印克沙

（河南中道電子信息工程監(jiān)理咨詢有限公司，河南 鄭州 450000）

基于IT治理的分析研究

印克沙

（河南中道電子信息工程監(jiān)理咨詢有限公司，河南 鄭州 450000）

IT治理是信息系統(tǒng)建設(shè)快速發(fā)展的產(chǎn)物，同時IT治理也是信息化建設(shè)監(jiān)管的重要手段。本文分析了IT治理的現(xiàn)狀及必要性，并從對IT治理的認(rèn)識出發(fā)，結(jié)合對IT治理的時間，對我國開展IT治理進(jìn)行了初步探討。

IT治理；管理研究；業(yè)務(wù)探討

1 IT治理的理念研究

1.1 IT治理關(guān)鍵問題研究

IT的英文是Information Technology，即信息技術(shù)。IT業(yè)劃分為IT生產(chǎn)業(yè)和IT使用業(yè)。IT行業(yè)劃分為IT 生產(chǎn)業(yè)和IT使用業(yè)。IT生產(chǎn)業(yè)包括計算機(jī)硬件業(yè)、通信設(shè)備業(yè)、軟件、計算機(jī)及通信服務(wù)業(yè)。至于IT使用業(yè)幾乎涉及所有的行業(yè)，包括各類組織如企業(yè)、政府及相關(guān)服務(wù)業(yè)［1］。由此可見，IT行業(yè)不僅僅包括硬件和軟件制造業(yè)，還包括幾乎所有的使用及相關(guān)服務(wù)業(yè)。

美國IT治理協(xié)會給IT治理的定義是:“IT治理是一種引導(dǎo)和控制企業(yè)各種關(guān)系和流程的結(jié)構(gòu)，這種結(jié)構(gòu)安排，旨在通過平衡信息技術(shù)及其流程中的風(fēng)險和收益，增加價值，以實現(xiàn)企業(yè)目標(biāo)?！?/p>

國際信息系統(tǒng)審計與控制協(xié)會（ISACA）和IT治理研究所（ITGI）是這樣定義的:“IT治理由高層管理機(jī)構(gòu)負(fù)責(zé)，由領(lǐng)導(dǎo)、組織結(jié)構(gòu)和過程構(gòu)成，其目的在于確保IT能夠支撐和擴(kuò)展組織的戰(zhàn)略和目標(biāo)”［2］。

德勤事務(wù)所認(rèn)為，“IT治理是一個含義廣泛的術(shù)語，包括信息系統(tǒng)、技術(shù)、通訊、商業(yè)、所有利益相關(guān)者、合法性和其他問題，其主要任務(wù)是:保持IT與業(yè)務(wù)目標(biāo)一致，推動業(yè)務(wù)發(fā)展，促使收益最大化，合理利用IT資源，IT相關(guān)風(fēng)險的適當(dāng)管理”。

中國有一種觀點認(rèn)為，IT治理是描述企業(yè)或政府是否采用有效的機(jī)制，使得IT的應(yīng)用能夠完成組織賦予它的使命，同時平衡信息化過程中的風(fēng)險，確保實現(xiàn)組織的戰(zhàn)略目標(biāo)的過程。

我國制定的信息技術(shù)服務(wù)治理第一部分:通用要求術(shù)語中“信息技術(shù)治理information technology governance”:專注于信息技術(shù)及其績效和風(fēng)險管理的治理體系，由領(lǐng)導(dǎo)關(guān)系、組織結(jié)構(gòu)和過程組成，以確保信息技術(shù)能夠支撐組織的戰(zhàn)略目標(biāo)，具體如下:

IT治理包括信息系統(tǒng)的可行性研究、立項、設(shè)計、實施、測試、驗收、后評價、運行維護(hù)直至淘汰全生命周期。

IT治理可分為三個階段:前期（包括可研、立項、設(shè)計）、中期（實施、測試、驗收）、后期（后評價、運行維護(hù)、淘汰）。

IT治理要借助現(xiàn)有的信息系統(tǒng)工程監(jiān)管內(nèi)容進(jìn)行延伸和擴(kuò)充，明確其內(nèi)容。IT治理要在國外標(biāo)準(zhǔn)體系的框架下，結(jié)合我國信息化發(fā)展和企業(yè)的實際管理模式。IT治理要在公司治理的基礎(chǔ)上，完善和發(fā)揮信息系統(tǒng)的功能和作用。IT治理要分層次、分階段地進(jìn)行治理和管理。

IT治理簡單說就是使參與信息化過程的IT行業(yè)利益最大化的制度措施。IT治理關(guān)注兩個方面的問題，即IT治理的“什么”和“誰”。

“什么”是指IT治理應(yīng)該做出哪些決策。“誰”是指這些決策應(yīng)該由誰來做出。

1.2 IT治理的必要性

IT治理是公司治理在信息時代的重要發(fā)展，用于描述企業(yè)或政府是否采用有效的機(jī)制，使IT的應(yīng)用能夠完成組織賦予它的使命，同時平衡信息技術(shù)與過程的風(fēng)險、確保實現(xiàn)組織的戰(zhàn)略目標(biāo)。

IT治理在IT行業(yè)的發(fā)展中，具有如下意義:

第一，使企業(yè)發(fā)展戰(zhàn)略在整體規(guī)劃、標(biāo)準(zhǔn)化和規(guī)范化等在信息化工作、信息化建設(shè)和信息化服務(wù)與支持方面上的細(xì)化，是企業(yè)戰(zhàn)略在IT層面的落地。

第二，使公司高層領(lǐng)導(dǎo)對企業(yè)信息化工作的極大重視和實質(zhì)性的推動并監(jiān)理良好溝通。

第三，促使企業(yè)的管理人員和IT從業(yè)人員站在全局化和大局觀的角度去看待、評估企業(yè)的信息化現(xiàn)狀和信息化工作的未來，以及IT工作與其他業(yè)務(wù)工作之間的關(guān)系使IT預(yù)算更完整。

第四，對企業(yè)IT建設(shè)工作形成長期性指導(dǎo)，使項目投資減少失誤和提高投資回報。

第五，促進(jìn)企業(yè)對現(xiàn)有問題和IT需求進(jìn)行全方位的診斷與梳理加強(qiáng)了項目管理的控制手段。

第六，明確IT問題及事故的職責(zé)。

第七，完善后期運維及服務(wù)，發(fā)揮IT最大價值。

綜上，IT治理的目的是使IT與組織業(yè)務(wù)有效融合，其出發(fā)點首先是組織的發(fā)展戰(zhàn)略，以組織發(fā)展戰(zhàn)略為起點，遵循組織的風(fēng)險與內(nèi)控體系，制定相應(yīng)的IT建設(shè)運行的管理機(jī)制。IT治理的最終目標(biāo):價值提升與風(fēng)險管控。

1.3 IT治理現(xiàn)狀及實證調(diào)查

目前企業(yè)和政府實施IT項目時，很多只是意識到了業(yè)務(wù)需要，然后決定開始實施IT系統(tǒng)。但是管理者對于IT系統(tǒng)是否能帶來好的績效，實施IT系統(tǒng)有哪些潛在的風(fēng)險？IT系統(tǒng)失敗了會產(chǎn)生什么負(fù)面效果？怎樣審核IT系統(tǒng)的績效？怎樣制定清晰的責(zé)任鏈？怎樣制定IT決策等問題都缺乏全面認(rèn)識。

國外一些研究表明IT治理有助于企業(yè)獲取高IT投資回報，好的IT治理模式可為企業(yè)增加20%以上的利潤。

但是國內(nèi)企業(yè)IT治理普遍欠佳。尤其IT規(guī)劃、IT制度體系和IT評估缺失現(xiàn)象嚴(yán)重。

IT治理是信息系統(tǒng)審計和控制領(lǐng)域中的一個理念。2006年原信息產(chǎn)業(yè)部信息化推進(jìn)司開始推動IT治理工作，還有一些機(jī)構(gòu)、高校都在推動這項工作。近年來，IT治理的國家標(biāo)準(zhǔn)也在制定過程中。

