IT治理标准(精选十篇)
IT治理标准(精选十篇)
IT治理标准 篇1
为了促进组织有效、高效、合理地利用信息技术,需要在组织的信息化规划、建设、运营和维护过程中开展信息技术相关的治理活动,从而实现战略一致、风险可控、运营合规和绩效提升的目标。
开展信息技术治理可以促进组织的战略与利益相关者保持一致,加强利益相关者与组织的透明度;组织可以整合信息安全、风险管理、业务连续性等相关体系,并通过相应的流程和实践实现降低风险的需求;可以保障组织在信息技术运营过程中符合国际、国家相关法律法规要求,避免合规风险,促进组织通过对信息技术的利用,实现组织的战略目标;可以通过建立信息技术绩效评价体系,周期性的评价组织信息技术利用的有效性,以信息技术的薄弱环节为重点提升组织信息技术的绩效。
2 IT治理的发展历程
IT治理的发展历程见图1。
从国际上看,政府和相关研究组织对于IT治理的发展起到了很大的作用,通过政府对行业的监管促进IT治理体系的逐步清晰,最终形成国际标准。2008 年,ISO和IEC共同发布了第一个IT治理国际标准ISO/IEC 38500:2008《信息技术IT治理》,标志着IT治理从概念模糊的探讨阶段进入了正确认识的发展阶段。之后又陆续发布了ISO/IEC 38501( 实施指南) 和ISO/IEC 38502( 框架和模型)。
从中国来看,金融行业是推动IT治理进程的主要力量,分别从证券和银行监管的角度提出了具体的要求,进而通过标准化组织的努力完成了IT治理国家标准的研制。2016 年,IT治理系列国家标准正式报批,系列标准包括了通用要求、实施指南、绩效评价、审计导则、数据治理五个部分,标志着中国从标准的层面上构建了IT治理体系。
3 IT治理国家标准的主要内容
2012 年立项的《信息技术服务治理》国家标准分为四个部分( 见图2),现阶段已经进入报批状态,预计2016 年8 月正式发布。
● 《第1 部分:通用要求》提出了IT治理的指导原则,标准在ISO/IEC 38500 模型的基础上规定了实施IT治理的原则,以及对信息技术顶层设计、管理体系和资源的治理要求。
● 《第2 部分:实施指南》分析了实施IT治理的环境因素,规定了IT治理的实施框架、实施过程,并明确顶层设计治理、管理体系治理和资源治理的实施要求。
● 《第3 部分:绩效评价》通过采用平衡计分卡的思想,给出了IT治理绩效评价模型、评价要素模型和评价方法,规定了IT绩效指标体系的建立程序。
● 《第4 部分:审计导则》规定了信息技术审计总则、审计组织管理、审计人员、审计流程、审计报告、审计适用对象和范围等内容。
根据实际需要,2015 年底中国IT治理国家标准工作组又立项了《信息技术服务治理第5 部分:数据治理规范》,旨在规范大数据环境下的数据治理活动。
4 国际IT治理标准的主要内容
ISO和IEC在2008 年发布了ISO/IEC 38500 :2008信息技术治理之后陆续发布了几项标准,同时正在推进几项标准的研制,其中:
● ISO/IEC 38500 :2008《信息技术IT治理》,给出了IT治理的六个原则( 职责、策略、获取、绩效、合规、人员行为) 和治理模型,并通过引入评估、指导、监督三个主要治理任务与治理原则构成6×3 的治理原则实施矩阵;ISO/IEC 38500 :2008 中给出了IT治理模型,模型中描述了治理主体需要结合外部环境的要求,在评估现状后进行战略决策指导组织对IT的利用,同时监控对IT利用的绩效( 见图3)。
● ISO/IEC 38501 :2012《信息技术IT治理实施指南》,此标准根据治理模型设计了四个主要的实施过程,并通过环境、范围、架构、角色、职责、策略、流程等内容提出了IT治理实施框架,进一步规范了IT治理实施过程。
● ISO/IEC 38502 :2012 《信息技术IT治理框架和模型》,此标准将治理原则、IT业务计划、IT管理体系、IT利用过程、IT利用的策略、风险管理等关键要素构成整体,形成IT治理的框架。
● ISO/IEC 38504《基于原则IT治理架构》( 研制中),此标准以技术报告的形式提出了基于原则的方法论,规定了原则中需要包含的信息项,旨在为其他标准应用基于原则的方法论提供指导。
● ISO/IEC 38505-1《数据治理》( 研制中),此标准将ISO/IEC 38500 :2008 的核心思想和模型应用在数据的场景下,在规范数据利用过程( 采集、存储、报告、决策、发布、废弃) 的同时,从价值、风险和约束三个视角阐述数据治理应关注的主要内容,同时构建数据利用过程和主要内容之间3×6 的关系矩阵。
● ISO/IEC 38505-2《数据治理对管理的影响》( 研制中),此标准以研究报告的形式深化了数据治理国际标准第一部分的工作。通过进一步分析,以数据治理的视角深入到数据管理,为董事会和高层管理者提供监督和评估的具体内容。
5 国家标准和国际标准的区别和关系
IT治理国际标准以ISO/IEC 38500:2008 为核心,提出了IT治理的原则、模型、主要任务,并通过其他系列标准给出了IT治理的实施指南和主要框架。ISO/IEC 38501 :2012 给出的IT治理实施指南和ISO/IEC 38502 :2012 给出的IT治理框架和模型共同对IT治理的实施过程给予指导。而在研制中的ISO/IEC38504 提出基于原则IT治理架构,旨在建立基于原则的方法论为ISO/IEC 38500 :2008 提供理论支持,并对其他标准给予指导。数据治理标准建议由中国国家成员体首次提出,并于2015 年巴西会议上成功立项。
从整体上来看,IT治理国际标准以ISO/IEC38500 :2008 为出发点,每个标准延续其主体思想,在理论层面上为IT治理提供了指导。从实践上来看,IT治理系列国际标准需要经过进一步的深化才能应用到具体实践中。从使用对象来看,IT治理系列国际标准主要针对董事会和高层管理者,而IT治理是个系统工程,需要组织各层级人员的参与,国际标准并未给出具体的指导。
IT治理国家标准以《第1 部分:通用要求》提出的IT治理框架为核心,将IT治理框架分为顶层设计、管理体系和资源三个层级(16 个治理域),从而将IT管理包含在IT治理中,为组织实施IT治理提供了清晰的架构。实施指南标准通过统筹规划、构建和运行、监督和评估、改进和优化四个过程分别对通用要求提出的治理域提出了进一步的实施要求。绩效评价标准通过构建评价模型,从价值创建、客户服务、过程优化、创新发展四个维度来评价通用要求提出的IT治理域。审计导则不仅对IT审计组织、IT审计人员、内部控制审计提出了要求,而且还针对16 个治理域从专项审计的视角提出了要求。
从整体上来看,IT治理国家标准以通用要求为基础,从应用的视角为组织的IT治理提供了可实施的指导。从实践上来看,IT治理系列国家标准构成了从IT治理“应该做什么”、“怎么做”、“做的好不好”、“做的对不对”四个方面构建了中国IT治理标准框架,为组织实施IT治理提供了实践的指引。从使用对象来看,IT治理域包含组织的各个层级,治理和管理融合的思想为实施IT治理的各层相关者提供了参考。
综上所述,IT治理国际标准和国家标准的主要区别在于:
(1) 原则不同
ISO/IEC 38500标准定义了IT治理定义六个原则,并定义了IT治理的主要活动,即:评估、指导和监督,通过原则和活动的交叉形成了IT治理的任务指南。
国家标准在国内相关研究实践的基础上,完善和定义了信息技术治理的“全局统筹、价值引导、机制保障、创新发展、文化助推”五个原则, 并引入了ISO/IEC 38500 中的信息技术治理模型,并在此基础上完善形成了信息技术的治理框架。
(2) 关注点不一样
ISO/IEC 38500 标准的关注点在信息技术治理有关“治”的层面,明确治理活动与治理原则的交叉,即形成了信息技术治理的核心关注点。
国家标准标准的关注点在两个方面:一方面是治理本身的要求和任务,另一方面明确了治理对顶层设计、管理体系和资源利用的治理要求。
(3) 体系不同
国家标准预研过程中明确立项一个标准族,即在《信息技术服务治理》框架下的《 第1 部分:通用要求》、《第2 部分:实施指南》、《第3 部分:绩效指标体系》和《第4 部分:审计导则》。该标准族构建了完善严谨而又开放的标准体系,为信息技术治理的落地和产业化奠定了坚实的基础。
组织在实施IT治理过程中可以以国际标准为理论依据,以国家标准为实践依据。国际标准可以帮助组织的高层管理者深刻理解IT治理的思想,从理论层面上分析和建立组织IT治理的原则和模型,同时需要以IT治理国家标准为指导,建立适合组织自身的IT治理框架,并通过总体要求、实施方法、绩效评价、审计保障四个方面进一步推进IT治理的实践过程。国际和国家标准无法直接对组织的实践给予方案级的指导,但是组织可以通过根据对国际标准的理解和国家标准的要求构建符合组织IT战略和业务需要的IT治理体系。
6 IT治理未来的发展方向
(1) 从IT治理的国际标准来看, 继ISO/IEC38500 :2008 之后又推出了系列标准,不过这些标准都是基于理论层面。而2013 年发布的ISO/IEC27014 :2013( 信息安全治理) 显示出IT治理相关国际标准向管理域深化,尤其ISO/IEC JCT1/SC40/WG1 在2015 年爱尔兰会议上提出的多服务商治理更显示出国际上将IT管理纳入IT治理标准体系框架的需求。国际标准组织在建立IT治理标准基本框架后,必然会逐步以IT治理的视角来审视IT管理活动,基于IT治理基本原则建立更多深入IT管理的治理标准,从而构建更全面的IT治理标准体系框架。
(2) 从IT治理的国家标准来看,现有的标准族以IT治理通用要求为基础,从实践的视角构建了完善的标准框架。而组织在实施IT治理的过程中,不仅要参照国家标准,还需要更深入的指导。不同行业因其业务特点的差异,也需要差异化的IT治理框架。因此,IT治理国家标准需要进一步开发行业应用和具体的操作指南,以促进标准对产业和行业的指导,提升中国组织的IT治理水平。
(3) 从IT治理领域来看,未来会在以下几个方面有所提升:
标准与实践的融合:越来越多的组织认识到推进IT治理的重要性,更多的IT治理实践也会验证IT治理标准的适用性和可行性,标准和实践必将相互促进,循环发展。
治理和管理的融合:IT治理虽然是对组织高层管理者提出的要求,但在推进IT治理的过程中需要组织各个层级的共同努力,通过IT治理带动IT管理的提升。
IT治理与新技术的融合:IT行业的迅速发展为IT治理提出了新的挑战,云计算、大数据、移动互联网、物联网的出现要求进一步拓展IT治理的思想,将新技术纳入到IT治理体系框架中,从而提升IT治理对组织的促进作用。
IT治理与政策的融合:随着国家治理的进一步深化,IT治理已经成为行业和监管机构的抓手,监管机构将通过对IT治理提出监管要求或行业规范,从而提升行业和产业的IT治理水平。
参考文献
[1]中国电子技术标准化研究所.GB/T 24405.1-2009信息技术服务管理第1部分:规范[S].北京:国家质量监督检验检疫总局,2009.
[2]ISO/IEC 38500:2015 Information TechnologyGovernance of IT for the organization[S/OL].[2016-03-01].http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumb er=62816&commid=45020,2015.
[3]ISO/IEC TS 38501:2015 Information technologyCorporate Governance of IT-Corporate Governance of IT Implementation Guide[S/OL].[2016-03-01].http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumb er=45263&commid=45020,2015.
