IT治理：中国信息化的必由之道（五）

孙强 郝亚斌 郝晓玲 孟秀转

建立IT治理机制

建立IT治理机制是一个动态的过程。IT治理是机制的集合，更是治理主体间互动的过程，全球治理委员会的定义指出：“治理不是一整套规则，也不是一种活动，而是一个过程”，所以IT治理是一个“过程”，是公司与所有利益相关者的互动过程，包括在制定公司长远IT发展战略决策中这些“规则”上的互动，另外，环境的动态性也决定了IT治理的动态性。

IT治理是一个系统的过程。IT治理是控制、指导、协调组织战略目标和IT目标的系统，是IT治理主体、客体、IT治理结构、IT治理机制的总称，是内部IT治理、外部IT治理的融合，是IT治理方法、过程、目标与结果的统称，是为了实现IT治理目标所有制度安排与机制的集合。IT治理系统的目标是提供IT决策机制的科学化、决策过程的协调交互性和决策结果的创新性。

首先需要转变观念

拿着IT这样的现代武器，管理者却依旧是满脑袋的传统观念，结果可想而知，因此首先需要转变观念。在最高管理层（董事会）树立和维护IT战略地位的思想认识，建立企业战略与IT战略的互动观念，阐明IT应担当的角色，从业务的视角创造信息技术指导原则，如信息化规划本质上可以定位成从业务战略到信息战略的实现。从组织的战略出发而不是从系统的需求出发，可以避免脱离目标而进行建设的困境。从业务的变革出发而不是从技术的变革出发，有利于充分利用组织的现有资源来满足关键需求，从而避免建设的信息系统无法有效地支持组织的决策。又如利用电子商务消除时间和空间得特性，发展与全球客户的关系，能够引导巩固客户数据库和订单处理过程。

发展外部环境

目前我国外部市场监控机制尚不健全，公司治理结构中的监控职能被严重削弱，并使董事会失去监督。另一方面，风险管理意识淡薄，安全上采用纯粹技术手段解决。我们认为缺乏优良公司治理和IT治理机制是一些国内企业与金融机构无法抵御全球经济低靡和无法适应市场环境快速变化的重要原因之一。因此，加强IT治理实质上是一个政府和企业机构必须携手面对的问题。政府必须扮演一个重要的推动角色，并且尤其需要强调的是政府制定规则比较合理的方法是通过听证会或知情会上下协商、交互式地制定规则（非自上而下制定规则的方法，新制式车牌的暂停发放就是没有善治的案例），这样才能解决规则的充分合法性、可执行行性问题，“治理不是一种正式的制度，而是持续的互动”（《我们的全球伙伴关系》）；鉴于全球化和信息技术得无国界性，尽管在公司治理模式上有英美模式、德日模式、东亚和东南亚模式，但在IT治理上有更大趋同性的发展趋势，因此，从治理（Governance）的角度企业应该采用合乎国际标准的IT治理方法，以促进公司治理、IT治理和经营管理的协调发展。值得一提的是：组织采行优良IT治理机制的行动，将减轻政府部门在制订国民经济和社会信息化中所扮演的角色责任。

逐步试行建立IT治理委员会

IT治理委员会与IT审计师是IT治理最重要得环节。IT治理委员会由组织的最高管理层（董事会）及管理执行层包括IT管理和业务管理有关部门负责人、管理技术人员组成，定期召开会议，就企业战略与IT战略的驱动与设置等议题进行讨论并做出决策，为组织IT管理提供导向与支持，把IT治理的相关规范融入到组织的内部控制中。

对于规模较大的组织，一项IT（如安全）控制活动需要多个部门的共同参与才能得以实现，为能迅速解决控制过程出现的问题，防止内部互相推诿的现象发生，提高工作效率，需组成一个跨部门的IT治理委员会，加强全局的管理与流程执行的纪律，解决诸如信息安全事故的调查与处理等一些实际的问题，这是进行IT管理内部协调的很好的办法。

