IT治理中國信息化的必由之道

1、IT治理：中國信息化的必由之道PAGE IT治理：中國信息息化的必由由之道孫 強 郝亞斌 郝曉玲 孟秀轉(zhuǎn)目 錄錄TOC o 1-3 h z HYPERLINK l _Toc26619007 引言 PAGEREF _Toc26619007 h 1 HYPERLINK l _Toc26619008 IT治理缺缺失的九大大癥狀 PAGEREF _Toc26619008 h 1 HYPERLINK l _Toc26619009 IT治理的的定義 PAGEREF _Toc26619009 h 4 HYPERLINK l _Toc26619010 IT治理的的目標 PAGEREF _Toc26619010

2、 h 4 HYPERLINK l _Toc26619011 IT治理解解決哪些問問題 PAGEREF _Toc26619011 h 5 HYPERLINK l _Toc26619012 IT治理的的范圍 PAGEREF _Toc26619012 h 6 HYPERLINK l _Toc26619013 公司治理和和IT治理 PAGEREF _Toc26619013 h 7 HYPERLINK l _Toc26619014 IT治理和和IT管理 PAGEREF _Toc26619014 h 8 HYPERLINK l _Toc26619015 公司治理與與信息技術(shù)術(shù)治理如何何工作 PAGEREF

3、 _Toc26619015 h 8 HYPERLINK l _Toc26619016 IT治理架架構(gòu) PAGEREF _Toc26619016 h 9 HYPERLINK l _Toc26619017 IT治理在在組織中的的應(yīng)用指南南 PAGEREF _Toc26619017 h 11 HYPERLINK l _Toc26619018 建立IT治治理機制 PAGEREF _Toc26619018 h 16 HYPERLINK l _Toc26619019 IT治理的的成功案例例 PAGEREF _Toc26619019 h 19第 PAGE 23 頁 共23頁引言信息化已經(jīng)經(jīng)成為中國國經(jīng)濟與社

4、社會發(fā)展最最重要的推推動力，大大力推動全全社會的信信息化，以以信息化帶帶動工業(yè)化化，這一戰(zhàn)戰(zhàn)略已經(jīng)取取得了可喜喜的成果。當(dāng)前，在在加入WTTO后的中中國經(jīng)濟環(huán)環(huán)境中，信信息的重要要性已被廣廣為認同，信信息系統(tǒng)也也已逐步滲滲透到商業(yè)業(yè)和政府組組織中，IIT系統(tǒng)開開始從傳統(tǒng)統(tǒng)的后臺支支持轉(zhuǎn)變?yōu)闉樾聵I(yè)務(wù)開開展的直接接驅(qū)動力，IIT也日益益成為企業(yè)業(yè)的直接利利潤中心。各種組織織對信息系系統(tǒng)的依賴賴程度在不不斷增加，更更有一些組組織甚至若若沒有ITT將不復(fù)存存在，但同同時對于很很多組織由由于信息和和信息技術(shù)術(shù)意味著最最重要的資資產(chǎn)，這導(dǎo)導(dǎo)致IT本本身已經(jīng)或或潛在成為為一個巨大大的威脅，隨隨IT而來來的風(fēng)

5、險、利益和機機會使得IIT治理成成為公司和和政府治理理中很關(guān)鍵鍵的一個方方面。管理理層需要確確保IT與與公司戰(zhàn)略略一致而且且公司戰(zhàn)略略也很好地地利用了IIT的優(yōu)勢勢，政府需需要發(fā)展電電子政務(wù)來來促動、實實現(xiàn)轉(zhuǎn)變政政府職能的的轉(zhuǎn)變。因因此，隨著著對信息系系統(tǒng)依賴性性的增加，IIT治理對對于組織的的成功是至至關(guān)重要的的。這篇文文章將探究究當(dāng)前關(guān)于于IT治理的的思想，為為什么ITT治理框架架對于組織織的持續(xù)成成功是至關(guān)關(guān)重要的，然然后描述它它與公司治治理之間的的關(guān)系，最最后簡單介介紹了一個個IT治理理的自動化化工具COOBIT。后續(xù)文章章將主要集集中在ITT治理機制制的實現(xiàn)上上，IT治理應(yīng)應(yīng)該采用國

6、國際上最好好的實踐標標準，包括括COBIIT和ISO/IEC 177999，討論論如何實施施它以改善善整個組織織的運作。IT治理缺缺失的九大大癥狀首先，各自自為政。缺缺乏統(tǒng)一、全局的IIT戰(zhàn)略規(guī)規(guī)劃，由于于沒有統(tǒng)籌籌規(guī)劃，目目標不明確確，標準不不統(tǒng)一，一一些地方處處在混亂無無序的狀態(tài)態(tài)，形成了了很多在權(quán)權(quán)力保護下下的信息孤孤島，缺乏乏共享的、網(wǎng)絡(luò)化的的信息資源源，中關(guān)村村科技軟件件公司總裁裁朱希鐸曾曾對媒體呼呼吁，我國國要警惕形形成世界上上規(guī)模最大大的信息孤孤島。如目目前國內(nèi)已已建成的眾眾多CA中中心，除了了在采用XX.5099證書標準準上一致外外，其它的的共同標準準規(guī)范很少少，中國各各CA中

7、心心發(fā)放的證證書基本不不能相互兼兼容，CFFCA作為為中國金融融業(yè)的統(tǒng)一一認證中心心，其證書書甚至不能能與國際權(quán)權(quán)威的CAA認證接軌軌。對于企企業(yè)而言，面面對業(yè)務(wù)重重組、裁員員、外包、充分授權(quán)權(quán)、扁平化化組織和分分布式處理理等如此復(fù)復(fù)雜多變的的商業(yè)環(huán)境境，在ITT戰(zhàn)略規(guī)劃劃修訂時，如如何精確保保證IT戰(zhàn)戰(zhàn)略規(guī)劃和和企業(yè)戰(zhàn)略略目標的一一致，普遍遍缺少科學(xué)學(xué)方法論的的指導(dǎo)。其次，信息息化建設(shè)領(lǐng)領(lǐng)導(dǎo)者錯位位，IT應(yīng)應(yīng)用方案和和企業(yè)業(yè)務(wù)務(wù)需求之間間邏輯錯位位。過去的的信息化工工程是技術(shù)術(shù)專家或技技術(shù)廠商主主導(dǎo)下進行行的，而不不是經(jīng)濟專專家或管理理專家主導(dǎo)導(dǎo)，技術(shù)專專家或技術(shù)術(shù)廠商從技技術(shù)的視角角去關(guān)注

8、信信息技術(shù)和和設(shè)備的先先進性等，較較少聚焦在在IT戰(zhàn)略略和組織戰(zhàn)戰(zhàn)略目標的的互動上，較較少考慮信信息技術(shù)如如何形成企企業(yè)核心競競爭力，如如何避免風(fēng)風(fēng)險，如何何創(chuàng)造新的的業(yè)務(wù)和市市場，和管管理層溝通通缺少通用用的語言（非非IT專業(yè)業(yè)術(shù)語），因而不可避免地和企業(yè)的經(jīng)營環(huán)境、經(jīng)營目的脫節(jié)，而隨著設(shè)備更新的加快，許多早期的工程只剩下一推擺設(shè)，管理層看不到在IT上的投資回報，這又導(dǎo)致信息技術(shù)得不到應(yīng)有的重視，形成惡性循環(huán)。目前，總結(jié)經(jīng)驗和教訓(xùn)，各方普遍認識到中國的信息化建設(shè)問題從總體上來說不是技術(shù)問題。以熱火朝天的ERP為例，ERP的實施不僅僅是軟件的事，更重要的是一場管理革命。從這個意義上講，ERP只

