摘要:
近年来,银监会、证券和期货业协会等政府监管部门和行业协会陆续发布了关于IT治理的指引,理论界和实务界也有关于IT治理的大量的探讨,但在IT治理的若干基本概念上,却各有各的理解和定义,在执行中也莫衷一是,这显然不利于IT治理的交流、推广和发展。为此,ITGov中国IT治理研究中心在多年理论研究和实践的基础上,提出IT治理的基本概念定义,以期抛砖引玉,最终形成符合中国国情和企业实际需要的IT治理基本定义。
IT治理是什么(IT治理的定义)
IT治理是指设计并实施信息化过程中各方利益最大化的制度安排,包括业务与信息化战略融合的机制,权责对等的责任担当框架和问责机制,资源配置的决策机制,组织保障机制,核心IT能力发展机制,绩效管理机制以及覆盖信息化全生命周期的风险管控机制。该制度安排的目的是实现组织的业务战略,促进管理创新,合理管控信息化过程的风险,建立信息化可持续发展的长效机制,最终实现IT商业价值。(ITGov中国IT治理研究中心孙强,2008)
IT治理的目标
ITGov中国IT治理研究中心归纳总结IT治理有四大目标:IT与组织战略目标融合互动、有效利用信息资源、管理风险、构建信息化可持续发展的长效机制。具体内容如下:
IT治理的目标之一——IT与组织战略目标融合互动
目前,大多数组织的信息化战略规划是在组织战略规划的驱动下进行的。首先在充分、深入研究组织的发展远景、内外部环境、业务策略和管理基础上,形成信息化的远景、信息系统的组成架构、信息系统各部分的逻辑关系,以支撑战略规划目标的达成,其次对各信息系统的支撑硬件、软件、技术等进行计划与安排。组织战略、信息系统战略和信息技术战略之间的关系见图1。
但是,IT治理理论与实践告诉我们,信息化战略与组织战略的关系是双向的,具有业务运营、技术变革、竞争优势和服务四种视角,组织战略与信息化战略是一种动态的平衡。由组织战略驱动的信息化战略还没有达成与组织战略高度整合,不利于信息化战略的可持续发展。
资料来源:ITGov中国IT治理研究中心
IT治理的目标之二——有效利用信息资源
目前,宏观层面信息化投资规模大、绩效不佳是不争的事实;微观层面上信息孤岛、信息化工程超期、 业务需求得不到满足、IT平台不支持业务发展等问题较为突出。信息资源的开发和利用是信息化建设的核心任务,是信息化取得实效的关键,是衡量信息化水平的一个重要标志。通过IT治理可以对信息资源的管理职责进行有
效的制度设计,保证投资的回收,并支持业务战略的发展。
IT治理的目标之三——管理风险
由于企业越来越依赖于信息技术和网络,新的风险不断涌现,例如,新出现的技术缺乏适当管理,不符合现有法律和规章制度、没有识别对IT资产的威胁等。IT治理强调风险管理,通过制定信息资源的保护级别,强调关键的信息技术资源,有效实施监控,事故处理。IT治理使企业适应外部环境变化,为企业内部实现对业务流程中资源的有效利用,从而达到改善管理效率和水平的重要手段。
IT治理的目标之四——构建信息化可持续发展的长效机制
当前,我国的信息化发展主要依靠合规的强制要求、上级领导部门和“一把手”的重视,缺乏内生的动力机制。根据ITGov中国IT治理研究中心的理论研究和实践,充分发挥好信息化绩效评估的“指挥棒”作用,就可以构建信息化可持续发展的长效机制。即在IT治理框架和信息化全流程风险管理控制体系的基础上,通过严格的绩效评估和评估结果的透明披露,靠“问责”的制度化来实现信息化可持续发展的长效机制。
总之,IT治理的目标将帮助管理层建立以组织战略为导向, 以外界环境为依据, 以业务与IT整合为中心的观念,正确定位IT部门在整个组织中的作用。最终能够针对不同业务发展要求,整合信息资源,制定并执行推动组织发展的IT战略。
IT治理与IT管理
首先,我们先定义什么是IT管理。目前,对于IT管理的概念主要有狭义和广义的理解。
过去认为,IT管理是对所构建的信息系统进行管理,保证系统能正常运行。也有观点认为,IT管理是企业IT部门在IT系统运营阶段中在管理方面采用的方法论、手段、技术、制度、流程、文档的统称。
ITGov中国IT治理研究中心IT管理是将组织中的IT资源进行整合与配置,使其融合到组织的业务流程之中,发挥其最大效用(ITGov中国IT治理研究中心孙强,2008)。IT管理实现了对人、业务策略、数据、流程和应用系统等资源的全面掌控,涵盖了战略级、战术级和运营级的IT应用实践。有效的IT管理需要在IT规划、组织、控制与IT资源的部署与使用方面达成协同,从而支持组织的战略目标。
再进一步,IT治理与IT管理的关系是什么?
