1、構建全面的IT治理體系 2009-10-16 作者：郭宇鋒孫燦 來源： IT治理定義構建全面的IT治理體系，首先要搞清楚IT治理是什么，它的起源和發展歷史，這對我們理解IT治理十分必要。治理與管理的區別治理和管理分屬不同層面，打個比方來說：火車行駛中管理僅僅是執行，是開火車，解決如何讓火車跑 得更快的問題；而治理則是誰來做決策，在哪修軌道，約束火車必須在軌道上行駛的問題。但同時治理和管理又是一個硬幣的兩面，缺了誰也不行。簡單的說管理解 決的是如何把事情做好，治理決定的是要做哪些事，誰來做這些事，以及決策機制如何建立、監控的問題。公司治理與IT治理IT治理

2、的提出，一方面是因為信息已經成為我們企業最為寶貴的資產，IT在組織中已經扮演一個影響到組織全局、影響到治理層面的角色，另外一方面與全球矚目的焦點難題 公司治理亦有著深刻的淵源。那么IT治理和公司治理到底是什么關系呢？眾所周知， 公司治理問題一直是企業制度與組織的核心問題。近年來， 因上市公司頻頻“驚曝黑幕”，“公司治理”成為全球性的問題。從美國的安然、世通、施樂等粉飾業績甚至導致企業崩潰的案件，到日本雪印食品公司舞弊案件， 都使得公司治理正在成為企業議事日程中最重要和最迫切的任務。公司治理是一種對公司管理和運營進行監督和控制的體系。它的核心是在所有權和經營權分離的條 件下，解決好所有者和經營者

3、的利益不一致而產生的委托代理關系。其目標是降低代理成本，使所有者不干預公司的日常經營，同時又保證經理層維護股東的利 益，實現公司價值和利益的最大化。IT治理就是公司治理的一部分。來自國際信息系統審計與控制協會 (ISACA)對IT治理的定義：IT治理是一個由關系和過程所構成的體制，用于指導和控制企業，通過平衡信息技術與過程的風險、增加價值來確保實現企業 的目標。IT治理必須與企業戰略目標一致。IT治理和其它治理主體一樣，是管理執行人員和利益相關者的責任。研究IT治理，須將其放在組織背景中，將其看 作是必須通過治理而產生價值地六種關鍵資產（人力、財務、實物、知識產權、IT、關系）之一。在公司治理

4、的大框架下，有許多和IT治理相關的概念。圖1清晰地說明了公司治理、IT治理、IT內控、IT審計之間的關系。圖1 公司治理、IT治理、IT控制、IT審計之關系IT治理和IT管理提到I T治理，很多人難以區別IT治理和IT管理。IT管理是公司的信息及信息系統的運營，確定IT目標以及實現此目標所采取的行動；而IT治理是指最高管理層 （董事會）利用它來監督管理層在IT戰略上的過程、結構和聯系，以確保這種運營處于正確的軌道之上。可見，IT管理就是在既定的IT治理模式下，管理層為 實現公司的目標而采取的行動。IT治理規定了整個企業IT運作的基本框架，IT管理則是在這個既定的框架下駕馭企業奔向目標。 缺乏良

5、好IT治理模式的公司，即使有“很好”的IT管理體系（而這實際上是不可能的），就像一座地基不牢固的大廈；同樣，沒有公司IT管理體系的暢通，單 純的治理模式也只能是一個美好的藍圖，而缺乏實際的內容。IT治理的起源、發展歷程為了更好理解IT治理的內涵，需要追溯IT治理的起源，搞清楚IT治理的發展歷程。我們將IT治 理的發展劃分為三個階段（見圖2），從1980年1999年我們稱為準備階段，這一階段誕生了許多相關的IT治理框架模型、但是并沒有一個全面清晰的 IT治理概念的提出，還停留在對IT管理和控制框架的摸索中；1999年BIS的報告將IT管理和控制提高到了IT治理的層面，這個時候IT治理真正進入 了

