论文部分内容阅读
IT治理是国内外管理、信息技术、经济、审计、法律等学术界和产业界共同关注、研究的一个全球性课题。SOX法案404条款的推出,从合规性实践出发给予上市公司硬性的规定,这使得IT治理在企业中的重视程度达到一个前所未有的高度,那么仅仅为了应付SOX法案建立相应的内控要求对于企业来说就够了吗?IT治理到底可以给企业带来什么?怎样构建一个全而的IT治理体系,真正发挥出IT的价值?本文试图做出一些探讨。
IT治理定义
构建全面的IT治理体系,首先要搞清楚IT治理是什么,它的起源和发展历史,这对我们理解IT治理十分必要。
治理与管理的区别
治理和管理分属不同层面,打个比方来说:火车行驶中管理仅仅是执行,是开火车,解决如何让火车跑得更快的问题;而治理则是谁来做决策,在哪修轨道,约束火车必须在轨道上行驶的问题。但同时治理和管理又是一个硬币的两面,缺了谁也不行。简单的说管理解决的是如何把事情做好,治理决定的是要做哪些事,谁来做这些事,以及决策机制如何建立、监控的问题。
公司治理与IT治理
IT治理的提出,一方面是因为信息已经成为我们企业最为宝贵的资产,IT在组织中已经扮演一个影响到组织全局、影响到治理层面的角色,另外一方面与全球瞩目的焦点难题——公司治理亦有着深刻的渊源。那么IT治理和公司治理到底是什么关系呢?
众所周知,公司治理问题一直是企业制度与组织的核心问题。近年来,因上市公司频频“惊曝黑幕”,“公司治理”成为全球性的问题。从美国的安然、世通、施乐等粉饰业绩甚至导致企业崩溃的案件,到日本雪印食品公司舞弊案件,都使得公司治理正在成为企业议事日程中最重要和最迫切的任务。公司治理是一种对公司管理和运营进行监督和控制的体系。它的核心是在所有权和经营权分离的条件下,解决好所有者和经营者的利益不一致而产生的委托一代理关系。其目标是降低代理成本,使所有者不干预公司的日常经营,同时又保证经理层维护股东的利益,实现公司价值和利益的最大化。
IT治理就是公司治理的一部分。来自国际信息系统审计与控制协会(ISACA)对IT治理的定义:IT治理是一个由关系和过程所构成的体制,用于指导和控制企业,通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。IT治理必须与企业战略目标一致。IT治理和其它治理主体一样,是管理执行人员和利益相关者的责任。研究IT治理,须将其放在组织背景中,将其看作是必须通过治理而产生价值地六种关键资产(人力、财务、实物、知识产权、IT、关系)之_。
在公司治理的大框架下,有许多和IT治理相关的概念。图1清晰地说明了公司治理、IT治理、IT内控、IT审计之间的关系。
IT治理和IT管理
提到IT治理,很多人难以区别IT治理和IT管理。IT管理是公司的信息及信息系统的运营,确定IT目标以及实现此目标所采取的行动;而IT治理是指最高管理层(董事会)利用它来监督管理层在IT战略上的过程、结构和联系,以确保这种运营处于正确的轨道之上。可见,IT管理就是在既定的IT治理模式下,管理层为实现公司的目标而采取的行动。
IT治理规定了整个企业IT运作的基本框架,IT管理则是在这个既定的框架下驾驭企业奔向目标。缺乏良好IT治理模式的公司,即使有“很好”的IT管理体系(而这实际上是不可能的),就像一座地基不牢固的大厦;同样,没有公司IT管理体系的畅通,单纯的治理模式也只能是一个美好的蓝图,而缺乏实际的内容。
IT治理的起源、发展历程
为了更好理解IT治理的内涵,需要追溯IT治理的起源,搞清楚IT治理的发展历程。
我们将IT治理的发展划分为三个阶段,从1980年~1999年我们称为准备阶段,这一阶段诞生了许多相关的IT治理框架模型、但是并没有一个全面清晰的IT治理概念的提出,还停留在对IT管理和控制框架的摸索中;1999年BIS的报告将IT管理和控制提高到了IT治理的层面,这个时候IT治理真正进入了起步阶段;2006年SOX404条款的生效,促使企业将IT治理提高到了一个前所未有的高度。
最后用一句话来概括IT治理的发展历程:企业管理的信息化和亟待改善的公司治理状况共同促成了IT治理的诞生、融合和发展。
为什么要做IT治理?
