IT治理中国信息化的必由之道

1、IT治理：中国信息化的必由之道PAGE IT治理：中国信息息化的必由由之道孙 强 郝亚斌 郝晓玲 孟秀转目 录录TOC o 1-3 h z HYPERLINK l _Toc26619007 引言 PAGEREF _Toc26619007 h 1 HYPERLINK l _Toc26619008 IT治理缺缺失的九大大症状 PAGEREF _Toc26619008 h 1 HYPERLINK l _Toc26619009 IT治理的的定义 PAGEREF _Toc26619009 h 4 HYPERLINK l _Toc26619010 IT治理的的目标 PAGEREF _Toc26619010

2、 h 4 HYPERLINK l _Toc26619011 IT治理解解决哪些问问题 PAGEREF _Toc26619011 h 5 HYPERLINK l _Toc26619012 IT治理的的范围 PAGEREF _Toc26619012 h 6 HYPERLINK l _Toc26619013 公司治理和和IT治理 PAGEREF _Toc26619013 h 7 HYPERLINK l _Toc26619014 IT治理和和IT管理 PAGEREF _Toc26619014 h 8 HYPERLINK l _Toc26619015 公司治理与与信息技术术治理如何何工作 PAGEREF

3、 _Toc26619015 h 8 HYPERLINK l _Toc26619016 IT治理架架构 PAGEREF _Toc26619016 h 9 HYPERLINK l _Toc26619017 IT治理在在组织中的的应用指南南 PAGEREF _Toc26619017 h 11 HYPERLINK l _Toc26619018 建立IT治治理机制 PAGEREF _Toc26619018 h 16 HYPERLINK l _Toc26619019 IT治理的的成功案例例 PAGEREF _Toc26619019 h 19第 PAGE 23 页 共23页引言信息化已经经成为中国国经济与社

4、社会发展最最重要的推推动力，大大力推动全全社会的信信息化，以以信息化带带动工业化化，这一战战略已经取取得了可喜喜的成果。当前，在在加入WTTO后的中中国经济环环境中，信信息的重要要性已被广广为认同，信信息系统也也已逐步渗渗透到商业业和政府组组织中，IIT系统开开始从传统统的后台支支持转变为为新业务开开展的直接接驱动力，IIT也日益益成为企业业的直接利利润中心。各种组织织对信息系系统的依赖赖程度在不不断增加，更更有一些组组织甚至若若没有ITT将不复存存在，但同同时对于很很多组织由由于信息和和信息技术术意味着最最重要的资资产，这导导致IT本本身已经或或潜在成为为一个巨大大的威胁，随随IT而来来的风

5、险、利益和机机会使得IIT治理成成为公司和和政府治理理中很关键键的一个方方面。管理理层需要确确保IT与与公司战略略一致而且且公司战略略也很好地地利用了IIT的优势势，政府需需要发展电电子政务来来促动、实实现转变政政府职能的的转变。因因此，随着着对信息系系统依赖性性的增加，IIT治理对对于组织的的成功是至至关重要的的。这篇文文章将探究究当前关于于IT治理的的思想，为为什么ITT治理框架架对于组织织的持续成成功是至关关重要的，然然后描述它它与公司治治理之间的的关系，最最后简单介介绍了一个个IT治理理的自动化化工具COOBIT。后续文章章将主要集集中在ITT治理机制制的实现上上，IT治理应应该采用国

6、国际上最好好的实践标标准，包括括COBIIT和ISO/IEC 177999，讨论论如何实施施它以改善善整个组织织的运作。IT治理缺缺失的九大大症状首先，各自自为政。缺缺乏统一、全局的IIT战略规规划，由于于没有统筹筹规划，目目标不明确确，标准不不统一，一一些地方处处在混乱无无序的状态态，形成了了很多在权权力保护下下的信息孤孤岛，缺乏乏共享的、网络化的的信息资源源，中关村村科技软件件公司总裁裁朱希铎曾曾对媒体呼呼吁，我国国要警惕形形成世界上上规模最大大的信息孤孤岛。如目目前国内已已建成的众众多CA中中心，除了了在采用XX.5099证书标准准上一致外外，其它的的共同标准准规范很少少，中国各各CA中

7、心心发放的证证书基本不不能相互兼兼容，CFFCA作为为中国金融融业的统一一认证中心心，其证书书甚至不能能与国际权权威的CAA认证接轨轨。对于企企业而言，面面对业务重重组、裁员员、外包、充分授权权、扁平化化组织和分分布式处理理等如此复复杂多变的的商业环境境，在ITT战略规划划修订时，如如何精确保保证IT战战略规划和和企业战略略目标的一一致，普遍遍缺少科学学方法论的的指导。其次，信息息化建设领领导者错位位，IT应应用方案和和企业业务务需求之间间逻辑错位位。过去的的信息化工工程是技术术专家或技技术厂商主主导下进行行的，而不不是经济专专家或管理理专家主导导，技术专专家或技术术厂商从技技术的视角角去关注

8、信信息技术和和设备的先先进性等，较较少聚焦在在IT战略略和组织战战略目标的的互动上，较较少考虑信信息技术如如何形成企企业核心竞竞争力，如如何避免风风险，如何何创造新的的业务和市市场，和管管理层沟通通缺少通用用的语言（非非IT专业业术语），因而不可避免地和企业的经营环境、经营目的脱节，而随着设备更新的加快，许多早期的工程只剩下一推摆设，管理层看不到在IT上的投资回报，这又导致信息技术得不到应有的重视，形成恶性循环。目前，总结经验和教训，各方普遍认识到中国的信息化建设问题从总体上来说不是技术问题。以热火朝天的ERP为例，ERP的实施不仅仅是软件的事，更重要的是一场管理革命。从这个意义上讲，ERP只

