IT治理中国信息化的必由之道

1、IT治理：中国信息化的必由之道PAGE IT治理：中国国信息化的必必由之道孙 强 郝亚亚斌 郝晓玲玲 孟秀转目 录TOC o 1-3 h z HYPERLINK l _Toc26619007 引言 PAGEREF _Toc26619007 h 1 HYPERLINK l _Toc26619008 IT治理缺失的的九大症状 PAGEREF _Toc26619008 h 1 HYPERLINK l _Toc26619009 IT治理的定义义 PAGEREF _Toc26619009 h 4 HYPERLINK l _Toc26619010 IT治理的目标标 PAGEREF _Toc26619010

2、 h 4 HYPERLINK l _Toc26619011 IT治理解决哪哪些问题 PAGEREF _Toc26619011 h 5 HYPERLINK l _Toc26619012 IT治理的范围围 PAGEREF _Toc26619012 h 6 HYPERLINK l _Toc26619013 公司治理和ITT治理 PAGEREF _Toc26619013 h 7 HYPERLINK l _Toc26619014 IT治理和ITT管理 PAGEREF _Toc26619014 h 8 HYPERLINK l _Toc26619015 公司治理与信息息技术治理如如何工作 PAGEREF _

3、Toc26619015 h 8 HYPERLINK l _Toc26619016 IT治理架构 PAGEREF _Toc26619016 h 9 HYPERLINK l _Toc26619017 IT治理在组织织中的应用指指南 PAGEREF _Toc26619017 h 11 HYPERLINK l _Toc26619018 建立IT治理机机制 PAGEREF _Toc26619018 h 16 HYPERLINK l _Toc26619019 IT治理的成功功案例 PAGEREF _Toc26619019 h 19第54页 共23页引言信息化已经成为为中国经济与与社会发展最最重要的推动动力

4、，大力推推动全社会的的信息化，以以信息化带动动工业化，这这一战略已经经取得了可喜喜的成果。当当前，在加入入WTO后的的中国经济环环境中，信息息的重要性已已被广为认同同，信息系统统也已逐步渗渗透到商业和和政府组织中中，IT系统统开始从传统的的后台支持转转变为新业务务开展的直接接驱动力，IIT也日益成为企企业的直接利利润中心。各各种组织对信信息系统的依依赖程度在不不断增加，更更有一些组织织甚至若没有有IT将不复复存在，但同同时对于很多多组织由于信信息和信息技技术意味着最最重要的资产产，这导致IIT本身已经经或潜在成为为一个巨大的的威胁，随IIT而来的风风险、利益和和机会使得IIT治理成为为公司和政

5、府府治理中很关关键的一个方方面。管理层层需要确保IIT与公司战战略一致而且且公司战略也也很好地利用用了IT的优优势，政府需需要发展电子子政务来促动动、实现转变变政府职能的的转变。因此此，随着对信信息系统依赖赖性的增加，IIT治理对于于组织的成功功是至关重要要的。这篇文文章将探究当当前关于ITT治理的思想想，为什么IIT治理框架架对于组织的的持续成功是是至关重要的的，然后描述述它与公司治治理之间的关关系，最后简简单介绍了一一个IT治理理的自动化工工具COBIIT。后续文文章将主要集集中在IT治理机制制的实现上，IT治理应该采用国际上最好的实践标准，包括COBIT和ISO/IEC 17799，讨论

6、如何实施它以改善整个组织的运作。IT治理缺失的的九大症状首先，各自为政政。缺乏统一一、全局的IIT战略规划划，由于没有有统筹规划，目目标不明确，标标准不统一，一些地方处在混乱无序的状态，形成了很多在权力保护下的信息孤岛，缺乏共享的、网络化的信息资源，中关村科技软件公司总裁朱希铎曾对媒体呼吁，我国要警惕形成世界上规模最大的信息孤岛。如目前国内已建成的众多CA中心，除了在采用X.509证书标准上一致外，其它的共同标准规范很少，中国各CA中心发放的证书基本不能相互兼容，CFCA作为中国金融业的统一认证中心，其证书甚至不能与国际权威的CA认证接轨。对于企业而言，面对业务重组、裁员、外包、充分授权、扁平

7、化组织和分布式处理等如此复杂多变的商业环境，在IT战略规划修订时，如何精确保证IT战略规划和企业战略目标的一致，普遍缺少科学方法论的指导。其次，信息化建建设领导者错错位，IT应应用方案和企企业业务需求求之间逻辑错错位。过去的的信息化工程程是技术专家家或技术厂商商主导下进行行的，而不是是经济专家或或管理专家主主导，技术专专家或技术厂厂商从技术的的视角去关注注信息技术和和设备的先进进性等，较少少聚焦在ITT战略和组织织战略目标的的互动上，较较少考虑信息息技术如何形形成企业核心心竞争力，如如何避免风险险，如何创造造新的业务和和市场，和管管理层沟通缺缺少通用的语语言（非ITT专业术语），因而不可避免地

8、和企业的经营环境、经营目的脱节，而随着设备更新的加快，许多早期的工程只剩下一推摆设，管理层看不到在IT上的投资回报，这又导致信息技术得不到应有的重视，形成恶性循环。目前，总结经验和教训，各方普遍认识到中国的信息化建设问题从总体上来说不是技术问题。以热火朝天的ERP为例，ERP的实施不仅仅是软件的事，更重要的是一场管理革命。从这个意义上讲，ERP只是一张皮，深层次的是企业内部变革，所以管理变革若以ERP为助推器，则ERP的实施将水到渠成；若以ERP项目为导火线，试图在公司内部发动管理变革，则往往会面临重重障碍而搁浅，最终不了了之，甚至还可能导致公司被IT拖垮。第三，决策的技技术经济论证证不足。信

