IT治理中国信息化的必由之道.docx

1、IT治理：中国信息化的必由之道 IT治理：中国信息化的必由之道 孙 强 郝亚斌 郝晓玲 孟秀转 目 录 引言 1 IT治理缺失的九大病症 1 IT治理的定义 4 IT治理的目标 4 IT治理解决哪些问题 5 IT治理的范围 6 公司治理和IT治理 7 IT治理和IT管理 8 公司治理与信息技术治理如何工作 8 IT治理架构 9 IT治理在组织中的应用指南 11 建立IT治理机制 16 IT治理的成功案例 19

2、 引言 信息化已经成为中国经济与社会开展最重要的推动力，大力推动全社会的信息化，以信息化带开工业化，这一战略已经取得了可喜的成果。当前，在参加WTO后的中国经济环境中，信息的重要性已被广为认同，信息系统也已逐步渗透到商业和政府组织中，IT系统开始从传统的后台支持转变为新业务开展的直接驱动力，IT也日益成为企业的直接利润中心。各种组织对信息系统的依赖程度在不断增加，更有一些组织甚至假设没有IT将不复存在，但同时对于很多组织由于信息和信息技术意味着最重要的资产，这导致IT本身已经或潜在成为一个巨大的威胁，随IT而来的风险、利益和时机使得IT治理成为公司和政府治理中很关键的一个方面。管理层需要确保

3、IT与公司战略一致而且公司战略也很好地利用了IT的优势，政府需要开展电子政务来促动、实现转变政府职能的转变。因此，随着对信息系统依赖性的增加，IT治理对于组织的成功是至关重要的。这篇文章将探究当前关于IT治理的思想，为什么IT治理框架对于组织的持续成功是至关重要的，然后描述它与公司治理之间的关系，最后简单介绍了一个IT治理的自动化工具COBIT。后续文章将主要集中在IT治理机制的实现上，IT治理应该采用国际上最好的实践标准，包括COBIT和ISO/IEC 17799，讨论如何实施它以改善整个组织的运作。 IT治理缺失的九大病症 首先，各自为政。缺乏统一、全局的IT战略规划，由于没有统筹

4、规划，目标不明确，标准不统一，一些地方处在混乱无序的状态，形成了很多在权力保护下的信息孤岛，缺乏共享的、网络化的信息资源，中关村科技软件公司总裁朱希铎曾对媒体呼吁，我国要警惕形成世界上规模最大的信息孤岛。如目前国内已建成的众多CA中心，除了在采用X.509证书标准上一致外，其它的共同标准标准很少，中国各CA中心发放的证书根本不能相互兼容，CFCA作为中国金融业的统一认证中心，其证书甚至不能与国际权威的CA认证接轨。对于企业而言，面对业务重组、裁员、外包、充分授权、扁平化组织和分布式处理等如此复杂多变的商业环境，在IT战略规划修订时，如何精确保证IT战略规划和企业战略目标的一致，普遍缺少科学方法

5、论的指导。 其次，信息化建设领导者错位，IT应用方案和企业业务需求之间逻辑错位。过去的信息化工程是技术专家或技术厂商主导下进行的，而不是经济专家或管理专家主导，技术专家或技术厂商从技术的视角去关注信息技术和设备的先进性等，较少聚焦在IT战略和组织战略目标的互动上，较少考虑信息技术如何形成企业核心竞争力，如何防止风险，如何创造新的业务和市场，和管理层沟通缺少通用的语言〔非IT专业术语〕，因而不可防止地和企业的经营环境、经营目的脱节，而随着设备更新的加快，许多早期的工程只剩下一推摆设，管理层看不到在IT上的投资回报，这又导致信息技术得不到应有的重视，形成恶性循环。目前，总结经验和教训，各方普遍认

6、识到中国的信息化建设问题从总体上来说不是技术问题。以热火朝天的ERP为例，ERP的实施不仅仅是软件的事，更重要的是一场管理革命。从这个意义上讲，ERP只是一张皮，深层次的是企业内部变革，所以管理变革假设以ERP为助推器，那么ERP的实施将水到渠成；假设以ERP工程为导火线，试图在公司内部发动管理变革，那么往往会面临重重障碍而搁浅，最终不了了之，甚至还可能导致公司被IT拖垮。 第三，决策的技术经济论证缺乏。信息化建设工程具有投资大、风险大的特点。英国Kalido于英国时间2001年12月12日公布了有关企业信息管理的调查结果。调查显示，96％的企业对于本公司的信息管理系统感到不满。关于目前正在

