（工商管理专业论文）A审计机关IT治理研究.pdf

m b a 学位论文作者：李春青a 审计机关i t 治理研究 中文摘要 论文通过分析a 审计机关及其信息化状况，认为在外部环境发生变化之后， i t 在a 审计机关已经从服务审计转变为影响竞争的重要因素，提出了开展i t 治理的必要性。在介绍了i t 治理理论和主流i t 治理模式后，对c o b i t 、i t i l 和w e i l l r o s s 三种模式进行了比较，认为注重i t 权力分配、具有高度柔性、 简单易懂、以引导为核心理念的w e 订1 r o s s 模式是最适合于当前a 审计机关的 i t 治理模式。 论文从五项关键i t 决策、i t 相关者职责和i t 决策流程三个角度分析了a 审计机关当前的i t 治理安排，并提出了当前i t 治理安排下存在的缺乏有效信 息化规划、i t 与审计业务脱节、i t 应用缺乏创新和i t 资源配置失衡等问题。 通过分析，论文认为i t 决策权集中在i t 部门是形成问题的根本原因，而 要解决存在的问题，a 审计机关应从集权向适度分权转变，让高级管理层和审 计业务部门更多地参与i t 决策。 最后，论文提出了倾向于分权的a 审计机关i t 治理安排，重新分析了五 项关键i t 决策，重新界定了1 1 r 相关者的职责，并构建了新的i t 决策流程，以 完成从集权向适度分权的转变。 关键词：i t 治理，w e i l l r o s s 模式，治理安排矩阵，集权，分权 m b a 学位论文作者：李春青a 审计机关l t 治理研究 a b s t r a c t f i f s t l y l h ed i s s e r t a t i 锄i n t r o d u c e s t h ei n f o m a t i o n i z a t i o ns t a t u so fa u d i t i n s t i t u t i o na 觚dc o n c l u d e st h a ti th a sc h a n g e df m ms e n ，i c ea u d i tt oi m p o n a n t f 她t o rt oi n n u e n c ec o m p e t i t i o na f t e rt h eo u t e re n v 衲n m e n tc h a l l g e s ，s ot h ec o n d u c t o fi tg o v e m a n c ei sv e r yn e c e s s a r y s e c o n d l yt h ed i s s e n a t i o ni n t r o d u c e st h ei tg o v e m a n c et h e o r ya n dm a i ni t g o v e m a n c em o d e s ，a n a l y z e st h ed i f f e r e n c eo fc o b l t l t i la n dw e i l l r o s sm o d e s 卸db r i n g sf b 刑a r dt h ep o i n to fv i e wt h a tt h ew e i l l & r o s sm o d ew h i c hi sf b c u si ni t a u t h o r i t ya s s i 铲m e n l ，f u uo f h i 曲l yn e x 洳i l i t y ，e a s yt 0l e a ma n dh a sac o r ec o n c e p t o fg u i d a n c ei st h eb e s tc h o i c eo fa u d i ti n s t i t u t i o nai nt h ec u 仃e n ts i t u a t i o n t h i r d l yt h ed i s s e r t a t i o na n a l y z e st h ei tg o v e m a n c ea a n g e m e n t s0 fa u d i t i n s t i t l i t ea 舶mt h r e ed i 纸r e n tp o i n to fv i e w sw h i c ha r ef i v ek e yi td e c i s i o n s ， r e s p 彻s i b i l i t y0 fi tc o n c e m e dp a r t ya n di r rd e c i s i o nm a k i n gp r o c e s s s 0t h e d i s s e n a t i o nu n c o v e r sm a n yp r o b l e m s ，f o re x a m p l et h ep r o b l e mo fl a c ko fp l 锄o f i n f b 姗a t i o n i z a t i o n ，t h ep r o b l e mo fi tw h i c hi sn o t i i lc