9、息息化建设项目目具有投资大大、风险大的的特点。英国国Kaliddo于英国时时间20011年12月112日公布了了有关企业信信息管理的调调查结果。调调查显示，996的企业业对于本公司司的信息管理理系统感到不不满。关于目目前正在使用用的信息系统统，认为所所制作的报告告缺乏一贯性性或者是核对信息花花费了太多时时间的企业业约占70。回答目前前的信息系统统不能灵活因因应变化的企企业约占600，对于数数据的精度表表示担心的企企业约占600，60以上的企业业正在策划有有关数据及信信息的整合计计划。特别引引人深思的是是该调查是由由美国Harrte-Haanks以全全球500强强企业以及财财富10000企业中的

10、1171家公司司为对象通过过问卷方式实实施的。事实实告诉我们，系统规模越大、与管理联系越密切、集成度越高的系统，风险也越大，失败概率越高，其中最明显的例子就是ERP，信息化建设项目的高风险和高失败率就要求企业在信息化建设决策之前，要进行充分的技术经济论证，综合论证项目技术上的先进性和可行性，财务上的实施可能性，经济上的合理性和有效性。朱镕基总理在国家信息化领导小组第二次会议中特别强调：加快信息化建设，必须以规划为指导，加强统筹协调，突出发展重点，务必注重实效。由于我国信息化建设项目开展时间不长，缺乏项目决策论证经验，同时，信息化建设项目除直接效益外还产生大量外部效益，对外部效益的量化也是一个难

11、点。因此，许多企业和政府在进行信息化建设时缺乏科学的定性、定量相结合的技术经济论证。 另据分析，2002年，中央政府预计对电子政务建设的投资规模将达到350亿元，如此巨大的投资，一旦由于技术经济论证不足而导致决策失误的话，将给国家造成多么巨大的损失！ 第四，信息资源源的合理应用用一直是我国国信息化的薄薄弱环节。信信息资源的开开发和利用是是国家信息化化建设的核心心任务，是国国家信息化取取得实效的关关键。信息资资源的开发和和利用是衡量量国家信息化化水平的一个个重要标志，将将信息资源开开发和利用放放在核心地位位是我国推进进信息化的一一大特点。在在信息化建设设中，我们普普遍存在着信信息处理环境境建设滞

12、后于于物理环境建建设，许多单单位的数据库库混乱状况与与其先进的计计算机环境和和网络环境极极不相称，使使信息化建设设无法取得实实效，造成极极大浪费。以以电子政务为为例，美国电电子政务提出出的口号是让让人们点击33次鼠标就能能办完事。而而我国一个电电子政务系统统往往有工商商、税务、计计委、环保、社社保等几十个个甚至是上百百个系统，要要跨部门办一一个申报审批批的事情，不不知道要点击击多少次。与与此同时，我我们认为这也也将给中国IIT企业带来来极大的商机。第五，利益冲突突和信息的不不透明。由于于任何企业的的任务环境要要考虑和关系系的利益非常常广泛，在任任何一个ITT战略决策中中，都会不可可避免发生利利

13、益相关者包包括部门利益益之间的利益益冲突。所以以，即使管理理层要努力承承担责任，企企业任何时候候的任何决策策都会招致某某个或多个群群体的不满。一一些管理层在在做出IT战战略决策之前前，没有仔细细考虑每一个个方案会影响响到哪些重要要的利益相关关者，更有甚甚者把信息化化当作一种政政治资本在做做。那些开始始看起来能为为公司带来最最大利益的最最佳方案，也也许会为公司司带来最严重重的后果。因因此管理者必必须懂得信息息系统给组织织所带来的各各种影响。相相关领导需要要仔细地考虑虑，当引进信信息系统并产产生效益的同同时，还可能能给企业带来来什么新的问问题？信息系系统是否能够够给组织各级领导导的工作带来来影响？

14、组织织的工作流程程是否需要变变化？会不会会引起新的人人员下岗？等等等。信息的不透明表表现在诸多方方面，如政府府信息化专项项贴息贷款，那那些贷款果真真专款专用了了吗？上市公公司针对ITT项目的配股股增发，又有有几例不是冲冲着圈钱去的的？！某些厂厂商利用信息息不对称，极极力鼓吹客户户要采购先进进的技术和设设备，致使这这些客户的信信息系统甚至至比发达国家家的同行还要要先进，但在在营运绩效方方面却落后很很多。还有某某些厂商和咨咨询公司在合合同签订前故故弄玄虚，以以及在多方利利益博弈后的的项目验收，这这些缺少量化化模型的项目目验收和绩效效评估，在各各方利益得到到均衡满足后后，一路绿灯灯通行。 第六，IT

15、安全全治理和风险险管理缺位。目前大多数组织的最高管理层都已树立不同程度的安全和风险意识，但对信息资产所面临的严重性认识不足仅局限于IT方面的安全，突出表现为重视安全技术，轻视安全管理，没有形成合理的信息安全方针来指导组织的信息安全管理工作，在安全规划、风险管理、应急计划、安全教育培训、安全系统的评估等多方面总是出现了问题才去想补救的办法，是一种就事论事、静态的管理，不是建立在安全治理基础上的动态的全局管理方法。国内的信息化“就应用系统而言，几乎所有企业的信息系统都存在隐患”。第七，非技术性性的障碍。IT技术的的快速发展使使得许多人产产生了一种错错误的思维定定势：如果采采用了最新的的技术，就能能

