1、.IT治理：中國信息化的必由之道PAGE ：.；IT治理：中國信息化的必由之道孫 強 郝亞斌 郝曉玲 孟秀轉目 錄 TOC o 1-3 h z HYPERLINK l _Toc26619007 引言 PAGEREF _Toc26619007 h 1 HYPERLINK l _Toc26619008 IT治理缺失的九大病癥 PAGEREF _Toc26619008 h 1 HYPERLINK l _Toc26619009 IT治理的定義 PAGEREF _Toc26619009 h 4 HYPERLINK l _Toc26619010 IT治理的目的 PAGEREF _Toc26619010 h

2、 4 HYPERLINK l _Toc26619011 IT治理處理哪些問題 PAGEREF _Toc26619011 h 5 HYPERLINK l _Toc26619012 IT治理的范圍 PAGEREF _Toc26619012 h 6 HYPERLINK l _Toc26619013 公司治理和IT治理 PAGEREF _Toc26619013 h 7 HYPERLINK l _Toc26619014 IT治理和IT管理 PAGEREF _Toc26619014 h 8 HYPERLINK l _Toc26619015 公司治理與信息技術治理如何任務 PAGEREF _Toc26619

3、015 h 8 HYPERLINK l _Toc26619016 IT治理架構 PAGEREF _Toc26619016 h 9 HYPERLINK l _Toc26619017 IT治理在組織中的運用指南 PAGEREF _Toc26619017 h 11 HYPERLINK l _Toc26619018 建立IT治理機制 PAGEREF _Toc26619018 h 16 HYPERLINK l _Toc26619019 IT治理的勝利案例 PAGEREF _Toc26619019 h 19第 PAGE 23 頁 共23頁引言信息化曾經成為中國經濟與社會開展最重要的推進力，大力推進全社會的

4、信息化，以信息化帶開工業化，這一戰略曾經獲得了可喜的成果。當前，在參與WTO后的中國經濟環境中，信息的重要性已被廣為認同，信息系統也已逐漸浸透到商業和政府組織中，IT系統開場從傳統的后臺支持轉變為新業務開展的直接驅動力，IT也日益成為企業的直接利潤中心。各種組織對信息系統的依賴程度在不斷添加，更有一些組織甚至假設沒有IT將不復存在，但同時對于很多組織由于信息和信息技術意味著最重要的資產，這導致IT本身曾經或潛在成為一個宏大的要挾，隨IT而來的風險、利益和時機使得IT治理成為公司和政府治理中很關鍵的一個方面。管理層需求確保IT與公司戰略一致而且公司戰略也很好地利用了IT的優勢，政府需求開展電子政

5、務來促動、實現轉變政府職能的轉變。因此，隨著對信息系統依賴性的添加，IT治理對于組織的勝利是至關重要的。這篇文章將探求當前關于IT治理的思想，為什么IT治理框架對于組織的繼續勝利是至關重要的，然后描畫它與公司治理之間的關系，最后簡單引見了一個IT治理的自動化工具COBIT。后續文章將主要集中在IT治理機制的實現上，IT治理應該采用國際上最好的實際規范，包括COBIT和ISO/IEC 17799，討論如何實施它以改善整個組織的運作。IT治理缺失的九大病癥首先，各自為政。缺乏一致、全局的IT戰略規劃，由于沒有統籌規劃，目的不明確，規范不一致，一些地方處在混亂無序的形狀，構成了很多在權益維護下的信息

6、孤島，缺乏共享的、網絡化的信息資源，中關村科技軟件公司總裁朱希鐸曾對媒體呼吁，我國要警惕構成世界上規模最大的信息孤島。如目前國內已建成的眾多CA中心，除了在采用X.509證書規范上一致外，其它的共同規范規范很少，中國各CA中心發放的證書根本不能相互兼容，CFCA作為中國金融業的一致認證中心，其證書甚至不能與國際權威的CA認證接軌。對于企業而言，面對業務重組、裁員、外包、充分授權、扁平化組織和分布式處置等如此復雜多變的商業環境，在IT戰略規劃修訂時，如何準確保證IT戰略規劃和企業戰略目的的一致，普遍短少科學方法論的指點。其次，信息化建立指點者錯位，IT運用方案和企業業務需求之間邏輯錯位。過去的信

7、息化工程是技術專家或技術廠商主導下進展的，而不是經濟專家或管理專家主導，技術專家或技術廠商從技術的視角去關注信息技術和設備的先進性等，較少聚焦在IT戰略和組織戰略目的的互動上，較少思索信息技術如何構成企業中心競爭力，如何防止風險，如何發明新的業務和市場，和管理層溝通短少通用的言語非IT專業術語，因此不可防止地和企業的運營環境、運營目的脫節，而隨著設備更新的加快，許多早期的工程只剩下一推擺設，管理層看不到在IT上的投資報答，這又導致信息技術得不到應有的注重，構成惡性循環。目前，總結閱歷和教訓，各方普遍認識到中國的信息化建立問題從總體上來說不是技術問題。以熱火朝天的ERP為例，ERP的實施不僅僅是

8、軟件的事，更重要的是一場管理革命。從這個意義上講，ERP只是一張皮，深層次的是企業內部變革，所以管理變革假設以ERP為助推器，那么ERP的實施將水到渠成；假設以ERP工程為導火線，試圖在公司內部發動管理變革，那么往往會面臨重重妨礙而擱淺，最終不了了之，甚至還能夠導致公司被IT拖垮。第三，決策的技術經濟論證缺乏。信息化建立工程具有投資大、風險大的特點。英國Kalido于英國時間2001年12月12日公布了有關企業信息管理的調查結果。調查顯示，96的企業對于本公司的信息管理系統感到不滿。關于目前正在運用的信息系統，以為所制造的報告缺乏一向性或者是核對信息破費了太多時間的企業約占70。回答目前的信息