7、使用的信息系统，认为"所制作的报告缺乏一贯性"或者是"核对信息花费了太多时间"的企业约占70％。答复目前的信息系统不能灵活因应变化的企业约占60％，对于数据的精度表示担忧的企业约占60％，60％以上的企业正在筹划有关数据及信息的整合方案。特别引人深思的是该调查是由美国Harte-Hanks以全球500强企业以及财富1000企业中的171家公司为对象通过问卷方式实施的。事实告诉我们，系统规模越大、与管理联系越密切、集成度越高的系统，风险也越大，失败概率越高，其中最明显的例子就是ERP，信息化建设工程的高风险和高失败率就要求企业在信息化建设决策之前，要进行充分的技术经济论证，综合论证工程技术上的先

8、进性和可行性，财务上的实施可能性，经济上的合理性和有效性。朱镕基总理在国家信息化领导小组第二次会议中特别强调：加快信息化建设，必须以规划为指导，加强统筹协调，突出开展重点，务必注重实效。由于我国信息化建设工程开展时间不长，缺乏工程决策论证经验，同时，信息化建设工程除直接效益外还产生大量外部效益，对外部效益的量化也是一个难点。因此，许多企业和政府在进行信息化建设时缺乏科学的定性、定量相结合的技术经济论证。 另据分析，2002年，中央政府预计对电子政务建设的投资规模将到达350亿元，如此巨大的投资，一旦由于技术经济论证缺乏而导致决策失误的话，将给国家造成多么巨大的损失！

9、

10、 第四，信息资源的合理应用一直是我国信息

11、化的薄弱环节。信息资源的开发和利用是国家信息化建设的核心任务，是国家信息化取得实效的关键。信息资源的开发和利用是衡量国家信息化水平的一个重要标志，将信息资源开发和利用放在核心地位是我国推进信息化的一大特点。在信息化建设中，我们普遍存在着信息处理环境建设滞后于物理环境建设，许多单位的数据库混乱状况与其先进的计算机环境和网络环境极不相称，使信息化建设无法取得实效，造成极大浪费。以电子政务为例，美国电子政务提出的口号是让人们点击3次鼠标就能办完事。而我国一个电子政务系统往往有工商、税务、计委、环保、社保等几十个甚至是上百个系统，要跨部门办一个申报审批的事情，不知道要点击多少次。与此同时，我们认为这也

12、将给中国IT企业带来极大的商机。 第五，利益冲突和信息的不透明。由于任何企业的任务环境要考虑和关系的利益非常广泛，在任何一个IT战略决策中，都会不可防止发生利益相关者包括部门利益之间的利益冲突。所以，即使管理层要努力承当责任，企业任何时候的任何决策都会招致某个或多个群体的不满。一些管理层在做出IT战略决策之前，没有仔细考虑每一个方案会影响到哪些重要的利益相关者，更有甚者把信息化当作一种政治资本在做。那些开始看起来能为公司带来最大利益的最正确方案，也许会为公司带来最严重的后果。因此管理者必须懂得信息系统给组织所带来的各种影响。相关领导需要仔细地考虑，当引进信息系统并产生效益的同时，还可能给企业

13、带来什么新的问题？信息系统是否能够给组织各级领导的工作带来影响？组织的工作流程是否需要变化？会不会引起新的人员下岗？等等。 信息的不透明表现在诸多方面，如政府信息化专项贴息贷款，那些贷款果真专款专用了吗？上市公司针对IT工程的配股增发，又有几例不是冲着圈钱去的？！某些厂商利用信息不对称，竭力鼓吹客户要采购先进的技术和设备，致使这些客户的信息系统甚至比兴旺国家的同行还要先进，但在营运绩效方面却落后很多。还有某些厂商和咨询公司在合同签订前故弄玄虚，以及在多方利益博弈后的工程验收，这些缺少量化模型的工程验收和绩效评估，在各方利益得到均衡满足后，一路绿灯通行。    第六，IT平安治理和风险管理缺

14、位。目前大多数组织的最高管理层都已树立不同程度的平安和风险意识，但对信息资产所面临的严重性认识缺乏仅局限于IT方面的平安，突出表现为重视平安技术，轻视平安管理，没有形成合理的信息平安方针来指导组织的信息平安管理工作，在平安规划、风险管理、应急方案、平安教育培训、平安系统的评估等多方面总是出现了问题才去想补救的方法，是一种就事论事、静态的管理，不是建立在平安治理根底上的动态的全局管理方法。国内的信息化“就应用系统而言，几乎所有企业的信息系统都存在隐患〞。 第七，非技术性的障碍。IT技术的快速开展使得许多人产生了一种错误的思维定势：如果采用了最新的技术，就能够〔或容易〕取得信息系统的成功。换言之

