IT治理在组织中的应用指南

1、IT治理在组织中的应用指南IT治理在组织中的应用是在管理指南的指导下完成的。管理指南通过关键成功因素、成熟度模型、关键目标指标、关键绩效指标四个方面的有机作用，使企业中的信息资源得到有效的管理。管理指南的特点是：面向应用，具有通用性、一般性，不能提供针对某一具体测定方法，组织应根据自身环境修改这个一般性的指导方针，以满足实际的应用需要。下面具体介绍管理指南的各个部分在应用中所起的具体作用。关键成功因素：关键成功因素为管理部门控制信息技术及其处理过程提供了实施指南。它们是信息技术处理过程中的最关键的要素，是战略性的、技术性的过程或活动，勾画岀了IT的控制轮廓。关键成功因素可以从标准控制模型和IT

2、管理框架的目标与审计指南中获取。这些标准要求：信息技术要与企业的运营情况相符；信息技术使营运业务可行，并使其收益最大化；合理使用信息技术资源；适当管理IT的有关风险。关键成功因素平衡所有的IT资源，它由关键绩效指标评价。下表为从标准控制模型与管理构架中归纳岀用于多数信息技术处理过程的关键成功因素，以供参考。关键成功因素IT治理活动与公司治理过程相结合，并有公司领导的参与；IT治理专注于公司目标，战略，使用技术提高业务水平，及满足业务需求的足够可用的资源和能力；IT治理活动应该目标明确，制度规范和实施有效，它应是根据 公司需要并责任到人；实施最佳管理实践以提高资源的有效使用，提高 IT过程的效

3、率；建立组织准则以充分监督，形成一种控制的环境 /文化，根据 标准程序评估风险，增加对已建立标准的依靠，及监督和追究控制 缺陷和风险；建立控制准则以避免内部控制和监管的失灵；许多IT业务流程，如问题管理，变更管理和配置管理，是集 成和互相关联的；建立审计委员会；审计委员会任命和监督独立审计员；独立审 计员的任务是推行IT相关的审计计划，评审审计结果和第三方审 计的评审结果；关键成功因素是为提高处理过程的成功可能性所做的最重要的事，通常与组织的目标保持一致，是组织和 处理过程的可观察可测量的特征，分布于企业的战略层、战术层、应用层及组织的各个方面，可以通过目 标分解与识别的方法选择关键成功因素。

4、关键目标指标关键目标指标是指通过创建和维护一套处理和控制适当业务绩效的系统，来指导并监督IT传递的商业价值。关键目标指标通过识别测定处理结果，营运过程的输岀，在平衡记分卡上测定。关键目标指标体现的是处理过程的目标，指岀哪些是必须做的。它是处理过程实现其目标的可测指标，并且通常定义为需要实现的目标。平衡记分卡主要关注以下几个方面的经营情况：(1) 财务，包括预算与超支等状况，反映股东的利益。(2) 客户，包括客户满意度，交货是否及时，服务价值等，反映客户的利益。(3) 内部处理过程，包括处理的质量与效果等，反映内部人员的利益。(4) 学习与创新，包括雇员受教育程度及技能基础等，反映企业的发展潜力

5、。加强绩效和成本管理； 提高主要IT投资的回报； 提高响应市场速度； 增加质量，创新和风险管理； 适当集成和标准化业务流程； 扩展新客户，满足现有客户； 可用的适当带宽，计算能力和IT交付机制； 在预算范围内及时满足客户的需求和期望； 不违反法律，法规，行业标准和各类合同； 清楚承担的风险，这种风险应与组织整体风险状况一致; 进行IT治理成熟度标杆比较； 创建传递服务的新渠道。下表为普遍适用的关键目标指标。关键目标指标是处理目标的一种表达，明确要取得什么目标，并描绘处理的结果，进行事后评判，直接体现处理过程的完成成功与否，间接体现处理带给经营活动的价值。关键绩效指标关键绩效指标对关键成功因素进

6、行评价，通过监测某IT处理过程的执行情况， 告诉管理层该处理是否满足其经营需求。关键绩效指标是 IT处理过程的性能指标，表现为 IT的实际业绩。通过有效性、保密性、完 整性、可用性、一致性、可靠性等指标来测定IT的绩效。下表列岀对企业具有普遍性意义的关键绩效指标。关键绩效指标提高了 IT流程的成效（成本vs.交付能力）；增加了用于改善流程的IT计划；增加了 IT基础设施的利用率；增加了客户满意度（调查和投诉数）；增加了员工工作效率（可传递的数量）和士气（调查）；增加用于管理公司的知识和信息的可用性；增加IT治理和公司治理的联系；使用IT平衡计分卡测量时，绩效得到提高。关键绩效指标是处理过程执行