16、够（或容易易）取得信息息系统的成功功。换言之，如如果信息系统统建设不成功功，多半是因因为没有采用用最新的技术术。但是，我我们不断地看看到这样的案案例：一些企企业尽管不断断地试图采用用最新开发技技术，然而它它们的信息系系统仍然没有有逃脱失败的的命运。很多人人在推崇信息息技术的同时时忘记了一个个基本的前提提：信息技术术仅仅是一种种工具。虽然然信息技术对对于信息系统统的开发效率率产生重要的的影响，但工工具本身却不不是信息系统统成败的根本本原因。通常常在信息系统统开发时，开开发商采用的的往往是比较较成熟的技术术，因为这些些成熟技术的的有效性是已已经被实践所所证明了的。但但是，采用成成熟的技术并并不能保

17、证信信息系统开发发的成功。这这说明，一些些非技术性的的问题往往是是导致企业信信息化不成功功的根源。这这些问题我们姑且统统称为企业信信息化的非技技术性的障碍碍目前十十分缺乏理论论上的研究。有有许多文章都都在谈论这些些因素，有人人说是中国的的管理水平低低，有人认为为是员工的观观念跟不上。但但是，大多数数文章都仅仅仅议论了一些些现象，而缺缺乏深入全面面的研究。更更可怕的是这这些问题并未未引起一些主主管人员重视视，他们认为为对非技术性性问题的探讨讨是空谈，只只有掌握某种种开发技术才才能有真正的的应用前景。这这种错误的认认识导致了许许多单位和部部门的信息系系统的失败，而而这些失败又又常常被崭新新的计算机

18、设设备和许多忙忙碌而不产生生价值的工作作所掩盖，像像冰山潜藏在在水面下一样样无人知晓。 第八，重硬件购购买，轻软件件和咨询服务务。目前，我我国信息化建建设缺少专业业分工，基本本是自建、自自用、自我服服务，不愿花花钱买专业化化咨询、专业业化软件开发发、专业化服服务，从而造造成信息化建建设效率低下下。而发达国国家的大型应应用系统不但但花钱买这三三项专业化的的建设服务，而而且还买运营营服务。相关关统计显示：我国在信息息化投入中，软软硬比例失调调，软件加服务务的投入与硬硬件投入的比比例为二八开开，其中集成成与安装的比比例约8110%；软件件开发的投入入约10112%；800%的资金是是用于硬件购购买。

19、而据世世界银行的统统计，发达城城市信息化投投入一般为七七三开，700%用于软件件和服务，购购买硬件为330%。第九，信息化建建设找不到重重心。一些信息化工程程和ERP项目的的失败，致使使许多人认为为，我国的企业尚不匹配配国际上那些些先进的管理理模式，搞信信息化为时尚尚早。那么，信信息化到底是是什么？我们们究竟应该走走多远？有没有有一个测量标标准用于判断断何时肯定会会出现错误？企业在最普普通而又最关键的的部分进行计计算机管理就就不是信息化化吗？IT成成本与利润比比例多少算是是合适？关键键成功要素是是什么？不能能达到我们目目标的风险是是什么？有没没有可以贯通通业务风险、控控制需要和技技术问题这三三

20、者之间的桥桥梁？其他的的组织在做什什么？我们应应该怎样进行行测量与比较较？ 这些问题归根结结底是公司治治理的失灵和和IT治理的的缺位。目前前公司治理已已成为政策重重点，我国880%的企业业已完成股份份制改造，初初步建立起符符合现代企业业制度的公司司治理机制，但但是我们的治治理机制还很很不完善。一一个治理机制制不完善的企企业很难对外外部竞争有积积极的反应，从从而很难有十十分高的经营营效率；相反反，市场竞争争的效率也来来自于企业治治理机制的完完善，如果市市场中的企业业治理机制普普遍不完善，企企业之间就不不可能进行充充分有效的市市场竞争。市市场竞争最终终要通过企业业自身治理机机制的改善才才能使企业经

21、经营效率提高高，如果一个个企业自身的的治理机制并并不完善，而而且面对市场场竞争并不能能持续有效地地改善治理机机制，最终可可能在市场竞竞争中被淘汰汰。因此要实实现“优胜劣汰”的市场竞争争，引入与市市场竞争相适适应的治理机机制，我们依依然有许多工工作要做。在在IT治理方方面，目前我我国的政府和和企业在这方方面基本上处处于初始阶段段。据了解，在在一些大企业业中，已出现现CIO的权权利范围不只只是领导其信信息部门，还还负责事业部部门的人、财财、物的资源源配置和利益益均衡，我们们认为这是具具有中国特色色的IT治理理机制的尝试试。IT治理的定义义IT治理是信息息系统审计和和控制领域中中一个相当新新的概念，

22、IIBM首次将将此理念引入入我们的视线线，在其20002年度论坛中推推出了给中国银行业业的“汇聚了全全球金融行业业的智慧与经经验”的白皮皮书，该白皮皮书在其“推动业务管管理与IT的的全面集成整整合”部分给银行业业务与管理的的建议是：大力推动动银行流程化化与流程标准准化的管理，建建立全行级的的跨部门的IIT治理决策策机构来决定定IT项目实实施的顺序，加加强全行的管管理与流程执执行的纪律，与与IT行业的的供应商结成成战略联盟,将战略伙伴伴的价值并入入到价值链。作为全球IT行业领跑者的IBM，其一举一动往往预示着整个行业的发展方向。 我们在对IT治治理广泛研究究和分析的基基础上，关于于其定义汇集集了

23、以下三种种主要观点：Robert s. Roousseyy （美国南南加州大学教教授）认为：IT治理用用于描述被委委托治理实体体的人员在监监督、检查、控控制和指导实实体的过程中中如何看待信信息技术。IIT的应用对对于组织能否否达到它的远远景、使命、战战略目标至关关重要。德勤定义如下: IT治理理是一个含义义广泛的术语语，包括信息息系统、技术术、通讯、商商业、所有利利益相关者、合合法性和其他他问题。其主主要任务是：保持IT与与业务目标一一致，推动业业务发展，促促使收益最大大化，合理利利用IT资源源，IT相关关风险的适当当管理。国际信息系统审审计与控制协协会 (ISSACA)定定义如下：IIT治理

