IT治理研究述评
编辑导语:信息技术(IT)的发展与深入应用,使内部控制、治理结构与企业运营受到了巨大冲击与挑战。合理的IT治理安排可以提高公司治理水平和企业价值。
一、IT治理概念提出的背景
信息技术的横纵向嵌入改变了企业业务流程,给内部控制、治理结构,以及企业运营带来了巨大的冲击与挑战,尤其是SOX法案颁布以来,要求上市公司提高透明度,完善公司治理水平以保护投资者的利益,IT治理因此受到了前所未有的关注。
(一)IT治理是公司治理的重要组成部分
公司治理问题是由所有权与经营权的分离引起,其要求之一是增加公司经营、风险等方面信息披露的透明度。构建信息系统网络是解决信息不对称的良好途径,但是信息系统的构建及应用过程本身也存在着利益冲突和信息不对称问题,也需要一个合理的制度安排。
IT治理正是有关IT决策的权责利安排,它从企业整体利益出发构建IT系统,力求实现业务与信息的集成,这些不仅可使公司经营活动过程变得更透明,还可提高公司信息的质量,减少利益相关者之间的信息不对称问题,起到了驱动和支撑公司治理的作用。
(二)IT治理是提高内部控制的有效手段
信息技术的深入应用,信息系统成为了管理层编制财务报告和披露相关信息的工具,基于权力制约和岗位分工的内部控制发展成为以信息流为基础的IT内部控制。企业IT系统和IT控制若存在风险,会影响所有(或大部分)财务报表的可靠性,甚至影响企业的生存。IT治理将合理的制度安排、控制程序嵌入到IT系统中,使得IT系统具备内在的控制机制,减少了信息生成过程中的错误与舞弊行为,确保企业运营满足相关法律法规(如SOX等)的要求。
(三)IT治理是控制经营成本,提高企业价值的驱动力
由于IT是企业价值创造的“银弹”、“魔弹”(Daly,2002),企业在IT系统方面的投资比重越来越大,平均投资额超过了其年收入的4.2%(Weilleta1.,2003),同时,巨额的IT系统的运营成本和维护费用也成为企业管理层必须考虑的因素。
IT治理通过平衡IT资源及IT过程的风险与回报,有助于降低订成本,提高IT投资价值。这些将有利于提高企业经营绩效,赢得企业竞争优势,从而使企业各相关利益者(包括股东)都从中获得增值收益。
综上,IT治理对信息环境中的公司治理、内部控制和企业运营的现实意义使得IT治理一度成为业界 的流行词汇,以及学术界的研究热点,CIO Insight甚至将“IT治理”列入了2007年世界信息技术10大重要趋势之一。然而当前各国学者就IT治理的认识并没有统一,对相关的研究进行梳理是非常必要的。
二、IT治理的涵义
IT治理诞生于20世纪90年代,回顾当前国内外相关研究文献,明确提出IT治理的学者和机构有很多,但似乎还没有一个统一、精确的定义。
仔细分析这些研究,麻省理工学院CISR中心的Weill和Ross教授认为“IT治理是在IT应用过程中,为鼓励期望行为而明确决策权归属和责任担当的框架“。这类研究认为部署IT决策权是IT治理的重点内容,Weill更是强调IT治理旨在解决IT决策权力的分布问题。
而全球IT治理研究中心(ITGI)则认为“IT治理是董事会和执行层的责任,通过领导、组织和过程来保证IT实现和推动企业战略目标。价值、风险与控制是IT治理的核心。”。这类研究强调IT治理中的控制因素,尤以ITGI和国际信息系统审计与控制协会 (ISACA)的研究最为有代表性,他们发布的COBIT(信息及相关技术控制)框架模型伴随着信息系统审计业务的不断推广目前在业界得到了广泛的应用。
业界和学术界对IT治理的不同理解,主要源于“治理”一词兼具控制和引导的双重涵义。因此, 我们将IT治理研究分为控制型和引导型两大流派,分别描述其代表人物及主要研究成果。
