摘 要：本文對(duì)IT治理的意義和內(nèi)容進(jìn)行了闡述，并基于Cobit從IT原則與方針、IT決策組織與治理機(jī)制、IT制度與流程、IT規(guī)劃與架構(gòu)設(shè)計(jì)、IT基礎(chǔ)設(shè)施與服務(wù)管理、IT與業(yè)務(wù)融合、IT投資管理、IT人力資源管理和IT安全與風(fēng)險(xiǎn)控制共九個(gè)方面展開IT治理實(shí)施探討。實(shí)施有效的IT治理是組織或企業(yè)有效管理IT資源、增強(qiáng)業(yè)務(wù)競(jìng)爭(zhēng)能力、促進(jìn)企業(yè)形成核心競(jìng)爭(zhēng)力的關(guān)鍵。

關(guān)鍵詞：IT治理；COBIT；IT管理；公司治理

中圖分類號(hào)：TP14

當(dāng)公司由快速發(fā)展期進(jìn)入到整合見效期，經(jīng)營(yíng)模式單一、產(chǎn)品服務(wù)缺乏多樣性、內(nèi)控機(jī)制不完善、創(chuàng)新能力不足等問題將逐漸暴露出來。因此，如何提高核心競(jìng)爭(zhēng)力，在新一輪的競(jìng)爭(zhēng)中獲得優(yōu)勢(shì)，已經(jīng)成為當(dāng)前各公司不得不面臨的重要問題。

國(guó)內(nèi)許多行業(yè)客戶已經(jīng)在考慮綜合利用市場(chǎng)、營(yíng)銷、人才及新技術(shù)等策略，在競(jìng)爭(zhēng)中做大做強(qiáng)。其中“新技術(shù)”占有越來越重要的地位，主要是指利用IT技術(shù)提高公司競(jìng)爭(zhēng)力。當(dāng)前各公司正關(guān)注如何持續(xù)鞏固和提升IT能力，合理利用IT資源，控制相關(guān)風(fēng)險(xiǎn)，保障業(yè)務(wù)系統(tǒng)的運(yùn)行安全，確保IT對(duì)業(yè)務(wù)發(fā)展與創(chuàng)新的持續(xù)支持，實(shí)現(xiàn)IT投資效益的最大化。

因此，實(shí)施IT治理，促進(jìn)IT與業(yè)務(wù)融合，使IT成為公司的戰(zhàn)略資產(chǎn)，提升公司的核心競(jìng)爭(zhēng)力，已成為公司發(fā)展的首要問題。

1 IT治理背景介紹

二十世紀(jì)以來，IT技術(shù)的迅猛發(fā)展，已經(jīng)重構(gòu)人類社會(huì)的圖景，導(dǎo)致國(guó)家和企業(yè)競(jìng)爭(zhēng)的變革。有效的IT治理是競(jìng)爭(zhēng)優(yōu)勢(shì)的源泉，是管理創(chuàng)新的決定因素之一，也是保證組織創(chuàng)新發(fā)展和基業(yè)常青的關(guān)鍵所在。IT治理正在成為各國(guó)政府、行業(yè)組織、學(xué)術(shù)界和產(chǎn)業(yè)界等共同關(guān)注、研究與實(shí)踐的一個(gè)全球性課題。

信息技術(shù)的發(fā)展和網(wǎng)絡(luò)環(huán)境的變化，使電子信息嵌入到企業(yè)業(yè)務(wù)活動(dòng)的各方面，信息系統(tǒng)成為企業(yè)各個(gè)職能部門業(yè)務(wù)活動(dòng)不可或缺的工具。企業(yè)信息化給公司治理和內(nèi)部控制帶來巨大沖擊和挑戰(zhàn)。在信息技術(shù)的影響下，傳統(tǒng)的公司治理和內(nèi)部控制方式發(fā)生了根本性變革。信息技術(shù)在經(jīng)濟(jì)發(fā)展中所體現(xiàn)的多重角色以及對(duì)未來經(jīng)濟(jì)發(fā)展所發(fā)揮作用的不可預(yù)見性使得IT治理問題更加復(fù)雜，因此中國(guó)企業(yè)在信息化的進(jìn)程中，IT治理的重要性正日益凸顯。

