構建全面的ＩＴ治理體系（一）

IT治理是國內外管理、信息技術、經濟、審計、法律等學術界和產業界共同關注、研究的一個全球性課題。SOX法案404條款的推出，從合規性實踐出發給予上市公司硬性的規定，這使得IT治理在企業中的重視程度達到一個前所未有的高度，那么僅僅為了應付SOX法案建立相應的內控要求對于企業來說就夠了嗎?IT治理到底可以給企業帶來什么?怎樣構建一個全而的IT治理體系，真正發揮出IT的價值?本文試圖做出一些探討。

IT治理定義

構建全面的IT治理體系，首先要搞清楚IT治理是什么，它的起源和發展歷史，這對我們理解IT治理十分必要。

治理與管理的區別

治理和管理分屬不同層面，打個比方來說：火車行駛中管理僅僅是執行，是開火車，解決如何讓火車跑得更快的問題；而治理則是誰來做決策，在哪修軌道，約束火車必須在軌道上行駛的問題。但同時治理和管理又是一個硬幣的兩面，缺了誰也不行。簡單的說管理解決的是如何把事情做好，治理決定的是要做哪些事，誰來做這些事，以及決策機制如何建立、監控的問題。

公司治理與IT治理

IT治理的提出，一方面是因為信息已經成為我們企業最為寶貴的資產，IT在組織中已經扮演一個影響到組織全局、影響到治理層面的角色，另外一方面與全球矚目的焦點難題——公司治理亦有著深刻的淵源。那么IT治理和公司治理到底是什么關系呢?

眾所周知，公司治理問題一直是企業制度與組織的核心問題。近年來，因上市公司頻頻“驚曝黑幕”，“公司治理”成為全球性的問題。從美國的安然、世通、施樂等粉飾業績甚至導致企業崩潰的案件，到日本雪印食品公司舞弊案件，都使得公司治理正在成為企業議事日程中最重要和最迫切的任務。公司治理是一種對公司管理和運營進行監督和控制的體系。它的核心是在所有權和經營權分離的條件下，解決好所有者和經營者的利益不一致而產生的委托一代理關系。其目標是降低代理成本，使所有者不干預公司的日常經營，同時又保證經理層維護股東的利益，實現公司價值和利益的最大化。

IT治理就是公司治理的一部分。來自國際信息系統審計與控制協會(ISACA)對IT治理的定義：IT治理是一個由關系和過程所構成的體制，用于指導和控制企業，通過平衡信息技術與過程的風險、增加價值來確保實現企業的目標。IT治理必須與企業戰略目標一致。IT治理和其它治理主體一樣，是管理執行人員和利益相關者的責任。研究IT治理，須將其放在組織背景中，將其看作是必須通過治理而產生價值地六種關鍵資產(人力、財務、實物、知識產權、IT、關系)之_。

在公司治理的大框架下，有許多和IT治理相關的概念。圖1清晰地說明了公司治理、IT治理、IT內控、IT審計之間的關系。

IT治理和IT管理

提到IT治理，很多人難以區別IT治理和IT管理。IT管理是公司的信息及信息系統的運營，確定IT目標以及實現此目標所采取的行動；而IT治理是指最高管理層(董事會)利用它來監督管理層在IT戰略上的過程、結構和聯系，以確保這種運營處于正確的軌道之上。可見，IT管理就是在既定的IT治理模式下，管理層為實現公司的目標而采取的行動。

IT治理規定了整個企業IT運作的基本框架，IT管理則是在這個既定的框架下駕馭企業奔向目標。缺乏良好IT治理模式的公司，即使有“很好”的IT管理體系(而這實際上是不可能的)，就像一座地基不牢固的大廈；同樣，沒有公司IT管理體系的暢通，單純的治理模式也只能是一個美好的藍圖，而缺乏實際的內容。

IT治理的起源、發展歷程

為了更好理解IT治理的內涵，需要追溯IT治理的起源，搞清楚IT治理的發展歷程。

我們將IT治理的發展劃分為三個階段，從1980年～1999年我們稱為準備階段，這一階段誕生了許多相關的IT治理框架模型、但是并沒有一個全面清晰的IT治理概念的提出，還停留在對IT管理和控制框架的摸索中；1999年BIS的報告將IT管理和控制提高到了IT治理的層面，這個時候IT治理真正進入了起步階段；2006年SOX404條款的生效，促使企業將IT治理提高到了一個前所未有的高度。

最后用一句話來概括IT治理的發展歷程：企業管理的信息化和亟待改善的公司治理狀況共同促成了IT治理的誕生、融合和發展。

為什么要做IT治理?

