审计机关IT治理探讨

作 者:

作者简介:
李梅,兰州大学管理学院 李春青,审计署驻兰州特派员办事处

原文出处:
南京审计学院学报

内容提要:


期刊代号:V3
分类名称:审计文摘
复印期号:2009 年 06 期

关 键 词:

字号:

      IT治理最早由Loh等人于1992年提出,但直到1999年V.Sambamurthy等人使用多维权变环境理论(theory of multiple contingencies)研究环境因素如何影响IT治理模式的选择起,IT治理才被重视起来。虽然目前各界对IT治理还存在许多争论,但对其目标基本形成了一致观点,即保持IT与业务目标一致、合理利用IT资源和适当管理IT相关风险,利用IT推动业务发展并从中获取最大价值。

      IT既有提升审计效率、效果的积极一面,也有花哨炫目的一面。在信息化大趋势氛围下,又必须不断加大IT投资,审计机关对IT抱有一种弃之可惜、取之不实用的复杂心态,这种复杂心态正是实施IT治理的重要基础和时机。

      保罗·斯特斯曼认为信息系统首先是一种“政治”,其次才是一门技术。这里所谓的“政治”是指无论是资金的投入还是对信息系统的使用和管理,首要关注点是使用技术的环境,而不是技术本身。

      一、审计机关IT治理模式的选择

      审计机关实施IT治理,首要的问题是根据自身特点选择适合的IT治理模式。目前COBIT、ITIL和Weill&Ross在我国认可范围较广。

      (一)三种主流的IT治理模式

      COBlT是信息及相关技术控制目标的简称,由美国IT治理协会(ITGI)发布。COBIT的内容可以分为业务需求、IT资源和IT过程三个维度,业务需求维描述组织使用IT的七个战略目标,即有效性、效率性、机密性、完整性、可用性、一致性和可靠性;IT资源维描述IT治理的四类对象,即应用系统、信息、基础设施和人员;IT过程维描述信息系统生命周期的四个域,即规划与组织、获取与实施、交付与支持、监控与评价。

      ITIL是信息技术基础架构库的简称,由英国商务部发布。ITIL是以一系列的出版物方式发布的,其第3版的核心部分由《服务战略》、《服务设计》、《服务转换》、《服务运营》和《服务改进》组成。ITIL的理论根据是IT服务生命周期理论,其服务战略是生命周期运转的轴心,服务设计、服务转换和服务运营是实施阶段,服务改进对有关的进程和项目进行优化。

      Weill&Ross模式由麻省理工斯隆管理学院的彼得·维尔(Peter Weill)和珍妮·罗斯(Jeanne W.Ross)提出,不同文献中叫法不一,有PW模型、CISR研究模型、Weill&Ross模式、GAM模式等。Weill&Ross模式认为IT治理是在IT应用过程中,为了鼓励期望行为而明确的决策权归属和责任担当的框架。其将IT应用决策分为IT原则、IT架构、IT基础设施、业务应用需求和IT投资五类,将决策方式分为业务君主制、IT君主制、封建制、联邦制、IT双寡头制和无政府制六种,通过给每类IT决策安排不同的决策方式来同时实现授权与控制。

      (二)IT治理模式的理念、柔性和复杂度比较

      由于IT治理模式的多样性,相关的比较研究也很多,国际上Michael等学者对17种IT治理模式进行了比较分析,国内学者李维安、李长征等也对COBIT、ITIL和Weill&Ross等模式进行了详细的比较。目前学术界对IT治理模式的比较研究主要关注各种模式的异同,对深入理解IT治理有很大帮助,但在实务中选择IT治理模式时,还需要考虑IT治理模式的理念、柔性和复杂度等因素。

      治理理念是指IT治理模式蕴涵的思想理念。由于起源不同,IT治理模式蕴涵的思想理念也不尽相同。Weill&Ross模式是在对全球300多家企业调查的基础上总结而来,认为IT治理是在IT应用过程中为了鼓励期望行为而明确的决策权归属和责任担当框架,主要考虑IT决策权的分配,因此更偏向于治理;COBIT模式起源于信息系统审计与控制协会(ISACA),认为IT治理是董事会和管理层的责任,由领导能力、组织结构和过程组成,以确保IT支撑和扩展组织的战略与目标,比较关注IT审计与控制,包含了一定的IT管理内容;ITIL起源于英国的政府部门,以IT服务为核心,最初目标是通过应用IT来提升政府业务的效率,其中包含的IT管理内容较多。

      柔性就是IT治理模式的灵活程度。IT治理模式都集成了相应的基本思想,如果这个基本思想与组织的行业、环境和文化存在较大差异,则容易形成IT治理模式与组织的冲突。在三种模式中,Weill&Ross模式注重对IT决策权的分配,强调根据组织不同做出权变的选择,柔性最高;ITIL以当前流行的服务驱动价值为基础,糅合了生命周期理念,但主要关注IT服务,柔性次之;COBIT中蕴涵了很多ISACA的IT管控思想,而且指定了有效性、效率性、机密性、完整性、可用性、一致性和可靠性等七个IT目标,柔性最低。

      复杂度就是IT治理模式被人们理解和应用的难易程度。组织是千差万别的,对IT治理的理解、接受和应用的能力也不尽相同。COBIT分为业务需求、IT资源和IT过程三个维度、34个流程、300多个控制措施,复杂度最高;ITIL涉及服务战略、服务设计、服务转换、服务运营和服务改进等五个阶段,且在不同版本之间存在交叉,复杂度次之;Weill&Ross模式的核心内容是以五类IT决策、六种决策方式组成的IT治理安排矩阵表示,其作者甚至称其为“简单的只有一页的框架”,复杂度最低。

相关文章: