ＩＴ治理導入模型研究

［摘 要］ SOX法案的頒布使得公司治理再度成為世界的關注點，如何進行有效的IT 治理并以此提升公司治理水平成為亟待解決的問題。本文從IT 治理的涵義出發(fā)，構建了一個將IT治理內容與流程相結合的IT 治理導入模型，進而對模型中的各主要元素進行深入的分析，并給出了具體的方法和工具。本文對我國企業(yè)提升公司治理和IT治理水平具有積極的理論和實踐指導意義。

［關鍵詞］ IT 治理；導入模型；公司治理；COBIT

［中圖分類號］F270.7［文獻標識碼］A［文章編號］1673-0194（2008）16-0082-03

一、 公司治理的新挑戰(zhàn)

安然公司、世界通訊公司財務丑聞的相繼爆出，以及《薩班斯法案》（SOX）的推出，使公司治理再次成為世界性的關注點。新頒布的SOX法案要求上市公司提高透明度，提高公布信息的質量，加強信息披露，完善公司治理水平，保護投資者的利益。尤其是SOX法案的302、404以及409等條款，對IT一般性控制和應用系統(tǒng)/業(yè)務流程層面的自動控制提出了明確的要求，凸顯了IT治理在公司治理機制中的作用。

IT治理不但是完善公司治理的利器，也是當今法律法規(guī)的必然要求。沒有相應IT治理機制的公司治理，無法提高公司治理水平，無法滿足SOX法案的嚴格要求。

如何從信息技術（IT）中獲得最大化的商業(yè)價值，充分利用信息資源，避免“信息孤島”、信息系統(tǒng)與業(yè)務相脫離等問題，并控制信息化建設過程中的風險，是IT治理的主題，也是公司治理面臨的嶄新而迫切的任務，也是本文將要探討的主要問題。

二、 IT 治理的涵義

麻省理工學院（MIT）信息系統(tǒng)研究中心的 Peter Weill教授等認為：“IT治理是在IT應用過程中，為鼓勵期望行為而明確的決策歸屬和責任擔當框架”。他們認為，對任何一個企業(yè)來說，IT治理包含以下5個關鍵IT決策問題：IT原則、IT架構決策、IT基礎設施決策、業(yè)務應用需求決策和IT投資優(yōu)先順序決策。而IT 治理就是要明確由誰做這些決策，并承擔相應的責任。

從以上定義可以看出，IT治理要從制度層面和組織架構入手，構建一系列的政策、流程和程序，使IT目標符合企業(yè)戰(zhàn)略目標，企業(yè)從IT中獲得最大的商業(yè)價值。同時，明確IT建設中各項決策的歸屬權及責任，合理利用組織的信息資源，并對IT 建設中的相關風險加以管理和控制。

三、 IT 治理導入模型

IT 治理在世界范圍內還是一個嶄新的領域，IT治理首先由Loh and Venkatraman（1992）提出，Brown（1997）提出“IS治理框架”，Sambamurthy and Zmud（1999）將其發(fā)展成為“IT治理框架”，此后IT治理才真正成為世界研究熱點。

對于IT 治理的相關要素及治理框架都有一些研究，但對于公司應該如何系統(tǒng)性地導入IT 治理的研究還很少，本文試圖將IT 治理的內容與IT 治理的流程結合起來，構建一個公司IT 治理導入模型，幫助公司有效地實施IT 治理。導入模型如圖1所示。

1. 制定企業(yè)發(fā)展戰(zhàn)略

首先，一個公司要生存和發(fā)展必須要有自己的企業(yè)目標。為了實現戰(zhàn)略目標，公司必須制定自己的發(fā)展戰(zhàn)略，在發(fā)展戰(zhàn)略中，公司建立了自己的組織，制定了自己的業(yè)務運作模式和競爭策略，以及與公司戰(zhàn)略和組織相匹配的IT 發(fā)展戰(zhàn)略，以支持公司業(yè)務更好地發(fā)展。可以說，企業(yè)的發(fā)展戰(zhàn)略和競爭策略決定了公司的IT發(fā)展戰(zhàn)略，公司的IT 發(fā)展戰(zhàn)略必須要與公司的戰(zhàn)略目標相匹配和協(xié)調一致。這是IT 治理的第一步，也是最重要的一步。

