（工商管理专业论文）IT治理及其模型COBIT的研究与应用.pdf

摘要 信息技术( i t ) 产业化和信息化的应用已经步入深化、整合、转型和创新的关键时 期，信息技术与信息系统对企业组织形态、治理结构、管理体制、运作流程和商业模式 的影响日益深化，企业对信息技术和信息系统褥依赖性日益加强。企业的各项业务对于 信息系统、信息资源和通信网络不断增强的依赖性；i t 技术的潜力急剧改变了企业和业 务实践，创造了新的机会并降低了成本。 为进一步推进国家“以信息化带动工业化”战略的实施，解决信息化建设的可持 续发展，以及收到长久的投资回报。迫切需要控制好信息化过程各个环节的风险，管理 信息与信息资源。确保赖以生存的信息系统的安全、可靠性与有效性。国际组织信息系 统控制与审计协会 s a c a ( i n f o r m a t i o n s y s t e m a u d i t a n d c o n t r o l a s s o c i a t i o n ) 提出了采 取c o b i t 体系进行i t 治理的概念。i t 治理是一个由关系和过程所构成的体制，用于指 导和控制企业，通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。 本课题研究基于对美国信息系统审计和控制协会基于其原有的控制目标体系 ( c o n t r o lo b j e c t i v e s ) c o b i t 的跟踪和深入研究，结合目前国内企业i t 治理的现状，主 要关注企业信息化过程中的i t 治理，通过对i t 治理以及其最佳实践c o b i t 的介绍和 研究。提出了在我国采取c o b i t 模型实施企业i t 治理韵必要性，介绍了该模型的体系 结构和各部分组成，为企业实施i t 治理提供了支撑平台，研究总结了基于c o b l t 模型 在企业i t 治理中的应用。通过c o b i t 在国内某企业实旅i t 治理的应用的实例分析， 对推动企业信息化建设进程、控制信息化过程各个环节的风险、管理好信息与信息资源、 保护好信息和信息平台具有积极的指导意义，可以为管理人员、开发人员和审计人员强 化和评估i t 治理提供依据。并希望对正在和即将实施信息化的企业有所帮助。 关键词：信息技术( i t ) 治理、企业信息化、c o b i t 、i t 审计 a b s t r a c t r h ea p p l i c a t i o n so fi n f o r m a t i o nt e c h n o l o g y ( i t ) i n d u s t r i a l i z a t i o nh a sa l r e a d ys t e p p e di n t oa i m p o r t a n tt i m eo fd e e p ，c o n f o r m i t y , c h a n g ea n di n n o v a t i o n i ta n di n f o r m a t i o ns y s t e mh a v e b e e n i n f l u e n c i n gc o r p o r a t i o n o ns t r u c t u r e f o r m ，f a t h e rc o n f i g u r a t i o n ，m a n a g es y s t e m ， o p e r a t i o n f l o wa n db u s i n e s sm o d e t h ec o r p o r a t i o n s o p e r a t i o n s h a v e d e p e n d e d o n i n f o r m a t i o ns y s t e m ，i n f o r m a t i o nr e s o u r c ea n de o m m t m i c a t en e t w o r ki n c r e a s i n g t h ep o t e n t i a l o fi th a v ec h a n g e dc o r p o r a t i o na n dp r a c t i c ef l e e t l y , c r e a t e dn e wc h a n c em a dr e d u c e dc o s t b e s i d e s f o rb o o s t i n gu l t e r i o r l yt h en a t i o n ss t r a t a g e m “i n f o r m a t i o nd r i v ei n d u s t r i a l i s a t i o n “，s o l v i n g c o n t i n u a b l e d e v e l o p m e n t o fi n f o r m a t i o na n di n v e s t r e t u r n ，t h ee v e r yp r o c e s s r i s k 。