(dǎo)型IT治理流派。

表1 CISR模型的IT決策方式

三、研究設(shè)計(jì)

（一）問卷設(shè)計(jì) 調(diào)查問卷的設(shè)計(jì)共分為三個(gè)部分，第一部分是被調(diào)查人員及企業(yè)的基本情況，第二部分是對(duì)企業(yè)IT風(fēng)險(xiǎn)控制責(zé)任主體的調(diào)查，題型為選擇題，目的是了解被調(diào)查企業(yè)IT相關(guān)方面決策權(quán)的責(zé)任分派實(shí)際狀況；第三部分是對(duì)企業(yè)不同流程IT治理成熟度的調(diào)查，內(nèi)容設(shè)計(jì)以ISACA的COBIT模型為基礎(chǔ)，題型為六級(jí)利克特量表題，目的是了解當(dāng)前被調(diào)查企業(yè)在各個(gè)流程IT治理成熟度現(xiàn)狀。

（二）樣本選取和數(shù)據(jù)來源 筆者于2010-2011年調(diào)查了100多家企業(yè)，對(duì)象包括信息技術(shù)部門及其他相關(guān)管理部門，調(diào)查形式分為紙質(zhì)問卷以及遠(yuǎn)程網(wǎng)絡(luò)問卷，最終用于數(shù)據(jù)分析的有效樣本數(shù)為109份。

（三）問卷的信度和效度 經(jīng)過數(shù)據(jù)錄入與整理后，筆者首先運(yùn)用SPSS的可靠性和相關(guān)性分析工具對(duì)問卷量表題的信度與效度進(jìn)行了分析，結(jié)果表明問卷所有量表題的克朗巴哈α信度系數(shù)均在0.8以上，說明問卷的量表具有較高的信度。筆者運(yùn)用相關(guān)性分析工具，輸出“Pearson”皮爾遜相關(guān)系數(shù)，“Two-tailed”雙側(cè)顯著性T檢驗(yàn)，結(jié)果表明所有得分單項(xiàng)與所屬分類總和的Pearson相關(guān)系數(shù)均在0.65以上，說明問卷的量表均有很好的內(nèi)容效度。

四、我國企業(yè)IT相關(guān)決策權(quán)分配的調(diào)查結(jié)果分析

（一）樣本企業(yè)IT相關(guān)決策權(quán)分配情況 如表2所示，樣本企業(yè)的信息技術(shù)原則決策權(quán)、信息技術(shù)投資決策權(quán)、企業(yè)應(yīng)用需要決策權(quán)三個(gè)方面比重最大的都是企業(yè)君主式，比重第二位的都是雙寡頭式，沒有無政府狀態(tài)式。在信息技術(shù)結(jié)構(gòu)決策權(quán)、信息技術(shù)基礎(chǔ)設(shè)施決策權(quán)方面，比重前三位的依次是IT部門君主式、企業(yè)君主式、雙寡頭式，且這三種模式的比重差別不懸殊，沒有無政府狀態(tài)式。

表2 樣本企業(yè)IT相關(guān)決策權(quán)分配統(tǒng)計(jì)表

（二）樣本企業(yè)各流程IT治理成熟度情況 為了弄清樣本集團(tuán)公司在當(dāng)前有哪些流程的IT治理成熟度較高，哪些流程較低，筆者統(tǒng)計(jì)了各流程的IT治理成熟度評(píng)價(jià)的得分均值，結(jié)果如表3所示，在這四個(gè)流程的IT治理成熟度方面，基本上可以分為兩個(gè)等級(jí)，IT治理成熟度高的是獲取與實(shí)施流程、交付與支持流程，得分均值在4.2左右，IT治理成熟度低的是監(jiān)控與評(píng)估流程、規(guī)劃與組織流程，得分均值在4.0左右。說明當(dāng)前我國企業(yè)需要重點(diǎn)加強(qiáng)對(duì)信息化的監(jiān)控與評(píng)估，做好信息化的規(guī)劃與組織工作。

表3 全樣本信息化各流程IT治理成熟度描述統(tǒng)計(jì)量

（三）IT相關(guān)決策權(quán)分配與各流程IT治理成熟度的關(guān)聯(lián)分析結(jié)果 以全樣本企業(yè)為對(duì)象，分別統(tǒng)計(jì)了五大方面采取的五種決策模式下全流程與各流程IT治理成熟度的得分均值，如表4所示。在五大決策方面分別選取了管理信息化全流程風(fēng)險(xiǎn)控制程度最高對(duì)應(yīng)的兩種決策模式，并以方框在表中標(biāo)識(shí)出來，可以發(fā)現(xiàn)，在信息技術(shù)投資、信息技術(shù)原則這兩個(gè)方面，理想的決策權(quán)分配模式依次為聯(lián)邦式?jīng)Q策模式（4.54612分、4.579753分）、雙寡頭式?jīng)Q策模式（4.444119分、4.359566分）。在信息技術(shù)結(jié)構(gòu)方面，理想的決策權(quán)分配模式依次為聯(lián)邦式?jīng)Q策模式（4.493753分）、企業(yè)君主式?jīng)Q策模式（4.301431分）。在企業(yè)應(yīng)用需要方面，理想的決策權(quán)分配模式依次為雙寡頭式?jīng)Q策模式（4.361908分）、IT部門君主式?jīng)Q策模式（4.293138分）。在信息技術(shù)基礎(chǔ)設(shè)施方面，理想的決策權(quán)分配模式依次為企業(yè)君主式?jīng)Q策模式（4.291642分）、聯(lián)邦式?jīng)Q策模式（4.199568分）。如圖1所示。