9、系統不能靈敏因應變化的企業約占60，對于數據的精度表示擔憂的企業約占60，60以上的企業正在謀劃有關數據及信息的整合方案。特別引人沉思的是該調查是由美國Harte-Hanks以全球500強企業以及財富1000企業中的171家公司為對象經過問卷方式實施的。現實通知我們，系統規模越大、與管理聯絡越親密、集成度越高的系統，風險也越大，失敗概率越高，其中最明顯的例子就是ERP，信息化建立工程的高風險和高失敗率就要求企業在信息化建立決策之前，要進展充分的技術經濟論證，綜合論證工程技術上的先進性和可行性，財務上的實施能夠性，經濟上的合理性和有效性。朱镕基總理在國家信息化指點小組第二次會議中特別強調：加快信

10、息化建立，必需以規劃為指點，加強統籌協調，突出開展重點，務必注重實效。由于我國信息化建立工程開展時間不長，缺乏工程決策論證閱歷，同時，信息化建立工程除直接效益外還產生大量外部效益，對外部效益的量化也是一個難點。因此，許多企業和政府在進展信息化建立時缺乏科學的定性、定量相結合的技術經濟論證。 另據分析，2002年，中央政府估計對電子政務建立的投資規模將到達350億元，如此宏大的投資，一旦由于技術經濟論證缺乏而導致決策失誤的話，將給國家呵斥多么宏大的損失！ 第四，信息資源的合理運用不斷是我國信息化的薄弱環節。信息資源的開發和利用是國家信息化建立的中心義務，是國家信息化獲得實效的關鍵。信息資源的開發

11、和利用是衡量國家信息化程度的一個重要標志，將信息資源開發和利用放在中心位置是我國推進信息化的一大特點。在信息化建立中，我們普遍存在著信息處置環境建立滯后于物理環境建立，許多單位的數據庫混亂情況與其先進的計算機環境和網絡環境極不相稱，使信息化建立無法獲得實效，呵斥極大浪費。以電子政務為例，美國電子政務提出的口號是讓人們點擊3次鼠標就能辦完事。而我國一個電子政務系統往往有工商、稅務、計委、環保、社保等幾十個甚至是上百個系統，要跨部門辦一個申報審批的事情，不知道要點擊多少次。與此同時，我們以為這也將給中國IT企業帶來極大的商機。第五，利益沖突和信息的不透明。由于任何企業的義務環境要思索和關系的利益非

12、常廣泛，在任何一個IT戰略決策中，都會不可防止發生利益相關者包括部門利益之間的利益沖突。所以，即使管理層要努力承當責任，企業任何時候的任何決策都會招致某個或多個群體的不滿。一些管理層在做出IT戰略決策之前，沒有仔細思索每一個方案會影響到哪些重要的利益相關者，更有甚者把信息化當作一種政治資本在做。那些開場看起來能為公司帶來最大利益的最正確方案，也許會為公司帶來最嚴重的后果。因此管理者必需懂得信息系統給組織所帶來的各種影響。相關指點需求仔細地思索，當引進信息系統并產生效益的同時，還能夠給企業帶來什么新的問題？信息系統能否可以給組織各級指點的任務帶來影響？組織的任務流程能否需求變化？會不會引起新的人

13、員下崗？等等。信息的不透明表如今諸多方面，如政府信息化專項貼息貸款，那些貸款果真專款公用了嗎？上市公司針對IT工程的配股增發，又有幾例不是沖著圈錢去的？！某些廠商利用信息不對稱，竭力鼓吹客戶要采購先進的技術和設備，致使這些客戶的信息系統甚至比興隆國家的同行還要先進，但在營運績效方面卻落后很多。還有某些廠商和咨詢公司在合同簽署前故弄玄虛，以及在多方利益博弈后的工程驗收，這些短少量化模型的工程驗收和績效評價，在各方利益得到平衡滿足后，一路綠燈通行。 第六，IT平安治理和風險管理缺位。目前大多數組織的最高管理層都已樹立不同程度的平安和風險認識，但對信息資產所面臨的嚴重性認識缺乏僅局限于IT方面的平安

14、，突出表現為注重平安技術，輕視平安管理，沒有構成合理的信息平安方針來指點組織的信息平安管理任務，在平安規劃、風險管理、應急方案、平安教育培訓、平安系統的評價等多方面總是出現了問題才去想補救的方法，是一種就事論事、靜態的管理，不是建立在平安治理根底上的動態的全局管理方法。國內的信息化“就運用系統而言，幾乎一切企業的信息系統都存在隱患。第七，非技術性的妨礙。IT技術的快速開展使得許多人產生了一種錯誤的思想定勢：假設采用了最新的技術，就可以或容易獲得信息系統的勝利。換言之，假設信息系統建立不勝利，多半是由于沒有采用最新的技術。但是，我們不斷地看到這樣的案例：一些企業雖然不斷地試圖采用最新開發技術，然

15、而它們的信息系統依然沒有逃脫失敗的命運。很多人在推崇信息技術的同時忘記了一個根本的前提：信息技術僅僅是一種工具。雖然信息技術對于信息系統的開發效率產生重要的影響，但工具本身卻不是信息系統成敗的根本緣由。通常在信息系統開發時，開發商采用的往往是比較成熟的技術，由于這些成熟技術的有效性是曾經被實際所證明了的。但是，采用成熟的技術并不能保證信息系統開發的勝利。這闡明，一些非技術性的問題往往是導致企業信息化不勝利的根源。這些問題我們姑且統稱為企業信息化的非技術性的妨礙目前非常缺乏實際上的研討。有許多文章都在議論這些要素，有人說是中國的管理程度低，有人以為是員工的觀念跟不上。但是，大多數文章都僅僅議論了