IT治理标准 篇2
一、IT治理与IT管理的关系
多数学者认为IT治理与IT管理的关系,是指导关系,即先与后,上与下的关系。Weill指出,治理是决定由谁来进行决策,而管理则是制定和执行这些决策的过程。他举例说,治理决定了由谁来掌握企业在IT投资额度上的决策权,管理则决定某年投入的实际资金数的资金所投向的范围。他曾说到,IT治理是一系列有关谁做出IT管理决策的决策。而Weill有关IT治理与IT管理的区别的思想,Boynton在1992就提出过。Boynton指出,IT治理并不关注IT资源的位置和分布本身,而是IT资源的位置、分布、IT管理责任体系、IT控制在应用和贯彻中,给组织所带来的本质的影响。Starre等在1998年也提出,治理是创造一个管理者能有效工作的环境,而管理是做出运营方面的决策。Sohal在2002年指出,治理是回答哪些事情必须要做,管理是决定这些事情怎么做。美国IT治理研究所认为IT治理是公司治理的一部分,是董事会在确定组织的战略时要考虑的问题,IT治理要做到有效果,透明和责任明确。与之相对应地,IT管理是公司管理中的一部分,是各级管理者在执行组织战略时要做到的部分,IT管理更强调效率。Wessels和van Loggerenberg在2006年也指出,由于IT管理在组织中的不同部门中都存在,这些业务单元没有标准或一致的功能,如IT支出或IT战略等,IT治理就用于对这些IT管理提供集中的规划。Sambamurthy等也指出,IT治理与IT管理的区别在于,IT治理强调构建良好的管理环境,而IT管理强调对IT资源的运营。Brown等也认为,IT治理通过定义明确的角色和责任,对IT管理中各方的进行影响和监督。同时,IT治理通过确定谁批准IT战略、谁批准IT标准、谁对项目监管负有责任等问题,对IT管理提供支持。极端的例子是IT外包,这时IT治理与IT管理是相对分离的,组织如果没有IT治理的框架和机制,就无法对IT管理进行有效控制。
还有学者将IT治理与IT管理的两者的关系从其他的维度来分析,如Peterson认为IT管理关注IT服务和产品的有效供给,以及对IT操作的管理。而IT治理关注于如何使IT能满足组织及顾客的当前及长期需求,他将IT治理与IT管理的关系用图形表示,认为两者的差异在商业导向性和时间导向性两个维度上,IT治理更强调外部的商业导向性和远期规划性。张运生等从7个方面进行了对T治理与IT管理的区别进行了分析,他们认为IlT治理与IT管理最大的区别在于IT管理的目标是为了实现企业运营效率的最大化,因此解决的是效率问题,侧重于技术的应用。而IT治理的目标是为了实现各利益相关者利益的均衡。因此其解决的不只是效率问题,而更加关注公平问题,不是技术的简单应用,而在于信息技术方面的制度建设,是对新的利益格局的平衡。
二、IT治理与IT管理的区别
本文认为,IT治理与IT管理的区别是明确的,类似于公司治理与公司管理的区别。在公司治理中,企业的股东因提供资本而拥有企业的股权,他们的权力是选举董事会作为他们在企业决策中的代理人,董事会是股东的代理人。治理是股东及其代理人对企业的经理行为进行监督,进而形成的一系列制度安排。而管理是与活动有关,管理是达到目标的过程,是企业管理层的工作,其主要关心的是在某一具体的时间和既定的组织内实现具体的日标。治理是战略导向,管理是任务导向。管理是经理们为实现企业目标的所作所为,而治理股东及其代理人的制度排,对经理进行激励和约束,避免他们为了一己私利,置股东利益于不顾,从而保证股东的利益。
对于IT而言,由于信息技术作为实现企业目标的一个集成部分,一方面解决办法越来越复杂,如外包、第三方合同、网络化等,另一方面企业对IT的依赖程度也越来越高,其投资和收益、机遇和风险都大大增加。这些问题已经对企业的生存和发展产生重大影响,也引起了投资人或利益相关者的重视。由于IT治理的复杂性和专业性,股东们对IT的技术或管理层面了解不多,他们必须依赖企业的底层来提供决策和评估活动所需要的信息,整个过程存在着严重的信息不对称。股东对经理们的行为存在监督困难,因此治理成为企业成功的一个关键因素。那么,如何激励经理们尽最大努力让IT为企业带来收益,是股东要考虑的问题,IT治理就应是股东们设计的相关IT的监督和激励制度。IT治理一方面使得股东和董事会了解和明确有关IT的信息,如IT的目标 新技术的机遇和风险、IT的关键过程与核心竞争力等,另一方面也能通过
设计相关激励和约束制度,如制定明确的IT发展战略并将其与企业发展战略相统一,从而分配责任、定义操作、衡量业绩、管理风险等。而IT管理的职责是明确责任和控制,制定全面的控制框架,将战略、策略、目标等由上至下落实到企业。两者在执行者、目标、主要任务、地位和运行基础上都不同,其本质是创造管理环境与实施管理的区别,IT治理是基础,IT管理是结果。
IT治理的原则可向下沿用,这也是其重要特点。由于IT治理的核心是激励,IT治理存在的原因是信息不对称和利益不相容,那么,只要存在信息不对称和对方需要激励时,就可以运用IT治理的原则,即高层管理者对下属也可以使用IT治理的部分原则,而不仅限于由股东及董事会对企业管理层使用。这种情况类似于组织对员工的激励,但也有区别。张维迎指出,所有权是最基本的激励方法。而在组织中的各层级之间运用IT治理原则时,除非股东及董事会授权,一般是不会有所有权的转移。这种向下沿用也可理解为将股东及董事会确定的IT治理原则细化,结合组织各部门的特点加以贯彻。这时,同一层级中IT治理与IT管理并存,但两者并不能相互替代。如同在国家的各级政府中都存在有立法机关(各级人大及其常务委员会)和执法机关(各级公安部门),不能让执法机关来立法,因为他们有可能站在自己的立场上,从方便执法的角度,而不是更好地维护社会的公平与正义的角度来设计法律条文,这就可能与整个国家或社会的利益相悖,或者至少不能最大化社会利益。IT治理也是一样,其出发点和目标与IT管理并不相同,即使与IT管理同属某一层级,也不应交给IT管理部门来设计IT治理原则。
当然,IT治理与IT管理也是相互联系的,IT治理是IT管理的基础,IT管理对IT治理有促进作用,而两者都与组织的大环境相关,也都需要组织的高层加以重视和推动。这些联系也是许多学者对IT治理和IT管理不能作出有效区分的重要原因。
三、IT治理是公司治理的一部分
IT治理是公司治理的一部分,IT治理应由董事会设计并执行。比如,由于信息的不对称性,董事会一般都会对IT预算的不断增长深感不安,却不知道预算究竟用在了哪些地方,也不知道预算多一些会怎样,少一些又会怎样;或者明知IT预算有浪费,却无法分清这是由于管理层不顾项目自身的成本收益提出了过分的IT需求,还是由于IT自身管理不善而产生的。IT的成本越来越高,但管理层无法说清IT的收益;对
IT投资的无效部分,管理层也无法说清是IT需求有问题还是IT自身管理的问题,IT黑洞也就这样产生了,所以,董事会对管理层的监控,就应包括他们对IT活动的决策。另一方面,要求管理层设计IT治理框架,实际是让管理层既当裁判又当运动员,何建柱等曾指出,由于监管的困难及委托代理问题的存在,当管理层预期自身利益或职权管治的基础受到损害的时候,管理层必然阻挠组织利益最优决策,并施加压力影响信息化进程和组织变革的进行,维护当前的组织架构及治理结构。即信息化可能导致出现层级制度更森严,信息更加集中于组织架构顶层,员工决策参与度下降等情况。由于管理层的利益与股东的利益并不必然一致,让管理层设计IT治理框架不能有效保护股东利益。
公司治理包括IT治理,良好的IT治理能提高公司治理的水平。公司治理中的激励与约束机制,也应包括对IT相关人员的激励和约束;公司治理确定的企业竞争战略,也应包括IT的发展战略及与其他资产协同的机制;公司治理确定的风险控制和价值创造模式,也应包括对IT的业绩衡量和评价框架。IT治理是在公司治理整体框架下的一个组成部分,它不仅在协助企业业务开展和提高企业竞争力方面发挥重要作用,在协助人力资源治理、金融治理、实物资产治理、知识产权治理、关系资产治理等方面发挥作用,也通过提高公司的信息质量,加强公司治理环节的信息披露和内部控制,为企业的利益所有者(股东)提供更多信息,最终将提高公司治理水平。缺乏IT治理的公司治理是不完整和不科学的。
IT治理标准 篇3
课题组组长:史可山,人行南平市中心支行行长;
课题组成员:陈崇跃,徐克勋,朱燕涛,张杏英;
执笔:陈崇跃,朱燕涛。
摘要:随着信息科技的发展,人民银行系统对IT的依存度日增,信息系统风险也接踵而至,内部审计面临新的挑战,IT治理势在必行。为此,本课题组在分析了人行传统的内审已不能适应IT时代审计使命要求的基础上,提出了改革人行内部审计并以此深化央行IT治理的若干建议。
关键词:中央银行;内部审计;IT治理
中图分类号:F830文献标识码:A文章编号:1006-1428(2007)12-0088-02
随着人民银行各项业务与管理活动对IT依存度的日益提高,IT风险渐露端倪,人民银行内审从体制、手段和方式等均面临与IT发展程度相对应的新挑战,央行内审呼唤与IT治理相适应的改革。
一、加强人民银行IT审计促进央行IT治理的必要性。
IT治理大意指合理利用IT资源与适当管理IT相关风险的一种管理模式与机制。IT治理最重要的任务就是保证信息技术与各项业务的有效结合,促进组织收益最大化与风险的最有效控制。如同企业(公司)治理包括了内控管理及其内部审计等制度安排,“IT治理”也涵盖IT审计、信息安全审计、IT服务管理等内容。“IT审计”既是IT治理的组成部分,也是IT治理的促进因素。“IT审计”不仅对信息系统(IS)及其管理制度,还包括对内审自身的IT化建设行使“监督、评价与咨询”职责。
人民银行具有类似商业银行等现代企业的组织架构与业务体系,在管理上同样适用和更需引入“企业治理”与“IT治理”机制。人民银行在组织架构上设立了分支行机构,在业务上也有“存贷款”、“中间业务”、“黄金外汇储备与买卖”等经营性品种。因此人民银行的“业务”系统及其“应用系统”也更为庞大与复杂,日常运营越来越依赖于信息技术的支撑。在这种背景下,人民银行信息系统运行的有效性与潜藏的风险更加不容忽视,建立健全人民银行系统的IT治理及其IT内审机制十分迫切。
二、人民银行系统IT治理与IT审计的现状
在IT治理方面,人民银行表现明显滞后:一是尚未编制出一套适应我国国情的央行IT治理蓝图或规划;二是尚未建立与人民银行组织结构和业务体系及IT应用水平相适应的IT治理组织框架和制度体系;三是尚未建设和培育一支既掌握IT知识又谙熟央行业务的IT治理复合型或“两栖”的人才队伍;四是作为IT治理重要组成部分的IT审计、IT风险控制等监督与保障机制尚不成熟和健全,影响了人民银行IT治理的深化。
在IT审计方面,人民银行信息系统仍没有突破传统内审的窠臼。具体问题与原因:
一是IT审计的理论缺失。IT审计是审计理论的新兴领域,当前有关它的研究尚不够深入,阐述与定义尚不统一,也给IT审计制度的建设和IT审计的实践带来一定程度的混乱。
二是IT审计的制度缺失。人民银行内审司虽制定了《计算机信息系统监督检查工作暂行规定》、《计算机信息系统内部审计规程》等制度,但不是真正意义上的“IT审计”,仅处于信息系统(IS)审计层次,属于一般内控操作制度范畴。
三是IT审计的标准缺失。目前却仍未规划与制定出一套能与国际接轨的抑或有中国特色的IT审计标准与具体行业准则,使目前的IT审计没有明确的方向与标准的轨道。
四是IT审计的队伍缺失。首先,在组织体系上IT审计人员配置不足与结构不合理。其次,人员综合素质不高,既掌握IT知识又熟悉央行业务、懂得金融法律的人力资源十分匮乏。第三,未建立IT审计复合型人才培育机制,使现有人员IT审计素质不能得到应有的提高。
五是IT审计的手段缺失。即IT审计本身缺少信息技术硬件与软件的武装与支持。首先是内审部门计算机及其网络工具与设施配备不足,使目前所开展的IT审计仍停留于现场的、被动的、事后的传统审计形式。其次是业务审计的IT辅助审计应用软件缺乏,内审人员面对全面“数字化”的审计对象,只能望洋兴叹。第三是当前的业务应用系统在设计、开发之初就未考虑接受审计因素,内审人员实施IT审计时没有“合法”接口与取证手段。这些均极大地困扰与制约着IT审计的开展与发展。
三、改革央行内审深化IT治理的政策建议
1、加强IT审计及IT治理的理论研究,为新形势下的央行内审改革提供理论基础。2004年,人行内审司同ITGov(中国IT治理研究中心)合作开展了“IT治理与IS审计模型研究”,对国际通用的IT治理框架和信息系统审计标准“信息与相关技术控制目标”(COBIT)进行了研究,取得初步成果。但是,近年来类似的内审科研仍然偏少,成果不多。当前,国外在这方面的研究与探索均较深入,硕果累累,可以很好借鉴。