15、如果信息系统建设不成功，多半是因为没有采用最新的技术。但是，我们不断地看到这样的案例：一些企业尽管不断地试图采用最新开发技术，然而它们的信息系统仍然没有逃脱失败的命运。   　　很多人在推崇信息技术的同时忘记了一个根本的前提：信息技术仅仅是一种工具。虽然信息技术对于信息系统的开发效率产生重要的影响，但工具本身却不是信息系统成败的根本原因。通常在信息系统开发时，开发商采用的往往是比拟成熟的技术，因为这些成熟技术的有效性是已经被实践所证明了的。但是，采用成熟的技术并不能保证信息系统开发的成功。这说明，一些非技术性的问题往往是导致企业信息化不成功的根源。这些问题——我们姑且统称为企业信息化的非技

16、术性的障碍——目前十分缺乏理论上的研究。有许多文章都在谈论这些因素，有人说是中国的管理水平低，有人认为是员工的观念跟不上。但是，大多数文章都仅仅议论了一些现象，而缺乏深入全面的研究。更可怕的是这些问题并未引起一些主管人员重视，他们认为对非技术性问题的探讨是空谈，只有掌握某种开发技术才能有真正的应用前景。这种错误的认识导致了许多单位和部门的信息系统的失败，而这些失败又常常被崭新的计算机设备和许多忙碌而不产生价值的工作所掩盖，像冰山潜藏在水面下一样无人知晓。    第八，重硬件购置，轻软件和咨询效劳。目前，我国信息化建设缺少专业分工，根本是自建、自用、自我效劳，不愿花钱买专业化咨询、专业化软件开

17、发、专业化效劳，从而造成信息化建设效率低下。而兴旺国家的大型应用系统不但花钱买这三项专业化的建设效劳，而且还买运营效劳。相关统计显示：我国在信息化投入中，软硬比例失调，软件加效劳的投入与硬件投入的比例为二八开，其中集成与安装的比例约8—10%；软件开发的投入约10—12%；80%的资金是用于硬件购置。而据世界银行的统计，兴旺城市信息化投入一般为七三开，70%用于软件和效劳，购置硬件为30%。 第九，信息化建设找不到重心。一些信息化工程和ERP工程的失败，致使许多人认为，我国的企业尚不匹配国际上那些先进的管理模式，搞信息化为时尚早。那么，信息化到底是什么？我们究竟应该走多远？有没有一个测量标准

18、用于判断何时肯定会出现错误？企业在最普通而又最关键的局部进行计算机管理就不是信息化吗？IT本钱与利润比例多少算是适宜？关键成功要素是什么？不能到达我们目标的风险是什么？有没有可以贯穿业务风险、控制需要和技术问题这三者之间的桥梁？其他的组织在做什么？我们应该怎样进行测量与比拟？ 这些问题归根结底是公司治理的失灵和IT治理的缺位。目前公司治理已成为政策重点，我国80%的企业已完成股份制改造，初步建立起符合现代企业制度的公司治理机制，但是我们的治理机制还很不完善。一个治理机制不完善的企业很难对外部竞争有积极的反响，从而很难有十分高的经营效率；相反，市场竞争的效率也来自于企业治理机制的完善，如果市

19、场中的企业治理机制普遍不完善，企业之间就不可能进行充分有效的市场竞争。市场竞争最终要通过企业自身治理机制的改善才能使企业经营效率提高，如果一个企业自身的治理机制并不完善，而且面对市场竞争并不能持续有效地改善治理机制，最终可能在市场竞争中被淘汰。因此要实现“优胜劣汰〞的市场竞争，引入与市场竞争相适应的治理机制，我们依然有许多工作要做。在IT治理方面，目前我国的政府和企业在这方面根本上处于初始阶段。据了解，在一些大企业中，已出现CIO的权利范围不只是领导其信息部门，还负责事业部门的人、财、物的资源配置和利益均衡，我们认为这是具有中国特色的IT治理机制的尝试。 IT治理的定义 IT治理是信息

20、系统审计和控制领域中一个相当新的概念，IBM首次将此理念引入我们的视线，在其2002年度论坛中推出了给中国银行业的“会聚了全球金融行业的智慧与经验〞的白皮书，该白皮书在其“推动业务管理与IT的全面集成整合〞局部给银行业务与管理的建议是：大力推动银行流程化与流程标准化的管理，建立全行级的跨部门的IT治理决策机构来决定IT工程实施的顺序，加强全行的管理与流程执行的纪律，与IT行业的供给商结成战略联盟,将战略伙伴的价值并入到价值链。作为全球IT行业领跑者的IBM，其一举一动往往预示着整个行业的开展方向。 我们在对IT治理广泛研究和分析的根底上，关于其定义聚集了以下三种主要观点： Robert