m a n a g e m e n ti n f o r m a t i o na n di n f o r m a t i o n r e s o u r c en e e dt ob ec o n t r o l l e d t h u si n s u r e d t h es a f e t yr e l i a b i l i t yv a l i d i t yo fi n f o r m a t i o ns y s t e m i n f o r m a t i o ns y s t e ma u d i ta n dc o n t r o l a s s o c i a t i o n ( i s a c a ) p u tf o r w a r da i d e at h a ta d o p t i n gc o b i t s y s t e mp u tu pi tg o v e m a n c e 1 1 h ei tg o v e r n a n c ei sas y s t e mb yn e x u sa n dp r o c e s sf o r m e d nc a ng u i d ea n dc o n t r o l c o r p o r a t i o na c h i e v e t h e i rg o a lt h r o u g hb a l a n c i n gr i s ko f i t a n d p r o c e s s ，i n c r e a s i n g v a l u e t h ep a p e ri sb a s e do nt h ec o b i to fi s a c a ，a n dd o m e s t i cc o r p o r a t i o na c t u a l i t y i tc a r e d a b o u tt h ei n f o r m a t i o np r o c e s sg o v e m a n c em a i n l y t h i sp a p e rb r i n gf o r w a r da d o p tc o b i t m o d et oa c t u a l i z ec o r p o r a t i o ni tg o v e r n a n c et h r o u g hi n t r o d u c i n ga n ds t u d yo f i tg o v e r n a n c e a n dc o b i t i ti n t r o d u c e dt h es y s t e ma n dm a k e u po fc o b i tm o d e ，a n dp r o v i d e das u p p o r t f o r m t h e p a p e r s u m m a r i z e dc o b i tm o d ea p p l i c a t i o n o n c o r p o r a t i o n i tg o v e r n a n c e t h r o u g ha n a l y z i n gac a s eo f ad o m e s t i cc o r p o r a t i o na p p l y i n gc o b i t , p r o m o t e dc o n s t r u c t p r o c e s so fi n f o r m a t i o n a n dh a v eai m p o r t a n ts i g n i f i c a n c e f o rc o r p o r a t i o nc o n t r o lv e n t u r e ， d r o t e c ti n f o r m a t i o na nf o r m i ta l s oo f f e rm a n a g e r ，d e v e l o p e ra n da u d i t o rg i s to f e v a l u a t ei t g o v e r n a n c e a n dh o p et h ee n t e r p r i s eo f a c t u a l i z i n go rw i l la c t u a l i z ei tg o v e r n a n c e t oh a v e s o m eh e l p k e y w o r d s ：i tg o v e m a n c e ，c o r p o r a t i o n i n f o r m a t i o n ，c o b l t , 1 t a u d i t 学位论文原创性声明、学位论义版权使用授权书 y 华南理工大学 学位论文原创性声明 本人郑重声明：所呈交的论文是本人在导师的指导下独立进行研究所 取得的研究成果。除了文中特别加以标注引用的内容外，本论文不包含任 何其他个人或集体己经发表或撰写的成果作品。对本文的研究做出重要贡 献的个人和集体，均已在文中以明确方式标明。本人完全意识到本声明的 法律后果由本人承担。 