今年的9月17日美国联邦政府公布了由关键基础设施委员会（CIPB）制订的保障网络安全计划——《国家保障网络安全策略》。根据该计划，美国政府将在网络安全中发挥主导作用，同时会要求所有用户采取措施，其中该文件要求上市公司发布经过独立审计的安全报告，建议公司成立公司安全委员会等。由此可见，美国的IT治理机制已深入发展到建立安全治理机制领域。

明确规定IT管理过程的责任

职责缺乏或界定不清，最终导致控制得不到有效得实施，形成管理风险。组织最高管理层应确保对管理层、部门、运维人员职责进行规定并形成书面文件。

对信息系统进行独立审计

信息系统审计是一个获取并评价证据，以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。它综合运用IT技术与审计理论及方法为信息时代信息的使用者提供合理的保证。

在信息时代，组织为预防不良事件的发生必须将其内部控制扩展到信息处理系统的各个方面，包括企业内部网与因特网在内的任何直接或间接影响财务报表或其他至关重要资料的数据或处理系统，因为该系统与包括合作伙伴在内的其他系统有着密切的联系。此外，这些公司还必须对与其互通业务数据的合作伙伴的内部控制系统有信心。在对于经营惯例、交易处理的完整性、信息保护和如何对信息系统的内部控制实施评估和风险管理方面，组织可以通过内部审计或外部审计达到上述目的。

信息系统审计的主要由以下部分组成：1、信息系统的管理、规划与组织——评价信息系统的管理、计划与组织方面的策略、政策、标准、程序和相关实务。2、信息系统技术基础设施与操作实务——评价组织在技术与操作基础设施的管理和实施方面的有效性及效率，以确保其充分支持组织的商业目标。3、资产的保护——对逻辑、环境与信息技术基础设施的安全性进行评价，确保其能支持组织保护信息资产的需要, 防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失。4、灾难恢复与业务持续计划——这些计划是在发生灾难时，能够使组织持续进行业务,对这种计划的建立和维护流程需要进行评价。5、应用系统开发、获得、实施与维护——对应用系统的开发、获得、实施与维护方面所采用的方法和流程进行评价，以确保其满足组织的业务目标。6、业务流程评价与风险管理——评估业务系统与处理流程，确保根据组织的业务目标对相应风险实施管理。

总之，我们认为我国的信息化建设向着纵深发展，必然要在更深层面上解决体制和机制问题。善治的IT治理机制，应该要极小化由于信息化和透明化所导致的不一致利益冲突所造成的制度面成本。IT治理不仅仅是动态的管理控制架构，还需要落实在组织内部控制及政府与市场监督体系的动态机制。

背景

IT治理的发展历程

国际组织和各国普遍认为公司治理机制对世界金融市场的稳定及经济发展发挥了至关重要的作用，这直接促进了IT治理机制的形成与发展。
在1999年，英国BIS发布了Internal Control: Guidance for Directors on the Combined Code( Turnbull Report, 1999)报告。该报告认为：企业风险来自于许多活动，不只是财务风险，因为事实说明，在金融界所有过去的风险问题都是由内部控制疏忽、信息技术失败引起的，而且所有企业最终依靠对信息技术基础设施的依赖和新技术风险的脆弱性，并呼吁高层领导树立风险意识。从此，公司治理和风险管理成为企业所有者与管理者日益重要的问题。该报告引入了内部控制的要求，对许多组织而言，信息与其支持技术代表该组织最有价值的资产，而且，竞争和不断变化的商业环境也要求企业能够充分利用信息技术实现更快的交付和更低的成本。因此，有效的公司治理和风险管理必然需要有效的IT治理和风险管理。与此同时，BIS还简单陈述了关键的信息系统，如何确保治理应该有效、透明，可以解释，这也意味管理信息技术相关风险，实现信息技术价值的交付成为公司治理中重要的组成部分。