三、IT治理的主流研究评述
(一)控制型IT治理流派
该流派的研究强调IT治理中的控制因素。主要的研究思路是平衡IT风险与回报,控制企业IT资源的运用,实现IT资源的有效性和效率。
IT审计师经常需要就企业的内部控制发表审计意见,这一流派的主要研究机构是ISACA和ITGI。主要的研究成果为信息及相关技术控制模型(COBIT),目前COBIT最新版是4.1版。2006年,ITGI和普华永道公司通过对全球范围内对695位CIO和CEO的实证调查,结果表明COBIT模型的认知度比2003年提高了50%,COBIT的使用率占全部IT从业人员的10%(ITGI,2006)。
COBIT是一个基于控制的IT治理框架,它的特点是以业务为中心,以流程为导向,由测量所驱动。COBIT为企业规划、实施和更新IT资产,进行全生命周期管理提供了良好的控制体系。它将企业的IT过 程归集为四个控制域:IT规划和组织(Planning and Organization)、系统获得和实施(Acquisition and Implementation)、交付与支持(Delivery and Support)以及信息系统运行性能监控与评估(Monitor and Evaluate),共包含34个IT过程。并为每个IT过程设置了相应的控制目标体系。这个控制目标体系有一个高级控制目标和若干具体控制目标组成。
在此基础上,有不少学者做了进一步研究。Stephen Reingold 建立了利用COBIT提高企业的IT过程的 三步骤模型(Reingold,2005)。Daniel Ramos则针对COBIT的每个IT治理域和过程,详细分析了IT审计师在其中的作用,他们认为要塑造一个成熟的IT治理环境,使之与业务目标与匹配,IT审计师起着关键 作用(Ramos,2001)。GaryHardy发现COBIT虽然有控制目标,但没有给出相应的改善手段与方法,他建议将 COBlT、ITIL、IS017799 结合起来实施IT治理,并将三者根据每个IT过程详细的对应匹配起来 (Hardy,2006)。类似的研究还有很多,ITGI的月刊《Information Systems Control Journal)发表了大量的关于如何运用COBIT改善IT安全治理,提高IT价值回报率,有效管理IT资源以及控制IT风险的文章。 上述的控制型IT治理流派的有关研究成果,给出了IT治理关键控制域,控制过程,以及可供参考的管理指南、方法手段和工具集,其研究是基于过程控制的思想。
(二)引导型IT治理流派
该流派的研究强调通过引导(权责利制度安排)来提高IT治理水平。主要有三个方面的研究内容:IT治理模式(IT决策权力分配),IT治理机制(组织结构、流程和沟通关系),以及IT治理影响因素分析。
1.IT治理模式
IT治理模式(IT governance Form)指的是企业制定IT决策的权力部署方式。早期研究认为IT决策的权力部署分有两种最基本的、极端的方式:集中式和分散式。随后学者们开始质疑这种严格的两分法是否 合理与现实,对基本IT治理模式进行了扩展。
严格意义上的集中式治理将所有的IT决策权力集中在信息系统(IS)部门里,一个严格的分散式治理设计将所有IT决策权力分配到各个业务单元或流程中去,集中式治理有利于统一IT标准,有利于实现规模经济与协同性;而分散式治理由于允许 各业务部门定制方案,可以满足本部门的个性化需求。
那么企业如何才能同时实现集中的协同性和分散的灵活性?
