IT治理中國信息化的必由之道

/IT治理：中國信息化的必由之道孫強郝亞斌郝曉玲孟秀轉(zhuǎn)目錄TOC\o"1-3"\h\z引言 1IT治理缺失的九大表現(xiàn) 1IT治理的定義 4IT治理的目標(biāo) 4IT治理解決哪些問題 5IT治理的范圍 6公司治理和IT治理 7IT治理和IT管理 8公司治理與信息技術(shù)治理如何工作 8IT治理架構(gòu) 9IT治理在組織中的應(yīng)用指南 11建立IT治理機制 16IT治理的成功案例 19引言信息化已經(jīng)成為中國經(jīng)濟與社會開展最重要的推動力，大力推動全社會的信息化，以信息化帶開工業(yè)化，這一戰(zhàn)略已經(jīng)取得了可喜的成果。當(dāng)前，在參加WTO后的中國經(jīng)濟環(huán)境中，信息的重要性已被廣為認(rèn)同，信息系統(tǒng)也已逐步滲透到商業(yè)和政府組織中，IT系統(tǒng)開始從傳統(tǒng)的后臺支持轉(zhuǎn)變?yōu)樾聵I(yè)務(wù)開展的直接驅(qū)動力，IT也日益成為企業(yè)的直接利潤中心。各種組織對信息系統(tǒng)的依賴程度在不斷增加，更有一些組織甚至若沒有IT將不復(fù)存在，但同時對于很多組織由于信息和信息技術(shù)意味著最重要的資產(chǎn)，這導(dǎo)致IT本身已經(jīng)或潛在成為一個巨大的威脅，隨IT而來的風(fēng)險、利益和時機使得IT治理成為公司和政府治理中很關(guān)鍵的一個方面。管理層需要確保IT與公司戰(zhàn)略一致而且公司戰(zhàn)略也很好地利用了IT的優(yōu)勢，政府需要開展電子政務(wù)來促動、實現(xiàn)轉(zhuǎn)變政府職能的轉(zhuǎn)變。因此，隨著對信息系統(tǒng)依賴性的增加，IT治理對于組織的成功是至關(guān)重要的。這篇文章將探究當(dāng)前關(guān)于IT治理的思想，為什么IT治理框架對于組織的持續(xù)成功是至關(guān)重要的，然后描述它與公司治理之間的關(guān)系，最后簡單介紹了一個IT治理的自動化工具COBIT。后續(xù)文章將主要集中在IT治理機制的實現(xiàn)上，IT治理應(yīng)該采用國際上最好的實踐標(biāo)準(zhǔn)，包括COBIT和ISO/IEC17799，討論如何實施它以改善整個組織的運作。IT治理缺失的九大表現(xiàn)首先，各自為政。缺乏統(tǒng)一、全局的IT戰(zhàn)略規(guī)劃，由于沒有統(tǒng)籌規(guī)劃，目標(biāo)不明確，標(biāo)準(zhǔn)不統(tǒng)一，一些地方處在混亂無序的狀態(tài)，形成了很多在權(quán)力保護下的信息孤島，缺乏共享的、網(wǎng)絡(luò)化的信息資源，中關(guān)村科技軟件公司總裁朱希鐸曾對媒體呼吁，我國要警惕形成世界上規(guī)模最大的信息孤島。如目前國內(nèi)已建成的眾多CA中心，除了在采用X.509證書標(biāo)準(zhǔn)上一致外，其它的共同標(biāo)準(zhǔn)標(biāo)準(zhǔn)很少，中國各CA中心發(fā)放的證書根本不能相互兼容，CFCA作為中國金融業(yè)的統(tǒng)一認(rèn)證中心，其證書甚至不能與國際權(quán)威的CA認(rèn)證接軌。對于企業(yè)而言，面對業(yè)務(wù)重組、裁員、外包、充分授權(quán)、扁平化組織和分布式處理等如此復(fù)雜多變的商業(yè)環(huán)境，在IT戰(zhàn)略規(guī)劃修訂時，如何精確保證IT戰(zhàn)略規(guī)劃和企業(yè)戰(zhàn)略目標(biāo)的一致，普遍缺少科學(xué)方法論的指導(dǎo)。其次，信息化建設(shè)領(lǐng)導(dǎo)者錯位，IT應(yīng)用方案和企業(yè)業(yè)務(wù)需求之間邏輯錯位。過去的信息化工程是技術(shù)專家或技術(shù)廠商主導(dǎo)下進行的，而不是經(jīng)濟專家或管理專家主導(dǎo)，技術(shù)專家或技術(shù)廠商從技術(shù)的視角去關(guān)注信息技術(shù)和設(shè)備的先進性等，較少聚焦在IT戰(zhàn)略和組織戰(zhàn)略目標(biāo)的互動上，較少考慮信息技術(shù)如何形成企業(yè)核心競爭力，如何防止風(fēng)險，如何創(chuàng)造新的業(yè)務(wù)和市場，和管理層溝通缺少通用的語言（非IT專業(yè)術(shù)語），因而不可防止地和企業(yè)的經(jīng)營環(huán)境、經(jīng)營目的脫節(jié)，而隨著設(shè)備更新的加快，許多早期的工程只剩下一推擺設(shè)，管理層看不到在IT上的投資回報，這又導(dǎo)致信息技術(shù)得不到應(yīng)有的重視，形成惡性循環(huán)。目前，總結(jié)經(jīng)驗和教訓(xùn)，各方普遍認(rèn)識到中國的信息化建設(shè)問題從總體上來說不是技術(shù)問題。以熱火朝天的ERP為例，ERP的實施不僅僅是軟件的事，更重要的是一場管理革命。從這個意義上講，ERP只是一張皮，深層次的是企業(yè)內(nèi)部變革，所以管理變革若以ERP為助推器，則ERP的實施將水到渠成；若以ERP工程為導(dǎo)火線，試圖在公司內(nèi)部發(fā)動管理變革，則往往會面臨重重障礙而擱淺，最終不了了之，甚至還可能導(dǎo)致公司被IT拖垮。第三，決策的技術(shù)經(jīng)濟論證缺乏。信息化建設(shè)工程具有投資大、風(fēng)險大的特點。英國Kalido于英國時間2001年12月12日公布了有關(guān)企業(yè)信息管理的調(diào)查結(jié)果。調(diào)查顯示，96％的企業(yè)對于本公司的信息管理系統(tǒng)感到不滿。關(guān)于目前正在使用的信息系統(tǒng)，認(rèn)為"所制作的報告缺乏一貫性"或者是"核對信息花費了太多時間"的企業(yè)約占70％。答復(fù)目前的信息系統(tǒng)不能靈活因應(yīng)變化的企業(yè)約占60％，對于數(shù)據(jù)的精度表示擔(dān)憂的企業(yè)約占60％，60％以上的企業(yè)正在籌劃有關(guān)數(shù)據(jù)及信息的整合方案。特別引人深思的是該調(diào)查是由美國Harte-Hanks以全球500強企業(yè)以及財富1000企業(yè)中的171家公司為對象通過問卷方式實施的。事實告訴我們，系統(tǒng)規(guī)模越大、與管理聯(lián)系越密切、集成度越高的系統(tǒng)，風(fēng)險也越大，失敗概率越高，其中最明顯的例子就是ERP，信息化建設(shè)工程的高風(fēng)險和高失敗率就要求企業(yè)在信息化建設(shè)決策之前，要進行充分的技術(shù)經(jīng)濟論證，綜合論證工程技術(shù)上的先進性和可行性，財務(wù)上的實施可能性，經(jīng)濟上的合理性和有效性。朱镕基總理在國家信息化領(lǐng)導(dǎo)小組第二次會議中特別強調(diào)：加快信息化建設(shè)，必須以規(guī)劃為指導(dǎo)，加強統(tǒng)籌協(xié)調(diào)，突出開展重點，務(wù)必注重實效。由于我國信息化建設(shè)工程開展時間不長，缺乏工程決策論證經(jīng)驗，同時，信息化建設(shè)工程除直接效益外還產(chǎn)生大量外部效益，對外部效益的量化也是一個難點。因此，許多企業(yè)和政府在進行信息化建設(shè)時缺乏科學(xué)的定性、定量相結(jié)合的技術(shù)經(jīng)濟論證。另據(jù)分析，2002年，中央政府預(yù)計對電子政務(wù)建設(shè)的投資規(guī)模將到達350億元，如此巨大的投資，一旦由于技術(shù)經(jīng)濟論證缺乏而導(dǎo)致決策失誤的話，將給國家造成多么巨大的損失！第四，信息資源的合理應(yīng)用一直是我國信息化的薄弱環(huán)節(jié)。信息資源的開發(fā)和利用是國家信息化建設(shè)的核心任務(wù)，是國家信息化取得實效的關(guān)鍵。信息資源的開發(fā)和利用是衡量國家信息化水平的一個重要標(biāo)志，將信息資源開發(fā)和利用放在核心地位是我國推進信息化的一大特點。在信息化建設(shè)中，我們普遍存在著信息處理環(huán)境建設(shè)滯后于物理環(huán)境建設(shè)，許多單位的數(shù)據(jù)庫混亂狀況與其先進的計算機環(huán)境和網(wǎng)絡(luò)環(huán)境極不相稱，使信息化建設(shè)無法取得實效，造成極大浪費。以電子政務(wù)為例，美國電子政務(wù)提出的口號是讓人們點擊3次鼠標(biāo)就能辦完事。而我國一個電子政務(wù)系統(tǒng)往往有工商、稅務(wù)、計委、環(huán)保、社保等幾十個甚至是上百個系統(tǒng)，要跨部門辦一個申報審批的事情，不知道要點擊多少次。與此同時，我們認(rèn)為這也將給中國IT企業(yè)帶來極大的商機。第五，利益沖突和信息的不透明。由于任何企業(yè)的任務(wù)環(huán)境要考慮和關(guān)系的利益非常廣泛，在任何一個IT戰(zhàn)略決策中，都會不可防止發(fā)生利益相關(guān)者包括部門利益之間的利益沖突。所以，即使管理層要努力承當(dāng)責(zé)任，企業(yè)任何時候的任何決策都會招致某個或多個群體的不滿。一些管理層在做出IT戰(zhàn)略決策之前，沒有仔細(xì)考慮每一個方案會影響到哪些重要的利益相關(guān)者，更有甚者把信息化當(dāng)作一種政治資本在做。那些開始看起來能為公司帶來最大利益的最正確方案，也許會為公司帶來最嚴(yán)重的后果。因此管理者必須懂得信息系統(tǒng)給組織所帶來的各種影響。相關(guān)領(lǐng)導(dǎo)需要仔細(xì)地考慮，當(dāng)引進信息系統(tǒng)并產(chǎn)生效益的同時，還可能給企業(yè)帶來什么新的問題？信息系統(tǒng)是否能夠給組織各級領(lǐng)導(dǎo)的工作帶來影響？組織的工作流程是否需要變化？會不會引起新的人員下崗？等等。信息的不透明表現(xiàn)在諸多方面，如政府信息化專項貼息貸款，那些貸款果真?？顚Ｓ昧藛?？上市公司針對IT工程的配股增發(fā)，又有幾例不是沖著圈錢去的？！某些廠商利用信息不對稱，竭力鼓吹客戶要采購先進的技術(shù)和設(shè)備，致使這些客戶的信息系統(tǒng)甚至比興旺國家的同行還要先進，但在營運績效方面卻落后很多。還有某些廠商和咨詢公司在合同簽訂前故弄玄虛，以及在多方利益博弈后的工程驗收，這些缺少量化模型的工程驗收和績效評估，在各方利益得到均衡滿足后，一路綠燈通行。