2 IT治理的內(nèi)容、本質(zhì)及關(guān)鍵要素

2.1 IT治理的內(nèi)容

IT治理不同于IT管理。從工作內(nèi)容看，IT管理一般是從具體的操作層面出發(fā)，針對信息系統(tǒng)具體目標(biāo)的實現(xiàn)所采取的行動。而IT治理則是在宏觀層面的戰(zhàn)略角度上，對IT戰(zhàn)略上的過程、結(jié)構(gòu)和聯(lián)系進(jìn)行梳理和監(jiān)控，以確保組織信息系統(tǒng)的運營管理能夠始終沿著正確的方向進(jìn)行。具體如下:

戰(zhàn)略一致（Strategic Alignment）。是如何在IT計劃與組織整體規(guī)劃和業(yè)務(wù)計劃之間建立關(guān)聯(lián)、如何合理的描述并確認(rèn)IT價值，以及如何使IT運作與組織的業(yè)務(wù)運作相一致。

價值交付（Value Delivery）。如何確保信息系統(tǒng)能夠按照戰(zhàn)略要求，實現(xiàn)組織提供承諾的價值，通過降低組織成本、提高業(yè)務(wù)效率等方式使組織受益。

資源管理（Resource Management）。如何對支持IT運作的關(guān)鍵資源進(jìn)行最優(yōu)化投資和最佳管理。對于一個組織的IT運作而言，這些關(guān)鍵資源包括四方面內(nèi)容:應(yīng)用系統(tǒng)、信息、技術(shù)架構(gòu)和人力資源。

風(fēng)險管理（Risk Management）。要求組織的高層管理者必須具備足夠的風(fēng)險意識，能夠充分理解組織面臨的主要風(fēng)險，將風(fēng)險作為組織管理工作的重點考慮問題，并在組織結(jié)構(gòu)設(shè)計中劃分和明確指派風(fēng)險責(zé)任。

績效度量（Performance Measurement）。如何運用平衡計分卡等科學(xué)地對IT運作的戰(zhàn)略目標(biāo)實現(xiàn)程度、IT資源的使用情況、IT過程的執(zhí)行情況以及IT服務(wù)的交付效果進(jìn)行跟蹤和監(jiān)控。

2.2 IT治理的本質(zhì)

通過一套包括正式及非正式的制度來協(xié)調(diào)公司與所有利益相關(guān)者之間的利益關(guān)系，以保證公司決策的科學(xué)化，從而最終維護(hù)公司各方面的利益。

從IT中獲得最大的價值，取決于在IT應(yīng)用上產(chǎn)生期望的行為。期望行為是組織信念和文化的具體體現(xiàn)，它們的確定和頒布不僅基于戰(zhàn)略，而且基于公司的價值綱要、使命綱要、業(yè)務(wù)規(guī)則、約定的行為習(xí)慣以及結(jié)構(gòu)等。在每一家公司里，期望行為都各不相同。

IT治理屬于公司治理的組成部分，是指導(dǎo)和控制IT資源的結(jié)構(gòu)，關(guān)系和過程，通過平衡風(fēng)險和回報獲取IT價值，以實現(xiàn)企業(yè)目標(biāo)。價值實現(xiàn)，風(fēng)險控制是IT治理的兩個核心。

“管理”和“治理”是硬幣的兩面，但是治理卻更具統(tǒng)籌效應(yīng)。IT治理，不是解決如何信息化的問題，而是解決如何管理、監(jiān)控IT的問題；業(yè)務(wù)和IT戰(zhàn)略整合是IT治理的關(guān)鍵。IT治理為IT決策、風(fēng)險控制、監(jiān)控和績效提升提供了指南和標(biāo)準(zhǔn)。