Zmud等(1986)从治理模式与整个IS组织的影响出发,将两分法进一步发展成为三分法,这个新的治理模式被称为“联邦治理模式”。“联邦治理模式”综合了集中式和分布式模型的优点,在该治理模式下,集中的IS部门提供核心IT服务,同时业务部门对整体IS职能有一部分控制权,这样就能充分利用集中式治理和分散式治理两种方式的优点。
另一些学者则从IT治理模式对不同类型的IT决策的影响的角度出发,开始把IT治理模式和不同类型的IT决策配合起来。Olson 和 Chervany 研究了三种广为采用的IT决策:系统操作、系统开发和系统管理的治理模式。沿着这项研究,Zmud和Byrd等则针对IT规划决策的治理模式作了相应的研究。
到了2004年,MIT的Weill和Ross教授再次对IT治理模式进了更深入的探索,通过对全球范围内23个国家的250多个企业进行了实证研究,建立了IT治理安排矩阵。他们发展了六种IT治理模式:业务君主制、IT君主制、封建制、联邦制和双寡头制和无政府制;提出了IT治理的五个关键决策:IT原则、IT架构、IT基础设施、业务应用需求和IT投资;并将六种IT治理模式 与五个关键决策对应起来建立了IT治理安排矩阵,IT治理矩阵是更进一步对基本IT治理模式进行纵横向扩展的结果。这项研究成果是 Weill 和 Ross 对IT治理先前研究的深化,代表着目前IT治理的最新主流研究成果。
总的来说,IT治理模式的研究定义了IT决策权力的不同部署方式。从最初的基本的、极端的集中或分散式开始,学者们逐渐提出一些较柔性的,较接近组织实际运作的治理模式。
2.IT治理机制(组织结构、流程与沟通关系)
伴随IT治理研究的进一步深入,学者们发现IT治理模式与IT治理绩效并不具有完全相关关系,众多研究开始探索保障IT治理绩效的组织结构、流程与沟通机制。
在这方面的一些代表学者,他们的研究没有较大差异,IT治理的组织结构是指IT决策制定的组织结构,包括董事会、CIO、CEO 等职位及职责的设置,以及IT战略委员会,IT架构委员会等类正式团队组织及职责的设置。IT治理的流程是指IT决策制定和监控的过程,比如IT投资评估流程、IT架构例外流程、IS战略规划、服务水平协议等过程,也可以指利用诸如IT平衡计分卡(BSC)、COBIT 以及 ITIL 等工具或方法来对IT/IS进行规划、实施、交付和监控的过程。IT治理的沟通机制是指一些正式和非正式的沟通反馈手段与方法,比如建立业务部门与IT部门的合作关系,建立决策者间的冲突解决机制,传播和培训IT政策,以及定期进行IT投资项目汇报等。
2004年,MIT 的 Weill 和 Ross 教授在他们著作中也对这一问题进行了探讨,他们认为 IT 治理结构、 流程和沟通关系与 IT 治理模式一起共同作用,才能体现出 IT 治理的绩效。没有相应的治理结构、流程和沟通关系,IT 治理的模式不可能产生预期结果。 Peterson 还认为 IT 治理结构、流程与沟通机制体现出一个多层次的横向集成关系。
总之,IT 治理组织结构、流程与沟通关系的研究是学术界和业界对如何提高IT治理水平更深层次思考的结果。标志着IT治理的研究从部署决策权的“What研究”走向了如何实施“治理内容”的“How 研究”。
3.IT治理影响因素分析
IT 治理影响因素的研究主要聚焦于分析 IT治理模式是否与该企业相适应,通过分析不同的 IT 治理模式的关键成功因素影响,帮助企业找到一种合适的IT治理模式。这方面的研究经历了几个阶段,最早的研究是单个影响因子研究,随着研究的深入,出现多重影响因子研究,并开始强调根据不同的IT决策来分析相应的影响因素。
早期的研究认为影响IT治理模式的影响因子主要有四大因素:组织结构,企业战略,行业和公司规模。多数研究者认为集中的组织导致集中的IT治理设计,而分散的组织采取分散的IT治理设计。这些IT治理模式单个影响因子的研究,对于企业如何选择IT治理模式有一定的价值,不过假定这些影响因子相互独立是不客观的,因此一些学者开始研究多重,相互作用的,甚至是彼此冲突的影响因子对于IT治理模式的综合作用。
四、IT治理的新动向——关系导向的IT治理
从以上综述可以看出,Weill 和 Ross 的研究是引导型IT治理的代表,他们的研究成为当代IT治理领域的主流成果。但是,在2000年,Sambamurthy 和 Zmud 在管理信息系统领域的TOP杂志——《信息系统研究》杂志上撰文,提出了一个新观点。他们认为IT治理首先最重要的,是建立一个关系平台,一个能满足企业目前和未来发展需要的IT关系平台。建立了这个平台之后,再着眼针对某个特定的IT决策解决其权力部署问题。Sambamurthy 和 Zmud 提出的平台由三大部分组成:IT能力 (IT Capabilities),IT关系架构(relational architecture) 和集成架构(integration architecture)。
根据 唐志豪 计春阳 胡克瑾 《IT治理研究述评》修改。
最近更新于 2022-05-14, 由 孜孜不倦 于 2022-04-12 发布, 已阅 1533 次。