審計(jì)機(jī)關(guān)IT治理探討

IT治理最早由Loh等人于1992年提出，但直到1999年V.Sambamurthy等人使用多維權(quán)變環(huán)境理論(theoryofmultiplecontingencies)研究環(huán)境因素如何影響IT治理模式的選擇起，IT治理才被重視起來。雖然目前各界對IT治理還存在許多爭論，但對其目標(biāo)基本形成了一致觀點(diǎn)，即保持IT與業(yè)務(wù)目標(biāo)一致、合理利用IT資源和適當(dāng)管理IT相關(guān)風(fēng)險(xiǎn)，利用IT推動業(yè)務(wù)發(fā)展并從中獲取最大價(jià)值。IT既有提升審計(jì)效率、效果的積極一面，也有花哨炫目的一面。在信息化大趨勢氛圍下，又必須不斷加大IT投資，審計(jì)機(jī)關(guān)對IT抱有一種棄之可惜、取之不實(shí)用的復(fù)雜心態(tài)，這種復(fù)雜心態(tài)正是實(shí)施IT治理的重要基礎(chǔ)和時機(jī)。保羅·斯特斯曼認(rèn)為信息系統(tǒng)首先是一種“政治”，其次才是一門技術(shù)。這里所謂的“政治”是指無論是資金的投入還是對信息系統(tǒng)的使用和管理，首要關(guān)注點(diǎn)是使用技術(shù)的環(huán)境，而不是技術(shù)本身。一、審計(jì)機(jī)關(guān)IT治理模式的選擇審計(jì)機(jī)關(guān)實(shí)施IT治理，首要的問題是根據(jù)自身特點(diǎn)選擇適合的IT治理模式。目前COBIT、ITIL和Weill&Ross在我國認(rèn)可范圍較廣。（一）三種主流的IT治理模式COBlT是信息及相關(guān)技術(shù)控制目標(biāo)的簡稱，由美國IT治理協(xié)會(ITGI)發(fā)布。COBIT的內(nèi)容可以分為業(yè)務(wù)需求、IT資源和IT過程三個維度，業(yè)務(wù)需求維描述組織使用IT的七個戰(zhàn)略目標(biāo)，即有效性、效率性、機(jī)密性、完整性、可用性、一致性和可靠性；IT資源維描述IT治理的四類對象，即應(yīng)用系統(tǒng)、信息、基礎(chǔ)設(shè)施和人員；IT過程維描述信息系統(tǒng)生命周期的四個域，即規(guī)劃與組織、獲取與實(shí)施、交付與支持、監(jiān)控與評價(jià)。ITIL是信息技術(shù)基礎(chǔ)架構(gòu)庫的簡稱，由英國商務(wù)部發(fā)布。ITIL是以一系列的出版物方式發(fā)布的，其第3版的核心部分由《服務(wù)戰(zhàn)略》、《服務(wù)設(shè)計(jì)》、《服務(wù)轉(zhuǎn)換》、《服務(wù)運(yùn)營》和《服務(wù)改進(jìn)》組成。ITIL的理論根據(jù)是IT服務(wù)生命周期理論，其服務(wù)戰(zhàn)略是生命周期運(yùn)轉(zhuǎn)的軸心，服務(wù)設(shè)計(jì)、服務(wù)轉(zhuǎn)換和服務(wù)運(yùn)營是實(shí)施階段，服務(wù)改進(jìn)對有關(guān)的進(jìn)程和項(xiàng)目進(jìn)行優(yōu)化。Weill&Ross模式由麻省理工斯隆管理學(xué)院的彼得·維爾(PeterWeill)和珍妮·羅斯(JeanneW.Ross)提出，不同文獻(xiàn)中叫法不一，有PW模型、CISR研究模型、Weill&Ross模式、GAM模式等。Weill&Ross模式認(rèn)為IT治理是在IT應(yīng)用過程中，為了鼓勵期望行為而明確的決策權(quán)歸屬和責(zé)任擔(dān)當(dāng)?shù)目蚣?。其將IT應(yīng)用決策分為IT原則、IT架構(gòu)、IT基礎(chǔ)設(shè)施、業(yè)務(wù)應(yīng)用需求和IT投資五類，將決策方式分為業(yè)務(wù)君主制、IT君主制、封建制、聯(lián)邦制、IT雙寡頭制和無政府制六種，通過給每類IT決策安排不同的決策方式來同時實(shí)現(xiàn)授權(quán)與控制。