作者签名：到 1 日期：t ，牛年r 月j 髫日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意 学校保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文 被查阅和借阅。本人授权华南理工大学可以将本学位论文的全部或部分内 容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存 和汇编本学位论文。 保密口，在一年解密后适用本授权书。 本学位论文属于 不保密囱。 ( 请在以上相应方框内打“4 ”) 作者签名：_ ； 卜齑 导师签名： 日期：p ，i 广年岁月笤日 日期：跏。降j - 月堰日 第一章绪论1 弗一早殖￥匕 1 1 引言 随着信息化程度的不断提高和信息化技术的发展，信息已经成为推动社会发展的重 要基础性资源。信息系统广泛深入地渗透到社会的各个领域，并成为政治、经济、军事、 文化乃至社会一切领域的基础。其结果导致了整个社会对信息系统的极大的依赖性。一 方面，信息系统变革着经济、生活、文化等诸多方面的结构和运行模式，改变着人们的 思维方式，人类社会正享受着信息化给予的方便和效益。另一方面，由于信息系统的负 面效应及控制不当，导致信息化过程、信息系统及其业务应用承担着较大的风险，即当 信息系统发生故障、停止运行或发生错误时直接影响到社会经济生活等其他许多方面得 _ f 常发展。研究表明，8 0 年代美国企业信息系统的失败率就达5 0 以上，9 0 年代美国 电予政务信息系统的完全成功率仅2 8 【”。 那么，如何控制信息化过程各个环节的风险，管理好信息与信息资源? 如何保护好 信息与信息系统平台，确保赖以生存的信息系统的安全、可靠与有效? 如何发挥信息系 统的最大正面效应，让全社会都充分享受到信息化变革带来的利益? 这些问题越来越受 到国际和国内政府部门、企业与社会各界人士的广泛关注，特别是美国、日本等国家很 早就开展了信息技术治理( i t 治理) ，建立了i t 治理相关的标准。事实表明，通过i t 治理，能有效化解信息系统的风险，是信息化的基础，是健全地进入信息化社会的可靠 保证。 1 2 研究背景和意义 随着中国加入w t o ，中国企业如何通过建立与世界先进水平相当的运营体系，增 强自身实力，在未来更加激烈的全球市场竞争中立于不败之地，已成为国内企业界和理 论界关注的重要问题。自美国安然公司事件之后，越来越多的企业希望建立合理的治理 机制，从根本上保证实现企业价值的最大化公司治理也成为理论界和的研究热点。 近年来，信息化应用已经取得世人瞩目的成就，与此同时，信息化建设和推进中深 层次机制上的矛盾和问题，也广泛的受到关注。这些问题越来越突出得显现出来，包括： 信息技术与企业战略融合的问题；怎样从公司治理的高度，采取有效得i t 治理模式对 企业的信息化做出安排；如何有效的降低i t 风险：以及怎样有效的利用发达国家信息 ! 一 丝里矍三奎兰三窑笪詈堡土墼塞 化得最佳实践，对企业信息化进行有效的推进和建设等等。 i t 治理的理论研究主要集中在公司治理原则和治理结构两大领域。随着企业信息 化浪潮的到来，信息技术在企业经营与管理中的作用越来越重要，已不仅是技术支持手 段，而且成为投资决策、利益分配等各个主要方面必须考虑的重要问题，涉及到公司的 所有利害相关者。如何发挥i t 治理在公司治理中的作用，不仅从技术上、战略上，而 且从治理原则和结构上保证公司治理的正确实施。已成为关心的首要问题。 目前国内对i t 治理的研究很少，也没有一套系统完整的适合我国国情的体系。本 课题研究主要目的是通过国外对i t 治理模型、策略和实施流程、方式、方法的研究， 对成功实施i t 治理所需要考虑的关键因素进行分析，期望能够梳理出进行i t 治理所应 该考虑的关键因素，进而取的公司治理、企业信息化的成功。并结合本国企业的实际情 况，对具体如何实施i t 治理进行研究，希望能为国内企业，特别是上市企业的最高管 理层和执行管理者认识到在企业推行i t 治理的重要性，采取有效的措施和方法积极在 企业内部实施i t 治理，建立完善得i t 治理模式。成功得开展有效得r r 治理，促进公 司治理完善和提升，为企业创造价值。 1 3 国际上l t 治理的发展历程 1 ，3 1 i t 治理概念与国际信息技术管理标准 i t 治理是信息系统审计和控制领域中一个相当新的概念，国际组织和各国普遍认 为，公司治理机制对世界金融市场的稳定及经济发展发挥了至关重要的作用，这直接促 进了i t 治理机制的形成与发展。i t 治理是信息系统审计和控制领域中一个相当新的概 念，i b m 首次将此理念引入我们的视线，在其2 0 0 2 年度论坛中推出了给中国银行业的 “汇聚了全球金融行业的智慧与经验”的白皮书，该白皮书在其“推动业务管理与i t 的全面集成整合”部分给银行业务与管理的建议是：大力推动银行流程化与流程标准化 的管理，建立全行级的跨部门的i t 治理决策机构来决定i t 项目实施的顺序，加强全行 的管理与流程执行的纪律，与i t 行业的供应商结成战略联盟，将战略伙伴的价值并入到 价值链。 1 9 9 9 年，英国国际清算银行b i s ( b a n kf o ri n t e r n a t i o n ls e t t l e m e n t s ) 发布了 内部控制：综合准则董事指南g l 报告。