9、是一張皮，深層次的是企業(yè)內(nèi)部變革，所以管理變革若以ERP為助推器，則ERP的實施將水到渠成；若以ERP項目為導(dǎo)火線，試圖在公司內(nèi)部發(fā)動管理變革，則往往會面臨重重障礙而擱淺，最終不了了之，甚至還可能導(dǎo)致公司被IT拖垮。第三，決策策的技術(shù)經(jīng)經(jīng)濟論證不不足。信息息化建設(shè)項項目具有投投資大、風(fēng)風(fēng)險大的特特點。英國國Kaliido于英英國時間22001年年12月112日公布布了有關(guān)企企業(yè)信息管管理的調(diào)查查結(jié)果。調(diào)調(diào)查顯示，996的企企業(yè)對于本本公司的信信息管理系系統(tǒng)感到不不滿。關(guān)于于目前正在在使用的信信息系統(tǒng)，認認為所制制作的報告告缺乏一貫貫性或者者是核對對信息花費費了太多時時間的企企業(yè)約占770?；鼗?/p>

10、答目前的的信息系統(tǒng)統(tǒng)不能靈活活因應(yīng)變化化的企業(yè)約約占60，對于數(shù)數(shù)據(jù)的精度度表示擔(dān)心心的企業(yè)約約占60，60以上的企企業(yè)正在策策劃有關(guān)數(shù)數(shù)據(jù)及信息息的整合計計劃。特別別引人深思思的是該調(diào)調(diào)查是由美美國Harrte-HHankss以全球5500強企企業(yè)以及財財富10000企業(yè)中中的1711家公司為為對象通過過問卷方式式實施的。事實告訴訴我們，系系統(tǒng)規(guī)模越越大、與管管理聯(lián)系越越密切、集集成度越高高的系統(tǒng)，風(fēng)風(fēng)險也越大大，失敗概概率越高，其其中最明顯顯的例子就就是ERPP，信息化化建設(shè)項目目的高風(fēng)險險和高失敗敗率就要求求企業(yè)在信信息化建設(shè)設(shè)決策之前前，要進行行充分的技技術(shù)經(jīng)濟論論證，綜合合論證項目目

11、技術(shù)上的的先進性和和可行性，財財務(wù)上的實實施可能性性，經(jīng)濟上上的合理性性和有效性性。朱镕基基總理在國國家信息化化領(lǐng)導(dǎo)小組組第二次會會議中特別別強調(diào)：加加快信息化化建設(shè)，必必須以規(guī)劃劃為指導(dǎo)，加加強統(tǒng)籌協(xié)協(xié)調(diào)，突出出發(fā)展重點點，務(wù)必注注重實效。由于我國國信息化建建設(shè)項目開開展時間不不長，缺乏乏項目決策策論證經(jīng)驗驗，同時，信信息化建設(shè)設(shè)項目除直直接效益外外還產(chǎn)生大大量外部效效益，對外外部效益的的量化也是是一個難點點。因此，許許多企業(yè)和和政府在進進行信息化化建設(shè)時缺缺乏科學(xué)的的定性、定定量相結(jié)合合的技術(shù)經(jīng)經(jīng)濟論證。 另據(jù)分分析，20002年，中中央政府預(yù)預(yù)計對電子子政務(wù)建設(shè)設(shè)的投資規(guī)規(guī)模將達到到35

12、0億億元，如此此巨大的投投資，一旦旦由于技術(shù)術(shù)經(jīng)濟論證證不足而導(dǎo)導(dǎo)致決策失失誤的話，將將給國家造造成多么巨巨大的損失失！ 第四，信息息資源的合合理應(yīng)用一一直是我國國信息化的的薄弱環(huán)節(jié)節(jié)。信息資資源的開發(fā)發(fā)和利用是是國家信息息化建設(shè)的的核心任務(wù)務(wù)，是國家家信息化取取得實效的的關(guān)鍵。信信息資源的的開發(fā)和利利用是衡量量國家信息息化水平的的一個重要要標志，將將信息資源源開發(fā)和利利用放在核核心地位是是我國推進進信息化的的一大特點點。在信息息化建設(shè)中中，我們普普遍存在著著信息處理理環(huán)境建設(shè)設(shè)滯后于物物理環(huán)境建建設(shè)，許多多單位的數(shù)數(shù)據(jù)庫混亂亂狀況與其其先進的計計算機環(huán)境境和網(wǎng)絡(luò)環(huán)環(huán)境極不相相稱，使信信息化建

13、設(shè)設(shè)無法取得得實效，造造成極大浪浪費。以電電子政務(wù)為為例，美國國電子政務(wù)務(wù)提出的口口號是讓人人們點擊33次鼠標就就能辦完事事。而我國國一個電子子政務(wù)系統(tǒng)統(tǒng)往往有工工商、稅務(wù)務(wù)、計委、環(huán)保、社社保等幾十十個甚至是是上百個系系統(tǒng)，要跨跨部門辦一一個申報審審批的事情情，不知道道要點擊多多少次。與與此同時，我我們認為這這也將給中中國IT企企業(yè)帶來極極大的商機機。第五，利益益沖突和信信息的不透透明。由于于任何企業(yè)業(yè)的任務(wù)環(huán)環(huán)境要考慮慮和關(guān)系的的利益非常常廣泛，在在任何一個個IT戰(zhàn)略略決策中，都都會不可避避免發(fā)生利利益相關(guān)者者包括部門門利益之間間的利益沖沖突。所以以，即使管管理層要努努力承擔(dān)責(zé)責(zé)任，企業(yè)業(yè)

14、任何時候候的任何決決策都會招招致某個或或多個群體體的不滿。一些管理理層在做出出IT戰(zhàn)略略決策之前前，沒有仔仔細考慮每每一個方案案會影響到到哪些重要要的利益相相關(guān)者，更更有甚者把把信息化當(dāng)當(dāng)作一種政政治資本在在做。那些些開始看起起來能為公公司帶來最最大利益的的最佳方案案，也許會會為公司帶帶來最嚴重重的后果。因此管理理者必須懂懂得信息系系統(tǒng)給組織織所帶來的的各種影響響。相關(guān)領(lǐng)導(dǎo)需需要仔細地地考慮，當(dāng)當(dāng)引進信息息系統(tǒng)并產(chǎn)產(chǎn)生效益的的同時，還還可能給企企業(yè)帶來什什么新的問問題？信息息系統(tǒng)是否否能夠給組組織各級領(lǐng)領(lǐng)導(dǎo)的工作作帶來影響響？組織的工作作流程是否否需要變化化？會不會會引起新的的人員下崗崗？等等

15、。信息的不透透明表現(xiàn)在在諸多方面面，如政府府信息化專專項貼息貸貸款，那些些貸款果真真?？顚Ｓ糜昧藛?？上上市公司針針對IT項項目的配股股增發(fā)，又又有幾例不不是沖著圈圈錢去的？！某些廠廠商利用信信息不對稱稱，極力鼓鼓吹客戶要要采購先進進的技術(shù)和和設(shè)備，致致使這些客客戶的信息息系統(tǒng)甚至至比發(fā)達國國家的同行行還要先進進，但在營營運績效方方面卻落后后很多。還還有某些廠廠商和咨詢詢公司在合合同簽訂前前故弄玄虛虛，以及在在多方利益益博弈后的的項目驗收收，這些缺缺少量化模模型的項目目驗收和績績效評估，在在各方利益益得到均衡衡滿足后，一一路綠燈通通行。 第六，ITT安全治理理和風(fēng)險管管理缺位。目前大多多數(shù)組織的

16、的最高管理理層都已樹樹立不同程程度的安全全和風(fēng)險意意識，但對對信息資產(chǎn)產(chǎn)所面臨的的嚴重性認認識不足僅僅局限于IIT方面的的安全，突突出表現(xiàn)為為重視安全全技術(shù)，輕輕視安全管管理，沒有有形成合理理的信息安安全方針來來指導(dǎo)組織織的信息安安全管理工工作，在安安全規(guī)劃、風(fēng)險管理理、應(yīng)急計計劃、安全全教育培訓(xùn)訓(xùn)、安全系系統(tǒng)的評估估等多方面面總是出現(xiàn)現(xiàn)了問題才才去想補救救的辦法，是是一種就事事論事、靜靜態(tài)的管理理，不是建建立在安全全治理基礎(chǔ)礎(chǔ)上的動態(tài)態(tài)的全局管管理方法。國內(nèi)的信信息化“就就應(yīng)用系統(tǒng)統(tǒng)而言，幾幾乎所有企企業(yè)的信息息系統(tǒng)都存存在隱患”。第七，非技技術(shù)性的障障礙。IT技術(shù)術(shù)的快速發(fā)發(fā)展使得許許多人