6、起步階段；2006年SOX404條款的生效，促使企業將IT治理提高到了一個前所未有的高度。最后用一句話來概括IT治理的發展歷程：企業管理的信息化和亟待改善的公司治理狀況共同促成了IT治理的誕生、融合和發展。為什么要做IT治理？為什么要做IT治理，為什么IT治理對于組織的持續成功至關重要？對于IT治理的重要性，經過大量企業的調研歸納總結出7個原因：1. 良好的IT治理得大于失對于我們研究的盈利企業而言，從3年期的行業調整資產回報率來看，那些有著高于IT治理績效平均 水平的企業在實施特定戰略（例如：客戶至上或卓越運營等）時會得到更豐厚的利潤。實際結果因公司采取的具體戰略不同而有所不同，但這些治理水

7、平超出平均水 平的企業的資產回報率，比那些采取相同戰略但治理薄弱的企業要高出20個百分點。2. IT是昂貴的目前，企業在IT方面的平均投資已經超過了營業額的4.2，并且還在不斷上升。這樣的投資力度 導致了許多企業的IT投資額占企業年度總投資額的一半還要多。鑒于IT已經變得更加重要和普遍，如何管理和控制IT以確保其為企業創造價值，是高層管理團 隊面臨的日益嚴峻的挑戰。3. IT無處不在在很多企業，集中管理IT既不可能，也不必要。以前IT支出的要求僅僅來自于IT團隊。但是今 天，IT方面的支出可能產生于企業的任何一個部分。一些估算顯示，IT預算只占IT相關支出的20，而余下的部分則包含在業務流程預

8、算、產品開發預算， 以及其他各種各樣的預算之中。良好規劃的IT治理安排會將IT決策制訂的權力分配給那些對結果承擔責任的人員。4. 新的信息技術將為企業提供大量新的業務機會不斷涌現的新技術，包括基于網絡的服務、移動技術以及企業系統，使企業同時面臨戰略威脅和機遇。比如大規模定制化服務的出現和“一對一”營銷的興起，而這源于我們能夠以更具成本效益的、實時的方式獲取客戶信息的技術能力。5. 在組織理解IT價值過程中，IT治理至關重要企業力求理解IT相關活動的價值，因為這種價值難以通過傳統的現金流折算分析說清楚。價值的產生不僅源于流程的不斷完善，而且也源于企業應對競爭壓力能力的增強。有效的治理創造出一系列

9、機制，企業可以使用這些機制更好的探討本公司潛在的價值是什么，并使組織學習正規化。6. IT價值不僅僅取決于好的技術近年來有一些令人震驚的大型IT投資的失敗案例 大型企業資源計劃系統（ERP），構思錯誤和執行乏力的e-business項目，以及能獲得大量數據卻幾乎不能帶來任何價值的數據挖掘實驗，等等。有人 估算，IT項目的失敗率在70以上。雖然有些項目的失敗是由于技術方面的問題，但絕大多數失敗都是因為組織無力采用新的流程，以有效應用新技術而造成 的。由于IT的實施不斷地推動業務流程的標準化和一體化，技術專家和業務領導作用的相互交叉也越來越 緊密。IT決策必須成為聯合的決策。當高層主管人員忽視了決

10、定IT成功的IT實施責任時，巨大的災難往往會接踵而來。成功的企業不僅有著更好的IT決策， 也有著更好的IT決策流程。7. 高層管理層的有限管理幅度一個大型企業的高級主管人員，不能考慮所有有關IT投資的請求，更不用說參與其他很多與IT相關 的決策了。如果高級主管人員試圖事無巨細地親自處理，那么他們就會成為瓶頸。但是那些與企業整體發展相關的決策，則必須與高級主管人員所確定的組織發展方 向一致。審慎規劃的IT治理，能夠提供一個清楚透明的IT決策制訂流程。這樣在增強組織每一個成員創造力的同時，也能保證其行為與高級主管人員規劃的組織 愿景相一致。IT治理可以解決哪些問題IT治理如此重要，那么它到底可以解

