随着信息化进程的加快,企业在信息技术上的投资不断增加,同时也面临着巨大的风险,企业更关注信息技术投资的效果以 及信息技术与企业战略的整合。随着2002 年美国萨班斯法案(Sarbanes - Oxley Act ,SOX) 的通过,各个企业越来越重视企业内部IT 控制,他们对信息技术投资的态度更加审慎。IT治理(IT Governance) 是影响信息技术投资效果的重要因素, 因此,IT 治理成为商业界和学者所共同关注的问题。根据《ITGovernance Global Status Report —2006》的调查显示:  在全球范围内调查的623 家企业中,有36 %的企业已经实施和正在实施IT 治理,许多企业已经认识到了在信息技术管理中IT治理的重要性。
　　1 IT治理的定义
　　IT治理也称为IT 治理安排( IT Governance Arrangement)或IT 治理结构( IT Governance Structure) ,一般认为它是公 司治理的一个子集,即是公司治理的一个分支。它与先前研究中的IT 决策权( IT decision rights) 和IT 重要活动控制(  IT loci of control) 的含义是相同的 。IT治理与IT 管理是不同的(Weill &Ross ,2004)  , IT 管理是关于具体决策的 制定, 而IT 治理是系统地决定谁来进行何类决策,谁来输入这些决策以及人们对各自的角色所负有的责任。好的IT 治理能 利用公司治理的原则来管理和使用IT 以达到公司的绩效目标。
　　从不同的研究角度, IT治理的定义有所不同,目前对IT 治理还没有一个统一的表述,一些定义关注IT 与业务匹配的重要性 ,一些定义认为IT 治理等同于IT 相关决策结构,还有一些强调了IT 治理结构在组织中的重要性。归纳该领域内相关的研究 , IT 治理的定义主要包括了五个方面的内容 ,即战略匹配( strategic alignment ) 、通过IT 传输商务价值( delivery  ofbusiness value through IT) 、绩效管理(performance management) 、风险管理( risk management) 、控制和责任 (control and accountability) 。
　　下面我们通过几种典型的IT 治理定义,来了解其内涵:
　　1.1 ITGI ( IT Governance Institute) 的定义IT 治理协会(ITGI) 是国际信息系统审计与控制协会( ISACA) 于1998  年成立的,该组织主要进行IT 治理方面的研究。2001 年在其IT 治理的简报中指出: IT 治理是指导IT 竭尽全力,确保IT  的绩效达到以下目标:使IT 能够与公司保持一致,实现既定的利益;通过充分利用机会和使利益最大化,应用IT 激活企业;确 保IT 资源的合理利用; 对IT 相关的风险进行适当的管理。2003 年在IT 治理的简报第2 版中进一步指出: IT 治理是董事 会和高层经理的职责。它是公司治理的一部分,由领导、组织结构和过程构成的来确保组织的IT 能维持和实现组织战略和 目标。
　　1.2 V. Sambamurthy 等人的定义　V. Sambamurthy (1999)等人认为: IT 治理是指企业里关键IT 活动的权力模式,关键 IT 活动包括IT 基础设施、IT 应用和项目管理。这三项关键活动又包括若干具体的活动。
　　1.3 Peter Weill 等人的定义　Peter Weill 与Jeanne W. Ross(2004)等人认为: IT 治理是指在利用IT 过程中,为鼓 励期望行为而明确的决策权归属和责任担当框架。在其书中明确提出IT 治理的核心就是IT 决策权的配置,并提出了六种IT  治理原型。
　　本文采用Weill 与Ross 对IT 治理的定义,从IT 决策权的配置角度评价IT 治理的成熟度。
　　2 IT 治理的原因
　　随着组织中信息技术的快速发展,下述因素导致了企业进行IT 治理:
　　2.1 IT 的应用已经成为企业发展的主要驱动力　在新的世纪里,它已经成为企业成功的关键因素,为企业提供了获得竞争 优势的机会以及提高生产率的方式。在未来的发展中,这种驱动作用会更加重要。
　　2.2 组织IT 投资比例不断增加　各个组织在信息技术上的投资越来越多,国外组织中IT 预算基准不断增长,占经营预算的75 % ,接近营业收入的4 %[7 ] 。虽然IT 设备的价格较以前大幅下降,但其较以前在组织中的应用更加广泛, IT 在生 产要素中的比重不断增加,因此,企业不能仅仅加大对IT 的投资,还应该重视对IT 的管理和治理,以充分发挥IT 的作用。
　　2.3 　IT 资产的利用率较低　许多企业在大量的IT 投入之后,收效甚微;面对越来越多的IT 投资,企业也在疑问: IT 是 否给组织带来了价值? 经过不断的实践和研究,人们逐渐发现IT投资的效果不是取决于投资金额和技术的先进性,而是在于 对IT 管理水平的高低, IT 只是一种技术工具,而IT 治理才是影响组织IT 投资回报率的重要因素。