o m p l i a n c cw i t ha u d i t o p e r a t i o n ，t h p r o b l e mo fl a c ko fi 蚰o v a t i o ni ni ta p p l i c a t i 册a n dl a s tt h ep r o b l e m0 f u n b a l a n c eo fi tr e s o u r c e sc o n f i g i l r a t i o n t h e nt h ed i s s e r t a t i o na n a l y z e st h er e a s o no ft h e s ep r o b l e m sa n dc o n c l u d e st h a t t h ec e n t r a l i z a t i o no fi td e c i s i o nm a k i n ga u t h o r i t yi nl td e p a n m e n ti st h em a i n r e a s o nt 0r e s u l ti nt h e s ep r o b l e m s i n0 r d e rt 0s o l v et h e s ep r o b l e m s ，t h ea u d i t i n s t i t u t i o nas h o u l d c h a n g e f 如m h i g l l l y c e n t r a l i z a t i o n t 0 a p p r o p r i a t e l y d e c e n t r a l i z a t i o na n de n c o u r a g et h em a n a g e m e n ta n da u d i to p e r a t i o nd e p a n m e n tt o t a k ep a ni ni td e c i s i o nm a k i n g l a s tt h ed i s s e n a t i o nb r i n g sf o 唧a r dt h ea d j u s t m e n ti ni tg o v e m a n c ew h i c hi s i n c l i n e dt 0d e c e n t r a l i z a t i o n ，a i l a l y z c st h ef i v ek e yi td e d s i o n sr c n e w e d l y ，r e a l l o c a t e s t h er e s p o n s i b i l i t yo fi tc o n c e m e dp a n ya n dr e c o n s t r i l c t st h ef e l a t e dr rd e c i s i o n m a k i n gp r o c e s s k e yw b r d s ：r rg o v e m a n c c ，w e i l l & r o s sm o d e s ， g o v e m a n c ea 1 1 r a n g e m e n t s m a t r i x ，c e n t r a l i z a t i o n，d e c e n t r a l i z a t i o n 原创性声明 本人郑重声明：本人所呈交的学位论文，是在导师的指导下独立进行研究 所取得的成果。学位论文中凡引用他人已经发表或未发表的成果、数据、观点 等，均己明确注明出处。除文中已经注明引用的内容外，不包含任何其他个人 或集体已经发表或撰写过的科研成果。对本文的研究成果做出重要贡献的个人 和集体，均己在文中以明确方式标明。 本声明的法律责任由本人承担。 论文作者签名：幽 同期：卅：多 关于学位论文使用授权的声明 本人在导师指导下所完成的论文及相关的职务作品，知识产权归属兰州大 学。本人完全了解兰州大学有关保存、使用学位论文的规定，同意学校保存或 向国家有关部门或机构送交论文的纸质版和电子版，允许论文被查阅和借阅； 本人授权兰州大学可以将本学位论文的全部或部分内容编入有关数据库进行检 索，司以采用任何复制手段保存和汇编本学位论文。本人离校后发表、使用学 位论文或与该论文直接相关的学术论文或成果时，第一署名单位仍然为兰州大 学。 保密论文在解密后应遵守此规定。 论文作者签名：厄寿青 导师签名 同期：型霍3 一 m b a 学位论文作者：李春青a 审计机关1 1 r 治理研究 一、引言 ( 一) a 审计机关及其信息化概况 1 、a 审计机关概况 本文的研究对象为a 审计机关，于1 9 9 1 年组建成立，为审计署派驻地方的 审计机构。根据业务分工，a 审计机关内部设置了财政审计、金融审计、经贸 审计和投资审计等8 个审计业务部门，办公室和人事教育等6 个综合部门。现 有在职职工1 0 0 余人，7 8 为财经类专业背景，2 2 为计算机、法律等非财经类 专业背景。 a 审计机关的固定审计对象1 5 0 个，可以在这个范围内自定审计项目。