该报告认为。企业风险来自于许多方面，而 不仅是财务风险。因为事实说明，在金融界所有过去的风险问题都是由内部控制疏忽、 = = ：，。：；。：圣：兰：篁墼二：。一 信息技术失败引起的，而且与企业对信息技术基础设施的依赖和应用新技术的风险密切 相关，并呼吁高层领导树立风险意识。从此，公司治理和风险管理成为企业所有者与管 理者日益重要的问题。该报告引入了内部控制的要求，对许多组织而言，信息与其支持 技术代表该组织最有价值的资产，而且，竞争和不断变化的商业环境也要求企业能够充 分利用信息技术实现更快的交付和更低的成本。因此有效的公司治理和风险管理必然 需要有效的i t 治理和风险管理。与此同时，b i s 还简单陈述了关键的信息系统，如何确 保治理应该有效、透明，可以解释，这也意味管理信息技术相关风险，实现信息技术价 值的交付成为公司治理中重要的组成部分。 1 9 9 9 年下半年，国际信息系统审计与控制协会( i s a c a ) 成立了i t 治理研究院，专 门研究i t 治理的概念，并提供了信息及其相关技术的管理体系模型和最佳实务- - c o b i t ( c o n t r o lo b j e c t i r e sf o ri n f o r m a t i o na n dr e l a t e dt e c h n o l o g y ) ，c o b i t 是安全与 信息技术管理和控管的标准，旨在将i t 资源和处理流程与企业目标、质量标准、现金 流控制及安全需求有机整合。最早于1 9 9 6 年公布，目前已经更新到第三版。c o b i t 帮助 企业领导层认识有效实施i t 治理的必要性与益处，从而保证长期的可持续的成功，并 且增强利益相关者的价值。 国际标准组织( i s o ) 颁布的标准i s 0 1 7 7 9 9 ：2 0 0 0 ，全称为“信息技术信息安全 管理实践代码”。该标准来源于英国标准b s 7 7 9 9 一l ：1 9 9 9 ，于2 0 0 0 年1 2 月由i s o 发布。 i s o1 7 7 9 9 的目的是关注于安全，并且辅助企业创造有效的i t 安全计划。该标准有以下 的高层次内容：安全政策、组织安全、资产分散和控制、个人安全、物理和环境安全、 通讯和操作管理、进入控制、系统开发和维护、业务持续性管理耜适应性f 3 】。 i t 基础架构库，i t i l ( i n f o r m a t i o nt e c h n o l o g yi n f r a s t r u c t u r el i b r a r y ) ，是由 英国政府的中央计算机和通讯机构c c t a ( c e n t r a lc o m p u t i n ga n dt e l e c o m m u n i c a t i o i l s a g e n c y ) 在2 0 世纪8 0 年代末制订，目前由英国商务局0 6 c ( o f f i c eo fg o v e r n m e n t c o m m e r c e ) 负责，是欧洲比较流行的一个i t 服务标准。它以1 1 个服务流程确立了一整 套实践方法。它通过集成i t 服务和业务，协助企业提高其i t 服务交付和支持能力”1 。 1 3 2 c o b it 是目前国际开展it 治理的典型模型 根据目前国际和国内对于信息技术管理和控制模式的特点，三个标准在信息技术 领域各有侧重。i s 0 1 7 7 9 9 ( b s 7 7 9 9 ) 主要关注信息安全，而i t i l 重点在于信息流程的 控制，尤其是i t 帮助相关的部分。i s 0 1 7 7 9 9 和i t i l 的视野相对c o b i t 来说比较狭窄， 一 耋妻詈三奎兰三塑篁矍堡圭鎏兰 而c o b i t 则较全面，而且在i t 控制和量度指标方面最强。 国际信息系统审计和控制协会i s a c a 已在世界上i 0 0 多个国家和地区设立1 6 0 名 个分会，制定和颁布了c o b i t ，它将i t 治理归纳为3 4 个处理过程，并逐个提出指导意 见。来指导和规范信息系统的管理和控制。信息化成为政府和企业的中枢，在美国、日 本及欧洲，几乎所有的政府和企业的管理者都认识到i t 治理的必要性。人们也越来越 清楚意识到有效管理和控卷4 信息及信息相关技术是进入信息化社会的可靠保障。 结合并改进现有的正在发展中的其他国际技术标准和工业标准而制定的控制目标 体系，我们认为c o b i t 是目前国际上最先进、最权威的i t 治理的参考模型。 1 4 国内运用c o b i t 模型进行i t 治理的研究尚在初期阶段 在i t 治理方面，目前我国的政府和企业在这方面基本上处于初始阶段。对于绝大 多数人来说，i t 是一门纯粹的技术，业务人员以及一些管理人员还仅仅是把它当作一种 工具和手段，i t 一直没有得到它应该得到的重视。这主要是因为信息技术日新月异，与 其他学科相比，需要具备更好的专业技术基础，才能很好理解i t 与业务、风险和机会 的关系。 但i t 治理的重要性日益为人们所认识。