17、產(chǎn)生生了一種錯錯誤的思維維定勢：如如果采用了了最新的技技術(shù)，就能能夠（或容容易）取得得信息系統(tǒng)統(tǒng)的成功。換言之，如如果信息系系統(tǒng)建設(shè)不不成功，多多半是因為為沒有采用用最新的技技術(shù)。但是是，我們不不斷地看到到這樣的案案例：一些些企業(yè)盡管管不斷地試試圖采用最最新開發(fā)技技術(shù)，然而而它們的信信息系統(tǒng)仍仍然沒有逃逃脫失敗的的命運。很很多人在推推崇信息技技術(shù)的同時時忘記了一一個基本的的前提：信信息技術(shù)僅僅僅是一種種工具。雖雖然信息技技術(shù)對于信信息系統(tǒng)的的開發(fā)效率率產(chǎn)生重要要的影響，但但工具本身身卻不是信信息系統(tǒng)成成敗的根本本原因。通通常在信息息系統(tǒng)開發(fā)發(fā)時，開發(fā)發(fā)商采用的的往往是比比較成熟的的技術(shù)，因因為

18、這些成成熟技術(shù)的的有效性是是已經(jīng)被實實踐所證明明了的。但但是，采用用成熟的技技術(shù)并不能能保證信息息系統(tǒng)開發(fā)發(fā)的成功。這說明，一一些非技術(shù)術(shù)性的問題題往往是導(dǎo)導(dǎo)致企業(yè)信信息化不成成功的根源源。這些問問題我我們姑且統(tǒng)統(tǒng)稱為企業(yè)業(yè)信息化的的非技術(shù)性性的障礙目前十十分缺乏理理論上的研研究。有許許多文章都都在談?wù)撨@這些因素，有有人說是中中國的管理理水平低，有有人認為是是員工的觀觀念跟不上上。但是，大大多數(shù)文章章都僅僅議議論了一些些現(xiàn)象，而而缺乏深入入全面的研研究。更可可怕的是這這些問題并并未引起一一些主管人人員重視，他他們認為對對非技術(shù)性性問題的探探討是空談?wù)?，只有掌掌握某種開開發(fā)技術(shù)才才能有真正正的應(yīng)

19、用前前景。這種種錯誤的認認識導(dǎo)致了了許多單位位和部門的的信息系統(tǒng)統(tǒng)的失敗，而而這些失敗敗又常常被被嶄新的計計算機設(shè)備備和許多忙忙碌而不產(chǎn)產(chǎn)生價值的的工作所掩掩蓋，像冰山潛藏藏在水面下下一樣無人人知曉。 第八，重硬硬件購買，輕輕軟件和咨咨詢服務(wù)。目前，我我國信息化化建設(shè)缺少少專業(yè)分工工，基本是是自建、自自用、自我我服務(wù)，不不愿花錢買買專業(yè)化咨咨詢、專業(yè)業(yè)化軟件開開發(fā)、專業(yè)業(yè)化服務(wù)，從從而造成信信息化建設(shè)設(shè)效率低下下。而發(fā)達達國家的大大型應(yīng)用系系統(tǒng)不但花花錢買這三三項專業(yè)化化的建設(shè)服服務(wù)，而且且還買運營營服務(wù)。相相關(guān)統(tǒng)計顯顯示：我國國在信息化化投入中，軟軟硬比例失失調(diào)，軟件加服服務(wù)的投入入與硬件投

20、投入的比例例為二八開開，其中集集成與安裝裝的比例約約8100%；軟件件開發(fā)的投投入約10012%；80%的資金是是用于硬件件購買。而而據(jù)世界銀銀行的統(tǒng)計計，發(fā)達城城市信息化化投入一般般為七三開開，70%用于軟件件和服務(wù)，購購買硬件為為30%。第九，信息息化建設(shè)找找不到重心心。一些信息化工工程和ERRP項目的的失敗，致致使許多人人認為，我我國的企業(yè)業(yè)尚不匹配配國際上那那些先進的的管理模式式，搞信息息化為時尚尚早。那么么，信息化化到底是什什么？我們們究竟應(yīng)該該走多遠？有沒有一一個測量標標準用于判判斷何時肯肯定會出現(xiàn)現(xiàn)錯誤？企企業(yè)在最普普通而又最關(guān)鍵鍵的部分進進行計算機機管理就不不是信息化化嗎？IT

21、T成本與利利潤比例多多少算是合合適？關(guān)鍵鍵成功要素素是什么？不能達到到我們目標標的風(fēng)險是是什么？有有沒有可以以貫通業(yè)務(wù)務(wù)風(fēng)險、控控制需要和和技術(shù)問題題這三者之之間的橋梁梁？其他的的組織在做做什么？我我們應(yīng)該怎怎樣進行測測量與比較較？ 這些問題歸歸根結(jié)底是是公司治理理的失靈和和IT治理理的缺位。目前公司司治理已成成為政策重重點，我國國80%的的企業(yè)已完完成股份制制改造，初初步建立起起符合現(xiàn)代代企業(yè)制度度的公司治治理機制，但但是我們的的治理機制制還很不完完善。一個個治理機制制不完善的的企業(yè)很難難對外部競競爭有積極極的反應(yīng)，從從而很難有有十分高的的經(jīng)營效率率；相反，市市場競爭的的效率也來來自于企業(yè)業(yè)

22、治理機制制的完善，如如果市場中中的企業(yè)治治理機制普普遍不完善善，企業(yè)之之間就不可可能進行充充分有效的的市場競爭爭。市場競競爭最終要要通過企業(yè)業(yè)自身治理理機制的改改善才能使使企業(yè)經(jīng)營營效率提高高，如果一一個企業(yè)自自身的治理理機制并不不完善，而而且面對市市場競爭并并不能持續(xù)續(xù)有效地改改善治理機機制，最終終可能在市市場競爭中中被淘汰。因此要實實現(xiàn)“優(yōu)勝劣汰汰”的市場競競爭，引入入與市場競競爭相適應(yīng)應(yīng)的治理機機制，我們們依然有許許多工作要要做。在IIT治理方方面，目前前我國的政政府和企業(yè)業(yè)在這方面面基本上處處于初始階階段。據(jù)了了解，在一一些大企業(yè)業(yè)中，已出出現(xiàn)CIOO的權(quán)利范范圍不只是是領(lǐng)導(dǎo)其信信息部

23、門，還還負責(zé)事業(yè)業(yè)部門的人人、財、物物的資源配配置和利益益均衡，我我們認為這這是具有中中國特色的的IT治理理機制的嘗嘗試。IT治理的的定義IT治理是是信息系統(tǒng)統(tǒng)審計和控控制領(lǐng)域中中一個相當(dāng)當(dāng)新的概念念，IBMM首次將此此理念引入入我們的視視線，在其其20022年度論壇中中推出了給給中國銀行行業(yè)的“匯聚了了全球金融融行業(yè)的智智慧與經(jīng)驗驗”的白皮皮書，該白白皮書在其其“推動業(yè)務(wù)務(wù)管理與IIT的全面面集成整合合”部分給銀行行業(yè)務(wù)與管管理的建議議是：大力推推動銀行流流程化與流流程標準化化的管理，建建立全行級級的跨部門門的IT治治理決策機機構(gòu)來決定定IT項目目實施的順順序，加強強全行的管管理與流程程執(zhí)行