1999年下半年，ISACA成立了IT治理研究院，专门研究IT治理的概念，并提供了信息及其相关技术的管理体系模型和最佳实务，帮助企业领导层认识有效实施IT治理的必要性与益处，从而保证长期的可持续的成功，并且增强利益相关者的价值。目前，该体系已在世界100多个国家的重要组织与企业中成功运用，指导这些组织有效利用信息资源，有效地管理信息相关的风险。因此，研究与探讨IT治理，对于我国信息化的探索和实践也有着重要的借鉴意义。

链接

国际信息系统审计与控制协会

国际信息系统审计与控制协会ISACA（Information System Audit and Control Association）成立于1969年，最初称为EDP审计师联合会，总部设在美国的芝加哥，是一个非盈利组织。目前在世界上100多个国家设有160多个分会，现有会员两万多人，是全球公认的在IT的管理、控制和保证领域的权威，ISACA的任务是：通过发展促进对信息、系统、技术的有效管理与控制的研究、实施及标准、权限的制定来支持企业实现其目标。这说明该协会的存在就是为了帮助IT的管理控制及保证利益相关者妥善处理IT的管理、IT的风险、IT的运作过程及协作控制、协作管理、协作风险和协作程序的相互作用。

ISACA通过提供各种有价值的服务（如：研究、标准、信息、教育、认证、专业的远景）实现以上作用。协会帮助从事信息系统审计、控制、安全工作的人员，使之不仅注意IT、IT的风险与安全主题而且更要关注IT与商业、商业运作及商业风险的关系。起主要工作内容如下：
?
设定标准—— 一般作为世界范围内的IT审计、控制的指导方针。
?
一个令人尊敬的认证项目CISA——在IS审计、控制、安全领域内国际上承认的认证。
?
一个关于关键的管理和技术主题的专业的发展项目。
?
提供备受赞誉的技术出版物，包含最新的研究、案例学习、信息知识入门等。
?
指导会员专业的活动和操行的职业道德准则。

通过ISACA会员共同的努力，该组织超越了地理、文化和职业界限，他们代表各种不同的企业团体，包括金融银行协会、会计审核公司、政府公共部门、公共事业及制造业等，通过选举或指定一个由全球的志愿者组成的团体管理这个协会，把他们独特的专业的见解带到协会中并用来作出组织的决定，这就是国际信息系统审计与控制协会的国际委员会。

为了体现对中国事务的重视，ISACA 理事会成立了一个工作组，专门负责ISACA和IT 审计与控制职业在中国的发展。该工作组由来自中国和世界各地的致力于ISACA 在中国发展的代表组成。ISACA 理事会的副会长Dean Kingsley担任中国工作组的主席。

案例

IT治理的成功案例

IT治理及其模型COBIT在全世界许多国家的政府及公共机构、军方、企业、大学、银行、保险业等都已有大量成功的案例。由于某些客观原因，迄今为止，还缺乏在中国相关组织实行的案例，在此我们仅选美国参议院和科尔顿工业大学的IT治理作为案例。

案例一：美国参议院

摘要

美国参议院的总检察官（Office of Inspector General）在寻求改进IT运作的方法。总检察官做出的大量初审报告都指出了参议院内部各种IT运作的缺陷，例如缺乏指导方针和过程规定（如系统开发生命周期），不理想的系统设计和开发，缺乏规划及绩效度量标准，大型机的混乱管理，缺乏足够的信息安全措施。为控制这种情况，并建立清晰的责任制度，需要采纳一种IT监管框架。COBIT恰是所需要的。

总检察官首先采纳COBIT作为其方针及流程手册的一部分，并且命令在所有IT审计中都采用COBIT作为其控制及审计原则。COBIT也应用于IT审计计划，IT审计技巧评估及培训。另外，COBIT还是总检察官报告的整体内容。结果是，提出了200多条建议，许多建议认为在操作中需要建立治理原则，政策，步骤的管理。于是，总检察官办公室用COBIT作为框架，建立所需的IT治理规划。