第六，IT平安治理和風(fēng)險管理缺位。目前大多數(shù)組織的最高管理層都已樹立不同程度的平安和風(fēng)險意識，但對信息資產(chǎn)所面臨的嚴(yán)重性認(rèn)識缺乏僅局限于IT方面的平安，突出表現(xiàn)為重視平安技術(shù)，輕視平安管理，沒有形成合理的信息平安方針來指導(dǎo)組織的信息平安管理工作，在平安規(guī)劃、風(fēng)險管理、應(yīng)急方案、平安教育培訓(xùn)、平安系統(tǒng)的評估等多方面總是出現(xiàn)了問題才去想補救的方法，是一種就事論事、靜態(tài)的管理，不是建立在平安治理基礎(chǔ)上的動態(tài)的全局管理方法。國內(nèi)的信息化“就應(yīng)用系統(tǒng)而言，幾乎所有企業(yè)的信息系統(tǒng)都存在隱患〞。第七，非技術(shù)性的障礙。IT技術(shù)的快速開展使得許多人產(chǎn)生了一種錯誤的思維定勢：如果采用了最新的技術(shù)，就能夠（或容易）取得信息系統(tǒng)的成功。換言之，如果信息系統(tǒng)建設(shè)不成功，多半是因為沒有采用最新的技術(shù)。但是，我們不斷地看到這樣的案例：一些企業(yè)盡管不斷地試圖采用最新開發(fā)技術(shù)，然而它們的信息系統(tǒng)仍然沒有逃脫失敗的命運。

很多人在推崇信息技術(shù)的同時忘記了一個根本的前提：信息技術(shù)僅僅是一種工具。雖然信息技術(shù)對于信息系統(tǒng)的開發(fā)效率產(chǎn)生重要的影響，但工具本身卻不是信息系統(tǒng)成敗的根本原因。通常在信息系統(tǒng)開發(fā)時，開發(fā)商采用的往往是比較成熟的技術(shù)，因為這些成熟技術(shù)的有效性是已經(jīng)被實踐所證明了的。但是，采用成熟的技術(shù)并不能保證信息系統(tǒng)開發(fā)的成功。這說明，一些非技術(shù)性的問題往往是導(dǎo)致企業(yè)信息化不成功的根源。這些問題——我們姑且統(tǒng)稱為企業(yè)信息化的非技術(shù)性的障礙——目前十分缺乏理論上的研究。有許多文章都在談?wù)撨@些因素，有人說是中國的管理水平低，有人認(rèn)為是員工的觀念跟不上。但是，大多數(shù)文章都僅僅議論了一些現(xiàn)象，而缺乏深入全面的研究。更可怕的是這些問題并未引起一些主管人員重視，他們認(rèn)為對非技術(shù)性問題的探討是空談，只有掌握某種開發(fā)技術(shù)才能有真正的應(yīng)用前景。這種錯誤的認(rèn)識導(dǎo)致了許多單位和部門的信息系統(tǒng)的失敗，而這些失敗又常常被嶄新的計算機設(shè)備和許多忙碌而不產(chǎn)生價值的工作所掩蓋，像冰山潛藏在水面下一樣無人知曉。

第八，重硬件購置，輕軟件和咨詢效勞。目前，我國信息化建設(shè)缺少專業(yè)分工，根本是自建、自用、自我效勞，不愿花錢買專業(yè)化咨詢、專業(yè)化軟件開發(fā)、專業(yè)化效勞，從而造成信息化建設(shè)效率低下。而興旺國家的大型應(yīng)用系統(tǒng)不但花錢買這三項專業(yè)化的建設(shè)效勞，而且還買運營效勞。相關(guān)統(tǒng)計顯示：我國在信息化投入中，軟硬比例失調(diào)，軟件加效勞的投入與硬件投入的比例為二八開，其中集成與安裝的比例約8—10%；軟件開發(fā)的投入約10—12%；80%的資金是用于硬件購置。而據(jù)世界銀行的統(tǒng)計，興旺城市信息化投入一般為七三開，70%用于軟件和效勞，購置硬件為30%。第九，信息化建設(shè)找不到重心。一些信息化工程和ERP工程的失敗，致使許多人認(rèn)為，我國的企業(yè)尚不匹配國際上那些先進的管理模式，搞信息化為時尚早。那么，信息化到底是什么？我們究竟應(yīng)該走多遠(yuǎn)？有沒有一個測量標(biāo)準(zhǔn)用于判斷何時肯定會出現(xiàn)錯誤？企業(yè)在最普通而又最關(guān)鍵的局部進行計算機管理就不是信息化嗎？IT本錢與利潤比例多少算是適宜？關(guān)鍵成功要素是什么？不能到達我們目標(biāo)的風(fēng)險是什么？有沒有可以貫穿業(yè)務(wù)風(fēng)險、控制需要和技術(shù)問題這三者之間的橋梁？其他的組織在做什么？我們應(yīng)該怎樣進行測量與比較？這些問題歸根結(jié)底是公司治理的失靈和IT治理的缺位。目前公司治理已成為政策重點，我國80%的企業(yè)已完成股份制改造，初步建立起符合現(xiàn)代企業(yè)制度的公司治理機制，但是我們的治理機制還很不完善。一個治理機制不完善的企業(yè)很難對外部競爭有積極的反應(yīng)，從而很難有十分高的經(jīng)營效率；相反，市場競爭的效率也來自于企業(yè)治理機制的完善，如果市場中的企業(yè)治理機制普遍不完善，企業(yè)之間就不可能進行充分有效的市場競爭。市場競爭最終要通過企業(yè)自身治理機制的改善才能使企業(yè)經(jīng)營效率提高，如果一個企業(yè)自身的治理機制并不完善，而且面對市場競爭并不能持續(xù)有效地改善治理機制，最終可能在市場競爭中被淘汰。因此要實現(xiàn)“優(yōu)勝劣汰〞的市場競爭，引入與市場競爭相適應(yīng)的治理機制，我們依然有許多工作要做。在IT治理方面，目前我國的政府和企業(yè)在這方面根本上處于初始階段。據(jù)了解，在一些大企業(yè)中，已出現(xiàn)CIO的權(quán)利范圍不只是領(lǐng)導(dǎo)其信息部門，還負(fù)責(zé)事業(yè)部門的人、財、物的資源配置和利益均衡，我們認(rèn)為這是具有中國特色的IT治理機制的嘗試。IT治理的定義IT治理是信息系統(tǒng)審計和控制領(lǐng)域中一個相當(dāng)新的概念，IBM首次將此理念引入我們的視線，在其2002年度論壇中推出了給中國銀行業(yè)的“會聚了全球金融行業(yè)的智慧與經(jīng)驗〞的白皮書，該白皮書在其“推動業(yè)務(wù)管理與IT的全面集成整合〞局部給銀行業(yè)務(wù)與管理的建議是：大力推動銀行流程化與流程標(biāo)準(zhǔn)化的管理，建立全行級的跨部門的IT治理決策機構(gòu)來決定IT工程實施的順序，加強全行的管理與流程執(zhí)行的紀(jì)律，與IT行業(yè)的供給商結(jié)成戰(zhàn)略聯(lián)盟,將戰(zhàn)略伙伴的價值并入到價值鏈。作為全球IT行業(yè)領(lǐng)跑者的IBM，其一舉一動往往預(yù)示著整個行業(yè)的開展方向。我們在對IT治理廣泛研究和分析的基礎(chǔ)上，關(guān)于其定義聚集了以下三種主要觀點：Roberts.Roussey（美國南加州大學(xué)教授）認(rèn)為：IT治理用于描述被委托治理實體的人員在監(jiān)督、檢查、控制和指導(dǎo)實體的過程中如何看待信息技術(shù)。IT的應(yīng)用對于組織能否到達它的遠(yuǎn)景、使命、戰(zhàn)略目標(biāo)至關(guān)重要。德勤定義如下:IT治理是一個含義廣泛的術(shù)語，包括信息系統(tǒng)、技術(shù)、通訊、商業(yè)、所有利益相關(guān)者、合法性和其他問題。其主要任務(wù)是：保持IT與業(yè)務(wù)目標(biāo)一致，推動業(yè)務(wù)開展，促使收益最大化，合理利用IT資源，IT相關(guān)風(fēng)險的適當(dāng)管理。國際信息系統(tǒng)審計與控制協(xié)會(ISACA)定義如下：IT治理是一個由關(guān)系和過程所構(gòu)成的體制，用于指導(dǎo)和控制企業(yè)，通過平衡信息技術(shù)與過程的風(fēng)險、增加價值來確保實現(xiàn)企業(yè)的目標(biāo)。通過上述定義可以總結(jié)出以下共同點：IT治理必須與企業(yè)戰(zhàn)略目標(biāo)一致，IT對于企業(yè)非常關(guān)鍵，也是戰(zhàn)略規(guī)劃的組成，影響戰(zhàn)略競爭。IT治理和其它治理主體一樣，是管理執(zhí)行人員和利益相關(guān)者的責(zé)任（以董事會為代表）。IT治理保護利益相關(guān)者的權(quán)益，使風(fēng)險透明化，指導(dǎo)和控制IT投資、機遇、利益、風(fēng)險。信息技術(shù)治理包括管理層、組織結(jié)構(gòu)、過程，以確保IT維持和拓展組織戰(zhàn)略目標(biāo)。應(yīng)該合理利用企業(yè)的信息資源，有效地集成與協(xié)調(diào)。確保IT及時按照目標(biāo)交付，有適宜的功能和期望的收益，是一個一致性和價值傳遞的根本構(gòu)建模塊，有明確的期望值和衡量手段。引導(dǎo)IT戰(zhàn)略平衡系統(tǒng)的投資，支持企業(yè)，變革企業(yè)，或者創(chuàng)立一個信息基礎(chǔ)架構(gòu)，保證業(yè)務(wù)增長，并在一個新的領(lǐng)域競爭。對于核心IT資源做出合理的決策，進入新的市場，驅(qū)動競爭策略，創(chuàng)造總的收入增長，改善客戶滿意度，維系客戶關(guān)系。IT治理的目標(biāo)IT治理——與業(yè)務(wù)目標(biāo)一致IT治理要從組織目標(biāo)和信息化戰(zhàn)略中抽取信息需求和功能需求，形成總體的IT治理框架和系統(tǒng)整體模型，為進一步系統(tǒng)設(shè)計和實施奠定基礎(chǔ)，保證信息技術(shù)跟上持續(xù)變化的業(yè)務(wù)目標(biāo)。IT治理——有效利用信息資源目前信息化工程超期、IT客戶的需求沒有滿足、IT平臺不支持業(yè)務(wù)應(yīng)用等問題較為突出，通過IT治理可以對信息資源的管理職責(zé)進行有效管理，保證投資的回收，并支持決策。