论文部分内容阅读
摘要:文章针对企业在信息化过程中存在的有关问题,介绍了基于风险的IT治理的理论基础和实际背景,并建立起了一套企业IT治理的理论框架,涵盖企业IT治理的目标、环境、结构和实施方式,以期对推动企业信息化提供一些借鉴。
关键词:IT治理 风险 审计 IT目标 企业目标
近年来,IT治理已经逐渐成为企业治理中的重要环节。基于风险的IT治理模式,已逐步证明是一种改善和提高企业IT治理水平的有效方法。基于风险的IT治理是与信息时代的高度风险社会相适应的,是与迅猛发展的企业信息化态势相呼应的,是与日益增长的企业信息化风险管理要求相对应的。本文将对基于风险的IT治理这一具有理论和现实意义的研究课题进行探讨和研究,初步建立起一套基于风险的IT治理的理论框架,并研究基于风险的IT治理的目标、环境、结构和运作模式。
定义及目标
国际信息系统审计与控制协会(ISACA)对于IT治理定义如下:IT治理是一个由关系和过程所构成的体制,用于指导和控制企业,通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。从中我们可以发现IT治理中一个重要部分的首要目的是实现企业目标,尤其是通过对信息化过程中出现的各种风险,特别是信息技术与过程的风险进行评估和控制,来指导和控制IT投资、机遇、利益、风险,保护利益相关者的权益,使风险透明化。具体来看,我们可以归结出基于风险的IT治理的三大目标:
(一)IT目标与企业目标的统一
基于风险的IT治理将实现IT目标与企业目标的统一,是企业实现经营目标的重要保障。
IT治理和其他企业治理活动一样,集中在治理层和管理层。IT治理要保证从企业目标和IT战略中抽取信息需求和IT功能需求,形成总体的IT治理框架和IT系统整体模型,为进一步系统设计和实施奠定基础,保证信息技术跟上持续变化的业务目标。企业目标与IT目标之间的关系如图1所示。
(二)风险收益与风险损失的统一
基于风险的IT治理将实现风险收益与风险损失的统一,是信息化利害相关者之间的责权利的制衡手段。
通过合理有效的基于风险的IT治理机制保证人们获得更多的风险收益,尽可能地减少和降低风险损失,这是建立基于风险的IT治理机制的目标之一。信息化风险本质上是一种风险利益,是指人们在不确定的信息化活动中由于种种不确定性因素的作用,利益主体获得的那部分期望之外的超额利益,或蒙受的那部分意料之外的利益损失。前者是风险收益,后者是风险损失。在信息化过程中,人们总是主动获取最大化风险增益,积极规避风险损失,使之最小化,期望风险增益超越风险损失的增长。然而这种期望的实现需要通过基于风险的IT治理机制在信息化活动中的建立和执行得以保证。
(三)创造力与控制力的统一
基于风险的IT治理将实现创造力与控制力的统一,企业资本和信息化资源得到合理充分利用,是强化信息化风险控制、防范和化解企业风险的必然选择。
长期以来,企业所面临的信息化控制力和创新力失衡情况并没有得到根本性改变。信息化活动在某些企业仍处于高风险和冒险式过程状态中。因此,在IT治理机制健全、管理制度完备、决策科学的企业里,适当的信息化控制力的加强更能保证企业信息化创新力发挥的方向性、有效性和持久性;而信息化创新力的充分发挥则使企业信息化控制力更能适应时势、恰如其分、更有时效性。
企业基于风险的IT治理框架组成
基于风险的IT治理各治理主体的治理动机来源于信息化的风险客观存在性和利益的驱动。各治理主体希望在风险受约束条件下实现收益最大,或者说收益限定条件下实现风险最低。
悉心观察和总结世界各国IT治理的理论研究及治理实践的正反两个方面的经验教训,不难看出,一个有效的企业IT治理结构,起码需要具备以下几个条件:第一,能与该企业的经济实力和战略目标相适应;第二,能保证企业实现长期的稳定增长与发展;第三,能保证企业对信息化参与者进行有效的调控;第四,能够保证信息化参与者具有独立的开发自主权;第五,能够有效地运用激励和控制等机制全面地调控企业所有者、信息化参与者和企业职工的行为,并充分地发挥各自的积极性。这些条件也应作为选择我国公司治理结构目标模式的主要标准。以下是笔者研究分析所得的一套框架结构(见图2):
