IT治理中国信息化的必由之道

1、.IT治理：中国信息化的必由之道PAGE ：.；IT治理：中国信息化的必由之道孙 强 郝亚斌 郝晓玲 孟秀转目 录 TOC o 1-3 h z HYPERLINK l _Toc26619007 引言 PAGEREF _Toc26619007 h 1 HYPERLINK l _Toc26619008 IT治理缺失的九大病症 PAGEREF _Toc26619008 h 1 HYPERLINK l _Toc26619009 IT治理的定义 PAGEREF _Toc26619009 h 4 HYPERLINK l _Toc26619010 IT治理的目的 PAGEREF _Toc26619010 h

2、 4 HYPERLINK l _Toc26619011 IT治理处理哪些问题 PAGEREF _Toc26619011 h 5 HYPERLINK l _Toc26619012 IT治理的范围 PAGEREF _Toc26619012 h 6 HYPERLINK l _Toc26619013 公司治理和IT治理 PAGEREF _Toc26619013 h 7 HYPERLINK l _Toc26619014 IT治理和IT管理 PAGEREF _Toc26619014 h 8 HYPERLINK l _Toc26619015 公司治理与信息技术治理如何任务 PAGEREF _Toc26619

3、015 h 8 HYPERLINK l _Toc26619016 IT治理架构 PAGEREF _Toc26619016 h 9 HYPERLINK l _Toc26619017 IT治理在组织中的运用指南 PAGEREF _Toc26619017 h 11 HYPERLINK l _Toc26619018 建立IT治理机制 PAGEREF _Toc26619018 h 16 HYPERLINK l _Toc26619019 IT治理的胜利案例 PAGEREF _Toc26619019 h 19第 PAGE 23 页 共23页引言信息化曾经成为中国经济与社会开展最重要的推进力，大力推进全社会的

4、信息化，以信息化带开工业化，这一战略曾经获得了可喜的成果。当前，在参与WTO后的中国经济环境中，信息的重要性已被广为认同，信息系统也已逐渐浸透到商业和政府组织中，IT系统开场从传统的后台支持转变为新业务开展的直接驱动力，IT也日益成为企业的直接利润中心。各种组织对信息系统的依赖程度在不断添加，更有一些组织甚至假设没有IT将不复存在，但同时对于很多组织由于信息和信息技术意味着最重要的资产，这导致IT本身曾经或潜在成为一个宏大的要挟，随IT而来的风险、利益和时机使得IT治理成为公司和政府治理中很关键的一个方面。管理层需求确保IT与公司战略一致而且公司战略也很好地利用了IT的优势，政府需求开展电子政

5、务来促动、实现转变政府职能的转变。因此，随着对信息系统依赖性的添加，IT治理对于组织的胜利是至关重要的。这篇文章将探求当前关于IT治理的思想，为什么IT治理框架对于组织的继续胜利是至关重要的，然后描画它与公司治理之间的关系，最后简单引见了一个IT治理的自动化工具COBIT。后续文章将主要集中在IT治理机制的实现上，IT治理应该采用国际上最好的实际规范，包括COBIT和ISO/IEC 17799，讨论如何实施它以改善整个组织的运作。IT治理缺失的九大病症首先，各自为政。缺乏一致、全局的IT战略规划，由于没有统筹规划，目的不明确，规范不一致，一些地方处在混乱无序的形状，构成了很多在权益维护下的信息

6、孤岛，缺乏共享的、网络化的信息资源，中关村科技软件公司总裁朱希铎曾对媒体呼吁，我国要警惕构成世界上规模最大的信息孤岛。如目前国内已建成的众多CA中心，除了在采用X.509证书规范上一致外，其它的共同规范规范很少，中国各CA中心发放的证书根本不能相互兼容，CFCA作为中国金融业的一致认证中心，其证书甚至不能与国际权威的CA认证接轨。对于企业而言，面对业务重组、裁员、外包、充分授权、扁平化组织和分布式处置等如此复杂多变的商业环境，在IT战略规划修订时，如何准确保证IT战略规划和企业战略目的的一致，普遍短少科学方法论的指点。其次，信息化建立指点者错位，IT运用方案和企业业务需求之间逻辑错位。过去的信

7、息化工程是技术专家或技术厂商主导下进展的，而不是经济专家或管理专家主导，技术专家或技术厂商从技术的视角去关注信息技术和设备的先进性等，较少聚焦在IT战略和组织战略目的的互动上，较少思索信息技术如何构成企业中心竞争力，如何防止风险，如何发明新的业务和市场，和管理层沟通短少通用的言语非IT专业术语，因此不可防止地和企业的运营环境、运营目的脱节，而随着设备更新的加快，许多早期的工程只剩下一推摆设，管理层看不到在IT上的投资报答，这又导致信息技术得不到应有的注重，构成恶性循环。目前，总结阅历和教训，各方普遍认识到中国的信息化建立问题从总体上来说不是技术问题。以热火朝天的ERP为例，ERP的实施不仅仅是

8、软件的事，更重要的是一场管理革命。从这个意义上讲，ERP只是一张皮，深层次的是企业内部变革，所以管理变革假设以ERP为助推器，那么ERP的实施将水到渠成；假设以ERP工程为导火线，试图在公司内部发动管理变革，那么往往会面临重重妨碍而搁浅，最终不了了之，甚至还能够导致公司被IT拖垮。第三，决策的技术经济论证缺乏。信息化建立工程具有投资大、风险大的特点。英国Kalido于英国时间2001年12月12日公布了有关企业信息管理的调查结果。调查显示，96的企业对于本公司的信息管理系统感到不满。关于目前正在运用的信息系统，以为所制造的报告缺乏一向性或者是核对信息破费了太多时间的企业约占70。回答目前的信息

