审计机关IT治理探讨,本文主要内容关键词为:机关论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
IT治理最早由Loh等人于1992年提出,但直到1999年V.Sambamurthy等人使用多维权变环境理论(theory of multiple contingencies)研究环境因素如何影响IT治理模式的选择起,IT治理才被重视起来。虽然目前各界对IT治理还存在许多争论,但对其目标基本形成了一致观点,即保持IT与业务目标一致、合理利用IT资源和适当管理IT相关风险,利用IT推动业务发展并从中获取最大价值。
IT既有提升审计效率、效果的积极一面,也有花哨炫目的一面。在信息化大趋势氛围下,又必须不断加大IT投资,审计机关对IT抱有一种弃之可惜、取之不实用的复杂心态,这种复杂心态正是实施IT治理的重要基础和时机。
保罗·斯特斯曼认为信息系统首先是一种“政治”,其次才是一门技术。这里所谓的“政治”是指无论是资金的投入还是对信息系统的使用和管理,首要关注点是使用技术的环境,而不是技术本身。
一、审计机关IT治理模式的选择
审计机关实施IT治理,首要的问题是根据自身特点选择适合的IT治理模式。目前COBIT、ITIL和Weill&Ross在我国认可范围较广。
(一)三种主流的IT治理模式
COBlT是信息及相关技术控制目标的简称,由美国IT治理协会(ITGI)发布。COBIT的内容可以分为业务需求、IT资源和IT过程三个维度,业务需求维描述组织使用IT的七个战略目标,即有效性、效率性、机密性、完整性、可用性、一致性和可靠性;IT资源维描述IT治理的四类对象,即应用系统、信息、基础设施和人员;IT过程维描述信息系统生命周期的四个域,即规划与组织、获取与实施、交付与支持、监控与评价。
ITIL是信息技术基础架构库的简称,由英国商务部发布。ITIL是以一系列的出版物方式发布的,其第3版的核心部分由《服务战略》、《服务设计》、《服务转换》、《服务运营》和《服务改进》组成。ITIL的理论根据是IT服务生命周期理论,其服务战略是生命周期运转的轴心,服务设计、服务转换和服务运营是实施阶段,服务改进对有关的进程和项目进行优化。
Weill&Ross模式由麻省理工斯隆管理学院的彼得·维尔(Peter Weill)和珍妮·罗斯(Jeanne W.Ross)提出,不同文献中叫法不一,有PW模型、CISR研究模型、Weill&Ross模式、GAM模式等。Weill&Ross模式认为IT治理是在IT应用过程中,为了鼓励期望行为而明确的决策权归属和责任担当的框架。其将IT应用决策分为IT原则、IT架构、IT基础设施、业务应用需求和IT投资五类,将决策方式分为业务君主制、IT君主制、封建制、联邦制、IT双寡头制和无政府制六种,通过给每类IT决策安排不同的决策方式来同时实现授权与控制。
(二)IT治理模式的理念、柔性和复杂度比较
由于IT治理模式的多样性,相关的比较研究也很多,国际上Michael等学者对17种IT治理模式进行了比较分析,国内学者李维安、李长征等也对COBIT、ITIL和Weill&Ross等模式进行了详细的比较。目前学术界对IT治理模式的比较研究主要关注各种模式的异同,对深入理解IT治理有很大帮助,但在实务中选择IT治理模式时,还需要考虑IT治理模式的理念、柔性和复杂度等因素。
治理理念是指IT治理模式蕴涵的思想理念。由于起源不同,IT治理模式蕴涵的思想理念也不尽相同。Weill&Ross模式是在对全球300多家企业调查的基础上总结而来,认为IT治理是在IT应用过程中为了鼓励期望行为而明确的决策权归属和责任担当框架,主要考虑IT决策权的分配,因此更偏向于治理;COBIT模式起源于信息系统审计与控制协会(ISACA),认为IT治理是董事会和管理层的责任,由领导能力、组织结构和过程组成,以确保IT支撑和扩展组织的战略与目标,比较关注IT审计与控制,包含了一定的IT管理内容;ITIL起源于英国的政府部门,以IT服务为核心,最初目标是通过应用IT来提升政府业务的效率,其中包含的IT管理内容较多。
柔性就是IT治理模式的灵活程度。IT治理模式都集成了相应的基本思想,如果这个基本思想与组织的行业、环境和文化存在较大差异,则容易形成IT治理模式与组织的冲突。在三种模式中,Weill&Ross模式注重对IT决策权的分配,强调根据组织不同做出权变的选择,柔性最高;ITIL以当前流行的服务驱动价值为基础,糅合了生命周期理念,但主要关注IT服务,柔性次之;COBIT中蕴涵了很多ISACA的IT管控思想,而且指定了有效性、效率性、机密性、完整性、可用性、一致性和可靠性等七个IT目标,柔性最低。