24、是一一个由关系和和过程所构成成的体制，用用于指导和控控制企业，通通过平衡信息息技术与过程程的风险、增增加价值来确确保实现企业业的目标。通过上述定义可可以总结出以以下共同点：IT治理必须与与企业战略目目标一致，IIT对于企业业非常关键，也也是战略规划划的组成，影影响战略竞争争。IT治理和其它它治理主体一一样，是管理理执行人员和和利益相关者者的责任（以以董事会为代代表）。IT治理保护利利益相关者的的权益，使风风险透明化，指指导和控制IIT投资、机机遇、利益、风风险。信息技术治理包包括管理层、组组织结构、过过程，以确保保IT维持和和拓展组织战战略目标。应该合理利用企企业的信息资资源，有效地地集成与协

25、调调。确保IT及时按按照目标交付付，有合适的的功能和期望望的收益，是是一个一致性性和价值传递递的基本构建建模块，有明明确的期望值值和衡量手段段。引导IT战略平平衡系统的投投资，支持企企业， 变革革企业，或者者创建一个信信息基础架构构，保证业务务增长，并在在一个新的领领域竞争。对于核心IT资资源做出合理理的决策，进进入新的市场场，驱动竞争争策略，创造造总的收入增增长，改善客客户满意度，维维系客户关系系。IT治理的目标标IT治理与与业务目标一一致IT治理要从组组织目标和信信息化战略中中抽取信息需需求和功能需需求，形成总总体的IT治治理框架和系系统整体模型型，为进一步步系统设计和和实施奠定基基础，保

26、证信息技技术跟上持续续变化的业务务目标。IT治理有有效利用信息息资源目前信息化工程程超期、 IIT客户的需需求没有满足足、IT平台台不支持业务务应用等问题题较为突出，通通过IT治理理可以对信息息资源的管理理职责进行有有效管理，保保证投资的回回收，并支持持决策。IT治理风风险管理由于企业越来越越依赖于信息息技术和网络络，新的风险险不断涌现，例例如，新出现现的技术没有有管理，不符符合现有法律律和规章制度度、没有识别别对IT服务务的威胁等。IIT治理强调调风险管理，通通过制定信息息资源的保护护级别，强调调关键的信息息技术资源，有有效实施监控控，事故处理理。IT治理理使企业适应应外部环境变变化，为企业

27、业内部实现对对业务流程中中资源的有效效利用，从而而达到改善管管理效率和水水平的重要手手段。IT治理的目标标将帮助管理层建立以以组织战略为导导向, 以外外界环境为依依据, 以业业务与IT整整合为中心的观念，正正确定位ITT部门在整个个组织中的作用。最最终能够针对对不同业务发发展要求，整整合信息资源源，制定并执执行推动组织织发展的ITT战略。IT治理解决哪哪些问题在探讨IT治理理可以解决哪哪些问题之前前，我们先就就身边发生的的事件看一下下IT治理失失灵的例子：2002年7月月23日，央央视晚新闻播播报：7月233日，首都机机场因电脑系系统故障，66000多人人滞留机场，1150多驾飞飞机延误，事事

28、故原因正在在调查中 ；5月29日日上午时分左右，南南京火车站电电脑售票系统统突然发生死死机故障，整整个车站售票票处于瘫痪状状态，车站售售票大厅内人人满为患，众众多旅客不得得不改乘其它它交通工具离离开南京。车车站领导和计计算机技术人人员告诉记者者是由于电脑脑升级换代，调调试时线路发发生故障，才才引发了此次次系统瘫痪的的。9月5日日广东省工行行因系统故障障，全线停业业一个半小时时，有媒体特特别指出，这这是工行实施施全国统一平平台运作后的的首次故障。还还有某银行在在信息系统技技术升级时，IIT人员只注注重保证系统统在技术上的的平滑过渡，而而忽视了升级级给客户带来来的不便，导导致客户流失失，这也表明明

29、当IT发生生改变时会对对业务目标产产生冲击，以以上都是通过过IT治理机机制可以合理理避免的事件件。因此，我们认为为IT治理对对商业目标而而言起着战略略意义，ITT治理状况直直接影响到企企业实现目标标的可能性，良良好的IT治治理有助于增增强企业的灵灵活性和学习习能力，巧妙妙管理风险，辨辨别发展机遇遇。对于最高高管理层（董董事会）而言言，IT治理理可以解决以以下几个方面面问题：发现信息技术本本身的问题，例如IT项目未能实现期望价值的概率；终端用户是否满意IT服务的质量；是否有足够的IT资源、基础设施、竞争力来满足战略目标；信息技术平均操作失误的原因；IT没有推动业务改善而是阻碍业务的次数。帮助管理

30、者处理理IT问题，例例如，IT和和组织战略目目标的一致性性程度怎么样样；怎样衡量量IT的交付付价值；执行行管理人员采采取什么样的的战略动机来来管理IT；与企业的运运营与成长管管理相关的问问题；企业是是否清楚其商商业目标与技技术的关系：领先、跟随随者还是滞后后者；企业对对风险（风险险规避和风险险承担）是否否清楚；有没没有最新的企企业相关ITT风险的清单单，采取哪些些行动处理这这些风险。自我评估IT管管理的效果，例例如，是否经经常向最高管管理层（董事事会）定期汇汇报IT风险险；IT是否否是最高管理理层（董事会会）议程中的的一个常用的的术语，它是是否以结构化化形式表达；最高管理层层（董事会）是是否就