16、一些景象，而缺乏深化全面的研討。更可怕的是這些問題并未引起一些主管人員注重，他們以為對非技術性問題的討論是空談，只需掌握某種開發技術才干有真正的運用前景。這種錯誤的認識導致了許多單位和部門的信息系統的失敗，而這些失敗又經常被嶄新的計算機設備和許多忙碌而不產生價值的任務所掩蓋，像冰山潛藏在水面下一樣無人知曉。 第八，重硬件購買，輕軟件和咨詢效力。目前，我國信息化建立短少專業分工，根本是自建、自用、自我效力，不愿花錢買專業化咨詢、專業化軟件開發、專業化效力，從而呵斥信息化建立效率低下。而興隆國家的大型運用系統不但花錢買這三項專業化的建立效力，而且還買運營效力。相關統計顯示：我國在信息化投入中，軟硬

17、比例失調，軟件加效力的投入與硬件投入的比例為二八開，其中集成與安裝的比例約810%；軟件開發的投入約1012%；80%的資金是用于硬件購買。而據世界銀行的統計，興隆城市信息化投入普通為七三開，70%用于軟件和效力，購買硬件為30%。第九，信息化建立找不到重心。一些信息化工程和ERP工程的失敗，致使許多人以為，我國的企業尚不匹配國際上那些先進的管理方式，搞信息化為時髦早。那么，信息化究竟是什么？我們終究應該走多遠？有沒有一個丈量規范用于判別何時一定會出現錯誤？企業在最普通而又最關鍵的部分進展計算機管理就不是信息化嗎？IT本錢與利潤比例多少算是適宜？關鍵勝利要素是什么？不能到達我們目的的風險是什么

18、？有沒有可以貫穿業務風險、控制需求和技術問題這三者之間的橋梁？其他的組織在做什么？我們應該怎樣進展丈量與比較？ 這些問題歸根結底是公司治理的失靈和IT治理的缺位。目前公司治理已成為政策重點，我國80%的企業已完成股份制改造，初步建立起符合現代企業制度的公司治理機制，但是我們的治理機制還很不完善。一個治理機制不完善的企業很難對外部競爭有積極的反響，從而很難有非常高的運營效率；相反，市場競爭的效率也于企業治理機制的完善，假設市場中的企業治理機制普遍不完善，企業之間就不能夠進展充分有效的市場競爭。市場競爭最終要經過企業本身治理機制的改善才干使企業運營效率提高，假設一個企業本身的治理機制并不完善，而且

19、面對市場競爭并不能繼續有效地改善治理機制，最終能夠在市場競爭中被淘汰。因此要實現“優勝劣汰的市場競爭，引入與市場競爭相順應的治理機制，我們依然有許多任務要做。在IT治理方面，目前我國的政府和企業在這方面根本上處于初始階段。據了解，在一些大企業中，已出現CIO的權益范圍不只是指點其信息部門，還擔任事業部門的人、財、物的資源配置和利益平衡，我們以為這是具有中國特征的IT治理機制的嘗試。IT治理的定義IT治理是信息系統審計和控制領域中一個相當新的概念，IBM初次將此理念引入我們的視野，在其2002年度論壇中推出了給中國銀行業的“會聚了全球金融行業的智慧與閱歷的白皮書，該白皮書在其“推進業務管理與IT

20、的全面集成整合部分給銀行業務與管理的建議是：大力推進銀行流程化與流程規范化的管理，建立全行級的跨部門的IT治理決策機構來決議IT工程實施的順序，加強全行的管理與流程執行的紀律，與IT行業的供應商結成戰略聯盟,將戰略同伴的價值并入到價值鏈。作為全球IT行業領跑者的IBM，其一舉一動往往預示著整個行業的開展方向。 我們在對IT治理廣泛研討和分析的根底上，關于其定義聚集了以下三種主要觀念：Robert s. Roussey 美國南加州大學教授以為：IT治理用于描畫被委托治理實體的人員在監視、檢查、控制和指點實體的過程中如何對待信息技術。IT的運用對于組織能否到達它的遠景、使命、戰略目的至關重要。德勤

21、定義如下: IT治理是一個含義廣泛的術語，包括信息系統、技術、通訊、商業、一切利益相關者、合法性和其他問題。其主要義務是：堅持IT與業務目的一致，推進業務開展，促使收益最大化，合理利用IT資源，IT相關風險的適當管理。國際信息系統審計與控制協會 (ISACA)定義如下：IT治理是一個由關系和過程所構成的體制，用于指點和控制企業，經過平衡信息技術與過程的風險、添加價值來確保實現企業的目的。經過上述定義可以總結出以下共同點：IT治理必需與企業戰略目的一致，IT對于企業非常關鍵，也是戰略規劃的組成，影響戰略競爭。IT治理和其它治理主體一樣，是管理執行人員和利益相關者的責任以董事會為代表。IT治理維護

22、利益相關者的權益，使風險透明化，指點和控制IT投資、機遇、利益、風險。信息技術治理包括管理層、組織構造、過程，以確保IT維持和拓展組織戰略目的。應該合理利用企業的信息資源，有效地集成與協調。確保IT及時按照目的交付，有適宜的功能和期望的收益，是一個一致性和價值傳送的根本構建模塊，有明確的期望值和衡量手段。引導IT戰略平衡系統的投資，支持企業， 變革企業，或者創建一個信息根底架構，保證業務增長，并在一個新的領域競爭。對于中心IT資源做出合理的決策，進入新的市場，驅動競爭戰略，發明總的收入增長，改善客戶稱心度，維系客戶關系。IT治理的目的IT治理與業務目的一致IT治理要從組織目的和信息化戰略中抽取

23、信息需求和功能需求，構成總體的IT治理框架和系統整體模型，為進一步系統設計和實施奠定根底，保證信息技術跟上繼續變化的業務目的。IT治理有效利用信息資源目前信息化工程超期、 IT客戶的需求沒有滿足、IT平臺不支持業務運用等問題較為突出，經過IT治理可以對信息資源的管理職責進展有效管理，保證投資的回收，并支持決策。IT治理風險管理由于企業越來越依賴于信息技術和網絡，新的風險不斷涌現，例如，新出現的技術沒有管理，不符合現有法律和規章制度、沒有識別對IT效力的要挾等。IT治理強調風險管理，經過制定信息資源的維護級別，強調關鍵的信息技術資源，有效實施監控，事故處置。IT治理使企業順應外部環境變化，為企業