复杂度就是IT治理模式被人们理解和应用的难易程度。组织是千差万别的,对IT治理的理解、接受和应用的能力也不尽相同。COBIT分为业务需求、IT资源和IT过程三个维度、34个流程、300多个控制措施,复杂度最高;ITIL涉及服务战略、服务设计、服务转换、服务运营和服务改进等五个阶段,且在不同版本之间存在交叉,复杂度次之;Weill&Ross模式的核心内容是以五类IT决策、六种决策方式组成的IT治理安排矩阵表示,其作者甚至称其为“简单的只有一页的框架”,复杂度最低。
(三)Weill&Ross模式是审计机关当前最合适的选择
审计机关的规模都比较小,小的只有十几人,大的也不过上百人;只经历了几年或十几年的信息化历程,规范程度较低;对IT的理解各不相同,普遍缺乏IT治理理念。因此,审计机关实施IT治理需要一种由简到繁、由量变到质变的渐变过程,IT治理需要被逐渐地认可和接受。
在COBIT、ITIL和Weill&Ross三种模式中,COBIT过于复杂和刚性,以其为标准需要引入大量的IT控制措施,这些控制措施对于当前的审计机关来说,过于严格和理想化,很容易引起人们的抵触情绪,最终导致IT治理的失败;ITIL过于偏向IT服务管理,与审计机关的现实情况存在较大差异,以ITIL为标准实施IT治理,需要在组织结构、业务流程和组织定位上做出大量变革,很难付诸于实践;Weill&Ross模式的权变观点具有高度柔性,实施框架简单易懂,主要注重IT权责的分配,是审计机关当前最合适的选择。
二、审计机关集权化的IT决策机制及其存在问题
(一)审计机关集权化的IT决策机制
在Weill&Ross模式的决策方式中,业务君主制是由高级管理层决策;IT君主制是由IT部门决策;封建制是由业务单位在权力范围内自主决策;联邦制是由高级管理层和业务单位联合决策;IT双寡头制是由IT部门和其他团队共同决策;无政府制是由独立的个体和小团体决策。业务君主制和IT君主制偏向于集权,封建制界于集权和分权之间,联邦制和IT双寡头制偏向于分权,无政府制属于过度分权的失控区域,其分布情况如图1所示。
图1 IT决策的集权与分权区域
在IT决策中,如果高级管理层对IT缺乏认识与控制,往往会将本应由高级管理层掌握的IT决策权下放给IT部门负责人,这种现象在审计机关中非常普遍。在信息化建设初期,大多数审计机关的高级管理层对IT缺乏深层次的认识,只是在信息化浪潮的推动下,被动进行IT投资与建设,由于对IT的陌生,大多将与IT相关的决策权下放给IT部门。除了高级管理层以外,内部的其他部门也由于相同的原因,将与自身相关的IT决策权交由IT部门代为决定。经过一段时间发展后,本应由不同层次、不同部门掌握的IT决策权自然而然地向IT部门转移、集中。
在当前的审计机关中,大部分IT决策权集中在IT部门或受到IT部门影响,这是典型的IT君主制,属于集权化的IT决策机制。
(二)IT决策的长期集权化带来的问题
审计机关集权化的IT决策机制是特定历史的产物,在过去的审计信息化建设中发挥了重要作用,但长期的IT决策集权化也产生了一些不容忽视的问题。
1.IT应用与审计业务相脱节
审计机关承担的审计任务均以项目方式组织,审计业务部门作为执行部门,关注短期项目利益,IT部门作为综合管理部门,更关注长期利益和总体利益,并不拘泥于单个的具体项目,因此审计业务部门和IT部门在IT方面的利益并不一致。IT部门建设信息系统、开发软件和探索IT新技术,然而在审计业务部门看来,这些系统、软件和技术并不能带来工作质量、效率上的提高,但由于各种原因又不得不去应用,成为IT的被迫接受者。IT决策权集中在IT部门,决策过程中往往忽略了审计业务部门的利益,长期的忽略使审计业务部门逐渐丧失了对IT的兴趣与应用动力,导致其对IT的态度从最初的支持转向后来的漠视。IT丧失了审计业务部门的支持、配合和参与,必然导致与审计业务逐渐相脱节。
2.IT审计战略规划缺乏全局性或无法被实际遵循
IT战略规划本应由高级管理层制订并负责推动实施,由于对IT的陌生,高级管理层将这些工作交给了IT部门,但这只能是信息化初期的权宜之计,IT部门无法长期替代高级管理层做出决策。IT部门只是一个二级部门,而且在很多审计机关中地位较低,没有能力去推动涉及整个审计机关的IT战略规划。因此,IT部门要么将IT战略规划降低到自己能够推动的范围之内,失去全局性;要么为制订规划而制订规划,完成后就束之高阁不去推行。现实中走一步看一步,需要一个建设一个的现象较为普遍,最终形成重复性建设、无用建设和信息孤岛,导致IT应用在整体上效率较低、维护成本较高。