31、商业目目标与信息技技术一致性进进行阐明和沟沟通；最高管管理层（董事事会）对主要要IT投资是是否有清楚的的观点，包括括风险和回报报；最高管理理层（董事会会）是否定期期得到主要IIT过程的报报告；最高管管理层（董事事会）在获取取IT目标和和限制IT风风险时是否得得到独立的保保证。国内IT治理水水平的好与差造成了了IT应用层层次的差异。一一些单位有与与其国际竞争争对手一样的的系统、软件件，甚至技术术和设备强于于对方，所以以单从技术的的成熟性和先先进性而言，中中国整体应用用水平不低。但是为什么么就没有对方方做的好呢？从IT治理理的角度审视视，其实技术术的竞争早已已超越了有与与无的层面，进进而甚至超越越

32、了抢夺技术术最早占有权权的层面，体体现在业务和和技术管理能能力上的对抗抗。事实上我我国信息化目目前所处的阶阶段缺乏的并并不是先进的的技术与设备备，而是ITT管理理念和和方法论。IIBM大中国国区金融事业业部总经理张张烈生说：“所有把落败败归咎于技术术的人，都是是在逃避一个个事实：认识识上的落后和和管理上的无无能”。当然，我我们的周围也也不乏在较落落后的技术和和设备上，把把已有的技术术应用得非常常成功的范例例。 IT治理的范围围IT治理体系保保证总体战略略目标能够从从上而下贯彻彻执行。ITT治理和其它它治理活动一一样，集中在在最高管理层层（董事会）和和执行管理层层。然而，由由于IT治理理的复杂性

33、和和专业性，治治理层必须强强烈依赖企业业的下层来提提供决策和评评估活动所需需要的信息。为为保证有效的的IT治理，下下层应用要和和企业总体目目标采用相同同的原则，提提供评估业绩绩的衡量方法法。因此，好好的IT治理理实践需要在在企业全部范范围内推行。最高管理层（董董事会）的主主要职责是：证实IT战战略与企业战战略一致；证证实IT通过过明确的期望望和衡量手段段交付； 指指导IT战略略、平衡支持持企业和使企企业成长的投投资；恰当决决策信息资源源应着重使用用的地方。最最高管理层（董董事会）通过过下述指标衡衡量业绩：定定义和检查衡衡量手段以及及管理，证实实目标已经达达到，并且衡衡量业绩，减减少不确定性性。

34、管理者的焦点主主要是成本效益比，增增加收入，构构建竞争力，这这些都由信息息、知识、信信息技术体系系推动。由于于信息技术作作为实现企业业目标的一个个集成部分，其其解决办法越越来越复杂（外外包，第三方方合同，网络络化等），因因此，善治成成为成功的一一个关键因素素。管理者的的职责是：将将IT风险管管理的责任和和控制落实到到企业中，制制定明确的政政策和全面的的控制框架；将战略，策策略，目标等等由上至下落落实到企业，并并使信息技术术的组织与企企业目标一致致；提供治理理结构支持IIT战略的实实施，制定IIT基础设施施加快商业信信息的创造与与共享；通过过衡量公司业业绩和竞争优优势来测度信信息技术的效效果（K

35、PII，KGI）；使用平衡计计分卡，弥补补行政管理的的不足；关注注IT必须支支持的商业竞竞争力，如增增加客户价值值的业务过程程，在市场上上差异化的产产品和服务，通通过多产品和和服务来产生生增值；关注注重要的增值值的信息技术术过程；关注注与规划和管管理IT资产产、风险、工工程项目、客客户和供应商商相关的核心心竞争能力。IT治理使得最最高管理层（董董事会）和执执行经理的一一系列活动成成为可能。这这些活动主要要包括：ITT的目标，新新技术的机遇遇和风险，关关键过程与核核心竞争力。如如指导信息技技术的职能和和对企业的影影响，分配责责任，定义操操作，衡量业业绩，管理风风险和获得保保证的约束等等。以银行业

36、的数据据大集中为例例，从20001年开始，采采用集中数据据处理模式来来体现一级企企业法人治理理结构已经成成为各家银行行致力实现的的一个目标，目目前国内银行行的数据集中中处理模式改改造已陆续取取得阶段性成成果，可问题题随之而来，集集中以后做什什么？集中以以后风险也增增加了，怎么么办？前一个个问题也就是是说数据集中中了，只是提提供了一个进进行深度业务务创新的前提提和可能，关关键还在于商商业模式和IIT管理模式式。对于后一一个问题，则则需要采取更更先进的安全全治理机制，全全面的信息系系统审计与控控制，包括可可靠的灾难恢恢复和业务持持续规划。公司治理和ITT治理公司治理主要关关注利益相关关者权益和管管

37、理，包括一一系列责任和和条例，由最最高管理层（董董事会）和执执行管理层实实施，目的是是提供战略方方向，保证目目标能够实现现，风险适当当管理，企业业的资源合理理使用。公司治理，驱动动和调整ITT治理。同时时，IT能够够提供关键的的输入，形成成战略计划的的一个重要组组成部分，这这被认为是公公司治理的一一个重要功能能IT影响响企业的战略略竞争机遇。IT治理活动公司治理活动IT治理活动公司治理活动从下面获取信息公司治理IT治理驱动和设定IT治理和公司司治理关系图图IT治理的一个个关键性问题题是：公司的的IT投资是是否与战略目目标相一致，从从而构筑必要要的核心竞争争力。因为企企业目标变化化太快，很难难保

38、证IT与与商业目标始始终保持一致致，因此需要要多方面的协协调，保证IIT治理继续续沿着正确的的方向走，这这也是IT投投资者真正关关心的问题。对对IT治理而而言，要能体体现未来信息息技术与未来来企业组织的的战略集成。既要尽可能地保持开放性和长远性，以确保系统的稳定性和延续性；同时又因为规划赶不上变化，再长远的规划也难以保证能跟上企业环境的变化。IT治理中一个相对有效的做法是，在信息化规划时，认真分析企业的战略与IT支撑之间的影响度，并合理预测环境变化可能给企业战略带来的偏移，在规划时留有适当的余地，从业务战略到信息战略，做务实的牵引，不要追求大而全。 IT治理有助于于建立一个灵灵活的、具有有适应