2 IT治理概念及目的

2.1 IT治理的概念

在對(duì)IT治理廣泛研究和分析的基礎(chǔ)上，關(guān)于其定義匯集了三種主要觀點(diǎn)。美國(guó)南加州大學(xué)教授Robert認(rèn)為，IT治理用于描述被委托治理實(shí)體的人員在監(jiān)督、檢查、控制和指導(dǎo)實(shí)體的過程中如何看待信息技術(shù)。IT的應(yīng)用對(duì)于組織能否達(dá)到它的遠(yuǎn)景、使命、戰(zhàn)略目標(biāo)至關(guān)重要。德勤定義為，IT治理是一個(gè)含義廣泛的概念，包括信息系統(tǒng)、技術(shù)、通訊、商業(yè)、所有利益相關(guān)者、合法性和其他問題。其主要任務(wù)是保持IT與業(yè)務(wù)目標(biāo)一致，推動(dòng)業(yè)務(wù)發(fā)展，促使收益最大化，合理利用IT資源，IT相關(guān)風(fēng)險(xiǎn)的適當(dāng)管理。國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（ISACA）理解為，IT治理是一個(gè)由關(guān)系和過程所構(gòu)成的體制，用于指導(dǎo)和控制企業(yè)，通過平衡信息技術(shù)與過程的風(fēng)險(xiǎn)、增加價(jià)值來確保實(shí)現(xiàn)企業(yè)的目標(biāo)。

2.2 IT治理的目的

IT治理使IT與組織業(yè)務(wù)有效融合，其出發(fā)點(diǎn)首先是組織的發(fā)展戰(zhàn)略，遵循組織的風(fēng)控體系，制定相應(yīng)的IT建設(shè)運(yùn)行的管理機(jī)制，需明確“做什么決策？誰(shuí)來決策？怎么來決策？如何監(jiān)督和評(píng)價(jià)決策？”。圍繞IT建設(shè)全生命周期過程，構(gòu)建持續(xù)的信息化建設(shè)長(zhǎng)效機(jī)制，是IT治理的目標(biāo)。IT治理的國(guó)際最佳實(shí)踐包括CobiT、ITIL、ISO27001、Prince2等。

IT治理目標(biāo)具體細(xì)化為以下三方面：

（1）與業(yè)務(wù)目標(biāo)一致。IT治理要從組織目標(biāo)和信息化戰(zhàn)略中抽取信息需求和功能需求，形成總體的IT治理框架和系統(tǒng)整體模型，為進(jìn)一步系統(tǒng)設(shè)計(jì)和實(shí)施奠定基礎(chǔ)，保證信息技術(shù)跟上持續(xù)變化的業(yè)務(wù)目標(biāo)。

（2）有效利用信息資源。由于目前信息化工程超期，IT客戶的需求沒有得到較好的滿足，IT平臺(tái)不支持業(yè)務(wù)應(yīng)用等問題較為突出，通過IT治理可以對(duì)信息資源的管理職責(zé)進(jìn)行有效管理，保證投資的回收，并支持決策。

（3）風(fēng)險(xiǎn)管理。由于企業(yè)越來越依賴于信息技術(shù)和網(wǎng)絡(luò)，新的風(fēng)險(xiǎn)不斷涌現(xiàn)。IT治理強(qiáng)調(diào)風(fēng)險(xiǎn)管理，通過制定信息資源的保護(hù)級(jí)別，強(qiáng)調(diào)關(guān)鍵的信息技術(shù)資源，有效實(shí)施監(jiān)控和做好事故處理。

