论文部分内容阅读
[摘 要] SOX法案的颁布使得公司治理再度成为世界的关注点,如何进行有效的IT 治理并以此提升公司治理水平成为亟待解决的问题。本文从IT 治理的涵义出发,构建了一个将IT治理内容与流程相结合的IT 治理导入模型,进而对模型中的各主要元素进行深入的分析,并给出了具体的方法和工具。本文对我国企业提升公司治理和IT治理水平具有积极的理论和实践指导意义。
[关键词] IT 治理;导入模型;公司治理;COBIT
[中图分类号]F270.7[文献标识码]A[文章编号]1673-0194(2008)16-0082-03
一、 公司治理的新挑战
安然公司、世界通讯公司财务丑闻的相继爆出,以及《萨班斯法案》(SOX)的推出,使公司治理再次成为世界性的关注点。新颁布的SOX法案要求上市公司提高透明度,提高公布信息的质量,加强信息披露,完善公司治理水平,保护投资者的利益。尤其是SOX法案的302、404以及409等条款,对IT一般性控制和应用系统/业务流程层面的自动控制提出了明确的要求,凸显了IT治理在公司治理机制中的作用。
IT治理不但是完善公司治理的利器,也是当今法律法规的必然要求。没有相应IT治理机制的公司治理,无法提高公司治理水平,无法满足SOX法案的严格要求。
如何从信息技术(IT)中获得最大化的商业价值,充分利用信息资源,避免“信息孤岛”、信息系统与业务相脱离等问题,并控制信息化建设过程中的风险,是IT治理的主题,也是公司治理面临的崭新而迫切的任务,也是本文将要探讨的主要问题。
二、 IT 治理的涵义
麻省理工学院(MIT)信息系统研究中心的 Peter Weill教授等认为:“IT治理是在IT应用过程中,为鼓励期望行为而明确的决策归属和责任担当框架”。他们认为,对任何一个企业来说,IT治理包含以下5个关键IT决策问题:IT原则、IT架构决策、IT基础设施决策、业务应用需求决策和IT投资优先顺序决策。而IT 治理就是要明确由谁做这些决策,并承担相应的责任。
从以上定义可以看出,IT治理要从制度层面和组织架构入手,构建一系列的政策、流程和程序,使IT目标符合企业战略目标,企业从IT中获得最大的商业价值。同时,明确IT建设中各项决策的归属权及责任,合理利用组织的信息资源,并对IT 建设中的相关风险加以管理和控制。
三、 IT 治理导入模型
IT 治理在世界范围内还是一个崭新的领域,IT治理首先由Loh and Venkatraman(1992)提出,Brown(1997)提出“IS治理框架”,Sambamurthy and Zmud(1999)将其发展成为“IT治理框架”,此后IT治理才真正成为世界研究热点。
对于IT 治理的相关要素及治理框架都有一些研究,但对于公司应该如何系统性地导入IT 治理的研究还很少,本文试图将IT 治理的内容与IT 治理的流程结合起来,构建一个公司IT 治理导入模型,帮助公司有效地实施IT 治理。导入模型如图1所示。
IT原则的治理安排。在IT原则的决策中,绝大多数企业采用了由IT专业人员和CxO们组成的高管会共同决策的治理模式。这种模式可以确保IT与公司的业务战略一致,使公司的IT原则具有一定的前瞻性。单独由高管会或IT部门来做出决策,都面临着巨大的风险。
IT架构的典型治理安排。超过70%的企业由IT部门负责将公司的IT原则转化为支持企业战略的IT架构,同时由各业务部门提供所需要的信息。这样业务部门的需求就可以糅进企业的IT架构中,保证企业的IT架构符合企业的目标。
IT基础设施的典型治理安排。IT基础设施的决策和IT架构一样,约有60%的企业由IT部门制定。决策所需要的信息来源于各业务部门的需求。
业务应用需求的典型治理安排。对于IT业务应用需求的决策,由高管会与业务部门或高管会与IT部门联合决策的形式较多。由高管会与业务部门共同决策,可以将部门的应用需求与企业的目标相结合。由高管会与IT部门共同决策的方式,需要各业务部门将各自的需求汇报到IT部门,IT部门将各部门的共同需求制定出共同的解决方案。这样,一方面可以为企业节约大量的资金,另一方面,增强了技术标准和现有的IT基础设施能力对应用选择的影响力。
IT投资和优先级的典型治理安排。对IT投资和优先级的决策主要有:由高管会决策、由高管会与业务部门或与IT部门共同决策3种形式。每种方法的着眼点各不相同。高管会主要负责整个资金预算和项目优先级的决策。对于企业与各业务部门的需求平衡则由高管会与业务部门共同决策;高管会与IT部门联合决策可以保证公司有限的资金得到最合理的使用,并保证最急需的项目能够顺利进行。