据了解，在一些大企业中，已出现c i o 的 权利范围不只是领导其信息部门，还负责事业部门的人、财、物的资源配置和利益均衡， 这是具有中国特色的i t 治理机制的尝试。 当前，我国信息化事业已发展到个新的阶段。各级政府正在推进“电子政务”， 并认真落实“以信息化带动工业化”的战略，这一战略已经取得了可喜的成果。，在加 入w t o 后的中国经济环境中，信息的重要性已被广为认同，信息系统也已逐步渗透到 企业和政府组织中，信息系统开始从传统的后台支持转变为新业务开展的直接驱动力 信息系统也日益成为企业的直接利润中心。组织对信息系统的依赖程度在不断增加，更 有一些组织甚至没有信息系统将不复存在，但对于很多组织，由于信息和信息技术意味 着最重要的资产，这导致信息系统本身已经或潜在成为一个巨大的威胁，随信息系统而 来的风险、利益和机会使得1 t 治理成为企业和政府管理中很关键的一个方面。企业管 理层需要确保1 t 战略与企业战略一致，而且企业战略也很好地利用了i t 的优势，政府 需要发展电子政务来促动、实现政府职能的转变。 因此，随着对i t 依赖性的增加，r r 治理对于组织的成功至关重要，政府和企业的 管理层对信息化的风险有了一定的认识，但是由于管理层普遍缺乏i t 治理的意识，导 4 致国内l l 、治理尚处于起步阶段。 1 5 主要研究内容与方法 2 0 世纪9 0 年代开始随着信息系统的发展，系统越来越复杂化、大型化及网络化， 各种各样的信息系统成为各种业务处理的核心。互联网的爆炸性发展对社会影响的广度 和深度是以往任何一次产业革命所无法比拟的。互联网使信息资源的作用得到充分发 挥，但也产生了众多不安全因素。互联网成为电子商务、电子政务等的运作平台，但也 产生了众多不安全因素。有人利用网络的连锁倍增效应制造混乱，危害国家经济安全。 而在国家之间、地区之间、竞争对手之间也可通过互联网攻击对方的信息系统及窃取机 密，大量事实证明信息系统的安全、有效和可靠是事关国家安全的重要问题。因此，如 何确保网络平台上信息系统的安全、可靠和有效变得越来越重要。 在i t 治理方面，目前我国的政府和企业在这方面基本上处于初始阶段。特别是 c o b i t 体系的研究和应用，更是早期探索阶段。国内目前还处于介绍国外信息和方法阶 段，或者只是在i t 治理某一方面进行了比较深入研究，如i t 审计和信息安全管理方面 就有较全面著作。至于具体到如何在国内企业实施推进i t 治理则还没有深入研究。 本课题针对上述问题，主要基于目前国内信息化建设和推进中深层次的矛盾和问 题，特别是如何将i t 战略与业务战略相融合，怎样从公司治理的高度，对企业信息化 豹有效建设进行一定的研究。文章同时将利用发达国家信息化的最佳实践c o b i t 模型进 行有效的i t 治理的经验，从战略投资、企业管理变革的角度以及降低i t 风险的角度进 行分析和阐述。以使企业的信息化推进更好的开展。 本研究课题将对中国企业实施i t 治理的必要性和意义进行论证，在介绍国外先进 的i t 治理模型的同时对中国企业实施i t 治理进行研究。文章从战略、制度、规范和标 准的高度，重新看待i t 的定位、作用和价值，并以“i t 治理”为总框架，涵盖信息系 统审计、信息安全管理、i t 服务管理及i t 项目管理，着重研究i t 发展与企业发展在治 理结构、企业战略、企业运营管理、风险与价值、成本与控制、审计与监管、服务标准 和规范等方面的新问题、新知识和新方法，提出了利用c o b i t 模型在中国大型企业中实 施i t 治理的思路和方法。 = = = 。：塑三奎耋三童墓型璺圭篁塞 2 1 1 t 治理的基本概念 第二章i t 治理 2 1 1 1 t 治理的定义 对i t 治理的定义主要有以下三种主要观点： r o b e r t s r o u s s e y 认为：i t 治理用于描述被委托治理实体的人员在监督、检查、控制 和指导实体的过程中如何看待信息技术。i t 的应用对于组织能否达到它的远景、使命、 战略目标至关重要疆i 。 德勤定义：i t 治理是一个含义广泛的术语，包括信息系统、技术、通讯、商业、所 有利益相关者、合法性和其他问题。其主要任务是：保持i t 与业务目标一致，推动业 务发展，促使收益最大化，合理利用i t 资源，i t 相关风险的适当管理。 国际信息系统审计与控制协会i s a c a ( i n f o r m a t i o ns y s t e m sa u d i ta n dc o n t r o l a s s o c i a t i o n ) 成立的国际i t 治理委员会( i tg o v e r n a n c ei n s t i t u e ) 对i t 治理的定义如下： i t 治理是一个由关系和过程所构成的体制，用于指导和控制企业，通过乎衡信息技术与 过程的风险、增加价值来确保实现企业的目标 6 1 。 2 ，1 2 i t 治理定义的理解 i t 治理的目标必须与企业战略目标一致，是为了最终实现企业目标。i t 对于企业 非常关键。也是战略规划的组成，影响战略竞争。r r 治理和其它治理主体一样，是管理 执行人员和利益相关者的责任。i t 治理目的是保护利益相关者的权益，使风险透明化， 指导和控制i t 投资、机遇、利益、风险。 