2.3 IT治理的關(guān)鍵要素

IT原則:企業(yè)期望的運行模式是什么。IT如何支持期望的運行模式。如何資助IT。

IT架構(gòu):哪些數(shù)據(jù)必須整合。哪些技術(shù)性能應(yīng)當(dāng)在企業(yè)范圍內(nèi)得到標(biāo)準(zhǔn)化。哪些行為應(yīng)當(dāng)在企業(yè)范圍內(nèi)標(biāo)準(zhǔn)化以支持?jǐn)?shù)據(jù)整合。

IT基礎(chǔ)設(shè)施:哪些共享可以提供服務(wù)?；A(chǔ)設(shè)施服務(wù)定位在哪個層次。如何為服務(wù)定價。什么時候應(yīng)更新服務(wù)。

IT商業(yè)應(yīng)有需求:新業(yè)務(wù)的應(yīng)用市場和業(yè)務(wù)流程機(jī)會是什么。如何評估業(yè)務(wù)應(yīng)用成功與否。如何保證必需的資源以實現(xiàn)項目或業(yè)務(wù)的目標(biāo)。

IT投資和先后次序:對IT投資多少。如何分配IT投資。如何協(xié)調(diào)IT投資與戰(zhàn)略優(yōu)先順序。

綜上，IT治理的關(guān)鍵要素，涵蓋IT組織、IT戰(zhàn)略、IT架構(gòu)、IT基礎(chǔ)設(shè)施、業(yè)務(wù)需求、IT投資、信息安全等。主要確定這些要素或活動中“做什么決策？誰來決策？怎么來決策？如何監(jiān)督和評價決策？”。

圍繞著IT建設(shè)全生命周期過程，構(gòu)建持續(xù)的信息化建設(shè)長效機(jī)制，是IT治理的目標(biāo)。因此，整個IT建設(shè)生命周期都是IT治理的對象，包括IT組織與規(guī)劃、IT建設(shè)與交付、IT運行與維護(hù)、IT評估與優(yōu)化。IT治理的最佳實踐就是基于各個對象治理的成熟的方法論和工具，包括CobiT、ITIL、ISO27001、Prince2等。

3 IT治理框架分析

3.1 國外IT治理框架

關(guān)于IT治理的框架規(guī)范最著名的就是:ITIL（IT基礎(chǔ)架構(gòu)庫）和COBIT（信息及相關(guān)技術(shù)的控制目標(biāo)）了。ITIL框架起源于英國的中央計算機(jī)與電信局（現(xiàn)在為政府商務(wù)辦公室），它向用戶提供了一種可定制的實踐框架，為內(nèi)部用戶提供高質(zhì)量的服務(wù)，涵蓋了服務(wù)支持、軟件支持、計算機(jī)操作以及安全管理等功能。COBIT是由美國IT治理協(xié)會提出的一個IT治理的開放性框架或標(biāo)準(zhǔn)，是基于組織的信息技術(shù)平臺而設(shè)計的，并在IT治理實踐中廣泛使用，它包含了34個信息技術(shù)過程控制，并歸集為四個控制域:IT規(guī)劃和組織（Planning and Organization）、系 統(tǒng) 獲得和實施（Acquisition and Implementation）、交付與支持（Delivery and Support）以及信息系統(tǒng)運行性能監(jiān)控（Monitoring），COBIT目前已成為國際上公認(rèn)的IT管理與控制標(biāo)準(zhǔn)。

3.2 國內(nèi)IT治理框架

結(jié)合國際IT治理框架，根據(jù)我國實際情況，國內(nèi)對于IT治理模型大概包括了三方面內(nèi)容即標(biāo)準(zhǔn)體系、管理體系、治理體系。

標(biāo)準(zhǔn)體系:參照已有的國際標(biāo)準(zhǔn)如信息安全標(biāo)準(zhǔn)、質(zhì)量管理標(biāo)準(zhǔn)等；以及我國正在制定的IT治理標(biāo)準(zhǔn)。