24、的紀紀律，與IIT行業(yè)的的供應(yīng)商結(jié)結(jié)成戰(zhàn)略聯(lián)聯(lián)盟,將戰(zhàn)戰(zhàn)略伙伴的的價值并入入到價值鏈鏈。作為全全球IT行行業(yè)領(lǐng)跑者者的IBMM，其一舉舉一動往往往預(yù)示著整整個行業(yè)的的發(fā)展方向向。 我們在對IIT治理廣廣泛研究和和分析的基基礎(chǔ)上，關(guān)關(guān)于其定義義匯集了以以下三種主主要觀點：Roberrt s. Rouusseyy （美國國南加州大大學(xué)教授）認認為：ITT治理用于于描述被委委托治理實實體的人員員在監(jiān)督、檢查、控控制和指導(dǎo)導(dǎo)實體的過過程中如何何看待信息息技術(shù)。IIT的應(yīng)用用對于組織織能否達到到它的遠景景、使命、戰(zhàn)略目標標至關(guān)重要要。德勤定義如如下: IIT治理是是一個含義義廣泛的術(shù)術(shù)語，包括括信息系統(tǒng)

25、統(tǒng)、技術(shù)、通訊、商商業(yè)、所有有利益相關(guān)關(guān)者、合法法性和其他他問題。其其主要任務(wù)務(wù)是：保持持IT與業(yè)業(yè)務(wù)目標一一致，推動動業(yè)務(wù)發(fā)展展，促使收收益最大化化，合理利利用IT資資源，ITT相關(guān)風(fēng)險險的適當(dāng)管管理。國際信息系系統(tǒng)審計與與控制協(xié)會會 (ISSACA)定義如下下：IT治治理是一個個由關(guān)系和和過程所構(gòu)構(gòu)成的體制制，用于指指導(dǎo)和控制制企業(yè)，通通過平衡信信息技術(shù)與與過程的風(fēng)風(fēng)險、增加加價值來確確保實現(xiàn)企企業(yè)的目標標。通過上述定定義可以總總結(jié)出以下下共同點：IT治理必必須與企業(yè)業(yè)戰(zhàn)略目標標一致，IIT對于企企業(yè)非常關(guān)關(guān)鍵，也是是戰(zhàn)略規(guī)劃劃的組成，影影響戰(zhàn)略競競爭。IT治理和和其它治理理主體一樣樣，是

26、管理理執(zhí)行人員員和利益相相關(guān)者的責(zé)責(zé)任（以董董事會為代代表）。IT治理保保護利益相相關(guān)者的權(quán)權(quán)益，使風(fēng)風(fēng)險透明化化，指導(dǎo)和和控制ITT投資、機機遇、利益益、風(fēng)險。信息技術(shù)治治理包括管管理層、組組織結(jié)構(gòu)、過程，以以確保ITT維持和拓拓展組織戰(zhàn)戰(zhàn)略目標。應(yīng)該合理利利用企業(yè)的的信息資源源，有效地地集成與協(xié)協(xié)調(diào)。確保IT及及時按照目目標交付，有有合適的功功能和期望望的收益，是是一個一致致性和價值值傳遞的基基本構(gòu)建模模塊，有明明確的期望望值和衡量量手段。引導(dǎo)IT戰(zhàn)戰(zhàn)略平衡系系統(tǒng)的投資資，支持企企業(yè)， 變變革企業(yè)，或或者創(chuàng)建一一個信息基基礎(chǔ)架構(gòu)，保保證業(yè)務(wù)增增長，并在在一個新的的領(lǐng)域競爭爭。對于核心IIT

27、資源做做出合理的的決策，進進入新的市市場，驅(qū)動動競爭策略略，創(chuàng)造總總的收入增增長，改善善客戶滿意意度，維系系客戶關(guān)系系。IT治理的的目標IT治理與業(yè)務(wù)務(wù)目標一致致IT治理要要從組織目目標和信息息化戰(zhàn)略中中抽取信息息需求和功功能需求，形形成總體的的IT治理理框架和系系統(tǒng)整體模模型，為進進一步系統(tǒng)統(tǒng)設(shè)計和實實施奠定基基礎(chǔ)，保證證信息技術(shù)術(shù)跟上持續(xù)續(xù)變化的業(yè)業(yè)務(wù)目標。IT治理有效利利用信息資資源目前信息化化工程超期期、 ITT客戶的需需求沒有滿滿足、ITT平臺不支支持業(yè)務(wù)應(yīng)應(yīng)用等問題題較為突出出，通過IIT治理可可以對信息息資源的管管理職責(zé)進進行有效管管理，保證證投資的回回收，并支支持決策。IT治理

28、風(fēng)險管管理由于企業(yè)越越來越依賴賴于信息技技術(shù)和網(wǎng)絡(luò)絡(luò)，新的風(fēng)風(fēng)險不斷涌涌現(xiàn)，例如如，新出現(xiàn)現(xiàn)的技術(shù)沒沒有管理，不不符合現(xiàn)有有法律和規(guī)規(guī)章制度、沒有識別別對IT服服務(wù)的威脅脅等。ITT治理強調(diào)調(diào)風(fēng)險管理理，通過制制定信息資資源的保護護級別，強強調(diào)關(guān)鍵的的信息技術(shù)術(shù)資源，有有效實施監(jiān)監(jiān)控，事故故處理。IIT治理使使企業(yè)適應(yīng)應(yīng)外部環(huán)境境變化，為為企業(yè)內(nèi)部部實現(xiàn)對業(yè)業(yè)務(wù)流程中中資源的有有效利用，從從而達到改改善管理效效率和水平平的重要手手段。IT治理的的目標將幫幫助管理層層建立以組織織戰(zhàn)略為導(dǎo)導(dǎo)向, 以以外界環(huán)境境為依據(jù), 以業(yè)務(wù)務(wù)與IT整整合為中心的觀念念，正確定定位IT部部門在整個個組織中的作用。

29、最終能夠夠針對不同同業(yè)務(wù)發(fā)展展要求，整整合信息資資源，制定定并執(zhí)行推推動組織發(fā)展的的IT戰(zhàn)略略。IT治理解解決哪些問問題在探討ITT治理可以以解決哪些些問題之前前，我們先先就身邊發(fā)發(fā)生的事件件看一下IIT治理失失靈的例子子：2002年年7月233日，央視視晚新聞播播報：7月223日，首首都機場因因電腦系統(tǒng)統(tǒng)故障，66000多多人滯留機機場，1550多駕飛飛機延誤，事事故原因正正在調(diào)查中中 ；5月229日上午午時分左右，南南京火車站站電腦售票票系統(tǒng)突然然發(fā)生死機機故障，整整個車站售售票處于癱癱瘓狀態(tài)，車車站售票大大廳內(nèi)人滿滿為患，眾眾多旅客不不得不改乘乘其它交通通工具離開開南京。車車站領(lǐng)導(dǎo)和和計

30、算機技技術(shù)人員告告訴記者是是由于電腦腦升級換代代，調(diào)試時時線路發(fā)生生故障，才才引發(fā)了此此次系統(tǒng)癱癱瘓的。99月5日廣廣東省工行行因系統(tǒng)故故障，全線線停業(yè)一個個半小時，有有媒體特別別指出，這這是工行實實施全國統(tǒng)統(tǒng)一平臺運運作后的首首次故障。還有某銀銀行在信息息系統(tǒng)技術(shù)術(shù)升級時，IIT人員只只注重保證證系統(tǒng)在技技術(shù)上的平平滑過渡，而而忽視了升升級給客戶戶帶來的不不便，導(dǎo)致致客戶流失失，這也表表明當(dāng)ITT發(fā)生改變變時會對業(yè)業(yè)務(wù)目標產(chǎn)產(chǎn)生沖擊，以以上都是通通過IT治治理機制可可以合理避避免的事件件。因此，我們們認為ITT治理對商商業(yè)目標而而言起著戰(zhàn)戰(zhàn)略意義，IIT治理狀狀況直接影影響到企業(yè)業(yè)實現(xiàn)目標標