（二）IT治理模式的理念、柔性和復(fù)雜度比較由于IT治理模式的多樣性，相關(guān)的比較研究也很多，國際上Michael等學(xué)者對17種IT治理模式進(jìn)行了比較分析，國內(nèi)學(xué)者李維安、李長征等也對COBIT、ITIL和Weill&Ross等模式進(jìn)行了詳細(xì)的比較。目前學(xué)術(shù)界對IT治理模式的比較研究主要關(guān)注各種模式的異同，對深入理解IT治理有很大幫助，但在實(shí)務(wù)中選擇IT治理模式時，還需要考慮IT治理模式的理念、柔性和復(fù)雜度等因素。治理理念是指IT治理模式蘊(yùn)涵的思想理念。由于起源不同，IT治理模式蘊(yùn)涵的思想理念也不盡相同。Weill&Ross模式是在對全球300多家企業(yè)調(diào)查的基礎(chǔ)上總結(jié)而來，認(rèn)為IT治理是在IT應(yīng)用過程中為了鼓勵期望行為而明確的決策權(quán)歸屬和責(zé)任擔(dān)當(dāng)框架，主要考慮IT決策權(quán)的分配，因此更偏向于治理；COBIT模式起源于信息系統(tǒng)審計(jì)與控制協(xié)會(ISACA)，認(rèn)為IT治理是董事會和管理層的責(zé)任，由領(lǐng)導(dǎo)能力、組織結(jié)構(gòu)和過程組成，以確保IT支撐和擴(kuò)展組織的戰(zhàn)略與目標(biāo)，比較關(guān)注IT審計(jì)與控制，包含了一定的IT管理內(nèi)容；ITIL起源于英國的政府部門，以IT服務(wù)為核心，最初目標(biāo)是通過應(yīng)用IT來提升政府業(yè)務(wù)的效率，其中包含的IT管理內(nèi)容較多。柔性就是IT治理模式的靈活程度。IT治理模式都集成了相應(yīng)的基本思想，如果這個基本思想與組織的行業(yè)、環(huán)境和文化存在較大差異，則容易形成IT治理模式與組織的沖突。在三種模式中，Weill&Ross模式注重對IT決策權(quán)的分配，強(qiáng)調(diào)根據(jù)組織不同做出權(quán)變的選擇，柔性最高；ITIL以當(dāng)前流行的服務(wù)驅(qū)動價(jià)值為基礎(chǔ)，糅合了生命周期理念，但主要關(guān)注IT服務(wù)，柔性次之；COBIT中蘊(yùn)涵了很多ISACA的IT管控思想，而且指定了有效性、效率性、機(jī)密性、完整性、可用性、一致性和可靠性等七個IT目標(biāo)，柔性最低。復(fù)雜度就是IT治理模式被人們理解和應(yīng)用的難易程度。組織是千差萬別的，對IT治理的理解、接受和應(yīng)用的能力也不盡相同。COBIT分為業(yè)務(wù)需求、IT資源和IT過程三個維度、34個流程、300多個控制措施，復(fù)雜度最高；ITIL涉及服務(wù)戰(zhàn)略、服務(wù)設(shè)計(jì)、服務(wù)轉(zhuǎn)換、服務(wù)運(yùn)營和服務(wù)改進(jìn)等五個階段，且在不同版本之間存在交叉，復(fù)雜度次之；Weill&Ross模式的核心內(nèi)容是以五類IT決策、六種決策方式組成的IT治理安排矩陣表示，其作者甚至稱其為“簡單的只有一頁的框架”，復(fù)雜度最低。（三）Weill&Ross模式是審計(jì)機(jī)關(guān)當(dāng)前最合適的選擇審計(jì)機(jī)關(guān)的規(guī)模都比較小，小的只有十幾人，大的也不過上百人；只經(jīng)歷了幾年或十幾年的信息化歷程，規(guī)范程度較低；對IT的理解各不相同，普遍缺乏IT治理理念。因此，審計(jì)機(jī)關(guān)實(shí)施IT治理需要一種由簡到繁、由量變到質(zhì)變的漸變過程，IT治理需要被逐漸地認(rèn)可和接受。