IT治理――公司治理的重要环节
来源:用户上传
作者:
【摘要】 在加入WTO后的中国经济环境中,信息的重要性已被广为认同。IT日益成为企业的直接利润中心,而随IT而来的风险、利益和机会使得IT治理成为公司治理中很关键的一个方面。
【关键词】 IT治理;IT管理;公司治理
一、IT治理的产生和发展
IT治理是信息系统审计和控制领域中的一个新概念,用于描述企业或政府是否采用有效的机制,使得IT的应用能够完成组织赋予它的使命,平衡信息技术与过程的风险、确保实现组织的战略目标。IT治理是一个全面的术语,包含信息系统、技术通信、业务法律与其他问题;涉及所有股东、董事会、高级管理层、管理执行层、过程所有者、IT供应商、用户、审计师等利益相关者,治理的目的是保证IT与企业目标的一致性。许多国家已经开始研究IT治理理论,并开发了IT治理的实践模型。1999年,国际清算银行发布了International Control:Guidance for Directors on the Combined Code 报告。1999年下半年,国际信息系统审计与控制协会成立了IT治理研究院,专门研究IT治理。2002年,题为《IT治理:中国信息化的必由之道》的论文发表,使得IT治理的观念首次在国内引起关注。
二、IT治理的定义
IT治理是公司治理中至关重要的一部分,包括IT审计、IT服务管理、信息系统安全审计,它是对目前全球IT产业重新认识和发现知识社会和信息经济运行机理的一个总的概括。Robert S. Roussey(美国南加州大学教授)认为:IT治理用于描述被委托治理实体的人员在监督、检查、控制和指导实体的过程中如何看待信息技术。IT的应用对于组织能否达到它的使命、战略目标至关重要。德勤定义:IT治理是一个含义广泛的概念,包括信息系统、技术、通信、商业、所有利益相关者、合法性和其它问题。国际信息系统审计与控制协会(ISACA)定义如下:IT治理是一个由关系和过程所构成的体制,用于指导和控制企业,通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。IT治理和IT管理有所不同。IT管理是公司的信息及信息系统的运营,确定IT目标以及实现此目标所采取的行动;而IT治理是指最高管理层(董事会)利用它来监督管理层在IT战略上的过程、结构和联系,以确保这种运营处于正确的轨道之上。二者互相依托,缺一不可。
三、IT治理与公司治理的关系
IT治理是公司治理的一部分,IT治理应由董事会设计并执行,要让管理层设计IT治理框架。公司治理包括IT治理,良好的IT治理能提高公司治理的水平。公司治理中的激励与约束机制也应包括对IT相关人员的激励与约束;公司治理确定的企业竞争战略也应包括IT的发展战略及与其它资产协同的机制;公司治理确定的风险控制和价值创造模式,也应包括的IT的业绩衡量和评价框架。IT治理是在公司治理整体框架下的一个组成部分,它不仅在协助企业业务开展和提高企业竞争力方面发挥重要作用,在协助人力资源治理、金融治理、实物资产治理、知识产权治理、关系资产治理等方面发挥作用,也通过提高公司的信息质量,加强公司治理环节的信息披露和内部控制,为企业的利益所有者(股东)提供更多信息,最终将提高公司治理水平。缺乏IT治理的公司治理是不完整和不科学的。
四、建立有效的IT治理架构
建立有效的企业IT治理框架,需从五个领域进行:IT战略一致性,IT价值交付,IT资源管理,风险管理,性能评价。IT战略一致性要求IT战略同企业战略目标的一致,不但包括未来IT组织和企业组织的一致性战略集成,也包括了当前企业IT和业务执行、操作上的一致性。价值的交付强调支出成本的优化和证实IT的价值。IT的价值在于要在一定时间、预算内交付优质的产品、服务,取得预期的收益,也就是要在竞争优势、完成订单或服务花费的时间、客户满意度、客户等待时间、职员生产力等方面的提高。风险管理强调IT资产的安全维护和灾难的恢复,除了金融的风险之外,管理者还需要特别关注运营和系统的风险,其中技术的风险和信息的安全性尤为突出,资源管理强调优化知识和结构。IT性能成功实现的一个关键在于优化投资、IT资源的分配和使用,很多企业无法在最小化IT资源成本的同时最大化它所带来的绩效,性能评价强调跟踪项目的交付和监控IT服务。
五、我国IT治理现状
目前我国外部市场监控机制尚不健全,公司治理结构中的监控职能被严重削弱,并使董事会失去监督,风险管理意识淡薄,安全上采用纯粹技术手段解决。缺乏优良公司治理和IT治理机制是一些国内企业与金融机构无法抵御全球经济低迷和无法适应市场环境快速变化的重要原因之一,加强IT治理实质上是一个政府和企业机构必须携手面对的问题。政府必须扮演一个重要的推动角色,并且尤其需要强调的是政府制定规则比较合理的方法是通过听证会或知情会上下协商、交互式的制定规则,这样才能解决规则的充分合法性、可执行问题。
参考文献
[1]张金城.《信息系统审计》.清华大学出版社
[2]孙强.《信息系统审计――安全、风险管理与控制》.机械工业出版社
转载注明来源:https://www.xzbu.com/2/view-611919.htm