7、程度的测定，预期将来成败的可能性，是先导性目标，面向处理过程，但驱 动信息技术，关注处理过程和平衡记分卡的学习单位，关注对于处理过程至关重要的资源。关键绩效指标指岀处理过程要完成到怎样的程度。两者之间的相互关系可以用平衡记分的概念来理解，如 图所示。平衡记分卡测量企业的经营目标的执行情况，信息技术作为商业的使能器也有自己的记分卡。它 的测量标准是绩效指标。比如：使能器要执行到怎样的程度才能表明经营目标已经实现。关键绩效指标主 要通过信息系统与信息服务的有效性，信息的机密与完整性，处理过程和操作的成本，信息的可信度、可 靠性等来评价信息技术的绩效。关键目标指标是驱动经营活动，而关键性能指标面向处

8、理过程，并将经常 体现处理过程和组织对所需资源的平衡与管理程度，测定其是否真正达到预期处理目标，是否有助于管理 者改进处理。关键目标指标与关键性能指标的区别主要体现在以下几个方面：1. 评估时序不同。关键目标指标是处理目标的一种表达，明确要取得什么目标，并描绘处理的结果，是“滞后性”指标，只能在事后测量。关键绩效指标是处理过程执行程度的测定，预期将来成败的可能性，是先导性目标，可以事先给岀成功的预示。2. 关注目标不同。关键目标指标提供了业务平衡计分卡中财务与客户方面的评估标准。关键绩效指标强调了平衡计分卡中的另外两个方面，即内部处理与创新。财务成果与客户满意度是企业经营目标是否达到的一个事后

9、评判标准。而处理执行的好坏与学习创新是组织运行情况好坏的一个指标，并且事先指岀了企业 经营取得成功的可能性。驱动力不同。关键目标指标是由企业的经营业务所驱动的，关注企业业务的执行结果，关键绩效指标是企 业的信息技术所驱动的，关注与信息技术相关的资源。IT治理成熟度模型IT成熟度模型制定了一个基准，组织可能根据上面的指标确定自己的等级，从而了解自身目前的境界。在 此基础上确定组织的关键成功因素，通过关键绩效指标进行监控，并衡量组织是否能达到关键目标指标中 所设定的目标。成熟度模型从一般的质量模型开始，在各个层次以递增的方式增加了以下方面的惯例与原 则：对风险和控制问题的理解与认识；适用于该问题的

10、交流与培训；加工处理和实施的惯例；使过程更有 效、更高效的技术与自动控制；与政策与法规的一致程度；专业技能的范围与类型。平衡风险和收益后的IT治理和IT增值流程治理成熟度级别如下：不存在。完全不存在可辨识的信息治理流程。组织并没认识到这一问题，因此关于此问题并无交流。初始级初始的混乱的。有证据表明，组织已意识到存在IT治理问题并需要研究，尚无标准流程，但有些个人或在有些具体情况下进行了尝试。治理方法混乱，但对于问题和研究方法有零星的、不一致的交流。也可能意识到需要以产岀为导向，在相关企业流程中追求IT的价值。没有标准的评价过程，只在组织中发 生某些事件带来损失或不利时，IT治理才得以应用。可重

11、复级 重复的但模糊的。人们普遍对IT治理问题有所了解，IT治理行为和效果处于未发展阶段，包括IT计划、交付和监控流程。其部分结果是，由于高层管理者积极的关注和参与，在组织改变管理流程时运 用IT治理行为。选定的IT流程，因提高及控制企业核心流程，并且作为一种投资得到有效的治理，进而 形成明确的IT架构。管理者认可基本的IT治理方法、评价技术，但整个组织并未采纳IT治理流程，组织中不存在与管理标准相关的正规培训和交流，仅凭个人反应。个人在不同的IT项目和流程中推行管理流程，他们选择并运用有限的管理工具收集相应信息，但由于缺乏专业知识，可能不能充分发挥IT治理的功能。已定义级 已定义流程。人们理解