9、系统不能灵敏因应变化的企业约占60，对于数据的精度表示担忧的企业约占60，60以上的企业正在谋划有关数据及信息的整合方案。特别引人沉思的是该调查是由美国Harte-Hanks以全球500强企业以及财富1000企业中的171家公司为对象经过问卷方式实施的。现实通知我们，系统规模越大、与管理联络越亲密、集成度越高的系统，风险也越大，失败概率越高，其中最明显的例子就是ERP，信息化建立工程的高风险和高失败率就要求企业在信息化建立决策之前，要进展充分的技术经济论证，综合论证工程技术上的先进性和可行性，财务上的实施能够性，经济上的合理性和有效性。朱镕基总理在国家信息化指点小组第二次会议中特别强调：加快信

10、息化建立，必需以规划为指点，加强统筹协调，突出开展重点，务必注重实效。由于我国信息化建立工程开展时间不长，缺乏工程决策论证阅历，同时，信息化建立工程除直接效益外还产生大量外部效益，对外部效益的量化也是一个难点。因此，许多企业和政府在进展信息化建立时缺乏科学的定性、定量相结合的技术经济论证。 另据分析，2002年，中央政府估计对电子政务建立的投资规模将到达350亿元，如此宏大的投资，一旦由于技术经济论证缺乏而导致决策失误的话，将给国家呵斥多么宏大的损失！ 第四，信息资源的合理运用不断是我国信息化的薄弱环节。信息资源的开发和利用是国家信息化建立的中心义务，是国家信息化获得实效的关键。信息资源的开发

11、和利用是衡量国家信息化程度的一个重要标志，将信息资源开发和利用放在中心位置是我国推进信息化的一大特点。在信息化建立中，我们普遍存在着信息处置环境建立滞后于物理环境建立，许多单位的数据库混乱情况与其先进的计算机环境和网络环境极不相称，使信息化建立无法获得实效，呵斥极大浪费。以电子政务为例，美国电子政务提出的口号是让人们点击3次鼠标就能办完事。而我国一个电子政务系统往往有工商、税务、计委、环保、社保等几十个甚至是上百个系统，要跨部门办一个申报审批的事情，不知道要点击多少次。与此同时，我们以为这也将给中国IT企业带来极大的商机。第五，利益冲突和信息的不透明。由于任何企业的义务环境要思索和关系的利益非

12、常广泛，在任何一个IT战略决策中，都会不可防止发生利益相关者包括部门利益之间的利益冲突。所以，即使管理层要努力承当责任，企业任何时候的任何决策都会招致某个或多个群体的不满。一些管理层在做出IT战略决策之前，没有仔细思索每一个方案会影响到哪些重要的利益相关者，更有甚者把信息化当作一种政治资本在做。那些开场看起来能为公司带来最大利益的最正确方案，也许会为公司带来最严重的后果。因此管理者必需懂得信息系统给组织所带来的各种影响。相关指点需求仔细地思索，当引进信息系统并产生效益的同时，还能够给企业带来什么新的问题？信息系统能否可以给组织各级指点的任务带来影响？组织的任务流程能否需求变化？会不会引起新的人

13、员下岗？等等。信息的不透明表如今诸多方面，如政府信息化专项贴息贷款，那些贷款果真专款公用了吗？上市公司针对IT工程的配股增发，又有几例不是冲着圈钱去的？！某些厂商利用信息不对称，竭力鼓吹客户要采购先进的技术和设备，致使这些客户的信息系统甚至比兴隆国家的同行还要先进，但在营运绩效方面却落后很多。还有某些厂商和咨询公司在合同签署前故弄玄虚，以及在多方利益博弈后的工程验收，这些短少量化模型的工程验收和绩效评价，在各方利益得到平衡满足后，一路绿灯通行。 第六，IT平安治理和风险管理缺位。目前大多数组织的最高管理层都已树立不同程度的平安和风险认识，但对信息资产所面临的严重性认识缺乏仅局限于IT方面的平安

14、，突出表现为注重平安技术，轻视平安管理，没有构成合理的信息平安方针来指点组织的信息平安管理任务，在平安规划、风险管理、应急方案、平安教育培训、平安系统的评价等多方面总是出现了问题才去想补救的方法，是一种就事论事、静态的管理，不是建立在平安治理根底上的动态的全局管理方法。国内的信息化“就运用系统而言，几乎一切企业的信息系统都存在隐患。第七，非技术性的妨碍。IT技术的快速开展使得许多人产生了一种错误的思想定势：假设采用了最新的技术，就可以或容易获得信息系统的胜利。换言之，假设信息系统建立不胜利，多半是由于没有采用最新的技术。但是，我们不断地看到这样的案例：一些企业虽然不断地试图采用最新开发技术，然

15、而它们的信息系统依然没有逃脱失败的命运。很多人在推崇信息技术的同时忘记了一个根本的前提：信息技术仅仅是一种工具。虽然信息技术对于信息系统的开发效率产生重要的影响，但工具本身却不是信息系统成败的根本缘由。通常在信息系统开发时，开发商采用的往往是比较成熟的技术，由于这些成熟技术的有效性是曾经被实际所证明了的。但是，采用成熟的技术并不能保证信息系统开发的胜利。这阐明，一些非技术性的问题往往是导致企业信息化不胜利的根源。这些问题我们姑且统称为企业信息化的非技术性的妨碍目前非常缺乏实际上的研讨。有许多文章都在议论这些要素，有人说是中国的管理程度低，有人以为是员工的观念跟不上。但是，大多数文章都仅仅议论了