(2) 建立IT 治理的实现机制
有了治理安排,企业还需要一系列的治理机制来实现及监控这些安排。设计周详的、容易理解和清晰的机制,可以较好地实现IT治理。反之,治理安排则不会实现预期的结果。有效的IT治理机制通常由治理流程、沟通方式来构成。
治理流程。有效的治理流程与决策一样重要。关键的治理流程包括:IT投资批准流程、架构的例外流程、服务水平协议、费用分摊机制、在建项目追踪、项目建设绩效评估。流程的定义应该是非常清晰、明确、透明的。
沟通方式。包括企业采用什么样的方法将IT治理的原则、政策和有关的IT决策的结果传播出去,以及对用户的教育、培训等。常用的方法有:高层管理者的公告、正式委员会的会议、通过IT治理办公室来沟通治理安排等。企业越是采用正式的沟通方式对他们的IT治理机制、工作方式、预期效果进行沟通,治理的效果就越好。
总的来说,在设计企业的治理机制时,应该根据企业的实际情况,以简单、透明、适合为原则。机制应该明确定义特定组织和个人所承担的责任和目标;治理的流程应该是正式的、非常清晰的;所制定的治理机制应该是适合企业自身的实际情况的。
4. IT 治理实施及评估
流程的效果取决于实施。公司在明确了IT 治理的内容,建立了相关的组织结构、治理流程和沟通机制之后,对于各个治理活动应该建立严格的治理计划,根据各个活动所需,分配相应的资源,并严格按照公司的治理流程进行。具体项目的实施,如ERP, SCM 等大型系统,应该将IT 项目的管理方法与公司的治理流程相结合,以保证项目的成功。
对公司的各项IT 项目及治理活动,在完成之后,都需要进行评估。评估可以参照平衡记分卡的理论体系进行,即从财务视角、业务流程视角、客户视角及企业的创新持续发展的视角进行评估。目前,评估的理论体系非常丰富,不存在优劣之分,企业应该选择最适合自己的理论方法进行评估。
至此,已经完成了公司IT 治理的一个循环。但是,公司的IT 治理是一个动态的而不是静态的过程,公司应该根据在治理过程中发现的问题以及出现的新技术,不断更新公司的战略目标和IT 规划,从而开始新一轮的治理循环。公司IT 治理的过程应该是一个循环往复螺旋式上升的过程,治理水平不断提高。
四、 总 结
本文建立的IT治理导入框架模型强调组织导入IT治理必须遵循一个科学的流程:制定与战略目标相一致的IT 发展规划,建立相关的决策组织、决策流程和实现机制,在具体实施中,公司应该严格对各项治理活动进行监控与评估。只有科学地遵循IT治理导入流程,才能有效提高IT治理水平,从而强有力地提升我国企业的公司治理水平。
主要参考文献
[1] 彼得·维尔,珍妮·W·罗斯. IT 治理 [M]. 杨波译. 北京:商务印书馆,2005.
[2] G Trites. Director Responsibility for IT Governance [J]. International Journal of Accounting Information Systems,2004,5(2).
[3] V Sambamurthy and R W Zmud. Arrangements for Information Technology Governance:A Theory of Multiple Contingencies[J]. MIS Quarterly,1999,23(2).
[4] C V Brown. Examining the Emergence of Hybrid IS Governance Solutions: Evidence from a Single Case Site[J]. Information Systems Research,1997,8(1).
[5] IT Governance Institute,Information System Audit and Control Foundation. COBIT 4.0[S]. 2005.
[6] 胡克瑾,陈民. IT 治理——公用事业信息化风险控制 [J]. 城市公用事业,2006(4).
[7] 李维安,王德禄. IT 治理及其模型的比较分析 [J]. 首都经济贸易大学学报,2005(5).
[8] 田野,宝贡敏,常红.基于IT 治理的企业信息战略管理探讨 [J].技术经济,2005(10).