為什么要做IT治理，為什么IT治理對于組織的持續成功至關重要?對于IT治理的重要性，經過大量企業的調研歸納總結出7個原因：

1.良好的IT治理得大于失

對于我們研究的盈利企業而言，從3年期的行業調整資產回報率來看，那些有著高于IT治理績效平均水平的企業在實施特定戰略(例如：客戶至上或卓越運營等)時會得到更豐厚的利潤。實際結果因公司采取的具體戰略不同而有所不同，但這些治理水平超出平均水平的企業的資產回報率，比那些采取相同戰略但治理薄弱的企業要高出20個百分點。

2.IT是昂貴的

目前，企業在IT方面的平均投資已經超過了營業額的4.2％，并且還在不斷上升。這樣的投資力度導致了許多企業的IT投資額占企業年度總投資額的一半還要多。鑒于IT已經變得更加重要和普遍，如何管理和控制IT以確保其為企業創造價值，是高層管理團隊面臨的日益嚴峻的挑戰。

3.IT無處不在

在很多企業，集中管理IT既不可能，也不必要。以前IT支出的要求僅僅來自于IT團隊。但是今天，IT方面的支出可能產生于企業的任何一個部分。一些估算顯示，IT預算只占IT相關支出的20％，而余下的部分則包含在業務流程預算、產品開發預算，以及其他各種各樣的預算之中。良好規劃的IT治理安排會將IT決策制訂的權力分配給那些對結果承擔責任的人員。

4.新的信息技術將為企業提供大量新的業務機會

不斷涌現的新技術，包括基于網絡的服務、移動技術以及企業系統，使企業同時面臨戰略威脅和機遇。比如大規模定制化服務的出現和“一對一”營銷的興起，而這源于我們能夠以更具成本效益的、實時的方式獲取客戶信息的技術能力。

5.在組織理解IT價值過程中，IT治理至關重要

企業力求理解IT相關活動的價值，因為這種價值難以通過傳統的現金流折算分析說清楚。價值的產生不僅源于流程的不斷完善，而且也源于企業應對競爭壓力能力的增強。有效的治理創造出一系列機制，企業可以使用這些機制更好的探討本公司潛在的價值是什么，并使組織學習正規化。

6.IT價值不僅僅取決于好的技術

近年來有一些令人震驚的大型IT投資的失敗案例一大型企業資源計劃系統(ERP)，構思錯誤和執行乏力的e-business項目，以及能獲得大量數據卻幾乎不能帶來任何價值的數據挖掘實驗，等等。有人估算，IT項目的失敗率在70％以上。雖然有些項目的失敗是由于技術方面的問題，但絕大多數失敗都是因為組織無力采用新的流程，以有效應用新技術而造成的。

由于IT的實施不斷地推動業務流程的標準化和一體化，技術專家和業務領導作用的相互交叉也越來越緊密。IT決策必須成為聯合的決策。當高層主管人員忽視了決定IT成功的IT實施責任時，巨大的災難往往會接踵而來。成功的企業不僅有著更好的IT決策，也有著更好的IT決策流程。

7.高層管理層的有限管理幅度

一個大型企業的高級主管人員，不能考慮所有有關IT投資的請求，更不用說參與其他很多與IT相關的決策了。如果高級主管人員試圖事無巨細地親自處理，那么他們就會成為瓶頸。但是那些與企業整體發展相關的決策，則必須與高級主管人員所確定的組織發展方向一致。審慎規劃的IT治理，能夠提供一個清楚透明的IT決策制訂流程。這樣在增強組織每一個成員創造力的同時，也能保證其行為與高級主管人員規劃的組織愿景相一致。