39、性的企企业。IT治治理能够影响响信息和指示示：企业能够够感知市场正正在发生的事事，使用知识识资产并从中中学习，创新新新产品、服服务、渠道、过过程；迅速变变化，将革新新带入市场，衡衡量业绩。IIT治理应该该体现“以组织战略略目标为中心心”的思想，通通过合理配置置IT资源创创造价值。企企业治理侧重重于企业整体体规划，ITT治理侧重于于企业中信息息资源的有效效利用和管理理。企业目标在于远远景和商业模模式，IT目目标在于商业业模式的实施施。企业目标与ITT目标之间的的关系如下图图所示：企业战略企业战略协调活动IT战略IT运作企业运作 IT治理主要涉涉及两个方面面：IT要为为企业交付价价值，IT风风险要

40、降低。前前者受IT与与企业的战略略一致性驱动动，后者由责责任义务落实实到企业驱动动。这两者都都需要衡量，如如使用平衡计计分卡。这就就可以看出IIT治理的四四个核心领域域，都是由利利益相关者价价值驱动的，其其中两个是成成果：价值交交付和风险降降低，另外两两个是驱动力力：战略一致致性和业绩衡衡量。概括地说，公司司治理和ITT治理都是市市场（含政府府）他律的机机制，是如何何“管好管理者者”的机制，其其目标也是一一致的：达到到业务永续运运营，并增加加组织的长期期获利机会。无无论大环境是是好是坏，最最高管理层（董董事会）均应应以达成其目目标为责任，而而且管理阶层层需有能力协协助其达成目目标，因此最最高管

41、理层（董董事会）必须须常常监督管管理部门对决决策判断与政政策实施的绩绩效。“斯达模式”这这一被誉为国国企摆脱困境境、改革发展展的创新模式式，正说明了了公司治理和和IT治理的的重要性和互互动关系。“黑纸”利用合资契契机，对产权权体制进行了了改革，并按按照现代企业业制度要求，建建立与市场竞竞争相适应的的公司治理机机制，明晰了了企业产权，优优化了生产要要素配置，转转变了职工观观念，为斯达达大力进行信信息化改造创创造了有力条条件。反过来来，信息化也也促进了公司司的现代化管管理。IT治理和ITT管理IT管理是公司司的信息及信信息系统的运运营，确定IIT目标以及及实现此目标标所采取的行行动；而ITT治理是

42、指最最高管理层（董董事会）利用用它来监督管管理层在ITT战略上的过过程、结构和和联系，以确确保这种运营营处于正确的的轨道之上。这这是一个硬币币的两面，谁谁也不能脱离离谁而存在。可可见，IT管管理就是在既既定的IT治治理模式下，管管理层为实现现公司的目标标而采取的行行动。IT治理规定定了整个企业业IT运作的的基本框架，IIT管理则是是在这个既定定的框架下驾驾驭企业奔向向目标。缺乏乏良好IT治治理模式的公公司，即使有有“很好”的IT管理理体系（而这这实际上是不不可能的），就就像一座地基基不牢固的大大厦；同样，没没有公司ITT管理体系的的畅通，单纯纯的治理模式式也只能是一一个美好的蓝蓝图，而缺乏乏实

43、际的内容容。就我国信信息化建设目目前的现状而而言，无论是是IT治理，还还是IT管理理都是我们所所迫切需要解解决的。公司治理与信息息技术治理如如何工作指导企业设立目标，由由通用的惯例例来治理并保保证目标实现现。这些目标标中渗透企业业的发展方向向，指导企业业活动和使用用资源。企业业活动的结果果被衡量及报报告，为输入入提供不断的的修正和维护护控制，从而而开始下一轮轮循环。指导目标目标企业活动资源控制向报告使用信息技术也确立立目标，保证证企业信息和和相关技术支支持商业目标标，资源有效效利用，风险险管理适度。这这些目标形成成IT活动的的基本方向，划划分为规划和和组织，获取取和实施，交交付与支持，监监控等

44、四个部部分。一方面面管理风险（安安全、可靠，保保密），另一一方面实现收收益（提高有有效性和效率率）。通过报报告发布关于于IT活动收收益，根据不不同的管理和和控制来衡量量，然后进入入下一轮循环环。目标目标信息技术与商业一致，推动商务，收益最大化信息资源合理利用信息相关风险恰当管理活动管理风险安全可靠保密控制向报告实现收益增加自动化，有效性减少成本提高效率指导IT治理架构一个有效的ITT治理架构需需要理解组织织的核心竞争争力，并且在在商业目标，治治理原型，业业务绩效目标标之间维持平平衡，进而提提出IT治理理框架，制定定决策以及如如何在关键的的信息技术领领域中确定。由由此，意识到到IT治理与与企业治

45、理之之间的必然联联系，提供管管理相关风险险的最佳实务务指导。企业业目标是保证证企业健康、可可持续发展，关关注商业目标标、知识管理理、商业通讯讯、客户关系系、商业活动动与过程；IIT治理目标标是信息系统统、技术和网网络、知识管管理、IT资资产管理、电电子商务、IIT合法性等等。COBIT，直直译为信息及及相关技术的的控制目标，是是IT治理的的一个开放性性标准，由美美国IT治理研究究院开发与推推广，目前已已成为国际上上公认的最先先进、最权威威的安全与信信息技术管理理和控制的标标准。该标准准为IT的治理、安安全与控制提提供了一个一一般适用的公公认的标准，以以辅助管理层层进行IT治治理。该标准准体系已