24、內部實現對業務流程中資源的有效利用，從而到達改善管理效率和程度的重要手段。IT治理的目的將協助 管理層建立以組織戰略為導向, 以外界環境為根據, 以業務與IT整合為中心的觀念，正確定位IT部門在整個組織中的作用。最終可以針對不同業務開展要求，整合信息資源，制定并執行推進組織開展的IT戰略。IT治理處理哪些問題在討論IT治理可以處理哪些問題之前，我們先就身邊發生的事件看一下IT治理失靈的例子：2002年7月23日，央視晚新聞播報：7月23日，首都機場因電腦系統缺點，6000多人滯留機場，150多駕飛機延誤，事故緣由正在調查中 ；5月29日上午時分左右，南京火車站電腦售票系統忽然發生死機缺點，整個

25、車站售票處于癱瘓形狀，車站售票大廳內人滿為患，眾多旅客不得不改乘其它交通工具分開南京。車站指點和計算機技術人員通知記者是由于電腦晉級換代，調試時線路發生缺點，才引發了此次系統癱瘓的。9月5日廣東省工行因系統缺點，全線停業一個半小時，有媒體特別指出，這是工行實施全國一致平臺運作后的初次缺點。還有某銀行在信息系統技術晉級時，IT人員只注重保證系統在技術上的平滑過渡，而忽視了晉級給客戶帶來的不便，導致客戶流失，這也闡明當IT發生改動時會對業務目的產生沖擊，以上都是經過IT治理機制可以合理防止的事件。因此，我們以為IT治理對商業目的而言起著戰略意義，IT治理情況直接影響到企業實現目的的能夠性，良好的I

26、T治理有助于加強企業的靈敏性和學習才干，巧妙管理風險，區分開展機遇。對于最高管理層董事會而言，IT治理可以處理以下幾個方面問題：發現信息技術本身的問題，例如IT工程未能實現期望價值的概率；終端用戶能否稱心IT效力的質量；能否有足夠的IT資源、根底設備、競爭力來滿足戰略目的；信息技術平均操作失誤的緣由；IT沒有推進業務改善而是妨礙業務的次數。協助 管理者處置IT問題，例如，IT和組織戰略目的的一致性程度怎樣樣；怎樣衡量IT的交付價值；執行管理人員采取什么樣的戰略動機來管理IT；與企業的運營與生長管理相關的問題；企業能否清楚其商業目的與技術的關系：領先、跟隨者還是滯后者；企業對風險風險躲避和風險承

27、當能否清楚；有沒有最新的企業相關IT風險的清單，采取哪些行動處置這些風險。自我評價IT管理的效果，例如，能否經常向最高管理層董事會定期匯報IT風險；IT能否是最高管理層董事會議程中的一個常用的術語，它能否以構造化方式表達；最高管理層董事會能否就商業目的與信息技術一致性進展闡明和溝通；最高管理層董事會對主要IT投資能否有清楚的觀念，包括風險和報答；最高管理層董事會能否認期得到主要IT過程的報告；最高管理層董事會在獲取IT目的和限制IT風險時能否得到獨立的保證。國內IT治理程度的好與差呵斥了IT運用層次的差別。一些單位有與其國際競爭對手一樣的系統、軟件，甚至技術和設備強于對方，所以單從技術的成熟性

28、和先進性而言，中國整體運用程度不低。但是為什么就沒有對方做的好呢？從IT治理的角度審視，其實技術的競爭早已超越了有與無的層面，進而甚至超越了爭奪技術最早占有權的層面，表達在業務和技術管理才干上的對抗。現實上我國信息化目前所處的階段缺乏的并不是先進的技術與設備，而是IT管理理念和方法論。IBM大中國區金融事業部總經理張烈生說：“一切把落敗歸咎于技術的人，都是在逃避一個現實：認識上的落后和管理上的無能。當然，我們的周圍也不乏在較落后的技術和設備上，把已有的技術運用得非常勝利的范例。 IT治理的范圍IT治理體系保證總體戰略目的可以從上而下貫徹執行。IT治理和其它治理活動一樣，集中在最高管理層董事會和

29、執行管理層。然而，由于IT治理的復雜性和專業性，治理層必需劇烈依賴企業的下層來提供決策和評價活動所需求的信息。為保證有效的IT治理，下層運用要和企業總體目的采用一樣的原那么，提供評價業績的衡量方法。因此，好的IT治理實際需求在企業全部范圍內推行。最高管理層董事會的主要職責是：證明IT戰略與企業戰略一致；證明IT經過明確的期望和衡量手段交付； 指點IT戰略、平衡支持企業和使企業生長的投資；恰當決策信息資源應著重運用的地方。最高管理層董事會經過下述目的衡量業績：定義和檢查衡量手段以及管理，證明目的曾經到達，并且衡量業績，減少不確定性。管理者的焦點主要是本錢效益比，添加收入，構建競爭力，這些都由信息

30、、知識、信息技術體系推進。由于信息技術作為實現企業目的的一個集成部分，其處理方法越來越復雜外包，第三方合同，網絡化等，因此，善治成為勝利的一個關鍵要素。管理者的職責是：將IT風險管理的責任和控制落實到企業中，制定明確的政策和全面的控制框架；將戰略，戰略，目的等由上至下落實到企業，并使信息技術的組織與企業目的一致；提供治理構造支持IT戰略的實施，制定IT根底設備加快商業信息的發明與共享；經過衡量公司業績和競爭優勢來測度信息技術的效果KPI，KGI；運用平衡計分卡，彌補行政管理的缺乏；關注IT必需支持的商業競爭力，如添加客戶價值的業務過程，在市場上差別化的產品和效力，經過多產品和效力來產生增值；關

