IT治理导入模型的研究.docVIP

IT治理导入模型的研究 　　［摘 要］ SOX法案的颁布使得公司治理再度成为世界的关注点，如何进行有效的IT 治理并以此提升公司治理水平成为亟待解决的问题。本文从IT 治理的涵义出发，构建了一个将IT治理内容与流程相结合的IT 治理导入模型，进而对模型中的各主要元素进行深入的分析，并给出了具体的方法和工具。本文对我国企业提升公司治理和IT治理水平具有积极的理论和实践指导意义。 　　［关键词］ IT 治理；导入模型；公司治理；COBIT 　　［中图分类号］F270.7［文献标识码］A［文章编号］1673-0194（2008）16-0082-03 　　 　　一、 公司治理的新挑战 　　 　　安然公司、世界通讯公司财务丑闻的相继爆出，以及《萨班斯法案》（SOX）的推出，使公司治理再次成为世界性的关注点。新颁布的SOX法案要求上市公司提高透明度，提高公布信息的质量，加强信息披露，完善公司治理水平，保护投资者的利益。尤其是SOX法案的302、404以及409等条款，对IT一般性控制和应用系统/业务流程层面的自动控制提出了明确的要求，凸显了IT治理在公司治理机制中的作用。 　　IT治理不但是完善公司治理的利器，也是当今法律法规的必然要求。没有相应IT治理机制的公司治理，无法提高公司治理水平，无法满足SOX法案的严格要求。 　　如何从信息技术（IT）中获得最大化的商业价值，充分利用信息资源，避免“信息孤岛”、信息系统与业务相脱离等问题，并控制信息化建设过程中的风险，是IT治理的主题，也是公司治理面临的崭新而迫切的任务，也是本文将要探讨的主要问题。 　　 　　二、 IT 治理的涵义 　　 　　麻省理工学院（MIT）信息系统研究中心的 Peter Weill教授等认为：“IT治理是在IT应用过程中，为鼓励期望行为而明确的决策归属和责任担当框架”。他们认为，对任何一个企业来说，IT治理包含以下5个关键IT决策问题：IT原则、IT架构决策、IT基础设施决策、业务应用需求决策和IT投资优先顺序决策。而IT 治理就是要明确由谁做这些决策，并承担相应的责任。 　　从以上定义可以看出，IT治理要从制度层面和组织架构入手，构建一系列的政策、流程和程序，使IT目标符合企业战略目标，企业从IT中获得最大的商业价值。同时，明确IT建设中各项决策的归属权及责任，合理利用组织的信息资源，并对IT 建设中的相关风险加以管理和控制。 　　 　　三、 IT 治理导入模型 　　 　　IT 治理在世界范围内还是一个崭新的领域，IT治理首先由Loh and Venkatraman（1992）提出，Brown（1997）提出“IS治理框架”，Sambamurthy and Zmud（1999）将其发展成为“IT治理框架”，此后IT治理才真正成为世界研究热点。 　　对于IT 治理的相关要素及治理框架都有一些研究，但对于公司应该如何系统性地导入IT 治理的研究还很少，本文试图将IT 治理的内容与IT 治理的流程结合起来，构建一个公司IT 治理导入模型，帮助公司有效地实施IT 治理。导入模型如图1所示。 　　 　　1. 制定企业发展战略 　　首先，一个公司要生存和发展必须要有自己的企业目标。为了实现战略目标，公司必须制定自己的发展战略，在发展战略中，公司建立了自己的组织，制定了自己的业务运作模式和竞争策略，以及与公司战略和组织相匹配的IT 发展战略，以支持公司业务更好地发展。可以说，企业的发展战略和竞争策略决定了公司的IT发展战略,公司的IT 发展战略必须要与公司的战略目标相匹配和协调一致。这是IT 治理的第一步，也是最重要的一步。 　　2. 制定5个关键决策 　　为了有效地制定ITF规划，取得良好的治理效果，公司必须制定以下5个关键决策： 　　IT原则。它是关于IT在公司如何运用的一系列最高陈述。它体现了公司IT价值和目标，并指导战术上的决策，以及IT以何种方式支持组织的运营。 　　IT架构。根据公司的IT原则，需要构建公司的数据、应用程序以及基础设施的组织逻辑，对流程和数据的标准化程度进行定义。它是对组织运营支持的具体实现。 　　IT基础设施。IT基础设施可以为多个应用提供共享的、基础的服务。企业的基础设施通常包括无线通讯网络服务、大规模计算和管理、共享数据的管理、新技术的研发以及内联网等。 　　业务应用需求。企业的业务应用决策直接为企业带来价值。企业应该根据公司的价值链，识别出企业的核心流程，确定哪些流程可以为企业带来最大价值，从而将战略系统的应用集中在这些流程上。需要强调的是，企业的各单位业务系统的应用，不能破坏整个企业的IT架构。 　　IT投资和优先顺序。IT在不同的企业中扮演不同的战略角色，应该根据公司的发展战略决定