IT治理——風(fēng)險管理由于企業(yè)越來越依賴于信息技術(shù)和網(wǎng)絡(luò)，新的風(fēng)險不斷涌現(xiàn)，例如，新出現(xiàn)的技術(shù)沒有管理，不符合現(xiàn)有法律和規(guī)章制度、沒有識別對IT效勞的威脅等。IT治理強調(diào)風(fēng)險管理，通過制定信息資源的保護級別，強調(diào)關(guān)鍵的信息技術(shù)資源，有效實施監(jiān)控，事故處理。IT治理使企業(yè)適應(yīng)外部環(huán)境變化，為企業(yè)內(nèi)部實現(xiàn)對業(yè)務(wù)流程中資源的有效利用，從而到達改善管理效率和水平的重要手段。IT治理的目標(biāo)將幫助管理層建立以組織戰(zhàn)略為導(dǎo)向,以外界環(huán)境為依據(jù),以業(yè)務(wù)與IT整合為中心的觀念，正確定位IT部門在整個組織中的作用。最終能夠針對不同業(yè)務(wù)開展要求，整合信息資源，制定并執(zhí)行推動組織開展的IT戰(zhàn)略。IT治理解決哪些問題在探討IT治理可以解決哪些問題之前，我們先就身邊發(fā)生的事件看一下IT治理失靈的例子：2002年7月23日，央視晚新聞播報：7月23日，首都機場因電腦系統(tǒng)故障，6000多人滯留機場，150多駕飛機延誤，事故原因正在調(diào)查中；5月29日上午８時３０分左右，南京火車站電腦售票系統(tǒng)突然發(fā)生死機故障，整個車站售票處于癱瘓狀態(tài)，車站售票大廳內(nèi)人滿為患，眾多旅客不得不改乘其它交通工具離開南京。車站領(lǐng)導(dǎo)和計算機技術(shù)人員告訴記者是由于電腦升級換代，調(diào)試時線路發(fā)生故障，才引發(fā)了此次系統(tǒng)癱瘓的。9月5日廣東省工行因系統(tǒng)故障，全線停業(yè)一個半小時，有媒體特別指出，這是工行實施全國統(tǒng)一平臺運作后的首次故障。還有某銀行在信息系統(tǒng)技術(shù)升級時，IT人員只注重保證系統(tǒng)在技術(shù)上的平滑過渡，而無視了升級給客戶帶來的不便，導(dǎo)致客戶流失，這也說明當(dāng)IT發(fā)生改變時會對業(yè)務(wù)目標(biāo)產(chǎn)生沖擊，以上都是通過IT治理機制可以合理防止的事件。因此，我們認(rèn)為IT治理對商業(yè)目標(biāo)而言起著戰(zhàn)略意義，IT治理狀況直接影響到企業(yè)實現(xiàn)目標(biāo)的可能性，良好的IT治理有助于增強企業(yè)的靈活性和學(xué)習(xí)能力，巧妙管理風(fēng)險，區(qū)分開展機遇。對于最高管理層（董事會）而言，IT治理可以解決以下幾個方面問題：發(fā)現(xiàn)信息技術(shù)本身的問題，例如IT工程未能實現(xiàn)期望價值的概率；終端用戶是否滿意IT效勞的質(zhì)量；是否有足夠的IT資源、基礎(chǔ)設(shè)施、競爭力來滿足戰(zhàn)略目標(biāo)；信息技術(shù)平均操作失誤的原因；IT沒有推動業(yè)務(wù)改善而是阻礙業(yè)務(wù)的次數(shù)。幫助管理者處理IT問題，例如，IT和組織戰(zhàn)略目標(biāo)的一致性程度怎么樣；怎樣衡量IT的交付價值；執(zhí)行管理人員采取什么樣的戰(zhàn)略動機來管理IT；與企業(yè)的運營與成長管理相關(guān)的問題；企業(yè)是否清楚其商業(yè)目標(biāo)與技術(shù)的關(guān)系：領(lǐng)先、跟隨者還是滯后者；企業(yè)對風(fēng)險（風(fēng)險躲避和風(fēng)險承當(dāng)）是否清楚；有沒有最新的企業(yè)相關(guān)IT風(fēng)險的清單，采取哪些行動處理這些風(fēng)險。自我評估IT管理的效果，例如，是否經(jīng)常向最高管理層（董事會）定期匯報IT風(fēng)險；IT是否是最高管理層（董事會）議程中的一個常用的術(shù)語，它是否以結(jié)構(gòu)化形式表達；最高管理層（董事會）是否就商業(yè)目標(biāo)與信息技術(shù)一致性進行說明和溝通；最高管理層（董事會）對主要IT投資是否有清楚的觀點，包括風(fēng)險和回報；最高管理層（董事會）是否認(rèn)期得到主要IT過程的報告；最高管理層（董事會）在獲取IT目標(biāo)和限制IT風(fēng)險時是否得到獨立的保證。國內(nèi)IT治理水平的好與差造成了IT應(yīng)用層次的差異。一些單位有與其國際競爭對手一樣的系統(tǒng)、軟件，甚至技術(shù)和設(shè)備強于對方，所以單從技術(shù)的成熟性和先進性而言，中國整體應(yīng)用水平不低。但是為什么就沒有對方做的好呢？從IT治理的角度審視，其實技術(shù)的競爭早已超越了有與無的層面，進而甚至超越了搶奪技術(shù)最早占有權(quán)的層面，表達在業(yè)務(wù)和技術(shù)管理能力上的對抗。事實上我國信息化目前所處的階段缺乏的并不是先進的技術(shù)與設(shè)備，而是IT管理理念和方法論。IBM大中國區(qū)金融事業(yè)部總經(jīng)理張烈生說：“所有把落敗歸咎于技術(shù)的人，都是在逃避一個事實：認(rèn)識上的落后和管理上的無能〞。當(dāng)然，我們的周圍也不乏在較落后的技術(shù)和設(shè)備上，把已有的技術(shù)應(yīng)用得非常成功的范例。IT治理的范圍IT治理體系保證總體戰(zhàn)略目標(biāo)能夠從上而下貫徹執(zhí)行。IT治理和其它治理活動一樣，集中在最高管理層（董事會）和執(zhí)行管理層。然而，由于IT治理的復(fù)雜性和專業(yè)性，治理層必須強烈依賴企業(yè)的下層來提供決策和評估活動所需要的信息。為保證有效的IT治理，下層應(yīng)用要和企業(yè)總體目標(biāo)采用相同的原則，提供評估業(yè)績的衡量方法。因此，好的IT治理實踐需要在企業(yè)全部范圍內(nèi)推行。最高管理層（董事會）的主要職責(zé)是：證實IT戰(zhàn)略與企業(yè)戰(zhàn)略一致；證實IT通過明確的期望和衡量手段交付；指導(dǎo)IT戰(zhàn)略、平衡支持企業(yè)和使企業(yè)成長的投資；恰當(dāng)決策信息資源應(yīng)著重使用的地方。最高管理層（董事會）通過下述指標(biāo)衡量業(yè)績：定義和檢查衡量手段以及管理，證實目標(biāo)已經(jīng)到達，并且衡量業(yè)績，減少不確定性。管理者的焦點主要是本錢—效益比，增加收入，構(gòu)建競爭力，這些都由信息、知識、信息技術(shù)體系推動。由于信息技術(shù)作為實現(xiàn)企業(yè)目標(biāo)的一個集成局部，其解決方法越來越復(fù)雜（外包，第三方合同，網(wǎng)絡(luò)化等），因此，善治成為成功的一個關(guān)鍵因素。管理者的職責(zé)是：將IT風(fēng)險管理的責(zé)任和控制落實到企業(yè)中，制定明確的政策和全面的控制框架；將戰(zhàn)略，策略，目標(biāo)等由上至下落實到企業(yè)，并使信息技術(shù)的組織與企業(yè)目標(biāo)一致；提供治理結(jié)構(gòu)支持IT戰(zhàn)略的實施，制定IT基礎(chǔ)設(shè)施加快商業(yè)信息的創(chuàng)造與共享；通過衡量公司業(yè)績和競爭優(yōu)勢來測度信息技術(shù)的效果（KPI，KGI）；使用平衡計分卡，彌補行政管理的缺乏；關(guān)注IT必須支持的商業(yè)競爭力，如增加客戶價值的業(yè)務(wù)過程，在市場上差異化的產(chǎn)品和效勞，通過多產(chǎn)品和效勞來產(chǎn)生增值；關(guān)注重要的增值的信息技術(shù)過程；關(guān)注與規(guī)劃和管理IT資產(chǎn)、風(fēng)險、工程工程、客戶和供給商相關(guān)的核心競爭能力。IT治理使得最高管理層（董事會）和執(zhí)行經(jīng)理的一系列活動成為可能。這些活動主要包括：IT的目標(biāo)，新技術(shù)的機遇和風(fēng)險，關(guān)鍵過程與核心競爭力。如指導(dǎo)信息技術(shù)的職能和對企業(yè)的影響，分配責(zé)任，定義操作，衡量業(yè)績，管理風(fēng)險和獲得保證的約束等。以銀行業(yè)的數(shù)據(jù)大集中為例，從2001年開始，采用集中數(shù)據(jù)處理模式來表達一級企業(yè)法人治理結(jié)構(gòu)已經(jīng)成為各家銀行致力實現(xiàn)的一個目標(biāo)，目前國內(nèi)銀行的數(shù)據(jù)集中處理模式改造已陸續(xù)取得階段性成果，可問題隨之而來，集中以后做什么？集中以后風(fēng)險也增加了，怎么辦？前一個問題也就是說數(shù)據(jù)集中了，只是提供了一個進行深度業(yè)務(wù)創(chuàng)新的前提和可能，關(guān)鍵還在于商業(yè)模式和IT管理模式。對于后一個問題，則需要采取更先進的平安治理機制，全面的信息系統(tǒng)審計與控制，包括可靠的災(zāi)難恢復(fù)和業(yè)務(wù)持續(xù)規(guī)劃。公司治理和IT治理公司治理主要關(guān)注利益相關(guān)者權(quán)益和管理，包括一系列責(zé)任和條例，由最高管理層（董事會）和執(zhí)行管理層實施，目的是提供戰(zhàn)略方向，保證目標(biāo)能夠?qū)崿F(xiàn)，風(fēng)險適當(dāng)管理，企業(yè)的資源合理使用。公司治理，驅(qū)動和調(diào)整IT治理。同時，IT能夠提供關(guān)鍵的輸入，形成戰(zhàn)略方案的一個重要組成局部，這被認(rèn)為是公司治理的一個重要功能——IT影響企業(yè)的戰(zhàn)略競爭機遇。IT治理和公司治理關(guān)系圖IT治理的一個關(guān)鍵性問題是：公司的IT投資是否與戰(zhàn)略目標(biāo)相一致，從而構(gòu)筑必要的核心競爭力。因為企業(yè)目標(biāo)變化太快，很難保證IT與商業(yè)目標(biāo)始終保持一致，因此需要多方面的協(xié)調(diào)，保證IT治理繼續(xù)沿著正確的方向走，這也是IT投資者真正關(guān)心的問題。對IT治理而言，要能表達未來信息技術(shù)與未來企業(yè)組織的戰(zhàn)略集成。