但 当前a 审计机关主要定位为审计署的审计执行机构，由审计署统一安排审计项 目，其业务成果主要反映为查出的违规金额和编发的审计信息。从2 0 0 0 年以来， a 审计机关共完成审计项目1 5 0 多个，查出违规金额6 0 0 多亿元，编发审计信 息6 0 0 多篇。 2 、a 审计机关信息化概况 a 审计机关的信息化工作起步较晚，至今只有十余年时间。上世纪9 0 年代 中期，计算机在a 审计机关的用途还只是文字处理，到1 9 9 8 年开始建设局域 网和部署一些网络应用系统，才算真正走上了信息化之路。初期的信息化工作 主要是办公自动化、计算机简单应用和计算机知识普及培训，因此未单独设置 r r 部门，只是将信息化列为综合部门的一项分支职能。后来随着信息化在审计 行业的影响力逐步提升，人们对信息化的认识发生了变化，认识到计算机不只 是简单的打打字、做做表，而是可以发挥更大的作用。因此，在2 0 0 2 年初，a 审计机关成立了单独的r r 部门，承担机关信息化建设、计算机审计、软件开发 和系统维护等工作任务。同时还成立了由高级管理层和各部门负责人组成的信 息化建设领导小组，负责a 审计机关的整体信息化部署，研究决定与信息化工 作相关的重大事项。 经过十几年时间的信息化建设、积累和发展，a 审计机关在信息化方面取 得了比较好的成绩。在审计业务上，近年来共利用计算机技术查出违纪违规资 金2 0 0 多亿元，有1 0 余篇计算机审计案例在有关会议进行了交流演示；在审计 管理方面，已经实现公文无纸化流转、审计信息资源电子化存储和审计决策的 信息化支持。 m b a 学位论文作者：李春青a 审计机关i t 治理研究 ( 二) 研究背景、目的与意义 1 、研究背景和问题的提出 与a 审计机关同类型的单位共有1 8 个，由于所承担工作可以完全互换， 审计署对它们实行直线式管理，每年统一安排审计项目。在直线式管理下，相 互之间存在竞争是必然现象，在2 0 0 6 年以前，1 8 个单位只是私下间的相互比 较。从2 0 0 6 年度开始，审计署对这1 8 个单位开始实行类似于末位淘汰制的考 评制度，每年进行一次考核排名，如果排名在后3 名中，则该机关行政首长需 要接受戒勉谈话，如果连续2 年在后3 名则免除其行政首长职务。在这种竞争 机制下，a 审计机关与其他单位之间除了是兄弟单位以外，相互之间存在一定 竞争关系，这要求每个审计机关必须不断提高自身竞争力才能确保自己不被淘 汰。 从长期发展的角度来看，r r 已经渗透到了审计实施和管理的各个方面，如 审计实施中的审计分析与复核，审计管理中的计划、统计和质量控制等都是借 助于1 1 r 来实现，想要提升自身管理水平必须借助于i t 。从短期考核的角度来 看，在审计署对a 审计机关的考评中，信息化( r r ) 部分占总体评分的1 0 ， 与信息化( i t ) 相关的其他内容约占总体评分的4 0 ，l t 在很大程度上影响着 a 审计机关的考核排名。在这种竞争环境中，r r 的作用除了维持组织正常运转 以外，还成为影响竞争的重要影响因素，因此a 审计机关对r r 的作用产生了 更高的期望。 信息化的动力来自于竞争的压力，在以前，a 审计机关的r r 部门为服务部 门，其主要职责是维持机关正常运转，保障审计过程的顺利实施。但随着竞争 环境的变化和管理思想的变化，r r 成为一个重要的战略因素，r r 部门需要转变 成为业务部门，a 审计机关需要从i t 中获得更多的价值。 2 、研究的目的 本文研究的目的是从i t 治理视角出发，分析a 审计机关i t 治理现状、存 在的问题和产生原因，提出一套符合a 审计机关现状的i t 治理调整措施。 3 、研究的意义 大多政府机关缺乏对i t 的管理经验，要么是定任务、压指标的传统管理， 要么是完全放手任其自生自灭，但对于当前的a 审计机关来说，两者都不能实 现从r r 中获得更多价值的目的。本文的研究意义是改变以往的i t 视角，将企 业中应用较多的i t 治理引入审计机关，从r r 治理的角度出发去寻找解决问题 2 m b a 学位论文作者：李春青 a 审计机关i t 治理研究 的途径。 ( 三) 研究思路 本文研究的基本思路是理论学习、模式选择、提出问题、分析问题和解决 问题。首先对当前的i t 治理理论进行学习，理解i t 治理的内涵；其次对主流 的i t 治理模式进行对比，从中选择适合于a 审计机关的模式；然后依据于选择 的模式对a 审计机关当前现状进行分析，提出存在的问题；接着分析问题的产 生原因和解决思路；最后有针对性地提出相关的i t 治理调整措施。研究思路如 图1 。 图1 研究思路 3 m b a 学位论文作者：李春青a 审计机关i t 治理研究 二、it 治理研究的理论基础 ( 一) l t 治理理论概述 1 、lt 治理的产生动因 上世纪的信息化浪潮产生了一系列的i r r 神话，于是企业纷纷对1 1 r 趋之若 骛，把r r 看作一个金蛋，希望能从中获得高额的回报，但是这些希望大部分都 没有实现。2 0 世纪8 0 年代末，美国学者保罗斯特斯曼( p a u ls t r a s s m a 肌) 调 查了2 9 2 家企业，结果发现了一个奇怪的现象，这些企业的i t 投资和投资回报 率之间没有明显的关联，罗伯特索洛( r o b e ns o l o w ) 将这种现象称为“生产 率悖论 。