为什么要做IT治理,为什么IT治理对于组织的持续成功至关重要?对于IT治理的重要性,经过大量企业的调研归纳总结出7个原因:
1.良好的IT治理得大于失
对于我们研究的盈利企业而言,从3年期的行业调整资产回报率来看,那些有着高于IT治理绩效平均水平的企业在实施特定战略(例如:客户至上或卓越运营等)时会得到更丰厚的利润。实际结果因公司采取的具体战略不同而有所不同,但这些治理水平超出平均水平的企业的资产回报率,比那些采取相同战略但治理薄弱的企业要高出20个百分点。
2.IT是昂贵的
目前,企业在IT方面的平均投资已经超过了营业额的4.2%,并且还在不断上升。这样的投资力度导致了许多企业的IT投资额占企业年度总投资额的一半还要多。鉴于IT已经变得更加重要和普遍,如何管理和控制IT以确保其为企业创造价值,是高层管理团队面临的日益严峻的挑战。
3.IT无处不在
在很多企业,集中管理IT既不可能,也不必要。以前IT支出的要求仅仅来自于IT团队。但是今天,IT方面的支出可能产生于企业的任何一个部分。一些估算显示,IT预算只占IT相关支出的20%,而余下的部分则包含在业务流程预算、产品开发预算,以及其他各种各样的预算之中。良好规划的IT治理安排会将IT决策制订的权力分配给那些对结果承担责任的人员。
4.新的信息技术将为企业提供大量新的业务机会
不断涌现的新技术,包括基于网络的服务、移动技术以及企业系统,使企业同时面临战略威胁和机遇。比如大规模定制化服务的出现和“一对一”营销的兴起,而这源于我们能够以更具成本效益的、实时的方式获取客户信息的技术能力。
5.在组织理解IT价值过程中,IT治理至关重要
企业力求理解IT相关活动的价值,因为这种价值难以通过传统的现金流折算分析说清楚。价值的产生不仅源于流程的不断完善,而且也源于企业应对竞争压力能力的增强。有效的治理创造出一系列机制,企业可以使用这些机制更好的探讨本公司潜在的价值是什么,并使组织学习正规化。
6.IT价值不仅仅取决于好的技术
近年来有一些令人震惊的大型IT投资的失败案例一大型企业资源计划系统(ERP),构思错误和 执行乏力的e-business项目,以及能获得大量数据却几乎不能带来任何价值的数据挖掘实验,等等。有人估算,IT项目的失败率在70%以上。虽然有些项目的失败是由于技术方面的问题,但绝大多数失败都是因为组织无力采用新的流程,以有效应用新技术而造成的。
由于IT的实施不断地推动业务流程的标准化和一体化,技术专家和业务领导作用的相互交叉也越来越紧密。IT决策必须成为联合的决策。当高层主管人员忽视了决定IT成功的IT实施责任时,巨大的灾难往往会接踵而来。成功的企业不仅有着更好的IT决策,也有着更好的IT决策流程。
7.高层管理层的有限管理幅度
一个大型企业的高级主管人员,不能考虑所有有关IT投资的请求,更不用说参与其他很多与IT相关的决策了。如果高级主管人员试图事无巨细地亲自处理,那么他们就会成为瓶颈。但是那些与企业整体发展相关的决策,则必须与高级主管人员所确定的组织发展方向一致。审慎规划的IT治理,能够提供一个清楚透明的IT决策制订流程。这样在增强组织每一个成员创造力的同时,也能保证其行为与高级主管人员规划的组织愿景相一致。
IT治理可以解决哪些问题
IT治理如此重要,那么它到底可以解决哪些问题呢?在探讨IT治理可以解决哪些问题之前,我们先就身边发生的事件看一下IT治理失灵的例子:
南京火车站电脑售票系统突然发生死机故障,整个车站售票处于瘫痪状态,车站售票大厅内人满为患,众多旅客不得不改乘其它交通工具离开南京。车站领导和计算机技术人员告诉记者是由于电脑升级换代,调试时线路发生故障,才引发了此次系统瘫痪的。某银行在信息系统技术升级时,IT人员只注重保证系统在技术上的平滑过渡,而忽视了升级给客户带来的不便,导致客户流失,这些都表明当IT发生改变时会对业务目标产生冲击,而以上发生的问题都是通过IT治理机制可以合理避免的。
我们认为IT治理对商业目标而言有着战略意义,IT治理状况直接影响到企业实现目标的可能性,良好的IT治理有助于增强企业的灵活性和学习能力,巧妙管理风险,辨别发展机遇。对于最高管理层(董事会)而言,IT治理可以解决以下几个方面问题:
1.发现信息技术本身的问题。
例如IT项目未能实现期望价值的概率;终端用户是否满意IT服务的质量;是否有足够的IT资源、基础设施、竞争力来满足战略目标;信息技术平均操作失误的原因;IT没有推动业务改善却阻碍业务的次数。
2.帮助管理者处理IT问题。
例如,IT和组织战略目标的一致性程度怎么样;怎样衡量IT的交付价值;执行管理人员采取什么样的战略动机来管理IT;与企业的运营与成长管理相关的问题;企业是否清楚其商业目标与技术的关系:领先、跟随者还是滞后者;企业对风险(风险规避和风险承担)是否清楚;有没有最新的企业关于IT风险的清单,采取哪些行动处理这些风险。
3.自我评估IT管理的效果。
例如,是否经常向最高管理层(董事会)定期汇报IT风险;IT是否是最高管理层(董事会)议程中的一个常用的术语,它是否以结构化形式表达;最高管理层(董事会)是否就商业目标与信息技术一致性进行阐明和沟通;最高管理层(董事会)对主要IT投资是否有清楚的观点,包括风险和回报;最高管理层(董事会)是否定期得到主要IT过程的报告;最高管理层(董事会)在获取IT目标和限制IT风险时是否得到独立的保证。
IT治理的目标与领域
IT治理的最终目标是什么?关注企业的哪些领域?
IT治理的三大目标:
1.与业务EI标一致
IT治理要从组织目标和信息化战略中抽取信息需求和功能需求,形成总体的IT治理框架和系统整体模型,为进一步系统设计和实施奠定基础,保证信息技术跟上持续变化的业务目标。
2.有效利用信息资源
目前信息工程超期、IT客户的需求没有满足、IT平台不支持业务应用等问题较为突出,通过IT治理可以对信息资源的管理职责进行有效管理,保证投资的回收,并支持决策。
3.风险管理
由于企业越来越依赖于信息技术和网络,新的风险不断涌现,例如,新出现的技术没有管理,不符合现有法律和规章制度、没有识别对IT服务的威胁等。IT治理强调风险管理,通过制定信息资源的保护级别,强调关键的信息技术资源,有效实施监控,事故处理。IT治理适应企业外部环境变化,为企业内部实现对业务流程中资源的有效利用,从而达到改善管理效率和水平的重要手段。
IT治理的目标将帮助管理层建立以组织战略为导向,以外界环境为依据,以业务与IT整合为重心的观念,正确定位IT部门在整个组织的作用。最终能够针对不同业务发展要求,整合信息资源,制定并执行推动组织发展的IT战略。
根据IT治理的目标,IT治理应该关注的领域:
IT治理的核心思想
为了达到IT治理的三大目标,IT治理需要处理哪些问题,IT治理的核心思想是什么?IT治理的核心思想,就是有效的IT治理必须解决的三个问题:
1.为了保证有效地管理和使用IT,应当做出怎样的决策?