11、決哪些問題呢？在探討IT治理可以解決哪些問題之前，我們先就身邊發生的事件看一下IT治理失靈的例子：南京火車站電腦售票系統突然發生死機故障，整個車站售票處于癱瘓狀態，車站售票大廳內人滿為患， 眾多旅客不得不改乘其它交通工具離開南京。車站領導和計算機技術人員告訴記者是由于電腦升級換代，調試時線路發生故障，才引發了此次系統癱瘓的。某銀行在 信息系統技術升級時，IT人員只注重保證系統在技術上的平滑過渡，而忽視了升級給客戶帶來的不便，導致客戶流失，這些都表明當IT發生改變時會對業務目標 產生沖擊，而以上發生的問題都是通過IT治理機制可以合理避免的。我們認為IT治理對商業目標而言有著戰略意義，IT治理狀況

12、直接影響到企業實現目標的可能性，良好的IT治理有助于增強企業的靈活性和學習能力，巧妙管理風險，辨別發展機遇。對于最高管理層（董事會）而言，IT治理可以解決以下幾個方面問題：1. 發現信息技術本身的問題。例如IT項目未能實現期望價值的概率；終端用戶是否滿意IT服務的質量；是否有足夠的IT資源、基礎設施、競爭力來滿足戰略目標；信息技術平均操作失誤的原因；IT沒有推動業務改善卻阻礙業務的次數。2. 幫助管理者處理IT問題。例如，IT和組織戰略目標的一致性程度怎么樣；怎樣衡量IT的交付價值；執行管理人員采取什么樣 的戰略動機來管理IT；與企業的運營與成長管理相關的問題；企業是否清楚其商業目標與技術的關

13、系：領先、跟隨者還是滯后者；企業對風險（風險規避和風險承 擔）是否清楚；有沒有最新的企業關于IT風險的清單，采取哪些行動處理這些風險。3. 自我評估IT管理的效果。例如，是否經常向最高管理層（董事會）定期匯報IT風險；IT是否是最高管理層（董事會）議程中 的一個常用的術語，它是否以結構化形式表達；最高管理層（董事會）是否就商業目標與信息技術一致性進行闡明和溝通；最高管理層（董事會）對主要IT投資是 否有清楚的觀點，包括風險和回報；最高管理層（董事會）是否定期得到主要IT過程的報告；最高管理層（董事會）在獲取IT目標和限制IT風險時是否得到獨 立的保證。IT治理的目標與領域IT治理的最終目標是什

14、么？關注企業的哪些領域？IT治理的三大目標：1. 與業務目標一致IT治理要從組織目標和信息化戰略中抽取信息需求和功能需求，形成總體的IT治理框架和系統整體模型，為進一步系統設計和實施奠定基礎，保證信息技術跟上持續變化的業務目標。2. 有效利用信息資源目前信息工程超期、 IT客戶的需求沒有滿足、IT平臺不支持業務應用等問題較為突出，通過IT治理可以對信息資源的管理職責進行有效管理，保證投資的回收，并支持決策。3. 風險管理由于企業越來越依賴于信息技術和網絡，新的風險不斷涌現，例如，新出現的技術沒有管理，不符合現 有法律和規章制度、沒有識別對IT服務的威脅等。IT治理強調風險管理，通過制定信息資源

15、的保護級別，強調關鍵的信息技術資源，有效實施監控，事故處理。 IT治理適應企業外部環境變化，為企業內部實現對業務流程中資源的有效利用，從而達到改善管理效率和水平的重要手段。IT治理的目標將幫助管理層建立以組 織戰略為導向, 以外界環境為依據, 以業務與IT整合為重心的觀念，正確定位IT部門在整個組織的作用。最終能夠針對不同業務發展要求，整合信息資源，制定并執行推動組織發展的IT戰略。根 據IT治理的目標，IT治理應該關注的領域（圖2）：圖2 IT治理應該關注的領域IT治理的核心思想為了達到IT治理的三大目標，IT治理需要處理哪些問題，IT治理的核心思想是什么？IT治理的核心思想，就是有效的IT