21、s. Roussey 〔美国南加州大学教授〕认为：IT治理用于描述被委托治理实体的人员在监督、检查、控制和指导实体的过程中如何看待信息技术。IT的应用对于组织能否到达它的远景、使命、战略目标至关重要。 德勤定义如下: IT治理是一个含义广泛的术语，包括信息系统、技术、通讯、商业、所有利益相关者、合法性和其他问题。其主要任务是：保持IT与业务目标一致，推动业务开展，促使收益最大化，合理利用IT资源，IT相关风险的适当管理。 国际信息系统审计与控制协会 (ISACA)定义如下：IT治理是一个由关系和过程所构成的体制，用于指导和控制企业，通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标

22、 通过上述定义可以总结出以下共同点： l IT治理必须与企业战略目标一致，IT对于企业非常关键，也是战略规划的组成，影响战略竞争。 l IT治理和其它治理主体一样，是管理执行人员和利益相关者的责任〔以董事会为代表〕。 l IT治理保护利益相关者的权益，使风险透明化，指导和控制IT投资、机遇、利益、风险。 l 信息技术治理包括管理层、组织结构、过程，以确保IT维持和拓展组织战略目标。 l 应该合理利用企业的信息资源，有效地集成与协调。 l 确保IT及时按照目标交付，有适宜的功能和期望的收益，是一个一致性和价值传递的根本构建模块，有明确的期望值和衡量手段。 l 引导IT战略平衡系

23、统的投资，支持企业， 变革企业，或者创立一个信息根底架构，保证业务增长，并在一个新的领域竞争。 l 对于核心IT资源做出合理的决策，进入新的市场，驱动竞争策略，创造总的收入增长，改善客户满意度，维系客户关系。 IT治理的目标 IT治理——与业务目标一致 IT治理要从组织目标和信息化战略中抽取信息需求和功能需求，形成总体的IT治理框架和系统整体模型，为进一步系统设计和实施奠定根底，保证信息技术跟上持续变化的业务目标。 IT治理——有效利用信息资源 目前信息化工程超期、 IT客户的需求没有满足、IT平台不支持业务应用等问题较为突出，通过IT治理可以对信息资源的管理职责进行有效管理，

24、保证投资的回收，并支持决策。 IT治理——风险管理 由于企业越来越依赖于信息技术和网络，新的风险不断涌现，例如，新出现的技术没有管理，不符合现有法律和规章制度、没有识别对IT效劳的威胁等。IT治理强调风险管理，通过制定信息资源的保护级别，强调关键的信息技术资源，有效实施监控，事故处理。IT治理使企业适应外部环境变化，为企业内部实现对业务流程中资源的有效利用，从而到达改善管理效率和水平的重要手段。 IT治理的目标将帮助管理层建立以组织战略为导向, 以外界环境为依据, 以业务与IT整合为中心的观念，正确定位IT部门在整个组织中的作用。最终能够针对不同业务开展要求，整合信息资源，制定并执行

25、推动组织开展的IT战略。 IT治理解决哪些问题 在探讨IT治理可以解决哪些问题之前，我们先就身边发生的事件看一下IT治理失灵的例子： 2002年7月23日，央视晚新闻播报：7月23日，首都机场因电脑系统故障，6000多人滞留机场，150多驾飞机延误，事故原因正在调查中 ；5月29日上午８时３０分左右，南京火车站电脑售票系统突然发生死机故障，整个车站售票处于瘫痪状态，车站售票大厅内人满为患，众多旅客不得不改乘其它交通工具离开南京。车站领导和计算机技术人员告诉记者是由于电脑升级换代，调试时线路发生故障，才引发了此次系统瘫痪的。9月5日广东省工行因系统故障，全线停业一个半小时，有媒体特别指出，

26、这是工行实施全国统一平台运作后的首次故障。还有某银行在信息系统技术升级时，IT人员只注重保证系统在技术上的平滑过渡，而无视了升级给客户带来的不便，导致客户流失，这也说明当IT发生改变时会对业务目标产生冲击，以上都是通过IT治理机制可以合理防止的事件。 因此，我们认为IT治理对商业目标而言起着战略意义，IT治理状况直接影响到企业实现目标的可能性，良好的IT治理有助于增强企业的灵活性和学习能力，巧妙管理风险，区分开展机遇。对于最高管理层〔董事会〕而言，IT治理可以解决以下几个方面问题： 发现信息技术本身的问题，例如IT工程未能实现期望价值的概率；终端用户是否满意IT效劳的质量；是否有足够的IT