背景

1993到1994年间，参议院开始着手专业化运作的工作，通过添加新的岗位，首席行政官（首席行政官）及总检察官，以管理并监督参议院的行政工作。

参议院还任命总检察官完成参议院的首次审计，一个独立的财政审计及参议院20项运作的效能审计。这次审计指出了低效率的地方，潜在的节约开支的方法，并指出关于管理，信息技术，财政管理方面建立高级责任制度的迫切性。这次审计提出了200多条审计建议，其中许多是关于建立监管方针，政策及流程所需要的管理方法的。

就IT而言，COBIT作为IT治理框架使用，在COBIT的基础上，来建立适用于参议院的方针，原则和流程。总检察官已把COBIT纳入到其运作中去，并相信它能够帮助首席行政官的工作。总检察官与首席行政官讨论COBIT的优点，并得到了首席行政官的赞同。

过程

首席行政官实施

为介绍IT治理的框架及好处，参议院总检察官对参议院首席行政官及其主要成员做了一小时的基于COBIT实施工具集演示资料的介绍。

COBIT的主体及过程框架体现了在可管理及定义结构下的控制行为。高级详细的控制对象提供了全世界普遍接受的最好实践的标准及政策，并能够在标准或政策不存在或不充分的地方使用。因此，参议院认为接受COBIT是个理智的决定。

首席行政官迅速认识到COBIT有益于参议院的信息资源及财政机构。于是，首席行政官实施了COBIT，COBIT成为参议院内IT行为的通用治理部分。例如，信息资源部门将COBIT纳入到其系统开发生命周期（SDLC）过程中。早期的审计报告指出参议院不具备恰当的SDLC方法，财政系统不符合联邦或者参议院的既定方针，大型机资源未得到充分利用。SDLC的阶段及检查点提供了信息资源管理及系统开发的有组织可管理的方法。因此，他们采纳了SDLC方法及IT指导委员会（命名为信息资源管理建议委员会），总检察官是委员会的顾问。SDLC阶段对应于COBIT四个主体部分及相关的高级详细的控制对象。需要强调的是COBIT的监控部分对于确保关键SDLC的及时交付是非常关键的。

总检察官实施

总检察官将COBIT纳入到其政策及IT流程手册中，并使用它作为所有总检察官 IT审计行为的通用资源。COBIT成为审计计划过程，职员技巧/知识评估，职员及审计报告过程的培训需求评估的关键因素。

审计计划

将COBIT作为审计计划工具使用，目的如下：

? 对应早期审计与COBIT的主体及控制对象

? 选择审计内容并建立详细的审计计划

? 基于技术级别指定审计者

? 为获得所需的经验指定审计者

COBIT用来制定详细的审计计划。例如，认为商业冲击分析（BIA）审计是年度审计计划的一部分，并需要制定审计计划。计划包括参议院 BIA过程的背景，以前的审计覆盖面，审计对象，审计职员需求及审计时间计划。特别的，审计对象关注评估BIA定义，并区分IT功能的关键级别的充分及完整性。这些对象对应于COBIT的主体及高级控制对象（这种情况下，应用了COBIT的三个主体部分及四个高级控制对象）。
详细的审计程序在COBIT的审计方针的基础上发展，纳入了联邦政府审计需求及计算机辅助审计技巧。

知识/技巧及培训需求评估

因为IT方面的审计工作需要专门的知识，于是COBIT用来进行知识/技巧评估，以确保审计者具有所需的经验，从而能够顺利的成功完成审计工作。总检察官使用COBIT来决定完成审计的培训需求。