9、是一张皮，深层次的是企业内部变革，所以管理变革若以ERP为助推器，则ERP的实施将水到渠成；若以ERP项目为导火线，试图在公司内部发动管理变革，则往往会面临重重障碍而搁浅，最终不了了之，甚至还可能导致公司被IT拖垮。第三，决策策的技术经经济论证不不足。信息息化建设项项目具有投投资大、风风险大的特特点。英国国Kaliido于英英国时间22001年年12月112日公布布了有关企企业信息管管理的调查查结果。调调查显示，996的企企业对于本本公司的信信息管理系系统感到不不满。关于于目前正在在使用的信信息系统，认认为所制制作的报告告缺乏一贯贯性或者者是核对对信息花费费了太多时时间的企企业约占770。回回

10、答目前的的信息系统统不能灵活活因应变化化的企业约约占60，对于数数据的精度度表示担心心的企业约约占60，60以上的企企业正在策策划有关数数据及信息息的整合计计划。特别别引人深思思的是该调调查是由美美国Harrte-HHankss以全球5500强企企业以及财财富10000企业中中的1711家公司为为对象通过过问卷方式式实施的。事实告诉诉我们，系系统规模越越大、与管管理联系越越密切、集集成度越高高的系统，风风险也越大大，失败概概率越高，其其中最明显显的例子就就是ERPP，信息化化建设项目目的高风险险和高失败败率就要求求企业在信信息化建设设决策之前前，要进行行充分的技技术经济论论证，综合合论证项目目

11、技术上的的先进性和和可行性，财财务上的实实施可能性性，经济上上的合理性性和有效性性。朱镕基基总理在国国家信息化化领导小组组第二次会会议中特别别强调：加加快信息化化建设，必必须以规划划为指导，加加强统筹协协调，突出出发展重点点，务必注注重实效。由于我国国信息化建建设项目开开展时间不不长，缺乏乏项目决策策论证经验验，同时，信信息化建设设项目除直直接效益外外还产生大大量外部效效益，对外外部效益的的量化也是是一个难点点。因此，许许多企业和和政府在进进行信息化化建设时缺缺乏科学的的定性、定定量相结合合的技术经经济论证。 另据分分析，20002年，中中央政府预预计对电子子政务建设设的投资规规模将达到到35

12、0亿亿元，如此此巨大的投投资，一旦旦由于技术术经济论证证不足而导导致决策失失误的话，将将给国家造造成多么巨巨大的损失失！ 第四，信息息资源的合合理应用一一直是我国国信息化的的薄弱环节节。信息资资源的开发发和利用是是国家信息息化建设的的核心任务务，是国家家信息化取取得实效的的关键。信信息资源的的开发和利利用是衡量量国家信息息化水平的的一个重要要标志，将将信息资源源开发和利利用放在核核心地位是是我国推进进信息化的的一大特点点。在信息息化建设中中，我们普普遍存在着着信息处理理环境建设设滞后于物物理环境建建设，许多多单位的数数据库混乱乱状况与其其先进的计计算机环境境和网络环环境极不相相称，使信信息化建

13、设设无法取得得实效，造造成极大浪浪费。以电电子政务为为例，美国国电子政务务提出的口口号是让人人们点击33次鼠标就就能办完事事。而我国国一个电子子政务系统统往往有工工商、税务务、计委、环保、社社保等几十十个甚至是是上百个系系统，要跨跨部门办一一个申报审审批的事情情，不知道道要点击多多少次。与与此同时，我我们认为这这也将给中中国IT企企业带来极极大的商机机。第五，利益益冲突和信信息的不透透明。由于于任何企业业的任务环环境要考虑虑和关系的的利益非常常广泛，在在任何一个个IT战略略决策中，都都会不可避避免发生利利益相关者者包括部门门利益之间间的利益冲冲突。所以以，即使管管理层要努努力承担责责任，企业业

14、任何时候候的任何决决策都会招招致某个或或多个群体体的不满。一些管理理层在做出出IT战略略决策之前前，没有仔仔细考虑每每一个方案案会影响到到哪些重要要的利益相相关者，更更有甚者把把信息化当当作一种政政治资本在在做。那些些开始看起起来能为公公司带来最最大利益的的最佳方案案，也许会会为公司带带来最严重重的后果。因此管理理者必须懂懂得信息系系统给组织织所带来的的各种影响响。相关领导需需要仔细地地考虑，当当引进信息息系统并产产生效益的的同时，还还可能给企企业带来什什么新的问问题？信息息系统是否否能够给组组织各级领领导的工作作带来影响响？组织的工作作流程是否否需要变化化？会不会会引起新的的人员下岗岗？等等

15、。信息的不透透明表现在在诸多方面面，如政府府信息化专专项贴息贷贷款，那些些贷款果真真专款专用用了吗？上上市公司针针对IT项项目的配股股增发，又又有几例不不是冲着圈圈钱去的？！某些厂厂商利用信信息不对称称，极力鼓鼓吹客户要要采购先进进的技术和和设备，致致使这些客客户的信息息系统甚至至比发达国国家的同行行还要先进进，但在营营运绩效方方面却落后后很多。还还有某些厂厂商和咨询询公司在合合同签订前前故弄玄虚虚，以及在在多方利益益博弈后的的项目验收收，这些缺缺少量化模模型的项目目验收和绩绩效评估，在在各方利益益得到均衡衡满足后，一一路绿灯通通行。 第六，ITT安全治理理和风险管管理缺位。目前大多多数组织的