27、资源、根底设施、竞争力来满足战略目标；信息技术平均操作失误的原因；IT没有推动业务改善而是阻碍业务的次数。 帮助管理者处理IT问题，例如，IT和组织战略目标的一致性程度怎么样；怎样衡量IT的交付价值；执行管理人员采取什么样的战略动机来管理IT；与企业的运营与成长管理相关的问题；企业是否清楚其商业目标与技术的关系：领先、跟随者还是滞后者；企业对风险〔风险躲避和风险承当〕是否清楚；有没有最新的企业相关IT风险的清单，采取哪些行动处理这些风险。 自我评估IT管理的效果，例如，是否经常向最高管理层〔董事会〕定期汇报IT风险；IT是否是最高管理层〔董事会〕议程中的一个常用的术语，它是否以结构化形式表

28、达；最高管理层〔董事会〕是否就商业目标与信息技术一致性进行说明和沟通；最高管理层〔董事会〕对主要IT投资是否有清楚的观点，包括风险和回报；最高管理层〔董事会〕是否认期得到主要IT过程的报告；最高管理层〔董事会〕在获取IT目标和限制IT风险时是否得到独立的保证。 国内IT治理水平的好与差造成了IT应用层次的差异。一些单位有与其国际竞争对手一样的系统、软件，甚至技术和设备强于对方，所以单从技术的成熟性和先进性而言，中国整体应用水平不低。但是为什么就没有对方做的好呢？从IT治理的角度审视，其实技术的竞争早已超越了有与无的层面，进而甚至超越了抢夺技术最早占有权的层面，表达在业务和技术管理能力上的对抗

29、事实上我国信息化目前所处的阶段缺乏的并不是先进的技术与设备，而是IT管理理念和方法论。IBM大中国区金融事业部总经理张烈生说：“所有把落败归咎于技术的人，都是在逃避一个事实：认识上的落后和管理上的无能〞。当然，我们的周围也不乏在较落后的技术和设备上，把已有的技术应用得非常成功的范例。 IT治理的范围 IT治理体系保证总体战略目标能够从上而下贯彻执行。IT治理和其它治理活动一样，集中在最高管理层〔董事会〕和执行管理层。然而，由于IT治理的复杂性和专业性，治理层必须强烈依赖企业的下层来提供决策和评估活动所需要的信息。为保证有效的IT治理，下层应用要和企业总体目标采用相同的原那么，提供评估业

30、绩的衡量方法。因此，好的IT治理实践需要在企业全部范围内推行。 最高管理层〔董事会〕的主要职责是：证实IT战略与企业战略一致；证实IT通过明确的期望和衡量手段交付； 指导IT战略、平衡支持企业和使企业成长的投资；恰当决策信息资源应着重使用的地方。最高管理层〔董事会〕通过下述指标衡量业绩：定义和检查衡量手段以及管理，证实目标已经到达，并且衡量业绩，减少不确定性。 管理者的焦点主要是本钱—效益比，增加收入，构建竞争力，这些都由信息、知识、信息技术体系推动。由于信息技术作为实现企业目标的一个集成局部，其解决方法越来越复杂〔外包，第三方合同，网络化等〕，因此，善治成为成功的一个关键因素。管理者的职

31、责是：将IT风险管理的责任和控制落实到企业中，制定明确的政策和全面的控制框架；将战略，策略，目标等由上至下落实到企业，并使信息技术的组织与企业目标一致；提供治理结构支持IT战略的实施，制定IT根底设施加快商业信息的创造与共享；通过衡量公司业绩和竞争优势来测度信息技术的效果〔KPI，KGI〕；使用平衡计分卡，弥补行政管理的缺乏；关注IT必须支持的商业竞争力，如增加客户价值的业务过程，在市场上差异化的产品和效劳，通过多产品和效劳来产生增值；关注重要的增值的信息技术过程；关注与规划和管理IT资产、风险、工程工程、客户和供给商相关的核心竞争能力。 IT治理使得最高管理层〔董事会〕和执行经理的一系列活

32、动成为可能。这些活动主要包括：IT的目标，新技术的机遇和风险，关键过程与核心竞争力。如指导信息技术的职能和对企业的影响，分配责任，定义操作，衡量业绩，管理风险和获得保证的约束等。 以银行业的数据大集中为例，从2001年开始，采用集中数据处理模式来表达一级企业法人治理结构已经成为各家银行致力实现的一个目标，目前国内银行的数据集中处理模式改造已陆续取得阶段性成果，可问题随之而来，集中以后做什么？集中以后风险也增加了，怎么办？前一个问题也就是说数据集中了，只是提供了一个进行深度业务创新的前提和可能，关键还在于商业模式和IT管理模式。对于后一个问题，那么需要采取更先进的平安治理机制，全面的信息系统审