既要盡可能地保持開放性和長遠(yuǎn)性，以確保系統(tǒng)的穩(wěn)定性和延續(xù)性；同時又因為規(guī)劃趕不上變化，再長遠(yuǎn)的規(guī)劃也難以保證能跟上企業(yè)環(huán)境的變化。IT治理中一個相對有效的做法是，在信息化規(guī)劃時，認(rèn)真分析企業(yè)的戰(zhàn)略與IT支撐之間的影響度，并合理預(yù)測環(huán)境變化可能給企業(yè)戰(zhàn)略帶來的偏移，在規(guī)劃時留有適當(dāng)?shù)挠嗟?，從業(yè)務(wù)戰(zhàn)略到信息戰(zhàn)略，做務(wù)實的牽引，不要追求大而全。IT治理有助于建立一個靈活的、具有適應(yīng)性的企業(yè)。IT治理能夠影響信息和指示：企業(yè)能夠感知市場正在發(fā)生的事，使用知識資產(chǎn)并從中學(xué)習(xí)，創(chuàng)新新產(chǎn)品、效勞、渠道、過程；迅速變化，將革新帶入市場，衡量業(yè)績。IT治理應(yīng)該表達“以組織戰(zhàn)略目標(biāo)為中心〞的思想，通過合理配置IT資源創(chuàng)造價值。企業(yè)治理側(cè)重于企業(yè)整體規(guī)劃，IT治理側(cè)重于企業(yè)中信息資源的有效利用和管理。企業(yè)目標(biāo)在于遠(yuǎn)景和商業(yè)模式，IT目標(biāo)在于商業(yè)模式的實施。企業(yè)目標(biāo)與IT目標(biāo)之間的關(guān)系如下列圖所示：IT治理主要涉及兩個方面：IT要為企業(yè)交付價值，IT風(fēng)險要降低。前者受IT與企業(yè)的戰(zhàn)略一致性驅(qū)動，后者由責(zé)任義務(wù)落實到企業(yè)驅(qū)動。這兩者都需要衡量，如使用平衡計分卡。這就可以看出IT治理的四個核心領(lǐng)域，都是由利益相關(guān)者價值驅(qū)動的，其中兩個是成果：價值交付和風(fēng)險降低，另外兩個是驅(qū)動力：戰(zhàn)略一致性和業(yè)績衡量。概括地說，公司治理和IT治理都是市場（含政府）他律的機制，是如何“管好管理者〞的機制，其目標(biāo)也是一致的：到達業(yè)務(wù)永續(xù)運營，并增加組織的長期獲利時機。無論大環(huán)境是好是壞，最高管理層（董事會）均應(yīng)以達成其目標(biāo)為責(zé)任，而且管理階層需有能力協(xié)助其達成目標(biāo)，因此最高管理層（董事會）必須常常監(jiān)督管理部門對決策判斷與政策實施的績效?！八惯_模式〞這一被譽為國企擺脫困境、改革開展的創(chuàng)新模式，正說明了公司治理和IT治理的重要性和互動關(guān)系。“黑紙〞利用合資契機，對產(chǎn)權(quán)體制進行了改革，并按照現(xiàn)代企業(yè)制度要求，建立與市場競爭相適應(yīng)的公司治理機制，明晰了企業(yè)產(chǎn)權(quán)，優(yōu)化了生產(chǎn)要素配置，轉(zhuǎn)變了職工觀念，為斯達大力進行信息化改造創(chuàng)造了有力條件。反過來，信息化也促進了公司的現(xiàn)代化管理。IT治理和IT管理IT管理是公司的信息及信息系統(tǒng)的運營，確定IT目標(biāo)以及實現(xiàn)此目標(biāo)所采取的行動；而IT治理是指最高管理層（董事會）利用它來監(jiān)督管理層在IT戰(zhàn)略上的過程、結(jié)構(gòu)和聯(lián)系，以確保這種運營處于正確的軌道之上。這是一個硬幣的兩面，誰也不能脫離誰而存在。可見，IT管理就是在既定的IT治理模式下，管理層為實現(xiàn)公司的目標(biāo)而采取的行動。 IT治理規(guī)定了整個企業(yè)IT運作的根本框架，IT管理則是在這個既定的框架下駕馭企業(yè)奔向目標(biāo)。缺乏良好IT治理模式的公司，即使有“很好〞的IT管理體系（而這實際上是不可能的），就像一座地基不牢固的大廈；同樣，沒有公司IT管理體系的暢通，單純的治理模式也只能是一個美好的藍(lán)圖，而缺乏實際的內(nèi)容。就我國信息化建設(shè)目前的現(xiàn)狀而言，無論是IT治理，還是IT管理都是我們所迫切需要解決的。公司治理與信息技術(shù)治理如何工作企業(yè)設(shè)立目標(biāo)，由通用的慣例來治理并保證目標(biāo)實現(xiàn)。這些目標(biāo)中滲透企業(yè)的開展方向，指導(dǎo)企業(yè)活動和使用資源。企業(yè)活動的結(jié)果被衡量及報告，為輸入提供不斷的修正和維護控制，從而開始下一輪循環(huán)。信息技術(shù)也確立目標(biāo)，保證企業(yè)信息和相關(guān)技術(shù)支持商業(yè)目標(biāo)，資源有效利用，風(fēng)險管理適度。這些目標(biāo)形成IT活動的根本方向，劃分為規(guī)劃和組織，獲取和實施，交付與支持，監(jiān)控等四個局部。一方面管理風(fēng)險（平安、可靠，保密），另一方面實現(xiàn)收益（提高有效性和效率）。通過報揭發(fā)布關(guān)于IT活動收益，根據(jù)不同的管理和控制來衡量，然后進入下一輪循環(huán)。IT治理架構(gòu)一個有效的IT治理架構(gòu)需要理解組織的核心競爭力，并且在商業(yè)目標(biāo)，治理原型，業(yè)務(wù)績效目標(biāo)之間維持平衡，進而提出IT治理框架，制定決策以及如何在關(guān)鍵的信息技術(shù)領(lǐng)域中確定。由此，意識到IT治理與企業(yè)治理之間的必然聯(lián)系，提供管理相關(guān)風(fēng)險的最正確實務(wù)指導(dǎo)。企業(yè)目標(biāo)是保證企業(yè)健康、可持續(xù)開展，關(guān)注商業(yè)目標(biāo)、知識管理、商業(yè)通訊、客戶關(guān)系、商業(yè)活動與過程；IT治理目標(biāo)是信息系統(tǒng)、技術(shù)和網(wǎng)絡(luò)、知識管理、IT資產(chǎn)管理、電子商務(wù)、IT合法性等。COBIT，直譯為信息及相關(guān)技術(shù)的控制目標(biāo)，是IT治理的一個開放性標(biāo)準(zhǔn)，由美國IT治理研究院開發(fā)與推廣，目前已成為國際上公認(rèn)的最先進、最權(quán)威的平安與信息技術(shù)管理和控制的標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)為IT的治理、平安與控制提供了一個一般適用的公認(rèn)的標(biāo)準(zhǔn)，以輔助管理層進行IT治理。該標(biāo)準(zhǔn)體系已在世界一百多個國家的重要組織與企業(yè)中運用，指導(dǎo)這些組織有效利用信息資源，有效地管理與信息相關(guān)的風(fēng)險。COBIT模型COBIT將IT過程，IT資源及信息與企業(yè)的策略與目標(biāo)聯(lián)系起來，形成一個三維的體系結(jié)構(gòu)。其中，IT準(zhǔn)則維集中反映了企業(yè)的戰(zhàn)略目標(biāo)，主要從質(zhì)量、本錢、時間、資源利用率、系統(tǒng)效率、保密性、完整性、可用性等方面來保證信息的平安性、可靠性、有效性；IT資源維主要包括以人、應(yīng)用系統(tǒng)、技術(shù)、設(shè)施及數(shù)據(jù)在內(nèi)的信息相關(guān)的資源，這是IT治理過程的主要對象；IT過程維則是在IT準(zhǔn)則的指導(dǎo)下，對信息及相關(guān)資源進行規(guī)劃與處理，從信息技術(shù)的規(guī)劃與組織、采集與實施、交付與支持、監(jiān)控等四個方面確定了34個信息技術(shù)處理過程，每個處理過程還包括更加詳細(xì)的控制目標(biāo)和審計方針對IT處理過程進行評估。COBIT的34個信息技術(shù)過程：1規(guī)劃與組織3交付與支持定義IT戰(zhàn)略規(guī)劃定義信息體系結(jié)構(gòu)確定技術(shù)方向定義IT組織與關(guān)系管理IT投資傳達管理目標(biāo)和方向人力資源管理確保與外部需求的一致性風(fēng)險評估工程管理質(zhì)量管理定義并管理效勞水平管理第三方的效勞管理性能與容量確保效勞的連續(xù)性確保系統(tǒng)平安確定并分配本錢教育并培訓(xùn)客戶配置管理處理問題和突發(fā)事件數(shù)據(jù)管理設(shè)施管理運營管理2采集與實施4監(jiān)控確定自動化的解決方案獲取并維護應(yīng)用程序軟件獲取并維護技術(shù)基礎(chǔ)設(shè)施程序開發(fā)與維護系統(tǒng)安裝與鑒定變革管理過程監(jiān)控評價內(nèi)部控制的適當(dāng)性獲取獨立保證提供獨立的審計這個模型為企業(yè)管理的成功提供了集成的IT管理，通過保證有關(guān)企業(yè)處理過程的高效的改良措施，以更快更好更平安地響應(yīng)企業(yè)需求。管理指南定義了IT過程的成熟度模型，為管理者評估IT過程的狀態(tài)提供了標(biāo)準(zhǔn)。同時也給出了一些重要的測度，這包括：關(guān)鍵成功因素，關(guān)鍵目標(biāo)指標(biāo)，關(guān)鍵績效指標(biāo)。COBIT模型是企業(yè)戰(zhàn)略目標(biāo)和信息技術(shù)戰(zhàn)略目標(biāo)的橋梁，使得信息技術(shù)目標(biāo)和企業(yè)戰(zhàn)略目標(biāo)之間實現(xiàn)互動。該框架的意義在于：COBIT實現(xiàn)了企業(yè)目標(biāo)與IT治理目標(biāo)之間的橋梁作用。首先考慮了企業(yè)自身的戰(zhàn)略規(guī)劃，對業(yè)務(wù)環(huán)境和企業(yè)總的業(yè)務(wù)戰(zhàn)略進行分析定位，并將戰(zhàn)略規(guī)劃所產(chǎn)生的目標(biāo)、政策、行動方案作為信息技術(shù)的關(guān)鍵環(huán)境，并由此確定IT準(zhǔn)則。IT為企業(yè)戰(zhàn)略提供了基于技術(shù)的解決方案，為滿足業(yè)務(wù)戰(zhàn)略需求提供了技術(shù)與工具。