16、的最高管理理层都已树树立不同程程度的安全全和风险意意识，但对对信息资产产所面临的的严重性认认识不足仅仅局限于IIT方面的的安全，突突出表现为为重视安全全技术，轻轻视安全管管理，没有有形成合理理的信息安安全方针来来指导组织织的信息安安全管理工工作，在安安全规划、风险管理理、应急计计划、安全全教育培训训、安全系系统的评估估等多方面面总是出现现了问题才才去想补救救的办法，是是一种就事事论事、静静态的管理理，不是建建立在安全全治理基础础上的动态态的全局管管理方法。国内的信信息化“就就应用系统统而言，几几乎所有企企业的信息息系统都存存在隐患”。第七，非技技术性的障障碍。IT技术术的快速发发展使得许许多人

17、产生生了一种错错误的思维维定势：如如果采用了了最新的技技术，就能能够（或容容易）取得得信息系统统的成功。换言之，如如果信息系系统建设不不成功，多多半是因为为没有采用用最新的技技术。但是是，我们不不断地看到到这样的案案例：一些些企业尽管管不断地试试图采用最最新开发技技术，然而而它们的信信息系统仍仍然没有逃逃脱失败的的命运。很很多人在推推崇信息技技术的同时时忘记了一一个基本的的前提：信信息技术仅仅仅是一种种工具。虽虽然信息技技术对于信信息系统的的开发效率率产生重要要的影响，但但工具本身身却不是信信息系统成成败的根本本原因。通通常在信息息系统开发发时，开发发商采用的的往往是比比较成熟的的技术，因因为

18、这些成成熟技术的的有效性是是已经被实实践所证明明了的。但但是，采用用成熟的技技术并不能能保证信息息系统开发发的成功。这说明，一一些非技术术性的问题题往往是导导致企业信信息化不成成功的根源源。这些问问题我我们姑且统统称为企业业信息化的的非技术性性的障碍目前十十分缺乏理理论上的研研究。有许许多文章都都在谈论这这些因素，有有人说是中中国的管理理水平低，有有人认为是是员工的观观念跟不上上。但是，大大多数文章章都仅仅议议论了一些些现象，而而缺乏深入入全面的研研究。更可可怕的是这这些问题并并未引起一一些主管人人员重视，他他们认为对对非技术性性问题的探探讨是空谈谈，只有掌掌握某种开开发技术才才能有真正正的应

19、用前前景。这种种错误的认认识导致了了许多单位位和部门的的信息系统统的失败，而而这些失败败又常常被被崭新的计计算机设备备和许多忙忙碌而不产产生价值的的工作所掩掩盖，像冰山潜藏藏在水面下下一样无人人知晓。 第八，重硬硬件购买，轻轻软件和咨咨询服务。目前，我我国信息化化建设缺少少专业分工工，基本是是自建、自自用、自我我服务，不不愿花钱买买专业化咨咨询、专业业化软件开开发、专业业化服务，从从而造成信信息化建设设效率低下下。而发达达国家的大大型应用系系统不但花花钱买这三三项专业化化的建设服服务，而且且还买运营营服务。相相关统计显显示：我国国在信息化化投入中，软软硬比例失失调，软件加服服务的投入入与硬件投

20、投入的比例例为二八开开，其中集集成与安装装的比例约约8100%；软件件开发的投投入约10012%；80%的资金是是用于硬件件购买。而而据世界银银行的统计计，发达城城市信息化化投入一般般为七三开开，70%用于软件件和服务，购购买硬件为为30%。第九，信息息化建设找找不到重心心。一些信息化工工程和ERRP项目的的失败，致致使许多人人认为，我我国的企业业尚不匹配配国际上那那些先进的的管理模式式，搞信息息化为时尚尚早。那么么，信息化化到底是什什么？我们们究竟应该该走多远？有没有一一个测量标标准用于判判断何时肯肯定会出现现错误？企企业在最普普通而又最关键键的部分进进行计算机机管理就不不是信息化化吗？IT

21、T成本与利利润比例多多少算是合合适？关键键成功要素素是什么？不能达到到我们目标标的风险是是什么？有有没有可以以贯通业务务风险、控控制需要和和技术问题题这三者之之间的桥梁梁？其他的的组织在做做什么？我我们应该怎怎样进行测测量与比较较？ 这些问题归归根结底是是公司治理理的失灵和和IT治理理的缺位。目前公司司治理已成成为政策重重点，我国国80%的的企业已完完成股份制制改造，初初步建立起起符合现代代企业制度度的公司治治理机制，但但是我们的的治理机制制还很不完完善。一个个治理机制制不完善的的企业很难难对外部竞竞争有积极极的反应，从从而很难有有十分高的的经营效率率；相反，市市场竞争的的效率也来来自于企业业

22、治理机制制的完善，如如果市场中中的企业治治理机制普普遍不完善善，企业之之间就不可可能进行充充分有效的的市场竞争争。市场竞竞争最终要要通过企业业自身治理理机制的改改善才能使使企业经营营效率提高高，如果一一个企业自自身的治理理机制并不不完善，而而且面对市市场竞争并并不能持续续有效地改改善治理机机制，最终终可能在市市场竞争中中被淘汰。因此要实实现“优胜劣汰汰”的市场竞竞争，引入入与市场竞竞争相适应应的治理机机制，我们们依然有许许多工作要要做。在IIT治理方方面，目前前我国的政政府和企业业在这方面面基本上处处于初始阶阶段。据了了解，在一一些大企业业中，已出出现CIOO的权利范范围不只是是领导其信信息部

23、门，还还负责事业业部门的人人、财、物物的资源配配置和利益益均衡，我我们认为这这是具有中中国特色的的IT治理理机制的尝尝试。IT治理的的定义IT治理是是信息系统统审计和控控制领域中中一个相当当新的概念念，IBMM首次将此此理念引入入我们的视视线，在其其20022年度论坛中中推出了给给中国银行行业的“汇聚了了全球金融融行业的智智慧与经验验”的白皮皮书，该白白皮书在其其“推动业务务管理与IIT的全面面集成整合合”部分给银行行业务与管管理的建议议是：大力推推动银行流流程化与流流程标准化化的管理，建建立全行级级的跨部门门的IT治治理决策机机构来决定定IT项目目实施的顺顺序，加强强全行的管管理与流程程执行