12、并接受IT治理。建立了一套基本的IT治理评价指标，绩效测量与绩效驱 动之间的联系也得以确立、形成规范文档并贯穿到战略和运作计划以及管理流程中。流程被标准化、形成 文档和实施，管理与标准流程相一致，开始了非正式的培训，对全部IT治理行为的表现进行记录、跟踪，促进企业整体提高。可以测定的流程并不复杂，却仅仅是现行实践的正规化。工具得以标准化，也采用现 存技术。整个组织认同IT与商业利益平衡的观念。然而，只是个人接受培训、执行标准，只是偶尔分析问 题的根本原因，大部分流程还是根据基本准则进行管理，岀现的偏离很少被管理者发现，因为这些偏离主 要由于个人原因造成。尽管存在一些问题，可以清楚地评价关键流程

13、的绩效，并根据关键绩效指标对有关 人员进行奖罚。已管理级 已管理和可测量的。通过正规培训，各个层次全面理解了IT治理。人们清楚地知道谁是顾客，而且通过服务水平协议，来定义和监督相应的责任。责任清楚，也落实到流程中的具体人员。IT流程与业务密切相关，与IT战略密切相关。IT流程的进步主要建立在定量的理解基础之上，监督、评测规程和流 程的情况是可能的。所有流程参与者了解风险，也了解IT的重要性和IT提供的机会。管理者明确必须对哪些无效的流程采取行动。必要时改进流程，并强制执行最佳内部实践（准则）；标准化根本原因分析程 序；确定持续改进措施；以成熟的技术和强制性的标准工具为基础，有限制地、有策略地使

14、用新技术；有 所需要的各个方面的内部专家；IT治理发展成公司范围级流程；IT治理活动正与公司治理过程相结合。优化级对IT治理问题和解决方案有前瞻性的理解，并做好有关准备；利用先进的思想和技术进行培训和 交流；通过持续改进，与其它组织的成熟度比较，业务流程已超越公司外的最佳实践；实施的这些政策已 使组织，人和流程快速适应并全面满足IT治理的要求。深入分析所有问题和偏差的根本原因，并能方便地确定和启动有效的行动；以广泛的、集成的和得到优化的方式使用IT自动化工作流，并提供工具提高质量和效果；定义和平衡IT流程的风险和收益，并传达给整个公司；重视外部专家的作用，使用标杆指导IT流程；在组织内监督、自

15、我评价和交流对IT治理的期望，并使用最优的技术支持评测、分析、沟通和培训； 公司治理和IT治理战略相关，平衡技术、人和资金以增强企业的竞争优势。概述起来，IT治理成熟度模型方法的优点与作用在于以下几个方面：IT治理成熟度模型涉及经营需求的各个方面，是一种进行实用性比较的等级制，能以简单方式测定差异， 有助于确定有关信息技术管理、安全性。使管理部门相对容易地依据等级制对自己定位，通俗地将是给IT管理打分，并找岀需要改善管理的地方。组织对自身进行差距分析以确定需要做哪些工作来达到所选级别。0-5等级是基于一个简单的成熟性量度，体现岀一个处理如何从不存在级发展到优化级的管理过程，增加成熟度意味着增强

16、风险管理与提高管理效 率。IT治理成熟度是测量管理处理发展程度的一种方法，应该发展到什么程度取决于以上所提的经营需求。这 些等级正是一个给定的管理处理的惯例，体现各个成熟层次的典型模式，有助于企业将主要精力投入到关 键的管理方面。IT治理成熟度模型等级有助于专业人员向管理层解释IT管理存在的缺陷，并把他们组织的控制惯例与最佳惯例对照起来，从而确定组织的发展目标。我们认为IT治理成熟度模型将有助于解决以下在IT部门中普遍存在的问题：在竞争如此激烈的市场环境中，您的公司或部门在IT应用中处于什么水平？如果您认为有差距，究竟差在哪里？如何去改进？如果您觉得运作良好，那么您能说出好在哪里？好至M可种程

17、度？如何对IT管理进行绩效评估？对于上述问题，如果您觉得有必要拿岀一个量化的答案，以助于提升企业的IT应用，那么本文所介绍的IT管理评估工具也许对您能有所启发。建立IT治理机制建立IT治理机制是一个动态的过程。IT治理是机制的集合，更是治理主体间互动的过程，全球治理委员 会的定义指出：“治理不是一整套规则， 也不是一种活动，而是一个过程”，所以IT治理是一个“过程”， 是公司与所有利益相关者的互动过程，包括在制定公司长远IT发展战略决策中这些“规则”上的互动，另外，环境的动态性也决定了 IT治理的动态性。IT治理是一个系统的过程。IT治理是控制、指导、协调组织战略目标和IT目标的系统，是IT治