33、计与控制，包括可靠的灾难恢复和业务持续规划。 公司治理和IT治理 公司治理主要关注利益相关者权益和管理，包括一系列责任和条例，由最高管理层〔董事会〕和执行管理层实施，目的是提供战略方向，保证目标能够实现，风险适当管理，企业的资源合理使用。 公司治理，驱动和调整IT治理。同时，IT能够提供关键的输入，形成战略方案的一个重要组成局部，这被认为是公司治理的一个重要功能——IT影响企业的战略竞争机遇。 IT治理活动 公司治理活动 从下面获取信息 公司治理 IT治理 驱动和设定 IT治理和公司治理关系图 IT治理的一个关键性问题是

34、公司的IT投资是否与战略目标相一致，从而构筑必要的核心竞争力。因为企业目标变化太快，很难保证IT与商业目标始终保持一致，因此需要多方面的协调，保证IT治理继续沿着正确的方向走，这也是IT投资者真正关心的问题。对IT治理而言，要能表达未来信息技术与未来企业组织的战略集成。既要尽可能地保持开放性和长远性，以确保系统的稳定性和延续性；同时又因为规划赶不上变化，再长远的规划也难以保证能跟上企业环境的变化。IT治理中一个相对有效的做法是，在信息化规划时，认真分析企业的战略与IT支撑之间的影响度，并合理预测环境变化可能给企业战略带来的偏移，在规划时留有适当的余地，从业务战略到信息战略，做务实的牵引，不要

35、追求大而全。 IT治理有助于建立一个灵活的、具有适应性的企业。IT治理能够影响信息和指示：企业能够感知市场正在发生的事，使用知识资产并从中学习，创新新产品、效劳、渠道、过程；迅速变化，将革新带入市场，衡量业绩。IT治理应该表达“以组织战略目标为中心〞的思想，通过合理配置IT资源创造价值。企业治理侧重于企业整体规划，IT治理侧重于企业中信息资源的有效利用和管理。 企业目标在于远景和商业模式，IT目标在于商业模式的实施。 企业目标与IT目标之间的关系如下列图所示： 企业战略 协调活动 IT战略 IT运作 企业运作 IT治理主要涉及两个方面：IT要为

36、企业交付价值，IT风险要降低。前者受IT与企业的战略一致性驱动，后者由责任义务落实到企业驱动。这两者都需要衡量，如使用平衡计分卡。这就可以看出IT治理的四个核心领域，都是由利益相关者价值驱动的，其中两个是成果：价值交付和风险降低，另外两个是驱动力：战略一致性和业绩衡量。 概括地说，公司治理和IT治理都是市场〔含政府〕他律的机制，是如何“管好管理者〞的机制，其目标也是一致的：到达业务永续运营，并增加组织的长期获利时机。无论大环境是好是坏，最高管理层〔董事会〕均应以达成其目标为责任，而且管理阶层需有能力协助其达成目标，因此最高管理层〔董事会〕必须常常监督管理部门对决策判断与政策实施的绩效。 “

37、斯达模式〞这一被誉为国企摆脱困境、改革开展的创新模式，正说明了公司治理和IT治理的重要性和互动关系。“黑纸〞利用合资契机，对产权体制进行了改革，并按照现代企业制度要求，建立与市场竞争相适应的公司治理机制，明晰了企业产权，优化了生产要素配置，转变了职工观念，为斯达大力进行信息化改造创造了有力条件。反过来，信息化也促进了公司的现代化管理。 IT治理和IT管理 IT管理是公司的信息及信息系统的运营，确定IT目标以及实现此目标所采取的行动；而IT治理是指最高管理层〔董事会〕利用它来监督管理层在IT战略上的过程、结构和联系，以确保这种运营处于正确的轨道之上。这是一个硬币的两面，谁也不能脱离谁而存在。

38、可见，IT管理就是在既定的IT治理模式下，管理层为实现公司的目标而采取的行动。 IT治理规定了整个企业IT运作的根本框架，IT管理那么是在这个既定的框架下驾驭企业奔向目标。缺乏良好IT治理模式的公司，即使有“很好〞的IT管理体系〔而这实际上是不可能的〕，就像一座地基不牢固的大厦；同样，没有公司IT管理体系的畅通，单纯的治理模式也只能是一个美好的蓝图，而缺乏实际的内容。就我国信息化建设目前的现状而言，无论是IT治理，还是IT管理都是我们所迫切需要解决的。 公司治理与信息技术治理如何工作 指导 企业设立目标，由通用的惯例来治理并保证目标实现。这些目标中渗透企业的开展方向，指导企业活动和使