16、一些景象，而缺乏深化全面的研讨。更可怕的是这些问题并未引起一些主管人员注重，他们以为对非技术性问题的讨论是空谈，只需掌握某种开发技术才干有真正的运用前景。这种错误的认识导致了许多单位和部门的信息系统的失败，而这些失败又经常被崭新的计算机设备和许多忙碌而不产生价值的任务所掩盖，像冰山潜藏在水面下一样无人知晓。 第八，重硬件购买，轻软件和咨询效力。目前，我国信息化建立短少专业分工，根本是自建、自用、自我效力，不愿花钱买专业化咨询、专业化软件开发、专业化效力，从而呵斥信息化建立效率低下。而兴隆国家的大型运用系统不但花钱买这三项专业化的建立效力，而且还买运营效力。相关统计显示：我国在信息化投入中，软硬

17、比例失调，软件加效力的投入与硬件投入的比例为二八开，其中集成与安装的比例约810%；软件开发的投入约1012%；80%的资金是用于硬件购买。而据世界银行的统计，兴隆城市信息化投入普通为七三开，70%用于软件和效力，购买硬件为30%。第九，信息化建立找不到重心。一些信息化工程和ERP工程的失败，致使许多人以为，我国的企业尚不匹配国际上那些先进的管理方式，搞信息化为时髦早。那么，信息化究竟是什么？我们终究应该走多远？有没有一个丈量规范用于判别何时一定会出现错误？企业在最普通而又最关键的部分进展计算机管理就不是信息化吗？IT本钱与利润比例多少算是适宜？关键胜利要素是什么？不能到达我们目的的风险是什么

18、？有没有可以贯穿业务风险、控制需求和技术问题这三者之间的桥梁？其他的组织在做什么？我们应该怎样进展丈量与比较？ 这些问题归根结底是公司治理的失灵和IT治理的缺位。目前公司治理已成为政策重点，我国80%的企业已完成股份制改造，初步建立起符合现代企业制度的公司治理机制，但是我们的治理机制还很不完善。一个治理机制不完善的企业很难对外部竞争有积极的反响，从而很难有非常高的运营效率；相反，市场竞争的效率也于企业治理机制的完善，假设市场中的企业治理机制普遍不完善，企业之间就不能够进展充分有效的市场竞争。市场竞争最终要经过企业本身治理机制的改善才干使企业运营效率提高，假设一个企业本身的治理机制并不完善，而且

19、面对市场竞争并不能继续有效地改善治理机制，最终能够在市场竞争中被淘汰。因此要实现“优胜劣汰的市场竞争，引入与市场竞争相顺应的治理机制，我们依然有许多任务要做。在IT治理方面，目前我国的政府和企业在这方面根本上处于初始阶段。据了解，在一些大企业中，已出现CIO的权益范围不只是指点其信息部门，还担任事业部门的人、财、物的资源配置和利益平衡，我们以为这是具有中国特征的IT治理机制的尝试。IT治理的定义IT治理是信息系统审计和控制领域中一个相当新的概念，IBM初次将此理念引入我们的视野，在其2002年度论坛中推出了给中国银行业的“会聚了全球金融行业的智慧与阅历的白皮书，该白皮书在其“推进业务管理与IT

20、的全面集成整合部分给银行业务与管理的建议是：大力推进银行流程化与流程规范化的管理，建立全行级的跨部门的IT治理决策机构来决议IT工程实施的顺序，加强全行的管理与流程执行的纪律，与IT行业的供应商结成战略联盟,将战略同伴的价值并入到价值链。作为全球IT行业领跑者的IBM，其一举一动往往预示着整个行业的开展方向。 我们在对IT治理广泛研讨和分析的根底上，关于其定义聚集了以下三种主要观念：Robert s. Roussey 美国南加州大学教授以为：IT治理用于描画被委托治理实体的人员在监视、检查、控制和指点实体的过程中如何对待信息技术。IT的运用对于组织能否到达它的远景、使命、战略目的至关重要。德勤

21、定义如下: IT治理是一个含义广泛的术语，包括信息系统、技术、通讯、商业、一切利益相关者、合法性和其他问题。其主要义务是：坚持IT与业务目的一致，推进业务开展，促使收益最大化，合理利用IT资源，IT相关风险的适当管理。国际信息系统审计与控制协会 (ISACA)定义如下：IT治理是一个由关系和过程所构成的体制，用于指点和控制企业，经过平衡信息技术与过程的风险、添加价值来确保实现企业的目的。经过上述定义可以总结出以下共同点：IT治理必需与企业战略目的一致，IT对于企业非常关键，也是战略规划的组成，影响战略竞争。IT治理和其它治理主体一样，是管理执行人员和利益相关者的责任以董事会为代表。IT治理维护

22、利益相关者的权益，使风险透明化，指点和控制IT投资、机遇、利益、风险。信息技术治理包括管理层、组织构造、过程，以确保IT维持和拓展组织战略目的。应该合理利用企业的信息资源，有效地集成与协调。确保IT及时按照目的交付，有适宜的功能和期望的收益，是一个一致性和价值传送的根本构建模块，有明确的期望值和衡量手段。引导IT战略平衡系统的投资，支持企业， 变革企业，或者创建一个信息根底架构，保证业务增长，并在一个新的领域竞争。对于中心IT资源做出合理的决策，进入新的市场，驱动竞争战略，发明总的收入增长，改善客户称心度，维系客户关系。IT治理的目的IT治理与业务目的一致IT治理要从组织目的和信息化战略中抽取

23、信息需求和功能需求，构成总体的IT治理框架和系统整体模型，为进一步系统设计和实施奠定根底，保证信息技术跟上继续变化的业务目的。IT治理有效利用信息资源目前信息化工程超期、 IT客户的需求没有满足、IT平台不支持业务运用等问题较为突出，经过IT治理可以对信息资源的管理职责进展有效管理，保证投资的回收，并支持决策。IT治理风险管理由于企业越来越依赖于信息技术和网络，新的风险不断涌现，例如，新出现的技术没有管理，不符合现有法律和规章制度、没有识别对IT效力的要挟等。IT治理强调风险管理，经过制定信息资源的维护级别，强调关键的信息技术资源，有效实施监控，事故处置。IT治理使企业顺应外部环境变化，为企业