16、治理必須解決的三個問題：1. 為了保證有效地管理和使用IT，應當做出怎樣的決策？2. 由誰做出這樣的決策？3. 如何做出這些決策以及如何監控這些決策？上期內容回顧（構建全面的IT治理體系（一） ）：IT治理定義，為什么要作IT治理，IT治理可以解決哪些問題？IT治理的目標和領域。IT治理的核心思想為了達到IT治理的三大目標，IT治理需要處理哪些問題，IT治理的核心思想是什么？IT治理的核心思想，就是有效的IT治理必須解決的三個問題：1. 為了保證有效地管理和使用IT，應當做出怎樣的決策？2. 由誰做出這樣的決策？3. 如何做出這些決策以及如何監控這些決策？對于這三個問題我們一一做出探討。IT治

17、理要做出哪些決策我們給出IT治理的5大決策方向（見下圖）：圖1 IT治理的5大決策方向這五個決策是彼此相關的，有效的治理必須關注它們之間的關聯性。舉例來說，IT原則驅動著整體架 構的形成，而整體架構又決定了基礎設施。這種基礎設施所確定的能力又決定著基于業務需求（通常由業務流程的管理者確定）的應用的構建。最后，IT投資必須 為IT原則、整體架構、基礎設施和應用需求所驅動。IT治理需要確定每一個決策該由誰來負責輸入，以及由誰來負責做出決策。由誰做出這樣的決策可以通過治理設計框架來解決（見下圖）：在此我們給出的是IT治理設計框架最基本的架構，可以在任何一個企業進行實施。這個架構勾畫出了 企業的戰略和

18、組織、IT治理安排以及業務實施目標的協調一致性（水平箭頭）。戰略和組織、IT治理安排以及業務實施目標這三者分別通過IT組織和期望行 為、治理機制、以及度量指標得以確定。這個框架也同時闡明了IT治理與其他關鍵資產治理保持協調一致的重要性。圖2 IT治理設計框架如何監控和評估這些決策可以通過關鍵成功因素、成熟度模型、關鍵目標指標、關鍵績效指標四個方面的有機作用，確保決策及IT治理的成功。· 關鍵成功因素關鍵成功因素為管理部門控制信息技術及其處理過程提供了實施指南。它們是信息技術處理過程中的最關鍵的要素，是戰略性的、技術性的過程或活動，勾畫出了IT的控制輪廓。關鍵成功因素是為提高處理過程的

19、成功可能性所做的最重要的事，通常與組織的目標保持一致，是組織和處理過程的可觀察可測量的特征，分布于企業的戰略層、戰術層、應用層及組織的各個方面，可以通過目標分解與識別的方法選擇關鍵成功因素。· 關鍵目標指標關鍵目標指標是指通過創建和維護一套處理和控制適當業務績效的系統，來指導并監督IT傳遞的商業價值。關鍵目標指標是處理目標的一種表達，明確要取得什么目標，并描繪處理的結果，進行事后評判，直接體現處理過程的完成成功與否，間接體現處理帶給經營活動的價值。· 關鍵績效指標關鍵績效指標對關鍵成功因素進行評價，通過監測某IT處理過程的執行情況，告訴管理層該處理是否 滿足其經營需求。關鍵

20、績效指標是IT處理過程的性能指標，表現為IT的實際業績。通過有效性、保密性、完整性、可用性、一致性、可靠性等指標來測定IT的 績效。下表列出對企業具有普遍性意義的關鍵績效指標。· 成熟度模型IT成熟度模型制定了一個基準，組織可能根據上面的指標確定自己的等級，從而了解自身目前的境界。對于監控和評估決策，在COBIT體系中，有著較為清晰明確的最佳實踐。1. 構建全面的IT治理體系1.1. IT治理體系、模型介紹IT治理領域存在一些先進的最佳實踐與國際標準，這些標準反映了大量企業的經驗結晶，并有專業監 管實體維護。采用標準的IT治理架構可以給企業帶來諸多收益。如美國堪薩斯州把COBIT標準