46、在世世界一百多个个国家的重要要组织与企业业中运用，指指导这些组织织有效利用信信息资源，有有效地管理与与信息相关的的风险。 COOBIT模型型COBIT将IIT 过程，IT资源及信信息与企业的的策略与目标标联系起来，形形成一个三维维的体系结构构。其中，IIT准则维集集中反映了企企业的战略目目标，主要从从质量、成本本、时间、资资源利用率、系系统效率、保保密性、完整整性、可用性性等方面来保保证信息的安安全性、可靠靠性、有效性性； IT资源维维主要包括以以人、应用系系统、技术、设设施及数据在在内的信息相相关的资源，这这是IT治理过程程的主要对象象；IT过程维则则是在IT准则的指指导下，对信信息及相关资

47、资源进行规划划与处理，从从信息技术的的规划与组织织、采集与实实施、交付与与支持、监控控等四个方面面确定了344个信息技术术处理过程，每每个处理过程程还包括更加加详细的控制制目标和审计计方针对ITT处理过程进进行评估。COBIT的334个信息技技术过程：1规划与组织3交付与支持定义IT战略规规划定义信息体系结结构确定技术方向定义IT组织与与关系管理IT投资传达管理目标和和方向人力资源管理确保与外部需求求的一致性风险评估项目管理质量管理定义并管理服务务水平管理第三方的服服务管理性能与容量量确保服务的连续续性确保系统安全确定并分配成本本教育并培训客户户配置管理处理问题和突发发事件数据管理设施管理运营

48、管理2采集与实施4监控确定自动化的解解决方案获取并维护应用用程序软件获取并维护技术术基础设施程序开发与维护护系统安装与鉴定定变革管理过程监控评价内部控制的的适当性获取独立保证提供独立的审计计这个模型为企业业管理的成功功提供了集成成的IT管理，通通过保证有关关企业处理过过程的高效的的改进措施，以以更快更好更更安全地响应应企业需求。管理指南定义了了IT过程的成成熟度模型，为为管理者评估估IT过程的状状态提供了标标准。同时也也给出了一些些重要的测度度，这包括：关键成功因因素，关键目目标指标，关关键绩效指标标。管理框架管理框架管理指南控制目标审计指南工具集图2 COBIT的管理模型关键成功因素成熟度模

49、型关键目标指标关键性能指标 COBIT体系框架COBIT模型型是企业战略略目标和信息息技术战略目目标的桥梁，使使得信息技术术目标和企业业战略目标之之间实现互动动。该框架的意义在在于：COBBIT实现了了企业目标与与IT治理目目标之间的桥桥梁作用。首先考虑了企业业自身的战略略规划，对业业务环境和企企业总的业务务战略进行分分析定位，并并将战略规划划所产生的目目标、政策、行行动计划作为为信息技术的的关键环境，并并由此确定IIT准则。IT为企业战略略提供了基于于技术的解决决方案，为满满足业务战略略需求提供了了技术与工具具。在IT准则的指指导下，利用用控制目标模模型，分别从从规划与组织织、采集与实实施、

50、交付与与支持、监控控等过程进行行控制、管理理信息资源，在在IT管理的同同时，引入审审计指南，从从而保证ITT资源管理的的安全性、可可靠性和有效效性。实现可跟踪的业业绩衡量，通通过平衡经营营记分卡可以以在财务（企企业资源管理理）、客户（客客户关系管理理）、过程（内内部网，工作作流工具）、学学习（知识管管理）等方面面维持平衡，评评价企业目标标的实现情况况以及IT绩效，并并调整商业目目标和IT战略，进进行持续的IIT管理。采用成熟度模型型，可以定位位自己企业的的IT管理目目前在业界所所处的位置，未未来努力的方方向，通俗地地说就是给IIT管理“打分”。COBIT还提提供了目前最最佳案例和关关键成功因素

51、素，供企业和和组织借鉴。概括而言，COOBIT的主主要优点如下下：COBIT是一一个非常有用用的工具，也也非常易于理理解和实施，可可以帮助在管管理层、ITT与审计之间间交流的鸿沟沟上搭建桥梁梁，提供了彼彼此之间沟通通的共同语言言。几乎每个个机构都可以以从COBIIT中获益，来来决定基于IIT过程及他他们所支持的的商业功能的的合理控制。当当我们知道这这些商业功能能是什么，其其对企业的关关键到什么程程度时，就能能对这些事件件进行良好的的分类。所有有的信息系统统审计，控制制及安全专业业人员应该考考虑采用COOBIT原则则。通过实施COBBIT，增加加了管理层对对控制的感知知及支持。CCOBIT帮帮助

52、管理层懂懂得控制如何何影响商业功功能。COBBIT提供的的实施工具集集包括优秀的的案例资料（提供模板商业过程，使得优秀范例能够迅速移植），帮助向管理层很好地表述IT管理概念。管理层在基于最佳控制实践基础上做出正确决策的能力亦得到了提高。COBIT使IIT管理工作作简易并量化化，减轻对复复杂信息系统统管理工作的的难度，并且且可以应用在在每天都在发发生的各种新新问题中。对对于那些不具具有广博ITT知识的人来来将，是一个个认清信息技技术的有价值值的工具。它它也使得信息息系统审计师师具有与ITT专业人员相相同的专业广广度，并且可可以询问ITT工程相关的的问题。COBIT提供供了一种国际际通用的ITT管

53、理及问题题解决方案，普普遍适用于各各种不同的商商业项目和审审计，并且它它既包容了我我们当前的情情况，也提供供将来可能会会使用到的指指导方针。COBIT有助助于提高信息息系统审计师师的影响力，依依据COBIIT出具的信信息系统审计计报告更容易易得到管理层层的肯定。COBIT框架架可以能够帮帮助决定过程程责任，提高高IT治理水水平。通过采采用该框架作作为对一个责责任矩阵分析析的基础，可可以做到基于于角色的ITT管理，定义义过程措施，确确保客户利益益。从以上的分析介介绍可以看出出：整个模型型实现了企业业战略与ITT战略的互动动，并形成持持续改进的良良性循环机制制，为企业提提供了具有一一定参考价值值的