除了外界的置疑，企业的i t 部门自己也开始产生迷惑，觉得r r 除了 在提高管理效率上有些成果外，实在是找不出更好的事实来满足管理层对r r 的 期望，而i t 部门自身为了这点效率的提高已经竭尽全力。于是，人们对r r 的 价值开始产生怀疑。 然而随着工业化社会向信息化社会的发展，国家信息化、产业信息化、企 业信息化是大势所趋，任何试图跳出信息化浪潮独自发展的企业终将被社会淘 汰，投资于i t 是必然的选择。陆培炜形象的描述了企业l t 应用的变化过程： 在早期，购买一套软件和去超市购物一样简单；到后来，为了上一套业务系统， 上至管理层，下到业务部门都参与其中，除了软件公司还要管理咨询公司。这 种变化背后的原因，是i t 正在利用其自身的特点，使其在企业中从具体的工具 变为业务和管理的组成元素，r r 的作用和影响力已经扩散到企业的方方面面。 在信息化社会中，企业、政府等组织对r r 有着很强的依赖性。 风险决定于对事物的依赖程度，对i t 的高度依赖给企业带来很高的r r 风 险。随着r r 应用范围的增加，关于i ，r 瘫痪导致业务中断、资金损失的事例频 繁出现于媒体。虽然大多企业对信息的访问进行限制，但如果安全控制不足， 借助技术手段能很简单的消除这种限制。过去一整套控制监督和风险方法体系 显得力不从心，企业在r r 面前有时显得非常脆弱。 在这种情况下，企业对n 的态度是矛盾的，即觉得n 并不能带来多大价 值，又离不开对r r 的依赖，同时还必须时时关注r r 带来的风险。因此，企业 需要重新审视1 1 r ，在怀疑r r 、依赖l t 和防范i t 的复杂情况下寻找出一个平衡 点，这种平衡点的寻找需要“政治”的智慧。正如保罗斯特斯曼( p a u l s t r a s s m a n n ) 所说：信息系统在企业中首先是一种政治，其次才是一门技术。而 这个“政治”层面的东西就是i t 治理。 4 m b a 学位论文 作者：李春青a 审计机关i t 治理研究 2 、i t 治理的研究视角 从劳伦斯( k l w r e n c el o h ) 和温卡塔斯曼( v e n k a t r a l n a n ) 在1 9 9 2 年提出 i t 治理的概念以来，不同的学者和组织从各种视角对1 1 r 治理开展研究，恩 列乔丹( e m i ej o r d a n ) 将当前r r 治理研究的视角分为七类。 从公司治理视角出发的研究认为，当前企业的总经理大多缺少管理i t 的经 验，而n 项目的高失败率又让1 1 r 部门经理失去了信任，使得信息只是在企业 内部i t 部门间流动，无法有效传递到董事会。i t 治理就是打破这种僵局，让 i t 能够为董事会决策提供有效的信息。 从投资者视角出发的研究认为，商业活动中的i t 是一种投资，投资者希望 从i t 投资中获得合理的回报。i t 从建设到产生效益需要一个时间过程，因此 投资活动起始于负回报周期，i t 治理就是让1 1 r 项目投入使用后，在较长的 时期处于正回报周期，最终的累计回报大于初期的投资和运行维护成本之和。 从合规性视角出发的研究认为，i t 需要满足外界法律环境和监管要求，但 如果追求“零违约”则显得过于理想，费用开销过高。i t 治理的目的是以满足 法律环境和监管要求为基础，不盲目地遵守规则，而是灵活的使用规则，通过 合规过程促使r r 自身更广泛地结合业务需求和目标，使最终结果达到最优。 从风险管理视角出发的研究认为，过去的风险管理主要关注企业的实物资 产，而在当前环境下i t 失效可能会对业务造成致命的影响，因而应将r r 等非 实物资产纳入风险管理范畴。1 1 r 治理的目的就是在形式多样而变化迅速的l t 风险环境下，将1 1 r 同业务综合在一起，对i t 风险进行管理。 从审计与控制视角出发的研究认为，通过对业务流程进行审计能够对机构 的风险管理带来巨大贡献，加强对应用的管理控制可以减少或降低风险。盯治 理的目的是通过审计来提高r r 系统的设计正确性，通过审计建议来降低管理风 险，而依据审计结果来确定管理控制的强弱程度。 从工程和系统视角出发的研究认为，一个机构的行为非常类似于正在运行 的系统，从工程和系统角度出发对风险区域识别、缺陷查找是非常有效的，既 可以发现单点故障，又可以发现协同和接口等综合故障。n 治理的目的是以应 用系统为中心，在业务运作的过程里将r r 风险评估和r r 应用关联起来，形成 一个“系统 。 从生命科学、生物学和生态学视角出发的研究认为，自然界系统或自然构 件之间的联系比较简单，因而很少出现单点失效的情况。1 1 r 很像人体的神经系 统，能够组织和协调大脑运算，控制身体肌肉、器官乃至整个身体的活动。r r 作为组织的神经系统，无法从机构中分离出来的，i t 治理就是维持i t 生命的 5 m b a 学位论文作者：李春青a 审计机关1 1 治理研究 健康和r r 生态的平衡。 3 、i t 治理的定义 由于1 1 r 治理研究的基础理论和视角各个不同，于是在过去的十几年中产生 了一系列不同的n 治理定义，以下是一些比较有代表性的观点。 