[9] 饶艳超.公司治理的新视角: IT治理——建立企业目标和信息技术之间的联系 [J].会计研究,2003(8).
[10] 郝晓玲,李明. IT 治理对企业的影响分析[J]. 科研管理,2005 (5).
[关键词] IT 治理;导入模型;公司治理;COBIT
[中图分类号]F270.7[文献标识码]A[文章编号]1673-0194(2008)16-0082-03
一、 公司治理的新挑战
安然公司、世界通讯公司财务丑闻的相继爆出,以及《萨班斯法案》(SOX)的推出,使公司治理再次成为世界性的关注点。新颁布的SOX法案要求上市公司提高透明度,提高公布信息的质量,加强信息披露,完善公司治理水平,保护投资者的利益。尤其是SOX法案的302、404以及409等条款,对IT一般性控制和应用系统/业务流程层面的自动控制提出了明确的要求,凸显了IT治理在公司治理机制中的作用。
IT治理不但是完善公司治理的利器,也是当今法律法规的必然要求。没有相应IT治理机制的公司治理,无法提高公司治理水平,无法满足SOX法案的严格要求。
如何从信息技术(IT)中获得最大化的商业价值,充分利用信息资源,避免“信息孤岛”、信息系统与业务相脱离等问题,并控制信息化建设过程中的风险,是IT治理的主题,也是公司治理面临的崭新而迫切的任务,也是本文将要探讨的主要问题。
二、 IT 治理的涵义
麻省理工学院(MIT)信息系统研究中心的 Peter Weill教授等认为:“IT治理是在IT应用过程中,为鼓励期望行为而明确的决策归属和责任担当框架”。他们认为,对任何一个企业来说,IT治理包含以下5个关键IT决策问题:IT原则、IT架构决策、IT基础设施决策、业务应用需求决策和IT投资优先顺序决策。而IT 治理就是要明确由谁做这些决策,并承担相应的责任。
从以上定义可以看出,IT治理要从制度层面和组织架构入手,构建一系列的政策、流程和程序,使IT目标符合企业战略目标,企业从IT中获得最大的商业价值。同时,明确IT建设中各项决策的归属权及责任,合理利用组织的信息资源,并对IT 建设中的相关风险加以管理和控制。
三、 IT 治理导入模型
IT 治理在世界范围内还是一个崭新的领域,IT治理首先由Loh and Venkatraman(1992)提出,Brown(1997)提出“IS治理框架”,Sambamurthy and Zmud(1999)将其发展成为“IT治理框架”,此后IT治理才真正成为世界研究热点。
对于IT 治理的相关要素及治理框架都有一些研究,但对于公司应该如何系统性地导入IT 治理的研究还很少,本文试图将IT 治理的内容与IT 治理的流程结合起来,构建一个公司IT 治理导入模型,帮助公司有效地实施IT 治理。导入模型如图1所示。
IT原则的治理安排。在IT原则的决策中,绝大多数企业采用了由IT专业人员和CxO们组成的高管会共同决策的治理模式。这种模式可以确保IT与公司的业务战略一致,使公司的IT原则具有一定的前瞻性。单独由高管会或IT部门来做出决策,都面临着巨大的风险。
IT架构的典型治理安排。超过70%的企业由IT部门负责将公司的IT原则转化为支持企业战略的IT架构,同时由各业务部门提供所需要的信息。这样业务部门的需求就可以糅进企业的IT架构中,保证企业的IT架构符合企业的目标。
IT基础设施的典型治理安排。IT基础设施的决策和IT架构一样,约有60%的企业由IT部门制定。决策所需要的信息来源于各业务部门的需求。
业务应用需求的典型治理安排。对于IT业务应用需求的决策,由高管会与业务部门或高管会与IT部门联合决策的形式较多。由高管会与业务部门共同决策,可以将部门的应用需求与企业的目标相结合。由高管会与IT部门共同决策的方式,需要各业务部门将各自的需求汇报到IT部门,IT部门将各部门的共同需求制定出共同的解决方案。这样,一方面可以为企业节约大量的资金,另一方面,增强了技术标准和现有的IT基础设施能力对应用选择的影响力。
IT投资和优先级的典型治理安排。对IT投资和优先级的决策主要有:由高管会决策、由高管会与业务部门或与IT部门共同决策3种形式。每种方法的着眼点各不相同。高管会主要负责整个资金预算和项目优先级的决策。对于企业与各业务部门的需求平衡则由高管会与业务部门共同决策;高管会与IT部门联合决策可以保证公司有限的资金得到最合理的使用,并保证最急需的项目能够顺利进行。
(2) 建立IT 治理的实现机制