3 IT治理實(shí)施

3.1 IT原則與方針

重新定義適用于公司的IT原則，概述性描述IT的基礎(chǔ)性作用和對(duì)公司業(yè)務(wù)發(fā)展的根本性影響。對(duì)IT在公司運(yùn)營(yíng)中所起的作用和IT投入等主要方面做出明確的規(guī)定。征求公司各部門的意見，就IT原則在IT治理委員會(huì)中形成決議后，在全公司范圍內(nèi)進(jìn)行宣傳，使之成為IT實(shí)踐的行動(dòng)指南。

3.2 IT決策組織與治理機(jī)制

根據(jù)公司當(dāng)前的業(yè)務(wù)需求，建立專門的IT治理委員會(huì)或類似組織。組織應(yīng)當(dāng)包括公司最高管理層、IT治理直接責(zé)任人、IT部門負(fù)責(zé)人、相關(guān)業(yè)務(wù)負(fù)責(zé)人、財(cái)務(wù)負(fù)責(zé)人、內(nèi)部控制負(fù)責(zé)人以及部分技術(shù)骨干等人員。

在IT治理相關(guān)制度中規(guī)定重大IT事項(xiàng)的決策機(jī)制和相關(guān)人員的參與責(zé)任，建立IT治理委員會(huì)議事規(guī)則、工作流程和正式的IT溝通渠道。

3.3 IT制度與流程

完善層次化的制度體系，并規(guī)范具體的操作流程，逐步實(shí)現(xiàn)IT管理的標(biāo)準(zhǔn)化和精細(xì)化；并進(jìn)一步完善IT制度文檔的建立、修訂和完善的流程。在整合現(xiàn)有制度的基礎(chǔ)上，進(jìn)一步完善IT規(guī)劃、基礎(chǔ)建設(shè)、軟件開發(fā)、系統(tǒng)運(yùn)維等方面的制度和流程，在適當(dāng)?shù)臅r(shí)機(jī)建立統(tǒng)一質(zhì)量監(jiān)控與績(jī)效評(píng)估體系，并編寫包括信息安全、IT服務(wù)和開發(fā)管理體系文件并明確關(guān)鍵控制點(diǎn)與績(jī)效指標(biāo)。

3.4 IT規(guī)劃與架構(gòu)設(shè)計(jì)

通過建立IT治理組織，形成跨部門進(jìn)行IT規(guī)劃的工作機(jī)制，確保IT規(guī)劃與業(yè)務(wù)戰(zhàn)略保持一致，完善IT與業(yè)務(wù)的正式溝通機(jī)制；設(shè)立IT規(guī)劃和架構(gòu)的專門崗位，引入業(yè)務(wù)分析、IT規(guī)劃和IT架構(gòu)的高端人才；完善IT規(guī)劃與架構(gòu)設(shè)計(jì)方法論，增強(qiáng)業(yè)務(wù)部門對(duì)IT規(guī)劃的參與程度。

在業(yè)務(wù)戰(zhàn)略的基礎(chǔ)上，進(jìn)行中長(zhǎng)期信息化規(guī)劃，形成短期可執(zhí)行項(xiàng)目計(jì)劃，并建立IT規(guī)劃與架構(gòu)的制度與流程，把IT規(guī)劃與架構(gòu)設(shè)計(jì)作為IT工作的重要組成部分。公司應(yīng)根據(jù)IT原則和治理目標(biāo)定期進(jìn)行IT規(guī)劃與IT架構(gòu)的設(shè)計(jì)，確定IT基礎(chǔ)設(shè)施和IT應(yīng)用系統(tǒng)的整體框架，指導(dǎo)后續(xù)的IT實(shí)踐活動(dòng)。

3.5 IT基礎(chǔ)設(shè)施與服務(wù)管理

建立IT基礎(chǔ)設(shè)施管理制度，明確IT基礎(chǔ)設(shè)施建設(shè)的原則與要求，建立基礎(chǔ)設(shè)施運(yùn)維管理流程，明確運(yùn)維人員的崗位責(zé)任與獎(jiǎng)懲考核制度。在完善核心系統(tǒng)運(yùn)維的基礎(chǔ)上，加強(qiáng)非核心系統(tǒng)的運(yùn)維管理工作，為非核心系統(tǒng)運(yùn)維配備充分能力的人員，持續(xù)對(duì)運(yùn)維人員進(jìn)行相關(guān)專業(yè)培訓(xùn)。