31、注重要的增值的信息技術過程；關注與規劃和管理IT資產、風險、工程工程、客戶和供應商相關的中心競爭才干。IT治理使得最高管理層董事會和執行經理的一系列活動成為能夠。這些活動主要包括：IT的目的，新技術的機遇和風險，關鍵過程與中心競爭力。如指點信息技術的職能和對企業的影響，分配責任，定義操作，衡量業績，管理風險和獲得保證的約束等。以銀行業的數據大集中為例，從2001年開場，采用集中數據處置方式來表達一級企業法人治理構造曾經成為各家銀行努力實現的一個目的，目前國內銀行的數據集中處置方式改造已陸續獲得階段性成果，可問題隨之而來，集中以后做什么？集中以后風險也添加了，怎樣辦？前一個問題也就是說數據集中了

32、，只是提供了一個進展深度業務創新的前提和能夠，關鍵還在于商業方式和IT管理方式。對于后一個問題，那么需求采取更先進的平安治理機制，全面的信息系統審計與控制，包括可靠的災難恢復和業務繼續規劃。公司治理和IT治理公司治理主要關注利益相關者權益和管理，包括一系列責任和條例，由最高管理層董事會和執行管理層實施，目的是提供戰略方向，保證目的可以實現，風險適當管理，企業的資源合理運用。公司治理，驅動和調整IT治理。同時，IT可以提供關鍵的輸入，構成戰略方案的一個重要組成部分，這被以為是公司治理的一個重要功能IT影響企業的戰略競爭機遇。IT治理活動公司治理活動從下面獲取信息公司治理IT治理驅動和設定IT治理

33、和公司治理關系圖IT治理的一個關鍵性問題是：公司的IT投資能否與戰略目的相一致，從而構筑必要的中心競爭力。由于企業目的變化太快，很難保證IT與商業目的一直堅持一致，因此需求多方面的協調，保證IT治理繼續沿著正確的方向走，這也是IT投資者真正關懷的問題。對IT治理而言，要能表達未來信息技術與未來企業組織的戰略集成。既要盡能夠地堅持開放性和長久性，以確保系統的穩定性和延續性；同時又由于規劃趕不上變化，再長久的規劃也難以保證能跟上企業環境的變化。IT治理中一個相對有效的做法是，在信息化規劃時，仔細分析企業的戰略與IT支撐之間的影響度，并合理預測環境變化能夠給企業戰略帶來的偏移，在規劃時留有適當的余地

34、，從業務戰略到信息戰略，做務虛的牽引，不要追求大而全。 IT治理有助于建立一個靈敏的、具有順應性的企業。IT治理可以影響信息和指示：企業可以感知市場正在發生的事，運用知識資產并從中學習，創新新產品、效力、渠道、過程；迅速變化，將革新帶入市場，衡量業績。IT治理應該表達“以組織戰略目的為中心的思想，經過合理配置IT資源發明價值。企業治理偏重于企業整體規劃，IT治理偏重于企業中信息資源的有效利用和管理。企業目的在于遠景和商業方式，IT目的在于商業方式的實施。企業目的與IT目的之間的關系如以下圖所示：企業戰略協調活動IT戰略IT運作企業運作 IT治理主要涉及兩個方面：IT要為企業交付價值，IT風險要

35、降低。前者受IT與企業的戰略一致性驅動，后者由責任義務落實到企業驅動。這兩者都需求衡量，如運用平衡計分卡。這就可以看出IT治理的四個中心領域，都是由利益相關者價值驅動的，其中兩個是成果：價值交付和風險降低，另外兩個是驅動力：戰略一致性和業績衡量。概括地說，公司治理和IT治理都是市場含政府他律的機制，是如何“管好管理者的機制，其目的也是一致的：到達業務永續運營，并添加組織的長期獲利時機。無論大環境是好是壞，最高管理層董事會均應以達成其目的為責任，而且管理階層需有才干協助其達成目的，因此最高管理層董事會必需經常監視管理部門對決策判別與政策實施的績效。“斯達方式這一被譽為國企擺脫姿態、改革開展的創新

36、方式，正闡明了公司治理和IT治理的重要性和互動關系。“黑紙利用合資契機，對產權體制進展了改革，并按照現代企業制度要求，建立與市場競爭相順應的公司治理機制，明晰了企業產權，優化了消費要素配置，轉變了職工觀念，為斯達大力進展信息化改造發明了有力條件。反過來，信息化也促進了公司的現代化管理。IT治理和IT管理IT管理是公司的信息及信息系統的運營，確定IT目的以及實現此目的所采取的行動；而IT治理是指最高管理層董事會利用它來監視管理層在IT戰略上的過程、構造和聯絡，以確保這種運營處于正確的軌道之上。這是一個硬幣的兩面，誰也不能脫離誰而存在。可見，IT管理就是在既定的IT治理方式下，管理層為實現公司的目

37、的而采取的行動。IT治理規定了整個企業IT運作的根本框架，IT管理那么是在這個既定的框架下駕馭企業奔向目的。缺乏良好IT治理方式的公司，即使有“很好的IT管理體系而這實踐上是不能夠的，就像一座地基不結實的大廈；同樣，沒有公司IT管理體系的暢通，單純的治理方式也只能是一個愉快的藍圖，而缺乏實踐的內容。就我國信息化建立目前的現狀而言，無論是IT治理，還是IT管理都是我們所迫切需求處理的。公司治理與信息技術治理如何任務指點企業設立目的，由通用的慣例來治理并保證目的實現。這些目的中浸透企業的開展方向，指點企業活動和運用資源。企業活動的結果被衡量及報告，為輸入提供不斷的修正和維護控制，從而開場下一輪循環

38、。目的企業活動資源控制向報告運用信息技術也確立目的，保證企業信息和相關技術支持商業目的，資源有效利用，風險管理適度。這些目的構成IT活動的根本方向，劃分為規劃和組織，獲取和實施，交付與支持，監控等四個部分。一方面管理風險平安、可靠，嚴密，另一方面實現收益提高有效性和效率。經過報揭露布關于IT活動收益，根據不同的管理和控制來衡量，然后進入下一輪循環。目的信息技術與商業一致，推進商務，收益最大化信息資源合理利用信息相關風險恰當管理活動管理風險平安可靠嚴密控制向報告實現收益添加自動化，有效性減少本錢提高效率指點IT治理架構一個有效的IT治理架構需求了解組織的中心競爭力，并且在商業目的，治理原型，業務