31、的可能性性，良好的的IT治理理有助于增增強企業(yè)的的靈活性和和學(xué)習(xí)能力力，巧妙管管理風(fēng)險，辨辨別發(fā)展機機遇。對于于最高管理理層（董事事會）而言言，IT治治理可以解解決以下幾幾個方面問問題：發(fā)現(xiàn)信息技技術(shù)本身的的問題，例例如IT項項目未能實實現(xiàn)期望價價值的概率率；終端用用戶是否滿滿意IT服服務(wù)的質(zhì)量量；是否有有足夠的IIT資源、基礎(chǔ)設(shè)施施、競爭力力來滿足戰(zhàn)戰(zhàn)略目標；信息技術(shù)術(shù)平均操作作失誤的原原因；ITT沒有推動動業(yè)務(wù)改善善而是阻礙礙業(yè)務(wù)的次次數(shù)。幫助管理者者處理ITT問題，例例如，ITT和組織戰(zhàn)戰(zhàn)略目標的的一致性程程度怎么樣樣；怎樣衡衡量IT的的交付價值值；執(zhí)行管管理人員采采取什么樣樣的戰(zhàn)略動動

32、機來管理理IT；與與企業(yè)的運運營與成長長管理相關(guān)關(guān)的問題；企業(yè)是否否清楚其商商業(yè)目標與與技術(shù)的關(guān)關(guān)系：領(lǐng)先先、跟隨者者還是滯后后者；企業(yè)業(yè)對風(fēng)險（風(fēng)風(fēng)險規(guī)避和和風(fēng)險承擔(dān)擔(dān)）是否清清楚；有沒沒有最新的的企業(yè)相關(guān)關(guān)IT風(fēng)險險的清單，采采取哪些行行動處理這這些風(fēng)險。自我評估IIT管理的的效果，例例如，是否否經(jīng)常向最最高管理層層（董事會會）定期匯匯報IT風(fēng)風(fēng)險；ITT是否是最最高管理層層（董事會會）議程中中的一個常常用的術(shù)語語，它是否否以結(jié)構(gòu)化化形式表達達；最高管管理層（董董事會）是是否就商業(yè)業(yè)目標與信信息技術(shù)一一致性進行行闡明和溝溝通；最高高管理層（董董事會）對對主要ITT投資是否否有清楚的的觀點，

33、包包括風(fēng)險和和回報；最最高管理層層（董事會會）是否定定期得到主主要IT過過程的報告告；最高管管理層（董董事會）在在獲取ITT目標和限限制IT風(fēng)風(fēng)險時是否否得到獨立立的保證。國內(nèi)IT治治理水平的的好與差造成成了IT應(yīng)應(yīng)用層次的的差異。一一些單位有有與其國際際競爭對手手一樣的系系統(tǒng)、軟件件，甚至技技術(shù)和設(shè)備備強于對方方，所以單單從技術(shù)的的成熟性和和先進性而而言，中國國整體應(yīng)用用水平不低低。但是為什什么就沒有有對方做的的好呢？從從IT治理理的角度審審視，其實實技術(shù)的競競爭早已超超越了有與與無的層面面，進而甚甚至超越了了搶奪技術(shù)術(shù)最早占有有權(quán)的層面面，體現(xiàn)在在業(yè)務(wù)和技技術(shù)管理能能力上的對對抗。事實實上

34、我國信信息化目前前所處的階階段缺乏的的并不是先先進的技術(shù)術(shù)與設(shè)備，而而是IT管管理理念和和方法論。IBM大大中國區(qū)金金融事業(yè)部部總經(jīng)理張張烈生說：“所有把落落敗歸咎于于技術(shù)的人人，都是在在逃避一個個事實：認認識上的落落后和管理理上的無能能”。當(dāng)然，我我們的周圍圍也不乏在在較落后的的技術(shù)和設(shè)設(shè)備上，把把已有的技技術(shù)應(yīng)用得得非常成功功的范例。 IT治理的的范圍IT治理體體系保證總總體戰(zhàn)略目目標能夠從從上而下貫貫徹執(zhí)行。IT治理理和其它治治理活動一一樣，集中中在最高管管理層（董董事會）和和執(zhí)行管理理層。然而而，由于IIT治理的的復(fù)雜性和和專業(yè)性，治治理層必須須強烈依賴賴企業(yè)的下下層來提供供決策和評評

35、估活動所所需要的信信息。為保保證有效的的IT治理理，下層應(yīng)應(yīng)用要和企企業(yè)總體目目標采用相相同的原則則，提供評評估業(yè)績的的衡量方法法。因此，好好的IT治治理實踐需需要在企業(yè)業(yè)全部范圍圍內(nèi)推行。最高管理層層（董事會會）的主要要職責(zé)是：證實ITT戰(zhàn)略與企企業(yè)戰(zhàn)略一一致；證實實IT通過過明確的期期望和衡量量手段交付付； 指導(dǎo)導(dǎo)IT戰(zhàn)略略、平衡支支持企業(yè)和和使企業(yè)成成長的投資資；恰當(dāng)決決策信息資資源應(yīng)著重重使用的地地方。最高高管理層（董董事會）通通過下述指指標衡量業(yè)業(yè)績：定義義和檢查衡衡量手段以以及管理，證證實目標已已經(jīng)達到，并并且衡量業(yè)業(yè)績，減少少不確定性性。管理者的焦焦點主要是是成本效益比，增增加收

36、入，構(gòu)構(gòu)建競爭力力，這些都都由信息、知識、信信息技術(shù)體體系推動。由于信息息技術(shù)作為為實現(xiàn)企業(yè)業(yè)目標的一一個集成部部分，其解解決辦法越越來越復(fù)雜雜（外包，第第三方合同同，網(wǎng)絡(luò)化化等），因因此，善治治成為成功功的一個關(guān)關(guān)鍵因素。管理者的的職責(zé)是：將IT風(fēng)風(fēng)險管理的的責(zé)任和控控制落實到到企業(yè)中，制制定明確的的政策和全全面的控制制框架；將將戰(zhàn)略，策策略，目標標等由上至至下落實到到企業(yè)，并并使信息技技術(shù)的組織織與企業(yè)目目標一致；提供治理理結(jié)構(gòu)支持持IT戰(zhàn)略略的實施，制制定IT基基礎(chǔ)設(shè)施加加快商業(yè)信信息的創(chuàng)造造與共享；通過衡量量公司業(yè)績績和競爭優(yōu)優(yōu)勢來測度度信息技術(shù)術(shù)的效果（KKPI，KKGI）；使用平衡

37、衡計分卡，彌彌補行政管管理的不足足；關(guān)注IIT必須支支持的商業(yè)業(yè)競爭力，如如增加客戶戶價值的業(yè)業(yè)務(wù)過程，在在市場上差差異化的產(chǎn)產(chǎn)品和服務(wù)務(wù)，通過多多產(chǎn)品和服服務(wù)來產(chǎn)生生增值；關(guān)關(guān)注重要的的增值的信信息技術(shù)過過程；關(guān)注注與規(guī)劃和和管理ITT資產(chǎn)、風(fēng)風(fēng)險、工程程項目、客客戶和供應(yīng)應(yīng)商相關(guān)的的核心競爭爭能力。IT治理使使得最高管管理層（董董事會）和和執(zhí)行經(jīng)理理的一系列列活動成為為可能。這這些活動主主要包括：IT的目目標，新技技術(shù)的機遇遇和風(fēng)險，關(guān)關(guān)鍵過程與與核心競爭爭力。如指指導(dǎo)信息技技術(shù)的職能能和對企業(yè)業(yè)的影響，分分配責(zé)任，定定義操作，衡衡量業(yè)績，管管理風(fēng)險和和獲得保證證的約束等等。以銀行業(yè)的的數(shù)

38、據(jù)大集集中為例，從從20011年開始，采采用集中數(shù)數(shù)據(jù)處理模模式來體現(xiàn)現(xiàn)一級企業(yè)業(yè)法人治理理結(jié)構(gòu)已經(jīng)經(jīng)成為各家家銀行致力力實現(xiàn)的一一個目標，目目前國內(nèi)銀銀行的數(shù)據(jù)據(jù)集中處理理模式改造造已陸續(xù)取取得階段性性成果，可可問題隨之之而來，集集中以后做做什么？集集中以后風(fēng)風(fēng)險也增加加了，怎么么辦？前一一個問題也也就是說數(shù)數(shù)據(jù)集中了了，只是提提供了一個個進行深度度業(yè)務(wù)創(chuàng)新新的前提和和可能，關(guān)關(guān)鍵還在于于商業(yè)模式式和IT管管理模式。對于后一一個問題，則則需要采取取更先進的的安全治理理機制，全全面的信息息系統(tǒng)審計計與控制，包包括可靠的的災(zāi)難恢復(fù)復(fù)和業(yè)務(wù)持持續(xù)規(guī)劃。公司治理和和IT治理理公司治理主主要關(guān)注利利益