2、改革传统的人行内审体制,架构与IT治理相适应的新型内审模式。IT审计的目标是通过实施审计,维护、促进或增强人民银行计算机信息系统合规性、安全性、可靠性、有效性。人民银行已构建了强大的信息传输网络,作为内部审计主要对象的央行业务系统实现了数据大集中,人民银行分支机构业务运营与管理的内涵与外延也发生重大变化,不同层次的央行机构IS更存在鲜明的差异。这就要求央行对传统的内部审计架构进行新的设计,如构建“重心上移、机构下派”的内审新体系。借鉴西方中央银行组织治理模式并与央行IT治理机制相适应,在强调内部审计独立性的同时,注意与IS开发、应用部门的协调一致。采用更灵活的内审方式,如引入市场经济国家“内审社会化”或“内审外包”做法,对人民银行的部分IT审计项目可委托有资质的社会组织开展;提升手段,改革传统的现场审计与人力审计模式,利用计算机网络系统和审计辅助系统实施以“信息技术对抗信息技术”的“非现场审计”和“机器审计”,等等。
3、树立现代内部审计理念,实现内审由合规性监督向评价与咨询服务转变。审计的目的是确保整个组织活动的有效性、效率性、合规性、安全性,使组织“价值增值”。内审由于IT手段的利用及对IS的审计,使内审目标的实现更加可能。因此,人民银行的IT审计不应停滞在查错纠弊的监督阶段,而应要求审计人员树立服务意识,为被审对象提供咨询服务,当好参谋。
4、加快编制我国央行IT治理规划,建立适应人民银行体制的IT审计标准体系和框架。“信息系统审计和控制联合会”(ISACA)已制定了“面向过程的信息系统审计和评价的标准”(COBIT),国际内部审计师协会(IIA)将其作为国际通用的IT审计标准。作为我国央行的人民银行内审也应积极借鉴标准,制定一套适合我国央行特色的IT审计标准与规范,为IT审计开展评价、咨询等活动提供尺度与准绳。
5、开展对新系统开发的审计,实现IS事后审计向全过程审计转变。即在新系统的立项、开发、测试和验收阶段,内审人员就参与其中,对程序开发到应用的全过程从审计的角度进行审慎监督;对系统的审计由事后转变为全过程监督。同时各业务部门在正式培训、推广使用新系统时,应邀请同级审计部门参加培训学习。对新系统开发审计时,应对新系统的今后可审计操作性提出要求,防止系统出现“拒审”等情况的发生。
6、加强IT审计队伍建设,提高央行内审从业人员综合素质。一是吸收计算机专业人员,把他们培养成审计人员;二是对现有审计人员开展IT知识培训和继续教育,培养成IT审计师;三是建立激励机制,推行IT审计师持证上岗制度,鼓励内审人员学习和钻研计算机知识,考取国家计算机资格等级证书,有条件的通过国际IT审计师资格认证。
(七)加强计算机辅助审计软件开发与应用,推进IT审计信息化建设。
参考文献:
[1]《内部审计思想》 (美)Andrew D.Bailey, (美)Audrey A.Gramling, (美)Sridnar Ramamoorti著;王光远等译,中国时代经济出版社,2006;1
[2]仲安妮.IT审计直面差距找准定位促跨跃.金融时报,2006-8-22
[3]人民银行南京分行内审课题组.我国央行内部审计风险管理策略,江苏内部审计
[4]韩国强.中国人民银行信息系统审计探索.金融时报,2006-03-14
银行IT治理 篇4
当前, 银行信息化已经进入一个关键的阶段, IT技术的快速发展, 为银行带来新的机遇与挑战。具体表现在:
一是银行的经营与管理已经完全建立在IT上;
二是IT的能力, 信息系统的可靠与高效运行, 信息的安全, 信息的共享、挖掘与利用, 与银行的经营状况有密切关系;
三是不断涌现的IT新技术, 包括基于网络的服务、移动技术, 为银行带来新市场、新客户。如何让银行转型为信息化银行, 为新老客户提供新服务渠道、新产品, 成为各银行发展面临的新挑战, 谁能抓住新机遇, 谁就是明天的“Google”、“苹果”、“腾讯”;
四是在新机遇面前, 谁不能跟上IT的新潮流, 谁就是明天的“柯达”、“黑莓”, 不管今天如何辉煌;
五是IT需要巨大投入, 但银行的董事会、管理层未必都能真正做到对IT有深刻的理解。一些IT战略决策一旦有偏差, 带来的是几年的岁月蹉跎与成千上万人的资源消耗, 还有算不出来的资金开销, 却没能带来理想的效果;
六是IT风险巨大, 如何控制IT风险, 发挥IT效益, 是每个银行面临的一个新问题。
以上问题不但银行业要面对, 而且几乎存在所有与IT相关的行业里。不仅中国存在, 国外比中国更早意识到其重要性。针对上述问题, IT治理的概念应运而生。
一、IT治理的概念
要了解IT治理的概念, 首先要知道什么是公司治理、公司治理与IT治理的关系、治理与管理的区别。
(一) 公司治理
所谓公司治理, 指的是制定一种架构, 明确与平衡公司诸多利益相关者, 包括各大小股东、董事会、公司管理层, 以及公司员工的责、权、利关系, 并建立起相应监督与激励机制, 提高公司管理者的战略决策能力, 使之能充分利用资本供给者提供的资产及公司可利用的各种资源, 为公司顾客与潜在客户贡献和创造他们最为关注的、核心的、根本的价值, 使公司能持续发展。同时, 通过公司治理可以为股东创造最大的投资回报, 并使公司承担起相关社会责任。
(二) 公司治理与IT治理
IT治理是公司治理在信息时代的重要发展, IT治理是公司治理的一部分。IT治理指的是企业采用有效的机制, 确保IT的发展方向与企业的业务目标一致, 提升企业IT的核心竞争力。通过治理, 充分利用IT资源, 掌控IT风险, 发挥IT的最大作用, 推动业务发展, 使企业经营管理效益最大化, 实现企业的战略目标。
(三) 治理与管理
治理和管理是两个不同的概念, 它们之间的区别在于:治理是制定高阶的规则并决定什么是高阶规则, 最根本的是要决定由谁来进行哪些决策与决策的流程;管理就是在高阶规则框架下制定具体实施规则, 并按照所有的规则进行具体决策。下面, 针对中国银行业, 就IT治理相关问题进行研讨。
二、IT治理的架构
在当前的社会发展历史时期, IT无疑是银行最重要的核心竞争力, 而IT资源无疑也是银行的战略资源。对于战略资源, 银行最高管理层 (董事会) 的直接监管至关重要。另外, 当前的信息化过程已经演变成为流程的重组, 流程的改变会引起权力与利益的再分配。这势必触及一些部门和个人的利益, 势必遭到他们的反对, 并且反对是出于种种冠冕堂皇的理由。在这种情况下的指导和协调工作, 已经远远超出信息化部门的职责和权力范围。必须在治理层面建立起强有力的IT治理架构, 才能有效地推进IT的发展, 实现业务战略目标。IT治理组织架构主要包括以下几个部分。
(一) IT治理委员会
IT治理的架构要求在董事会下设立一个由相关董事、高级管理层、IT部门和主要业务部门的代表组成的IT治理委员会——信息科技管理委员会, 具体承担董事会在IT治理方面的工作。同时, 委员会为董事会和高管层需要做IT决策时提供支持, 使投资巨大的IT项目处于可控状态, 使银行通过其IT能力获得更大的竞争优势。
信息技术管理委员会的职责包括:
一是遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准, 落实各监管部门相关监管要求, 审查批准信息化战略, 确保其与银行战略和重大业务策略相一致。
二是确保信息化治理工作所需资源的充分配备与合理配置, 这些资源主要包括资金资源与人力资源;确保内部审计部门进行独立有效的信息技术风险管理审计, 对审计报告进行确认并落实整改。
三是在建立良好的公司治理的基础上进行信息化治理, 形成分工合理、职责明确、相互制衡、报告关系清晰的信息化治理组织结构, 并负责监督各项职责的落实。
四是定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息化管理的整体状况;评估信息技术及其风险管理工作的总体效果和效率, 掌握主要的信息技术风险, 确定可接受的风险级别, 确保相关风险能够被识别、计量、监测和控制。
五是配合监管部门做好信息科技风险监督检查工作, 及时向监管部门报告本机构发生的重大信息技术事故和突发事件, 每年审阅并向监管部门报送信息化治理的年度报告, 并按照监管意见进行整改。
六是加强信息化专业队伍的建设, 建立人才激励机制;确保本法人机构涉及的客户信息、账务信息以及产品信息等核心信息资产的安全, 审理重大的IT工程与研发项目, 履行信息化治理其他相关工作。
(二) CIO
IT治理要求银行设立首席信息官 (CIO) , 作为银行高管, 参加信息科技委员会, 直接参与IT决策。首席信息官的职责包括:
一是确定信息科技战略, 尤其是信息系统开发战略, 以及符合本银行的总体业务战略和信息科技风险管理策略, 直接参与本银行与信息科技运用有关的业务发展决策。
二是负责建立一个切实有效的信息科技部门, 承担本银行的信息科技职责, 确保履行:信息科技预算和支出, 信息科技策略、标准和流程, 信息科技内部控制、专业化研发, 信息科技项目发起和管理, 信息系统和信息科技基础设施的运行、维护和升级, 信息安全管理, 灾难恢复计划, 信息科技外包和信息系统退出等职责。
三是确保信息科技风险管理的有效性, 并使有关管理措施落实到相关的每一个内设机构和分支机构。
四是组织专业培训, 提高人才队伍的专业技能, 履行信息科技风险管理其他相关工作。
(三) 其他IT治理架构
银行应该设立IT风险管理架构, 负责协调制定有关信息科技风险管理策略, 尤其在涉及信息安全、业务连续性计划和合规性风险等方面, 为业务部门和信息科技部门提供建议及相关合规性信息, 实施持续信息科技风险评估, 跟踪整改意见的落实, 监控信息安全威胁和不合规事件的发生。
银行还应该设立IT审计架构, 负责制订信息科技审计制度和信息科技审计计划, 对信息科技整个生命周期和重大事件实施审计。
三、IT治理的范围与内容
通常认为, IT治理的范围包括:IT战略、IT组织、IT系统架构、IT基础设施、IT风险、信息安全、IT运营等方面。其中IT运营包含IT决策流程、IT项目管理、IT运维管理、IT采购管理、IT绩效管理等。
针对上述IT治理范围, 对于中国的银行业, IT治理的具体内容有哪些呢?当前的中国银行业, IT建设从上世纪70年代末开始, 经过了30多年的发展, 已经取得了非常大的成绩。银行的对外业务与服务、内部管理, 已经离不开银行的IT。银行IT已经能基本满足银行的日常经营管理需要。但与此对应的, 银行业务部门对IT的普遍反映是:银行IT的建设还是跟不上银行业务的发展和银行内部管理越来越高的需要;IT总体能力不足, 人员数量与素质有待提升;要减少对IT项目外包的依赖, 提高自主研发或主导研发的能力;IT项目建设周期长, 项目质量不理想;IT整体规划不足, 各IT产品之间的信息不能共享, 存在各种的IT风险。
可见, 在中国的银行业, IT治理最主要的目标是, 确立IT的战略目标与定位, 理顺IT的各种关系, 提升IT的核心竞争力, 让IT能围绕银行的战略, 更好地为银行的业务与管理提供支持与服务。具体内容体现在:
(一) IT架构
银行IT架构治理包括明确架构的层次, 以及各层架构的内涵的关系。
1.战略架构
IT战略架构主要包括:银行IT的战略目标、IT定位、IT资源的配备与配置等。
2.业务架构
IT业务架构主要包括:银行IT的客户、IT的各种产品、信息系统研发方式、银行产品开发与IT产品研发的流程及关系等。
3.组织架构
组织架构包括:IT的组织架构模式 (集权、分权还是混合的模式) 和各IT机构间的责权划分, 还包括IT机构与业务部门之间的关系。
除了IT的战略架构、业务架构、组织架构外, IT架构治理还包含信息系统架构与IT基础设施架构治理, 这两层次的架构在下面论述。
(二) IT团队
银行IT团队是银行IT最重要的核心竞争力, 也是IT治理要关注的一个非常重要的对象。IT团队治理需要解决的问题包括以下5个方面。
1.数量
IT团队的数量是IT能力的基本要素, 没有数量就没有一切。团队数量不足的问题, 困扰了大多数银行。实际上, IT团队的数量与银行IT战略定位、对IT的期望有密切的关系。
2.人员配置
解决了人员数量的问题, 还要解决人员配置问题。对于大多数信息系统已经集中的银行, 人员配置有两个维度:一是总行与分行的人员如何配置;二是在IT管理、研发、测试、维护等不同职能间, 人员如何配置。
3.人员质量
IT团队的质量, 特别是IT人员的职业素质, 是IT团队治理的另一个重要的问题。许多银行IT建设起步较晚, IT人员普遍比较年轻, 岗位资历浅, 专业技能与业务知识不能满足岗位的需要。要解决这个问题, 关键是要落实人员的培养与教育问题。
4.岗位与职业生涯
要建立一支过硬的IT团队, 一个合理完善的IT岗位设计与职业生涯发展图谱必不可少。只有这样, 才能使各IT人员各司其职, 与银行共同发展。
5.绩效考核
在公司治理中, 强调监管与激励。在IT治理中, 监管与激励体现在IT的绩效考核中。只有通过合理与完善的考核, 才能发挥每个IT人员的积极性, 保证IT团队的整体战斗力。
(三) 信息系统
银行信息系统的治理包含了非常广泛的内容。治理的目标要针对信息系统存在的各种问题。这些问题主要表现在信息系统的可靠性、安全性、运行效率、开发效率、产品创新、信息共享等方面。要解决上述问题, 最主要的是处理好信息系统的架构治理。