24、内部实现对业务流程中资源的有效利用，从而到达改善管理效率和程度的重要手段。IT治理的目的将协助 管理层建立以组织战略为导向, 以外界环境为根据, 以业务与IT整合为中心的观念，正确定位IT部门在整个组织中的作用。最终可以针对不同业务开展要求，整合信息资源，制定并执行推进组织开展的IT战略。IT治理处理哪些问题在讨论IT治理可以处理哪些问题之前，我们先就身边发生的事件看一下IT治理失灵的例子：2002年7月23日，央视晚新闻播报：7月23日，首都机场因电脑系统缺点，6000多人滞留机场，150多驾飞机延误，事故缘由正在调查中 ；5月29日上午时分左右，南京火车站电脑售票系统忽然发生死机缺点，整个

25、车站售票处于瘫痪形状，车站售票大厅内人满为患，众多旅客不得不改乘其它交通工具分开南京。车站指点和计算机技术人员通知记者是由于电脑晋级换代，调试时线路发生缺点，才引发了此次系统瘫痪的。9月5日广东省工行因系统缺点，全线停业一个半小时，有媒体特别指出，这是工行实施全国一致平台运作后的初次缺点。还有某银行在信息系统技术晋级时，IT人员只注重保证系统在技术上的平滑过渡，而忽视了晋级给客户带来的不便，导致客户流失，这也阐明当IT发生改动时会对业务目的产生冲击，以上都是经过IT治理机制可以合理防止的事件。因此，我们以为IT治理对商业目的而言起着战略意义，IT治理情况直接影响到企业实现目的的能够性，良好的I

26、T治理有助于加强企业的灵敏性和学习才干，巧妙管理风险，区分开展机遇。对于最高管理层董事会而言，IT治理可以处理以下几个方面问题：发现信息技术本身的问题，例如IT工程未能实现期望价值的概率；终端用户能否称心IT效力的质量；能否有足够的IT资源、根底设备、竞争力来满足战略目的；信息技术平均操作失误的缘由；IT没有推进业务改善而是妨碍业务的次数。协助 管理者处置IT问题，例如，IT和组织战略目的的一致性程度怎样样；怎样衡量IT的交付价值；执行管理人员采取什么样的战略动机来管理IT；与企业的运营与生长管理相关的问题；企业能否清楚其商业目的与技术的关系：领先、跟随者还是滞后者；企业对风险风险躲避和风险承

27、当能否清楚；有没有最新的企业相关IT风险的清单，采取哪些行动处置这些风险。自我评价IT管理的效果，例如，能否经常向最高管理层董事会定期汇报IT风险；IT能否是最高管理层董事会议程中的一个常用的术语，它能否以构造化方式表达；最高管理层董事会能否就商业目的与信息技术一致性进展阐明和沟通；最高管理层董事会对主要IT投资能否有清楚的观念，包括风险和报答；最高管理层董事会能否认期得到主要IT过程的报告；最高管理层董事会在获取IT目的和限制IT风险时能否得到独立的保证。国内IT治理程度的好与差呵斥了IT运用层次的差别。一些单位有与其国际竞争对手一样的系统、软件，甚至技术和设备强于对方，所以单从技术的成熟性

28、和先进性而言，中国整体运用程度不低。但是为什么就没有对方做的好呢？从IT治理的角度审视，其实技术的竞争早已超越了有与无的层面，进而甚至超越了争夺技术最早占有权的层面，表达在业务和技术管理才干上的对抗。现实上我国信息化目前所处的阶段缺乏的并不是先进的技术与设备，而是IT管理理念和方法论。IBM大中国区金融事业部总经理张烈生说：“一切把落败归咎于技术的人，都是在逃避一个现实：认识上的落后和管理上的无能。当然，我们的周围也不乏在较落后的技术和设备上，把已有的技术运用得非常胜利的范例。 IT治理的范围IT治理体系保证总体战略目的可以从上而下贯彻执行。IT治理和其它治理活动一样，集中在最高管理层董事会和

29、执行管理层。然而，由于IT治理的复杂性和专业性，治理层必需剧烈依赖企业的下层来提供决策和评价活动所需求的信息。为保证有效的IT治理，下层运用要和企业总体目的采用一样的原那么，提供评价业绩的衡量方法。因此，好的IT治理实际需求在企业全部范围内推行。最高管理层董事会的主要职责是：证明IT战略与企业战略一致；证明IT经过明确的期望和衡量手段交付； 指点IT战略、平衡支持企业和使企业生长的投资；恰当决策信息资源应着重运用的地方。最高管理层董事会经过下述目的衡量业绩：定义和检查衡量手段以及管理，证明目的曾经到达，并且衡量业绩，减少不确定性。管理者的焦点主要是本钱效益比，添加收入，构建竞争力，这些都由信息

30、、知识、信息技术体系推进。由于信息技术作为实现企业目的的一个集成部分，其处理方法越来越复杂外包，第三方合同，网络化等，因此，善治成为胜利的一个关键要素。管理者的职责是：将IT风险管理的责任和控制落实到企业中，制定明确的政策和全面的控制框架；将战略，战略，目的等由上至下落实到企业，并使信息技术的组织与企业目的一致；提供治理构造支持IT战略的实施，制定IT根底设备加快商业信息的发明与共享；经过衡量公司业绩和竞争优势来测度信息技术的效果KPI，KGI；运用平衡计分卡，弥补行政管理的缺乏；关注IT必需支持的商业竞争力，如添加客户价值的业务过程，在市场上差别化的产品和效力，经过多产品和效力来产生增值；关