39、用资源。企业活动的结果被衡量及报告，为输入提供不断的修正和维护控制，从而开始下一轮循环。 目标 企业活动 资源 控制 向报告 使用 信息技术也确立目标，保证企业信息和相关技术支持商业目标，资源有效利用，风险管理适度。这些目标形成IT活动的根本方向，划分为规划和组织，获取和实施，交付与支持，监控等四个局部。一方面管理风险〔平安、可靠，保密〕，另一方面实现收益〔提高有效性和效率〕。通过报揭发布关于IT活动收益，根据不同的管理和控制来衡量，然后进入下一轮循环。 目标 信息技术与商业一致，推动商务，收益最大化 信息资源合理利用 信息相关风险

40、恰当管理 ＩＴ活动 管理风险 平安 可靠 保密 控制 向报告 实现收益 增加自动化，有效性 减少本钱 提高效率 指导 IT治理架构 一个有效的IT治理架构需要理解组织的核心竞争力，并且在商业目标，治理原型，业务绩效目标之间维持平衡，进而提出IT治理框架，制定决策以及如何在关键的信息技术领域中确定。由此，意识到IT治理与企业治理之间的必然联系，提供管理相关风险的最正确实务指导。企业目标是保证企业健康、可持续开展，关注商业目标、知识管理、商业通讯、客户关系、商业活动与过程；IT治理目标是信息系统、技术和网络、知识管理、IT资产

41、管理、电子商务、IT合法性等。 COBIT，直译为信息及相关技术的控制目标，是IT治理的一个开放性标准，由美国IT治理研究院开发与推广，目前已成为国际上公认的最先进、最权威的平安与信息技术管理和控制的标准。该标准为IT的治理、平安与控制提供了一个一般适用的公认的标准，以辅助管理层进行IT治理。该标准体系已在世界一百多个国家的重要组织与企业中运用，指导这些组织有效利用信息资源，有效地管理与信息相关的风险。 COBIT模型 COBIT将IT 过程，IT资源及信息与企业的策略与目标联系起来，形成一个三维的体系结构。其中，IT准那么维集中反映了企业的战略目标，主要从质量、本钱、时间

42、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的平安性、可靠性、有效性； IT资源维主要包括以人、应用系统、技术、设施及数据在内的信息相关的资源，这是IT治理过程的主要对象；IT过程维那么是在IT准那么的指导下，对信息及相关资源进行规划与处理，从信息技术的规划与组织、采集与实施、交付与支持、监控等四个方面确定了34个信息技术处理过程，每个处理过程还包括更加详细的控制目标和审计方针对IT处理过程进行评估。 COBIT的34个信息技术过程： 1规划与组织 3交付与支持 定义IT战略规划 定义信息体系结构 确定技术方向 定义IT组织与关系 管理IT投资 传达管理目标

43、和方向 人力资源管理 确保与外部需求的一致性 风险评估 工程管理 质量管理 定义并管理效劳水平 管理第三方的效劳 管理性能与容量 确保效劳的连续性 确保系统平安 确定并分配本钱 教育并培训客户 配置管理 处理问题和突发事件 数据管理 设施管理 运营管理 2采集与实施 4监控 确定自动化的解决方案 获取并维护应用程序软件 获取并维护技术根底设施 程序开发与维护 系统安装与鉴定 变革管理 过程监控 评价内部控制的适当性 获取独立保证 提供独立的审计 这个模型为企业管理的成功提供了集成的IT管理，通过保证有关企业处理过程的高效的改良措施，以

44、更快更好更平安地响应企业需求。 管理指南定义了IT过程的成熟度模型，为管理者评估IT过程的状态提供了标准。同时也给出了一些重要的测度，这包括：关键成功因素，关键目标指标，关键绩效指标。 管理框架 管理指南 控制目标 审计指南 工具集 图2 COBIT的管理模型 关键成功因素 成熟度模型 关键目标指标 关键性能指标 COBIT体系框架 COBIT模型是企业战略目标和信息技术战略目标的桥梁，使得信息技术目标和企业战略目标之间实现互动。 该框架的意义在于：COBIT实现了企业目标与IT治理目标之间的桥梁作用。 首先考虑了企业自身