信息系统架构属于IT架构的一个重要组成部分, 信息系统架构要兼顾效率与灵活、安全与方便、集中与分布的平衡。信息系统架构细分可以包括:应用架构、程序架构、数据架构、数据治理 (含信息标准与规范) 、流程架构、信息安全架构等。
(四) 基础设施
银行IT基础设施指的是为了银行信息系统能安全、高效运行所需要的一系列硬、软件设施, 包括机房、动力、空调、各种计算机和网络通信设备;各种操作系统、数据库、中间件、应用工具等。
基础设施架构治理指的是根据IT运行需要, 满足性能、容量与安全要求, 结合技术发展, 配备与配置这些硬、软件。
(五) 企业文化
IT企业文化是银行企业文化的一部分, 企业文化包括无形文化与有形文化。无形文化主要是指企业的精神文化, 而有形文化包括企业的制度文化和文化设施。企业文化治理主要是建立一个企业的优良文化, 并发扬光大。
1.企业精神文化
企业的精神文化是企业用以指导开展生产经营活动的各种目标、群体意识和价值观念, 企业精神文化的核心是企业的价值观念体系。银行IT应该拥有怎样的价值观念, 如何树立正确的价值观念, 是IT治理的一个重要任务。
2.企业的制度文化
银行IT制度包括:各种IT标准与规范、各种IT运营制度、IT服务管理制度、IT安全与风险管理制度、IT审计制度等。
3.企业的文化设施
银行IT文化设施包括:形象设施、文化环境、文娱设施以及各种文化支撑系统。这些系统包括内部门户、内部论坛、各种办公系统、生产管理与支撑系统。
四、IT治理的标准
IT治理是信息科技体系控制领域中的一个相当新的理念, 到本世纪初才形成相对完整的概念并引入我国。所以, 怎么样才算达到IT治理的目标, 目前国内还没有形成完整且权威的说法。不过, 根据国际上IT治理的实践, 在一些方面, 我们可以参照相关国际标准。
目前国际上最佳实践通行的IT治理标准, 是基于各个对象治理的成熟的方法论和工具, 包括ITIL, COBIT, ISO/IEC17799, PRINCE2等。
(一) ITIL
ITIL (Information Technology Infrastructure Library, 信息技术基础构架库) , 提出了一整套对IT服务的质量进行评估的方法体系, 为企业的IT服务管理实践提供了一个客观、严谨、可量化的标准和规范。ITIL主要包括:业务管理、服务管理、ICT基础架构管理、IT服务管理规划与实施、应用管理和安全管理等模块。
其中服务管理是其最核心的模块, 主要涉及:服务级别管理、IT服务财务管理、能力管理、IT服务连续性管理、可用性管理、事件管理、问题管理、变更管理、发布管理、配置管理等流程管理。
(二) COBIT
COBIT (Control Objectives for Information and related Technology, 信息和相关技术的控制目标) , 是众多国家的政府部门、企业对IT的计划与组织、采购与实施、服务提供与服务支持、监督与控制等进行全面考核与认可的业界标准。
作为IT治理的核心模型, COBIT架构归集为几个控制域:IT规划和组织 (Planning and Organization) 、系统获得和实施 (Acquisition and I mplement at ion) 、交付与支持 (Delivery and Support) 以及监控 (Monitoring) , 并由数十个信息技术过程控制和数百个细节控制目标组成。通过定义这些目标, 可以帮助企业业务维持对IT的有效控制。
(三) ISO 17799
ISO 17799, 即信息安全管理体系标准, 其前身为英国标准协会 (BSI) 的BS 7799标准。BS 7799分为两部分:BS 7799-1《信息安全管理实施细则》及BS 7799-2《信息安全管理体系规范》。
ISO 17799第一部分对信息安全管理提出建议, 供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了建立、实施和文件化信息安全管理体系的要求, 规定了根据独立组织的需要应实施安全控制的要求。
信息安全管理体系标准为各企业进行信息安全管理提供了一个完整的管理框架, 引导企业建立一个完整的信息安全管理体系。
(四) PRINCE2
PRINCE2 (Projects In Controlled Environments, 受控环境下的项目管理) , 描述了如何把项目划分为一些可供管理的阶段, 以一种高效的、明确的步骤对项目阶段进行监督与管理。PRINCE2的视野并不仅仅限于对具体项目的管理, 还涵盖了在组织范围对项目的管理。
强化IT治理 提升企业信息化价值 篇5
神华信息技术公司董事长 张骐
信息化是利用信息技术,提高经济增长质量,推动经济发展方式转型的历史进程。IT治理作为信息化过程中生产要素的制度安排,是信息化的延伸和扩展。纵观国际国内信息化程度较高的集团企业,只有坚持以企业发展战略为中心,坚持不懈地推进IT治理,形成与信息化相适应的体制机制,才能深入推进信息化建设,才能持续提升企业化价值,才能促进经济发展方式有效转变。
一、IT治理对集团公司转变经济发展方式的重要意义
IT治理是以企业的战略目标为导向,以特定的制度安排与管理模式为基础,以IT业务过程和IT服务为手段,合理利用IT资源,推动业务实施,完成目标利润的动态过程。美国麻省理工学院研究表明:有着良好IT治理的企业比那些治理不佳的企业至少会产生高于20%的资产回报。IT治理的完善与否,一直影响着企业信息化成熟度的高低。2009年初,集团公司提出“科学发展、再造神华、五年经济总量翻番”的十八字战略目标。战略性需求为集团公司信息化建设奠定了基础,打开了空间。“科学发展”,一个重要途径是转变经济发展方式,推动产业升级,促进资金流、信息流、人才流和物流的快速高效运转;“再造神华”,涉及到模式、体制、制度、流程、机制、管理等各个环节;“五年实现经济总量翻番”,不仅是量的翻番,还要有质的提升。所有这些,都需要信息化这个平台和载体的深度介入和全程参与,靠信息化建设水平的提高来支撑,通过信息化、工业化、自动化的融合,满足“五型企业”建设要求,实现科学发展。
在集团公司2010年信息化启动大会上,张喜武董事长指出,大力推进企业信息化,不能仅仅满足于操作层面的应用,而要更加关注信息化与企业管理变革、业务发展之间的关系;不能停留在各个系统孤立的应用上,而要更加强调信息整合和系统集成;不能简单地为信息化而信息化,而要更加关注信息化的工作机制、管理体制和信息化的投入产出等深层次问题。这表明,集团公司的信息化建设不仅是技术层面的建设,而是更高层次的IT治理问题,集团公司旨在运用信息技术手段,完善现有管理机制,促进生产、经营和管理向规范化、标准化和科学化转变。IT治理对实现集团公司经济发展方式转变的意义在于:
——促进决策科学化、组织系统化、权责明晰化。IT治理能够提高生产、经营和管理信息的准确性和及时性,有助于企业决策科学化;IT治理能够打破部门壁垒和行业界限,有利于组织架构系统化;IT治理能够使董事会和执行层、集团公司本部和子(分)公司、部门和岗位的权责更加明确,有利于集团公司决策的有效落实和执行力的提高。
——促进目标明确化、业务流程化、措施具体化。IT治理与企业战略相统一,能够深化和巩固发展战略,促进目标实现;IT治理与业务内容相结合,以业务需求作驱动,能够实现业务流程化,促进资源合理分配与利用,降低管理成本;IT治理注重措施的可操作性、可执行性,使决策能够迅速得到分解、细化落实,提高管理效率。
——促进行为标准化、控制过程化、考核定量化。IT治理使IT与业务标准一一对应,最大限度减少执行偏差,促进员工行为标准化;IT治理注重过程监督与控制,用IT明确业务程序、节点、质量,确保管理实现PDCA;IT治理使企业与员工绩效管理有章可循、有据可查,有助于提高绩效管理实效性,提高各级组织和员工工作的效率,提高管理的科学化水平。
二、实施IT治理的思想、组织和流程
根据IT治理的基本思想,构建完善的IT治理组织、流程、机制,对IT资源进行有效管理,是实现企业价值的重要保证。
(一)IT治理的思想
国际IT治理协会(ITGI)认为,IT治理主要是董事会和执行层的责任,是企业治理的重要组成部分,通过领导、组织和过程管理来保证IT实现和推动企业战略目标的发展。IT治理本质上关心两件事:实现IT的企业价值和IT风险的规避。前者是通过IT战略与业务战略匹配来实现的,而后者通过在企业内部建立相关职责来实现。两者都需要相关资源的支持,并对其绩效进行度量,以确保预期目标的实现。这就引导出IT治理的五个关键领域(IT战略匹配、IT价值交付、风险管理、绩效管理、资源管理)。
战略匹配。IT治理的一个重要内容是使企业的IT建设与企业战略相匹配,战略匹配是IT为企业贡献商业价值的重要驱动力。神华集团党组已经充分解读了十八字战略方针与企业信息化的高度融合关系,昭示着神华信息化起步于制高点,并将以高价值回报推动神华经济发展方式的快速转变。
价值交付。通过对IT项目整个交付周期的管理,确保IT能够按照企业战略实现预期的价值。
资源管理。主要是确保用户对企业的应用系统和基础设施都有良好的理解和应用,优化IT投资、IT资源(人、应用系统、信息、基础设施、)的分配,做好员工的培训、发展计划,以满足企业的业务需求。
风险管理。风险管理是确保IT资产的安全和灾难的恢复,企业信息资源的安全,以及员工的隐私安全。风险管理是保护IT的商业价值。
绩效管理。绩效管理主要是追踪和监视IT战略、IT项目的实施、信息资源的使用、IT服务的提供,以及业务流程的绩效。
IT治理是决策,IT管理是执行。IT管理解决的是如何把事情做好,IT治理决定的是要做哪些事,谁来做这些事,以及决策机制如何建立、风险如何监控的问题
(二)IT治理的组织
IT治理的组织机构及其职责如下:
董事会。负责制定组织发展目标,监督企业绩效和执行情况;吸收贯彻新的管理思想与技术,评估收益、预控风险。
CEO。负责执行董事会制定的战略和政策,制订操作计划。确保CIO参与高层决策,并成为高层管理者之一。
CIO。负责制定和实施IT规则;负责实施企业IT标准和策略;负责基础设施建设、IT资源管理、员工IT技能培训;监督IT项目在预期时间、成本范围内,按预计质量要求完成;识别企业的IT风险,并建立风险控制框架;对IT绩效进行评估,定期向董事会报告IT治理的执行情况。IT战略委员会。IT战略委员会由董事会和非董事会成员构成,负责协助董事会完成对IT事务的治理和监控,并确保将IT治理纳入董事会议事日程。
IT指导委员会。负责评估预建IT项目与战略的一致性,开展项目的成本效益分析,决策IT项目的优先权、资源分配及项目投资组合;制定项目的关键成功指标;制定IT项目的控制、风险管理和治理框架,并监督和指导执行过程。
IT架构(技术)委员会。负责指导企业技术标准、架构、基础设施的设计;负责为企业基础设施产品的选择、架构的应用提供指导;跟踪IT技术的最新进展,为企业应用提供建议;确保IT架构与最新法律法规要求一致,确保企业内部员工合法地使用信息资源。
IT组织部门。根据不同业务的管控模式,建立集中模式、联邦模式或分散模式的组织机构,确保业务与IT功能有机融合。
从IT项目执行、IT管理,到IT治理(IT Governance,又称IT管控),是IT组织进化的一般过程。按照上述模式,集团公司从信息中心、信息管理部、信息公司,到企业CIO制的发展正是IT治理组织丰富的具体表现。集团公司主要负责人作为CIO并着手从公司治理的层面进行良好的IT治理机制建设,使IT应用恰当的承担了“科学发展、再造神华、五年经济总量翻番”的使命,有利于实现企业的战略目标,增强信息化的业务价值回报。
(三)IT治理的流程
实现IT治理既要有组织,也要有流程做保证。根据国资委《关于加强中央企业信息化工作的指导意见》文件,对于支撑企业主营业务的重大信息化项目,要统一规划、统一投资、统一标准、统一设计、统一建设、统一管理,确保建成并推广应用统一集成的信息系统。集团公司关键的治理流程应该包括以下内容:
统一规划。信息化总体规划可以有效实现IT治理的高层目标即IT与业务融合,它是实现IT治理目标的有效机制。统一规划,要突破条块界线,树立全集团“一盘棋”理念,在一个统一的架构下实现各信息系统的整体集成、全面协同,从根本上消除“管理孤岛”和“信息孤岛”。
统一投资。该流程的目标是保证企业IT投资整体效益最大化,而不是局部效益的最大化。需要从公司战略的高度考虑IT项目的优先级,确保公司的IT战略规划和IT标准的贯彻执行。统一规划选型,分阶段推广实施,避免短期盲目投资与长期重复建设,务求实效。企业应该采用各种科学、规范的决策方法对IT项目的投资及其优先级进行决策。
统一标准。在统一的数据信息标准、统一的经营业务标准、统一的管理平台上,实现以集中化管理为核心、人财物一体化的资源整合管理系统,构建集团公司的价值流、资金流、信息流、物流“四流合一”的管控体系。