毕博( b e a r i n g p o i n t ) 认为1 1 r 治理是保证i t 支持组织使命的一系列结构和 过程，其目的是将i t 与企业相联系，获得最大的r r 收益，有效利用1 1 r 资源并 管理i t 风险。 范格莱姆伯格( v a ng r e m b e r g e n ) 认为i t 治理是一种组织的能力，由董 事会、管理层和i t 管理经理执行，以控制l t 战略的清晰描述和实施，达到保 证业务和1 1 r 融合的目的。 彼得维尔( p e t e rw e i l l ) 和珍妮罗斯( j e a i l n er o s s ) 认为1 1 r 治理是在 i t 应用过程中，为了鼓励预期行为而明确的决策权归属和责任担当框架。 罗伯特若赛( r o b e ns r o u s s e v ) 认为i t 治理用于描述被委托治理实体的 人员监督、检查、控制和指导实体的过程中如何看待r r ，i t 的应用对于组织能 否达到它的远景、使命、战略目标至关重要。 i t 治理协会( i tg o v e m a n c ei n s t i t u t e ，i t g i ) 认为l t 治理是董事会和管理 层的责任，由领导能力、组织结构和过程组成，确保组织的r r 支撑和扩展组织 的战略和目标。 中国r r 治理研究中心认为i t 治理是用于描述企业或政府是否采用有效的 机制，使得i t 的应用能够完成组织赋予它的使用，同时平衡信息化过程中的风 险，确保实现组织的战略目标。 涂伟认为r r 治理是企业内部通过组织程序所明确的i t 决策者、r r 监督者、 i t 执行者、i t 使用者等i t 利益相关者之间的权力分配和制衡关系体系，是企 业r r 决策权和收益权安排的具体化，是有关公司r r 决策权和收益权分配的一 整套制度安排。 杨波和毛基业认为玎治理就是要明确有关i t 决策权的归属体制和有关r r 责任的承担机制，以鼓励r r 应用的期望行为的产生，以联接战略目标，业务目 标和r r 目标，从而使企业从r r 中获得最大的价值。 4 、it 治理的本质 虽然r r 治理的研究视角不同，产生的定义也不同，但在i t 治理研究领域 中，有一些本质的东西是被广泛认可的。 一般认为，实施1 1 r 治理有三个目标，一是实现r r 与业务目标的一致，二 6 m b a 学位论文作者：李春青a 审计机关i t 治理研究 是有效利用n 资源，三是管理r r 风险。实现1 1 r 与业务目标的一致，就是减少 与业务目标无关的i t 投资，让r r 与业务相互支撑形成合力，从l t 投资中获得 预期的收益。有效利用i t 资源，是在现有r r 资源的基础上，充分发挥其作用， 避免资源的浪费与闲置，让现有资源充分产生效益。管理r r 风险，是对现有r r 收益的一种保障，i t 故障的发生必然会对i t 收益产生负面作用，这就需要尽 量控制、减少r r 风险发生的概率。 从这三个目标可以看出，1 1 r 治理的本质就是从r r 中获得最大化的价值。 ( 二) it 治理与lt 管理的关系 i t 治理和i t 管理是两个紧密联系的概念，但存在本质的区别，很多学者 对i t 治理和r r 管理的区别进行研究，王德禄认为这两者之间有三点区别。 一是技术的应用是管理问题，利益相关者利益均衡是治理问题。r r 的结构 性嵌入破坏了原有的企业秩序，产生了新的利益格局。如何运用e r p 、c r m 等 信息系统规范企业的业务流程，是属于r r 管理的范畴，而利益相关者利益均衡 才是企业治理层面的内容。企业信息化要想成功，而且是长期的成功，只有从 i t 管理上升到i t 治理，从重视技术上升到重视制度建设才能实现。 二是i t 决策是r r 管理问题，需要做出那些决策以及由谁做出决策是r r 治 理问题。i t 决策是否科学，不单单取决于具体的决策过程，更重要的是，要确 定应该做出那些决策，各种决策应该由哪个管理层次或部门做出。盲人摸象是 不会做出正确的判断和科学的决策的，合适的部门做适当的决策，是决策科学 的前提和保证，决策的分权与集权并举，是1 1 r 适应多层次需要的基础。具体的 r r 决策及执行和监督实施过程，是i t 管理问题，而确定做出那些决策，以及 决策权力和责任的分配，则是属于i t 治理问题。 三是提供技术和服务是r r 管理问题，使i t 成为企业的战略伙伴是r r 治理 问题。r r 随时间的推移在企业中经历了技术提供者、服务提供者和战略伙伴三 种角色，与之相对应的是基础设施管理、i t 服务管理和i t 价值管理，而r r 价值管理实际就是i t 治理。在i t 基础设施管理阶段，强调对企业基础设施管 理的不断完善，有效地基础设施管理意味着资源收益的最大化。r r 服务阶段， 组织应了解客户对服务的需要，强调提供的服务的有效性、绩效和安全需要。 在i t 治理阶段，则要实现r r 流程与业务流程和企业战略的全面融合。 ( 三) 主流的it 治理模式 i t 治理不仅仅是理论上的探讨，更主要的是应用于实践。那些经过了实践 7 m b a 学位论文作者：李春青a 审计机关1 1 治理研究 证明，描述如何具体实施1 1 r 治理的框架被称为1 1 r 治理模式，或者叫1 1 r 治理模 型、i t 治理支持工具等。