24、的纪纪律，与IIT行业的的供应商结结成战略联联盟,将战战略伙伴的的价值并入入到价值链链。作为全全球IT行行业领跑者者的IBMM，其一举举一动往往往预示着整整个行业的的发展方向向。 我们在对IIT治理广广泛研究和和分析的基基础上，关关于其定义义汇集了以以下三种主主要观点：Roberrt s. Rouusseyy （美国国南加州大大学教授）认认为：ITT治理用于于描述被委委托治理实实体的人员员在监督、检查、控控制和指导导实体的过过程中如何何看待信息息技术。IIT的应用用对于组织织能否达到到它的远景景、使命、战略目标标至关重要要。德勤定义如如下: IIT治理是是一个含义义广泛的术术语，包括括信息系统

25、统、技术、通讯、商商业、所有有利益相关关者、合法法性和其他他问题。其其主要任务务是：保持持IT与业业务目标一一致，推动动业务发展展，促使收收益最大化化，合理利利用IT资资源，ITT相关风险险的适当管管理。国际信息系系统审计与与控制协会会 (ISSACA)定义如下下：IT治治理是一个个由关系和和过程所构构成的体制制，用于指指导和控制制企业，通通过平衡信信息技术与与过程的风风险、增加加价值来确确保实现企企业的目标标。通过上述定定义可以总总结出以下下共同点：IT治理必必须与企业业战略目标标一致，IIT对于企企业非常关关键，也是是战略规划划的组成，影影响战略竞竞争。IT治理和和其它治理理主体一样样，是

26、管理理执行人员员和利益相相关者的责责任（以董董事会为代代表）。IT治理保保护利益相相关者的权权益，使风风险透明化化，指导和和控制ITT投资、机机遇、利益益、风险。信息技术治治理包括管管理层、组组织结构、过程，以以确保ITT维持和拓拓展组织战战略目标。应该合理利利用企业的的信息资源源，有效地地集成与协协调。确保IT及及时按照目目标交付，有有合适的功功能和期望望的收益，是是一个一致致性和价值值传递的基基本构建模模块，有明明确的期望望值和衡量量手段。引导IT战战略平衡系系统的投资资，支持企企业， 变变革企业，或或者创建一一个信息基基础架构，保保证业务增增长，并在在一个新的的领域竞争争。对于核心IIT

27、资源做做出合理的的决策，进进入新的市市场，驱动动竞争策略略，创造总总的收入增增长，改善善客户满意意度，维系系客户关系系。IT治理的的目标IT治理与业务务目标一致致IT治理要要从组织目目标和信息息化战略中中抽取信息息需求和功功能需求，形形成总体的的IT治理理框架和系系统整体模模型，为进进一步系统统设计和实实施奠定基基础，保证证信息技术术跟上持续续变化的业业务目标。IT治理有效利利用信息资资源目前信息化化工程超期期、 ITT客户的需需求没有满满足、ITT平台不支支持业务应应用等问题题较为突出出，通过IIT治理可可以对信息息资源的管管理职责进进行有效管管理，保证证投资的回回收，并支支持决策。IT治理

28、风险管管理由于企业越越来越依赖赖于信息技技术和网络络，新的风风险不断涌涌现，例如如，新出现现的技术没没有管理，不不符合现有有法律和规规章制度、没有识别别对IT服服务的威胁胁等。ITT治理强调调风险管理理，通过制制定信息资资源的保护护级别，强强调关键的的信息技术术资源，有有效实施监监控，事故故处理。IIT治理使使企业适应应外部环境境变化，为为企业内部部实现对业业务流程中中资源的有有效利用，从从而达到改改善管理效效率和水平平的重要手手段。IT治理的的目标将帮帮助管理层层建立以组织织战略为导导向, 以以外界环境境为依据, 以业务务与IT整整合为中心的观念念，正确定定位IT部部门在整个个组织中的作用。

29、最终能够够针对不同同业务发展展要求，整整合信息资资源，制定定并执行推推动组织发展的的IT战略略。IT治理解解决哪些问问题在探讨ITT治理可以以解决哪些些问题之前前，我们先先就身边发发生的事件件看一下IIT治理失失灵的例子子：2002年年7月233日，央视视晚新闻播播报：7月223日，首首都机场因因电脑系统统故障，66000多多人滞留机机场，1550多驾飞飞机延误，事事故原因正正在调查中中 ；5月229日上午午时分左右，南南京火车站站电脑售票票系统突然然发生死机机故障，整整个车站售售票处于瘫瘫痪状态，车车站售票大大厅内人满满为患，众众多旅客不不得不改乘乘其它交通通工具离开开南京。车车站领导和和计

30、算机技技术人员告告诉记者是是由于电脑脑升级换代代，调试时时线路发生生故障，才才引发了此此次系统瘫瘫痪的。99月5日广广东省工行行因系统故故障，全线线停业一个个半小时，有有媒体特别别指出，这这是工行实实施全国统统一平台运运作后的首首次故障。还有某银银行在信息息系统技术术升级时，IIT人员只只注重保证证系统在技技术上的平平滑过渡，而而忽视了升升级给客户户带来的不不便，导致致客户流失失，这也表表明当ITT发生改变变时会对业业务目标产产生冲击，以以上都是通通过IT治治理机制可可以合理避避免的事件件。因此，我们们认为ITT治理对商商业目标而而言起着战战略意义，IIT治理状状况直接影影响到企业业实现目标标