统一设计。IT治理的目标之一是实现IT的企业价值,而IT与企业目标相匹配,即战略匹配是实现IT企业价值的驱动力。统一设计的企业架构是实现IT与企业目标匹配的最佳途径。统一设计依靠企业架构还可以实现整个公司系统的集成性,实现公司数据和信息的共享。统一建设。可以参照IT治理最佳实践COBIT。COBIT为国际IT治理协会制定的信息技术及其相关控制目标总体框架。该框架将IT治理五个域的控制目标,分解为由34个业务流程来实现。每个流程都给出了具体的控制目标、成熟度模型、目标指标和绩效指标。通过对这34个关键业务流程的严格控制,可以实现IT治理五大域的治理目标,取得良好的IT治理成效。
统一管理。IT服务协议(ITIL)和平衡记分卡(BSC)。ITIL协议规定了IT服务部门对业务部门所提供的服务和成本。该流程的好处在于,可以将业务水平的需求转化成IT服务水平的需求。可以有效防范IT资产的运营风险。平衡记分卡方法是实现战略匹配的一种有效方法。该方法通过从上至下的将企业目标通过指标层层分解,可以在高层实现业务与IT的有效融合。
以上“六统一”流程的建立有利于集团公司按照“横向拓宽、纵向缩短” 的要求,构建更加科学合理的集团管理模式和管控体系,推动管理的规范化;有利于强化风险管控能力,保障管理的规范化。管控体系逐渐完备和加强,使集团公司的每一个岗位、每一个活动、每一份资产、每一个时刻,都处于受控之中,将风险控制到最小;有利于集约化经营的模式建设,未来将在集中核算、资金集中管理、人力资源、集中采购、生产指挥、本质安全监控、领导决策支持等方面通过信息化方式实施集约化管理,信息化辅以传统产业创造的价值将更为可观,在集约化经营的过程中发挥关键作用;有利于加强生产信息化和管理信息化技术集成,通过信息技术的广泛应用,带动工业化在高起点上迅速发展,进一步优化业务结构和组织结构,减少管理层级,缩短管理链条,理顺业务流程,提高运行效率,降低经营成本和经营风险,增强集团一体化运营的竞争优势。
(四)沟通反馈机制
研究表明:管理层越是对现有的IT治理机制、工作方式、预期效果进行正式的沟通,治理就越有成效。常用的方法有:
建立业务与IT部门合作伙伴关系。企业的业务离不开IT技术及IT部门的支持,IT价值的实现依赖于业务的充分应用。集团公司通过建立全企业共享的制度与流程的管理系统,搭建企业的可视化企业架构平台,可以使业务人员和IT人员的知识能够共享。这对企业的IT治理是非常重要的,它可以有效地保证IT与业务融合,实现IT的企业价值。
高层管理者的公告。对于企业IT治理的重大决策,如企业的IT治理原则,这种方式能够获得企业范围内最大的关注和最高的优先级,让每个员工知道公司的发展方向,以及自己应该做什么。
正式委员会的会议。这种沟通机制非常重要,对于企业IT治理的一些重大决策,如基础设施建设决策、项目优先级的决策等都需要采用这种方式。这种方式能够使业务人员和IT人员对公司的IT战略规划进行很好的沟通,相互理解彼此的需求,共同探讨项目执行中存在的问题,寻找切实可行的解决方案。研究表明,这是非常有效的沟通方式。
公司的网络门户。在网络上对公司员工进行治理流程的教育。同时,可以获取用户的改进建议、对例外流程的反馈,公布系统的实施绩效等等。是一个集中的沟通渠道,可以增加公司治理的透明度。这四种机制并不是孤立地发挥作用,而是相互作用,相互影响的。在设计企业的治理机制时,应该根据企业的实际情况以简单、透明、适合为原则。机制应该明确定义特定组织和个人所承担的责任和目标;治理的流程应该是正式的、非常清晰的;所制定的治理机制应该是适合企业自身的实际情况。
IT治理导入模型研究 篇6
安然公司、世界通讯公司财务丑闻的相继爆出, 以及《萨班斯法案》 (SOX) 的推出, 使公司治理再次成为世界性的关注点。新颁布的SOX法案要求上市公司提高透明度, 提高公布信息的质量, 加强信息披露, 完善公司治理水平, 保护投资者的利益。尤其是SOX法案的302、404以及409等条款, 对IT一般性控制和应用系统/业务流程层面的自动控制提出了明确的要求, 凸显了IT治理在公司治理机制中的作用。
IT治理不但是完善公司治理的利器, 也是当今法律法规的必然要求。没有相应IT治理机制的公司治理, 无法提高公司治理水平, 无法满足SOX法案的严格要求。
如何从信息技术 (IT) 中获得最大化的商业价值, 充分利用信息资源, 避免“信息孤岛”、信息系统与业务相脱离等问题, 并控制信息化建设过程中的风险, 是IT治理的主题, 也是公司治理面临的崭新而迫切的任务, 也是本文将要探讨的主要问题。
二、IT治理的涵义
麻省理工学院 (MIT) 信息系统研究中心的Peter Weill教授等认为:“IT治理是在IT应用过程中, 为鼓励期望行为而明确的决策归属和责任担当框架”。他们认为, 对任何一个企业来说, IT治理包含以下5个关键IT决策问题:IT原则、IT架构决策、IT基础设施决策、业务应用需求决策和IT投资优先顺序决策。而IT治理就是要明确由谁做这些决策, 并承担相应的责任。
从以上定义可以看出, IT治理要从制度层面和组织架构入手, 构建一系列的政策、流程和程序, 使IT目标符合企业战略目标, 企业从IT中获得最大的商业价值。同时, 明确IT建设中各项决策的归属权及责任, 合理利用组织的信息资源, 并对IT建设中的相关风险加以管理和控制。
三、IT治理导入模型
IT治理在世界范围内还是一个崭新的领域, IT治理首先由Loh and Venkatraman (1992) 提出, Brown (1997) 提出“IS治理框架”, Sambamurthy and Zmud (1999) 将其发展成为“IT治理框架”, 此后IT治理才真正成为世界研究热点。
对于IT治理的相关要素及治理框架都有一些研究, 但对于公司应该如何系统性地导入IT治理的研究还很少, 本文试图将IT治理的内容与IT治理的流程结合起来, 构建一个公司IT治理导入模型, 帮助公司有效地实施IT治理。导入模型如图1所示。
1. 制定企业发展战略
首先, 一个公司要生存和发展必须要有自己的企业目标。为了实现战略目标, 公司必须制定自己的发展战略, 在发展战略中, 公司建立了自己的组织, 制定了自己的业务运作模式和竞争策略, 以及与公司战略和组织相匹配的IT发展战略, 以支持公司业务更好地发展。可以说, 企业的发展战略和竞争策略决定了公司的IT发展战略, 公司的IT发展战略必须要与公司的战略目标相匹配和协调一致。这是IT治理的第一步, 也是最重要的一步。
2. 制定5个关键决策
为了有效地制定ITF规划, 取得良好的治理效果, 公司必须制定以下5个关键决策:
IT原则。它是关于IT在公司如何运用的一系列最高陈述。它体现了公司IT价值和目标, 并指导战术上的决策, 以及IT以何种方式支持组织的运营。
IT架构。根据公司的IT原则, 需要构建公司的数据、应用程序以及基础设施的组织逻辑, 对流程和数据的标准化程度进行定义。它是对组织运营支持的具体实现。
IT基础设施。IT基础设施可以为多个应用提供共享的、基础的服务。企业的基础设施通常包括无线通讯网络服务、大规模计算和管理、共享数据的管理、新技术的研发以及内联网等。
业务应用需求。企业的业务应用决策直接为企业带来价值。企业应该根据公司的价值链, 识别出企业的核心流程, 确定哪些流程可以为企业带来最大价值, 从而将战略系统的应用集中在这些流程上。需要强调的是, 企业的各单位业务系统的应用, 不能破坏整个企业的IT架构。
IT投资和优先顺序。IT在不同的企业中扮演不同的战略角色, 应该根据公司的发展战略决定IT的投资顺序和额度, 并随公司的发展战略的变化而变化。
这5个决策是相互作用、相互影响的。任何一个都不能单独决策, 必须联系起来综合考虑。IT原则是最重要的, 它阐明了企业的IT目标, 决定了其他决策的方向;IT架构决策把IT原则转化为清晰愿景, 从而帮助企业实现其商业目标;IT基础设施和应用决策是由原则、架构和投资标准决定的。
3. 建立IT治理组织、治理安排及实现机制
(1) 建立IT决策组织, 明确治理安排
明确了IT治理需要制定哪些决策之后, 还需要确定这些决策由谁来制定。在企业中通常可能由高层管理委员会 (由一群Cx Os组成) 或IT管理委员会 (由公司和各业务部门的IT专家组成) 、高管会与业务部门联手、高管会与IT部门联手决策。安排框架如表1所示, 说明了由谁负责那项决策, 由谁提供决策所需的信息。
IT原则的治理安排。在IT原则的决策中, 绝大多数企业采用了由IT专业人员和Cx O们组成的高管会共同决策的治理模式。这种模式可以确保IT与公司的业务战略一致, 使公司的IT原则具有一定的前瞻性。单独由高管会或IT部门来做出决策, 都面临着巨大的风险。
IT架构的典型治理安排。超过70%的企业由IT部门负责将公司的IT原则转化为支持企业战略的IT架构, 同时由各业务部门提供所需要的信息。这样业务部门的需求就可以糅进企业的IT架构中, 保证企业的IT架构符合企业的目标。
IT基础设施的典型治理安排。IT基础设施的决策和IT架构一样, 约有60%的企业由IT部门制定。决策所需要的信息来源于各业务部门的需求。
业务应用需求的典型治理安排。对于IT业务应用需求的决策, 由高管会与业务部门或高管会与IT部门联合决策的形式较多。由高管会与业务部门共同决策, 可以将部门的应用需求与企业的目标相结合。由高管会与IT部门共同决策的方式, 需要各业务部门将各自的需求汇报到IT部门, IT部门将各部门的共同需求制定出共同的解决方案。这样, 一方面可以为企业节约大量的资金, 另一方面, 增强了技术标准和现有的IT基础设施能力对应用选择的影响力。
IT投资和优先级的典型治理安排。对IT投资和优先级的决策主要有:由高管会决策、由高管会与业务部门或与IT部门共同决策3种形式。每种方法的着眼点各不相同。高管会主要负责整个资金预算和项目优先级的决策。对于企业与各业务部门的需求平衡则由高管会与业务部门共同决策;高管会与IT部门联合决策可以保证公司有限的资金得到最合理的使用, 并保证最急需的项目能够顺利进行。
(2) 建立IT治理的实现机制
有了治理安排, 企业还需要一系列的治理机制来实现及监控这些安排。设计周详的、容易理解和清晰的机制, 可以较好地实现IT治理。反之, 治理安排则不会实现预期的结果。有效的IT治理机制通常由治理流程、沟通方式来构成。
治理流程。有效的治理流程与决策一样重要。关键的治理流程包括:IT投资批准流程、架构的例外流程、服务水平协议、费用分摊机制、在建项目追踪、项目建设绩效评估。流程的定义应该是非常清晰、明确、透明的。
沟通方式。包括企业采用什么样的方法将IT治理的原则、政策和有关的IT决策的结果传播出去, 以及对用户的教育、培训等。常用的方法有:高层管理者的公告、正式委员会的会议、通过IT治理办公室来沟通治理安排等。企业越是采用正式的沟通方式对他们的IT治理机制、工作方式、预期效果进行沟通, 治理的效果就越好。
总的来说, 在设计企业的治理机制时, 应该根据企业的实际情况, 以简单、透明、适合为原则。机制应该明确定义特定组织和个人所承担的责任和目标;治理的流程应该是正式的、非常清晰的;所制定的治理机制应该是适合企业自身的实际情况的。
4. IT治理实施及评估
流程的效果取决于实施。公司在明确了IT治理的内容, 建立了相关的组织结构、治理流程和沟通机制之后, 对于各个治理活动应该建立严格的治理计划, 根据各个活动所需, 分配相应的资源, 并严格按照公司的治理流程进行。具体项目的实施, 如ERP, SCM等大型系统, 应该将IT项目的管理方法与公司的治理流程相结合, 以保证项目的成功。
对公司的各项IT项目及治理活动, 在完成之后, 都需要进行评估。评估可以参照平衡记分卡的理论体系进行, 即从财务视角、业务流程视角、客户视角及企业的创新持续发展的视角进行评估。目前, 评估的理论体系非常丰富, 不存在优劣之分, 企业应该选择最适合自己的理论方法进行评估。
至此, 已经完成了公司IT治理的一个循环。但是, 公司的IT治理是一个动态的而不是静态的过程, 公司应该根据在治理过程中发现的问题以及出现的新技术, 不断更新公司的战略目标和IT规划, 从而开始新一轮的治理循环。公司IT治理的过程应该是一个循环往复螺旋式上升的过程, 治理水平不断提高。
四、总结
本文建立的IT治理导入框架模型强调组织导入IT治理必须遵循一个科学的流程:制定与战略目标相一致的IT发展规划, 建立相关的决策组织、决策流程和实现机制, 在具体实施中, 公司应该严格对各项治理活动进行监控与评估。只有科学地遵循IT治理导入流程, 才能有效提高IT治理水平, 从而强有力地提升我国企业的公司治理水平。
参考文献
[1]彼得·维尔, 珍妮·W·罗斯.IT治理[M].杨波译.北京:商务印书馆, 2005.
[2]G Trites.Director Responsibility for IT Governance[J].Internation-al Journal of Accounting Information Systems, 2004, 5 (2) .