2. 制定5個關鍵決策

為了有效地制定ITF規(guī)劃，取得良好的治理效果，公司必須制定以下5個關鍵決策：

IT原則。它是關于IT在公司如何運用的一系列最高陳述。它體現了公司IT價值和目標，并指導戰(zhàn)術上的決策，以及IT以何種方式支持組織的運營。

IT架構。根據公司的IT原則，需要構建公司的數據、應用程序以及基礎設施的組織邏輯，對流程和數據的標準化程度進行定義。它是對組織運營支持的具體實現。

IT基礎設施。IT基礎設施可以為多個應用提供共享的、基礎的服務。企業(yè)的基礎設施通常包括無線通訊網絡服務、大規(guī)模計算和管理、共享數據的管理、新技術的研發(fā)以及內聯(lián)網等。

業(yè)務應用需求。企業(yè)的業(yè)務應用決策直接為企業(yè)帶來價值。企業(yè)應該根據公司的價值鏈，識別出企業(yè)的核心流程，確定哪些流程可以為企業(yè)帶來最大價值，從而將戰(zhàn)略系統(tǒng)的應用集中在這些流程上。需要強調的是，企業(yè)的各單位業(yè)務系統(tǒng)的應用，不能破壞整個企業(yè)的IT架構。

IT投資和優(yōu)先順序。IT在不同的企業(yè)中扮演不同的戰(zhàn)略角色，應該根據公司的發(fā)展戰(zhàn)略決定IT的投資順序和額度，并隨公司的發(fā)展戰(zhàn)略的變化而變化。

這5個決策是相互作用、相互影響的。任何一個都不能單獨決策，必須聯(lián)系起來綜合考慮。IT原則是最重要的，它闡明了企業(yè)的IT目標，決定了其他決策的方向；IT架構決策把IT原則轉化為清晰愿景，從而幫助企業(yè)實現其商業(yè)目標；IT基礎設施和應用決策是由原則、架構和投資標準決定的。

3. 建立IT 治理組織、治理安排及實現機制

（1） 建立IT 決策組織，明確治理安排

明確了IT治理需要制定哪些決策之后，還需要確定這些決策由誰來制定。在企業(yè)中通常可能由高層管理委員會（由一群CxOs 組成）或IT管理委員會（由公司和各業(yè)務部門的IT專家組成）、高管會與業(yè)務部門聯(lián)手、高管會與IT部門聯(lián)手決策。安排框架如表1所示，說明了由誰負責那項決策，由誰提供決策所需的信息。

IT原則的治理安排。在IT原則的決策中，絕大多數企業(yè)采用了由IT專業(yè)人員和CxO們組成的高管會共同決策的治理模式。這種模式可以確保IT與公司的業(yè)務戰(zhàn)略一致，使公司的IT原則具有一定的前瞻性。單獨由高管會或IT部門來做出決策，都面臨著巨大的風險。

IT架構的典型治理安排。超過70%的企業(yè)由IT部門負責將公司的IT原則轉化為支持企業(yè)戰(zhàn)略的IT架構，同時由各業(yè)務部門提供所需要的信息。這樣業(yè)務部門的需求就可以糅進企業(yè)的IT架構中，保證企業(yè)的IT架構符合企業(yè)的目標。

IT基礎設施的典型治理安排。IT基礎設施的決策和IT架構一樣，約有60%的企業(yè)由IT部門制定。決策所需要的信息來源于各業(yè)務部門的需求。

業(yè)務應用需求的典型治理安排。對于IT業(yè)務應用需求的決策，由高管會與業(yè)務部門或高管會與IT部門聯(lián)合決策的形式較多。由高管會與業(yè)務部門共同決策，可以將部門的應用需求與企業(yè)的目標相結合。由高管會與IT部門共同決策的方式，需要各業(yè)務部門將各自的需求匯報到IT部門，IT部門將各部門的共同需求制定出共同的解決方案。這樣，一方面可以為企業(yè)節(jié)約大量的資金，另一方面，增強了技術標準和現有的IT基礎設施能力對應用選擇的影響力。

IT投資和優(yōu)先級的典型治理安排。對IT投資和優(yōu)先級的決策主要有：由高管會決策、由高管會與業(yè)務部門或與IT部門共同決策3種形式。每種方法的著眼點各不相同。高管會主要負責整個資金預算和項目優(yōu)先級的決策。對于企業(yè)與各業(yè)務部門的需求平衡則由高管會與業(yè)務部門共同決策；高管會與IT部門聯(lián)合決策可以保證公司有限的資金得到最合理的使用，并保證最急需的項目能夠順利進行。