31、注重要的增值的信息技术过程；关注与规划和管理IT资产、风险、工程工程、客户和供应商相关的中心竞争才干。IT治理使得最高管理层董事会和执行经理的一系列活动成为能够。这些活动主要包括：IT的目的，新技术的机遇和风险，关键过程与中心竞争力。如指点信息技术的职能和对企业的影响，分配责任，定义操作，衡量业绩，管理风险和获得保证的约束等。以银行业的数据大集中为例，从2001年开场，采用集中数据处置方式来表达一级企业法人治理构造曾经成为各家银行努力实现的一个目的，目前国内银行的数据集中处置方式改造已陆续获得阶段性成果，可问题随之而来，集中以后做什么？集中以后风险也添加了，怎样办？前一个问题也就是说数据集中了

32、，只是提供了一个进展深度业务创新的前提和能够，关键还在于商业方式和IT管理方式。对于后一个问题，那么需求采取更先进的平安治理机制，全面的信息系统审计与控制，包括可靠的灾难恢复和业务继续规划。公司治理和IT治理公司治理主要关注利益相关者权益和管理，包括一系列责任和条例，由最高管理层董事会和执行管理层实施，目的是提供战略方向，保证目的可以实现，风险适当管理，企业的资源合理运用。公司治理，驱动和调整IT治理。同时，IT可以提供关键的输入，构成战略方案的一个重要组成部分，这被以为是公司治理的一个重要功能IT影响企业的战略竞争机遇。IT治理活动公司治理活动从下面获取信息公司治理IT治理驱动和设定IT治理

33、和公司治理关系图IT治理的一个关键性问题是：公司的IT投资能否与战略目的相一致，从而构筑必要的中心竞争力。由于企业目的变化太快，很难保证IT与商业目的一直坚持一致，因此需求多方面的协调，保证IT治理继续沿着正确的方向走，这也是IT投资者真正关怀的问题。对IT治理而言，要能表达未来信息技术与未来企业组织的战略集成。既要尽能够地坚持开放性和长久性，以确保系统的稳定性和延续性；同时又由于规划赶不上变化，再长久的规划也难以保证能跟上企业环境的变化。IT治理中一个相对有效的做法是，在信息化规划时，仔细分析企业的战略与IT支撑之间的影响度，并合理预测环境变化能够给企业战略带来的偏移，在规划时留有适当的余地

34、，从业务战略到信息战略，做务虚的牵引，不要追求大而全。 IT治理有助于建立一个灵敏的、具有顺应性的企业。IT治理可以影响信息和指示：企业可以感知市场正在发生的事，运用知识资产并从中学习，创新新产品、效力、渠道、过程；迅速变化，将革新带入市场，衡量业绩。IT治理应该表达“以组织战略目的为中心的思想，经过合理配置IT资源发明价值。企业治理偏重于企业整体规划，IT治理偏重于企业中信息资源的有效利用和管理。企业目的在于远景和商业方式，IT目的在于商业方式的实施。企业目的与IT目的之间的关系如以下图所示：企业战略协调活动IT战略IT运作企业运作 IT治理主要涉及两个方面：IT要为企业交付价值，IT风险要

35、降低。前者受IT与企业的战略一致性驱动，后者由责任义务落实到企业驱动。这两者都需求衡量，如运用平衡计分卡。这就可以看出IT治理的四个中心领域，都是由利益相关者价值驱动的，其中两个是成果：价值交付和风险降低，另外两个是驱动力：战略一致性和业绩衡量。概括地说，公司治理和IT治理都是市场含政府他律的机制，是如何“管好管理者的机制，其目的也是一致的：到达业务永续运营，并添加组织的长期获利时机。无论大环境是好是坏，最高管理层董事会均应以达成其目的为责任，而且管理阶层需有才干协助其达成目的，因此最高管理层董事会必需经常监视管理部门对决策判别与政策实施的绩效。“斯达方式这一被誉为国企摆脱姿态、改革开展的创新

36、方式，正阐明了公司治理和IT治理的重要性和互动关系。“黑纸利用合资契机，对产权体制进展了改革，并按照现代企业制度要求，建立与市场竞争相顺应的公司治理机制，明晰了企业产权，优化了消费要素配置，转变了职工观念，为斯达大力进展信息化改造发明了有力条件。反过来，信息化也促进了公司的现代化管理。IT治理和IT管理IT管理是公司的信息及信息系统的运营，确定IT目的以及实现此目的所采取的行动；而IT治理是指最高管理层董事会利用它来监视管理层在IT战略上的过程、构造和联络，以确保这种运营处于正确的轨道之上。这是一个硬币的两面，谁也不能脱离谁而存在。可见，IT管理就是在既定的IT治理方式下，管理层为实现公司的目

37、的而采取的行动。IT治理规定了整个企业IT运作的根本框架，IT管理那么是在这个既定的框架下驾驭企业奔向目的。缺乏良好IT治理方式的公司，即使有“很好的IT管理体系而这实践上是不能够的，就像一座地基不结实的大厦；同样，没有公司IT管理体系的畅通，单纯的治理方式也只能是一个愉快的蓝图，而缺乏实践的内容。就我国信息化建立目前的现状而言，无论是IT治理，还是IT管理都是我们所迫切需求处理的。公司治理与信息技术治理如何任务指点企业设立目的，由通用的惯例来治理并保证目的实现。这些目的中浸透企业的开展方向，指点企业活动和运用资源。企业活动的结果被衡量及报告，为输入提供不断的修正和维护控制，从而开场下一轮循环

38、。目的企业活动资源控制向报告运用信息技术也确立目的，保证企业信息和相关技术支持商业目的，资源有效利用，风险管理适度。这些目的构成IT活动的根本方向，划分为规划和组织，获取和实施，交付与支持，监控等四个部分。一方面管理风险平安、可靠，严密，另一方面实现收益提高有效性和效率。经过报揭露布关于IT活动收益，根据不同的管理和控制来衡量，然后进入下一轮循环。目的信息技术与商业一致，推进商务，收益最大化信息资源合理利用信息相关风险恰当管理活动管理风险平安可靠严密控制向报告实现收益添加自动化，有效性减少本钱提高效率指点IT治理架构一个有效的IT治理架构需求了解组织的中心竞争力，并且在商业目的，治理原型，业务

