IT治理:实现企业投资战略的制度保障

提要IT治理是企业信息化领域中的一个全新概念，本文从多个角度对IT治理所包括的内容进行探讨。同时，详细论述了IT治理的关键任务以及COBIT控制模型，对实现IT投资与企业战略的一致定义了完整的框架。

关键词：IT治理；企业战略；信息化

中图分类号：F27文献标识码：A

一、IT治理的概念

IT治理是企业信息化领域中的一个全新概念，涉及到信息技术、经济学、管理学等多学科知识，并且由于对其研究从近几年才刚刚开始，各方专家学者对此各抒己见，尚未形成一个统一的IT治理定义。

提出IT治理概念的国际信息系统审计与控制联合会（ISACA）认为，IT治理是董事会和管理层的责任，是公司治理的一个有机组成部分，它由领导阶层、组织结构和流程组成，确保IT实现持续和扩展组织的战略和目标。该定义认为，IT治理是企业或公司治理的有机组成部分。实际上，为确保能够有效地管理公司治理中所涉及到的所有内容，必须首先对IT进行恰当管理，获得IT的支持。这种关系可以更清晰地描述为“将公司治理问题转化为具体的IT治理问题”。

国际内部审计师协会则认为，IT治理是一个由关系和流程所构成的体制，用于指导和控制企业，通过平衡信息技术与流程的风险、增加价值来确保实现企业的目标。这一定义主要是从IT治理的应用角度，对治理过程中的要素、方式、目标进行描述，认为IT治理是流程的集合，由一系列方法、关系控制要素组成。由此构建IT治理的架构，通过这种机制和架构，将信息化的决策、实施、服务、监督等流程，IT相关的资源与企业战略和目标紧密关联，从而最大化提升企业价值，抓住企业信息化赋予的机遇和竞争优势。

尽管在IT治理的定义上没有达成统一，但已有的研究还是在几个重要方面达成了一致：（1）IT治理作为公司上层管理的一个有机组成部分，由董事会或高级管理层负责，从公司全局的高度对企业信息化做出制度上的安排，体现了股东、董事会和最高管理层对信息化建设的关注。（2）IT治理强调信息化目标与企业战略目标保持一致，IT利用其自身特点，为企业战略规划提供技术或控制方面的支持，以保证信息化建设能够真正落实和贯彻组织业务战略和目标。（3）IT治理保护利益相关者的权益，对风险进行有效管理，合理利用IT资源，平衡成本和收益，确保信息化应用有效、及时地满足需求，并获得期望的收益，增强企业的核心竞争力。（4）IT治理是一种制度和机制，主要涉及管理和制衡信息化与业务战略匹配、信息化建设投资、信息系统安全和信息化绩效评价等方面的内容。（5）IT治理的组成部分包括：管理层、组织结构、制度、流程、人员、技术等多个方面，共同构建完善的IT治理架构，达到信息化战略和支持组织的目标。

二、IT治理的关键任务：实现IT投资与企业战略的一致

IT治理的关键任务就是运用信息技术辅助管理层建立以企业战略为导向、以外界环境为条件、以业务与信息系统整合为目标的观念。准确定位信息技术部门在整个组织中的作用，规定整个企业信息化的基本框架，在此基础上建立起IT治理架构；采用有效的机制，使企业信息化完成组织赋予它的使命，同时整合信息资源，平衡信息化过程中的风险；制定、执行并推动组织发展的信息化战略，最终确保实现组织的总体战略目标。（图1）

1、监督信息化目标与企业目标保持一致。IT治理指导企业信息化支撑业务目标的实现，使其应用效果符合企业的实际需要，保证信息技术跟上持续变化的业务目标，随时做出适当调整，使之与业务发展保持一致。从信息化建设之初，IT治理就关注于系统的总体规划满足企业的业务要求，从组织目标和信息化战略中抽取出对企业信息化的总体要求、详细需求和功能概况，形成总体的IT治理框架和系统整体模型；决策之前，IT治理强调进行充分论证，综合考虑投资的效益和效率以及信息系统风险对企业业务目标实现程度的影响。在信息系统的实施与应用过程中，IT治理始终在战略高度强调与企业业务、管理、发展战略相融合，指导信息化建设的各个阶段。

2、充分利用信息资源。信息资源是企业资产的组成部分，IT治理应确保对其进行有效管理，提高利用率，收回投资并增加收益。通过正确的信息政策，保证智力资本在组织中获得合理存储、共享和利用；通过减少信息的重复、滥用、误用、浪费来节省成本；通过正确的技术架构和手段，提高资源的配置效率，对业务流程中资源进行有效利用，提高管理效率。

3、有效实施风险管理。信息技术带来的风险往往是潜藏的，难以察觉，并且一旦发生后果严重，相关的风险既包括技术风险，也包括业务风险和管理风险等。IT治理强调以全局的眼光控制信息化过程中存在的风险，并制定一整套风险管理策略，通过风险识别、风险分析、风险应对、风险监控等手段有效利用企业内部业务流程中的各种资源，使企业适应外部环境变化，从而达到降低业务风险、改善管理效率和提高管理水平的目标。

4、进行绩效评价。公司利益相关者关心的是信息化投资是否获得回报，是否对企业业务增长产生作用，对企业目标的贡献度如何，怎样更好地利用和改良信息系统。IT治理需要找到评估绩效的合理方法，对信息化投资实施持续的过程管理和评价，建立起综合的绩效考核体系，考核并监控信息系统交付的价值是否符合企业的战略任务与目标，保持整体目标一致，通过对信息系统各项指标的优化实现整个企业绩效指标的优化。总之，IT治理是企业内部各利益相关者之间良性互动的过程，良好的IT治理，要在战略高度实现企业信息化与业务的匹配，并使这一动态过程保持下去，在使信息系统的交付价值最大化的同时，也实现了企业价值的最大化。

三、COBIT：IT投资规划与企业战略规划之间的桥梁

COBIT（信息及相关技术的控制目标）是一个国际通用的IT治理方法和IT控制模型，是IT治理的一个开放性标准。由美国IT治理协会开发与推广，目前已成为国际上公认的最先进、最权威的安全与信息技术管理和控制的标准。该标准为IT的治理、安全与控制提供了一个一般适用的、公认的标准，以辅助管理层进行IT治理。该标准体系已在世界上100多个国家的重要组织与企业中运用，指导这些组织有效利用信息资源，有效地管理与信息相关的风险。

在COBIT模型中，组织对信息化进行管理和控制过程是将IT资源、IT准则、IT过程与企业的战略目标紧密联系起来，形成一个三维的体系结构。其中，IT资源是与信息相关的资源，是IT治理的主要对象；IT准则集中反映了企业的战略目标；IT过程是在IT准则指导下，对IT资源进行规划与处理，从IT规划与组织、获取与实施、交付与支持、监控等4个方面确定了34个信息技术处理过程，每个处理过程还包括更加详细的控制目标和审计方针对其进行评估。（图2）

COBIT包括以下四个域：

1、规划与组织。包括战略和战术两个层面，重点关注如何识别满足业务目标的信息系统。同时，战略目标的实现应该注重规划，从不同的层面沟通和管理，最后要制定良好的组织架构和技术基础架构。

2、获得与实施。理解信息化战略后，应识别、开发或获取、实施信息化解决方案，同时注意业务流程的紧密融合。另外，该域还包括对已有系统的变更与维护，以确保系统生命周期的持续改进。

3、交付与支持。重点关注系统满足业务需求的实际情况，即价值交付，包括从日常操作到培训。为了保证价值交付，IT服务支持流程是不可或缺的。另外，这个域还包括应用系统中的实际数据处理流程，前者通常按照应用控制分类。

4、监控。为了保证系统的质量并满足控制需求，所有的流程应被定期评估。该域强调管理者站在全局角度把握组织的控制过程，确保内部、外部审计的独立性，获得所需资源。

COBIT框架模型是企业战略目标和信息技术战略目标的桥梁，使得信息技术目标和企业战略目标之间实现互动。该框架模型的意义就在于实现了企业目标与IT治理目标之间的桥梁作用。COBIT考虑了企业自身的战略规划，对业务环境和企业总的业务战略进行分析定位，并将战略规划所产生的目标、政策、行动计划作为信息技术的关键环节，并由此确定IT准则。COBIT使信息技术目标和企业战略目标之间实现互动，形成互相依托、互相促进的有机整体。组织通过COBIT可以更加有效地利用信息资源，有效地管理与信息相关的风险，从而更好地帮助组织实现其业务战略。COBIT通过制定详尽的框架，34个过程覆盖了IT管理的全过程，任何组织都可以在其中找到自己需要的框架模型；同时，COBIT把管理落到实处，它提供了每个过程所需的管理目标、管理方法、管理成熟度的判定、绩效考核指标等工具，使得各个过程管理真正落到实处，并能够指引前进的方向，促进管理持续的改进，实实在在为企业带来价值，提升企业信息化管理水平，降低信息化风险。

COBIT要求在业务目标之上定义IT战略规划，获得信息技术与业务需求的最佳平衡，同时确保战略的进一步落实；确保传递给业务的信息符合信息准则，并且可以用关键目标指标测量；能够在常规间隔时间内执行战略规划过程，形成一个长期计划；该长期计划应当被周期性地转换为清晰而具体、操作性强的短期目标；权衡具体的IT资源和可测量的关键绩效指标来考虑制定关键成功因素。

从活动、流程到域，这样的结构覆盖了信息技术所支持的所有方面，既能够从全局上把握，又能够在细节处加强控制。上述四个域及各自包含的IT流程、IT资源与信息准则形成了COBIT的三维体系结构，将信息环境下所有需要控制的过程、资源等各个环节内容包括其中，实现IT投资与企业战略的一致，定义了完整的框架。

（作者单位：天津商业大学商学院）

参考文献：

[1]田野，宝贡敏，常红.基于IT治理的企业信息战略管理探讨［J］.技术经济，2005.10.

[2]饶艳超.公司治理的新视角：IT治理－建立企业目标和信息技术之间的联系［J］.会计研究，2003.8.