（論文）建立動態(tài)適應內(nèi)部和外部的IT治理機制

文/羅余作  發(fā)表時間：2011.11.09

【摘要】IT治理是一個系統(tǒng)的過程。IT治理是控制、指導、協(xié)調(diào)組織戰(zhàn)略目標和IT目標的系統(tǒng)，是IT治理主體、客體、IT治理結(jié)構(gòu)、IT治理機制的總稱，是內(nèi)部IT治理、外部IT治理的融合，是IT治理方法、過程、目標與結(jié)果的統(tǒng)稱，是為了實現(xiàn)IT治理目標所有制度安排與機制的集合。IT治理系統(tǒng)的目標是提供IT決策機制的科學化、決策過程的協(xié)調(diào)交互性和決策結(jié)果的創(chuàng)新性。本文就如何正確理解IT治理的本質(zhì)、理性地建立動態(tài)適應內(nèi)部和外部的IT治理機制做些探討。

【關(guān)健詞】企業(yè)內(nèi)部和外部動態(tài) IT治理

企業(yè)IT治理必須建立IT治理機制，建立IT治理機制是一個動態(tài)的過程。IT治理是機制的集合，更是治理主體間互動的過程，全球治理委員會的定義指出：“治理不是一整套規(guī)則，也不是一種活動，而是一個過程”，所以IT治理是一個“過程”，是公司與所有利益相關(guān)者的互動過程，包括在制定公司長遠IT發(fā)展戰(zhàn)略決策中這些“規(guī)則”上的互動，另外，環(huán)境的動態(tài)性也決定了IT治理的動態(tài)性。

如何適應內(nèi)部和外部的IT治理變化，必須樹立IT戰(zhàn)略的互動理念，建立動態(tài)治理機制。

首先需要轉(zhuǎn)變觀念。拿著IT這樣的現(xiàn)代武器，管理者卻依舊是滿腦袋的傳統(tǒng)觀念，結(jié)果可想而知，因此首先需要轉(zhuǎn)變觀念。在最高管理層（董事會）樹立和維護IT戰(zhàn)略地位的思想認識，建立企業(yè)戰(zhàn)略與IT戰(zhàn)略的互動觀念，闡明IT應擔當?shù)慕巧瑥臉I(yè)務的視角創(chuàng)造信息技術(shù)指導原則，如信息化規(guī)劃本質(zhì)上可以定位成從業(yè)務戰(zhàn)略到信息戰(zhàn)略的實現(xiàn)。從組織的戰(zhàn)略出發(fā)而不是從系統(tǒng)的需求出發(fā)，可以避免脫離目標而進行建設的困境。從業(yè)務的變革出發(fā)而不是從技術(shù)的變革出發(fā)，有利于充分利用組織的現(xiàn)有資源來滿足關(guān)鍵需求，從而避免建設的信息系統(tǒng)無法有效地支持組織的決策。又如利用電子商務消除時間和空間得特性，發(fā)展與全球客戶的關(guān)系，能夠引導鞏固客戶數(shù)據(jù)庫和訂單處理過程。

改善外部環(huán)境。目前我國外部市場監(jiān)控機制尚不健全，公司治理結(jié)構(gòu)中的監(jiān)控職能被嚴重削弱，并使董事會失去監(jiān)督。另一方面，風險管理意識淡薄，安全上采用純粹技術(shù)手段解決?？上攵?，缺乏優(yōu)良公司治理和IT治理機制是一些國內(nèi)企業(yè)與金融機構(gòu)無法抵御全球經(jīng)濟低靡和無法適應市場環(huán)境快速變化的重要原因之一。因此，加強IT治理實質(zhì)上是一個政府和企業(yè)機構(gòu)必須攜手面對的問題。政府必須扮演一個重要的推動角色，并且尤其需要強調(diào)的是政府制定規(guī)則比較合理的方法是通過聽證會或知情會上下協(xié)商、交互式地制定規(guī)則（非自上而下制定規(guī)則的方法），這樣才能解決規(guī)則的充分合法性、可執(zhí)行性問題，“治理不是一種正式的制度，而是持續(xù)的互動”（《我們的全球伙伴關(guān)系》）；鑒于全球化和信息技術(shù)得無國界性，盡管在公司治理模式上有英美模式、德日模式、東亞和東南亞模式，但在IT治理上有更大趨同性的發(fā)展趨勢，因此，從治理（Governance）的角度企業(yè)應該采用合乎國際標準的IT治理方法，以促進公司治理、IT治理和經(jīng)營管理的協(xié)調(diào)發(fā)展。值得一提的是：組織采行優(yōu)良IT治理機制的行動，將減輕政府部門在制訂國民經(jīng)濟和社會信息化中所扮演的角色責任。