在COBIT、ITIL和Weill&Ross三種模式中，COBIT過于復(fù)雜和剛性，以其為標(biāo)準(zhǔn)需要引入大量的IT控制措施，這些控制措施對于當(dāng)前的審計(jì)機(jī)關(guān)來說，過于嚴(yán)格和理想化，很容易引起人們的抵觸情緒，最終導(dǎo)致IT治理的失?。籌TIL過于偏向IT服務(wù)管理，與審計(jì)機(jī)關(guān)的現(xiàn)實(shí)情況存在較大差異，以ITIL為標(biāo)準(zhǔn)實(shí)施IT治理，需要在組織結(jié)構(gòu)、業(yè)務(wù)流程和組織定位上做出大量變革，很難付諸于實(shí)踐；Weill&Ross模式的權(quán)變觀點(diǎn)具有高度柔性，實(shí)施框架簡單易懂，主要注重IT權(quán)責(zé)的分配，是審計(jì)機(jī)關(guān)當(dāng)前最合適的選擇。二、審計(jì)機(jī)關(guān)集權(quán)化的IT決策機(jī)制及其存在問題（一）審計(jì)機(jī)關(guān)集權(quán)化的IT決策機(jī)制在Weill&Ross模式的決策方式中，業(yè)務(wù)君主制是由高級管理層決策；IT君主制是由IT部門決策；封建制是由業(yè)務(wù)單位在權(quán)力范圍內(nèi)自主決策；聯(lián)邦制是由高級管理層和業(yè)務(wù)單位聯(lián)合決策；IT雙寡頭制是由IT部門和其他團(tuán)隊(duì)共同決策；無政府制是由獨(dú)立的個體和小團(tuán)體決策。業(yè)務(wù)君主制和IT君主制偏向于集權(quán)，封建制界于集權(quán)和分權(quán)之間，聯(lián)邦制和IT雙寡頭制偏向于分權(quán)，無政府制屬于過度分權(quán)的失控區(qū)域，其分布情況如圖1所示。圖1IT決策的集權(quán)與分權(quán)區(qū)域在IT決策中，如果高級管理層對IT缺乏認(rèn)識與控制，往往會將本應(yīng)由高級管理層掌握的IT決策權(quán)下放給IT部門負(fù)責(zé)人，這種現(xiàn)象在審計(jì)機(jī)關(guān)中非常普遍。在信息化建設(shè)初期，大多數(shù)審計(jì)機(jī)關(guān)的高級管理層對IT缺乏深層次的認(rèn)識，只是在信息化浪潮的推動下，被動進(jìn)行IT投資與建設(shè)，由于對IT的陌生，大多將與IT相關(guān)的決策權(quán)下放給IT部門。除了高級管理層以外，內(nèi)部的其他部門也由于相同的原因，將與自身相關(guān)的IT決策權(quán)交由IT部門代為決定。經(jīng)過一段時間發(fā)展后，本應(yīng)由不同層次、不同部門掌握的IT決策權(quán)自然而然地向IT部門轉(zhuǎn)移、集中。在當(dāng)前的審計(jì)機(jī)關(guān)中，大部分IT決策權(quán)集中在IT部門或受到IT部門影響，這是典型的IT君主制，屬于集權(quán)化的IT決策機(jī)制。（二）IT決策的長期集權(quán)化帶來的問題審計(jì)機(jī)關(guān)集權(quán)化的IT決策機(jī)制是特定歷史的產(chǎn)物，在過去的審計(jì)信息化建設(shè)中發(fā)揮了重要作用，但長期的IT決策集權(quán)化也產(chǎn)生了一些不容忽視的問題。1.IT應(yīng)用與審計(jì)業(yè)務(wù)相脫節(jié)審計(jì)機(jī)關(guān)承擔(dān)的審計(jì)任務(wù)均以項(xiàng)目方式組織，審計(jì)業(yè)務(wù)部門作為執(zhí)行部門，關(guān)注短期項(xiàng)目利益，IT部門作為綜合管理部門，更關(guān)注長期利益和總體利益，并不拘泥于單個的具體項(xiàng)目，因此審計(jì)業(yè)務(wù)部門和IT部門在IT方面的利益并不一致。