管理體系:組織的架構(gòu)分類，分級別。

治理體系:對于信息系統(tǒng)來說按三個大階段劃分，前期以咨詢、評估為主要手段；中期以監(jiān)理、評測、評價、審計（控制和管理）為主要手段；后期以后評價、審計（控制和管理）、治理為主要手段。

3.3 IT治理框架的三個支柱

企業(yè)架構(gòu)計劃。企業(yè)架構(gòu)造型和管理、戰(zhàn)略性的IT計劃和路線圖、標(biāo)準(zhǔn)管理等。

投資組合合理化。應(yīng)用系統(tǒng)和基礎(chǔ)設(shè)施的合理化、項目-投資分析、合并和收購運營整合。

服務(wù)融合。服務(wù)提供管理、業(yè)務(wù)關(guān)系管理、供應(yīng)商和外包商管理、IT財務(wù)管理。

4 IT治理業(yè)務(wù)研究

4.1 IT治理業(yè)務(wù)分析

IT治理業(yè)務(wù)是覆蓋信息系統(tǒng)全生命周期，按活動階段劃分IT治理業(yè)務(wù):信息系統(tǒng)前期主要包括，可研、立項、設(shè)計；信息系統(tǒng)中期主要包括，實施、測試、驗收，信息系統(tǒng)后期主要包括，后評價、運行維護(hù)、淘汰等。

按控制手段劃分IT治理業(yè)務(wù):第三方系統(tǒng)評估、系統(tǒng)評價、系統(tǒng)測試、IT審計等。

按組織管理工作劃分IT治理業(yè)務(wù):IT組織、IT戰(zhàn)略、IT架構(gòu)、IT基礎(chǔ)設(shè)施、業(yè)務(wù)需求、IT投資、信息安全等。

4.2 IT治理業(yè)務(wù)開展問題研究

誰來做，哪個組織實體在IT治理過程中起作用？業(yè)務(wù)單位、公司、架構(gòu)服務(wù)。

做什么，IT治理流程、決策、角色和職責(zé)是什么？資源分配、初始的優(yōu)先級、IT預(yù)算。

如何做，IT治理如何被執(zhí)行？框架定義、試點、實施、指導(dǎo)。

綜上，IT治理就是保證IT系統(tǒng)能夠處于正確的軌道之上，IT系統(tǒng)能夠和業(yè)務(wù)系統(tǒng)有效地契合，并為企業(yè)創(chuàng)造持續(xù)的卓越績效。開展IT治理就要確定誰來做，認(rèn)定做什么，決定如何做，最后按照整體規(guī)劃，分步實施，關(guān)注試點，持續(xù)優(yōu)化的方式來實施。而且，隨著IT建設(shè)的一些問題逐漸的暴露出來，作為企業(yè)的管理者已經(jīng)親身體驗了這樣或那樣的問題，實施IT治理非常重要。

［1］孟秀轉(zhuǎn)，郝曉玲，于秀艷，孫強(qiáng).IT治理：標(biāo)準(zhǔn)、框架與案例分析［M］.北京：清華大學(xué)出版社，2011.

［2］韓玲，郭宗文.基于IT治理的信息系統(tǒng)內(nèi)部控制對策研究［R］.第十屆全國會計信息化年會論文集，2011.

Analysisand Research on IT governance

Yin Kesha
（Henan Zhongdao Electronic Information Engineering SupervisionConsulting Co.，Ltd.，Zhengzhou Henan 450000）

ITgovernance is the productof the rapid developmentof information system construction，and IT governance is also an importantmeans of information construction supervision.This paper analyzes the current situation and the necessity of IT governance，and from the understanding of IT governance，combined with the timeof ITgovernance，carriesoutapreliminary discussion on the developmentof ITgovernance in china.

ITgovernance；ManagementResearch；BusinessDiscussion

D630

A

1671-0037（2015）12-70-3

2015-10-16

印克沙（1953.3-），男，本科，高級工程師，研究方向：信息工程管理。

·信息資源管理·