审计者衡量自己的能力以配合COBIT主体，并审计特别的高级控制对象。每个审计者在IT的教育，培训及经验基于三种技巧集合来划分：

? 基本理解－对IT过程，目的，对象及目标的广博知识

? 工作知识－在IT过程中，识别内部控制实力及缺陷方面所显示的能力

? 专业知识－设计并使用计算机辅助审计技巧，以识别并评估缺陷，推荐纠正措施的能力

为评估培训机会，课程数据库的维护基础是课程在提供支持COBIT主体及控制对象技巧方面的能力。其它的因素如课程开销，时间计划及教师表现也是考虑内容。在COBIT课程评估的基础上，管理者选择在合适的时间为审计者进行合适的课程培训。作为结果，建立了衡量审计者技巧，选择最佳IT培训课程的评估基础。

最后，总检察官的年度培训计划得以制定并被批准，以完成既定的年度审计计划。

报告

总检察官使用COBIT作为制定审计报告的内部控制及审计原则，使用COBIT主体及控制对象来方便报告的书写。例如，一个审计对象是衡量围绕Windows NT客户机/服务器的通用控制环境的效果。虽然没有发现严重的缺陷，审计指出了三个需要改进的地方，与如下的COBIT主体相对应：

? 计划及组织

? 交付与支持

? 监控

结果包括确保系统安全/病毒防护，使用标准命名惯例。最后的建议分成高，中，低三种优先级，从而管理者能够依据优先级完成改进措施。每种审计发现都是基于COBIT控制对象，这些控制对象及主体被看作审计标准。最后，建议也来自控制对象及审计方针。

总结

参议院发现COBIT对于参议院的运作及审计是一个有力的工具。首席行政官及高级管理人员和总检察官进行合作，使用COBIT来改进参议院的运作。作为结果，建立了IT监管框架，包括合理的SDLC方法，IT指导委员会（总检察官是咨询委员），来指导参议院的IT运行。

案例二：科尔顿工业大学

摘要

在寻找综合的IT治理方法论过程中，澳大利亚科尔顿工业大学，引入了COBIT。在检查了COBIT的框架之后，该大学的信息系统部门的总经理意识到COBIT将会极大提高接受程度，减少实施IT治理规划所需要的时间。COBIT是该大学成功取得IT治理主要目标的一个重要因素，即实现组织的转型，寻求改善的过程。

背景

科尔顿工业大学是西部澳大利亚最大的大学，在校学生超过31000人。科尔顿为850多名本科生和研究生开设商业、工程、保健科学、人文、科学、采矿、农业等方面的课程。内部组织结构由副大臣公署Vice Chancellory（高级管理和中心管理）以及学术部门（学院和部门）组成。

科尔顿信息管理部门(IMS)支持大学的信息和通讯技术（ICT）基础设施。它也负责各种大学申请的实施，为副大臣公署Vice Chancellory的员工提供桌面ICT支持服务。IMS提供中心帮助桌面，处理ICT基础设施和计算机问题。大约100个全职雇员组成IMS成员，由总经理领导。部门规范成4个导向：

? 应用----支持和开发学院和相关领域的应用

? 技术基础设施---支持和开发学院的ICT基础设施，包括服务器、网络、操作系统。

? 客户关系---为副大臣公署Vice Chancellory支持和开发桌面ICT,支持和开发课程设施、语音电话设施。

? 战略服务----提供ICT培训和硬件、软件、管理财务、人力资源、IT相关领域，实施最佳实践，贯彻策略，规划ICT和管理大学的记录和档案。

过程

科尔顿大学内部审计团队的员工了解了COBIT，对其内容印象深刻，并使其引起IMS领导层的关注。领导者一直对IT治理表示持续的关注，经过认真审视之后，高层委员会决定采用COBIT作为学院标准。

