治理与信息化:IT治理走来

发布时间：2006年02月15日点击数： 作者：孙强、陈拂晓 来源：本站原创

【字体：小 大】 【收藏】 【打印文章】 【查看评论( 0 )】

摘要:

目前，随着技术的发展和应用的深入，IT系统在从传统的后台支持转变为新业务开展的直接驱动力，甚至IT正日益成为企业的直接利润中心。这种趋势之下，企业以及各种组织、机构对信息系统的依赖程度不断增加，更有一些组织若没有IT将不复存在，信息和信息技术成为企业最重要的资产。然而，这种趋势也在导致IT成为或潜在成为——一个巨大的威胁。因此，IT治理成为IT应用的重要保障。除此之外，IT治理还在成为公司和政府治理中关键的一个方面。

从本期开始，“治理与信息化”专题的后续文章，将着重讲述“到底什么是IT治理”、“IT治理与公司治理之间的关系”、“IT治理的自动化工具COBIT”、“如何实施IT治理”。

孙强：美国特许信息系统审计师，认证信息安全管理顾问，国际信息系统审计与控制协会会员。目前就任中国电子信息产业发展研究院培训中心业务拓展总监、中国信息化推进联盟IT治理专业委员会副主任。

孙强先生致力于信息系统审计、信息化工程监理、IT服务管理、信息安全管理以及国内外的IT标准和咨询方法论等领域的研究和知识的普及，在各种媒体上发表多篇关于IT治理、信息系统审计和监理的文章。参与编写《信息系统工程监理》培训教材，主编《信息系统审计：安全、风险管理与控制》、《IT服务管理：发展、理解与实施》等。

陈拂晓：研究员，原国务院办公厅秘书一局政务专员、科技部国家八六三计划信息安全技术发展战略研究专家组成员、全国政府系统办公自动化技术咨询组组长。现为国信办电子政务信息安全体系研究组副组长、中国信息化推进联盟专家顾问委员会副主席。

IT治理的“诞生”

IT治理是信息系统审计和控制领域中一个相当新的概念，国际组织和各国普遍认为，公司治理机制对世界金融市场的稳定及经济发展发挥了至关重要的作用，这直接促进了IT治理机制的形成与发展。

1999年，英国BIS发布了《内部控制：综合准则董事指南》（Internal Control: Guidance for Directors on the Combined Code，Turnbull Report, 1999）报告。该报告认为，企业风险来自于许多方面，而不仅是财务风险。因为事实说明，在金融界所有过去的风险问题都是由内部控制疏忽、信息技术失败引起的，而且与企业对信息技术基础设施的依赖和应用新技术的风险密切相关，并呼吁高层领导树立风险意识。从此，公司治理和风险管理成为企业所有者与管理者日益重要的问题。

此报告强调了IT的双重性，即一方面信息技术支持企业的信息数据资产，帮助企业在市场竞争和商业环境中提高反应速度、降低成本，另一方面，IT和IT应用也存在着风险，也要注意“管理”。因此企业中的关键信息系统，既要与企业的发展战略相匹配，确保“公司治理”有效、透明，同时也要规避IT自身的风险。

1999年下半年，国际信息系统审计与控制协会（ISACA）成立了IT治理研究院，专门研究IT治理的概念，并提供了信息及其相关技术的管理体系模型和最佳实务，帮助企业领导层认识有效实施IT治理的必要性与益处，从而保证长期的可持续的成功，并且增强利益相关者的价值。

目前，该体系已在世界100多个国家和地区的重要组织与企业中成功运用，指导这些组织有效利用信息资源，有效地管理信息相关的风险。研究与探讨IT治理，对于信息化的探索和实践有着重要的借鉴意义。

IT的“困境”

信息化建设是一项艰难的工程。英国2001年12月12日公布的一项有关企业信息管理的调查显示：96％的企业对于本公司的信息管理系统感到不满；关于目前正在使用的信息系统，认为“所制作的报告缺乏一贯性”或者是“核对信息花费了太多时间”的企业约占70％；回答“目前的信息系统不能灵活适应变化”的企业约占60％；对于“数据的准确”表示担心的企业约占60％；60％以上的企业正在策划有关数据及信息的整合计划。特别引人深思的是，该调查是由美国Harte-Hanks以全球500强企业以及财富1000企业中的171家公司为对象通过问卷方式实施的。

事实表明，系统规模越大、与管理联系越密切、集成度越高的系统，风险也越大，失败概率越高，用户的满意度越低。信息化建设项目的高风险和高失败率，与企业在信息化建设决策之前，没有进行充分的技术经济论证，没有综合论证项目技术上的先进性和可行性、财务上的实施可能性、经济上的合理性和有效性密切相关。而这些是IT治理所要关注的重要内容。