i t 治理包括管理层、组织结构、过程等多方面的内容，以确保l t 维持和拓展组织 战略目标。应该合理利用企业的信息资源，有效地集成与协调。 由此可见，i t 治理是组织控制i t 战略的制定与实施的能力，保证组织获得优势， 因此，i t 治理是企业治理的一部分，重点是业务与i t 的整合与控制。i t 治理不仅包括 i s 、i t 领域的决策原则、流程设计，还包括相关的投资、成本、主要战略目标、功能与 技术架构、客户关系以及服务水平等。 6 2 2 i t 治理的目标 2 2 1 1t 治理的目标 i t 治理的目标是：实现企业内i t 信息、i t 资源、l t 技术的合理利用，满足企业 整体战略目标：让企业利益在技术风险和技术回报之间取得平衡以获得更多的价值和竞 争力。因此，i t 治理的目标是帮助管理层建立以组织战略为导向，以外界环境为依据进 行合理的风险评估，以业务与i t 整合为中心的观念，正确定位i t 部门在整个组织中的 作用。 因此，研究i t 治理的目的，以期发现和总结出i t 管理的方法论和最佳实践，为企 业管理者提供管理参考和决策依据。通过正确的信息政策、正确的技术架构和手段，提 高资源的配置效率。增强所有利益相关者的信心，保证智力资本在组织中的合理存储、 共享和利用，最终能够针对不同业务发展要求，整合信息资源，降低业务风险。通过减 少信息的重复、滥用、误用、浪费来节省成本。在企业中制定并执行推动组织发展的【t 战略，提高管理层的决策效率。 2 2 2 it 治理目标特点 1 ) i t 治理目标与业务目标一致 i t 治理要从组织目标和信息化战略中抽取信息需求和功能需求，形成总体的i t 治 理框架和系统整体模型，为进一步系统设计和实施奠定基础，保证信息技术跟上持续变 化的业务目标。 2 ) i t 治理是为了更有效利用信息资源 目前信息化工程超期、i t 客户的需求没有满足、i t 平台不支持业务应用等问题较为 突出，通过i t 治理可以对信息资源的管理职责进行有效管理，保证投资的回收，并支 持决策。 3 ) i t 治理可以更好的进行风险管理 由于企业越来越依赖于信息技术和网络，新的风险不断涌现，例如，新出现的技术 没有管理，不符合现有法律和规章制度、没有识别对i t 服务的威胁等。i t 治理强调风 险管理，通过制定信息资源的保护级别，强调关键的信息技术资源，有效实施监控，事 故处理。i t 治理使企业适应外部环境变化，为企业内部实现对业务流程中资源的有效利 7 = 一 芝要墨三銮兰三塑璧墨量主兰兰 用，从而达到改善管理效率和水平的重要手段。 2 3 i t 治理的范围 2 3 1 i t 治理范围 i t 治理体系是为了保证总体战略目标能够从上而下贯彻执行。集中在最高管理层 和执行管理层，并全方位开展，i t 治理和其它治理活动一样，集中在最高管理层和执彳亍 管理层。然而，由于i t 治理的复杂性和专业性，治理层必须强烈依赖企业的下层来提 供决策和评估活动所需要的信息。为保证有效的i t 治理，下层应用要和企业总体目标 采用相同的原则，提供评估业绩的衡量方法。因此，好的i t 治理实践需要在企业全部 范围内推行。 管理者的焦点主要是成本一一效益比，增加收入，构建竞争力，这些都由信息、知 识、信息技术体系推动。由于信息技术作为实现企业目标的一个集成部分，其解决办法 越来越复杂( 外包，第三方合同，网络化等) ，因此，甚至成为成功的一个关键因素。 2 3 2 i t 治理主要责任方的职责 1 )最高管理层的主要职责是： a )证实i t 战略与企业战略一致； b ) 证实i t 通过明确的期望和衡量手段交付： c ) 指导r r 战略、平衡支持企业和使企业成长的投资： d ) 恰当决策信息资源应着重使用的地方。 2 ) 管理者的职责是： a )将i t 风险管理的责任和控制落实到企业中，制定明确的政策和全面的控制 框架； b 1将战略，策略。目标等由上至下落实到企业，并使信息技术的组织与企业 目标一致； c )提供治理结构支持i t 战略的实旌，制定i t 基础设施加快商业信息的创造与 共享： d )通过关键绩效指标k p i ( k e yp e r f o r m a n c ei n d i c a t o r s ) 、关键目标指标k g i ( k e y g o a li n d i c a t o r s ) 来衡量公司业绩和竞争优势，测度信息技术的效果； 8 e )使用平衡计分卡，弥补行政管理的不足： f ) 关注i t 必须支持的商业竞争力，如增加客户价值的业务过程，在市场上差 异化的产品和服务，通过多产品和服务来产生增值；关注重要的增值的信 息技术过程： g )关注与规划和管理i t 资产、风险、工程项目、客户和供应商相关的核一f i , 竞 争能力。 2 33it 治理范围延伸 i t 治理使得最高管理层( 董事会) 和执行经理的一系列活动成为可能。推进企业 全方位、全范围的i t 治理活动。这些活动主要包括：i t 的目标，新技术的机遇和风险， 关键过程与核心竞争力。如指导信息技术的职能和对企业的影响，分配责任，定义操作， 衡量业绩，管理风险和获得保证的约束等。 