54、解决方案案。因此，我我们认为针对对我国信息化化存在的问题题，借鉴COOBIT的IT治理思想想和框架，科科学、系统地地对信息及相相关技术进行行管理，逐步步试行建立IIT治理机制制，对推动我我国信息技术术的发展和应应用具有十分分重要的现实实意义。IT治理在组织织中的应用指指南IT治理在组织织中的应用是是在管理指南南的指导下完完成的。管理理指南通过关关键成功因素素、成熟度模模型、关键目目标指标、关关键绩效指标标四个方面的的有机作用，使使企业中的信信息资源得到到有效的管理理。管理指南南的特点是：面向应用，具具有通用性、一一般性，不能能提供针对某某一具体测定定方法，组织织应根据自身身环境修改这这个一般性

55、的的指导方针，以以满足实际的的应用需要。下下面具体介绍绍管理指南的的各个部分在在应用中所起起的具体作用用。关键成功因素关键成功因素为为管理部门控控制信息技术术及其处理过过程提供了实实施指南。它它们是信息技技术处理过程程中的最关键键的要素，是是战略性的、技技术性的过程程或活动，勾勾画出了ITT的控制轮廓廓。关键成功功因素可以从从标准控制模模型和IT管管理框架的目目标与审计指指南中获取。这这些标准要求求：信息技术术要与企业的的运营情况相相符；信息技技术使营运业业务可行，并并使其收益最最大化；合理理使用信息技技术资源；适适当管理ITT的有关风险险。关键成功功因素平衡所所有的IT资资源，它由关关键绩效

56、指标标评价。下表为从标准控控制模型与管管理构架中归归纳出用于多多数信息技术术处理过程的的关键成功因因素，以供参参考。关键成功因素IT治理活动与与公司治理过过程相结合，并并有公司领导导的参与；IT治理专注于于公司目标，战战略，使用技技术提高业务务水平，及满满足业务需求求的足够可用用的资源和能能力；IT治理活动应应该目标明确确，制度规范范和实施有效效，它应是根根据公司需要要并责任到人人；实施最佳管理实实践以提高资资源的有效使使用，提高IIT过程的效效率；建立组织准则以以充分监督，形形成一种控制制的环境/文文化，根据标标准程序评估估风险，增加加对已建立标标准的依靠，及及监督和追究究控制缺陷和和风险；

57、建立控制准则以以避免内部控控制和监管的的失灵；许多IT业务流流程，如问题题管理，变革革管理和配置置管理，是集集成和互相关关联的；建立审计委员会会；审计委员员会任命和监监督独立审计计员；独立审审计员的任务务是推行ITT相关的审计计计划，评审审审计结果和和第三方审计计的评审结果果；关键成功因素是是为提高处理理过程的成功功可能性所做做的最重要的的事，通常与与组织的目标标保持一致，是是组织和处理理过程的可观观察可测量的的特征，分布布于企业的战战略层、战术术层、应用层层及组织的各各个方面，可可以通过目标标分解与识别别的方法选择择关键成功因因素。关键目标指标关键目标指标是是指通过创建建和维护一套套处理和控

58、制制适当业务绩绩效的系统，来来指导并监督督IT传递的的商业价值。关关键目标指标标通过识别测测定处理结果果，营运过程程的输出，在在平衡记分卡卡上测定。关键目标指标体体现的是处理理过程的目标标，指出哪些些是必须做的的。它是处理理过程实现其其目标的可测测指标，并且且通常定义为为需要实现的的目标。平衡衡记分卡主要要关注以下几几个方面的经经营情况：(1) 财务，包包括预算与超超支等状况，反反映股东的利利益。(2) 客户，包包括客户满意意度，交货是是否及时，服服务价值等，反反映客户的利利益。(3) 内部处处理过程，包包括处理的质质量与效果等等，反映内部部人员的利益益。(4) 学习与与创新，包括括雇员受教育

59、育程度及技能能基础等，反反映企业的发发展潜力。下表为普遍适用用的关键目标标指标。关键目标指标加强绩效和成本本管理；提高主要IT投投资的回报；提高响应市场速速度；增加质量，创新新和风险管理理；适当集成和标准准化业务流程程；扩展新客户，满满足现有客户户；可用的适当带宽宽，计算能力力和IT交付付机制；在预算范围内及及时满足客户户的需求和期期望；不违反法律，法法规，行业标标准和各类合合同；清楚承担的风险险，这种风险险应与组织整整体风险状况况一致；进行IT治理成成熟度标杆比比较；创建传递服务的的新渠道。关键目标指标是是处理目标的的一种表达，明明确要取得什什么目标，并并描绘处理的的结果，进行行事后评判，直

60、直接体现处理理过程的完成成成功与否，间间接体现处理理带给经营活活动的价值。关键绩效指标关键绩效指标对对关键成功因因素进行评价价，通过监测测某IT处理过程程的执行情况况，告诉管理理层该处理是是否满足其经经营需求。关关键绩效指标标是IT处理过程程的性能指标标，表现为IIT的实际业业绩。通过有有效性、保密密性、完整性性、可用性、一一致性、可靠靠性等指标来来测定IT的绩效。下下表列出对企企业具有普遍遍性意义的关关键绩效指标标。关键绩效指标提高了IT流程程的成效（成成本 vs. 交付能力力）；增加了用于改善善流程的ITT计划；增加了IT基础础设施的利用用率；增加了客户满意意度（调查和和投诉数）；增加了员