45、的战略规划，对业务环境和企业总的业务战略进行分析定位，并将战略规划所产生的目标、政策、行动方案作为信息技术的关键环境，并由此确定IT准那么。 IT为企业战略提供了基于技术的解决方案，为满足业务战略需求提供了技术与工具。在IT准那么的指导下，利用控制目标模型，分别从规划与组织、采集与实施、交付与支持、监控等过程进行控制、管理信息资源，在IT管理的同时，引入审计指南，从而保证IT资源管理的平安性、可靠性和有效性。 实现可跟踪的业绩衡量，通过平衡经营记分卡可以在财务〔企业资源管理〕、客户〔客户关系管理〕、过程〔内部网，工作流工具〕、学习〔知识管理〕等方面维持平衡，评价企业目标的实现情况以及IT绩

46、效，并调整商业目标和IT战略，进行持续的IT管理。 采用成熟度模型，可以定位自己企业的IT管理目前在业界所处的位置，未来努力的方向，通俗地说就是给IT管理“打分〞。 COBIT还提供了目前最正确案例和关键成功因素，供企业和组织借鉴。 概括而言，COBIT的主要优点如下： Ø COBIT是一个非常有用的工具，也非常易于理解和实施，可以帮助在管理层、IT与审计之间交流的鸿沟上搭建桥梁，提供了彼此之间沟通的共同语言。几乎每个机构都可以从COBIT中获益，来决定基于IT过程及他们所支持的商业功能的合理控制。当我们知道这些商业功能是什么，其对企业的关键到什么程度时，就能对这些事件进行良好的分类。

47、所有的信息系统审计，控制及平安专业人员应该考虑采用COBIT原那么。 Ø 通过实施COBIT，增加了管理层对控制的感知及支持。COBIT帮助管理层懂得控制如何影响商业功能。COBIT提供的实施工具集包括优秀的案例资料〔提供模板商业过程，使得优秀范例能够迅速移植〕，帮助向管理层很好地表述IT管理概念。管理层在基于最正确控制实践根底上做出正确决策的能力亦得到了提高。 Ø COBIT使IT管理工作简易并量化，减轻对复杂信息系统管理工作的难度，并且可以应用在每天都在发生的各种新问题中。对于那些不具有广博IT知识的人来将，是一个认清信息技术的有价值的工具。它也使得信息系统审计师具有与IT专业人员相同

48、的专业广度，并且可以询问IT工程相关的问题。 Ø COBIT提供了一种国际通用的IT管理及问题解决方案，普遍适用于各种不同的商业工程和审计，并且它既包容了我们当前的情况，也提供将来可能会使用到的指导方针。 Ø COBIT有助于提高信息系统审计师的影响力，依据COBIT出具的信息系统审计报告更容易得到管理层的肯定。 Ø COBIT框架可以能够帮助决定过程责任，提高IT治理水平。通过采用该框架作为对一个责任矩阵分析的根底，可以做到基于角色的IT管理，定义过程措施，确保客户利益。 从以上的分析介绍可以看出：整个模型实现了企业战略与IT战略的互动，并形成持续改良的良性循环机制，为企业提供了具有

49、一定参考价值的解决方案。因此，我们认为针对我国信息化存在的问题，借鉴COBIT的IT治理思想和框架，科学、系统地对信息及相关技术进行管理，逐步试行建立IT治理机制，对推动我国信息技术的开展和应用具有十分重要的现实意义。 IT治理在组织中的应用指南 IT治理在组织中的应用是在管理指南的指导下完成的。管理指南通过关键成功因素、成熟度模型、关键目标指标、关键绩效指标四个方面的有机作用，使企业中的信息资源得到有效的管理。管理指南的特点是：面向应用，具有通用性、一般性，不能提供针对某一具体测定方法，组织应根据自身环境修改这个一般性的指导方针，以满足实际的应用需要。下面具体介绍管理指南的各个局部在应用

50、中所起的具体作用。 关键成功因素 关键成功因素为管理部门控制信息技术及其处理过程提供了实施指南。它们是信息技术处理过程中的最关键的要素，是战略性的、技术性的过程或活动，勾画出了IT的控制轮廓。关键成功因素可以从标准控制模型和IT管理框架的目标与审计指南中获取。这些标准要求：信息技术要与企业的运营情况相符；信息技术使营运业务可行，并使其收益最大化；合理使用信息技术资源；适当管理IT的有关风险。关键成功因素平衡所有的IT资源，它由关键绩效指标评价。 下表为从标准控制模型与管理构架中归纳出用于多数信息技术处理过程的关键成功因素，以供参考。 关键成功因素 l IT治理活动与公司治理过程相结合