以银行业的数据大集中为例，从2 0 0 1 年开始，采用集中数据处理模式来体现一级 企业法人治理结构已经成为各家银行致力实现的一个目标，目前国内银行的数据集中处 理模式改造己陆续取得阶段性成果，可问题随之而来，集中以后做什么? 集中以后风险 也增加了，怎么办? 前一个问题也就是说数据集中了，只是提供了个进行深度业务创 新的前提和可能，关键还在于商业模式和i t 管理模式。对于后一个问题，则需要采取 更先进的安全治理机制，全面的信息系统审计与控制，包括可靠的灾难恢复和业务持续 规划。 2 4 i t 治理可以解决的问题 当i t 发生改变时会对业务目标产生冲击，通过i t 治理机制可以合理避免的意外事 件的发生和事发得及时处理。i t 治理对商业目标而言起着战略意义，i t 治理状况直接 影响到企业实现目标的可能性，良好的i t 治理有助于增强企业的灵活性和学习能力， 巧妙管理风险，辨别发展机遇。对于最高管理层而言，i t 治理可以解决以下几个方面问 题。 1 ) 发现信息技术本身的问题 i t 项目未能实现期望价值的概率：终端用户是否满意i t 服务的质量；是否有足够 的i t 资源、基础设施、竞争力来满足战略目标：信息技术平均操作失误的原因；i t 没 有推动业务改善而是阻碍业务的次数。 9 一 些查堡三奎耋三室篁矍堡圭篁銮 2 ) 帮助管理者处理i t 问题 i t 和组织战略目标的一致性程度怎么样：怎样衡量i t 的交付价值；执行管理人员 采取什么样的战略动机来管理i t ：与企业的运营与成长管理相关的问题：企业是否清楚 其商业目标与技术的关系：领先、跟随者还是滞后者：企业对风险( 风险规避和风险承 担) 是否清楚：有没有最薪的企业相关i t 风险的清单采取哪些行动处理这些风险。 3 ) 自我评估i t 管理的效果 是否经常向最高管理层定期汇报i t 风险；i t 是否是最高管理层议程中的一个常用 的术语，它是否以结构化形式表达；最高管理层是否就商业目标与信息技术一致性进行 阐明和沟通；最高管理层对主要i t 投资是否有清楚的观点，包括风险和回报；最高管 理层是否定期得到主要i t 过程的报告；最高管理层在获取i t 目标和限制i t 风险时是 否得到独立的保证。 国内i t 治理水平的好与差造成了i t 应用层次的差异。一些单位有与其国际竞争对 手一样的系统、软件，甚至技术和设备强于对方，所以单从技术的成熟性和先进性而言， 中国整体应用水平不低。虽然有个别企业在较落后的技术和设备上，把已有的技术应用 得非常成功的范例。但是大多数或整体水平离国际还是有很大的差距。从i t 治理的角 度审视和分析，其实技术的竞争早已超越了有与无的层面，进而甚至超越了抢夺技术最 早占有权的层面，问题的根本原因体现在业务和技术管理能力上的对抗。而实际上我国 信息化目前所处的阶段缺乏的并不是先进的技术与设备，而是i t 管理理念和方法论。 2 5 国内企业存在问题的主要表现 由于目前国内企业普遍地缺乏i t 治理，在信息化推进的过程中，不同程度上存在一 些问题，主要表现在以下几个方面： 1 ) 缺少统一的标准进行指导，不同行业各自为政 国内企业普遍缺乏统一、全局的i t 战略规划，由于没有统筹规划，目标不明确， 标准不统一，一些地方处在混乱无序的状态，形成了很多在权力保护下的信息孤岛，缺 乏共享的、网络化的信息资源。中关村科技软件公司总裁朱希铎曾对媒体呼吁，我国要 警惕形成世界上规模最大的信息孤岛。如目前国内已建成的众多c a 中心，除了在采用 x 5 0 9 证书标准上一致外，其它的共同标准规范很少，中国各c a 中心发放的证书基本 不能相互兼容，中国金融认证中心( c f c a ) 作为中国金融业的统一认证中心，其证书 甚至不能与国际权威的c a 认证接轨。对于企业而言，面对业务重组、裁员、外包、充 l o = = ：。：垒三塞。：墅兰 分授权、扁平化组织和分布式处理等如此复杂多变的商业环境，在i t 战略规划修订时， 如何精确保证i t 战略规划和企业战略目标的一致，普遍缺少科学方法论的指导。 2 ) 信息化建设领导者错位和i t 应用方案和企业业务需求之间逻辑错位 以往的信息化工程主要是技术专家或技术服务提供厂商主导下进行的，而不是经济 专家或管理专家主导。技术专家或技术厂商从技术的视角去关注信息技术和设备的先进 性等，较少聚焦在i t 战略和组织战略目标的互动上，较少考虑信息技术如何形成企业 核，t l , 竞争力，如何避免风险，如何创造新的业务和市场，和管理层沟通缺少通用的语言。 因而不可避免地和企业的经营环境、经营目的脱节。而随着设备更新的加快，许多早期 的工程只剩下一推摆设，管理层看不到在i t 上的投资回报，这又导致信息技术得不到 应有的重视，形成恶性循环。目前，总结经验和教训，各方普遍认识到中国的信息化建 设问题从总体上来说不是技术问题。以热火朝天的e r p 为例，e r p 的实施不仅仅是软 件的事，更重要的是一场管理革命。从这个意义上讲，e r p 只是一张皮，深层次的是企 业内部变革，所以管理变革若以e r p 为助推器，则e r p 的实施将水到渠成：若以e r p 项目为导火线，试图在公司内部发动管理变革，则往往会面临重重障碍而搁浅，最终不 了了之，甚至还可能导致公司被i t 拖垮。 3 ) 决策的技术经济论证不足 信息化建设项目具有投资大、风险大的特点。