（2） 建立IT 治理的實現機制

有了治理安排，企業(yè)還需要一系列的治理機制來實現及監(jiān)控這些安排。設計周詳的、容易理解和清晰的機制，可以較好地實現IT治理。反之，治理安排則不會實現預期的結果。有效的IT治理機制通常由治理流程、溝通方式來構成。

治理流程。有效的治理流程與決策一樣重要。關鍵的治理流程包括：IT投資批準流程、架構的例外流程、服務水平協(xié)議、費用分攤機制、在建項目追蹤、項目建設績效評估。流程的定義應該是非常清晰、明確、透明的。

溝通方式。包括企業(yè)采用什么樣的方法將IT治理的原則、政策和有關的IT決策的結果傳播出去，以及對用戶的教育、培訓等。常用的方法有：高層管理者的公告、正式委員會的會議、通過IT治理辦公室來溝通治理安排等。企業(yè)越是采用正式的溝通方式對他們的IT治理機制、工作方式、預期效果進行溝通，治理的效果就越好。

總的來說，在設計企業(yè)的治理機制時，應該根據企業(yè)的實際情況，以簡單、透明、適合為原則。機制應該明確定義特定組織和個人所承擔的責任和目標；治理的流程應該是正式的、非常清晰的；所制定的治理機制應該是適合企業(yè)自身的實際情況的。

4. IT 治理實施及評估

流程的效果取決于實施。公司在明確了IT 治理的內容，建立了相關的組織結構、治理流程和溝通機制之后，對于各個治理活動應該建立嚴格的治理計劃，根據各個活動所需，分配相應的資源，并嚴格按照公司的治理流程進行。具體項目的實施，如ERP， SCM 等大型系統(tǒng)，應該將IT 項目的管理方法與公司的治理流程相結合，以保證項目的成功。

對公司的各項IT 項目及治理活動，在完成之后，都需要進行評估。評估可以參照平衡記分卡的理論體系進行，即從財務視角、業(yè)務流程視角、客戶視角及企業(yè)的創(chuàng)新持續(xù)發(fā)展的視角進行評估。目前，評估的理論體系非常豐富，不存在優(yōu)劣之分，企業(yè)應該選擇最適合自己的理論方法進行評估。

至此，已經完成了公司IT 治理的一個循環(huán)。但是，公司的IT 治理是一個動態(tài)的而不是靜態(tài)的過程，公司應該根據在治理過程中發(fā)現的問題以及出現的新技術，不斷更新公司的戰(zhàn)略目標和IT 規(guī)劃，從而開始新一輪的治理循環(huán)。公司IT 治理的過程應該是一個循環(huán)往復螺旋式上升的過程，治理水平不斷提高。

四、 總 結

本文建立的IT治理導入框架模型強調組織導入IT治理必須遵循一個科學的流程：制定與戰(zhàn)略目標相一致的IT 發(fā)展規(guī)劃，建立相關的決策組織、決策流程和實現機制，在具體實施中，公司應該嚴格對各項治理活動進行監(jiān)控與評估。只有科學地遵循IT治理導入流程，才能有效提高IT治理水平，從而強有力地提升我國企業(yè)的公司治理水平。

主要參考文獻

［1］ 彼得·維爾，珍妮·W·羅斯. IT 治理 ［M］． 楊波譯． 北京：商務印書館，2005.

［2］ G Trites． Director Responsibility for IT Governance ［J］． International Journal of Accounting Information Systems，2004，5（2）.

［3］ V Sambamurthy and R W Zmud. Arrangements for Information Technology Governance：A Theory of Multiple Contingencies［J］． MIS Quarterly，1999，23（2）.

［4］ C V Brown. Examining the Emergence of Hybrid IS Governance Solutions： Evidence from a Single Case Site［J］． Information Systems Research，1997，8（1）.

［5］ IT Governance Institute，Information System Audit and Control Foundation. COBIT 4.0［S］． 2005.

［6］ 胡克瑾，陳民． IT 治理——公用事業(yè)信息化風險控制 ［J］． 城市公用事業(yè)，2006（4）.

［7］ 李維安，王德祿． IT 治理及其模型的比較分析 ［J］． 首都經濟貿易大學學報，2005（5）.

［8］ 田野，寶貢敏，常紅．基于IT 治理的企業(yè)信息戰(zhàn)略管理探討 ［J］．技術經濟，2005（10）.

［9］ 饒艷超．公司治理的新視角： IT治理——建立企業(yè)目標和信息技術之間的聯(lián)系 ［J］．會計研究，2003（8）.

［10］ 郝曉玲，李明． IT 治理對企業(yè)的影響分析［J］． 科研管理，2005 （5）.