31、的可能性性，良好的的IT治理理有助于增增强企业的的灵活性和和学习能力力，巧妙管管理风险，辨辨别发展机机遇。对于于最高管理理层（董事事会）而言言，IT治治理可以解解决以下几几个方面问问题：发现信息技技术本身的的问题，例例如IT项项目未能实实现期望价价值的概率率；终端用用户是否满满意IT服服务的质量量；是否有有足够的IIT资源、基础设施施、竞争力力来满足战战略目标；信息技术术平均操作作失误的原原因；ITT没有推动动业务改善善而是阻碍碍业务的次次数。帮助管理者者处理ITT问题，例例如，ITT和组织战战略目标的的一致性程程度怎么样样；怎样衡衡量IT的的交付价值值；执行管管理人员采采取什么样样的战略动动

32、机来管理理IT；与与企业的运运营与成长长管理相关关的问题；企业是否否清楚其商商业目标与与技术的关关系：领先先、跟随者者还是滞后后者；企业业对风险（风风险规避和和风险承担担）是否清清楚；有没没有最新的的企业相关关IT风险险的清单，采采取哪些行行动处理这这些风险。自我评估IIT管理的的效果，例例如，是否否经常向最最高管理层层（董事会会）定期汇汇报IT风风险；ITT是否是最最高管理层层（董事会会）议程中中的一个常常用的术语语，它是否否以结构化化形式表达达；最高管管理层（董董事会）是是否就商业业目标与信信息技术一一致性进行行阐明和沟沟通；最高高管理层（董董事会）对对主要ITT投资是否否有清楚的的观点，

33、包包括风险和和回报；最最高管理层层（董事会会）是否定定期得到主主要IT过过程的报告告；最高管管理层（董董事会）在在获取ITT目标和限限制IT风风险时是否否得到独立立的保证。国内IT治治理水平的的好与差造成成了IT应应用层次的的差异。一一些单位有有与其国际际竞争对手手一样的系系统、软件件，甚至技技术和设备备强于对方方，所以单单从技术的的成熟性和和先进性而而言，中国国整体应用用水平不低低。但是为什什么就没有有对方做的的好呢？从从IT治理理的角度审审视，其实实技术的竞竞争早已超超越了有与与无的层面面，进而甚甚至超越了了抢夺技术术最早占有有权的层面面，体现在在业务和技技术管理能能力上的对对抗。事实实上

34、我国信信息化目前前所处的阶阶段缺乏的的并不是先先进的技术术与设备，而而是IT管管理理念和和方法论。IBM大大中国区金金融事业部部总经理张张烈生说：“所有把落落败归咎于于技术的人人，都是在在逃避一个个事实：认认识上的落落后和管理理上的无能能”。当然，我我们的周围围也不乏在在较落后的的技术和设设备上，把把已有的技技术应用得得非常成功功的范例。 IT治理的的范围IT治理体体系保证总总体战略目目标能够从从上而下贯贯彻执行。IT治理理和其它治治理活动一一样，集中中在最高管管理层（董董事会）和和执行管理理层。然而而，由于IIT治理的的复杂性和和专业性，治治理层必须须强烈依赖赖企业的下下层来提供供决策和评评

35、估活动所所需要的信信息。为保保证有效的的IT治理理，下层应应用要和企企业总体目目标采用相相同的原则则，提供评评估业绩的的衡量方法法。因此，好好的IT治治理实践需需要在企业业全部范围围内推行。最高管理层层（董事会会）的主要要职责是：证实ITT战略与企企业战略一一致；证实实IT通过过明确的期期望和衡量量手段交付付； 指导导IT战略略、平衡支支持企业和和使企业成成长的投资资；恰当决决策信息资资源应着重重使用的地地方。最高高管理层（董董事会）通通过下述指指标衡量业业绩：定义义和检查衡衡量手段以以及管理，证证实目标已已经达到，并并且衡量业业绩，减少少不确定性性。管理者的焦焦点主要是是成本效益比，增增加收

36、入，构构建竞争力力，这些都都由信息、知识、信信息技术体体系推动。由于信息息技术作为为实现企业业目标的一一个集成部部分，其解解决办法越越来越复杂杂（外包，第第三方合同同，网络化化等），因因此，善治治成为成功功的一个关关键因素。管理者的的职责是：将IT风风险管理的的责任和控控制落实到到企业中，制制定明确的的政策和全全面的控制制框架；将将战略，策策略，目标标等由上至至下落实到到企业，并并使信息技技术的组织织与企业目目标一致；提供治理理结构支持持IT战略略的实施，制制定IT基基础设施加加快商业信信息的创造造与共享；通过衡量量公司业绩绩和竞争优优势来测度度信息技术术的效果（KKPI，KKGI）；使用平衡

37、衡计分卡，弥弥补行政管管理的不足足；关注IIT必须支支持的商业业竞争力，如如增加客户户价值的业业务过程，在在市场上差差异化的产产品和服务务，通过多多产品和服服务来产生生增值；关关注重要的的增值的信信息技术过过程；关注注与规划和和管理ITT资产、风风险、工程程项目、客客户和供应应商相关的的核心竞争争能力。IT治理使使得最高管管理层（董董事会）和和执行经理理的一系列列活动成为为可能。这这些活动主主要包括：IT的目目标，新技技术的机遇遇和风险，关关键过程与与核心竞争争力。如指指导信息技技术的职能能和对企业业的影响，分分配责任，定定义操作，衡衡量业绩，管管理风险和和获得保证证的约束等等。以银行业的的数

38、据大集集中为例，从从20011年开始，采采用集中数数据处理模模式来体现现一级企业业法人治理理结构已经经成为各家家银行致力力实现的一一个目标，目目前国内银银行的数据据集中处理理模式改造造已陆续取取得阶段性性成果，可可问题随之之而来，集集中以后做做什么？集集中以后风风险也增加加了，怎么么办？前一一个问题也也就是说数数据集中了了，只是提提供了一个个进行深度度业务创新新的前提和和可能，关关键还在于于商业模式式和IT管管理模式。对于后一一个问题，则则需要采取取更先进的的安全治理理机制，全全面的信息息系统审计计与控制，包包括可靠的的灾难恢复复和业务持持续规划。公司治理和和IT治理理公司治理主主要关注利利益