39、绩效目的之间维持平衡，进而提出IT治理框架，制定决策以及如何在关键的信息技术领域中确定。由此，认识到IT治理与企业治理之间的必然联络，提供管理相关风险的最正确实务指点。企业目的是保证企业安康、可继续开展，关注商业目的、知识管理、商业通讯、客户关系、商业活动与过程；IT治理目的是信息系统、技术和网络、知识管理、IT资产管理、电子商务、IT合法性等。COBIT，直译为信息及相关技术的控制目的，是IT治理的一个开放性规范，由美国IT治理研讨院开发与推行，目前已成为国际上公认的最先进、最权威的平安与信息技术管理和控制的规范。该规范为IT的治理、平安与控制提供了一个普通适用的公认的规范，以辅助管理层进展

40、IT治理。该规范体系已在世界一百多个国家的重要组织与企业中运用，指点这些组织有效利用信息资源，有效地管理与信息相关的风险。 COBIT模型COBIT将IT 过程，IT资源及信息与企业的战略与目的联络起来，构成一个三维的体系构造。其中，IT准那么维集中反映了企业的战略目的，主要从质量、本钱、时间、资源利用率、系统效率、严密性、完好性、可用性等方面来保证信息的平安性、可靠性、有效性； IT资源维主要包括以人、运用系统、技术、设备及数据在内的信息相关的资源，这是IT治理过程的主要对象；IT过程维那么是在IT准那么的指点下，对信息及相关资源进展规划与处置，从信息技术的规划与组织、采集与实施、交付与支持

41、、监控等四个方面确定了34个信息技术处置过程，每个处置过程还包括更加详细的控制目的和审计方针对IT处置过程进展评价。COBIT的34个信息技术过程：1规划与组织3交付与支持定义IT战略规划定义信息体系构造确定技术方向定义IT组织与关系管理IT投资传达管理目的和方向人力资源管理确保与外部需求的一致性风险评价工程管理质量管理定义并管理效力程度管理第三方的效力管理性能与容量确保效力的延续性确保系统平安确定并分配本钱教育并培训客户配置管理处置问题和突发事件数据管理设备管理运营管理2采集与实施4监控确定自动化的处理方案获取并维护运用程序软件获取并维护技术根底设备程序开发与维护系统安装与鉴定变革管理过程监

42、控评价内部控制的适当性获取独立保证提供独立的审计这个模型为企业管理的胜利提供了集成的IT管理，经过保证有关企业处置过程的高效的改良措施，以更快更好更平安地呼应企业需求。管理指南定义了IT过程的成熟度模型，为管理者评价IT过程的形状提供了规范。同时也给出了一些重要的测度，这包括：关键胜利要素，关键目的目的，关键绩效目的。管理框架管理指南控制目的审计指南工具集图2 COBIT的管理模型关键胜利要素成熟度模型关键目的目的关键性能目的 COBIT体系框架COBIT模型是企业战略目的和信息技术战略目的的桥梁，使得信息技术目的和企业战略目的之间实现互动。该框架的意义在于：COBIT实现了企业目的与IT治理

43、目的之间的桥梁作用。首先思索了企业本身的战略规划，对业务环境和企业总的业务战略进展分析定位，并将战略规划所产生的目的、政策、行动方案作为信息技术的关键环境，并由此确定IT准那么。IT为企业战略提供了基于技术的处理方案，为满足业务战略需求提供了技术与工具。在IT准那么的指点下，利用控制目的模型，分别从规划与组织、采集与实施、交付与支持、监控等过程进展控制、管理信息资源，在IT管理的同时，引入审计指南，从而保证IT资源管理的平安性、可靠性和有效性。实现可跟踪的业绩衡量，经过平衡运营记分卡可以在财务企业资源管理、客户客户关系管理、过程内部网，任务流工具、学习知识管理等方面维持平衡，评价企业目的的实现

44、情况以及IT绩效，并调整商业目的和IT战略，进展继续的IT管理。采用成熟度模型，可以定位本人企业的IT管理目前在业界所处的位置，未来努力的方向，通俗地说就是给IT管理“打分。COBIT还提供了目前最正确案例和关键胜利要素，供企业和组织自创。概括而言，COBIT的主要优点如下：COBIT是一个非常有用的工具，也非常易于了解和实施，可以协助 在管理层、IT与审计之间交流的鸿沟上搭建桥梁，提供了彼此之间沟通的共同言语。几乎每个机构都可以从COBIT中获益，来决议基于IT过程及他们所支持的商业功能的合理控制。当我们知道这些商业功能是什么，其对企业的关键到什么程度时，就能对这些事件进展良好的分类。一切的

45、信息系统审计，控制及平安专业人员应该思索采用COBIT原那么。经过实施COBIT，添加了管理层对控制的感知及支持。COBIT协助 管理层懂得控制如何影响商业功能。COBIT提供的实施工具集包括优秀的案例资料提供模板商业过程，使得优秀范例可以迅速移植，协助 向管理层很好地表述IT管理概念。管理层在基于最正确控制实际根底上做出正确决策的才干亦得到了提高。COBIT使IT管理任务简易并量化，减轻对复杂信息系统管理任务的难度，并且可以运用在每天都在发生的各种新问题中。对于那些不具有广博IT知识的人来将，是一个认清信息技术的有价值的工具。它也使得信息系统审计师具有与IT专业人员一样的专业广度，并且可以讯