39、績效目的之間維持平衡，進而提出IT治理框架，制定決策以及如何在關鍵的信息技術領域中確定。由此，認識到IT治理與企業治理之間的必然聯絡，提供管理相關風險的最正確實務指點。企業目的是保證企業安康、可繼續開展，關注商業目的、知識管理、商業通訊、客戶關系、商業活動與過程；IT治理目的是信息系統、技術和網絡、知識管理、IT資產管理、電子商務、IT合法性等。COBIT，直譯為信息及相關技術的控制目的，是IT治理的一個開放性規范，由美國IT治理研討院開發與推行，目前已成為國際上公認的最先進、最權威的平安與信息技術管理和控制的規范。該規范為IT的治理、平安與控制提供了一個普通適用的公認的規范，以輔助管理層進展

40、IT治理。該規范體系已在世界一百多個國家的重要組織與企業中運用，指點這些組織有效利用信息資源，有效地管理與信息相關的風險。 COBIT模型COBIT將IT 過程，IT資源及信息與企業的戰略與目的聯絡起來，構成一個三維的體系構造。其中，IT準那么維集中反映了企業的戰略目的，主要從質量、本錢、時間、資源利用率、系統效率、嚴密性、完好性、可用性等方面來保證信息的平安性、可靠性、有效性； IT資源維主要包括以人、運用系統、技術、設備及數據在內的信息相關的資源，這是IT治理過程的主要對象；IT過程維那么是在IT準那么的指點下，對信息及相關資源進展規劃與處置，從信息技術的規劃與組織、采集與實施、交付與支持

41、、監控等四個方面確定了34個信息技術處置過程，每個處置過程還包括更加詳細的控制目的和審計方針對IT處置過程進展評價。COBIT的34個信息技術過程：1規劃與組織3交付與支持定義IT戰略規劃定義信息體系構造確定技術方向定義IT組織與關系管理IT投資傳達管理目的和方向人力資源管理確保與外部需求的一致性風險評價工程管理質量管理定義并管理效力程度管理第三方的效力管理性能與容量確保效力的延續性確保系統平安確定并分配本錢教育并培訓客戶配置管理處置問題和突發事件數據管理設備管理運營管理2采集與實施4監控確定自動化的處理方案獲取并維護運用程序軟件獲取并維護技術根底設備程序開發與維護系統安裝與鑒定變革管理過程監

42、控評價內部控制的適當性獲取獨立保證提供獨立的審計這個模型為企業管理的勝利提供了集成的IT管理，經過保證有關企業處置過程的高效的改良措施，以更快更好更平安地呼應企業需求。管理指南定義了IT過程的成熟度模型，為管理者評價IT過程的形狀提供了規范。同時也給出了一些重要的測度，這包括：關鍵勝利要素，關鍵目的目的，關鍵績效目的。管理框架管理指南控制目的審計指南工具集圖2 COBIT的管理模型關鍵勝利要素成熟度模型關鍵目的目的關鍵性能目的 COBIT體系框架COBIT模型是企業戰略目的和信息技術戰略目的的橋梁，使得信息技術目的和企業戰略目的之間實現互動。該框架的意義在于：COBIT實現了企業目的與IT治理

43、目的之間的橋梁作用。首先思索了企業本身的戰略規劃，對業務環境和企業總的業務戰略進展分析定位，并將戰略規劃所產生的目的、政策、行動方案作為信息技術的關鍵環境，并由此確定IT準那么。IT為企業戰略提供了基于技術的處理方案，為滿足業務戰略需求提供了技術與工具。在IT準那么的指點下，利用控制目的模型，分別從規劃與組織、采集與實施、交付與支持、監控等過程進展控制、管理信息資源，在IT管理的同時，引入審計指南，從而保證IT資源管理的平安性、可靠性和有效性。實現可跟蹤的業績衡量，經過平衡運營記分卡可以在財務企業資源管理、客戶客戶關系管理、過程內部網，任務流工具、學習知識管理等方面維持平衡，評價企業目的的實現

44、情況以及IT績效，并調整商業目的和IT戰略，進展繼續的IT管理。采用成熟度模型，可以定位本人企業的IT管理目前在業界所處的位置，未來努力的方向，通俗地說就是給IT管理“打分。COBIT還提供了目前最正確案例和關鍵勝利要素，供企業和組織自創。概括而言，COBIT的主要優點如下：COBIT是一個非常有用的工具，也非常易于了解和實施，可以協助 在管理層、IT與審計之間交流的鴻溝上搭建橋梁，提供了彼此之間溝通的共同言語。幾乎每個機構都可以從COBIT中獲益，來決議基于IT過程及他們所支持的商業功能的合理控制。當我們知道這些商業功能是什么，其對企業的關鍵到什么程度時，就能對這些事件進展良好的分類。一切的

45、信息系統審計，控制及平安專業人員應該思索采用COBIT原那么。經過實施COBIT，添加了管理層對控制的感知及支持。COBIT協助 管理層懂得控制如何影響商業功能。COBIT提供的實施工具集包括優秀的案例資料提供模板商業過程，使得優秀范例可以迅速移植，協助 向管理層很好地表述IT管理概念。管理層在基于最正確控制實際根底上做出正確決策的才干亦得到了提高。COBIT使IT管理任務簡易并量化，減輕對復雜信息系統管理任務的難度，并且可以運用在每天都在發生的各種新問題中。對于那些不具有廣博IT知識的人來將，是一個認清信息技術的有價值的工具。它也使得信息系統審計師具有與IT專業人員一樣的專業廣度，并且可以訊