3.6 IT與業(yè)務(wù)融合

在建立IT治理組織的基礎(chǔ)上，搭建IT部門與業(yè)務(wù)部門的溝通平臺(tái)，建立有效的溝通機(jī)制，并對(duì)溝通的結(jié)果進(jìn)行跟蹤和及時(shí)反饋。

完善現(xiàn)有的需求管理制度，建立需求管理和需求開發(fā)流程，以規(guī)范需求獲取過程，提高業(yè)務(wù)需求質(zhì)量。為IT項(xiàng)目建立合理的評(píng)審標(biāo)準(zhǔn)，并由公司內(nèi)控部、財(cái)務(wù)部和IT部門會(huì)商后報(bào)公司IT治理委員會(huì)審議立項(xiàng)。把項(xiàng)目評(píng)審與IT治理委員會(huì)審議的結(jié)果與需求提出部門進(jìn)行及時(shí)溝通。通過IT治理組織提供的溝通渠道，將IT應(yīng)用實(shí)現(xiàn)所遇到的人力資源缺乏、資金缺乏等問題以及新的IT技術(shù)可能帶來的業(yè)務(wù)機(jī)會(huì)向管理層進(jìn)行反映，并說明這些問題可能對(duì)業(yè)務(wù)發(fā)展帶來的影響。另外對(duì)開發(fā)人員進(jìn)行持續(xù)性培訓(xùn)和鼓勵(lì)創(chuàng)新也是此項(xiàng)內(nèi)容必須要關(guān)注的內(nèi)容。

3.7 IT投資管理

對(duì)IT作為公司戰(zhàn)略資產(chǎn)的重要性認(rèn)識(shí)需要進(jìn)一步提高，管理層要意識(shí)到為了實(shí)現(xiàn)成為領(lǐng)先型行業(yè)客戶的目標(biāo)，需要對(duì)IT持續(xù)投入，使IT成為推動(dòng)業(yè)務(wù)發(fā)展的動(dòng)力。

公司應(yīng)建立IT預(yù)算的合理評(píng)審原則，并聽取業(yè)務(wù)部門與IT部門的建議。在提出IT預(yù)算時(shí)，IT部門應(yīng)在合理的成本范圍內(nèi)從技術(shù)方面在進(jìn)行可行性研究，業(yè)務(wù)部門從業(yè)務(wù)方面提出可實(shí)現(xiàn)的業(yè)務(wù)效益。參考同行或國(guó)外的經(jīng)驗(yàn)，在IT項(xiàng)目成本管理方面建立可量化的指標(biāo)體系。

3.8 IT人力資源

在信息技術(shù)部門建立設(shè)置合理、職責(zé)明確的崗位責(zé)任制，定期對(duì)信息技術(shù)人員進(jìn)行考核，且每年不少于一次。IT人員的配備不僅是在IT部門，也需要在業(yè)務(wù)部門配置具有IT背景的人員，以促進(jìn)IT與業(yè)務(wù)的深度融合。同時(shí)根據(jù)公司業(yè)務(wù)戰(zhàn)略及IT戰(zhàn)略的要求，逐步增加IT研發(fā)人員的數(shù)量和開發(fā)水平。

3.9 IT安全和風(fēng)險(xiǎn)控制

建立信息安全管理體系，從制度、流程、技術(shù)及人員等方面保障系統(tǒng)安全及信息安全，建立持續(xù)的信息安全檢查與審計(jì)機(jī)制，并使員工的安全行為與獎(jiǎng)懲考核掛鉤。增加系統(tǒng)運(yùn)行組的資源配置，加強(qiáng)人員培訓(xùn)，優(yōu)化流程，提高運(yùn)維效率。逐步實(shí)現(xiàn)系統(tǒng)開發(fā)和運(yùn)維管理在系統(tǒng)、人員及數(shù)據(jù)等方面進(jìn)行有效分離。