IT管理是在IT治理既定的“约束和激励”的规则下,对组织IT资源进行整合与配置,确定IT目标以及实现此目标所采取的行动;而IT治理是指最高管理层(董事会)利用它来监督管理层在实现IT战略目标的过程中,处于治理层既定的规则内(风险可控、绩效可见)。这是一个硬币的两面,谁也不能脱离谁而存在。可见,IT管理就是在既定的IT治理模式下,管理层为实现组织战略目标而采取的行动。
IT治理规定了整个组织IT规划与组织、获得与实施、交付与支持、监控与评价的基本框架,IT管理则是在这个既定的框架下驾驭组织奔向目标。缺乏良好IT治理模式的组织,即使有“很好”的IT管理体系(而这实际上是不可能的),就像一座地基不牢固的大厦;同样,没有组织IT管理体系的畅通,单纯的治理模式也只能是一个美好的蓝图,而缺乏实际的内容。
事实上,很多企业和项目的成功更多地是依赖于人的因素,而不是创新的制度安排。我们认为:如果没有好的治理(约束和激励)机制,组织管理的好是偶然的,管理不好是必然的;同样,对于IT,如果存在好的IT治理机制,IT管理的好就是必然的、管理不好是偶然的。因此,IT治理是IT管理的基石,某种意义上可以认为IT治理比IT管理更重要。同样,IT治理比近年来企业所热衷的IT战略规划也重要,原因在于:如果缺乏善治的IT治理机制(约束和激励机制),即使有明确的IT战略规划,在执行过程中也会步履维艰。总之,就我国信息化建设目前的现状而言,迫切需要加强IT治理和IT管理的理论研究与实践。
IT治理模式、IT治理体制和IT治理机制等概念的内涵及其相互关系
目前,比较流行的词汇,如IT治理结构、IT治理模型、 IT治理标准等,其概念定义、内涵和外延均比较混乱,这不利于IT治理的传播、推动与发展。
ITGov中国IT治理研究中心分析认为,其实大家希望表达的内容更准确的概念是IT治理模式、IT治理体制和IT治理机制等。ITGov是这样界定的:IT治理=IT治理思想+IT治理模式+IT治理体制+IT治理机制(ITGov中国IT治理研究中心,2008),简述如下:
IT治理思想即科学的信息化发展观,尽管在广义的IT治理模式中涉及IT治理思想,但考虑到IT治理思想的重要性,我们还是把它独立出来加以强调;
IT治理模式解决有关管理思想、管理方式方法层面的问题,是具有方向性、框架性的高度概括,其涉及的内容,第一是组织在IT治理工作中所遵循的治理思想或坚守的治理理念(治理观念)是什么;第二是治理的结构问题,其中包括根据组织发展目标确定的IT治理定位(采用什么样的治理方式和治理途径)、治理运行的要求、治理关系的原则等三个方面;第三是治理的运行机制,即涉及IT治理流程及制度体系、组织的价值观、IT文化及沟通机制、IT绩效管理与激励约束机制等。同时,为保障治理模式行之有效,需要建立IT治理自身的绩效评估、持续改进提高的良性循环机制。ITGov中国IT治理研究中心通常只把治理思想理念和治理结构及方式纳入治理模式的研究范畴,而把治理流程层面的内容纳入治理运行机制的范畴;
IT治理体制表达的是治理的组织架构。治理体制是界定组织中各相关主体在各自方面的治理范围、责权利及其相互关系的准则,它的核心是治理机构(如IT治理委员会等)的设置和权限的划分。各治理机构职权的分配以及各机构间的相互协调,它的强弱直接影响到治理的效率和效能,对IT治理效率起着决定性的作用。一个组织选择不同的治理体制,将决定其设置不同的组织机构和运行规则,相应地将会有不同的运行效果。确定现代化的治理体制是建立高效管理组织的基本条件。选择符合组织发展需要的治理体制,必须是在对组织所处行业领域、行业地位、行业特点、竞争状况、资本结构、产权结构、组织结构、人员结构、发展战略或阶段目标、政策环境和内外部资源条件等方面进行详细调查分析,并系统归纳组织的优势与劣势和现有管理体制存在问题的基础上进行。组织的治理体制,往往根据其所从事的事业来划分为集权治理体制、分权治理体制和联邦民主式治理体制。
治理机制的涵义,是指治理体系结构及其运行机理,治理机制又细分为运行机制、动力机制、约束机制。运行机制是指组织IT相关基本职能的活动方式和运行关系;动力机制是指推动信息化可持续发展的内生动力产生与运作的机理;约束机制是指对IT治理行为进行约束与纠正的功能与机理。通过细分的运行机制、动力机制和约束机制,就比较容易理解什么是治理机制了。ITGov中国IT治理研究中心根据当前的国情和信息化发展所处的阶段,强调把建立完善信息化全生命周期风险管理控制体系作为构建落地的运行机制的主要内容,把信息化绩效评估作为信息化可持续发展的内在动力机制,把信息化风险管控体系和绩效问责共同作为约束机制。