2.由谁做出这样的决策?
3.如何做出这些决策以及如何监控这些决策?
IT治理定义
构建全面的IT治理体系,首先要搞清楚IT治理是什么,它的起源和发展历史,这对我们理解IT治理十分必要。
治理与管理的区别
治理和管理分属不同层面,打个比方来说:火车行驶中管理仅仅是执行,是开火车,解决如何让火车跑得更快的问题;而治理则是谁来做决策,在哪修轨道,约束火车必须在轨道上行驶的问题。但同时治理和管理又是一个硬币的两面,缺了谁也不行。简单的说管理解决的是如何把事情做好,治理决定的是要做哪些事,谁来做这些事,以及决策机制如何建立、监控的问题。
公司治理与IT治理
IT治理的提出,一方面是因为信息已经成为我们企业最为宝贵的资产,IT在组织中已经扮演一个影响到组织全局、影响到治理层面的角色,另外一方面与全球瞩目的焦点难题——公司治理亦有着深刻的渊源。那么IT治理和公司治理到底是什么关系呢?
众所周知,公司治理问题一直是企业制度与组织的核心问题。近年来,因上市公司频频“惊曝黑幕”,“公司治理”成为全球性的问题。从美国的安然、世通、施乐等粉饰业绩甚至导致企业崩溃的案件,到日本雪印食品公司舞弊案件,都使得公司治理正在成为企业议事日程中最重要和最迫切的任务。公司治理是一种对公司管理和运营进行监督和控制的体系。它的核心是在所有权和经营权分离的条件下,解决好所有者和经营者的利益不一致而产生的委托一代理关系。其目标是降低代理成本,使所有者不干预公司的日常经营,同时又保证经理层维护股东的利益,实现公司价值和利益的最大化。
IT治理就是公司治理的一部分。来自国际信息系统审计与控制协会(ISACA)对IT治理的定义:IT治理是一个由关系和过程所构成的体制,用于指导和控制企业,通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。IT治理必须与企业战略目标一致。IT治理和其它治理主体一样,是管理执行人员和利益相关者的责任。研究IT治理,须将其放在组织背景中,将其看作是必须通过治理而产生价值地六种关键资产(人力、财务、实物、知识产权、IT、关系)之_。
在公司治理的大框架下,有许多和IT治理相关的概念。图1清晰地说明了公司治理、IT治理、IT内控、IT审计之间的关系。
IT治理和IT管理
提到IT治理,很多人难以区别IT治理和IT管理。IT管理是公司的信息及信息系统的运营,确定IT目标以及实现此目标所采取的行动;而IT治理是指最高管理层(董事会)利用它来监督管理层在IT战略上的过程、结构和联系,以确保这种运营处于正确的轨道之上。可见,IT管理就是在既定的IT治理模式下,管理层为实现公司的目标而采取的行动。
IT治理规定了整个企业IT运作的基本框架,IT管理则是在这个既定的框架下驾驭企业奔向目标。缺乏良好IT治理模式的公司,即使有“很好”的IT管理体系(而这实际上是不可能的),就像一座地基不牢固的大厦;同样,没有公司IT管理体系的畅通,单纯的治理模式也只能是一个美好的蓝图,而缺乏实际的内容。
IT治理的起源、发展历程
为了更好理解IT治理的内涵,需要追溯IT治理的起源,搞清楚IT治理的发展历程。
我们将IT治理的发展划分为三个阶段,从1980年~1999年我们称为准备阶段,这一阶段诞生了许多相关的IT治理框架模型、但是并没有一个全面清晰的IT治理概念的提出,还停留在对IT管理和控制框架的摸索中;1999年BIS的报告将IT管理和控制提高到了IT治理的层面,这个时候IT治理真正进入了起步阶段;2006年SOX404条款的生效,促使企业将IT治理提高到了一个前所未有的高度。
最后用一句话来概括IT治理的发展历程:企业管理的信息化和亟待改善的公司治理状况共同促成了IT治理的诞生、融合和发展。
为什么要做IT治理?