21、作為虛擬政府策略的一部分，結果降低了運營成本，并為它的客 戶和委托人提供了很高質量的服務。ProctorGamble在采用ITIL標準的四年里，節省超過5億美金的預算。同時ProcterGamble 內部財務和IT部門的調查顯示，其運作費用降低68，而技術人員的人數減少1520。ISO/IEC17799是成為國際標準最快的一個標 準，ISO/IEC17799的前身BS7799是賣出拷貝最多的管理標準，目前已有二十多個國家引用BS7799-2作為國標，各大信息安全公司也都以 BS7799為指導向客戶提供信息安全咨詢服務。下面我們就幾個通用的IT治理體系架構和標準進行介紹：（1）COBITThe

22、Control Objectives for Information and related Technology (COBIT)，最新標準是4.1版。由Information Systems Audit and Control Association (ISACA)出版，最早在1996年發布。COBIT架構由34個高層控制目標和318個細節控制目標組成，通過定義這些目標，可以幫助維護企業業務對 IT的有效控制。該標準比較完善，所有的COBIT文檔集合可以在線獲得，包括executive summary、架構、控制目標、審計指引、管理指引和實現指引。（2）ISO 17799Internatio

23、nal Organization for Standardization國際標準組織的ISO-17799，目前最新的版本是ISO-27001，全稱為“信息技術信息安全管理實踐代碼”， 該標準首先于2000年12月由ISO發布。該標準基于英國標準7799，英國標準曾有很多版本，開始于1995年。ISO 17799的目的是關注于安全，并且輔助企業創造有效的IT安全計劃。該標準有以下的高層次內容：安全政策、組織安全、資產分散和控制、個人安全、物理和 環境安全、通訊和操作管理、進入控制、系統開發和維護、業務持續性管理和適應性。（3）ITILInformation Technology Infrastr

24、ucture Library (ITIL)由United Kingdom's Office of Government Commerce (OGC)維護，二十世紀八十年代末根據很多組織的輸入開發。該標準為IT服務管理的最佳實踐。主要關注10個流程：服務級別管理、IT服務財務管理、能 力管理、IT服務連續性管理、可用性管理、事件管理、問題管理、變更管理、發布管理、配置管理。什么標準最好？存在如此多的IT治理的體系和標準，那么哪種標準最好？我們說沒有最好，只有最適合。COBIT 在IT控制和量度指標方面最強。ISO17799覆蓋IT安全，而ITIL重點在于流程，尤其是IT服務相關的部分。組

25、織不應該僅僅選擇一個，而應該對三 個標準進行總體瀏覽，然后計劃一個方法，通過該方法混合每種標準中最好和最適合本企業部分。比如，客戶或者監管實體可能需要組織采用ISO17799，結 果是至少可以將該標準作為初始切入點，但從長遠來看，同樣的公司最終也可以在遠景中包括其他標準。下圖為各種標準比對：圖3 IT治理標準比較1.2. 構建全面的IT治理體系理論模型IT治理體系保證總體戰略目標能夠從上而下貫徹執行。IT治理和其它治理活動一樣，集中在最高管 理層（董事會）和執行管理層。然而，由于IT治理的復雜性和專業性，治理層必須強烈依賴企業的下層來提供決策和評估活動所需要的信息。為保證有效的IT治 理，下層

26、應用要和企業總體目標采用相同的原則，提供評估業績的衡量方法。因此，好的IT治理實踐需要在企業全部范圍內推行。構建全面的IT治理模型首先要解決董事會、執行管理層、業務及服務部門三者的任務和使命，弄清其中的關系。圖4 董事會執行管理層業務及服務部門三者任務及關系IT治理使得最高管理層（董事會）和執行經理的一系列活動成為可能。這些活動主要包括：IT的目標，新技術的機遇和風險，關鍵過程與核心競爭力。如指導信息技術的職能和對企業的影響，分配責任，定義操作，衡量業績，管理風險和獲得保證的約束等。IT治理體系理論模型明確了企業各個層面在IT治理體系中的任務和使命的基礎上，我們提出了IT治理體系的理論模型。 這個理論模型是基于對現行的各種IT治理體系結構和國際標準的基礎上建立的。企業IT面臨的變化和問題，體現在IT體系的核心三要素技術、人員、流程上， 通過建立全面的IT治理體系可以解決企業IT面臨的所有問題。圖5 構建全面的IT治