总之,在治理思想治理模式、治理体制、治理机制四个概念中,治理思想回答的是方向性问题,治理模式侧重于具有代表性、稳定性治理方式、治理路径,治理体制倾向于解决各相关主体的治理范围、责权利及其相互关系的准则等问题;治理机制所要解决的是运行机理、动力和约束问题。IT治理思想决定IT治理模式,IT治理模式决定IT治理体制和IT治理机制,可以说有什么样的IT治理思想,就会有什么样的治理模式,有什么样的IT治理模式,就会有什么样的IT治理体制和机制。
依据上述思路,ITGov中国IT治理研究中心自主创新了符合中国国情的“中国企业IT治理框架”,该框架有七要素组成:科学的信息化发展观、IT商业价值、IT治理方法、IT治理绩效、IT治理决策模式、IT风险管理控制体系、核心IT能力。(ITGov中国IT治理研究中心,2008)
公司治理和IT治理的关系
公司治理主要关注利益相关者权益和管理,包括一系列责任和条例,由最高管理层和执行管理层实施,目的是提供战略方向,保证目标能够实现,风险适当管理,企业的资源合理使用。
公司治理,驱动和调整IT治理。同时,IT能够提供关键的输入,形成战略计划的一个重要部分,见图2所示,这被认为是公司治理的一种重要功能——IT影响企业的战略竞争机遇。
资料来源:ITGov中国IT治理研究中心。
IT治理的一个关键性问题是:公司的IT投资是否与战略目标相一致,从而构筑必要的核心竞争力。因为企业目标变化太快,很难保证IT与业务目标始终保持一致,因此需要多方面的协调,保证IT治理继续沿着正确的方向走,这也是IT投资真正关心的问题。对IT治理而言,要能体现未来信息技术与组织的战略集成,既要尽可能地保持开放性和长远性,以确保系统的稳定性和延续性,同时又因为规划赶不上变化,再长远的规划也难以保证能跟上企业环境的变化,在信息化规划时,认真分析企业的战略与IT支撑之间的影响度,并合理预测环境变化可能给企业战略带来的偏移,在规划时留有适当的余地,从业务战略到信息战略,做务实的牵引,不要追求大而全。
IT治理有助于建立一个灵活的、具有适应性的企业。IT治理能够影响信息和知识:组织能够感知市场正在发生的事情,使用知识资产并从中学习,创新新产品、服务、渠道、过程,迅速变化,将革新带入市场,衡量业绩。IT治理应该体现“以组织战略规划目标为中心”的思想,通过合理配置IT资源创造价值。公司治理侧重于企业整体规划,IT治理侧重于企业中信息资源的有效利用和管理。
企业目标在于远景和商业模式,IT目标在于商业模式的实施。企业目标与IT目标之间的关系见图3。
IT治理主要涉及两个方面:IT要为企业交付价值,IT风险要降低。前者受与企业战略一致性驱动,后者由责任义务落实到企业驱动。这两者都需要衡量,如使用平衡计分卡。这就可以看出IT治理的核心领域,都是由利益相关者价值驱动的。
概括地说,公司治理和IT治理都是市场(含政府)他律的机制,是如何“管好管理者”的机制,其目标也是一致的:达到业务永续运营,并增加组织的长期获利机会。无论大环境好或坏,最高管理层均应以达成其目标为责任,而且管理层需要有能力协助其达成目标,因此,最高管理层必须常常监督管理部门对决策与政策实施绩效判断。
资料来源:ITGov中国IT治理研究中心。
IT治理指引有哪些
IT治理已成为国内外政府治理、公司治理及全面风险管理关注的新领域,截至2009年10月,国内外政府部门和行业协会发布的IT治理指引主要有:
在2002年美国颁布萨班斯法案(该法案被称为“自罗斯福总统以来美国商业界影响最为深远的改革法案”),以前所未有的法律的形式,强调“良好的公司治理和高管层对IT治理的职责再也不是一个可有可无的美好愿景”。
- 公司数据的完整性受到公司IT控制的充分性影响;
- 公司交易从交易开始、记录、处理到报告全程应用IT;
- 加快并支持财务报告的IT的控制;
- IT控制有效性记录与评价的要求;
- IT一般控制与应用控制;
- 利用IT自动记录并监控控制制度的执行。
因此,萨班斯方案开始要求CIO必须成为管理控制专家,不仅要参与到公司治理领域,以使IT与业务战略从治理到管理再到执行层面始终保持精确校准,还要在完善内部控制和全面风险管理体系中发挥作用。