39、相关者者权益和管管理，包括括一系列责责任和条例例，由最高高管理层（董董事会）和和执行管理理层实施，目目的是提供供战略方向向，保证目目标能够实实现，风险险适当管理理，企业的的资源合理理使用。公司治理，驱驱动和调整整IT治理理。同时，IIT能够提提供关键的的输入，形形成战略计计划的一个个重要组成成部分，这这被认为是是公司治理理的一个重重要功能IT影影响企业的的战略竞争争机遇。IT治理活动公司治理活动从下面获取信息公司治理IT治理驱动和设定IT治理和和公司治理理关系图IT治理的的一个关键键性问题是是：公司的的IT投资资是否与战战略目标相相一致，从从而构筑必必要的核心心竞争力。因为企业业目标变化化太快

40、，很很难保证IIT与商业业目标始终终保持一致致，因此需需要多方面面的协调，保保证IT治治理继续沿沿着正确的的方向走，这这也是ITT投资者真真正关心的的问题。对对IT治理理而言，要要能体现未未来信息技技术与未来来企业组织织的战略集集成。既要要尽可能地地保持开放放性和长远远性，以确确保系统的的稳定性和延续性性；同时又又因为规划划赶不上变化化，再长远远的规划也也难以保证证能跟上企企业环境的的变化。IIT治理中中一个相对对有效的做做法是，在在信息化规规划时，认认真分析企企业的战略略与IT支支撑之间的的影响度，并并合理预测测环境变化化可能给企企业战略带带来的偏移移，在规划划时留有适适当的余地地，从业务务

41、战略到信信息战略，做做务实的牵牵引，不要要追求大而而全。 IT治理有有助于建立立一个灵活活的、具有有适应性的的企业。IIT治理能能够影响信信息和指示示：企业能能够感知市市场正在发发生的事，使使用知识资资产并从中中学习，创创新新产品品、服务、渠道、过过程；迅速速变化，将将革新带入入市场，衡衡量业绩。IT治理理应该体现现“以组织战战略目标为为中心”的思想，通通过合理配配置IT资资源创造价价值。企业业治理侧重重于企业整整体规划，IIT治理侧侧重于企业业中信息资资源的有效效利用和管管理。企业目标在在于远景和和商业模式式，IT目目标在于商商业模式的的实施。企业目标与与IT目标标之间的关关系如下图图所示：

42、企业战略协调活动IT战略IT运作企业运作 IT治理主主要涉及两两个方面：IT要为为企业交付付价值，IIT风险要要降低。前前者受ITT与企业的的战略一致致性驱动，后后者由责任任义务落实实到企业驱驱动。这两两者都需要要衡量，如如使用平衡衡计分卡。这就可以以看出ITT治理的四四个核心领领域，都是是由利益相相关者价值值驱动的，其其中两个是是成果：价价值交付和和风险降低低，另外两两个是驱动动力：战略略一致性和和业绩衡量量。概括地说，公公司治理和和IT治理理都是市场场（含政府府）他律的的机制，是是如何“管好管理理者”的机制，其其目标也是是一致的：达到业务务永续运营营，并增加加组织的长长期获利机机会。无论论

43、大环境是是好是坏，最最高管理层层（董事会会）均应以以达成其目目标为责任任，而且管管理阶层需需有能力协协助其达成成目标，因因此最高管管理层（董董事会）必必须常常监监督管理部部门对决策策判断与政政策实施的的绩效。“斯达模式式”这一被誉誉为国企摆摆脱困境、改革发展展的创新模模式，正说说明了公司司治理和IIT治理的的重要性和和互动关系系。“黑纸”利用合资资契机，对对产权体制制进行了改改革，并按按照现代企企业制度要要求，建立立与市场竞竞争相适应应的公司治治理机制，明明晰了企业业产权，优优化了生产产要素配置置，转变了了职工观念念，为斯达达大力进行行信息化改改造创造了了有力条件件。反过来来，信息化化也促进了

44、了公司的现现代化管理理。IT治理和和IT管理理IT管理是是公司的信信息及信息息系统的运运营，确定定IT目标标以及实现现此目标所所采取的行行动；而IIT治理是是指最高管管理层（董董事会）利利用它来监监督管理层层在IT战战略上的过过程、结构构和联系，以以确保这种种运营处于于正确的轨轨道之上。这是一个个硬币的两两面，谁也也不能脱离离谁而存在在。可见，IIT管理就就是在既定定的IT治治理模式下下，管理层层为实现公公司的目标标而采取的的行动。IT治理理规定了整整个企业IIT运作的的基本框架架，IT管管理则是在在这个既定定的框架下下驾驭企业业奔向目标标。缺乏良良好IT治治理模式的的公司，即即使有“很好”的

45、IT管管理体系（而而这实际上上是不可能能的），就就像一座地地基不牢固固的大厦；同样，没没有公司IIT管理体体系的畅通通，单纯的的治理模式式也只能是是一个美好好的蓝图，而而缺乏实际际的内容。就我国信信息化建设设目前的现现状而言，无无论是ITT治理，还还是IT管管理都是我我们所迫切切需要解决决的。公司治理与与信息技术术治理如何何工作指导企业设立目目标，由通通用的惯例例来治理并并保证目标标实现。这这些目标中中渗透企业业的发展方方向，指导导企业活动动和使用资资源。企业业活动的结结果被衡量量及报告，为为输入提供供不断的修修正和维护护控制，从从而开始下下一轮循环环。目标企业活动资源控制向报告使用信息技术也