由于i t 治理的兴起，很多以前的管理模式纷纷加入 i t 治理的行列，形成c o b i t 、i t i l 、w e i l l & r o s s 、a s l 、六希格玛、c m m c m m i 、 i s 0 1 7 7 9 9 、p r i n c e 2 等多种模式存在的混乱局面。在我国，影响力较大的有 c o b i t 、r r i l 和w 翻l l & r o s s 三种。 1 、c o b it 模式 信息及相关技术控制目标( c o n t m lo b i e c t i v e sf o ri n f 0 姗a t i o na l l dr e l a t e d t e c h n o l o g y ，c o b i t ) 是由信息系统审计与控制协会( i n f o 瑚a t i 彻s y s t e ma u d i t a n dc o n t r o l 触s o c i a t i o n ，i s a c a ) 提出的面向过程的信息系统审计和评价标准， 1 9 9 6 年推出第1 版，之后分别于1 9 9 8 年、2 0 0 0 年、2 0 0 5 年推出第2 、3 、4 版， 目前最新的是2 0 0 7 年推出的第4 1 版。 在c o b r r 模式下，1 1 r 治理主要关注战略一致、价值传递、资源管理、风 险管理和绩效测评等五项内容( 如图2 ) 。通过这五个关注点，c o b i t 试图给1 1 r 治理提供一个框架来实现四个目标，即i t 与业务的一致、i t 推动业务并获得 最大收益、r r 资源利用的可靠性和充分管理i t 风险。 图2c o b i ，r 的五个关注点 资料来源：i t g i ，2 0 0 7 ：c o b l l r4 1 c o b i t 通过图3 的基本原理来实现r r 循环，业务需求带动1 1 r 资源的投资， i t 资源通过结构化的处理流程来提供服务，服务传递企业的信息，信息又转而 响应企业的业务需求。 8 m b a 学位论文作者：李春青 a 审计机关i t 治理研究 晌 图3c o b l t 基本原理 资料来源：1 1 g l ，2 0 0 7 ：c o b n 4 1 对于c o b i t 的具体内容，可以表示为如图4 的立方体结构，分为业务需求、 i t 资源和i t 过程三个维度，业务需求维描述企业使用r r 的有效性、效率性、 机密性、完整性、可用性、致性和可靠性等七个战略目标方面；i t 资源维描 述i t 治理过程的主要对象，有应用系统、信息、基础设施和人员等四类；r r 过程维描述对信息及相关资源进行规划与处理的过程，分为规划与组织、获取 与实施、交付与支持和监控与评价四大域，进一步细分为3 4 个r r 处理过程。 业务霰求 胖 麓 ! 图4c o b n 三维结构体系 资料来源：r r g l ，2 0 0 7 ：c o b l l r4 1 将c o b i t 的基本原理、三维结构体系和生命周期融合，形成如图5 的总体 框架图。其基本原则就是通过3 4 个r r 处理过程的执行运作，对i t 资源进行管 理、控制与利用，从而达到使i t 治理的实施最终满足商业需求这一目标。 9 叵以 芝 圃劁 m b a 学位论文作者：李春青a 审计机关1 1 r 治理研究 治理臣标 m e l 滥观鞫谭倍i t 毁率 蜒2 蕴观鞠评箔内龆控镧 m e 3 傈i 正符食纷部要求 牦4 提供it 治理 l 监视和评估l p o i 定义lt 战酶计期 p 0 2 定义馈患絮 勾 p 0 3 确定缝术导翔 p 鹏定义lt j 曼程组织和关系 p 0 5 镑瑾 t 投资 p 0 6 沟通管理e l 标b 方向 p 0 7 翁i 鐾 t 人力爱潦 p 0 8 镑理族翰 p 0 9 许他张镑理lt 燧殓 i 信怠标准 l _隐 一 l 森毁中搴 n 锵、? 效率性 机密性 完麓性 研用性 一致性 l 计划和组织 1r 可纛性 l lt 资源 l 聚 疲塌系统 、 倍惫 豢粥黎构 人员 和实施 1 1 识别自动能嬲凌方案 1 2 获飘约维护_ 陂别软纬 1 3 蔹教拍罐护缓采榘均 1 4 。受糍投作和倏均 1 5 处珲l i 赍源 1 8 镑珲变动 7 蜜襞鞫梭豢解决方案鞫蜜幼 2 、it ll 模式 图5c o b l t 总体框架图 资料来源： g i ，2 0 0 7 ：c o b l l r4 1 i t 基础架构库( i n f 0 珊a t i o nt e c h n o l o g yi n f r a s t n l c t u r el i b r a r y ，i l ) 最初 m b a 学位论文作者：李春青a 审计机关i t 治理研究 由英国国家计算机和电信局( c c t a ) 于2 0 世纪8 0 年代发布，后来并入英国商 务部( o g c ) 。 截止目前，i t i l 共经历了3 个版本，1 9 8 6 年1 9 9 9 年为第1 版，1 9 9 9 2 0 0 6 为第2 版，2 0 0 4 2 0 0 7 为第3 版。