2006年6月,国务院国有资产监督管理委员会出台《中央企业全面风险管理指引》,对中央企业开展全面风险管理工作的总体原则、基本流程、组织体系、风险评估、风险管理策略、风险管理解决方案、监督与改进、风险管理文化、风险管理信息系统等方面进行了详细阐述,对《指引》的贯彻落实也提出了明确要求。
2006年11月,银监会发布《银行业金融机构信息系统风险管理指引》, 其内容包括总则、机构职责、总体风险控制、研发风险控制、运行维护风险控制、外包风险控制、审计和附则等八个部分。该指引目的是防范银行业金融机构运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险,实现对信息系统风险的识别、计量、评价、预警和控制。
2008年6月,财政部、证监会、审计署、银监会、保监会联合发布我国第一部《企业内部控制基本规范》。基本规范共七章五十条,各章分别是:总则、内部环境、风险评估、控制活动、信息与沟通、内部监督和附则。该基本规范还有机融合世界主要经济体加强内部控制的做法经验,提出了企业建立与实施有效内部控制的要素,即构建以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证,相互联系、相互促进的五要素内部控制框架。此次基本规范的印发,标志着中国企业内部控制规范体系建设取得重大突破。
2008年9月,中国证券业协会和中国期货业协会共同发布《证券期货经营机构信息技术治理工作指引(试行)》。在行业机构中倡导信息技术(IT)治理理念,使IT治理被纳入公司治理范畴,提升机构驾驭IT的能力,保障行业的信息系统安全运行。
2009年7月,中国期货业协会发布《期货公司信息技术管理指引》,该指引共分为四个技术等级,包含总则、技术管理、机房建设、核心系统、安全、日常运行、备份、系统维护和营业部技术要求九方面的内容。
2009年6月,为进一步加强商业银行信息科技风险管理,银监会发布《商业银行信息科技风险管理指引》,共十一章七十六条,分为总则,信息科技治理,信息科技风险管理,信息安全,信息系统开发、测试和维护,信息科技运行,业务连续性管理,外包,内部审计,外部审计和附则等十一个部分。该指引的发布,将进一步推动我国银行业信息科技风险管理向更高水平迈进。
ITGov中国IT治理研究中心认为:
- 政府监管部门、资本市场、投资人和价值链上的所有利益相关方,都在公司治理和内控方面寻求更大的保证。因此,未来政府和监管机构将不遗余力地出台大量的合规要求。合规、全面风险管理和IT治理的要求是大势所趋。
- 在法规遵从上不存在折衷与妥协。尽管目前我国出台的相关合规要求还远远没有达到萨班斯法案那样的法律力度,但政府监管机构要求“又好又快”地发展,而不是“又快又好”地发展,也将成为未来的大趋势。
IT治理委员会
ITGov中国IT治理研究中心认为:IT治理委员会和CIO制度的缺失,是当前我国信息化建设制度安排上的“致命性”缺陷。
既然,IT治理是公司治理的重要组成部门,IT能力是组织核心竞争能力之一,IT资产已经成为组织最为宝贵的战略性资产,IT已经成为影响到组织全局性的角色,那就需要治理层面对IT的关注,就需要从组织保障上设立IT治理委员会,实现最高管理层(董事会)对IT的监管,董事会不对IT进行监管,好比公司不对财务进行审计,这是非常危险的。ING、梅隆金融等发达国家先进企业都是在董事会设立的IT治理委员会。当董事会和高管层需要做IT决策时,该委员会能够提供支持,从而使投资巨大的IT项目处于可控状态,并使企业获得更大的竞争优势。尤其对于转型模式下的中国证券企业,董事会的监管至关重要。
从另外一个角度来看,当前的信息化过程已经不是从前的在局部管理工作上变手工操作为自动化的过程,而是已经演变成为“流程的重组和利益的再分配”,势必触及到一些部门和个人的利益,势必遭到他们的反对(并且是种种冠冕堂皇的理由的反对),这种情况下的指导和协调工作,已经远远超出信息化部门领导的职责和权力范围,必须在治理层面建立IT治理的体制和机制,才能有效地推进信息化工作,规避IT风险,实现业务战略目标。
在设立IT治理委员会时,我们要考虑三个问题,即IT治理委员会由谁担任主席?由哪些部门的哪些人组成,委员会的章程是什么?