表4 IT相關(guān)決策權(quán)分配與各流程IT治理成熟度的關(guān)聯(lián)分析表

圖1 當(dāng)前的IT決策模式與理想的IT決策模式比較圖

五、結(jié)論與建議

（一）結(jié)論 我國企業(yè)在信息技術(shù)投資、信息技術(shù)原則這兩個(gè)方面，理想的決策權(quán)分配模式依次為聯(lián)邦式?jīng)Q策模式、雙寡頭式?jīng)Q策模式。在信息技術(shù)結(jié)構(gòu)方面，理想的決策權(quán)分配模式依次為聯(lián)邦式?jīng)Q策模式、企業(yè)君主式?jīng)Q策模式。在企業(yè)應(yīng)用需要方面，理想的決策權(quán)分配模式依次為雙寡頭式?jīng)Q策模式、IT部門君主式?jīng)Q策模式。在信息技術(shù)基礎(chǔ)設(shè)施方面，理想的決策權(quán)分配模式依次為企業(yè)君主式?jīng)Q策模式、聯(lián)邦式?jīng)Q策模式。在四個(gè)流程的風(fēng)險(xiǎn)控制程度方面，我國企業(yè)風(fēng)險(xiǎn)控制程度高的是獲取與實(shí)施流程、交付與支持流程，風(fēng)險(xiǎn)控制程度低的是監(jiān)控與評(píng)估流程、規(guī)劃與組織流程，說明當(dāng)前我國企業(yè)需要重點(diǎn)加強(qiáng)對(duì)管理信息化的監(jiān)控與評(píng)估，做好管理信息化的規(guī)劃與組織工作。

（二）建議 考察上述理想的決策權(quán)分配模式，聯(lián)邦式?jīng)Q策模式與雙寡頭決策模式出現(xiàn)的頻率最高，根據(jù)這一結(jié)果，筆者認(rèn)為理想的決策權(quán)分配模式的實(shí)現(xiàn)的根本途徑在于優(yōu)化公司治理結(jié)構(gòu)：一是建立IT戰(zhàn)略委員會(huì)，IT戰(zhàn)略委員會(huì)應(yīng)由企業(yè)的最高管理層及管理執(zhí)行層包括IT管理和業(yè)務(wù)管理有關(guān)部門負(fù)責(zé)人、管理技術(shù)人員組成。IT戰(zhàn)略委員會(huì)通過定期召開會(huì)議，就公司戰(zhàn)略與IT戰(zhàn)略的驅(qū)動(dòng)與設(shè)置等議題進(jìn)行討論，并做出重大IT投資與IT結(jié)構(gòu)決策，還為企業(yè)IT日常管理提供原則性的導(dǎo)向與支持，并把IT治理的相關(guān)規(guī)范融入到企業(yè)的內(nèi)部控制中。二是建立IT監(jiān)管部門，發(fā)揮IT監(jiān)管部門在專業(yè)領(lǐng)域的監(jiān)督、評(píng)價(jià)和指導(dǎo)作用。建立風(fēng)險(xiǎn)管理部門，把全面風(fēng)險(xiǎn)管理作為專業(yè)職能部門的職責(zé)，在指導(dǎo)全部關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)治理機(jī)制方面發(fā)揮指導(dǎo)作用。充分發(fā)揮內(nèi)部審計(jì)部門在風(fēng)險(xiǎn)控制方面的監(jiān)督、評(píng)價(jià)作用。三是要明確規(guī)定各部門的責(zé)任。企業(yè)最高管理層應(yīng)確保對(duì)管理層、相關(guān)部門及人員職責(zé)進(jìn)行規(guī)定并形成書面文件。通過明確IT決策與管理控制過程中的責(zé)任，以解決信息化建設(shè)與控制中存在的責(zé)權(quán)利不明問題，并確定目標(biāo)不一致問題的協(xié)調(diào)機(jī)制。此外，要建立責(zé)任考核制度并與責(zé)任主體的經(jīng)濟(jì)利益聯(lián)系起來，從而保障書面文件規(guī)定得以貫徹執(zhí)行。

［1］唐志豪、計(jì)春陽、胡克瑾：《IT治理研究述評(píng)》，《會(huì)計(jì)研究》2008年第5期。

［2］李維安、王德祿：《IT治理及其模型的比較分析》，《首都經(jīng)濟(jì)貿(mào)易大學(xué)學(xué)報(bào)》2005年第5期。

［3］周常蘭、陳寶峰：《ISCA模型——IT治理視角下的解析》，《會(huì)計(jì)研究》2009年第2期。

［4］ISACA，COBIT Management Guidelines.4.1 Edition,2007.

［5］Weill,P.，Don’t just Lead,Govern:How Top-Performing Firms Govern IT.MIS Quarterly Executive,2004.