[3]V Sambamurthy and R W Zmud.Arrangements for Information Technology Governance:A Theory of Multiple Contingencies[J].MIS Quarterly, 1999, 23 (2) .
[4]C V Brown.Examining the Emergence of Hybrid IS Governance So-lutions:Evidence from a Single Case Site[J].Information Systems Research, 1997, 8 (1) .
[5]IT Governance Institute, Information System Audit and Control Foundation.COBIT4.0[S].2005.
[6]胡克瑾, 陈民.IT治理——公用事业信息化风险控制[J].城市公用事业, 2006 (4) .
[7]李维安, 王德禄.IT治理及其模型的比较分析[J].首都经济贸易大学学报, 2005 (5) .
[8]田野, 宝贡敏, 常红.基于IT治理的企业信息战略管理探讨[J].技术经济, 2005 (10) .
[9]饶艳超.公司治理的新视角:IT治理——建立企业目标和信息技术之间的联系[J].会计研究, 2003 (8) .
IT治理标准 篇7
外包作为一种创新管理模式, 具有整合、利用外部最优秀的专业资源, 从而达到降低成本、提高效率、充分发挥自身核心竞争力和增强银行对环境的快速应变能力的属性。随着外包的深入发展, 如何进行IT外包的有效管理、规避外包过程的风险也日益成为各个银行和行业监管部门关注的课题。COBIT是IT治理领域的公认框架和标准, 借鉴其管理实践和思路, 构建基于IT治理理论的IT外包管理框架, 将为商业银行在IT领域更好地管理外包业务、利用外包资源、降低外包风险提供有益参考, 并促进IT外包在银行业的健康快速发展。
1 IT治理理论概述
IT治理的目标是通过一系列流程与控制实现IT的商业价值, 国际信息系统审计协会 (ISASC) 和国际IT治理研究院 (ITGI) 是提出并研究IT治理理论的主要组织, 他们通过建立IT治理的总体架构, 明确IT治理核心流程, 颁布相关的流程控制标准, 从而指导企业完成IT治理的相关工作。其代表性的研究成果包括Control Objectives for Information and related Technology (COBIT) 和Board Briefing on IT Governance。
COBIT是国际上公认的IT管理与控制框架, 已在世界众多国家的重要组织与企业中运用, 指导这些组织有效地利用信息资源, 有效地管理与信息相关工作实施和风险控制。COBIT是一系列关于IT管理最佳实践 (框架) 的集合, 最初是ISASC于1996年首次提出, 至2005年颁布COBIT 4.0, 并于2007年5月将版本更新到COBIT4.1 (王德健, 2007) 。
COBIT基于IT治理观点, 从战略融合、价值交付、资源管理、风险管理和绩效测评五个维度进行IT过程的监督与控制 (如图1) , 每个维度的关注内容具体如下:
(1) 战略融合:关注于确保业务计划和IT计划的关联;规定、保持和验证IT价值建议;使IT运营与企业运营目标保持一致。
(2) 价值交付:在整个交付周期内提出价值实施建议, 确保IT实现预期的战略收益, 集中关注成本的优化, 提供IT的固有价值。
(3) 资源管理:对IT资源 (应用系统、信息、基础设施和人员) 的优化投资并适当管理, 关键问题在于进行知识和基础设施的优化。
(4) 风险管理:要求企业的高层管理者具备良好的风险意识, 清晰了解企业对风险的偏好, 熟悉企业合规性要求, 并将风险管理的职责嵌入组织之中。
(5) 绩效测评:追踪并监控战略实施、项目终结、资源使用、流程绩效、服务支付以及诸如平衡记分卡的使用, 将战略转化为具体行动, 实现传统财务管理、行政管理等无法测量的目标。
按照上述维度划分, COBIT提出了34个信息技术控制过程, 并且对每个控制过程制定了流程描述、控制目标、管理指南、成熟度模型四方面的详细内容用于指导实施, 从而确保了IT目标与业务目标一致性、通过IT保障业务实现收益最大化、IT资源使用的有效性和对IT风险的适当管理等目标。
国际IT治理研究院 (ITGI) 认为IT治理本质上有两个关注点, 一是实现IT的商业价值, 二是规避IT风险。它将IT治理的内容分为五个研究领域——目标设定、IT活动、绩效测量、目标比对和IT价值交付。目标设定是IT治理的初始点和驱动因素, 需要由企业董事会层面确定, 并需要制定明确的衡量标准进行绩效的度量和监控, 确保目标能够被正确达成、行为能够被合理管控。
2 银行IT外包的内容与管控需求
“管控”源于“管理+控制”, 它强调对管理活动的控制, 其含义是指通过一系列组织制度体系的设计, 包括组织的责权利体系的设计、组织流程和制度的设计等, 为整个管理活动创造一个良好的运作机制环境, 确保一个企业的管理活动在特定的游戏规则下执行, 从而提高企业的执行力, 降低企业的运作风险。对于银行IT外包的管控, 基于IT治理研究的相关思想和理论, 可以从IT实施过程的管理和风险的规避控制角度分析具体的管控框架和内容。
2.1 银行IT外包的内容
银行IT外包一般主要包含软件研发及开发服务外包、软件技术服务外包、信息系统运营维护服务外包、基础信息技术服务外包与技术性业务流程服务外包等类别, 具体内容见表1。
2.2 银行IT外包的管控需求
从国内来看, 银行IT外包发展历史并不长, 针对IT外包的管控经验和制度体系并不完善, 且国际上也无完整的管控体系可以借鉴, 目前只是一些先行选择外包的银行 (如国家开发银行) 的实施过程中形成了一定的经验积累。一般来说, 银行对IT外包的管控都涵盖外包决策、外包风险管理、外包供应商评估和外包合同管理等业务领域。
2.2.1 外包决策
银行IT外包决策过程有自己的特点, 相对于其它的行业来说, 银行的管理机制及业务流程都非常的严谨, 银行IT外包不仅涉及到资产专用性、短期费用、长期费用、核心竞争力等外包决策的常见因素, 还要考虑技术因素、人力因素、管理因素等其他方面。银行一般需成立独立的外包决策组, 包括业务需求部门、信息技术部门、内审部门人员及相关管理决策人员, 根据风险控制和业务运作需求, 合理确定外包的原则和范围, 通过招标采购方式进行外包决策实施。
2.2.2 外包风险管理
银行实施IT外包, 应充分认识外包对IT建设风险控制的直接和间接影响, 并将其纳入总体安全策略和风险控制之中 (张强林和邵丽萍, 2010) 。这就需要银行从以下方面进行外包风险管控: (1) 制定并逐步完善风险管控制度, 外包风险管理应当符合风险管理标准和策略, 并应建立针对外包风险的应急计划; (2) 银行与外包服务提供商建立有效的联络、沟通和信息交流机制, 在意外情况下能够实现外包服务提供商的顺利变更, 保证外包业务的连续性; (3) 银行应建立完整的外包风险评估与监测程序, 审慎管理外包产生的风险, 提高本机构对外包管理的能力; (4) 根据国家监管要求, 银行在实施敏感信息系统的外包前, 应按照法律法规规定向监管部门报告备案。
2.2.3 外包供应商评估
在外包实施之前, 银行应建立完善的外包服务提供商评估机制, 充分审查、评估外包商的经营状况、财务实力、诚信历史、安全资质、技术服务能力和实际风险控制与责任承担水平, 并进行必要的尽职调查。在外包实施后, 银行应建立持续的跟踪审核机制, 定期对外包商的风险控制、业绩标准、业务策略、管理程序、监督过程等进行跟踪审核, 根据量化的考核指标定期对承包方进行考评, 公布服务周期的评估结果, 实现外包服务水平的跟踪评价。
2.2.4 外包合同管理
合同是进行外包管理的重要依据, 银行与外包服务提供商签署的外包合同应全面可实施, 内容包括:外包服务的范围和标准;保密性和安全性;业务连续性;审计和检查;争端的解决方案;未履行责任的赔偿、补救和追索权等。对于具有专业技术性的外包业务, 可签订服务等级协议 (SLA) ;如涉及分包或转包, 外包合同协议中应明确设立服务提供商分包或转包的规则或限制。
3 基于IT治理理论的银行IT外包管控框架
从IT治理的视角, COBIT将IT治理活动划分为四个职责域: (1) 计划与组织 (PO) :为提供解决方案 (AI) 和提供服务 (DS) 制定相应制度; (2) 获取与实施 (AI) :提供解决方案并将其转化成为服务; (3) 交付与支持 (DS) :接受解决方案, 使之为最终用户所用; (4) 监控与评价 (ME) :监控所有流程确保遵循既定方针。
银行IT外包的实施流程也切合了COBIT的职责域划分, 按照该划分维度, 综合COBIT对各职能域中各项活动的管理要求与评测指南, 以及银行IT外包管控的具体需求, 可以规划出对应IT治理职责域的银行IT外包管理框架和主要内容 (见表2) , 这些主要管理措施便构成了银行IT外包管理框架, 各个外包管控域的主要内容为:
(1) 计划组织:发包方为实施IT外包管控而进行的组织内部的相关IT制度与组织管理建设等内容。
(2) 获取实施:发包方为实施IT外包管控而进行的组织统一的技术基础设施建设、IT外包流程与决策控制、外包知识库管理等内容。
(3) 交付支持:发包方为实施IT外包管控而进行的涵盖外包成果交付、外包风险管理、组织内部IT资源的可用性和连续性保证等内容。
(4) 监控评价:发包方为实施IT外包管控而进行的包括组织对IT外包服务提供商的管理监控与绩效评估、组织按照监管要求对外包服务提供商进行管理等内容。
4 结语
IT外包使银行能够以更富有效率、低成本、低风险的方式完成信息技术任务, 在提升银行核心竞争力、节约项目成本、加速信息化建设的进程中发挥着不容忽视的作用。建立IT外包管控框架的目标是通过一系列的组织制度体系的设计, 包括组织的责权利体系的设计、组织流程和制度的设计等, 实现对IT外包活动的管理和控制。
以IT治理理论为视角, 在从战略融合、价值交付、资源管理、风险管理和绩效测评五个维度分析了商业银行在IT外包实施过程中的活动内容与组织层面的管理控制需求基础上, 本文针对IT外包的内容, 构建了涵盖IT外包业务的计划组织、IT外包服务的获取实施、IT外包成果的交付支持和IT外包活动的监控评价四方面内容的商业银行IT外包管控框架, 并细化了每一方面的管控目标、具体的管控内容与措施。这不仅为银行业金融机构加强对IT外包管理提供了借鉴、促使外包项目达成预期目标具有重要实际意义, 同时对社会经济中IT外包行业的发展也有重要的促进作用。
参考文献
电网企业IT治理模型探讨 篇8
从20世纪末开始, 电网企业大力开展信息化建设, 特别是“十一五”以来, 企业信息化水平得到了显著提升, 成绩斐然[1]。同时, 党中央明确提出, 我们必须“全面认识工业化、信息化、城镇化、市场化、国际化深入发展的新形势新任务, 深刻把握我国发展面临的新课题新矛盾, 更加自觉地走科学发展道路, 奋力开拓中国特色社会主义更为广阔的发展前景” (“五化”并举) , 提出“发展现代产业体系, 大力推进信息化与工业化融合, 促进工业由大变强” (两化融合) , 这对信息化发展提出了更高的要求, 需要信息化支撑电网“发、输、变、配、用、调”各环节的智能化, 支撑集中化管控与集约化运作[2,3]。
从信息化发展规律上看, 电网企业的信息化正处于从初级水平向中高级水平, 从投入期到见效期, 从注重信息覆盖率、软硬件配置到更加强调集中集约的利用信息资源、提高应用水平和服务质量、实现IT价值的过渡期, 这是一个非常关键的阶段, 并且存在着很多风险[4]。
1 电网企业面临的IT风险
随着电网企业信息化建设的飞速发展, 主要存在的风险包括:IT规划与架构风险、IT项目管理风险、IT基础设施风险、信息安全风险、业务连续性风险、IT应用系统风险、IT运维服务风险、IT绩效风险、合规性风险等[5,6]。
IT规划与架构风险。IT部门往往以不同的软硬件去满足各业务部门的需求, 形成条块分割的IT架构, 随着IT应用在各业务中的不断深入, 面临着数据共享少、技术标准乱、业务融合难的问题, 存在IT架构整体性差、灵活性弱的风险。
IT项目管理风险。由于项目所处环境的不确定性, 往往造成项目延期、费用超支、项目成果没有达到预期等情况, 导致项目失败的风险。
IT基础设施风险。随着IT技术的不断发展, 硬件、系统、网络等IT基础设施也不断升级, 复杂度不断提高, 导致各种漏洞、缺陷、停机等问题层出不穷。
信息安全风险。IT的最高价值体现在数据上, 而信息数据有其易复制、易伪造、易破坏的固有风险。同时随着黑客攻击的频度和技术的发展其带来的威胁也越来越大。
业务连续性风险。当今的环境下, 很多业务系统要求7×24 h服务, 所以任何的故障或意外都会带来损失。
IT应用系统风险。开发和获取信息系统的过程存在高风险, 例如系统业务逻辑错位风险、系统脆弱性风险、可靠性风险、兼容性风险等等。
IT运维服务风险。如果保障IT基础设施和系统稳定运行的服务水平协议没有按要求执行, 则存在运维服务风险。
IT绩效风险。IT投资和IT成本在不断扩大, 高投资是否带来相应的收益, 存在着很高的风险。
合规性风险。随着IT重要性的增长, 监管IT行为的法律规定相继出台, 在立项、合同执行、招投标、采购、上下线过程中都存在着违规风险。
如何平稳度过过渡期, 保持电网企业信息化建设持续跨越式发展, 就需要我们必须采取有效的措施应对上述风险。
2 IT治理