46、问IT工程相关的问题。COBIT提供了一种国际通用的IT管理及问题处理方案，普遍适用于各种不同的商业工程和审计，并且它既包容了我们当前的情况，也提供未来能够会运用到的指点方针。COBIT有助于提高信息系统审计师的影响力，根据COBIT出具的信息系统审计报告更容易得到管理层的一定。COBIT框架可以可以协助 决议过程责任，提高IT治理程度。经过采用该框架作为对一个责任矩阵分析的根底，可以做到基于角色的IT管理，定义过程措施，确保客户利益。从以上的分析引见可以看出：整个模型实现了企业战略与IT战略的互动，并构成继续改良的良性循环机制，为企业提供了具有一定参考价值的处理方案。因此，我们以为针对我国信

47、息化存在的问题，自创COBIT的IT治理思想和框架，科学、系统地对信息及相关技术进展管理，逐渐试行建立IT治理机制，对推进我国信息技术的开展和应器具有非常重要的现实意义。IT治理在组织中的运用指南IT治理在组织中的运用是在管理指南的指点下完成的。管理指南经过关键胜利要素、成熟度模型、关键目的目的、关键绩效目的四个方面的有机作用，使企业中的信息资源得到有效的管理。管理指南的特点是：面向运用，具有通用性、普通性，不能提供针对某一详细测定方法，组织应根据本身环境修正这个普通性的指点方针，以满足实践的运用需求。下面详细引见管理指南的各个部分在运用中所起的详细作用。关键胜利要素关键胜利要素为管理部门控制

48、信息技术及其处置过程提供了实施指南。它们是信息技术处置过程中的最关键的要素，是战略性的、技术性的过程或活动，勾画出了IT的控制轮廓。关键胜利要素可以从规范控制模型和IT管理框架的目的与审计指南中获取。这些规范要求：信息技术要与企业的运营情况相符；信息技术使营运业务可行，并使其收益最大化；合理运用信息技术资源；适当管理IT的有关风险。关键胜利要素平衡一切的IT资源，它由关键绩效目的评价。下表为从规范控制模型与管理构架中归纳出用于多数信息技术处置过程的关键胜利要素，以供参考。关键胜利要素IT治理活动与公司治理过程相结合，并有公司指点的参与；IT治理专注于公司目的，战略，运用技术提高业务程度，及满足

49、业务需求的足够可用的资源和才干；IT治理活动应该目的明确，制度规范和实施有效，它应是根据公司需求并责任到人；实施最正确管理实际以提高资源的有效运用，提高IT过程的效率；建立组织准那么以充分监视，构成一种控制的环境/文化，根据规范程序评价风险，添加对已建立规范的依托，及监视和清查控制缺陷和风险；建立控制准那么以防止内部控制和监管的失灵；许多IT业务流程，如问题管理，变革管理和配置管理，是集成和相互关联的；建立审计委员会；审计委员会任命和监视独立审计员；独立审计员的义务是推行IT相关的审计方案，评审审计结果和第三方审计的评审结果；关键胜利要素是为提高处置过程的胜利能够性所做的最重要的事，通常与组织

50、的目的坚持一致，是组织和处置过程的可察看可丈量的特征，分布于企业的战略层、战术层、运用层及组织的各个方面，可以经过目的分解与识别的方法选择关键胜利要素。关键目的目的关键目的目的是指经过创建和维护一套处置和控制适当业务绩效的系统，来指点并监视IT传送的商业价值。关键目的目的经过识别测定处置结果，营运过程的输出，在平衡记分卡上测定。关键目的目的表达的是处置过程的目的，指出哪些是必需做的。它是处置过程实现其目的的可测目的，并且通常定义为需求实现的目的。平衡记分卡主要关注以下几个方面的运营情况：(1) 财务，包括预算与超支等情况，反映股东的利益。(2) 客户，包括客户称心度，交货能否及时，效力价值等，

51、反映客户的利益。(3) 内部处置过程，包括处置的质量与效果等，反映内部人员的利益。(4) 学习与创新，包括雇员受教育程度及技艺根底等，反映企业的开展潜力。下表为普遍适用的关键目的目的。关键目的目的加强绩效和本钱管理；提高主要IT投资的报答；提高呼应市场速度；添加质量，创新和风险管理；适当集成和规范化业务流程；扩展新客户，满足现有客户；可用的适当带宽，计算才干和IT交付机制；在预算范围内及时满足客户的需求和期望；不违反法律，法规，行业规范和各类合同；清楚承当的风险，这种风险应与组织整体风险情况一致；进展IT治理成熟度标杆比较；创建传送效力的新渠道。关键目的目的是处置目的的一种表达，明确要获得什么

52、目的，并描画处置的结果，进展事后评判，直接表达处置过程的完成胜利与否，间接表达处置带给运营活动的价值。关键绩效目的关键绩效目的对关键胜利要素进展评价，经过监测某IT处置过程的执行情况，通知管理层该处置能否满足其运营需求。关键绩效目的是IT处置过程的性能目的，表现为IT的实践业绩。经过有效性、严密性、完好性、可用性、一致性、可靠性等目的来测定IT的绩效。下表列出对企业具有普遍性意义的关键绩效目的。关键绩效目的提高了IT流程的效果本钱 vs. 交付才干；添加了用于改善流程的IT方案；添加了IT根底设备的利用率；添加了客户称心度调查和赞扬数；添加了员工任务效率可传送的数量和士气调查；添加用于管理公司

53、的知识和信息的可用性；添加IT治理和公司治理的联络；运用IT平衡计分卡丈量时，绩效得到提高。关键绩效目的是处置过程执行程度的测定，预期未来成败的能够性，是先导性目的，面向处置过程，但驱动信息技术，关注处置过程和平衡记分卡的学习单位，关注对于处置过程至关重要的资源。IT目的使能器平衡运营记分卡测度运营收益测度IT绩效关键目的目的 关键性能目的关键目的目的与关键性能目的的关系关键绩效目的指出处置过程要完成到怎样的程度。两者之间的相互关系可以用平衡记分的概念来了解，如下图。平衡记分卡丈量企业的运营目的的执行情况，信息技术作为商业的使能器也有本人的记分卡。它的丈量规范是绩效目的。比如：使能器要执行到怎