在IT準(zhǔn)則的指導(dǎo)下，利用控制目標(biāo)模型，分別從規(guī)劃與組織、采集與實施、交付與支持、監(jiān)控等過程進行控制、管理信息資源，在IT管理的同時，引入審計指南，從而保證IT資源管理的平安性、可靠性和有效性。實現(xiàn)可跟蹤的業(yè)績衡量，通過平衡經(jīng)營記分卡可以在財務(wù)（企業(yè)資源管理）、客戶（客戶關(guān)系管理）、過程（內(nèi)部網(wǎng)，工作流工具）、學(xué)習(xí)（知識管理）等方面維持平衡，評價企業(yè)目標(biāo)的實現(xiàn)情況以及IT績效，并調(diào)整商業(yè)目標(biāo)和IT戰(zhàn)略，進行持續(xù)的IT管理。采用成熟度模型，可以定位自己企業(yè)的IT管理目前在業(yè)界所處的位置，未來努力的方向，通俗地說就是給IT管理“打分〞。COBIT還提供了目前最正確案例和關(guān)鍵成功因素，供企業(yè)和組織借鑒。概括而言，COBIT的主要優(yōu)點如下：COBIT是一個非常有用的工具，也非常易于理解和實施，可以幫助在管理層、IT與審計之間交流的鴻溝上搭建橋梁，提供了彼此之間溝通的共同語言。幾乎每個機構(gòu)都可以從COBIT中獲益，來決定基于IT過程及他們所支持的商業(yè)功能的合理控制。當(dāng)我們知道這些商業(yè)功能是什么，其對企業(yè)的關(guān)鍵到什么程度時，就能對這些事件進行良好的分類。所有的信息系統(tǒng)審計，控制及平安專業(yè)人員應(yīng)該考慮采用COBIT原則。通過實施COBIT，增加了管理層對控制的感知及支持。COBIT幫助管理層懂得控制如何影響商業(yè)功能。COBIT提供的實施工具集包括優(yōu)秀的案例資料（提供模板商業(yè)過程，使得優(yōu)秀范例能夠迅速移植），幫助向管理層很好地表述IT管理概念。管理層在基于最正確控制實踐基礎(chǔ)上做出正確決策的能力亦得到了提高。COBIT使IT管理工作簡易并量化，減輕對復(fù)雜信息系統(tǒng)管理工作的難度，并且可以應(yīng)用在每天都在發(fā)生的各種新問題中。對于那些不具有廣博IT知識的人來將，是一個認(rèn)清信息技術(shù)的有價值的工具。它也使得信息系統(tǒng)審計師具有與IT專業(yè)人員相同的專業(yè)廣度，并且可以詢問IT工程相關(guān)的問題。COBIT提供了一種國際通用的IT管理及問題解決方案，普遍適用于各種不同的商業(yè)工程和審計，并且它既包容了我們當(dāng)前的情況，也提供將來可能會使用到的指導(dǎo)方針。COBIT有助于提高信息系統(tǒng)審計師的影響力，依據(jù)COBIT出具的信息系統(tǒng)審計報告更容易得到管理層的肯定。COBIT框架可以能夠幫助決定過程責(zé)任，提高IT治理水平。通過采用該框架作為對一個責(zé)任矩陣分析的基礎(chǔ)，可以做到基于角色的IT管理，定義過程措施，確?？蛻衾妗囊陨系姆治鼋榻B可以看出：整個模型實現(xiàn)了企業(yè)戰(zhàn)略與IT戰(zhàn)略的互動，并形成持續(xù)改良的良性循環(huán)機制，為企業(yè)提供了具有一定參考價值的解決方案。因此，我們認(rèn)為針對我國信息化存在的問題，借鑒COBIT的IT治理思想和框架，科學(xué)、系統(tǒng)地對信息及相關(guān)技術(shù)進行管理，逐步試行建立IT治理機制，對推動我國信息技術(shù)的開展和應(yīng)用具有十分重要的現(xiàn)實意義。IT治理在組織中的應(yīng)用指南IT治理在組織中的應(yīng)用是在管理指南的指導(dǎo)下完成的。管理指南通過關(guān)鍵成功因素、成熟度模型、關(guān)鍵目標(biāo)指標(biāo)、關(guān)鍵績效指標(biāo)四個方面的有機作用，使企業(yè)中的信息資源得到有效的管理。管理指南的特點是：面向應(yīng)用，具有通用性、一般性，不能提供針對某一具體測定方法，組織應(yīng)根據(jù)自身環(huán)境修改這個一般性的指導(dǎo)方針，以滿足實際的應(yīng)用需要。下面具體介紹管理指南的各個局部在應(yīng)用中所起的具體作用。關(guān)鍵成功因素關(guān)鍵成功因素為管理部門控制信息技術(shù)及其處理過程提供了實施指南。它們是信息技術(shù)處理過程中的最關(guān)鍵的要素，是戰(zhàn)略性的、技術(shù)性的過程或活動，勾畫出了IT的控制輪廓。關(guān)鍵成功因素可以從標(biāo)準(zhǔn)控制模型和IT管理框架的目標(biāo)與審計指南中獲取。這些標(biāo)準(zhǔn)要求：信息技術(shù)要與企業(yè)的運營情況相符；信息技術(shù)使?fàn)I運業(yè)務(wù)可行，并使其收益最大化；合理使用信息技術(shù)資源；適當(dāng)管理IT的有關(guān)風(fēng)險。關(guān)鍵成功因素平衡所有的IT資源，它由關(guān)鍵績效指標(biāo)評價。下表為從標(biāo)準(zhǔn)控制模型與管理構(gòu)架中歸納出用于多數(shù)信息技術(shù)處理過程的關(guān)鍵成功因素，以供參考。關(guān)鍵成功因素IT治理活動與公司治理過程相結(jié)合，并有公司領(lǐng)導(dǎo)的參與；IT治理專注于公司目標(biāo)，戰(zhàn)略，使用技術(shù)提高業(yè)務(wù)水平，及滿足業(yè)務(wù)需求的足夠可用的資源和能力；IT治理活動應(yīng)該目標(biāo)明確，制度標(biāo)準(zhǔn)和實施有效，它應(yīng)是根據(jù)公司需要并責(zé)任到人；實施最正確管理實踐以提高資源的有效使用，提高IT過程的效率；建立組織準(zhǔn)則以充分監(jiān)督，形成一種控制的環(huán)境/文化，根據(jù)標(biāo)準(zhǔn)程序評估風(fēng)險，增加對已建立標(biāo)準(zhǔn)的依靠，及監(jiān)督和追究控制缺陷和風(fēng)險；建立控制準(zhǔn)則以防止內(nèi)部控制和監(jiān)管的失靈；許多IT業(yè)務(wù)流程，如問題管理，變革管理和配置管理，是集成和互相關(guān)聯(lián)的；建立審計委員會；審計委員會任命和監(jiān)督獨立審計員；獨立審計員的任務(wù)是推行IT相關(guān)的審計方案，評審審計結(jié)果和第三方審計的評審結(jié)果；關(guān)鍵成功因素是為提高處理過程的成功可能性所做的最重要的事，通常與組織的目標(biāo)保持一致，是組織和處理過程的可觀察可測量的特征，分布于企業(yè)的戰(zhàn)略層、戰(zhàn)術(shù)層、應(yīng)用層及組織的各個方面，可以通過目標(biāo)分解與識別的方法選擇關(guān)鍵成功因素。關(guān)鍵目標(biāo)指標(biāo)關(guān)鍵目標(biāo)指標(biāo)是指通過創(chuàng)立和維護一套處理和控制適當(dāng)業(yè)務(wù)績效的系統(tǒng)，來指導(dǎo)并監(jiān)督IT傳遞的商業(yè)價值。關(guān)鍵目標(biāo)指標(biāo)通過識別測定處理結(jié)果，營運過程的輸出，在平衡記分卡上測定。關(guān)鍵目標(biāo)指標(biāo)表達的是處理過程的目標(biāo)，指出哪些是必須做的。它是處理過程實現(xiàn)其目標(biāo)的可測指標(biāo)，并且通常定義為需要實現(xiàn)的目標(biāo)。平衡記分卡主要關(guān)注以下幾個方面的經(jīng)營情況：(1)財務(wù)，包括預(yù)算與超支等狀況，反映股東的利益。(2)客戶，包括客戶滿意度，交貨是否及時，效勞價值等，反映客戶的利益。(3)內(nèi)部處理過程，包括處理的質(zhì)量與效果等，反映內(nèi)部人員的利益。(4)學(xué)習(xí)與創(chuàng)新，包括雇員受教育程度及技能基礎(chǔ)等，反映企業(yè)的開展?jié)摿ΑＯ卤頌槠毡檫m用的關(guān)鍵目標(biāo)指標(biāo)。關(guān)鍵目標(biāo)指標(biāo)加強績效和本錢管理；提高主要IT投資的回報；提高響應(yīng)市場速度；增加質(zhì)量，創(chuàng)新和風(fēng)險管理；適當(dāng)集成和標(biāo)準(zhǔn)化業(yè)務(wù)流程；擴展新客戶，滿足現(xiàn)有客戶；可用的適當(dāng)帶寬，計算能力和IT交付機制；在預(yù)算范圍內(nèi)及時滿足客戶的需求和期望；不違反法律，法規(guī)，行業(yè)標(biāo)準(zhǔn)和各類合同；清楚承當(dāng)?shù)娘L(fēng)險，這種風(fēng)險應(yīng)與組織整體風(fēng)險狀況一致；進行IT治理成熟度標(biāo)桿比較；創(chuàng)立傳遞效勞的新渠道。關(guān)鍵目標(biāo)指標(biāo)是處理目標(biāo)的一種表達，明確要取得什么目標(biāo)，并描繪處理的結(jié)果，進行事后評判，直接表達處理過程的完成成功與否，間接表達處理帶給經(jīng)營活動的價值。關(guān)鍵績效指標(biāo)關(guān)鍵績效指標(biāo)對關(guān)鍵成功因素進行評價，通過監(jiān)測某IT處理過程的執(zhí)行情況，告訴管理層該處理是否滿足其經(jīng)營需求。關(guān)鍵績效指標(biāo)是IT處理過程的性能指標(biāo)，表現(xiàn)為IT的實際業(yè)績。通過有效性、保密性、完整性、可用性、一致性、可靠性等指標(biāo)來測定IT的績效。下表列出對企業(yè)具有普遍性意義的關(guān)鍵績效指標(biāo)。關(guān)鍵績效指標(biāo)提高了IT流程的成效（本錢vs.交付能力）；增加了用于改善流程的IT方案；增加了IT基礎(chǔ)設(shè)施的利用率；增加了客戶滿意度（調(diào)查和投訴數(shù)）；增加了員工工作效率（可傳遞的數(shù)量）和士氣（調(diào)查）；增加用于管理公司的知識和信息的可用性；增加IT治理和公司治理的聯(lián)系；使用IT平衡計分卡測量時，績效得到提高。關(guān)鍵績效指標(biāo)是處理過程執(zhí)行程度的測定，預(yù)期將來成敗的可能性，是先導(dǎo)性目標(biāo)，面向處理過程，但驅(qū)動信息技術(shù)，關(guān)注處理過程和平衡記分卡的學(xué)習(xí)單位，關(guān)注對于處理過程至關(guān)重要的資源。