由于任何企业的任务环境要考虑和关系的利益非常广泛，在任何一个IT战略决策中，都会不可避免发生利益相关者包括部门利益之间的利益冲突。所以，即使管理层努力协调，企业中任何会招致某个或多个群体的不满。一些管理层在做出IT战略决策之前，没有仔细考虑每一个方案会影响到哪些重要的利益相关者，更有甚者把信息化当作一种政治资本在做。那些开始看起来能为公司带来最大利益的最佳方案，也许日后为公司带来最严重的后果。因此管理者必须懂得信息系统给组织所带来的各种影响。相关领导需要仔细地考虑，当引进信息系统并产生效益的同时，还可能给企业带来什么新的问题？信息系统是否能够给组织各级领导的工作带来影响？组织的工作流程是否需要变化？会不会引起新的人员下岗？等等。因此IT与企业发展策略、企业分配和管理制度等密切相关。IT治理的一个重要内容就是与公司治理紧密联系起来。

IT治理，目前在我国基本上处于初始阶段。但IT治理的重要性日益为人们所认识。据了解，在一些大企业中，已出现CIO的权利范围不只是领导其信息部门，还负责事业部门的人、财、物的资源配置和利益均衡，这是具有中国特色的IT治理机制的尝试。

IT治理的关键

关于IT治理主要有以下三种观点。Robert S. Roussey（美国南加州大学教授）认为：IT治理用于描述被委托治理实体的人员在监督、检查、控制和指导实体的过程中如何看待信息技术。IT的应用对于组织能否达到它的远景、使命、战略目标至关重要。

德勤定义: IT治理是一个含义广泛的术语，包括信息系统、技术、通讯、商业、所有利益相关者、合法性和其他问题。其主要任务是：保持IT与业务目标一致，推动业务发展，促使收益最大化，合理利用IT资源，IT相关风险的适当管理。

ISACA认为：IT治理是一个由关系和过程所构成的体制，用于指导和控制企业，通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。

通过上述定义可以总结出以下共同点：

◆ IT治理必须与企业战略目标一致，IT是企业战略规划的组成部分，将影响企业的战略竞争。

◆ IT治理的主体和其它治理主体一样，是管理执行人员和利益相关者（以董事会为代表）。

◆ IT治理保护利益相关者的权益，使风险透明化，同时指导和控制IT投资、机遇、利益、风险。

◆ IT治理包括管理层、组织结构、过程，以确保IT维持和拓展组织战略目标。

◆ 应该合理利用企业的信息资源，有效地集成与协调。

◆ IT治理确保IT及时按照目标交付，并且有合适的功能和期望的收益，是一个一致的价值传递体系，有明确的期望值和衡量手段。

◆ IT治理引导IT战略以平衡系统投资，支持企业， 变革企业，或者创建一个信息基础架构，保证业务增长，并在一个新的领域竞争。

◆ IT治理对于核心IT资源做出合理的决策，进入新的市场，驱动竞争策略，创造总的收入增长，改善客户满意度，维系客户关系。

关于ISACA

国际信息系统审计与控制协会ISACA（Information System Audit and Control Association）成立于1969年，最初称为EDP审计师联合会，总部设在美国的芝加哥，是一个非盈利组织。目前在世界上100多个国家设有160多个分会，现有会员两万多人，是全球公认的在IT的管理、控制和保证领域的权威。

任务 ISACA的任务是：通过发展促进对信息、系统、技术的有效管理与控制的研究、实施及标准、权限的制定来支持企业实现其目标。这说明该协会的存在就是为了帮助IT的管理控制及保证利益相关者妥善处理IT的管理、IT的风险、IT的运作过程及协作控制、协作管理、协作风险和协作程序的相互作用。

工作内容 ISACA通过提供各种有价值的服务（如：研究、标准、信息、教育、认证、专业的远景）实现以上作用。协会帮助从事信息系统审计、控制、安全工作的人员，使之不仅注意IT、IT的风险与安全主题而且更要关注IT与商业、商业运作及商业风险的关系。其主要工作内容如下：

◆ 设定标准—— 一般作为世界范围内的IT审计、控制的指导方针。

◆ 一个令人尊敬的认证项目CISA——在IS审计、控制、安全领域内国际上承认的认证。

◆ 一个关于关键的管理和技术主题的专业的发展项目。

◆ 提供备受赞誉的技术出版物，包含最新的研究、案例学习、信息知识入门等。

◆ 指导会员专业的活动和操行的职业道德准则。

ISACA国际委员会 通过ISACA会员共同的努力，该组织超越了地理、文化和职业界限，他们代表各种不同的企业团体，包括金融银行协会、会计审核公司、政府公共部门、公共事业及制造业等，通过选举或指定一个由全球的志愿者组成的团体管理这个协会，把他们独特的专业的见解带到协会中并用来作出组织的决定，这就是国际信息系统审计与控制协会的国际委员会。