46、問IT工程相關的問題。COBIT提供了一種國際通用的IT管理及問題處理方案，普遍適用于各種不同的商業工程和審計，并且它既包容了我們當前的情況，也提供未來能夠會運用到的指點方針。COBIT有助于提高信息系統審計師的影響力，根據COBIT出具的信息系統審計報告更容易得到管理層的一定。COBIT框架可以可以協助 決議過程責任，提高IT治理程度。經過采用該框架作為對一個責任矩陣分析的根底，可以做到基于角色的IT管理，定義過程措施，確保客戶利益。從以上的分析引見可以看出：整個模型實現了企業戰略與IT戰略的互動，并構成繼續改良的良性循環機制，為企業提供了具有一定參考價值的處理方案。因此，我們以為針對我國信

47、息化存在的問題，自創COBIT的IT治理思想和框架，科學、系統地對信息及相關技術進展管理，逐漸試行建立IT治理機制，對推進我國信息技術的開展和應器具有非常重要的現實意義。IT治理在組織中的運用指南IT治理在組織中的運用是在管理指南的指點下完成的。管理指南經過關鍵勝利要素、成熟度模型、關鍵目的目的、關鍵績效目的四個方面的有機作用，使企業中的信息資源得到有效的管理。管理指南的特點是：面向運用，具有通用性、普通性，不能提供針對某一詳細測定方法，組織應根據本身環境修正這個普通性的指點方針，以滿足實踐的運用需求。下面詳細引見管理指南的各個部分在運用中所起的詳細作用。關鍵勝利要素關鍵勝利要素為管理部門控制

48、信息技術及其處置過程提供了實施指南。它們是信息技術處置過程中的最關鍵的要素，是戰略性的、技術性的過程或活動，勾畫出了IT的控制輪廓。關鍵勝利要素可以從規范控制模型和IT管理框架的目的與審計指南中獲取。這些規范要求：信息技術要與企業的運營情況相符；信息技術使營運業務可行，并使其收益最大化；合理運用信息技術資源；適當管理IT的有關風險。關鍵勝利要素平衡一切的IT資源，它由關鍵績效目的評價。下表為從規范控制模型與管理構架中歸納出用于多數信息技術處置過程的關鍵勝利要素，以供參考。關鍵勝利要素IT治理活動與公司治理過程相結合，并有公司指點的參與；IT治理專注于公司目的，戰略，運用技術提高業務程度，及滿足

49、業務需求的足夠可用的資源和才干；IT治理活動應該目的明確，制度規范和實施有效，它應是根據公司需求并責任到人；實施最正確管理實際以提高資源的有效運用，提高IT過程的效率；建立組織準那么以充分監視，構成一種控制的環境/文化，根據規范程序評價風險，添加對已建立規范的依托，及監視和清查控制缺陷和風險；建立控制準那么以防止內部控制和監管的失靈；許多IT業務流程，如問題管理，變革管理和配置管理，是集成和相互關聯的；建立審計委員會；審計委員會任命和監視獨立審計員；獨立審計員的義務是推行IT相關的審計方案，評審審計結果和第三方審計的評審結果；關鍵勝利要素是為提高處置過程的勝利能夠性所做的最重要的事，通常與組織

50、的目的堅持一致，是組織和處置過程的可察看可丈量的特征，分布于企業的戰略層、戰術層、運用層及組織的各個方面，可以經過目的分解與識別的方法選擇關鍵勝利要素。關鍵目的目的關鍵目的目的是指經過創建和維護一套處置和控制適當業務績效的系統，來指點并監視IT傳送的商業價值。關鍵目的目的經過識別測定處置結果，營運過程的輸出，在平衡記分卡上測定。關鍵目的目的表達的是處置過程的目的，指出哪些是必需做的。它是處置過程實現其目的的可測目的，并且通常定義為需求實現的目的。平衡記分卡主要關注以下幾個方面的運營情況：(1) 財務，包括預算與超支等情況，反映股東的利益。(2) 客戶，包括客戶稱心度，交貨能否及時，效力價值等，

51、反映客戶的利益。(3) 內部處置過程，包括處置的質量與效果等，反映內部人員的利益。(4) 學習與創新，包括雇員受教育程度及技藝根底等，反映企業的開展潛力。下表為普遍適用的關鍵目的目的。關鍵目的目的加強績效和本錢管理；提高主要IT投資的報答；提高呼應市場速度；添加質量，創新和風險管理；適當集成和規范化業務流程；擴展新客戶，滿足現有客戶；可用的適當帶寬，計算才干和IT交付機制；在預算范圍內及時滿足客戶的需求和期望；不違反法律，法規，行業規范和各類合同；清楚承當的風險，這種風險應與組織整體風險情況一致；進展IT治理成熟度標桿比較；創建傳送效力的新渠道。關鍵目的目的是處置目的的一種表達，明確要獲得什么

52、目的，并描畫處置的結果，進展事后評判，直接表達處置過程的完成勝利與否，間接表達處置帶給運營活動的價值。關鍵績效目的關鍵績效目的對關鍵勝利要素進展評價，經過監測某IT處置過程的執行情況，通知管理層該處置能否滿足其運營需求。關鍵績效目的是IT處置過程的性能目的，表現為IT的實踐業績。經過有效性、嚴密性、完好性、可用性、一致性、可靠性等目的來測定IT的績效。下表列出對企業具有普遍性意義的關鍵績效目的。關鍵績效目的提高了IT流程的效果本錢 vs. 交付才干；添加了用于改善流程的IT方案；添加了IT根底設備的利用率；添加了客戶稱心度調查和贊揚數；添加了員工任務效率可傳送的數量和士氣調查；添加用于管理公司

53、的知識和信息的可用性；添加IT治理和公司治理的聯絡；運用IT平衡計分卡丈量時，績效得到提高。關鍵績效目的是處置過程執行程度的測定，預期未來成敗的能夠性，是先導性目的，面向處置過程，但驅動信息技術，關注處置過程和平衡記分卡的學習單位，關注對于處置過程至關重要的資源。IT目的使能器平衡運營記分卡測度運營收益測度IT績效關鍵目的目的 關鍵性能目的關鍵目的目的與關鍵性能目的的關系關鍵績效目的指出處置過程要完成到怎樣的程度。兩者之間的相互關系可以用平衡記分的概念來了解，如下圖。平衡記分卡丈量企業的運營目的的執行情況，信息技術作為商業的使能器也有本人的記分卡。它的丈量規范是績效目的。比如：使能器要執行到怎