IT治理可以解決哪些問題

IT治理如此重要，那么它到底可以解決哪些問題呢?在探討IT治理可以解決哪些問題之前，我們先就身邊發生的事件看一下IT治理失靈的例子：

南京火車站電腦售票系統突然發生死機故障，整個車站售票處于癱瘓狀態，車站售票大廳內人滿為患，眾多旅客不得不改乘其它交通工具離開南京。車站領導和計算機技術人員告訴記者是由于電腦升級換代，調試時線路發生故障，才引發了此次系統癱瘓的。某銀行在信息系統技術升級時，IT人員只注重保證系統在技術上的平滑過渡，而忽視了升級給客戶帶來的不便，導致客戶流失，這些都表明當IT發生改變時會對業務目標產生沖擊，而以上發生的問題都是通過IT治理機制可以合理避免的。

我們認為IT治理對商業目標而言有著戰略意義，IT治理狀況直接影響到企業實現目標的可能性，良好的IT治理有助于增強企業的靈活性和學習能力，巧妙管理風險，辨別發展機遇。對于最高管理層(董事會)而言，IT治理可以解決以下幾個方面問題：

1.發現信息技術本身的問題。

例如IT項目未能實現期望價值的概率；終端用戶是否滿意IT服務的質量；是否有足夠的IT資源、基礎設施、競爭力來滿足戰略目標；信息技術平均操作失誤的原因；IT沒有推動業務改善卻阻礙業務的次數。

2.幫助管理者處理IT問題。

例如，IT和組織戰略目標的一致性程度怎么樣；怎樣衡量IT的交付價值；執行管理人員采取什么樣的戰略動機來管理IT；與企業的運營與成長管理相關的問題；企業是否清楚其商業目標與技術的關系：領先、跟隨者還是滯后者；企業對風險(風險規避和風險承擔)是否清楚；有沒有最新的企業關于IT風險的清單，采取哪些行動處理這些風險。

3.自我評估IT管理的效果。

例如，是否經常向最高管理層(董事會)定期匯報IT風險；IT是否是最高管理層(董事會)議程中的一個常用的術語，它是否以結構化形式表達；最高管理層(董事會)是否就商業目標與信息技術一致性進行闡明和溝通；最高管理層(董事會)對主要IT投資是否有清楚的觀點，包括風險和回報；最高管理層(董事會)是否定期得到主要IT過程的報告；最高管理層(董事會)在獲取IT目標和限制IT風險時是否得到獨立的保證。

IT治理的目標與領域

IT治理的最終目標是什么?關注企業的哪些領域?

IT治理的三大目標：

1.與業務EI標一致

IT治理要從組織目標和信息化戰略中抽取信息需求和功能需求，形成總體的IT治理框架和系統整體模型，為進一步系統設計和實施奠定基礎，保證信息技術跟上持續變化的業務目標。

2.有效利用信息資源

目前信息工程超期、IT客戶的需求沒有滿足、IT平臺不支持業務應用等問題較為突出，通過IT治理可以對信息資源的管理職責進行有效管理，保證投資的回收，并支持決策。

3.風險管理

由于企業越來越依賴于信息技術和網絡，新的風險不斷涌現，例如，新出現的技術沒有管理，不符合現有法律和規章制度、沒有識別對IT服務的威脅等。IT治理強調風險管理，通過制定信息資源的保護級別，強調關鍵的信息技術資源，有效實施監控，事故處理。IT治理適應企業外部環境變化，為企業內部實現對業務流程中資源的有效利用，從而達到改善管理效率和水平的重要手段。

IT治理的目標將幫助管理層建立以組織戰略為導向，以外界環境為依據，以業務與IT整合為重心的觀念，正確定位IT部門在整個組織的作用。最終能夠針對不同業務發展要求，整合信息資源，制定并執行推動組織發展的IT戰略。

根據IT治理的目標，IT治理應該關注的領域：

IT治理的核心思想

為了達到IT治理的三大目標，IT治理需要處理哪些問題，IT治理的核心思想是什么?IT治理的核心思想，就是有效的IT治理必須解決的三個問題：

1.為了保證有效地管理和使用IT，應當做出怎樣的決策?

2.由誰做出這樣的決策?

3.如何做出這些決策以及如何監控這些決策?