39、相關(guān)者者權(quán)益和管管理，包括括一系列責(zé)責(zé)任和條例例，由最高高管理層（董董事會）和和執(zhí)行管理理層實施，目目的是提供供戰(zhàn)略方向向，保證目目標能夠?qū)崒崿F(xiàn)，風(fēng)險險適當(dāng)管理理，企業(yè)的的資源合理理使用。公司治理，驅(qū)驅(qū)動和調(diào)整整IT治理理。同時，IIT能夠提提供關(guān)鍵的的輸入，形形成戰(zhàn)略計計劃的一個個重要組成成部分，這這被認為是是公司治理理的一個重重要功能IT影影響企業(yè)的的戰(zhàn)略競爭爭機遇。IT治理活動公司治理活動從下面獲取信息公司治理IT治理驅(qū)動和設(shè)定IT治理和和公司治理理關(guān)系圖IT治理的的一個關(guān)鍵鍵性問題是是：公司的的IT投資資是否與戰(zhàn)戰(zhàn)略目標相相一致，從從而構(gòu)筑必必要的核心心競爭力。因為企業(yè)業(yè)目標變化化太快

40、，很很難保證IIT與商業(yè)業(yè)目標始終終保持一致致，因此需需要多方面面的協(xié)調(diào)，保保證IT治治理繼續(xù)沿沿著正確的的方向走，這這也是ITT投資者真真正關(guān)心的的問題。對對IT治理理而言，要要能體現(xiàn)未未來信息技技術(shù)與未來來企業(yè)組織織的戰(zhàn)略集集成。既要要盡可能地地保持開放放性和長遠遠性，以確確保系統(tǒng)的的穩(wěn)定性和延續(xù)性性；同時又又因為規(guī)劃劃趕不上變化化，再長遠遠的規(guī)劃也也難以保證證能跟上企企業(yè)環(huán)境的的變化。IIT治理中中一個相對對有效的做做法是，在在信息化規(guī)規(guī)劃時，認認真分析企企業(yè)的戰(zhàn)略略與IT支支撐之間的的影響度，并并合理預(yù)測測環(huán)境變化化可能給企企業(yè)戰(zhàn)略帶帶來的偏移移，在規(guī)劃劃時留有適適當(dāng)?shù)挠嗟氐?，從業(yè)務(wù)務(wù)

41、戰(zhàn)略到信信息戰(zhàn)略，做做務(wù)實的牽牽引，不要要追求大而而全。 IT治理有有助于建立立一個靈活活的、具有有適應(yīng)性的的企業(yè)。IIT治理能能夠影響信信息和指示示：企業(yè)能能夠感知市市場正在發(fā)發(fā)生的事，使使用知識資資產(chǎn)并從中中學(xué)習(xí)，創(chuàng)創(chuàng)新新產(chǎn)品品、服務(wù)、渠道、過過程；迅速速變化，將將革新帶入入市場，衡衡量業(yè)績。IT治理理應(yīng)該體現(xiàn)現(xiàn)“以組織戰(zhàn)戰(zhàn)略目標為為中心”的思想，通通過合理配配置IT資資源創(chuàng)造價價值。企業(yè)業(yè)治理側(cè)重重于企業(yè)整整體規(guī)劃，IIT治理側(cè)側(cè)重于企業(yè)業(yè)中信息資資源的有效效利用和管管理。企業(yè)目標在在于遠景和和商業(yè)模式式，IT目目標在于商商業(yè)模式的的實施。企業(yè)目標與與IT目標標之間的關(guān)關(guān)系如下圖圖所示：

42、企業(yè)戰(zhàn)略協(xié)調(diào)活動IT戰(zhàn)略IT運作企業(yè)運作 IT治理主主要涉及兩兩個方面：IT要為為企業(yè)交付付價值，IIT風(fēng)險要要降低。前前者受ITT與企業(yè)的的戰(zhàn)略一致致性驅(qū)動，后后者由責(zé)任任義務(wù)落實實到企業(yè)驅(qū)驅(qū)動。這兩兩者都需要要衡量，如如使用平衡衡計分卡。這就可以以看出ITT治理的四四個核心領(lǐng)領(lǐng)域，都是是由利益相相關(guān)者價值值驅(qū)動的，其其中兩個是是成果：價價值交付和和風(fēng)險降低低，另外兩兩個是驅(qū)動動力：戰(zhàn)略略一致性和和業(yè)績衡量量。概括地說，公公司治理和和IT治理理都是市場場（含政府府）他律的的機制，是是如何“管好管理理者”的機制，其其目標也是是一致的：達到業(yè)務(wù)務(wù)永續(xù)運營營，并增加加組織的長長期獲利機機會。無論論

43、大環(huán)境是是好是壞，最最高管理層層（董事會會）均應(yīng)以以達成其目目標為責(zé)任任，而且管管理階層需需有能力協(xié)協(xié)助其達成成目標，因因此最高管管理層（董董事會）必必須常常監(jiān)監(jiān)督管理部部門對決策策判斷與政政策實施的的績效?！八惯_模式式”這一被譽譽為國企擺擺脫困境、改革發(fā)展展的創(chuàng)新模模式，正說說明了公司司治理和IIT治理的的重要性和和互動關(guān)系系?！昂诩垺崩煤腺Y資契機，對對產(chǎn)權(quán)體制制進行了改改革，并按按照現(xiàn)代企企業(yè)制度要要求，建立立與市場競競爭相適應(yīng)應(yīng)的公司治治理機制，明明晰了企業(yè)業(yè)產(chǎn)權(quán)，優(yōu)優(yōu)化了生產(chǎn)產(chǎn)要素配置置，轉(zhuǎn)變了了職工觀念念，為斯達達大力進行行信息化改改造創(chuàng)造了了有力條件件。反過來來，信息化化也促進了

44、了公司的現(xiàn)現(xiàn)代化管理理。IT治理和和IT管理理IT管理是是公司的信信息及信息息系統(tǒng)的運運營，確定定IT目標標以及實現(xiàn)現(xiàn)此目標所所采取的行行動；而IIT治理是是指最高管管理層（董董事會）利利用它來監(jiān)監(jiān)督管理層層在IT戰(zhàn)戰(zhàn)略上的過過程、結(jié)構(gòu)構(gòu)和聯(lián)系，以以確保這種種運營處于于正確的軌軌道之上。這是一個個硬幣的兩兩面，誰也也不能脫離離誰而存在在?？梢?，IIT管理就就是在既定定的IT治治理模式下下，管理層層為實現(xiàn)公公司的目標標而采取的的行動。IT治理理規(guī)定了整整個企業(yè)IIT運作的的基本框架架，IT管管理則是在在這個既定定的框架下下駕馭企業(yè)業(yè)奔向目標標。缺乏良良好IT治治理模式的的公司，即即使有“很好”的

45、IT管管理體系（而而這實際上上是不可能能的），就就像一座地地基不牢固固的大廈；同樣，沒沒有公司IIT管理體體系的暢通通，單純的的治理模式式也只能是是一個美好好的藍圖，而而缺乏實際際的內(nèi)容。就我國信信息化建設(shè)設(shè)目前的現(xiàn)現(xiàn)狀而言，無無論是ITT治理，還還是IT管管理都是我我們所迫切切需要解決決的。公司治理與與信息技術(shù)術(shù)治理如何何工作指導(dǎo)企業(yè)設(shè)立目目標，由通通用的慣例例來治理并并保證目標標實現(xiàn)。這這些目標中中滲透企業(yè)業(yè)的發(fā)展方方向，指導(dǎo)導(dǎo)企業(yè)活動動和使用資資源。企業(yè)業(yè)活動的結(jié)結(jié)果被衡量量及報告，為為輸入提供供不斷的修修正和維護護控制，從從而開始下下一輪循環(huán)環(huán)。目標企業(yè)活動資源控制向報告使用信息技術(shù)也