为什么要做IT治理,为什么IT治理对于组织的持续成功至关重要?对于IT治理的重要性,经过大量企业的调研归纳总结出7个原因:
1.良好的IT治理得大于失
对于我们研究的盈利企业而言,从3年期的行业调整资产回报率来看,那些有着高于IT治理绩效平均水平的企业在实施特定战略(例如:客户至上或卓越运营等)时会得到更丰厚的利润。实际结果因公司采取的具体战略不同而有所不同,但这些治理水平超出平均水平的企业的资产回报率,比那些采取相同战略但治理薄弱的企业要高出20个百分点。
2.IT是昂贵的
目前,企业在IT方面的平均投资已经超过了营业额的4.2%,并且还在不断上升。这样的投资力度导致了许多企业的IT投资额占企业年度总投资额的一半还要多。鉴于IT已经变得更加重要和普遍,如何管理和控制IT以确保其为企业创造价值,是高层管理团队面临的日益严峻的挑战。
3.IT无处不在
在很多企业,集中管理IT既不可能,也不必要。以前IT支出的要求仅仅来自于IT团队。但是今天,IT方面的支出可能产生于企业的任何一个部分。一些估算显示,IT预算只占IT相关支出的20%,而余下的部分则包含在业务流程预算、产品开发预算,以及其他各种各样的预算之中。良好规划的IT治理安排会将IT决策制订的权力分配给那些对结果承担责任的人员。
4.新的信息技术将为企业提供大量新的业务机会
不断涌现的新技术,包括基于网络的服务、移动技术以及企业系统,使企业同时面临战略威胁和机遇。比如大规模定制化服务的出现和“一对一”营销的兴起,而这源于我们能够以更具成本效益的、实时的方式获取客户信息的技术能力。
5.在组织理解IT价值过程中,IT治理至关重要
企业力求理解IT相关活动的价值,因为这种价值难以通过传统的现金流折算分析说清楚。价值的产生不仅源于流程的不断完善,而且也源于企业应对竞争压力能力的增强。有效的治理创造出一系列机制,企业可以使用这些机制更好的探讨本公司潜在的价值是什么,并使组织学习正规化。
6.IT价值不仅仅取决于好的技术
近年来有一些令人震惊的大型IT投资的失败案例一大型企业资源计划系统(ERP),构思错误和 执行乏力的e-business项目,以及能获得大量数据却几乎不能带来任何价值的数据挖掘实验,等等。有人估算,IT项目的失败率在70%以上。虽然有些项目的失败是由于技术方面的问题,但绝大多数失败都是因为组织无力采用新的流程,以有效应用新技术而造成的。
由于IT的实施不断地推动业务流程的标准化和一体化,技术专家和业务领导作用的相互交叉也越来越紧密。IT决策必须成为联合的决策。当高层主管人员忽视了决定IT成功的IT实施责任时,巨大的灾难往往会接踵而来。成功的企业不仅有着更好的IT决策,也有着更好的IT决策流程。
7.高层管理层的有限管理幅度
一个大型企业的高级主管人员,不能考虑所有有关IT投资的请求,更不用说参与其他很多与IT相关的决策了。如果高级主管人员试图事无巨细地亲自处理,那么他们就会成为瓶颈。但是那些与企业整体发展相关的决策,则必须与高级主管人员所确定的组织发展方向一致。审慎规划的IT治理,能够提供一个清楚透明的IT决策制订流程。这样在增强组织每一个成员创造力的同时,也能保证其行为与高级主管人员规划的组织愿景相一致。
IT治理可以解决哪些问题
IT治理如此重要,那么它到底可以解决哪些问题呢?在探讨IT治理可以解决哪些问题之前,我们先就身边发生的事件看一下IT治理失灵的例子:
南京火车站电脑售票系统突然发生死机故障,整个车站售票处于瘫痪状态,车站售票大厅内人满为患,众多旅客不得不改乘其它交通工具离开南京。车站领导和计算机技术人员告诉记者是由于电脑升级换代,调试时线路发生故障,才引发了此次系统瘫痪的。某银行在信息系统技术升级时,IT人员只注重保证系统在技术上的平滑过渡,而忽视了升级给客户带来的不便,导致客户流失,这些都表明当IT发生改变时会对业务目标产生冲击,而以上发生的问题都是通过IT治理机制可以合理避免的。
我们认为IT治理对商业目标而言有着战略意义,IT治理状况直接影响到企业实现目标的可能性,良好的IT治理有助于增强企业的灵活性和学习能力,巧妙管理风险,辨别发展机遇。对于最高管理层(董事会)而言,IT治理可以解决以下几个方面问题:
1.发现信息技术本身的问题。
例如IT项目未能实现期望价值的概率;终端用户是否满意IT服务的质量;是否有足够的IT资源、基础设施、竞争力来满足战略目标;信息技术平均操作失误的原因;IT没有推动业务改善却阻碍业务的次数。
2.帮助管理者处理IT问题。
例如,IT和组织战略目标的一致性程度怎么样;怎样衡量IT的交付价值;执行管理人员采取什么样的战略动机来管理IT;与企业的运营与成长管理相关的问题;企业是否清楚其商业目标与技术的关系:领先、跟随者还是滞后者;企业对风险(风险规避和风险承担)是否清楚;有没有最新的企业关于IT风险的清单,采取哪些行动处理这些风险。
3.自我评估IT管理的效果。
例如,是否经常向最高管理层(董事会)定期汇报IT风险;IT是否是最高管理层(董事会)议程中的一个常用的术语,它是否以结构化形式表达;最高管理层(董事会)是否就商业目标与信息技术一致性进行阐明和沟通;最高管理层(董事会)对主要IT投资是否有清楚的观点,包括风险和回报;最高管理层(董事会)是否定期得到主要IT过程的报告;最高管理层(董事会)在获取IT目标和限制IT风险时是否得到独立的保证。
IT治理的目标与领域
IT治理的最终目标是什么?关注企业的哪些领域?
IT治理的三大目标:
1.与业务EI标一致
IT治理要从组织目标和信息化战略中抽取信息需求和功能需求,形成总体的IT治理框架和系统整体模型,为进一步系统设计和实施奠定基础,保证信息技术跟上持续变化的业务目标。
2.有效利用信息资源
目前信息工程超期、IT客户的需求没有满足、IT平台不支持业务应用等问题较为突出,通过IT治理可以对信息资源的管理职责进行有效管理,保证投资的回收,并支持决策。
3.风险管理
由于企业越来越依赖于信息技术和网络,新的风险不断涌现,例如,新出现的技术没有管理,不符合现有法律和规章制度、没有识别对IT服务的威胁等。IT治理强调风险管理,通过制定信息资源的保护级别,强调关键的信息技术资源,有效实施监控,事故处理。IT治理适应企业外部环境变化,为企业内部实现对业务流程中资源的有效利用,从而达到改善管理效率和水平的重要手段。
IT治理的目标将帮助管理层建立以组织战略为导向,以外界环境为依据,以业务与IT整合为重心的观念,正确定位IT部门在整个组织的作用。最终能够针对不同业务发展要求,整合信息资源,制定并执行推动组织发展的IT战略。
根据IT治理的目标,IT治理应该关注的领域:
IT治理的核心思想
为了达到IT治理的三大目标,IT治理需要处理哪些问题,IT治理的核心思想是什么?IT治理的核心思想,就是有效的IT治理必须解决的三个问题:
1.为了保证有效地管理和使用IT,应当做出怎样的决策?
2.由谁做出这样的决策?
3.如何做出这些决策以及如何监控这些决策?