IT治理委员会由组织的最高管理层(董事会)及管理执行层包括IT管理和业务管理有关部门负责人、管理技术人员组成,定期召开会议,就企业战略与IT战略的驱动与设置等议题进行讨论并做出决策,为组织IT管理提供导向与支持,把IT治理的相关规范融入到组织的内部控制中。
ITGov中国IT治理研究中心认为IT治理委员会的职责包括但不限于:
- 遵守并贯彻执行国家有关信息化治理(管理)的法律、法规和技术标准,落实政府监管部门相关监管要求,负责开展信息化相关的合规工作。
- 审查批准信息化战略,确保其与业务战略和重大策略相一致。评估信息技术及其风险管理工作的总体效果和效率。
- 分析信息技术风险成因,掌握主要的信息技术风险,确定可接受的风险级别,确保相关风险能够合理管理。
- 规范职业道德行为和廉洁标准,增强组织文化建设。
- 统一全体人员对信息化治理的思想、认识和意识养成。
- 设立一个由来自高级管理层、信息化部门和主要业务部门的代表组成的专门信息技术管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息化战略规划的执行、信息化预算和实际支出、信息化管理的整体状况。
- 在建立良好的公司治理的基础上进行信息化治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息化治理组织结构。加强信息化专业队伍的建设,建立人才激励机制。
- 确保内部审计部门进行独立有效的信息技术风险管理审计,对审计报告进行确认并落实整改。
- 每年审阅并向政府监管部门报送信息化治理的年度报告。
- 确保信息化治理工作所需资金。
- 确保所有员工充分理解和遵守经其批准的信息化治理制度和流程,并安排相关培训。
- 确保本法人机构涉及客户信息、账务信息以及产品信息等核心信息资产的安全。
- 及时向政府监管部门报告本机构发生的重大信息技术事故或突发事件,按相关预案快速响应。
- 配合政府监管部门做好信息科技风险监督检查工作,并按照监管意见进行整改。
- 履行信息化治理其他相关工作。
IT治理的核心问题:五个决策
美国MIT彼得.维尔和珍妮.罗斯关于IT治理的研究报告指出:IT治理决策模式是为鼓励IT 应用的期望行为,而明确的决策权归属和责任担当框架。IT 治理决策模式关注于两个维度:IT的有效管理和应用必须做出哪些决策?应该由谁来做出这些决策?该研究认为具体体现在五个IT决策上:
(1)IT原则:阐述IT的商业作用;
(2)IT架构:定义集成和标准化的要求;
(3)IT基础设施:决定共享和可提供的服务;
(4)商业应用需求:确定购买或内部开发应用的商业需求;
(5)IT投资和优先权:选择资助哪一个立项以及投入多少资金。
在彼得.维尔和珍妮.罗斯研究的基础上,结合中国国情,ITGov中国IT治理研究中心认为,IT治理决策主体主要有组织领导者、公司的CIO(IT主管)、业务部门领导者,有如下几种治理决策模式,见表1。
[table=98%]
[tr][td=113]
[/td][td=8 |
转播
分享
淘帖
()