有了治理安排,企业还需要一系列的治理机制来实现及监控这些安排。设计周详的、容易理解和清晰的机制,可以较好地实现IT治理。反之,治理安排则不会实现预期的结果。有效的IT治理机制通常由治理流程、沟通方式来构成。
治理流程。有效的治理流程与决策一样重要。关键的治理流程包括:IT投资批准流程、架构的例外流程、服务水平协议、费用分摊机制、在建项目追踪、项目建设绩效评估。流程的定义应该是非常清晰、明确、透明的。
沟通方式。包括企业采用什么样的方法将IT治理的原则、政策和有关的IT决策的结果传播出去,以及对用户的教育、培训等。常用的方法有:高层管理者的公告、正式委员会的会议、通过IT治理办公室来沟通治理安排等。企业越是采用正式的沟通方式对他们的IT治理机制、工作方式、预期效果进行沟通,治理的效果就越好。
总的来说,在设计企业的治理机制时,应该根据企业的实际情况,以简单、透明、适合为原则。机制应该明确定义特定组织和个人所承担的责任和目标;治理的流程应该是正式的、非常清晰的;所制定的治理机制应该是适合企业自身的实际情况的。
4. IT 治理实施及评估
流程的效果取决于实施。公司在明确了IT 治理的内容,建立了相关的组织结构、治理流程和沟通机制之后,对于各个治理活动应该建立严格的治理计划,根据各个活动所需,分配相应的资源,并严格按照公司的治理流程进行。具体项目的实施,如ERP, SCM 等大型系统,应该将IT 项目的管理方法与公司的治理流程相结合,以保证项目的成功。
对公司的各项IT 项目及治理活动,在完成之后,都需要进行评估。评估可以参照平衡记分卡的理论体系进行,即从财务视角、业务流程视角、客户视角及企业的创新持续发展的视角进行评估。目前,评估的理论体系非常丰富,不存在优劣之分,企业应该选择最适合自己的理论方法进行评估。
至此,已经完成了公司IT 治理的一个循环。但是,公司的IT 治理是一个动态的而不是静态的过程,公司应该根据在治理过程中发现的问题以及出现的新技术,不断更新公司的战略目标和IT 规划,从而开始新一轮的治理循环。公司IT 治理的过程应该是一个循环往复螺旋式上升的过程,治理水平不断提高。
四、 总 结
本文建立的IT治理导入框架模型强调组织导入IT治理必须遵循一个科学的流程:制定与战略目标相一致的IT 发展规划,建立相关的决策组织、决策流程和实现机制,在具体实施中,公司应该严格对各项治理活动进行监控与评估。只有科学地遵循IT治理导入流程,才能有效提高IT治理水平,从而强有力地提升我国企业的公司治理水平。
主要参考文献
[1] 彼得·维尔,珍妮·W·罗斯. IT 治理 [M]. 杨波译. 北京:商务印书馆,2005.
[2] G Trites. Director Responsibility for IT Governance [J]. International Journal of Accounting Information Systems,2004,5(2).
[3] V Sambamurthy and R W Zmud. Arrangements for Information Technology Governance:A Theory of Multiple Contingencies[J]. MIS Quarterly,1999,23(2).
[4] C V Brown. Examining the Emergence of Hybrid IS Governance Solutions: Evidence from a Single Case Site[J]. Information Systems Research,1997,8(1).
[5] IT Governance Institute,Information System Audit and Control Foundation. COBIT 4.0[S]. 2005.
[6] 胡克瑾,陈民. IT 治理——公用事业信息化风险控制 [J]. 城市公用事业,2006(4).
[7] 李维安,王德禄. IT 治理及其模型的比较分析 [J]. 首都经济贸易大学学报,2005(5).
[8] 田野,宝贡敏,常红.基于IT 治理的企业信息战略管理探讨 [J].技术经济,2005(10).
[9] 饶艳超.公司治理的新视角: IT治理——建立企业目标和信息技术之间的联系 [J].会计研究,2003(8).
[10] 郝晓玲,李明. IT 治理对企业的影响分析[J]. 科研管理,2005 (5).