46、也确立目标标，保证企企业信息和和相关技术术支持商业业目标，资资源有效利利用，风险险管理适度度。这些目目标形成IIT活动的的基本方向向，划分为为规划和组组织，获取取和实施，交交付与支持持，监控等等四个部分分。一方面面管理风险险（安全、可靠，保保密），另另一方面实实现收益（提提高有效性性和效率）。通过报告告发布关于于IT活动动收益，根根据不同的的管理和控控制来衡量量，然后进进入下一轮轮循环。目标信息技术与商业一致，推动商务，收益最大化信息资源合理利用信息相关风险恰当管理活动管理风险安全可靠保密控制向报告实现收益增加自动化，有效性减少成本提高效率指导IT治理架架构一个有效的的IT治理理架构需要要理解

47、组织织的核心竞竞争力，并并且在商业业目标，治治理原型，业业务绩效目目标之间维维持平衡，进进而提出IIT治理框框架，制定定决策以及及如何在关关键的信息息技术领域域中确定。由此，意意识到ITT治理与企企业治理之之间的必然然联系，提提供管理相相关风险的的最佳实务务指导。企企业目标是是保证企业业健康、可可持续发展展，关注商商业目标、知识管理理、商业通通讯、客户户关系、商商业活动与与过程；IIT治理目目标是信息息系统、技技术和网络络、知识管管理、ITT资产管理理、电子商商务、ITT合法性等等。COBITT，直译为为信息及相相关技术的的控制目标标，是ITT治理的一一个开放性性标准，由由美国ITT治理研究究

48、院开发与与推广，目目前已成为为国际上公公认的最先先进、最权权威的安全全与信息技技术管理和和控制的标标准。该标标准为ITT的治理、安全与控控制提供了了一个一般般适用的公公认的标准准，以辅助助管理层进进行IT治治理。该标标准体系已已在世界一一百多个国国家的重要要组织与企企业中运用用，指导这这些组织有有效利用信信息资源，有有效地管理理与信息相相关的风险险。 COBIIT模型COBITT将IT 过程程，IT资源及及信息与企企业的策略略与目标联联系起来，形形成一个三三维的体系系结构。其其中，ITT准则维集集中反映了了企业的战战略目标，主要从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等

49、方面来保证信息的安全性、可靠性、有效性； IT资源维主要包括以人、应用系统、技术、设施及数据在内的信息相关的资源，这是IT治理过程的主要对象；IT过程维则是在IT准则的指导下，对信息及相关资源进行规划与处理，从信息技术的规划与组织、采集与实施、交付与支持、监控等四个方面确定了34个信息技术处理过程，每个处理过程还包括更加详细的控制目标和审计方针对IT处理过程进行评估。COBITT的34个个信息技术术过程：1规划与组组织3交付与支支持定义IT战战略规划定义信息体体系结构确定技术方方向定义IT组组织与关系系管理IT投投资传达管理目目标和方向向人力资源管管理确保与外部部需求的一一致性风险评估项目管理

50、质量管理定义并管理理服务水平平管理第三方方的服务管理性能与与容量确保服务的的连续性确保系统安安全确定并分配配成本教育并培训训客户配置管理处理问题和和突发事件件数据管理设施管理运营管理2采集与实实施4监控确定自动化化的解决方方案获取并维护护应用程序序软件获取并维护护技术基础础设施程序开发与与维护系统安装与与鉴定变革管理过程监控评价内部控控制的适当当性获取独立保保证提供独立的的审计这个模型为为企业管理理的成功提提供了集成成的IT管理，通通过保证有有关企业处处理过程的的高效的改改进措施，以以更快更好好更安全地地响应企业业需求。管理指南定定义了ITT过程的成成熟度模型型，为管理理者评估IIT过程的的状

51、态提供供了标准。同时也给给出了一些些重要的测测度，这包包括：关键键成功因素素，关键目目标指标，关关键绩效指指标。管理框架管理指南控制目标审计指南工具集图2 COBIT的管理模型关键成功因素成熟度模型关键目标指标关键性能指标 COBIT体系框架COBITT模型是企企业战略目目标和信息息技术战略略目标的桥桥梁，使得得信息技术术目标和企企业战略目目标之间实实现互动。该框架的意意义在于：COBIIT实现了了企业目标标与IT治治理目标之之间的桥梁梁作用。首先考虑了了企业自身身的战略规规划，对业业务环境和和企业总的的业务战略略进行分析析定位，并并将战略规规划所产生生的目标、政策、行行动计划作作为信息技技术

52、的关键键环境，并并由此确定定IT准则则。IT为企业业战略提供供了基于技技术的解决决方案，为为满足业务务战略需求求提供了技技术与工具具。在ITT准则的指指导下，利利用控制目目标模型，分分别从规划划与组织、采集与实实施、交付付与支持、监控等过过程进行控控制、管理理信息资源源，在ITT管理的同同时，引入入审计指南南，从而保保证IT资源管管理的安全全性、可靠靠性和有效效性。实现可跟踪踪的业绩衡衡量，通过过平衡经营营记分卡可可以在财务务（企业资资源管理）、客户（客客户关系管管理）、过过程（内部部网，工作作流工具）、学习（知知识管理）等等方面维持持平衡，评评价企业目目标的实现现情况以及及IT绩效，并并调整

53、商业业目标和IIT战略，进进行持续的的IT管理。采用成熟度度模型，可可以定位自自己企业的的IT管理理目前在业业界所处的的位置，未未来努力的的方向，通通俗地说就就是给ITT管理“打分”。COBITT还提供了了目前最佳佳案例和关关键成功因因素，供企企业和组织织借鉴。概括而言，CCOBITT的主要优优点如下：COBITT是一个非非常有用的的工具，也也非常易于于理解和实实施，可以以帮助在管管理层、IIT与审计计之间交流流的鸿沟上上搭建桥梁梁，提供了了彼此之间间沟通的共共同语言。几乎每个个机构都可可以从COOBIT中中获益，来来决定基于于IT过程程及他们所所支持的商商业功能的的合理控制制。当我们们知道这