国际著名的ISACA (Information Systems Audit and Control Association, 信息系统审计和控制协会) 将IT治理定义如下:IT治理是一个由关系和过程所构成的体制, 用于指导和控制企业, 通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标, 价值、风险与控制是IT治理的核心[7]。IT治理的目标是保证IT与企业战略一致, 有效利用资源, 管理风险, 支持企业战略实现, 保障IT可持续发展[8]。截至当前, 国内外政府部门和行业协会发布的IT治理框架主要包括:
1992年, COSO (The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting) 发布了《内部控制——综合框架》, 要求经营的效率和效果、财务报告的可靠性以及符合相应的法律法规。
1996年, ISACA协会公布了COBIT (Control Objeetives for Information and related Technology, 信息及相关技术控制目标) 。COBIT框架很好地联系了业务风险、内部控制和信息技术问题, 它以业务为中心、以流程为导向、以控制为基础、以绩效测评为驱动, 通过计划与组织 (Plan and Organise) 、获取与实施 (Acquire and Implement) 、交付与支持 (Deliver and Support) 、监控与评价 (Monitor and Evaluate) 四个域把业务需求 (效果、效率、保密性、完整性、可用性、符合性、可靠性) 和所需的IT资源 (应用系统、信息、基础设施、人员) 紧密结合起来[9]。目前, COBIT框架已更新至第五版。
2002年美国颁布萨班斯法案, 以法律的形式强调“良好的公司治理和高管层对IT治理的职责再也不是一个可有可无的美好愿景”。
2004年, COSO委员会发布《企业风险管理综合框架》 (Enterprise Risk Management-Integrated Framework) , 从四类目标 (战略、经营、报告与合规目标) 和八大要素 (内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息沟通和监控) 描述了企业风险管理的重要构成。
2006年, 国资委印发《中央企业全面风险管理指引》, 对中央企业开展全面风险管理工作的总体原则、基本流程、组织体系、风险评估、风险管理策略、风险管理解决方案、监督与改进、风险管理文化、风险管理信息系统等方面进行了详细阐述。
2008年, 财政部、证监会、审计署、银监会、保监会联合发布《企业内部控制基本规范》, 2010年又联合发布《企业内部控制配套指引》, 包括《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》。
3 基于IT风险控制的IT治理模型
当前, 电网企业信息化建设中存在的最大、最重要的问题不是技术、资金等问题, 而是在科学的IT管理理念、管理素质、管理方法等方面的缺失[10]。借鉴上述先进经验和最佳实践, 结合电网企业的特点, 以风险控制为基础, 以COBIT框架为标准, 以IT审计为保障, 总结出一套适用于电网企业的基于风险控制的IT治理模型。如图1所示。
首先, 从电网企业各部门的业务需求识别出发, 进行业务调研, 通过企业战略规划制定、业务流程优化、绩效评估体系建立、组织结构调整等方式, 进行业务建模, 已经数据标准化, 最终确定企业的整体IT规划。
然后, 根据企业IT规划, 以COBIT框架中规定的计划与组织、获取与实施、交付与支持、监控与评价四个域、34个流程等管理和控制目标为标准, 整合IT资源, 测量IT绩效, 进行企业的信息化建设。同时以信息安全管理、IT服务管理、IT项目管理、业务持续性管理来保障信息化建设的顺利完成。
随着信息化建设的开展, 要对企业及时开展IT审计。运用电网企业信息系统审计过程模型, 从信息系统审计模型过程集入手, 针对各个控制点和控制目标进行一一对照检查, 对企业信息化建设全过程的管理情况、IT资源绩效情况、内控制度建立及执行情况、风险控制情况进行评价[9]。
对于IT审计发现的问题, 要进行相应的调整, 如果问题与IT相关, 则调整企业IT规划, 否则调整重新进行业务需求识别、业务调研, 进而修订企业IT规划。进行调整后, 再根据新的IT规划继续进行信息化的建设。
同时, IT审计的结果还可以反馈到信息安全管理、IT服务管理、IT项目管理、业务持续性管理, 甚至企业IT治理结构等方面, 促进企业管理和IT治理的提升, 以更加完善的内部控制应对风险。
通过上述过程的循环, 以及持续的IT审计, 可以保证IT为业务目标持续提供支持, 保证IT的发展与企业战略一致, 符合企业的发展目标。
4 结语
企业开展有效的IT治理有助于企业获取IT价值、实现业务目标、规避相关风险[11]。但是, 在企业中建立完整的IT治理框架是一项长期的工作, 是一个螺旋上升的过程, 在实施上也要从基础到高级、从简单到复杂的一步一步实现[12]。同时, 由于本模型的开放性, 所以企业还要根据自身的实际情况因地制宜, 灵活应用。
参考文献
[1]上官明霞.山西电网特色信息化建设之路探索[J].现代工业经济和信息化, 2012, 36 (20) :65-67.
[2]金江军.中国两化融合发展现状和发展趋势分析[J].现代工业经济和信息化, 2012, 32 (16) :74-77.
[3]陈志坚.电网企业IT治理体系建构技术研究[J].中国电子商务, 2010 (9) :24-25.
[4]王海燕, 叶茵.风险导向在年度审计计划中的应用[J].中国内部审计, 2012 (10) :56-59.
[5]涂伟, 张金隆.企业IT治理中的风险识别与规避[J].统计与决策, 2008 (4) :175-177.
[6]相小红.信息化系统对审计流程的影响及对策[J].现代工业经济和信息化, 2012, 28 (12) :99-101.
[7]裴求根.面向电网企业的IT治理框架研究[J].福建电脑, 2012, 28 (1) :67-69.
[8]王芳.IT治理解析[J].审计与理财, 2010 (3) :56-57.
[9]燕超源, 郝立涛, 李淼.基于COBIT框架的电网企业IT审计模型研究与实践[J].电力信息, 2013, 11 (1) :77-81.
[10]陈宪宇.信息技术条件下公司IT治理探讨[J].商业时代, 2011, (32) :42-43.
[11]王和.风险、内控与IT治理[J].新金融世界, 2009 (6) :10-11.
IT治理效果评价模型初步研究 篇9
1. 研究背景
(1) IT治理效果评价理论的研究现状。
(1) Control Objectives for Information and related Technology (COBIT) [3]为IT治理提供了最佳实践和IT治理工具。COBIT是由与国际信息系统审计协会 (ISACA) 和美国IT治理研究所 (ITGI) 于1996年所提出的, 其目的是为了帮助组织成功应对当今业务带来的挑战。为满足COBIT在IT治理五个方面的要求, COBIT在如何领导IT活动上给出了建议。该框架提供丰富的衡量指标、责任分配的建议、活动和监控, 以确保取得良好的IT治理效果, 同时COBIT还提供了一个IT治理成熟度模型。COBIT框架现已被世界各地广泛采用, 许多组织将其作为IT治理的首选工具, 同时COBIT是当今最有名的IT治理框架, 在IT治理领域处于事实标准的地位。但COBIT共确定了34个处理过程以及318个详细控制目标, 作为IT治理衡量的标准而言, 显得过于庞杂。
(2) 以Weill和Ross思想[4]为主的IT治理评价体系。Weill和Ross是MIT学院的研究人员, 他们在IT治理领域进行了大量的IT治理案例分析, 并将他们的研究方法和主要发现在250多个组织推行。具体的方法是在企业中选择10个以上的高层管理人员, 每人回答4个问题, 每个问题分为重要性和实际结果两个方面, 在1-5分的范围内打分。这4个题目分别包括IT对于成本控制、IT对于增长、IT对于资产利用、IT对于业务灵活性4个方面。这种IT治理评价是基于公司管理层对IT价值的主管认知, 评分具有较强的主观性, 对IT治理效果的评价存在一定的偏差, 所以有学者批评该标准过于简单。
(3) BSC法。平衡计分卡是有哈弗大学的Dr.Robert Kaplan和Dr.David Nortont提出的一种绩效评估框架, 这个评估框架并不是为了解决IT治理而产生的。该方法将IT治理的效果从Learning and growth perspective、Business process perspective、Customer perspective、Financial perspective四个方面衡量。Kaplan将这四个部分划分为16个主题, 每个主题再包括1-5个子项, 进而设计出IT治理的衡量体系。
(4) 以ITIL理论为基础的IT治理评价标准。该评价标准是由英国政府的中央计算机和通讯机构CCTA在20世纪80年代末制订, 目前由英国商务局OGC负责, 是欧洲比较流行的一个IT服务标准。到目前为止, ITIL已经持续更新到了V3版本。ITIL定义了以11个服务流程, 确立了一整套实践方法。它通过集成IT服务和业务, 协助企业提高其IT服务交付和支持能力。ITIL主要强调概念/流程、活动、花费/收益、实施计划。
(5) CISR。CISR模型是由斯隆管理学院信息系统研究中心Peter Weill等教授于2004年提出[7]。该方法主要从权利配置的角度对IT治理进行了研究。通过研究, 他们发现了五个IT关键领域, 即信息技术策略、信息技术构架、信息技术基础设施、企业应用需求和IT投资及优先顺序, 并对关键领域提出了六类治理原型, 即业务君主制、IT君主制、封建制、联邦制、IT双寡头制和无政府制。
(2) IT治理理论与能力成熟度模型结合。
20世纪80年代末, SEI组织提出了软件成熟度模型。CMM以质量管理为基础, 运用分级的思想评价软件开发组织的软件过程成熟度。CMM提出5个软件过程的成熟度水平, 包括初始级、可重复级、已定义级、已管理级和最优。CMM过这样一个框架, 给组织支持提高其能力的一个过程。在CMM模型得到广泛支持后, 一些类似的、针对不同目标的CMM模型相继出现。如, SE-CMM、SA-CMM、SSE-CMM、P-CMM, 等等。
通过对比, 发现IT治理理论与CMM模型有着一定的重合, 这使IT治理理论与CMM模型结合奠定了理论基础。表1显示部分ITIL与CMM理论的对应关系。
(3) IT治理评价模型构建思路及意义。
本文通过对各种IT治理评价理论研究成果的分析, 以ITIL为基础, 并吸收其他模型中ITIL未涵盖的关键流程, 采用专家咨询法, 结合企业实际情况, 归纳了IT治理效果评价模型中的指标体系, 同时采纳CMM的五个成熟度等级, 将这些流程纳入成熟度模型的框架体系, 构建出一个比较完善的IT治理效果评价模型, 即ITGRE-CMM模型。
该模型将企业IT治理效果的20个关键域划分为5个等级, IT治理效果越好, 成熟度等级越高, 确保效果评价的可衡量性。该模型的意义在于: (1) 提供一套IT治理评价的标准; (2) 对IT治理结果进行分级, 为企业的持续改进提供了途径。 (3) 为IT治理效果评价提供了量化依据。
2. I TGRE-CMM模型的构建
(1) ITGRE-CMM模型结构。
模型依据CMM的理论由五个成熟度等级组成, 每个成熟度等级有着各自的功能。除第一级外, 模型的每一级是按完全相同的内部结构构成。成熟度等级为最大粒度的设置, 不同的成熟度等级反映了企业信息化水平的不同层次。
在每一个成熟度级别中 (第一级除外) , 包含了实现这一级别的若干关键过程类。每一个关键过程类包括若干关键过程域, 并且在各个关键过程域下边规定了具体用来完成该过程类的关键实践, 如图1所示。
(2) 模型关键过程域。
除了初始级之外, 每个成熟度等级中均包含若干关键过程域, 每个关键作用域包含了若干关键实践, 每个关键实践域对应一个相应的成熟度 (从一级到五级的关键过程域见图2) 。
3. I TGRE-CMM模型的验证
本文以W公司IT治理对模型进行验证, 将W公司全国的员工做为调查对象, 并将涉及W公司IT治理效果的有关评价指标设计成问卷, 问卷从网上连接发放W公司的所有员工, 让每个员工独立完成调查问卷。指标的测量方法采用李克特量表的方法, 将反馈分成5、4、3、2、1分数, 同时将上述评价指标采用层次分析法确定权重, 对收集到的结果采用模糊综合分析法加以量化, 最终获得W企业IT治理的成熟度结果。结果显示, 符合W公司的实际情况。
4. 结语
本文对IT治理理论进行了相关的介绍, 并对能力成熟度模型与IT治理理论的结合做了一定的尝试, 提出了用成熟度等级来表征企业IT治理效果, 同时尝试建立基于CMM的IT治理效果评价模型, 并通过实证验证了模型的可行性, 为IT治理效果评价提供了一种新的思路。
摘要:文章对IT治理效果量化做了初步的研究, 在比较了主流的IT治理的方法论之后, 提出结合能力成熟度模型, 用能力成熟度模型的5个维度来评价IT治理效果, 并着手构建了基于ITIL的IT治理效果效果评价, 并所在企业对该模型进行了验证, 为IT治理效果评价提供了一种新思路。
关键词:IT治理,效果量化,能力成熟度,模型,效果评价
参考文献
[1]闪兰魁.电力企业信息化建设中IT治理研究[M].北京:中国发展出版社, 2007.