3.设备、人力等IT资源配置失衡
在集权化决策机制下,IT部门承担几乎所有与IT相关的工作,也承担所有与IT相关的责任,长期的责任压力使IT部门在决策过程中采取避责行为。在IT设备资源配置方面,决定投资于硬件还是软件时,IT部门会考虑自己需要承担的责任,由于软件开发的成本无法准确估量,加上当前软件开发中浮夸现象比较严重,投资于软件会遭受较多的质疑与非议。因此,IT部门会更倾向于购置能够看得见、具有刚性成本的硬件设备,造成重硬件轻软件的设备配置失衡。在IT人力资源配置方面,由于IT已经逐渐基础化,人们对基础化的东西有更高的要求,IT系统正常运行会被认为是理所当然,但一旦出现故障则会成为批评的焦点,为规避这种风险,IT部门投入大量人力在系统维护等基础性工作上,而投入审计业务的人力自然会减少,造成IT人员配置失衡。
三、审计机关IT治理的方向:从集权转向分权
(一)从集权转向分权的基本思路
在信息化建设初期,IT对于审计机关来说还非常陌生,新事物的引入与应用需要一个领导者,IT部门作为信息化的专业部门,理所当然地承担起了这个领导者的角色,在IT决策中站在强势地位,对整个审计机关的IT应用进行引导与促进,集权化的IT决策机制在当时是一种比较好的选择。
但在经过一段时间的信息化发展之后,高级管理层、内部各部门和最终用户对IT有了深入的理解,逐步走向成熟,对IT的预期也趋于理性。在这种环境下,集权化的IT决策机制不再有效,并且带来了一系列的问题,如果再继续集权于IT部门,则会加速IT与审计业务的背离,IT应用也会故步自封。因此,应逐渐向分权方向发展,更多地让高级管理层和审计业务部门参与相关的IT决策。
(二)分权化的IT决策组织机构
在Weill&Ross模式的六种IT决策方式中,联邦制和IT双寡头制偏向于分权,在现实中大多审计机关都有能够与这两种决策方式相对应的组织机构,即信息化建设领导小组和信息化建设领导小组办公室。
信息化建设领导小组由高级管理层和各部门负责人组成,IT部门负责人只是其中的一个参与者,是一种非常典型的联邦制决策机构,能够让高级管理层、审计业务部门参与IT决策。但联邦制也存在固有的缺陷,就是由于参与方众多而意见难以统一,较难做出决策,因此信息化建设领导小组主要关注全局性的、重大的IT决策。
信息化建设领导小组办公室由高级管理层和IT部门负责人组成,是一种比较典型的“T”字形IT双寡头制决策机构(见图2)。在审计机关中,一些全局性的IT决策并不适合由联邦制的信息化建设领导小组决策,需要一个既能站在全局高度,又对IT有深入理解的角色,在企业中这个角色就是首席信息官(CIO)。但目前审计机关大多没有设立CIO职位,而这种“T”字形IT双寡头制实际上是对缺少CIO的一种折中与补充,由高级管理层和IT部门负责人共同承担CIO的职责。
图2 “T”字形IT双寡头制
(三)偏向于分权的IT治理安排矩阵
从集权转向分权,并不需要做出大幅度的组织结构变动,在当前组织结构上进行IT决策权的调整即可实现。在集权化的IT决策机制下,审计机关主要采用IT君主制,由IT部门负责人做出IT决策,在偏向分权后应更多地采用联邦制和IT双寡头制,将部分IT决策权从IT部门转向信息化建设领导小组及其办公室。
图3 偏向于分权的IT治理安排矩阵
在IT治理实务中,并没有适合于所有审计机关的、统一的IT治理安排矩阵,审计机关需要根据自身情况制订IT治理安排矩阵,并进一步制订详细的IT决策流程。但审计机关具有一定的相似性,图3是一种可供参考、具有一定通用性、偏向于分权的IT治理安排矩阵,五项IT决策中偏向于技术的IT架构由IT部门负责人决策,偏向于总体方针、审计业务的IT原则和业务应用需求由信息化建设领导小组决策,偏向于资金的IT基础设施和IT投资由信息化建设领导小组办公室决策。通过以上分析,可以得出两个结论:一是Weill&Ross模式是审计机关当前最合适的IT治理模式;二是在IT决策权上审计机关应从集权向分权转变,将部分IT决策权从IT部门转向信息化建设领导小组及其办公室。
IT治理是复杂的,因为IT治理机制的形成是一个动态的过程,需要考虑所处的组织环境及组织文化。IT治理也是困难的,在没有完善的治理结构环境下,如何做好IT治理等许多问题依然在困扰着我们。由于这种复杂性和困难性,笔者只是对审计机关开展IT治理进行了一些初步探讨,许多问题还需要更深入的研究。
标签:itil论文; 分权管理论文; 审计软件论文; 企业信息化建设论文; 审计流程论文; 审计目标论文; 决策能力论文; cobit论文; it治理论文; it审计论文;