IT部門建設(shè)信息系統(tǒng)、開發(fā)軟件和探索IT新技術(shù)，然而在審計(jì)業(yè)務(wù)部門看來，這些系統(tǒng)、軟件和技術(shù)并不能帶來工作質(zhì)量、效率上的提高，但由于各種原因又不得不去應(yīng)用，成為IT的被迫接受者。IT決策權(quán)集中在IT部門，決策過程中往往忽略了審計(jì)業(yè)務(wù)部門的利益，長期的忽略使審計(jì)業(yè)務(wù)部門逐漸喪失了對IT的興趣與應(yīng)用動力，導(dǎo)致其對IT的態(tài)度從最初的支持轉(zhuǎn)向后來的漠視。IT喪失了審計(jì)業(yè)務(wù)部門的支持、配合和參與，必然導(dǎo)致與審計(jì)業(yè)務(wù)逐漸相脫節(jié)。2.IT審計(jì)戰(zhàn)略規(guī)劃缺乏全局性或無法被實(shí)際遵循IT戰(zhàn)略規(guī)劃本應(yīng)由高級管理層制訂并負(fù)責(zé)推動實(shí)施，由于對IT的陌生，高級管理層將這些工作交給了IT部門，但這只能是信息化初期的權(quán)宜之計(jì)，IT部門無法長期替代高級管理層做出決策。IT部門只是一個二級部門，而且在很多審計(jì)機(jī)關(guān)中地位較低，沒有能力去推動涉及整個審計(jì)機(jī)關(guān)的IT戰(zhàn)略規(guī)劃。因此，IT部門要么將IT戰(zhàn)略規(guī)劃降低到自己能夠推動的范圍之內(nèi)，失去全局性；要么為制訂規(guī)劃而制訂規(guī)劃，完成后就束之高閣不去推行。現(xiàn)實(shí)中走一步看一步，需要一個建設(shè)一個的現(xiàn)象較為普遍，最終形成重復(fù)性建設(shè)、無用建設(shè)和信息孤島，導(dǎo)致IT應(yīng)用在整體上效率較低、維護(hù)成本較高。3.設(shè)備、人力等IT資源配置失衡在集權(quán)化決策機(jī)制下，IT部門承擔(dān)幾乎所有與IT相關(guān)的工作，也承擔(dān)所有與IT相關(guān)的責(zé)任，長期的責(zé)任壓力使IT部門在決策過程中采取避責(zé)行為。在IT設(shè)備資源配置方面，決定投資于硬件還是軟件時，IT部門會考慮自己需要承擔(dān)的責(zé)任，由于軟件開發(fā)的成本無法準(zhǔn)確估量，加上當(dāng)前軟件開發(fā)中浮夸現(xiàn)象比較嚴(yán)重，投資于軟件會遭受較多的質(zhì)疑與非議。因此，IT部門會更傾向于購置能夠看得見、具有剛性成本的硬件設(shè)備，造成重硬件輕軟件的設(shè)備配置失衡。在IT人力資源配置方面，由于IT已經(jīng)逐漸基礎(chǔ)化，人們對基礎(chǔ)化的東西有更高的要求，IT系統(tǒng)正常運(yùn)行會被認(rèn)為是理所當(dāng)然，但一旦出現(xiàn)故障則會成為批評的焦點(diǎn)，為規(guī)避這種風(fēng)險(xiǎn)，IT部門投入大量人力在系統(tǒng)維護(hù)等基礎(chǔ)性工作上，而投入審計(jì)業(yè)務(wù)的人力自然會減少，造成IT人員配置失衡。三、審計(jì)機(jī)關(guān)IT治理的方向：從集權(quán)轉(zhuǎn)向分權(quán)（一）從集權(quán)轉(zhuǎn)向分權(quán)的基本思路在信息化建設(shè)初期，IT對于審計(jì)機(jī)關(guān)來說還非常陌生，新事物的引入與應(yīng)用需要一個領(lǐng)導(dǎo)者，IT部門作為信息化的專業(yè)部門，理所當(dāng)然地承擔(dān)起了這個領(lǐng)導(dǎo)者的角色，在IT決策中站在強(qiáng)勢地位，對整個審計(jì)機(jī)關(guān)的IT應(yīng)用進(jìn)行引導(dǎo)與促進(jìn)，集權(quán)化的IT決策機(jī)制在當(dāng)時是一種比較好的選擇。