该大学审计师开始用COBIT作为对中心的ICT组织---科尔顿信息管理部门IMS正式审计的指南。科尔顿信息管理部门IMS总经理对COBIT框架有潜力引导实务的改善充满热情，并支持科尔顿信息管理部门IMS质量和策略团队。不久后，多套COBIT被发布到高层管理者手中。科尔顿信息管理部门IMS质量和策略团队然后通过在全体员工季度大会以及IMS行政大会上讲述COBIT的概览，提高意识训练。团队人员使用COBIT包中的PDF格式或文本格式来描述信息。在短期内，他们还邀请博学的外部审计咨询人员帮助进一步提高对COBIT 管理框架和实施的认识。所有团队领导和关键成员都给了COBIT控制目标和管理指南手册的副本。这能够增强COBIT的可见性和鼓励其余的人员使用文档作为参考和资源。

目前科尔顿信息管理部门IMS总经理仍对实施COBIT的益处充满信心，并基于所选择的COBIT目标提供连续两年的过程审计/复审。

审计报告

科尔顿信息管理部门IMS由一个小的、很大程度上自我导向的质量/过程改善团队组成。这个团队实施审计，目前通常是指检查和复核， 因为他们更倾向于合作的检查/规划，而不是敌对的审计。并且使用一个清晰的方法论搜集数据、对草案进行咨询和提供报告。它也参与到大学内部审计团队中，保证工作质量。

从2001年开始，科尔顿信息管理部门IMS质量和政策经理应用20多年组织的经验和知识开发了一个衡量每个目标的科尔顿信息管理部门IMS成熟度级别，目标是促进思考科尔顿信息管理部门IMS如何评价它的IT成熟规模。结果资料作为一个尝试性的练习，而非严格科学化的过程被共享，以促进IT相关问题的认识与思考。

这个实用的方法给与团队检查目标和鉴别改善路径一个有力的思想。

也是在2001年，员工从COBIT审计指南中用了多种衡量手段进行了检查/审计。尽管不是所有结果都令人满意，但是却有助于员工启动改善审计目标成熟度的策略。检查目标的选取主要依据最初成熟度评估的组成部分、高级员工的观点和可改进领域的期望。下半年，员工评估了改进和重新进行了优先排序，确定哪些是非常重要的。

2002年科尔顿大学开发了一个包括12个目标的审计新进度。员工持有这样的态度：将审计结果作为改进的机遇，而不是关注结果来责难团队。基于已经完成的检查，这个过程证明非常积极的、有益的。

每个COBIT审计评估现有的成熟度级别，也检查了内部证据来评级成熟度。每个审计都成为操作员工、股东和客户的教育性的、交流的练习。
2002年6月，从科尔顿大学内部审计部门的一个代表报告说，在他们执行详细的成熟度审计时，他们发现跨部门的成熟度级别的显著改善。
科尔顿大学认为由三个要素对COBIT的成功至关重要：

? 科尔顿信息管理部门IMS总经理个人领导能力和它实施COBIT的愿望。

? 在提出COBIT方面对成员持续的鼓励和监督。

? COBIT作为一个工程实施，恰当的工程方法论和实行成为必然。

结论

从2001年起，科尔顿大学采用COBIT进行自审计它的信息通讯和技术（ICT）实践,并识别改善的机遇。由于每个目标不能每年都审计，科尔顿信息管理部门IMS管理者每年选取的目标通常是最有可能为机构和客户提供重要业绩衡量的目标。

科尔顿信息管理部门IMS管理者相信COBIT提供了一个经济的、持续改进的框架。从这个框架中，员工能够理解与实施拓展全球标准的方法，自我审计标准，最佳实践，以及需要指导大学改善过程每件事。COBIT是一个有用的工具，打破了多年来实践中的“近视”论点。它帮助雇员理解和接受实现任务和责任的改进的方法。总之，COBIT非常有价值。

全文完

浏览：IT治理：中国信息化的必由之道（一）

IT治理：中国信息化的必由之道（二）

IT治理：中国信息化的必由之道（三）

IT治理：中国信息化的必由之道（四）