46、也確立目標標，保證企企業(yè)信息和和相關(guān)技術(shù)術(shù)支持商業(yè)業(yè)目標，資資源有效利利用，風(fēng)險險管理適度度。這些目目標形成IIT活動的的基本方向向，劃分為為規(guī)劃和組組織，獲取取和實施，交交付與支持持，監(jiān)控等等四個部分分。一方面面管理風(fēng)險險（安全、可靠，保保密），另另一方面實實現(xiàn)收益（提提高有效性性和效率）。通過報告告發(fā)布關(guān)于于IT活動動收益，根根據(jù)不同的的管理和控控制來衡量量，然后進進入下一輪輪循環(huán)。目標信息技術(shù)與商業(yè)一致，推動商務(wù)，收益最大化信息資源合理利用信息相關(guān)風(fēng)險恰當(dāng)管理活動管理風(fēng)險安全可靠保密控制向報告實現(xiàn)收益增加自動化，有效性減少成本提高效率指導(dǎo)IT治理架架構(gòu)一個有效的的IT治理理架構(gòu)需要要理解

47、組織織的核心競競爭力，并并且在商業(yè)業(yè)目標，治治理原型，業(yè)業(yè)務(wù)績效目目標之間維維持平衡，進進而提出IIT治理框框架，制定定決策以及及如何在關(guān)關(guān)鍵的信息息技術(shù)領(lǐng)域域中確定。由此，意意識到ITT治理與企企業(yè)治理之之間的必然然聯(lián)系，提提供管理相相關(guān)風(fēng)險的的最佳實務(wù)務(wù)指導(dǎo)。企企業(yè)目標是是保證企業(yè)業(yè)健康、可可持續(xù)發(fā)展展，關(guān)注商商業(yè)目標、知識管理理、商業(yè)通通訊、客戶戶關(guān)系、商商業(yè)活動與與過程；IIT治理目目標是信息息系統(tǒng)、技技術(shù)和網(wǎng)絡(luò)絡(luò)、知識管管理、ITT資產(chǎn)管理理、電子商商務(wù)、ITT合法性等等。COBITT，直譯為為信息及相相關(guān)技術(shù)的的控制目標標，是ITT治理的一一個開放性性標準，由由美國ITT治理研究究

48、院開發(fā)與與推廣，目目前已成為為國際上公公認的最先先進、最權(quán)權(quán)威的安全全與信息技技術(shù)管理和和控制的標標準。該標標準為ITT的治理、安全與控控制提供了了一個一般般適用的公公認的標準準，以輔助助管理層進進行IT治治理。該標標準體系已已在世界一一百多個國國家的重要要組織與企企業(yè)中運用用，指導(dǎo)這這些組織有有效利用信信息資源，有有效地管理理與信息相相關(guān)的風(fēng)險險。 COBIIT模型COBITT將IT 過程程，IT資源及及信息與企企業(yè)的策略略與目標聯(lián)聯(lián)系起來，形形成一個三三維的體系系結(jié)構(gòu)。其其中，ITT準則維集集中反映了了企業(yè)的戰(zhàn)戰(zhàn)略目標，主要從質(zhì)量、成本、時間、資源利用率、系統(tǒng)效率、保密性、完整性、可用性等

49、方面來保證信息的安全性、可靠性、有效性； IT資源維主要包括以人、應(yīng)用系統(tǒng)、技術(shù)、設(shè)施及數(shù)據(jù)在內(nèi)的信息相關(guān)的資源，這是IT治理過程的主要對象；IT過程維則是在IT準則的指導(dǎo)下，對信息及相關(guān)資源進行規(guī)劃與處理，從信息技術(shù)的規(guī)劃與組織、采集與實施、交付與支持、監(jiān)控等四個方面確定了34個信息技術(shù)處理過程，每個處理過程還包括更加詳細的控制目標和審計方針對IT處理過程進行評估。COBITT的34個個信息技術(shù)術(shù)過程：1規(guī)劃與組組織3交付與支支持定義IT戰(zhàn)戰(zhàn)略規(guī)劃定義信息體體系結(jié)構(gòu)確定技術(shù)方方向定義IT組組織與關(guān)系系管理IT投投資傳達管理目目標和方向向人力資源管管理確保與外部部需求的一一致性風(fēng)險評估項目管理

50、質(zhì)量管理定義并管理理服務(wù)水平平管理第三方方的服務(wù)管理性能與與容量確保服務(wù)的的連續(xù)性確保系統(tǒng)安安全確定并分配配成本教育并培訓(xùn)訓(xùn)客戶配置管理處理問題和和突發(fā)事件件數(shù)據(jù)管理設(shè)施管理運營管理2采集與實實施4監(jiān)控確定自動化化的解決方方案獲取并維護護應(yīng)用程序序軟件獲取并維護護技術(shù)基礎(chǔ)礎(chǔ)設(shè)施程序開發(fā)與與維護系統(tǒng)安裝與與鑒定變革管理過程監(jiān)控評價內(nèi)部控控制的適當(dāng)當(dāng)性獲取獨立保保證提供獨立的的審計這個模型為為企業(yè)管理理的成功提提供了集成成的IT管理，通通過保證有有關(guān)企業(yè)處處理過程的的高效的改改進措施，以以更快更好好更安全地地響應(yīng)企業(yè)業(yè)需求。管理指南定定義了ITT過程的成成熟度模型型，為管理理者評估IIT過程的的狀

51、態(tài)提供供了標準。同時也給給出了一些些重要的測測度，這包包括：關(guān)鍵鍵成功因素素，關(guān)鍵目目標指標，關(guān)關(guān)鍵績效指指標。管理框架管理指南控制目標審計指南工具集圖2 COBIT的管理模型關(guān)鍵成功因素成熟度模型關(guān)鍵目標指標關(guān)鍵性能指標 COBIT體系框架COBITT模型是企企業(yè)戰(zhàn)略目目標和信息息技術(shù)戰(zhàn)略略目標的橋橋梁，使得得信息技術(shù)術(shù)目標和企企業(yè)戰(zhàn)略目目標之間實實現(xiàn)互動。該框架的意意義在于：COBIIT實現(xiàn)了了企業(yè)目標標與IT治治理目標之之間的橋梁梁作用。首先考慮了了企業(yè)自身身的戰(zhàn)略規(guī)規(guī)劃，對業(yè)業(yè)務(wù)環(huán)境和和企業(yè)總的的業(yè)務(wù)戰(zhàn)略略進行分析析定位，并并將戰(zhàn)略規(guī)規(guī)劃所產(chǎn)生生的目標、政策、行行動計劃作作為信息技技術(shù)

52、的關(guān)鍵鍵環(huán)境，并并由此確定定IT準則則。IT為企業(yè)業(yè)戰(zhàn)略提供供了基于技技術(shù)的解決決方案，為為滿足業(yè)務(wù)務(wù)戰(zhàn)略需求求提供了技技術(shù)與工具具。在ITT準則的指指導(dǎo)下，利利用控制目目標模型，分分別從規(guī)劃劃與組織、采集與實實施、交付付與支持、監(jiān)控等過過程進行控控制、管理理信息資源源，在ITT管理的同同時，引入入審計指南南，從而保保證IT資源管管理的安全全性、可靠靠性和有效效性。實現(xiàn)可跟蹤蹤的業(yè)績衡衡量，通過過平衡經(jīng)營營記分卡可可以在財務(wù)務(wù)（企業(yè)資資源管理）、客戶（客客戶關(guān)系管管理）、過過程（內(nèi)部部網(wǎng)，工作作流工具）、學(xué)習(xí)（知知識管理）等等方面維持持平衡，評評價企業(yè)目目標的實現(xiàn)現(xiàn)情況以及及IT績效，并并調(diào)整