進(jìn)一步優(yōu)化災(zāi)備系統(tǒng)的流程，加強(qiáng)員工對(duì)災(zāi)備系統(tǒng)的重要性認(rèn)識(shí)，加強(qiáng)災(zāi)備操作技能的演練。

在客戶資料保護(hù)方面，要對(duì)客戶信息分級(jí)分類，對(duì)客戶信息在流轉(zhuǎn)整個(gè)過程中進(jìn)行風(fēng)險(xiǎn)評(píng)估，并針對(duì)控制弱點(diǎn)采取相應(yīng)的安全控制措施，例如加強(qiáng)員工和外部合作方在客戶信息保護(hù)方面的教育與培訓(xùn)等。

在IT外包管理方面，IT部門應(yīng)建立IT外包管理制度，并對(duì)制度的落實(shí)情況進(jìn)行監(jiān)督。

在IT風(fēng)險(xiǎn)管理方面，應(yīng)根據(jù)公司現(xiàn)狀，進(jìn)一步完善IT風(fēng)險(xiǎn)管理框架、策略和流程，審計(jì)部門應(yīng)當(dāng)對(duì)IT風(fēng)險(xiǎn)評(píng)估結(jié)果進(jìn)行跟蹤檢查，并定期進(jìn)行修訂。

在IT審計(jì)方面，在建立IT風(fēng)險(xiǎn)控制框架的基礎(chǔ)上，建立有效的IT審計(jì)框架，建立IT審計(jì)流程和公司自制的IT審計(jì)標(biāo)準(zhǔn)，對(duì)現(xiàn)有IT審計(jì)人員進(jìn)行培訓(xùn)，并對(duì)IT審計(jì)發(fā)現(xiàn)的問題積極整改，降低重大IT風(fēng)險(xiǎn)發(fā)生的概率。

4 結(jié)束語(yǔ)

為提升公司的IT能力，確保IT對(duì)業(yè)務(wù)發(fā)展與創(chuàng)新的持續(xù)支持，實(shí)現(xiàn)IT投資效益的最大化，根據(jù)IT戰(zhàn)略層的IT治理存在的風(fēng)險(xiǎn)，從以上論述的九個(gè)方面展開IT治理實(shí)施，使IT管理從以往僅僅滿足功能要求與性能指標(biāo)到現(xiàn)在要求的最大化IT投資效益和業(yè)務(wù)增值，將以往局限于支持業(yè)務(wù)運(yùn)營(yíng)的IT管理發(fā)展演變?yōu)闃I(yè)務(wù)部門發(fā)展與規(guī)劃的強(qiáng)有力的合作伙伴，最終提升企業(yè)的核心競(jìng)爭(zhēng)能力。

參考文獻(xiàn)：

[1]思春林.企業(yè)創(chuàng)新空間與技術(shù)管理[M].北京：清華大學(xué)出版社，2005.

[2]何建佳，葛玉輝，張光遠(yuǎn).信息化進(jìn)程中的組織變革與IT治理[J].商業(yè)研究，2006（17）：117-120.

[3]張運(yùn)生，曾德明，張利飛.從公司治理本質(zhì)透視lT治理本質(zhì)[J].科技進(jìn)步與對(duì)策，2007（02）：158-160.

[4]塞利格（美國(guó)）.實(shí)施IT治理：方法論?模型?全球最佳實(shí)踐[M].北京：中國(guó)經(jīng)濟(jì)出版社，2011.

[5]陳憲宇.企業(yè)IT管理和控制研究[J].工業(yè)技術(shù)經(jīng)濟(jì)，2010（09）.

作者簡(jiǎn)介：鄭妍（1978.05-），女，云南玉溪人，工科學(xué)士，工程師，研究方向：信息化管理，信息安全。

作者單位：云南電網(wǎng)公司玉溪供電局，云南玉溪 653100