關(guān)鍵績效指標(biāo)指出處理過程要完成到怎樣的程度。兩者之間的相互關(guān)系可以用平衡記分的概念來理解，如下圖。平衡記分卡測量企業(yè)的經(jīng)營目標(biāo)的執(zhí)行情況，信息技術(shù)作為商業(yè)的使能器也有自己的記分卡。它的測量標(biāo)準(zhǔn)是績效指標(biāo)。比方：使能器要執(zhí)行到怎樣的程度才能說明經(jīng)營目標(biāo)已經(jīng)實現(xiàn)。關(guān)鍵績效指標(biāo)主要通過信息系統(tǒng)與信息效勞的有效性，信息的機密與完整性，處理過程和操作的本錢，信息的可信度、可靠性等來評價信息技術(shù)的績效。關(guān)鍵目標(biāo)指標(biāo)是驅(qū)動經(jīng)營活動，而關(guān)鍵性能指標(biāo)面向處理過程，并將經(jīng)常表達處理過程和組織對所需資源的平衡與管理程度，測定其是否真正到達預(yù)期處理目標(biāo)，是否有助于管理者改良處理。關(guān)鍵目標(biāo)指標(biāo)與關(guān)鍵性能指標(biāo)的區(qū)別主要表達在以下幾個方面：1.評估時序不同。關(guān)鍵目標(biāo)指標(biāo)是處理目標(biāo)的一種表達，明確要取得什么目標(biāo)，并描繪處理的結(jié)果，是“滯后性〞指標(biāo)，只能在事后測量。關(guān)鍵績效指標(biāo)是處理過程執(zhí)行程度的測定，預(yù)期將來成敗的可能性，是先導(dǎo)性目標(biāo)，可以事先給出成功的預(yù)示。2.關(guān)注目標(biāo)不同。關(guān)鍵目標(biāo)指標(biāo)提供了業(yè)務(wù)平衡計分卡中財務(wù)與客戶方面的評估標(biāo)準(zhǔn)。關(guān)鍵績效指標(biāo)強調(diào)了平衡計分卡中的另外兩個方面，即內(nèi)部處理與創(chuàng)新。財務(wù)成果與客戶滿意度是企業(yè)經(jīng)營目標(biāo)是否到達的一個事后評判標(biāo)準(zhǔn)。而處理執(zhí)行的好壞與學(xué)習(xí)創(chuàng)新是組織運行情況好壞的一個指標(biāo)，并且事先指出了企業(yè)經(jīng)營取得成功的可能性。驅(qū)動力不同。關(guān)鍵目標(biāo)指標(biāo)是由企業(yè)的經(jīng)營業(yè)務(wù)所驅(qū)動的，關(guān)注企業(yè)業(yè)務(wù)的執(zhí)行結(jié)果，關(guān)鍵績效指標(biāo)是企業(yè)的信息技術(shù)所驅(qū)動的，關(guān)注與信息技術(shù)相關(guān)的資源。IT治理成熟度模型IT成熟度模型制定了一個基準(zhǔn)，組織可能根據(jù)上面的指標(biāo)確定自己的等級，從而了解自身目前的境界。在此基礎(chǔ)上確定組織的關(guān)鍵成功因素，通過關(guān)鍵績效指標(biāo)進行監(jiān)控，并衡量組織是否能到達關(guān)鍵目標(biāo)指標(biāo)中所設(shè)定的目標(biāo)。成熟度模型從一般的質(zhì)量模型開始，在各個層次以遞增的方式增加了以下方面的慣例與原則：對風(fēng)險和控制問題的理解與認(rèn)識；適用于該問題的交流與培訓(xùn)；加工處理和實施的慣例；使過程更有效、更高效的技術(shù)與自動控制；與政策與法規(guī)的一致程度；專業(yè)技能的范圍與類型。平衡風(fēng)險和收益后的IT治理和IT增值流程治理成熟度級別如下：不存在。完全不存在可辨識的信息治理流程。組織并沒認(rèn)識到這一問題，因此關(guān)于此問題并無交流。初始級初始的混亂的。有證據(jù)說明，組織已意識到存在IT治理問題并需要研究，尚無標(biāo)準(zhǔn)流程，但有些個人或在有些具體情況下進行了嘗試。治理方法混亂，但對于問題和研究方法有零星的、不一致的交流。也可能意識到需要以產(chǎn)出為導(dǎo)向，在相關(guān)企業(yè)流程中追求IT的價值。沒有標(biāo)準(zhǔn)的評價過程，只在組織中發(fā)生某些事件帶來損失或不利時，IT治理才得以應(yīng)用。可重復(fù)級重復(fù)的但模糊的。人們普遍對IT治理問題有所了解，IT治理行為和效果處于未開展階段，包括IT方案、交付和監(jiān)控流程。其局部結(jié)果是，由于高層管理者積極的關(guān)注和參與，在組織改變管理流程時運用IT治理行為。選定的IT流程，因提高及控制企業(yè)核心流程，并且作為一種投資得到有效的治理，進而形成明確的IT架構(gòu)。管理者認(rèn)可根本的IT治理方法、評價技術(shù)，但整個組織并未采納IT治理流程，組織中不存在與管理標(biāo)準(zhǔn)相關(guān)的正規(guī)培訓(xùn)和交流，僅憑個人反應(yīng)。個人在不同的IT工程和流程中推行管理流程，他們選擇并運用有限的管理工具收集相應(yīng)信息，但由于缺乏專業(yè)知識，可能不能充分發(fā)揮IT治理的功能。已定義級已定義流程。人們理解并接受IT治理。建立了一套根本的IT治理評價指標(biāo)，績效測量與績效驅(qū)動之間的聯(lián)系也得以確立、形成標(biāo)準(zhǔn)文檔并貫穿到戰(zhàn)略和運作方案以及管理流程中。流程被標(biāo)準(zhǔn)化、形成文檔和實施，管理與標(biāo)準(zhǔn)流程相一致，開始了非正式的培訓(xùn)，對全部IT治理行為的表現(xiàn)進行記錄、跟蹤，促進企業(yè)整體提高?？梢詼y定的流程并不復(fù)雜，卻僅僅是現(xiàn)行實踐的正規(guī)化。工具得以標(biāo)準(zhǔn)化，也采用現(xiàn)存技術(shù)。整個組織認(rèn)同IT與商業(yè)利益平衡的觀念。然而，只是個人接受培訓(xùn)、執(zhí)行標(biāo)準(zhǔn)，只是偶爾分析問題的根本原因，大局部流程還是根據(jù)根本準(zhǔn)則進行管理，出現(xiàn)的偏離很少被管理者發(fā)現(xiàn)，因為這些偏離主要由于個人原因造成。盡管存在一些問題，可以清楚地評價關(guān)鍵流程的績效，并根據(jù)關(guān)鍵績效指標(biāo)對有關(guān)人員進行獎罰。已管理級已管理和可測量的。通過正規(guī)培訓(xùn)，各個層次全面理解了IT治理。人們清楚地知道誰是顧客，而且通過效勞水平協(xié)議，來定義和監(jiān)督相應(yīng)的責(zé)任。責(zé)任清楚，也落實到流程中的具體人員。IT流程與業(yè)務(wù)密切相關(guān)，與IT戰(zhàn)略密切相關(guān)。IT流程的進步主要建立在定量的理解基礎(chǔ)之上，監(jiān)督、評測規(guī)程和流程的情況是可能的。所有流程參與者了解風(fēng)險，也了解IT的重要性和IT提供的時機。管理者明確必須對哪些無效的流程采取行動。必要時改良流程，并強制執(zhí)行最正確內(nèi)部實踐（準(zhǔn)則）；標(biāo)準(zhǔn)化根本原因分析程序；確定持續(xù)改良措施；以成熟的技術(shù)和強制性的標(biāo)準(zhǔn)工具為基礎(chǔ)，有限制地、有策略地使用新技術(shù)；有所需要的各個方面的內(nèi)部專家；IT治理開展成公司范圍級流程；IT治理活動正與公司治理過程相結(jié)合。優(yōu)化級對IT治理問題和解決方案有前瞻性的理解，并做好有關(guān)準(zhǔn)備；利用先進的思想和技術(shù)進行培訓(xùn)和交流；通過持續(xù)改良，與其它組織的成熟度比較，業(yè)務(wù)流程已超越公司外的最正確實踐；實施的這些政策已使組織，人和流程快速適應(yīng)并全面滿足IT治理的要求。深入分析所有問題和偏差的根本原因，并能方便地確定和啟動有效的行動；以廣泛的、集成的和得到優(yōu)化的方式使用IT自動化工作流，并提供工具提高質(zhì)量和效果；定義和平衡IT流程的風(fēng)險和收益，并傳達給整個公司；重視外部專家的作用，使用標(biāo)桿指導(dǎo)IT流程；在組織內(nèi)監(jiān)督、自我評價和交流對IT治理的期望，并使用最優(yōu)的技術(shù)支持評測、分析、溝通和培訓(xùn)；公司治理和IT治理戰(zhàn)略相關(guān)，平衡技術(shù)、人和資金以增強企業(yè)的競爭優(yōu)勢。概述起來，IT治理成熟度模型方法的優(yōu)點與作用在于以下幾個方面：IT治理成熟度模型涉及經(jīng)營需求的各個方面，是一種進行實用性比較的等級制，能以簡單方式測定差異，有助于確定有關(guān)信息技術(shù)管理、平安性。使管理部門相對容易地依據(jù)等級制對自己定位，通俗地將是給IT管理打分，并找出需要改善管理的地方。組織對自身進行差距分析以確定需要做哪些工作來到達所選級別。0-5等級是基于一個簡單的成熟性量度，表達出一個處理如何從不存在級開展到優(yōu)化級的管理過程，增加成熟度意味著增強風(fēng)險管理與提高管理效率。IT治理成熟度是測量管理處理開展程度的一種方法，應(yīng)該開展到什么程度取決于以上所提的經(jīng)營需求。這些等級正是一個給定的管理處理的慣例，表達各個成熟層次的典型模式，有助于企業(yè)將主要精力投入到關(guān)鍵的管理方面。IT治理成熟度模型等級有助于專業(yè)人員向管理層解釋IT管理存在的缺陷，并把他們組織的控制慣例與最正確慣例對照起來，從而確定組織的開展目標(biāo)。我們認(rèn)為IT治理成熟度模型將有助于解決以下在IT部門中普遍存在的問題：在競爭如此劇烈的市場環(huán)境中，您的公司或部門在IT應(yīng)用中處于什么水平？如果您認(rèn)為有差距，究竟差在哪里？如何去改良？如果您覺得運作良好，那么您能說出好在哪里？好到何種程度？如何對IT管理進行績效評估？對于上述問題，如果您覺得有必要拿出一個量化的答案，以助于提升企業(yè)的IT應(yīng)用，那么本文所介紹的IT管理評估工具也許對您能有所啟發(fā)。建立IT治理機制建立IT治理機制是一個動態(tài)的過程。