i l 最初只是政府i t 部门的最佳实践指南， 目标是通过应用r r 来提升政府业务的效率，将不同i t 职能之间缺乏沟通的状 况降至最低，问世后不久便被推广到英国的私营企业，然后传遍欧洲，随后开 始在美国兴起。 i t l l 以一系列的出版物方式发布，其中第3 版的核心部分由服务战略、 服务设计、服务转换、服务运营和服务改进五部分组成。 服务战略在设计、开发和实施服务管理阶段，从组织能力和战略资产 两个角度提供指导，提出了整个r r i l 服务生命周期的政策、指南和流程。服 务设计描述了对服务及服务管理流程设计和开发的指导，包括了将战略目标 转变成服务投资组合和服务资产的原则和方法。服务转换描述了对新的或变 更的服务转换到运营过程的指导，以及在革新的过程中避免出现不良结果的措 施。服务运营对如何达到服务支持和交付的效果、效率，确保客户与服务供 应商的价值提供指导。服务改进结合了质量管理、变更管理和能力改进方面 的原则、实践和方法，为创造和保持客户价值，优化服务提供指导。 l t i l 第3 版的核心架构基于服务生命周期，服务战略是生命周期运转的轴 心，服务设计、服务转换和服务运营是实施阶段，服务改进则基于战略目标对 服务定位和有关的进程、项目进行优化改进。 各个阶段通过不同流程来实现，i t i l 的服务流程可以表示为如图6 的全景 图。 m ：b a 学位论文作者：李春青 a 审计机关1 1 r 治理研究 改进 知识 分析 图6m l 第3 版框架流程全景图 资料来源：翰纬1 1 r 管理研究咨询中心，2 0 0 7 ：翰纬i t i l v 3 白皮书 3 、w ei ii r o s s 模式 w 硝i l & r o s s 模式是由麻省理工学院斯隆管理学院信息系统研究中心 ( c i s r ) 的学者彼得维尔( p e t e rw e i l l ) 和珍妮w 罗斯( j e a n n ew r o s s ) 历时5 年，对超过2 0 个国家的3 0 0 家企业研究的基础上提出。在提出时作者并 没有给出具体名称，因此各类文献对其称呼不一，闪兰魁等人根据作者名称将 其称为p w 模型，李维安和王德禄等根据研究机构称其为c i s r 研究模型，而 国外文献中更多称呼为w e i l l & r o s s 模式或治理安排矩阵( g o v e m a n c e 胁n g e m e n t sm a t r i x ，g a m ) 模式等。 w e i l l & r o s s 模式强调i t 权力的分配，其目的是实现授权与控制之间的平 衡，通过如图7 的治理设计框架( g o v e m a n c ed e s i 印f r 锄e w o r k ，g d f ) 来完 成从组织战略目标到i t 治理措施的映射。 1 2 m b a 学位论文作者：李春青 a 审计机关i t 治理研究 l t 治理安排 企业战略和维织 通过君主制模型、l笑 邦制模型等实现决； 筮 业务绩效目标 薯 jl 权 。lj l r r lt 组织和期望行为 i t 指标和责任 ：兰三 怎样协调? 图7i r r 治理设计框架 资料米源：彼得维尔珍妮罗斯，2 0 0 5 ：i t 治理：一流绩效企业的兀治理之道 其认为r r 治理通过对五项关键r r 决策的控制来实现，这五项关键决策分 别是i t 原则决策、i r r 架构决策、i t 基础设施决策、业务应用需求决策和i t 投 资及优先顺序决策，其结构如表1 。 表1 五项关键i t 决策 i t 原则的决策 高层关于企业如何使用i t 的陈述 i t 架构决策 组织从一系列政策、关系 以及技术选择中捕获的数据、 应用和基础设施的逻辑，以达 到预期的商业、技术的标准化 和一体化 i t 基础设施决策 集中协调、共享i t 服务可 以给企业的i t 能力提供基础 业务应用需求决策 为购买或内部开发i t 应用 确定业务需求 i t 投资和优先顺序决策 关于应该在i t 的那 些方面投资以及投资多 少的决策，包括项目的审 批和论证技术 资料来源：彼得维尔珍妮罗斯，2 0 0 5 ：r r 治理：一流绩效企业的i t 治理之道 r r 原则位于图的最上端，阐明企业的r r 目标，指明所有决策的方向，如 果原则不清楚，其他决策的结合是不可能有意义的。r r 架构是将i t 原则转换 为集成和标准化方面的要求，进而描绘出提供所需r r 能力的技术路线图。r r 1 3 m b a 学位论文作者：李春青a 审计机关i t 治理研究 投资与优先权决策安排资源，将盯原则转化为系统。基础设施和应用决策随着 原则、架构、投资标准而变动，业务应用需要产生了新的基础设施需求。最终， 投资决策筛选并为基础设施和应用创新提供资金，基础设施和应用完成了体现 r r 原则的i t 架构设计。 五个关键r r 决策不能被割裂，如果治理安排设计得当，这些决策就会彼此 强化并确保战略目标的正确实现。有效的r r 治理就是围绕这五项i t 决策，通 过一系列的流程、机制和方法确定由谁来制定这些决策、如何制定并监控这些 决策。 i t 决策方式可以总结为业务君主制( b u s i n e s sm o n a r c h v ) 、i t 君主制( i t m o n a r c h ) 、封建制( f e u d a l ) 、联邦制( f e d e r a l ) 、i t 双寡头制( 1 td u o p o l y ) 和 无政府制( a n a r c h y ) 六种决策原型。