53、商業(yè)業(yè)目標和IIT戰(zhàn)略，進進行持續(xù)的的IT管理。采用成熟度度模型，可可以定位自自己企業(yè)的的IT管理理目前在業(yè)業(yè)界所處的的位置，未未來努力的的方向，通通俗地說就就是給ITT管理“打分”。COBITT還提供了了目前最佳佳案例和關(guān)關(guān)鍵成功因因素，供企企業(yè)和組織織借鑒。概括而言，CCOBITT的主要優(yōu)優(yōu)點如下：COBITT是一個非非常有用的的工具，也也非常易于于理解和實實施，可以以幫助在管管理層、IIT與審計計之間交流流的鴻溝上上搭建橋梁梁，提供了了彼此之間間溝通的共共同語言。幾乎每個個機構(gòu)都可可以從COOBIT中中獲益，來來決定基于于IT過程程及他們所所支持的商商業(yè)功能的的合理控制制。當(dāng)我們們知道這

54、些些商業(yè)功能能是什么，其其對企業(yè)的的關(guān)鍵到什什么程度時時，就能對對這些事件件進行良好好的分類。所有的信信息系統(tǒng)審審計，控制制及安全專專業(yè)人員應(yīng)應(yīng)該考慮采采用COBBIT原則則。通過實施CCOBITT，增加了了管理層對對控制的感感知及支持持。COBBIT幫助助管理層懂懂得控制如如何影響商商業(yè)功能。COBIIT提供的的實施工具具集包括優(yōu)優(yōu)秀的案例例資料（提提供模板商商業(yè)過程，使使得優(yōu)秀范范例能夠迅迅速移植），幫幫助向管理理層很好地地表述ITT管理概念念。管理層層在基于最最佳控制實實踐基礎(chǔ)上上做出正確確決策的能能力亦得到到了提高。COBITT使IT管管理工作簡簡易并量化化，減輕對對復(fù)雜信息息系統(tǒng)管理

55、理工作的難難度，并且且可以應(yīng)用用在每天都都在發(fā)生的的各種新問問題中。對對于那些不不具有廣博博IT知識識的人來將將，是一個個認清信息息技術(shù)的有有價值的工工具。它也也使得信息息系統(tǒng)審計計師具有與與IT專業(yè)業(yè)人員相同同的專業(yè)廣廣度，并且且可以詢問問IT工程程相關(guān)的問問題。COBITT提供了一一種國際通通用的ITT管理及問問題解決方方案，普遍遍適用于各各種不同的的商業(yè)項目目和審計，并并且它既包包容了我們們當(dāng)前的情情況，也提提供將來可可能會使用用到的指導(dǎo)導(dǎo)方針。COBITT有助于提提高信息系系統(tǒng)審計師師的影響力力，依據(jù)CCOBITT出具的信信息系統(tǒng)審審計報告更更容易得到到管理層的的肯定。COBITT框架

56、可以以能夠幫助助決定過程程責(zé)任，提提高IT治治理水平。通過采用用該框架作作為對一個個責(zé)任矩陣陣分析的基基礎(chǔ)，可以以做到基于于角色的IIT管理，定定義過程措措施，確保?？蛻衾嬉?。從以上的分分析介紹可可以看出：整個模型型實現(xiàn)了企企業(yè)戰(zhàn)略與與IT戰(zhàn)略的的互動，并并形成持續(xù)續(xù)改進的良良性循環(huán)機機制，為企企業(yè)提供了了具有一定定參考價值值的解決方方案。因此此，我們認認為針對我我國信息化化存在的問問題，借鑒鑒COBIIT的IT治理思思想和框架架，科學(xué)、系統(tǒng)地對對信息及相相關(guān)技術(shù)進進行管理，逐逐步試行建建立IT治治理機制，對對推動我國國信息技術(shù)術(shù)的發(fā)展和和應(yīng)用具有有十分重要要的現(xiàn)實意意義。IT治理在在組織中

57、的的應(yīng)用指南南IT治理在在組織中的的應(yīng)用是在在管理指南南的指導(dǎo)下下完成的。管理指南南通過關(guān)鍵鍵成功因素素、成熟度度模型、關(guān)關(guān)鍵目標指指標、關(guān)鍵鍵績效指標標四個方面面的有機作作用，使企企業(yè)中的信信息資源得得到有效的的管理。管管理指南的的特點是：面向應(yīng)用用，具有通通用性、一一般性，不不能提供針針對某一具具體測定方方法，組織織應(yīng)根據(jù)自自身環(huán)境修修改這個一一般性的指指導(dǎo)方針，以以滿足實際際的應(yīng)用需需要。下面面具體介紹紹管理指南南的各個部部分在應(yīng)用用中所起的的具體作用用。關(guān)鍵成功因因素關(guān)鍵成功因因素為管理理部門控制制信息技術(shù)術(shù)及其處理理過程提供供了實施指指南。它們們是信息技技術(shù)處理過過程中的最最關(guān)鍵的要

58、要素，是戰(zhàn)戰(zhàn)略性的、技術(shù)性的的過程或活活動，勾畫畫出了ITT的控制輪輪廓。關(guān)鍵鍵成功因素素可以從標標準控制模模型和ITT管理框架架的目標與與審計指南南中獲取。這些標準準要求：信信息技術(shù)要要與企業(yè)的的運營情況況相符；信信息技術(shù)使使?fàn)I運業(yè)務(wù)務(wù)可行，并并使其收益益最大化；合理使用用信息技術(shù)術(shù)資源；適適當(dāng)管理IIT的有關(guān)關(guān)風(fēng)險。關(guān)關(guān)鍵成功因因素平衡所所有的ITT資源，它它由關(guān)鍵績績效指標評評價。下表為從標標準控制模模型與管理理構(gòu)架中歸歸納出用于于多數(shù)信息息技術(shù)處理理過程的關(guān)關(guān)鍵成功因因素，以供供參考。關(guān)鍵成功因因素IT治理活活動與公司司治理過程程相結(jié)合，并并有公司領(lǐng)領(lǐng)導(dǎo)的參與與；IT治理專專注于公司司

59、目標，戰(zhàn)戰(zhàn)略，使用用技術(shù)提高高業(yè)務(wù)水平平，及滿足足業(yè)務(wù)需求求的足夠可可用的資源源和能力；IT治理活活動應(yīng)該目目標明確，制制度規(guī)范和和實施有效效，它應(yīng)是是根據(jù)公司司需要并責(zé)責(zé)任到人；實施最佳管管理實踐以以提高資源源的有效使使用，提高高IT過程程的效率；建立組織準準則以充分分監(jiān)督，形形成一種控控制的環(huán)境境/文化，根根據(jù)標準程程序評估風(fēng)風(fēng)險，增加加對已建立立標準的依依靠，及監(jiān)監(jiān)督和追究究控制缺陷陷和風(fēng)險；建立控制準準則以避免免內(nèi)部控制制和監(jiān)管的的失靈；許多IT業(yè)業(yè)務(wù)流程，如如問題管理理，變革管管理和配置置管理，是是集成和互互相關(guān)聯(lián)的的；建立審計委委員會；審審計委員會會任命和監(jiān)監(jiān)督獨立審審計員；獨獨立

60、審計員員的任務(wù)是是推行ITT相關(guān)的審審計計劃，評評審審計結(jié)結(jié)果和第三三方審計的的評審結(jié)果果；關(guān)鍵成功因因素是為提提高處理過過程的成功功可能性所所做的最重重要的事，通通常與組織織的目標保保持一致，是是組織和處處理過程的的可觀察可可測量的特特征，分布布于企業(yè)的的戰(zhàn)略層、戰(zhàn)術(shù)層、應(yīng)用層及及組織的各各個方面，可可以通過目目標分解與與識別的方方法選擇關(guān)關(guān)鍵成功因因素。關(guān)鍵目標指指標關(guān)鍵目標指指標是指通通過創(chuàng)建和和維護一套套處理和控控制適當(dāng)業(yè)業(yè)務(wù)績效的的系統(tǒng)，來來指導(dǎo)并監(jiān)監(jiān)督IT傳傳遞的商業(yè)業(yè)價值。關(guān)關(guān)鍵目標指指標通過識識別測定處處理結(jié)果，營營運過程的的輸出，在在平衡記分分卡上測定定。關(guān)鍵目標指指標體現(xiàn)的