54、样的程度才干阐明运营目的曾经实现。关键绩效目的主要经过信息系统与信息效力的有效性，信息的与完好性，处置过程和操作的本钱，信息的可信度、可靠性等来评价信息技术的绩效。关键目的目的是驱动运营活动，而关键性能目的面向处置过程，并将经常表达处置过程和组织对所需资源的平衡与管理程度，测定其能否真正到达预期处置目的，能否有助于管理者改良处置。关键目的目的与关键性能目的的区别主要表达在以下几个方面：1. 评价时序不同。关键目的目的是处置目的的一种表达，明确要获得什么目的，并描画处置的结果，是“滞后性目的，只能在事后丈量。关键绩效目的是处置过程执行程度的测定，预期未来成败的能够性，是先导性目的，可以事先给出胜

55、利的预示。2. 关注目的不同。关键目的目的提供了业务平衡计分卡中财务与客户方面的评价规范。关键绩效目的强调了平衡计分卡中的另外两个方面，即内部处置与创新。财务成果与客户称心度是企业运营目的能否到达的一个事后评判规范。而处置执行的好坏与学习创新是组织运转情况好坏的一个目的，并且事先指出了企业运营获得胜利的能够性。驱动力不同。关键目的目的是由企业的运营业务所驱动的，关注企业业务的执行结果，关键绩效目的是企业的信息技术所驱动的，关注与信息技术相关的资源。IT治理成熟度模型IT成熟度模型制定了一个基准，组织能够根据上面的目确实定本人的等级，从而了解本身目前的境界。在此根底上确定组织的关键胜利要素，经过

56、关键绩效目的进展监控，并衡量组织能否能到达关键目的目的中所设定的目的。成熟度模型从普通的质量模型开场，在各个层次以递增的方式添加了以下方面的惯例与原那么：对风险和控制问题的了解与认识；适用于该问题的交流与培训；加工处置和实施的惯例；使过程更有效、更高效的技术与自动控制；与政策与法规的一致程度；专业技艺的范围与类型。平衡风险和收益后的IT治理和IT增值流程治理成熟度级别如下：不存在。完全不存在可辨识的信息治理流程。组织并没认识到这一问题，因此关于此问题并无交流。初始级 初始的混乱的。有证听阐明，组织已认识到存在IT治理问题并需求研讨，尚无规范流程，但有些个人或在有些详细情况下进展了尝试。治理方法

57、混乱，但对于问题和研讨方法有零星的、不一致的交流。也能够认识到需求以产出为导向，在相关企业流程中追求IT的价值。没有规范的评价过程，只在组织中发生某些事件带来损失或不利时，IT治理才得以运用。可反复级 反复的但模糊的。人们普遍对IT治理问题有所了解，IT治理行为和效果处于未开展阶段，包括IT方案、交付和监控流程。其部分结果是，由于高层管理者积极的关注和参与，在组织改动管理流程时运用IT治理行为。选定的IT流程，因提高及控制企业中心流程，并且作为一种投资得到有效的治理，进而构成明确的IT架构。管理者认可根本的IT治理方法、评价技术，但整个组织并未采用IT治理流程，组织中不存在与管理规范相关的正规

58、培训和交流，仅凭个人反响。个人在不同的IT工程和流程中推行管理流程，他们选择并运用有限的管理工具搜集相应信息，但由于缺乏专业知识，能够不能充分发扬IT治理的功能。已定义级 已定义流程。人们了解并接受IT治理。建立了一套根本的IT治理评价目的，绩效丈量与绩效驱动之间的联络也得以确立、构成规范文档并贯穿到战略和运作方案以及管理流程中。流程被规范化、构成文档和实施，管理与规范流程相一致，开场了非正式的培训，对全部IT治理行为的表现进展记录、跟踪，促进企业整体提高。可以测定的流程并不复杂，却仅仅是现行实际的正规化。工具得以规范化，也采用现存技术。整个组织认同IT与商业利益平衡的观念。然而，只是个人接受

59、培训、执行规范，只是偶尔分析问题的根本缘由，大部分流程还是根据根本准那么进展管理，出现的偏离很少被管理者发现，由于这些偏离主要由于个人缘由呵斥。虽然存在一些问题，可以清楚地评价关键流程的绩效，并根据关键绩效目的对有关人员进展奖罚。已管理级 已管理和可丈量的。经过正规培训，各个层次全面了解了IT治理。人们清楚地知道谁是顾客，而且经过效力程度协议，来定义和监视相应的责任。责任清楚，也落实到流程中的详细人员。IT流程与业务亲密相关，与IT战略亲密相关。IT流程的提高主要建立在定量的了解根底之上，监视、评测规程和流程的情况是能够的。一切流程参与者了解风险，也了解IT的重要性和IT提供的时机。管理者明确

60、必需对哪些无效的流程采取行动。必要时改良流程，并强迫执行最正确内部实际准那么；规范化根本缘由分析程序；确定继续改良措施；以成熟的技术和强迫性的规范工具为根底，有限制地、有战略地运用新技术；有所需求的各个方面的内部专家；IT治理开展成公司范围级流程；IT治理活动正与公司治理过程相结合。优化级 对IT治理问题和处理方案有前瞻性的了解，并做好有关预备；利用先进的思想和技术进展培训和交流；经过继续改良，与其它组织的成熟度比较，业务流程已超越公司外的最正确实际；实施的这些政策已使组织，人和流程快速顺应并全面满足IT治理的要求。深化分析一切问题和偏向的根本缘由，并能方便地确定和启动有效的行动；以广泛的、集