英国k a l i d o 于2 0 0 1 年1 2 月1 2 日公 布了有关企业信息管理的调查结果。调查显示，9 6 的企业对于本公司的信息管理系统 感到不满。关于目前正在使用的信息系统，认为”所制作的报告缺乏贯性”或者是”核对 信息花费了太多时间”的企业约占7 0 。回答目前的信息系统不能灵活应对变化的企业 约占6 0 ，对于数据的精度表示担心的企业约占6 0 ，6 0 以上的企业正在策划有关 数据及信息的整合计划。特别引入深思的是该调查是由美国h a r t e h a n k s 以全球5 0 0 强企 业以及财富1 0 0 0 企业中的1 7 1 家公司为对象通过问卷方式实施的。事实告诉我们，系 统规模越大、与管理联系越密切、集成度越高的系统，风险也越大，失败概率越高，其 中最明显的例子就是e r p 。信息化建设项目的高风险和高失败率就要求企业在信息化建 设决策之前，要进行充分的技术经济论证，综合论证项目技术上的先进性和可行性，财 务上的实施可能性，经济上的合理性和有效性。朱镕基总理在国家信息化领导小组第二 次会议中特别强调：加快信息化建设，必须以规划为指导，加强统筹协调，突出发展重 点，务必注重实效。由于我国信息化建设项目开展时间不长，缺乏项目决策论证经验， 同时，信息化建设项目除直接效益外还产生大量外部效益，对外部效益的量化也是一个 ! 。 兰查鎏三奎耋三登耋垩璧圭鎏耋 难点。因此，许多企业和政府在进行信息化建设时缺乏科学的定性、定量相结合的技术 经济论证。另据分析，2 0 0 2 年，中央政府对电子政务建设的投资规模已经达到3 5 0g t r , ， 并且近年来呈现逐年增长的趋势，如此巨大的投资，一旦由于技术经济论证不足而导致 决策失误的话，将会造成难以弥补的巨大损失。 4 ) 信息资源的合理应用是我国信息化的薄弱环节 信息资源的开发和利用是国家信息化建设的核心任务，是国家信息化取得实效的关 键。信息资源的开发和利用是衡量国家信息化水平的一个重要标志，将信息资源开发和 利用放在核心地位是我国推进信息化的一大特点。在信息化建设中，我们普遍存在着信 息处理环境建设滞后于物理环境建设，许多单位的数据库混乱状况与其先进的计算机环 境和网络环境极不相称，使信息化建设无法取得实效，造成极大浪费。以电子政务为例， 美国电子政务提出的口号是让人们点击3 次鼠标就能办完事。而我国一个电子政务系统 往往有工商、税务、计委、环保、社保等几十个甚至是上百个系统，要跨部门办一个申 报审批的事情，其复杂和繁琐程度是难以想像的。与此同时，我们认为这也将给中国i t 企业带来极大的商机。 5 ) 利益冲突和信息的不透明 由于任何企业的任务环境要考虑和关系的利益非常广泛，在任何一个i t 战略决策 中，都会不可避免发生利益相关者包括部门利益之间的利益冲突。所以，即使管理层要 努力承担责任，企业任何时候的任何决策都会招致莱个或多个群体的不满。一些管理层 在做出i t 战略决策之前，没有仔细考虑每一个方案会影响到哪些重要的利益相关者， 更有甚者把信息化当作一种政治资本在做。那些开始看起来能为公司带来最大利益的最 佳方案，也许会为公司带来最严重的后果。 因此管理者需要懂得信息系统给组织所带来的各种影响。当引进信息系统并产生效 益的同时，还可能给企业带来什么新的问题? 信息系统是否能够给组织各级领导的工作 带来影响? 组织的工作流程是否需要变化? 会不会引起新的人员下岗? 等等。 信息的不透明表现在诸多方面，如信息化专项款相对较少并且甚至难以落到实处， 难以推进信息化的建设。有的仅仅是增添计算机简单形成网络，表面上形成信息化。即 使花大量资金购买先进的技术和设备，致使这些客户的信怠系统甚至比发达国家的同行 还要先进，但在营运绩效方面却落后很多。还有某些厂商和咨询公司在合同签订前故弄 玄虚，以及在多方利益博弈后的项目验收，这些缺少量化模型的项目验收和绩效评估， 在各方利益得到均衡满足后，一路绿灯通行。 1 2 6 ) i t 安全治理和风险管理缺位 目前大多数组织的最高管理层都已树立不同程度的安全和风险意识，但对信息资产 所面临的严重性认识不足仅局限于i t 方面的安全，突出表现为重视安全技术，轻视安 全管理，没有形成合理的信息安全方针来指导组织的信息安全管理工作，在安全规划、 风险管理、应急计划、安全教育培训、安全系统的评估等多方面总是出现了问题才去想 补救的办法，是一种就事论事、静态的管理，不是建立在安全治理基础上的动态的全局 管理方法。国内的信息化就应用系统而言，几乎大多数企业的信息系统都存在隐患。 7 ) 非技术性的障碍 i t 技术的快速发展使得许多人产生了一种错误的思维定势：如果采用了最新的技 术，就能够取得信息系统的成功。换言之，如果信息系统建设不成功，多半是因为没有 采用最新的技术。但是，一些企业尽管不断地试图采用最新开发技术，然而它们的信息 系统仍然没有逃脱失败的命运。很多人在推崇信息技术的同时忽略了一个基本的前提： 信息技术仅仅是一种工具。虽然信息技术对于信息系统的开发效率产生重要的影响，但 工具本身却不是信息系统成败的根本原因。通常在信息系统开发时，开发商采用的往往 是比较成熟的技术，因为这些成熟技术的有效性是已经被实践所证明了的。但是，采用 成熟的技术并不能保证信息系统开发的成功。 些非技术性的问题往往是导致企业信息