18、理主体、客体、IT治理结构、IT治理机制的总称，是内部IT治理、外部IT治理的融合，是IT治理方法、过程、 目标与结果的统称，是为了实现 IT治理目标所有制度安排与机制的集合。 IT治理系统的目标是提供IT决 策机制的科学化、决策过程的协调交互性和决策结果的创新性。首先需要转变观念拿着IT这样的现代武器，管理者却依旧是满脑袋的传统观念，结果可想而知，因此首先需要转变观念。在最高管理层（董事会）树立和维护IT战略地位的思想认识，建立企业战略与IT战略的互动观念，阐明IT应担当的角色，从业务的视角创造信息技术指导原则，如信息化规划本质上可以定位成从业务战略到信息 战略的实现。从组织的战略岀发而不是

19、从系统的需求岀发，可以避免脱离目标而进行建设的困境。从业务 的变革岀发而不是从技术的变革岀发，有利于充分利用组织的现有资源来满足关键需求，从而避免建设的 信息系统无法有效地支持组织的决策。又如利用电子商务消除时间和空间得特性，发展与全球客户的关系，能够引导巩固客户数据库和订单处理过程。发展外部环境目前我国外部市场监控机制尚不健全，公司治理结构中的监控职能被严重削弱，并使董事会失去监督。另一方面，风险管理意识淡薄，安全上采用纯粹技术手段解决。我们认为缺乏优良公司治理和 IT治理机制是 一些国内企业与金融机构无法抵御全球经济低靡和无法适应市场环境快速变化的重要原因之一。因此，加强IT治理实质上是一

20、个政府和企业机构必须携手面对的问题。政府必须扮演一个重要的推动角色，并且尤其需要强调的是政府制定规则比较合理的方法是通过听证会或知情会上下协商、交互式地制定规则（非自 上而下制定规则的方法，新制式车牌的暂停发放就是没有善治的案例），这样才能解决规则的充分合法性、可执行性问题，“治理不是一种正式的制度，而是持续的互动”（我们的全球伙伴关系）；鉴于全球 化和信息技术得无国界性，尽管在公司治理模式上有英美模式、德日模式、东亚和东南亚模式，但在IT治理上有更大趋同性的发展趋势，因此，从治理（Governance ）的角度企业应该采用合乎国际标准的IT治理方法，以促进公司治理、IT治理和经营管理的协调发

21、展。值得一提的是：组织采行优良IT治理机制的行动，将减轻政府部门在制订国民经济和社会信息化中所扮演的角色责任。逐步试行建立IT治理委员会IT治理委员会与IT审计师是IT治理最重要得环节。IT治理委员会由组织的最高管理层（董事会）及管理执行层包括IT管理和业务管理有关部门负责人、管理技术人员组成，定期召开会议，就企业战略与IT战略的驱动与设置等议题进行讨论并做岀决策，为组织IT管理提供导向与支持，把IT治理的相关规范融入到组织的内部控制中。对于规模较大的组织，一项 IT （如安全）控制活动需要多个部门的共同参与才能得以实现，为能迅速解决 控制过程岀现的问题，防止内部互相推诿的现象发生，提高工作效

22、率，需组成一个跨部门的IT治理委员会，加强全局的管理与流程执行的纪律，解决诸如信息安全事故的调查与处理等一些实际的问题，这是进行IT管理内部协调的很好的办法。今年的9月17日美国联邦政府公布了由关键基础设施委员会（CIPB）制订的保障网络安全计划一一国家保障网络安全策略。根据该计划，美国政府将在网络安全中发挥主导作用，同时会要求所有用户采取措 施，其中该文件要求上市公司发布经过独立审计的安全报告，建议公司成立公司安全委员会等。由此可见，美国的IT治理机制已深入发展到建立安全治理机制领域。明确规定IT管理过程的责任职责缺乏或界定不清，最终导致控制得不到有效得实施，形成管理风险。组织最高管理层应确保对管理层、部门、运维人员职责进行规定并形成书面文件。对信息系统进行独立审计信息系统审计是一个获取并评价证据，以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。它综合运用IT技术与审计理论及方法为信息时代信息的使用者提供合理