54、些些商业功能能是什么，其其对企业的的关键到什什么程度时时，就能对对这些事件件进行良好好的分类。所有的信信息系统审审计，控制制及安全专专业人员应应该考虑采采用COBBIT原则则。通过实施CCOBITT，增加了了管理层对对控制的感感知及支持持。COBBIT帮助助管理层懂懂得控制如如何影响商商业功能。COBIIT提供的的实施工具具集包括优优秀的案例例资料（提提供模板商商业过程，使使得优秀范范例能够迅迅速移植），帮帮助向管理理层很好地地表述ITT管理概念念。管理层层在基于最最佳控制实实践基础上上做出正确确决策的能能力亦得到到了提高。COBITT使IT管管理工作简简易并量化化，减轻对对复杂信息息系统管理

55、理工作的难难度，并且且可以应用用在每天都都在发生的的各种新问问题中。对对于那些不不具有广博博IT知识识的人来将将，是一个个认清信息息技术的有有价值的工工具。它也也使得信息息系统审计计师具有与与IT专业业人员相同同的专业广广度，并且且可以询问问IT工程程相关的问问题。COBITT提供了一一种国际通通用的ITT管理及问问题解决方方案，普遍遍适用于各各种不同的的商业项目目和审计，并并且它既包包容了我们们当前的情情况，也提提供将来可可能会使用用到的指导导方针。COBITT有助于提提高信息系系统审计师师的影响力力，依据CCOBITT出具的信信息系统审审计报告更更容易得到到管理层的的肯定。COBITT框架

56、可以以能够帮助助决定过程程责任，提提高IT治治理水平。通过采用用该框架作作为对一个个责任矩阵阵分析的基基础，可以以做到基于于角色的IIT管理，定定义过程措措施，确保保客户利益益。从以上的分分析介绍可可以看出：整个模型型实现了企企业战略与与IT战略的的互动，并并形成持续续改进的良良性循环机机制，为企企业提供了了具有一定定参考价值值的解决方方案。因此此，我们认认为针对我我国信息化化存在的问问题，借鉴鉴COBIIT的IT治理思思想和框架架，科学、系统地对对信息及相相关技术进进行管理，逐逐步试行建建立IT治治理机制，对对推动我国国信息技术术的发展和和应用具有有十分重要要的现实意意义。IT治理在在组织中

57、的的应用指南南IT治理在在组织中的的应用是在在管理指南南的指导下下完成的。管理指南南通过关键键成功因素素、成熟度度模型、关关键目标指指标、关键键绩效指标标四个方面面的有机作作用，使企企业中的信信息资源得得到有效的的管理。管管理指南的的特点是：面向应用用，具有通通用性、一一般性，不不能提供针针对某一具具体测定方方法，组织织应根据自自身环境修修改这个一一般性的指指导方针，以以满足实际际的应用需需要。下面面具体介绍绍管理指南南的各个部部分在应用用中所起的的具体作用用。关键成功因因素关键成功因因素为管理理部门控制制信息技术术及其处理理过程提供供了实施指指南。它们们是信息技技术处理过过程中的最最关键的要

58、要素，是战战略性的、技术性的的过程或活活动，勾画画出了ITT的控制轮轮廓。关键键成功因素素可以从标标准控制模模型和ITT管理框架架的目标与与审计指南南中获取。这些标准准要求：信信息技术要要与企业的的运营情况况相符；信信息技术使使营运业务务可行，并并使其收益益最大化；合理使用用信息技术术资源；适适当管理IIT的有关关风险。关关键成功因因素平衡所所有的ITT资源，它它由关键绩绩效指标评评价。下表为从标标准控制模模型与管理理构架中归归纳出用于于多数信息息技术处理理过程的关关键成功因因素，以供供参考。关键成功因因素IT治理活活动与公司司治理过程程相结合，并并有公司领领导的参与与；IT治理专专注于公司司

59、目标，战战略，使用用技术提高高业务水平平，及满足足业务需求求的足够可可用的资源源和能力；IT治理活活动应该目目标明确，制制度规范和和实施有效效，它应是是根据公司司需要并责责任到人；实施最佳管管理实践以以提高资源源的有效使使用，提高高IT过程程的效率；建立组织准准则以充分分监督，形形成一种控控制的环境境/文化，根根据标准程程序评估风风险，增加加对已建立立标准的依依靠，及监监督和追究究控制缺陷陷和风险；建立控制准准则以避免免内部控制制和监管的的失灵；许多IT业业务流程，如如问题管理理，变革管管理和配置置管理，是是集成和互互相关联的的；建立审计委委员会；审审计委员会会任命和监监督独立审审计员；独独立

60、审计员员的任务是是推行ITT相关的审审计计划，评评审审计结结果和第三三方审计的的评审结果果；关键成功因因素是为提提高处理过过程的成功功可能性所所做的最重重要的事，通通常与组织织的目标保保持一致，是是组织和处处理过程的的可观察可可测量的特特征，分布布于企业的的战略层、战术层、应用层及及组织的各各个方面，可可以通过目目标分解与与识别的方方法选择关关键成功因因素。关键目标指指标关键目标指指标是指通通过创建和和维护一套套处理和控控制适当业业务绩效的的系统，来来指导并监监督IT传传递的商业业价值。关关键目标指指标通过识识别测定处处理结果，营营运过程的的输出，在在平衡记分分卡上测定定。关键目标指指标体现的