但在經(jīng)過一段時間的信息化發(fā)展之后，高級管理層、內(nèi)部各部門和最終用戶對IT有了深入的理解，逐步走向成熟，對IT的預(yù)期也趨于理性。在這種環(huán)境下，集權(quán)化的IT決策機(jī)制不再有效，并且?guī)砹艘幌盗械膯栴}，如果再繼續(xù)集權(quán)于IT部門，則會加速IT與審計(jì)業(yè)務(wù)的背離，IT應(yīng)用也會故步自封。因此，應(yīng)逐漸向分權(quán)方向發(fā)展，更多地讓高級管理層和審計(jì)業(yè)務(wù)部門參與相關(guān)的IT決策。（二）分權(quán)化的IT決策組織機(jī)構(gòu)在Weill&Ross模式的六種IT決策方式中，聯(lián)邦制和IT雙寡頭制偏向于分權(quán)，在現(xiàn)實(shí)中大多審計(jì)機(jī)關(guān)都有能夠與這兩種決策方式相對應(yīng)的組織機(jī)構(gòu)，即信息化建設(shè)領(lǐng)導(dǎo)小組和信息化建設(shè)領(lǐng)導(dǎo)小組辦公室。信息化建設(shè)領(lǐng)導(dǎo)小組由高級管理層和各部門負(fù)責(zé)人組成，IT部門負(fù)責(zé)人只是其中的一個參與者，是一種非常典型的聯(lián)邦制決策機(jī)構(gòu)，能夠讓高級管理層、審計(jì)業(yè)務(wù)部門參與IT決策。但聯(lián)邦制也存在固有的缺陷，就是由于參與方眾多而意見難以統(tǒng)一，較難做出決策，因此信息化建設(shè)領(lǐng)導(dǎo)小組主要關(guān)注全局性的、重大的IT決策。信息化建設(shè)領(lǐng)導(dǎo)小組辦公室由高級管理層和IT部門負(fù)責(zé)人組成，是一種比較典型的“T”字形IT雙寡頭制決策機(jī)構(gòu)（見圖2）。在審計(jì)機(jī)關(guān)中，一些全局性的IT決策并不適合由聯(lián)邦制的信息化建設(shè)領(lǐng)導(dǎo)小組決策，需要一個既能站在全局高度，又對IT有深入理解的角色，在企業(yè)中這個角色就是首席信息官(CIO)。但目前審計(jì)機(jī)關(guān)大多沒有設(shè)立CIO職位，而這種“T”字形IT雙寡頭制實(shí)際上是對缺少CIO的一種折中與補(bǔ)充，由高級管理層和IT部門負(fù)責(zé)人共同承擔(dān)CIO的職責(zé)。圖2“T”字形IT雙寡頭制（三）偏向于分權(quán)的IT治理安排矩陣從集權(quán)轉(zhuǎn)向分權(quán)，并不需要做出大幅度的組織結(jié)構(gòu)變動，在當(dāng)前組織結(jié)構(gòu)上進(jìn)行IT決策權(quán)的調(diào)整即可實(shí)現(xiàn)。在集權(quán)化的IT決策機(jī)制下，審計(jì)機(jī)關(guān)主要采用IT君主制，由IT部門負(fù)責(zé)人做出IT決策，在偏向分權(quán)后應(yīng)更多地采用聯(lián)邦制和IT雙寡頭制，將部分IT決策權(quán)從IT部門轉(zhuǎn)向信息化建設(shè)領(lǐng)導(dǎo)小組及其辦公室。圖3偏向于分權(quán)的IT治理安排矩陣在IT治理實(shí)務(wù)中，并沒有適合于所有審計(jì)機(jī)關(guān)的、統(tǒng)一的IT治理安排矩陣，審計(jì)機(jī)關(guān)需要根據(jù)自身情況制訂IT治理安排矩陣，并進(jìn)一步制訂詳細(xì)的IT決策流程。但審計(jì)機(jī)關(guān)具有一定的相似性，圖3是一種可供參考、具有一定通用性、偏向于分權(quán)的IT治理安排矩陣，五項(xiàng)IT決策中偏向于技術(shù)的IT架構(gòu)由IT部門負(fù)責(zé)人決策，偏向于總體方針、審計(jì)業(yè)務(wù)的IT原則和業(yè)務(wù)應(yīng)用需求由信息化建設(shè)領(lǐng)導(dǎo)小組決策，