(一)外部治理环境
政府、资本市场、质量技术监督、信息化技术标准、外部审计、客户、供应商、社会舆论是影响企业信息化风险的重要外部环境。其中外部审计作为独立客观的第三方的出现,通过被授权委托,对被审计企业的信息化活动,根据公认的信息化标准,公认审计准则以及各国相关的信息化法规对信息化相关事项进行客观评价,已经日益被各方所接受。
(二)内部治理结构
股东(大会)、董事会、管理层、内部审计、员工共同构成了内部治理结构。其中内部审计部门包括信息化审计委员会、内部信息化审计机构等等,目前仍然有待推广。但其积极作用已经引起了极大的重视。从信息化活动的分工、分包的特点来看,董事会授权管理当局实施信息化,管理当局又将信息化任务外包给信息化管理者,信息化管理者又可能进行任务分解。各个层次的信息化利害相关者都客观地需要建立IT治理的机制和结构。内部审计正是基于这种信息化活动的分级行为和信息化利害相关者的利益保护而设立的。
(三)信息化管理者自我调控机制
决策机制、组织控制、管理制度、内部监督四大组件共同组成了信息化管理者自我调控机制。由于信息化活动本身的渗透性和复杂性,从而使信息化管理者自我调控机制更广泛,更复杂,它的设计和管理更需要较高的技巧、严谨的态度和高度专业化的管理。比较各种风险控制和监管的方法,可以说一套严密有效的信息化管理者自我调控机制是信息化活动有效稳定运行的前提条件,它变事后监督为事前防范,能自动地预警风险并以恰当的程序予以纠正,从而将风险降到最低。
实施方式
(一)股东主导的治理审计模式
股东会主导治理审计的前提是股东会可以充分发挥其功能,以股东会为IT治理核心,由股东和其他利益相关者委托审计师对董事会、经营者的受托信息化责任审计,还可以对企业信息化管理者的受托信息化责任审计。审计信息由审计人传递给股东和其他利益相关者。
(二)董事会主导的治理审计模式
董事会主导的信息化审计是“董事会对整个信息化组织经营调研,以落实董事会的各种信息化战略政策和要求是否成功地贯彻执行;促进信息化活动更加有效,企业信息化管理更有效率和更加稳定”。
(三)企业经营者主导的治理审计模式
在更多情形下,企业经营者直接承担着信息化项目的委托任务,上对股东会和董事会承担IT治理责任,下对信息化参与者代理责任审计。企业经营者主导的治理审计是为了揭露信息化活动的缺陷和弊端,降低或消除信息化风险,以便于其利用经审定后的审计证据正确评价信息化受托方的受托信息化责任的履行情况,维护所有者的利益。
(四)信息化受托方主导的自我调控模式
在确定受托信息化责任的履行过程中,为了明确自身的清白,取信于委托方,信息化受托方亦存在主动需求信息化审计的愿望,这时其对信息化审计的需求是希望通过信息化审计确信受托信息化责任履行状况遵守了与委托方之间既定约定。信息化受托方要求信息化审计验证其工作情况,是为了减少与委托人之间的信息不对称,增进了解,相互信任。
结束语
企业信息化需要治理的核心理由是风险的客观存在性和委托代理问题,有风险的信息化导致信息化参与者及利害相关者之间的激励不相容、责任不对等、风险与利益分配不均衡等。企业基于风险的IT治理通过一定的治理结构和运作模式,发挥一系列机制——激励、约束、互动、整合对信息化参与者及利害相关者之间的责、权、利进行配置来实现治理的目标,其根本的目标是保护信息化所有者的权益,并使其利益最大化;监督信息化参与者的行为以防止其偏离所有者的利益,其关键的功能是如何统一IT目标和企业目标,如何实现风险收益与风险损失的统一,如何更好地配置信息化的创新力和控制力。
(作者单位:同济大学经济与管理学院,毕马威华振会计师事务所)
参考文献
[1]胡克瑾.IT审计[M].电子工业出版社,2002.