[2]孙强.为什么要倡导“IT治理”[EB/OL].http://www.itgov.org.cn/Item/76.aspx.2006.
[3]惠普中国.IT治理解决方案 (2006) [EB/OL].http://www.hp.com/.
[4]刘鹏东.基于λ模糊测度的企业IT治理有效性评价体系研究[D].电子科技大学.2007.
[5]Kaplan R S, norton D P.Using the balanced scorecard as a strategic man agement system[J].Harvard Business Review, 1996 (1) :75-85.
[6]Van Grembergen W.The balanced score card and IT governance[J].Information systems control Journal, 2000 (2) :40-43.
基于于IT治理的分析研究 篇10
关键词:IT治理,管理研究,业务探讨
1 IT治理的理念研究
1.1 IT治理关键问题研究
IT的英文是Information Technology, 即信息技术。IT业划分为IT生产业和IT使用业。IT行业划分为IT生产业和IT使用业。IT生产业包括计算机硬件业、通信设备业、软件、计算机及通信服务业。至于IT使用业几乎涉及所有的行业, 包括各类组织如企业、政府及相关服务业[1]。由此可见, IT行业不仅仅包括硬件和软件制造业, 还包括几乎所有的使用及相关服务业。
美国IT治理协会给IT治理的定义是:“IT治理是一种引导和控制企业各种关系和流程的结构, 这种结构安排, 旨在通过平衡信息技术及其流程中的风险和收益, 增加价值, 以实现企业目标。”
国际信息系统审计与控制协会 (ISACA) 和IT治理研究所 (ITGI) 是这样定义的:“IT治理由高层管理机构负责, 由领导、组织结构和过程构成, 其目的在于确保IT能够支撑和扩展组织的战略和目标”[2]。
德勤事务所认为, “IT治理是一个含义广泛的术语, 包括信息系统、技术、通讯、商业、所有利益相关者、合法性和其他问题, 其主要任务是:保持IT与业务目标一致, 推动业务发展, 促使收益最大化, 合理利用IT资源, IT相关风险的适当管理”。
中国有一种观点认为, IT治理是描述企业或政府是否采用有效的机制, 使得IT的应用能够完成组织赋予它的使命, 同时平衡信息化过程中的风险, 确保实现组织的战略目标的过程。
我国制定的信息技术服务治理第一部分:通用要求术语中“信息技术治理information technology governance”:专注于信息技术及其绩效和风险管理的治理体系, 由领导关系、组织结构和过程组成, 以确保信息技术能够支撑组织的战略目标, 具体如下:
IT治理包括信息系统的可行性研究、立项、设计、实施、测试、验收、后评价、运行维护直至淘汰全生命周期。
IT治理可分为三个阶段:前期 (包括可研、立项、设计) 、中期 (实施、测试、验收) 、后期 (后评价、运行维护、淘汰) 。
IT治理要借助现有的信息系统工程监管内容进行延伸和扩充, 明确其内容。IT治理要在国外标准体系的框架下, 结合我国信息化发展和企业的实际管理模式。IT治理要在公司治理的基础上, 完善和发挥信息系统的功能和作用。IT治理要分层次、分阶段地进行治理和管理。
IT治理简单说就是使参与信息化过程的IT行业利益最大化的制度措施。IT治理关注两个方面的问题, 即IT治理的“什么”和“谁”。
“什么”是指IT治理应该做出哪些决策。“谁”是指这些决策应该由谁来做出。
1.2 IT治理的必要性
IT治理是公司治理在信息时代的重要发展, 用于描述企业或政府是否采用有效的机制, 使IT的应用能够完成组织赋予它的使命, 同时平衡信息技术与过程的风险、确保实现组织的战略目标。
IT治理在IT行业的发展中, 具有如下意义:
第一, 使企业发展战略在整体规划、标准化和规范化等在信息化工作、信息化建设和信息化服务与支持方面上的细化, 是企业战略在IT层面的落地。
第二, 使公司高层领导对企业信息化工作的极大重视和实质性的推动并监理良好沟通。
第三, 促使企业的管理人员和IT从业人员站在全局化和大局观的角度去看待、评估企业的信息化现状和信息化工作的未来, 以及IT工作与其他业务工作之间的关系使IT预算更完整。
第四, 对企业IT建设工作形成长期性指导, 使项目投资减少失误和提高投资回报。
第五, 促进企业对现有问题和IT需求进行全方位的诊断与梳理加强了项目管理的控制手段。
第六, 明确IT问题及事故的职责。
第七, 完善后期运维及服务, 发挥IT最大价值。
综上, IT治理的目的是使IT与组织业务有效融合, 其出发点首先是组织的发展战略, 以组织发展战略为起点, 遵循组织的风险与内控体系, 制定相应的IT建设运行的管理机制。IT治理的最终目标:价值提升与风险管控。
1.3 IT治理现状及实证调查
目前企业和政府实施IT项目时, 很多只是意识到了业务需要, 然后决定开始实施IT系统。但是管理者对于IT系统是否能带来好的绩效, 实施IT系统有哪些潜在的风险?IT系统失败了会产生什么负面效果?怎样审核IT系统的绩效?怎样制定清晰的责任链?怎样制定IT决策等问题都缺乏全面认识。
国外一些研究表明IT治理有助于企业获取高IT投资回报, 好的IT治理模式可为企业增加20%以上的利润。
但是国内企业IT治理普遍欠佳。尤其IT规划、IT制度体系和IT评估缺失现象严重。
IT治理是信息系统审计和控制领域中的一个理念。2006 年原信息产业部信息化推进司开始推动IT治理工作, 还有一些机构、高校都在推动这项工作。近年来, IT治理的国家标准也在制定过程中。
2 IT治理的内容、本质及关键要素
2.1 IT治理的内容
IT治理不同于IT管理。从工作内容看, IT管理一般是从具体的操作层面出发, 针对信息系统具体目标的实现所采取的行动。而IT治理则是在宏观层面的战略角度上, 对IT战略上的过程、结构和联系进行梳理和监控, 以确保组织信息系统的运营管理能够始终沿着正确的方向进行。具体如下:
战略一致 (Strategic Alignment) 。是如何在IT计划与组织整体规划和业务计划之间建立关联、如何合理的描述并确认IT价值, 以及如何使IT运作与组织的业务运作相一致。
价值交付 (Value Delivery) 。如何确保信息系统能够按照战略要求, 实现组织提供承诺的价值, 通过降低组织成本、提高业务效率等方式使组织受益。
资源管理 (Resource Management) 。如何对支持IT运作的关键资源进行最优化投资和最佳管理。对于一个组织的IT运作而言, 这些关键资源包括四方面内容:应用系统、信息、技术架构和人力资源。
风险管理 (Risk Management) 。要求组织的高层管理者必须具备足够的风险意识, 能够充分理解组织面临的主要风险, 将风险作为组织管理工作的重点考虑问题, 并在组织结构设计中划分和明确指派风险责任。
绩效度量 (Performance Measurement) 。如何运用平衡计分卡等科学地对IT运作的战略目标实现程度、IT资源的使用情况、IT过程的执行情况以及IT服务的交付效果进行跟踪和监控。
2.2 IT治理的本质
通过一套包括正式及非正式的制度来协调公司与所有利益相关者之间的利益关系, 以保证公司决策的科学化, 从而最终维护公司各方面的利益。
从IT中获得最大的价值, 取决于在IT应用上产生期望的行为。期望行为是组织信念和文化的具体体现, 它们的确定和颁布不仅基于战略, 而且基于公司的价值纲要、使命纲要、业务规则、约定的行为习惯以及结构等。在每一家公司里, 期望行为都各不相同。
IT治理属于公司治理的组成部分, 是指导和控制IT资源的结构, 关系和过程, 通过平衡风险和回报获取IT价值, 以实现企业目标。价值实现, 风险控制是IT治理的两个核心。
“管理”和“治理”是硬币的两面, 但是治理却更具统筹效应。IT治理, 不是解决如何信息化的问题, 而是解决如何管理、监控IT的问题;业务和IT战略整合是IT治理的关键。IT治理为IT决策、风险控制、监控和绩效提升提供了指南和标准。
2.3 IT治理的关键要素
IT原则:企业期望的运行模式是什么。IT如何支持期望的运行模式。如何资助IT。
IT架构:哪些数据必须整合。哪些技术性能应当在企业范围内得到标准化。哪些行为应当在企业范围内标准化以支持数据整合。
IT基础设施:哪些共享可以提供服务。基础设施服务定位在哪个层次。如何为服务定价。什么时候应更新服务。
IT商业应有需求:新业务的应用市场和业务流程机会是什么。如何评估业务应用成功与否。如何保证必需的资源以实现项目或业务的目标。
IT投资和先后次序:对IT投资多少。如何分配IT投资。如何协调IT投资与战略优先顺序。
综上, IT治理的关键要素, 涵盖IT组织、IT战略、IT架构、IT基础设施、业务需求、IT投资、信息安全等。主要确定这些要素或活动中“做什么决策?谁来决策?怎么来决策?如何监督和评价决策?”。
围绕着IT建设全生命周期过程, 构建持续的信息化建设长效机制, 是IT治理的目标。因此, 整个IT建设生命周期都是IT治理的对象, 包括IT组织与规划、IT建设与交付、IT运行与维护、IT评估与优化。IT治理的最佳实践就是基于各个对象治理的成熟的方法论和工具, 包括Cobi T、ITIL、ISO27001、Prince2等。
3 IT治理框架分析
3.1 国外IT治理框架
关于IT治理的框架规范最著名的就是:ITIL (IT基础架构库) 和COBIT (信息及相关技术的控制目标) 了。ITIL框架起源于英国的中央计算机与电信局 (现在为政府商务办公室) , 它向用户提供了一种可定制的实践框架, 为内部用户提供高质量的服务, 涵盖了服务支持、软件支持、计算机操作以及安全管理等功能。COBIT是由美国IT治理协会提出的一个IT治理的开放性框架或标准, 是基于组织的信息技术平台而设计的, 并在IT治理实践中广泛使用, 它包含了34个信息技术过程控制, 并归集为四个控制域:IT规划和组织 (Planning and Organization) 、系统获得和实施 (Acquisition and Implementation) 、交付与支持 (Delivery and Support) 以及信息系统运行性能监控 (Monitoring) , COBIT目前已成为国际上公认的IT管理与控制标准。
3.2 国内IT治理框架
结合国际IT治理框架, 根据我国实际情况, 国内对于IT治理模型大概包括了三方面内容即标准体系、管理体系、治理体系。
标准体系:参照已有的国际标准如信息安全标准、质量管理标准等;以及我国正在制定的IT治理标准。
管理体系:组织的架构分类, 分级别。
治理体系:对于信息系统来说按三个大阶段划分, 前期以咨询、评估为主要手段;中期以监理、评测、评价、审计 (控制和管理) 为主要手段;后期以后评价、审计 (控制和管理) 、治理为主要手段。
3.3 IT治理框架的三个支柱
企业架构计划。企业架构造型和管理、战略性的IT计划和路线图、标准管理等。
投资组合合理化。应用系统和基础设施的合理化、项目-投资分析、合并和收购运营整合。
服务融合。服务提供管理、业务关系管理、供应商和外包商管理、IT财务管理。
4 IT治理业务研究
4.1 IT治理业务分析
IT治理业务是覆盖信息系统全生命周期, 按活动阶段划分IT治理业务:信息系统前期主要包括, 可研、立项、设计;信息系统中期主要包括, 实施、测试、验收, 信息系统后期主要包括, 后评价、运行维护、淘汰等。
按控制手段划分IT治理业务:第三方系统评估、系统评价、系统测试、IT审计等。
按组织管理工作划分IT治理业务:IT组织、IT战略、IT架构、IT基础设施、业务需求、IT投资、信息安全等。
4.2 IT治理业务开展问题研究
谁来做, 哪个组织实体在IT治理过程中起作用?业务单位、公司、架构服务。
做什么, IT治理流程、决策、角色和职责是什么?资源分配、初始的优先级、IT预算。
如何做, IT治理如何被执行?框架定义、试点、实施、指导。
综上, IT治理就是保证IT系统能够处于正确的轨道之上, IT系统能够和业务系统有效地契合, 并为企业创造持续的卓越绩效。开展IT治理就要确定谁来做, 认定做什么, 决定如何做, 最后按照整体规划, 分步实施, 关注试点, 持续优化的方式来实施。而且, 随着IT建设的一些问题逐渐的暴露出来, 作为企业的管理者已经亲身体验了这样或那样的问题, 实施IT治理非常重要。
参考文献
[1]孟秀转, 郝晓玲, 于秀艳, 孙强.IT治理:标准、框架与案例分析[M].北京:清华大学出版社, 2011.