　　3 IT 治理成熟度相关研究
　　3.1 成熟度模型　最早的成熟度模型是美国卡内基·梅隆大学软件工程研究所(SEI) 于1987 年开发的,用于评价软件 开发过程的成熟度,即软件能力成熟度模型(Capacity Maturity Model,CMM) 。之后,项目管理、知识管理等研究领域也分 别采用此模型用于评价管理的成熟度。在信息技术管理方面有ITIL (信息技术基础设施库) 成熟度,在IT 治理的研究中,在 信息及相关技术控制目标(Control Objective by Information Technology ,COBIT) 中也提出了IT 治理成熟度模型。这 些成熟度模型的使用范围和应用者不同,详见表1 。

　　在IT 治理实践中,COBIT 的使用比较广泛。它是由美国IT 治理协会提出的一个IT 治理的开放性框架或标准,是基于组织 的信息技术平台而设计的。COBIT(4. 0) [8 ]对IT 治理成熟度的评价归结为规划与组织(Plan and Organize) 、系统获得 和实施(Acquire and Implement) 、交付与支持(Deliver and Support) 以及监控与评价(Monitor and Evaluate) 四个控 制域,对四个控制域下的34 个IT 过程按照0～5 即从不存在到最优级的等级分别进行了成熟度的评价,该模型制定了一个基 准,组织能根据相关指标确定自己的等级,从而了解自己目前的境界。
　　COBIT 的4. 0 版较3. 0 版在管理指南中新加入了表明组织中对IT 决策的权责配置的RACI 图,但并未从此角度展开对IT  治理成熟的评价。该图明确了在每个决策过程下多种具体的决策应该由谁来负责,负何种责任。RACI 是各管理者在IT决策 中应承担的四种责任:职责(Respons ibility) 、问责(Accountable) 、顾问(Consulted) 及被告知( Informed) ;对各种 决策承担相应责任的管理者包括CEO、CFO、CIO、业务经理、IT 管理主管等11 个职务。RACI 图为组织提供了更为具体的 指导,但相关决策太多,在4 个领域34 个IT 过程下共有189 个决策问题需要进行权责配置,如果以此为标准, IT 治理成熟 度评价的实施较为复杂。
　　Weill 与Ross 明确地提出了IT 治理的核心就是IT 决策权配置,并采用矩阵的方式对各决策问题和治理结构进行了配比,但 其研究没有提出IT 治理成熟度模型。COBIT 虽然提出了IT 治理成熟度模型,但其评价是基于IT 过程的,是一种事后的控制 ,并非是基于IT 决策权的配置的事前控制。同时,由于COBIT 是一个大的框架,实施起来是个巨大的工程。2002年美国颁布 Sarbanes - Oxley 法案(以下简称“SOX 法案”) 以来,很多公司以COBIT 为参照标准来确定必要的IT 控制目标,一般来讲 ,企业的关键控制点有1000 多个,有的企业可多达1 万个。企业实现SOX法案合规的咨询工作一般由四大会计师事务所来完 成,不可能由企业自己独立完成。基于以上原因,为了便于组织从IT 决策权配置的角度进行IT 治理成熟度的评价,本文从相 关文献归结出关键的IT 决策,明确其权责的归属,并以此为依据进行组织的IT 治理成熟度的评价,该方法简便,具有可操作性。
　　3.2 IT决策　Weill 与Ross(2004) 特别指出了IT 治理就是企业对IT 决策权和责任的分配机制,并认为有效的IT 治 理落实到三个基本问题:应当做出怎样的决策? 谁来做出这些决策? 如何做出以及如何监控这些决策? 其中,首要的问题就 是应当做出怎样的决策,即IT 治理应该就哪些问题进行决策。
　　相关研究提出了以下需要决策的问题:V. Sambamurthy 等人(1999) 指出信息技术活动包括IT 基础设施方面、IT 使用管理 和项目管理三部分(见表2) 。其中关于IT 基础设施方面的决策具体又包括:硬件和软件平台的种类;这些平台每年的增加; 网络和数据架构的种类;获得和调度IT 资产的公司标准。关于IT 应用管理的决策包括:软的优先顺序和(短期的和长期的)  规划、预算;操作与维护日常的交付。关于项目管理的决策包括融合IT 基础设施的能力与其它关于概念化、获得、开发和 部署信息系统软件的能力。

　　Weill 与Ross(2004) 认为IT 治理包括五个关键决策(见表3) ,即原则、IT 架构、IT 基础设施、IT 商业应用需求和IT  投资和优先顺序IT。IT 原则阐述IT 在组织中的作用; IT 架构定义了技术间的关系、整合及标准化的要求; IT 基础设施 决定共享的和可提供的服务; IT 商业应用需求根据企业需要确定购买还是内部开发所需软件; IT 投资和优先顺序选择有 限投资的项目并确定投资金额和投资的优先顺序。