[2]赵永超.企业信息化风险治理与审计[D].同济大学,2003.
关键词:IT治理 风险 审计 IT目标 企业目标
近年来,IT治理已经逐渐成为企业治理中的重要环节。基于风险的IT治理模式,已逐步证明是一种改善和提高企业IT治理水平的有效方法。基于风险的IT治理是与信息时代的高度风险社会相适应的,是与迅猛发展的企业信息化态势相呼应的,是与日益增长的企业信息化风险管理要求相对应的。本文将对基于风险的IT治理这一具有理论和现实意义的研究课题进行探讨和研究,初步建立起一套基于风险的IT治理的理论框架,并研究基于风险的IT治理的目标、环境、结构和运作模式。
定义及目标
国际信息系统审计与控制协会(ISACA)对于IT治理定义如下:IT治理是一个由关系和过程所构成的体制,用于指导和控制企业,通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。从中我们可以发现IT治理中一个重要部分的首要目的是实现企业目标,尤其是通过对信息化过程中出现的各种风险,特别是信息技术与过程的风险进行评估和控制,来指导和控制IT投资、机遇、利益、风险,保护利益相关者的权益,使风险透明化。具体来看,我们可以归结出基于风险的IT治理的三大目标:
(一)IT目标与企业目标的统一
基于风险的IT治理将实现IT目标与企业目标的统一,是企业实现经营目标的重要保障。
IT治理和其他企业治理活动一样,集中在治理层和管理层。IT治理要保证从企业目标和IT战略中抽取信息需求和IT功能需求,形成总体的IT治理框架和IT系统整体模型,为进一步系统设计和实施奠定基础,保证信息技术跟上持续变化的业务目标。企业目标与IT目标之间的关系如图1所示。
(二)风险收益与风险损失的统一
基于风险的IT治理将实现风险收益与风险损失的统一,是信息化利害相关者之间的责权利的制衡手段。
通过合理有效的基于风险的IT治理机制保证人们获得更多的风险收益,尽可能地减少和降低风险损失,这是建立基于风险的IT治理机制的目标之一。信息化风险本质上是一种风险利益,是指人们在不确定的信息化活动中由于种种不确定性因素的作用,利益主体获得的那部分期望之外的超额利益,或蒙受的那部分意料之外的利益损失。前者是风险收益,后者是风险损失。在信息化过程中,人们总是主动获取最大化风险增益,积极规避风险损失,使之最小化,期望风险增益超越风险损失的增长。然而这种期望的实现需要通过基于风险的IT治理机制在信息化活动中的建立和执行得以保证。
(三)创造力与控制力的统一
基于风险的IT治理将实现创造力与控制力的统一,企业资本和信息化资源得到合理充分利用,是强化信息化风险控制、防范和化解企业风险的必然选择。
长期以来,企业所面临的信息化控制力和创新力失衡情况并没有得到根本性改变。信息化活动在某些企业仍处于高风险和冒险式过程状态中。因此,在IT治理机制健全、管理制度完备、决策科学的企业里,适当的信息化控制力的加强更能保证企业信息化创新力发挥的方向性、有效性和持久性;而信息化创新力的充分发挥则使企业信息化控制力更能适应时势、恰如其分、更有时效性。
企业基于风险的IT治理框架组成
基于风险的IT治理各治理主体的治理动机来源于信息化的风险客观存在性和利益的驱动。各治理主体希望在风险受约束条件下实现收益最大,或者说收益限定条件下实现风险最低。
悉心观察和总结世界各国IT治理的理论研究及治理实践的正反两个方面的经验教训,不难看出,一个有效的企业IT治理结构,起码需要具备以下几个条件:第一,能与该企业的经济实力和战略目标相适应;第二,能保证企业实现长期的稳定增长与发展;第三,能保证企业对信息化参与者进行有效的调控;第四,能够保证信息化参与者具有独立的开发自主权;第五,能够有效地运用激励和控制等机制全面地调控企业所有者、信息化参与者和企业职工的行为,并充分地发挥各自的积极性。这些条件也应作为选择我国公司治理结构目标模式的主要标准。以下是笔者研究分析所得的一套框架结构(见图2):
(一)外部治理环境
政府、资本市场、质量技术监督、信息化技术标准、外部审计、客户、供应商、社会舆论是影响企业信息化风险的重要外部环境。其中外部审计作为独立客观的第三方的出现,通过被授权委托,对被审计企业的信息化活动,根据公认的信息化标准,公认审计准则以及各国相关的信息化法规对信息化相关事项进行客观评价,已经日益被各方所接受。
(二)内部治理结构
股东(大会)、董事会、管理层、内部审计、员工共同构成了内部治理结构。其中内部审计部门包括信息化审计委员会、内部信息化审计机构等等,目前仍然有待推广。但其积极作用已经引起了极大的重视。从信息化活动的分工、分包的特点来看,董事会授权管理当局实施信息化,管理当局又将信息化任务外包给信息化管理者,信息化管理者又可能进行任务分解。各个层次的信息化利害相关者都客观地需要建立IT治理的机制和结构。内部审计正是基于这种信息化活动的分级行为和信息化利害相关者的利益保护而设立的。
(三)信息化管理者自我调控机制
决策机制、组织控制、管理制度、内部监督四大组件共同组成了信息化管理者自我调控机制。由于信息化活动本身的渗透性和复杂性,从而使信息化管理者自我调控机制更广泛,更复杂,它的设计和管理更需要较高的技巧、严谨的态度和高度专业化的管理。比较各种风险控制和监管的方法,可以说一套严密有效的信息化管理者自我调控机制是信息化活动有效稳定运行的前提条件,它变事后监督为事前防范,能自动地预警风险并以恰当的程序予以纠正,从而将风险降到最低。
实施方式
(一)股东主导的治理审计模式
股东会主导治理审计的前提是股东会可以充分发挥其功能,以股东会为IT治理核心,由股东和其他利益相关者委托审计师对董事会、经营者的受托信息化责任审计,还可以对企业信息化管理者的受托信息化责任审计。审计信息由审计人传递给股东和其他利益相关者。
(二)董事会主导的治理审计模式
董事会主导的信息化审计是“董事会对整个信息化组织经营调研,以落实董事会的各种信息化战略政策和要求是否成功地贯彻执行;促进信息化活动更加有效,企业信息化管理更有效率和更加稳定”。
(三)企业经营者主导的治理审计模式
在更多情形下,企业经营者直接承担着信息化项目的委托任务,上对股东会和董事会承担IT治理责任,下对信息化参与者代理责任审计。企业经营者主导的治理审计是为了揭露信息化活动的缺陷和弊端,降低或消除信息化风险,以便于其利用经审定后的审计证据正确评价信息化受托方的受托信息化责任的履行情况,维护所有者的利益。
(四)信息化受托方主导的自我调控模式
在确定受托信息化责任的履行过程中,为了明确自身的清白,取信于委托方,信息化受托方亦存在主动需求信息化审计的愿望,这时其对信息化审计的需求是希望通过信息化审计确信受托信息化责任履行状况遵守了与委托方之间既定约定。信息化受托方要求信息化审计验证其工作情况,是为了减少与委托人之间的信息不对称,增进了解,相互信任。
结束语
企业信息化需要治理的核心理由是风险的客观存在性和委托代理问题,有风险的信息化导致信息化参与者及利害相关者之间的激励不相容、责任不对等、风险与利益分配不均衡等。企业基于风险的IT治理通过一定的治理结构和运作模式,发挥一系列机制——激励、约束、互动、整合对信息化参与者及利害相关者之间的责、权、利进行配置来实现治理的目标,其根本的目标是保护信息化所有者的权益,并使其利益最大化;监督信息化参与者的行为以防止其偏离所有者的利益,其关键的功能是如何统一IT目标和企业目标,如何实现风险收益与风险损失的统一,如何更好地配置信息化的创新力和控制力。
(作者单位:同济大学经济与管理学院,毕马威华振会计师事务所)
参考文献
[1]胡克瑾.IT审计[M].电子工业出版社,2002.
[2]赵永超.企业信息化风险治理与审计[D].同济大学,2003.