54、樣的程度才干闡明運營目的曾經實現。關鍵績效目的主要經過信息系統與信息效力的有效性，信息的與完好性，處置過程和操作的本錢，信息的可信度、可靠性等來評價信息技術的績效。關鍵目的目的是驅動運營活動，而關鍵性能目的面向處置過程，并將經常表達處置過程和組織對所需資源的平衡與管理程度，測定其能否真正到達預期處置目的，能否有助于管理者改良處置。關鍵目的目的與關鍵性能目的的區別主要表達在以下幾個方面：1. 評價時序不同。關鍵目的目的是處置目的的一種表達，明確要獲得什么目的，并描畫處置的結果，是“滯后性目的，只能在事后丈量。關鍵績效目的是處置過程執行程度的測定，預期未來成敗的能夠性，是先導性目的，可以事先給出勝

55、利的預示。2. 關注目的不同。關鍵目的目的提供了業務平衡計分卡中財務與客戶方面的評價規范。關鍵績效目的強調了平衡計分卡中的另外兩個方面，即內部處置與創新。財務成果與客戶稱心度是企業運營目的能否到達的一個事后評判規范。而處置執行的好壞與學習創新是組織運轉情況好壞的一個目的，并且事先指出了企業運營獲得勝利的能夠性。驅動力不同。關鍵目的目的是由企業的運營業務所驅動的，關注企業業務的執行結果，關鍵績效目的是企業的信息技術所驅動的，關注與信息技術相關的資源。IT治理成熟度模型IT成熟度模型制定了一個基準，組織能夠根據上面的目確實定本人的等級，從而了解本身目前的境界。在此根底上確定組織的關鍵勝利要素，經過

56、關鍵績效目的進展監控，并衡量組織能否能到達關鍵目的目的中所設定的目的。成熟度模型從普通的質量模型開場，在各個層次以遞增的方式添加了以下方面的慣例與原那么：對風險和控制問題的了解與認識；適用于該問題的交流與培訓；加工處置和實施的慣例；使過程更有效、更高效的技術與自動控制；與政策與法規的一致程度；專業技藝的范圍與類型。平衡風險和收益后的IT治理和IT增值流程治理成熟度級別如下：不存在。完全不存在可辨識的信息治理流程。組織并沒認識到這一問題，因此關于此問題并無交流。初始級 初始的混亂的。有證聽闡明，組織已認識到存在IT治理問題并需求研討，尚無規范流程，但有些個人或在有些詳細情況下進展了嘗試。治理方法

57、混亂，但對于問題和研討方法有零星的、不一致的交流。也能夠認識到需求以產出為導向，在相關企業流程中追求IT的價值。沒有規范的評價過程，只在組織中發生某些事件帶來損失或不利時，IT治理才得以運用。可反復級 反復的但模糊的。人們普遍對IT治理問題有所了解，IT治理行為和效果處于未開展階段，包括IT方案、交付和監控流程。其部分結果是，由于高層管理者積極的關注和參與，在組織改動管理流程時運用IT治理行為。選定的IT流程，因提高及控制企業中心流程，并且作為一種投資得到有效的治理，進而構成明確的IT架構。管理者認可根本的IT治理方法、評價技術，但整個組織并未采用IT治理流程，組織中不存在與管理規范相關的正規

58、培訓和交流，僅憑個人反響。個人在不同的IT工程和流程中推行管理流程，他們選擇并運用有限的管理工具搜集相應信息，但由于缺乏專業知識，能夠不能充分發揚IT治理的功能。已定義級 已定義流程。人們了解并接受IT治理。建立了一套根本的IT治理評價目的，績效丈量與績效驅動之間的聯絡也得以確立、構成規范文檔并貫穿到戰略和運作方案以及管理流程中。流程被規范化、構成文檔和實施，管理與規范流程相一致，開場了非正式的培訓，對全部IT治理行為的表現進展記錄、跟蹤，促進企業整體提高。可以測定的流程并不復雜，卻僅僅是現行實際的正規化。工具得以規范化，也采用現存技術。整個組織認同IT與商業利益平衡的觀念。然而，只是個人接受

59、培訓、執行規范，只是偶爾分析問題的根本緣由，大部分流程還是根據根本準那么進展管理，出現的偏離很少被管理者發現，由于這些偏離主要由于個人緣由呵斥。雖然存在一些問題，可以清楚地評價關鍵流程的績效，并根據關鍵績效目的對有關人員進展獎罰。已管理級 已管理和可丈量的。經過正規培訓，各個層次全面了解了IT治理。人們清楚地知道誰是顧客，而且經過效力程度協議，來定義和監視相應的責任。責任清楚，也落實到流程中的詳細人員。IT流程與業務親密相關，與IT戰略親密相關。IT流程的提高主要建立在定量的了解根底之上，監視、評測規程和流程的情況是能夠的。一切流程參與者了解風險，也了解IT的重要性和IT提供的時機。管理者明確

60、必需對哪些無效的流程采取行動。必要時改良流程，并強迫執行最正確內部實際準那么；規范化根本緣由分析程序；確定繼續改良措施；以成熟的技術和強迫性的規范工具為根底，有限制地、有戰略地運用新技術；有所需求的各個方面的內部專家；IT治理開展成公司范圍級流程；IT治理活動正與公司治理過程相結合。優化級 對IT治理問題和處理方案有前瞻性的了解，并做好有關預備；利用先進的思想和技術進展培訓和交流；經過繼續改良，與其它組織的成熟度比較，業務流程已超越公司外的最正確實際；實施的這些政策已使組織，人和流程快速順應并全面滿足IT治理的要求。深化分析一切問題和偏向的根本緣由，并能方便地確定和啟動有效的行動；以廣泛的、集