业务君主制是由高级业务主管做出r r 决 策；r r 君主制是由专业的1 1 r 团队做出i t 决策；封建制是由每个业务部门独立 做出i t 决策；联邦制是公司的最高决策层和业务部门联合决策；1 1 r 双寡头制 是由1 1 r 团队和其他的某一个团队来做出i t 决策，另一方可以是最高决策层或 者业务部门的领导等；无政府制的决策由孤立的个体或者小团体做出。 每个r r 决策分为输入和决策两部分，通过将不同决策的不同部分安排给不 同的组织和人员，可以实现授权与控制之间的平衡，形成如表2 所示的玎治理 安排矩阵。 表2r r 治理安排矩阵 i t 基础设施业务应用需 i t 原则i t 架构i t 投资 战略求 输入决策输入决策 输入 决策输入决策输入决策 业务君主制 l t 君主制 封建制 联邦制 i t 双寡头制 无政府制 资料米源：彼得维尔珍妮罗斯，2 0 0 5 ：r i 治理：一流绩效企业的l r r 治理之道。 1 4 m b a 学位论文作者：李春青a 审计机关1 1 治理研究 三、a 审计机关it 治理模式的选择 虽然l t 治理模式具有一定的通用性，但没有一种r r 治理模式能够适用于 所有组织，甚至同一组织在信息化发展的不同阶段对r r 治理模式的需求也不 同。因此对于a 审计机关来说，首要的是选择一种适合自己的r r 治理模式， 作为描述、分析和调整自身r r 治理的基本框架。 ( 一) c o b it 、ltll 和w eil l r o s s 模式的比较 不同的r r 治理模式有不同的优缺点和适用环境，因此对i t 治理模式的比 较研究也是很多学者关注的重点，迈克尔霍姆( m i c h a e lh o l m ) 、李长征、李 维安、王德禄、孙晓琳、王刊良和张勰等人都进行了相关的比较研究，分析了 不同模式的异同和各自优缺点。 李长征对c o b i t 和i t i l 进行了比较研究，认为c o b i t 吸收了已有的 c m m 、i s 0 9 0 0 0 等许多标准的内容，在总结这些标准的基础上重点关注企业需 要什么，而不是企业如何做，不包括具体的实施指南和具体实施步骤，是一个 控制架构而非具体过程架构。l t i l 是来源于最佳实践，英国政府收集和分析各 种组织解决服务管理方面的信息，找出那些对本部门和对英国政府其他部门有 益的做法，最后形成了r r i l 。i t i l 列出了各个服务管理流程“最佳 的目标、 活动、输入和输出以及各个流程之问的关系，它关注方法和实施过程，但没定 义范围广泛的控制架构。由于i r r i l 主要关注i t 服务管理，它的视野相对c o b i t 来说比较狭窄，主要集中在盯的战术和运营层面，但对i t 服务的提供和支持 定义了更为详细、更易理解的过程集。c o b i t 从战略、战术、运营层面给出了 对r r 的评测、量度和审计方法，它的“目标听众 是信息系统审计人员、企业 高级管理人员以及高级r r 管理人员，而l t i l 主要关注i t 的战术和运营层面， “目标听众是1 1 r 人员和服务管理人员。 李维安和王德禄对c o b i t 和w e i l l r o s s 模式进行了详细比较，得出三点 结论。一是从对概念的理解看，c o b i t 模式强调r r 治理应加强对i t 投入和使 用的监督和控制过程，以规避r r 风险、实现企业战略目标；w r e i l l & r o s s 模式的 基本假设前提是1 1 r 的使用涉及到组织的所有层次、所有部门，所以确定组织应 在i t 的那些方面决策，并将决策权划分给相应的管理层次或部门是1 1 r 治理的 核心任务；虽然c o b i t 模式和w e i l l r o s s 模式都强调控制，但控制的时机不 同，c o b i t 模式是对决策过程的控制，而w e i l l r o s s 模式是决策前的控制。二 m b a 学位论文作者：李春青a 审计机关i t 治理研究 是从l t 治理的目标看，c o b i t 模式和w e i l l r o s s 模式均强调与组织战略目标 的一致性，但c o b i t 模式忽视了不同管理层和不同管理部门由于信息流动所带 来的权利和责任的分配；w 酬l & r o s s 模式却是在保证不同层次、不同部门利益 的前提下的组织战略目标的一致。三是从r r 治理层面上看，c o b i t 模式模型 尚处于r r 管理层面，其核心是强调r r 资源的合理使用、监督和控制；w 翻l l & r o s s 模式则从制度的高度为r r 的合理投入、使用提供保证，强调全部利益相关者的 利益，属于1 1 r 治理层面。 上述学者关于r r 治理的比较研究对我们深入理解不同模式的异同给了很 大的帮助，但在实务中选择r r 治理模式时，还需要考虑i t 治理模式对组织的 适用性，要判断某种i t 治理模式是否适合，需要考虑治理理念、柔性和复杂度 等因素。 治理理念，是指r r 治理模式蕴涵的思想理念。由于起源不同，i t 治理模 式蕴涵的思