IT治理是機制的集合，更是治理主體間互動的過程，全球治理委員會的定義指出：“治理不是一整套規(guī)則，也不是一種活動，而是一個過程〞，所以IT治理是一個“過程〞，是公司與所有利益相關(guān)者的互動過程，包括在制定公司長遠(yuǎn)IT開展戰(zhàn)略決策中這些“規(guī)則〞上的互動，另外，環(huán)境的動態(tài)性也決定了IT治理的動態(tài)性。 IT治理是一個系統(tǒng)的過程。IT治理是控制、指導(dǎo)、協(xié)調(diào)組織戰(zhàn)略目標(biāo)和IT目標(biāo)的系統(tǒng)，是IT治理主體、客體、IT治理結(jié)構(gòu)、IT治理機制的總稱，是內(nèi)部IT治理、外部IT治理的融合，是IT治理方法、過程、目標(biāo)與結(jié)果的統(tǒng)稱，是為了實現(xiàn)IT治理目標(biāo)所有制度安排與機制的集合。IT治理系統(tǒng)的目標(biāo)是提供IT決策機制的科學(xué)化、決策過程的協(xié)調(diào)交互性和決策結(jié)果的創(chuàng)新性。首先需要轉(zhuǎn)變觀念拿著IT這樣的現(xiàn)代武器，管理者卻依舊是滿腦袋的傳統(tǒng)觀念，結(jié)果可想而知，因此首先需要轉(zhuǎn)變觀念。在最高管理層（董事會）樹立和維護IT戰(zhàn)略地位的思想認(rèn)識，建立企業(yè)戰(zhàn)略與IT戰(zhàn)略的互動觀念，說明IT應(yīng)擔(dān)當(dāng)?shù)慕巧?，從業(yè)務(wù)的視角創(chuàng)造信息技術(shù)指導(dǎo)原則，如信息化規(guī)劃本質(zhì)上可以定位成從業(yè)務(wù)戰(zhàn)略到信息戰(zhàn)略的實現(xiàn)。從組織的戰(zhàn)略出發(fā)而不是從系統(tǒng)的需求出發(fā)，可以防止脫離目標(biāo)而進行建設(shè)的困境。從業(yè)務(wù)的變革出發(fā)而不是從技術(shù)的變革出發(fā)，有利于充分利用組織的現(xiàn)有資源來滿足關(guān)鍵需求，從而防止建設(shè)的信息系統(tǒng)無法有效地支持組織的決策。又如利用電子商務(wù)消除時間和空間得特性，開展與全球客戶的關(guān)系，能夠引導(dǎo)穩(wěn)固客戶數(shù)據(jù)庫和訂單處理過程。開展外部環(huán)境目前我國外部市場監(jiān)控機制尚不健全，公司治理結(jié)構(gòu)中的監(jiān)控職能被嚴(yán)重削弱，并使董事會失去監(jiān)督。另一方面，風(fēng)險管理意識淡薄，平安上采用純粹技術(shù)手段解決。我們認(rèn)為缺乏優(yōu)良公司治理和IT治理機制是一些國內(nèi)企業(yè)與金融機構(gòu)無法抵御全球經(jīng)濟低靡和無法適應(yīng)市場環(huán)境快速變化的重要原因之一。因此，加強IT治理實質(zhì)上是一個政府和企業(yè)機構(gòu)必須攜手面對的問題。政府必須扮演一個重要的推動角色，并且尤其需要強調(diào)的是政府制定規(guī)則比較合理的方法是通過聽證會或知情會上下協(xié)商、交互式地制定規(guī)則（非自上而下制定規(guī)則的方法，新制式車牌的暫停發(fā)放就是沒有善治的案例），這樣才能解決規(guī)則的充分合法性、可執(zhí)行性問題，“治理不是一種正式的制度，而是持續(xù)的互動〞（《我們的全球伙伴關(guān)系》）；鑒于全球化和信息技術(shù)得無國界性，盡管在公司治理模式上有英美模式、德日模式、東亞和東南亞模式，但在IT治理上有更大趨同性的開展趨勢，因此，從治理（Governance）的角度企業(yè)應(yīng)該采用符合國際標(biāo)準(zhǔn)的IT治理方法，以促進公司治理、IT治理和經(jīng)營管理的協(xié)調(diào)開展。值得一提的是：組織采行優(yōu)良IT治理機制的行動，將減輕政府部門在制訂國民經(jīng)濟和社會信息化中所扮演的角色責(zé)任。逐步試行建立IT治理委員會IT治理委員會與IT審計師是IT治理最重要得環(huán)節(jié)。IT治理委員會由組織的最高管理層（董事會）及管理執(zhí)行層包括IT管理和業(yè)務(wù)管理有關(guān)部門負(fù)責(zé)人、管理技術(shù)人員組成，定期召開會議，就企業(yè)戰(zhàn)略與IT戰(zhàn)略的驅(qū)動與設(shè)置等議題進行討論并做出決策，為組織IT管理提供導(dǎo)向與支持，把IT治理的相關(guān)標(biāo)準(zhǔn)融入到組織的內(nèi)部控制中。對于規(guī)模較大的組織，一項IT（如平安）控制活動需要多個部門的共同參與才能得以實現(xiàn)，為能迅速解決控制過程出現(xiàn)的問題，防止內(nèi)部互相推諉的現(xiàn)象發(fā)生，提高工作效率，需組成一個跨部門的IT治理委員會，加強全局的管理與流程執(zhí)行的紀(jì)律，解決諸如信息平安事故的調(diào)查與處理等一些實際的問題，這是進行IT管理內(nèi)部協(xié)調(diào)的很好的方法。今年的9月17日美國聯(lián)邦政府公布了由關(guān)鍵基礎(chǔ)設(shè)施委員會（CIPB）制訂的保障網(wǎng)絡(luò)平安方案——《國家保障網(wǎng)絡(luò)平安策略》。根據(jù)該方案，美國政府將在網(wǎng)絡(luò)平安中發(fā)揮主導(dǎo)作用，同時會要求所有用戶采取措施，其中該文件要求上市公司發(fā)布經(jīng)過獨立審計的平安報告，建議公司成立公司平安委員會等。由此可見，美國的IT治理機制已深入開展到建立平安治理機制領(lǐng)域。明確規(guī)定IT管理過程的責(zé)任職責(zé)缺乏或界定不清，最終導(dǎo)致控制得不到有效得實施，形成管理風(fēng)險。組織最高管理層應(yīng)確保對管理層、部門、運維人員職責(zé)進行規(guī)定并形成書面文件。對信息系統(tǒng)進行獨立審計信息系統(tǒng)審計是一個獲取并評價證據(jù)，以判斷信息系統(tǒng)是否能夠保證資產(chǎn)的平安、數(shù)據(jù)的完整以及有效率地利用組織的資源并有效果地實現(xiàn)組織目標(biāo)的過程。它綜合運用IT技術(shù)與審計理論及方法為信息時代信息的使用者提供合理的保證。在信息時代，組織為預(yù)防不良事件的發(fā)生必須將其內(nèi)部控制擴展到信息處理系統(tǒng)的各個方面，包括企業(yè)內(nèi)部網(wǎng)與因特網(wǎng)在內(nèi)的任何直接或間接影響財務(wù)報表或其他至關(guān)重要資料的數(shù)據(jù)或處理系統(tǒng)，因為該系統(tǒng)與包括合作伙伴在內(nèi)的其他系統(tǒng)有著密切的聯(lián)系。此外，這些公司還必須對與其互通業(yè)務(wù)數(shù)據(jù)的合作伙伴的內(nèi)部控制系統(tǒng)有信心。在對于經(jīng)營慣例、交易處理的完整性、信息保護和如何對信息系統(tǒng)的內(nèi)部控制實施評估和風(fēng)險管理方面，組織可以通過內(nèi)部審計或外部審計到達上述目的。信息系統(tǒng)審計的主要由以下局部組成：1、信息系統(tǒng)的管理、規(guī)劃與組織——評價信息系統(tǒng)的管理、方案與組織方面的策略、政策、標(biāo)準(zhǔn)、程序和相關(guān)實務(wù)。2、信息系統(tǒng)技術(shù)基礎(chǔ)設(shè)施與操作實務(wù)——評價組織在技術(shù)與操作基礎(chǔ)設(shè)施的管理和實施方面的有效性及效率，以確保其充分支持組織的商業(yè)目標(biāo)。3、資產(chǎn)的保護——對邏輯、環(huán)境與信息技術(shù)基礎(chǔ)設(shè)施的平安性進行評價，確保其能支持組織保護信息資產(chǎn)的需要,防止信息資產(chǎn)在未經(jīng)授權(quán)的情況下被使用、披露、修改、損壞或喪失。4、災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)方案——這些方案是在發(fā)生災(zāi)難時，能夠使組織持續(xù)進行業(yè)務(wù),對這種方案的建立和維護流程需要進行評價。5、應(yīng)用系統(tǒng)開發(fā)、獲得、實施與維護——對應(yīng)用系統(tǒng)的開發(fā)、獲得、實施與維護方面所采用的方法和流程進行評價，以確保其滿足組織的業(yè)務(wù)目標(biāo)。6、業(yè)務(wù)流程評價與風(fēng)險管理——評估業(yè)務(wù)系統(tǒng)與處理流程，確保根據(jù)組織的業(yè)務(wù)目標(biāo)對相應(yīng)風(fēng)險實施管理?？傊?，我們認(rèn)為我國的信息化建設(shè)向著縱深開展，必然要在更深層面上解決體制和機制問題。善治的IT治理機制，應(yīng)該要極小化由于信息化和透明化所導(dǎo)致的不一致利益沖突所造成的制度面本錢。IT治理不僅僅是動態(tài)的管理控制架構(gòu)，還需要落實在組織內(nèi)部控制及政府與市場監(jiān)督體系的動態(tài)機制。背景IT治理的開展歷程國際組織和各國普遍認(rèn)為公司治理機制對世界金融市場的穩(wěn)定及經(jīng)濟開展發(fā)揮了至關(guān)重要的作用，這直接促進了IT治理機制的形成與開展。在1999年，英國BIS發(fā)布了InternalControl:GuidanceforDirectorsontheCombinedCode(TurnbullReport,1999)報告。該報告認(rèn)為：企業(yè)風(fēng)險來自于許多活動，不只是財務(wù)風(fēng)險，因為事實說明，在金融界所有過去的風(fēng)險問題都是由內(nèi)部控制疏忽、信息技術(shù)失敗引起的，而且所有企業(yè)最終依靠對信息技術(shù)基礎(chǔ)設(shè)施的依賴和新技術(shù)風(fēng)險的脆弱性，并呼吁高層領(lǐng)導(dǎo)樹立風(fēng)險意識。從此，公司治理和風(fēng)險管理成為企業(yè)所有者與管理者日益重要的問題。