　　3.3 IT 决策权的配置　对于上述各种IT 决策,决策权力的配置是否合理,也是IT 治理成熟水平的一个重要表现。传 统的IT 决策权的配置分为三种 :集权(centralized) 、分权(decentralized) 和中间水平(middle ground) (Zmud et al.  1986) 。Brown和Maqill (1994) 提出了四种决策权配置的模式,分别为高度集权(highly centralized) 、高度分权 (highly decentralized) 、混合式(hybrid) 和重新集权(re - centralized) 。
　　Weill 与Ross(2004) 提出了六种治理原型,即IT 治理结构,不同的决策应由不同的部门来完成。这六种治理原型是:业务君主制(Business monarchy) ,业务部门拥有决策权; IT 君主制( IT monarchy) , IT 部门和专家拥有决策权;封建制(  Feudal) ,每个业务部门独立决策;联邦制(Federal) ,公司的决策层和业务部门联合决策, IT 部门或参与或不参与; IT 双 寡头制( ITduopoly) , IT 团队和其他的某一个团队联合决策;无政府制(Anarchy) ,决策由孤立的个体或者小团体做出。 其中,业务君主制和IT 君主制与严格的集权决策结构相一致,封建制与分权制的意义相同,联邦制与中间水平意义相同,但 Weill 等人提出的IT 双寡头和无政府制是之前的研究所没有提出的。同时,Weill等人提出没有最优的治理机构,组织根据 各自的特点选择适合自己的治理结构。
　　Ross 与Weill (2002)提出企业IT 主管可以负责决定技术标准的选择、信息技术运作中心的设计、企业所需的IT 专家的选 拔与任用以及指导信息系统的实施与安装等等。然而,一旦决策涉及到企业的业务战略时,就不应该让信息部门独力承担义 务和责任。为了避免信息技术项目的失败,以及帮助企业从对信息技术的投资中获得切实的回报,作者列出了六条应当由企 业经理主动承担领导责任的决策问题:a. 应该在信息技术上投资多少才合适? b. 哪些业务流程最需要信息技术投资? c.哪 些信息技术应当在整个企业范围内实施? d. 企业的信息技术服务应达到多好的程度? e. 企业能承受多大程度的安全与隐私风险? f. 如果一项信息技术投资项目失败了,谁来负责?前三条面向战略层面,后三条关注具体的操作。Ross 和Weill 认为,以上六条决策问题都不应该交给IT 人员来回答,原因是他们仅仅是技术人员,这些重大决策应该由企业经理来承担。
　　4 IT 治理成熟度的评价
　　4.1 评价指标　根据管理原理中权责对等原则,以及不同层次的管理者所具有的能力和所掌握的信息有所不同,因此,不同的管理层应该负责不同的决策问题。高层应该进行战略性决策,基层应该进行操作性决策,这样的决策权的配置才是合理的。具体在IT 决策中,应明确哪些决策应该由董事会来做,哪些应该由CEO 来制定,哪些应该由CIO 或业务主管来制定。因此,本文把Weill 认为应该由企业经理承担而不应由CIO承担的六个决策都归为战略层决策。
　　基于相关研究,对上述IT 决策问题进行归纳,并增加了IT部门主管的配备和IT 培训等IT 决策问题。为了明确决策权的配置,把IT 决策分为战略层决策和执行层决策,执行层决策又细分为技术性决策和业务性决策,技术性决策是与信息技术相关的决策,业务性决策是与具体业务相关的决策。
　　对于IT 决策权的配置,本文根据权责对等原理设定如下原则:战略层决策应由组织高层负责,如董事会、CEO、信息技术委员会等;执行层决策由中层管理者负责,其中,技术性决策由CIO、信息中心等负责,业务性决策由相关业务部门负责,如会计电算化的相关决策由会计部门负责(见表4) 。

　　4.2 评价方法　对于上述20 个评价指标,各组织针对自己的情况进行评价,如果应由高层负责决策实际上也是由本组织的高层负责,则该项指标得分为1 ,否则得分为0 。本文假设各指标的权重相等,则对各项指标的得分进行加总,则得到该组织的IT 治理成熟度得分。
　　该模型可以帮助企业认清自己目前IT 治理成熟度,还可以得到战略层和执行层的IT 治理水平,以及执行层下的技术层和业务层的治理水平,在使企业对自己的IT 治理水平有个全面的评价,并可根据具体的评价指标找出自身的不足,为组织下一步完善IT 治理指明了方向。同时,该模型还可为各类组织提供本行业中最优的IT 治理典范,以及本行业的平均IT治理成熟度水平,为企业IT 治理提供参考。
　　5　结束语
　　IT治理成熟度评价为组织判定其治理级别提供了一个很好的工具,有利于组织进行自我评价,并及时发现问题,针对各项指标不断完善组织的IT 治理机制,使组织能充分利用IT 资源,获得最大的IT 投资收益,利用IT 的竞争优势使组织获得持续的发展。本文从IT 决策权配置角度,对IT 治理成熟度提出了评价指标和方法,该模型为各类组织的IT 治理成熟度评价提供了一个简便易行操作方法。在今后的研究中,可对评价指标进行优化,而且可根据组织的实际情况,对各项指标确定不同的权重,使评价更加完善。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。