逐步試行建立IT治理委員會。IT治理委員會與IT審計師是IT治理最重要得環(huán)節(jié)。IT治理委員會由組織的最高管理層（董事會）及管理執(zhí)行層包括IT管理和業(yè)務管理有關(guān)部門負責人、管理技術(shù)人員組成，定期召開會議，就公司戰(zhàn)略與IT戰(zhàn)略的驅(qū)動與設置等議題進行討論并做出決策，為組織IT管理提供導向與支持，把IT治理的相關(guān)規(guī)范融入到組織的內(nèi)部控制中。

對于規(guī)模較大的組織，一項IT（如安全）控制活動需要多個部門的共同參與才能得以實現(xiàn)，為能迅速解決控制過程出現(xiàn)的問題，防止內(nèi)部互相推諉的現(xiàn)象發(fā)生，提高工作效率，需組成一個跨部門的IT治理委員會，加強全局的管理與流程執(zhí)行的紀律，解決諸如信息安全事故的調(diào)查與處理等一些實際的問題，這是進行IT管理內(nèi)部協(xié)調(diào)的很好的辦法。

明確規(guī)定IT管理過程的責任。職責缺乏或界定不清，最終導致控制得不到有效得實施，形成管理風險。組織最高管理層應確保對管理層、部門、運維人員職責進行規(guī)定并形成書面文件。

對信息系統(tǒng)進行獨立審計。信息系統(tǒng)審計是一個獲取并評價證據(jù)，以判斷信息系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率地利用組織的資源并有效果地實現(xiàn)組織目標的過程。它綜合運用IT技術(shù)與審計理論及方法為信息時代信息的使用者提供合理的保證。

在信息時代，組織為預防不良事件的發(fā)生必須將其內(nèi)部控制擴展到信息處理系統(tǒng)的各個方面，包括公司內(nèi)部網(wǎng)與因特網(wǎng)在內(nèi)的任何直接或間接影響財務報表或其他至關(guān)重要資料的數(shù)據(jù)或處理系統(tǒng)，因為該系統(tǒng)與包括合作伙伴在內(nèi)的其他系統(tǒng)有著密切的聯(lián)系。此外，這些公司還必須對與其互通業(yè)務數(shù)據(jù)的合作伙伴的內(nèi)部控制系統(tǒng)有信心。在對于經(jīng)營慣例、交易處理的完整性、信息保護和如何對信息系統(tǒng)的內(nèi)部控制實施評估和風險管理方面，組織可以通過內(nèi)部審計或外部審計達到上述目的。

信息系統(tǒng)審計的主要由以下部分組成：

1、信息系統(tǒng)的管理、規(guī)劃與組織——評價信息系統(tǒng)的管理、計劃與組織方面的策略、政策、標準、程序和相關(guān)實務。

2、信息系統(tǒng)技術(shù)基礎設施與操作實務——評價組織在技術(shù)與操作基礎設施的管理和實施方面的有效性及效率，以確保其充分支持組織的商業(yè)目標。

3、資產(chǎn)的保護——對邏輯、環(huán)境與信息技術(shù)基礎設施的安全性進行評價，確保其能支持組織保護信息資產(chǎn)的需要, 防止信息資產(chǎn)在未經(jīng)授權(quán)的情況下被使用、披露、修改、損壞或丟失。

4、災難恢復與業(yè)務持續(xù)計劃——這些計劃是在發(fā)生災難時，能夠使組織持續(xù)進行業(yè)務,對這種計劃的建立和維護流程需要進行評價。

5、應用系統(tǒng)開發(fā)、獲得、實施與維護——對應用系統(tǒng)的開發(fā)、獲得、實施與維護方面所采用的方法和流程進行評價，以確保其滿足組織的業(yè)務目標。

6、業(yè)務流程評價與風險管理——評估業(yè)務系統(tǒng)與處理流程，確保根據(jù)組織的業(yè)務目標對相應風險實施管理。

總之，我們認為我國的信息化建設向著縱深發(fā)展，必然要在更深層面上解決體制和機制問題。完善的IT治理機制，應該要極小化、信息化和透明化所導致的不一致利益沖突所造成的制度面成本。IT治理不僅僅是動態(tài)的管理控制架構(gòu)，還需要落實在組織內(nèi)部控制及政府與市場監(jiān)督體系的動態(tài)機制。