該報告引入了內(nèi)部控制的要求，對許多組織而言，信息與其支持技術(shù)代表該組織最有價值的資產(chǎn)，而且，競爭和不斷變化的商業(yè)環(huán)境也要求企業(yè)能夠充分利用信息技術(shù)實現(xiàn)更快的交付和更低的本錢。因此，有效的公司治理和風(fēng)險管理必然需要有效的IT治理和IT風(fēng)險管理。與此同時，BIS還簡單陳述了關(guān)鍵的信息系統(tǒng)，如何確保治理應(yīng)該有效、透明，可以解釋，這也意味管理信息技術(shù)相關(guān)風(fēng)險，實現(xiàn)信息技術(shù)價值的交付成為公司治理中重要的組成局部。1999年下半年，ISACA成立了IT治理研究院，專門研究IT治理的概念，并提供了信息及其相關(guān)技術(shù)的管理體系模型和最正確實務(wù)，幫助企業(yè)領(lǐng)導(dǎo)層認(rèn)識有效實施IT治理的必要性與益處，從而保證長期的可持續(xù)的成功，并且增強利益相關(guān)者的價值。目前，該體系已在世界100多個國家的重要組織與企業(yè)中成功運用，指導(dǎo)這些組織有效利用信息資源，有效地管理信息相關(guān)的風(fēng)險。因此，研究與探討IT治理，對于我國信息化的探索和實踐也有著重要的借鑒意義。鏈接 國際信息系統(tǒng)審計與控制協(xié)會國際信息系統(tǒng)審計與控制協(xié)會ISACA（InformationSystemAuditandControlAssociation）成立于1969年，最初稱為EDP審計師聯(lián)合會，總部設(shè)在美國的芝加哥，是一個非盈利組織。目前在世界上100多個國家設(shè)有160多個分會，現(xiàn)有會員兩萬多人，是全球公認(rèn)的在IT的管理、控制和保證領(lǐng)域的權(quán)威，ISACA的任務(wù)是：通過開展促進對信息、系統(tǒng)、技術(shù)的有效管理與控制的研究、實施及標(biāo)準(zhǔn)、權(quán)限的制定來支持企業(yè)實現(xiàn)其目標(biāo)。這說明該協(xié)會的存在就是為了幫助IT的管理控制及保證利益相關(guān)者妥善處理IT的管理、IT的風(fēng)險、IT的運作過程及協(xié)作控制、協(xié)作管理、協(xié)作風(fēng)險和協(xié)作程序的相互作用。ISACA通過提供各種有價值的效勞（如：研究、標(biāo)準(zhǔn)、信息、教育、認(rèn)證、專業(yè)的遠(yuǎn)景）實現(xiàn)以上作用。協(xié)會幫助從事信息系統(tǒng)審計、控制、平安工作的人員，使之不僅注意IT、IT的風(fēng)險與平安主題而且更要關(guān)注IT與商業(yè)、商業(yè)運作及商業(yè)風(fēng)險的關(guān)系。起主要工作內(nèi)容如下：設(shè)定標(biāo)準(zhǔn)——一般作為世界范圍內(nèi)的IT審計、控制的指導(dǎo)方針。一個令人尊敬的認(rèn)證工程CISA——在IS審計、控制、平安領(lǐng)域內(nèi)國際上成認(rèn)的認(rèn)證。一個關(guān)于關(guān)鍵的管理和技術(shù)主題的專業(yè)的開展工程。提供備受贊譽的技術(shù)出版物，包含最新的研究、案例學(xué)習(xí)、信息知識入門等。指導(dǎo)會員專業(yè)的活動和操行的職業(yè)道德準(zhǔn)則。通過ISACA會員共同的努力，該組織超越了地理、文化和職業(yè)界限，他們代表各種不同的企業(yè)團體，包括金融銀行協(xié)會、會計審核公司、政府公共部門、公共事業(yè)及制造業(yè)等，通過選舉或指定一個由全球的志愿者組成的團體管理這個協(xié)會，把他們獨特的專業(yè)的見解帶到協(xié)會中并用來作出組織的決定，這就是國際信息系統(tǒng)審計與控制協(xié)會的國際委員會。為了表達對中國事務(wù)的重視，ISACA理事會成立了一個工作組，專門負(fù)責(zé)ISACA和IT審計與控制職業(yè)在中國的開展。該工作組由來自中國和世界各地的致力于ISACA在中國開展的代表組成。ISACA理事會的副會長DeanKingsley擔(dān)任中國工作組的主席。案例IT治理的成功案例IT治理及其模型COBIT在全世界許多國家的政府及公共機構(gòu)、軍方、企業(yè)、大學(xué)、銀行、保險業(yè)等都已有大量成功的案例。由于某些客觀原因，迄今為止，還缺乏在中國相關(guān)組織實行的案例，在此我們僅選美國參議院和科爾頓工業(yè)大學(xué)的IT治理作為案例。案例一：美國參議院摘要美國參議院的總檢察官（OfficeofInspectorGeneral）在尋求改良IT運作的方法?？倷z察官做出的大量初審報告都指出了參議院內(nèi)部各種IT運作的缺陷，例如缺乏指導(dǎo)方針和過程規(guī)定（如系統(tǒng)開發(fā)生命周期），不理想的系統(tǒng)設(shè)計和開發(fā)，缺乏規(guī)劃及績效度量標(biāo)準(zhǔn)，大型機的混亂管理，缺乏足夠的信息平安措施。為控制這種情況，并建立清晰的責(zé)任制度，需要采納一種IT監(jiān)管框架。COBIT恰是所需要的?？倷z察官首先采納COBIT作為其方針及流程手冊的一局部，并且命令在所有IT審計中都采用COBIT作為其控制及審計原則。COBIT也應(yīng)用于IT審計方案，IT審計技巧評估及培訓(xùn)。另外，COBIT還是總檢察官報告的整體內(nèi)容。結(jié)果是，提出了200多條建議，許多建議認(rèn)為在操作中需要建立治理原則，政策，步驟的管理。于是，總檢察官辦公室用COBIT作為框架，建立所需的IT治理規(guī)劃。背景1993到1994年間，參議院開始著手專業(yè)化運作的工作，通過添加新的崗位，首席行政官（首席行政官）及總檢察官，以管理并監(jiān)督參議院的行政工作。參議院還任命總檢察官完成參議院的首次審計，一個獨立的財政審計及參議院20項運作的效能審計。這次審計指出了低效率的地方，潛在的節(jié)約開支的方法，并指出關(guān)于管理，信息技術(shù)，財政管理方面建立高級責(zé)任制度的迫切性。這次審計提出了200多條審計建議，其中許多是關(guān)于建立監(jiān)管方針，政策及流程所需要的管理方法的。就IT而言，COBIT作為IT治理框架使用，在COBIT的基礎(chǔ)上，來建立適用于參議院的方針，原則和流程。總檢察官已把COBIT納入到其運作中去，并相信它能夠幫助首席行政官的工作?？倷z察官與首席行政官討論COBIT的優(yōu)點，并得到了首席行政官的贊同。過程首席行政官實施為介紹IT治理的框架及好處，參議院總檢察官對參議院首席行政官及其主要成員做了一小時的基于COBIT實施工具集演示資料的介紹。COBIT的主體及過程框架表達了在可管理及定義結(jié)構(gòu)下的控制行為。高級詳細(xì)的控制對象提供了全世界普遍接受的最好實踐的標(biāo)準(zhǔn)及政策，并能夠在標(biāo)準(zhǔn)或政策不存在或不充分的地方使用。因此，參議院認(rèn)為接受COBIT是個理智的決定。首席行政官迅速認(rèn)識到COBIT有益于參議院的信息資源及財政機構(gòu)。于是，首席行政官實施了COBIT，COBIT成為參議院內(nèi)IT行為的通用治理局部。例如，信息資源部門將COBIT納入到其系統(tǒng)開發(fā)生命周期（SDLC）過程中。早期的審計報告指出參議院不具備恰當(dāng)?shù)腟DLC方法，財政系統(tǒng)不符合聯(lián)邦或者參議院的既定方針，大型機資源未得到充分利用。SDLC的階段及檢查點提供了信息資源管理及系統(tǒng)開發(fā)的有組織可管理的方法。因此，他們采納了SDLC方法及IT指導(dǎo)委員會（命名為信息資源管理建議委員會），總檢察官是委員會的參謀。SDLC階段對應(yīng)于COBIT四個主體局部及相關(guān)的高級詳細(xì)的控制對象。需要強調(diào)的是COBIT的監(jiān)控局部對于確保關(guān)鍵SDLC的及時交付是非常關(guān)鍵的?？倷z察官實施總檢察官將COBIT納入到其政策及IT流程手冊中，并使用它作為所有總檢察官IT審計行為的通用資源。COBIT成為審計方案過程，職員技巧/知識評估，職員及審計報告過程的培訓(xùn)需求評估的關(guān)鍵因素。審計方案將COBIT作為審計方案工具使用，目的如下：?對應(yīng)早期審計與COBIT的主體及控制對象?選擇審計內(nèi)容并建立詳細(xì)的審計方案?基于技術(shù)級別指定審計者?為獲得所需的經(jīng)驗指定審計者COBIT用來制定詳細(xì)的審計方案。例如，認(rèn)為商業(yè)沖擊分析（BIA）審計是年度審計方案的一局部，并需要制定審計方案。方案包括參議院BIA過程的背景，以前的審計覆蓋面，審計對象，審計職員需求及審計時間方案。特別的，審計對象關(guān)注評估BIA定義，并區(qū)分IT功能的關(guān)鍵級別的充分及完整性。這些對象對應(yīng)于COBIT的主體及高級控制對象（這種情況下，應(yīng)用了COBIT的三個主體局部及四個高級控制對象）。詳細(xì)的審計程序在COBIT的審計方針的基礎(chǔ)上開展，納入了聯(lián)邦政府審計需求及計算機輔助審計技巧。知識/技巧及培訓(xùn)需求評估因為IT方面的審計工作需要專門的知識，于是COBIT用來進行知識/技巧評估，以確保審計者具有所需的經(jīng)驗，從而能夠順利的成功完成審計工作?？倷z察官使用COBIT來決定完成審計的培訓(xùn)需求。審計者衡量自己的能力以配合COBIT主體，并審計特別的高級控制對象。每個審計者在IT的教育，培訓(xùn)及經(jīng)驗基于三種技巧集合來劃分：?根本理解－對IT過程，目的，對象及目標(biāo)的廣博知識?工作知識－在IT過程中，識別內(nèi)部控制實力及缺陷方面所顯示的能力?專業(yè)知識－設(shè)計并使用計算機輔助審計技巧，以識別并評估缺陷，推薦糾正措施的能力為評估培訓(xùn)時機，課程數(shù)據(jù)庫的維護基礎(chǔ)是課程在提供支持COBIT主體及控制對象技巧方面的能力。其它的因素如課程開銷，時間方案及教師表現(xiàn)也是考慮內(nèi)容。在COBIT課程評估的基礎(chǔ)上，管理者選擇在適宜的時間為審計者進行適宜的課程培訓(xùn)。作為結(jié)果，建立了