電子支付系統(tǒng)的IT治理（下）(By AMT 陳景璉編譯)

申請免費試用、咨詢電話：400-8352-114

電子支付系統(tǒng)的IT治理（下）

By AMT 陳景璉編譯

4 IT治理涵蓋哪些內(nèi)容？

從基本上來說，可以從兩個范圍來認識IT治理：IT為業(yè)務(wù)帶來價值以及IT風險得到降低。IT為業(yè)務(wù)帶來價值主亞是受到IT與業(yè)務(wù)進行戰(zhàn)略協(xié)調(diào)的驅(qū)動。后者主要是通過在企業(yè)內(nèi)明確責任。這兩個范圍都需要一定的方法，例如平衡記分卡。而這些范圍和方法糾纏升了IT治理的四個主要領(lǐng)域，這些都是受到股東價值的驅(qū)動。這其中有兩項是成果：帶來價值和降低風險。另外兩項是驅(qū)動因素：戰(zhàn)略協(xié)調(diào)與績效評估。（見表2 IT治理的核心領(lǐng)域）

4.1 IT戰(zhàn)略協(xié)調(diào)——“IT協(xié)調(diào)是一個過程，而不是一個終點。”

關(guān)鍵問題是企業(yè)在IT方面的投資是否與企業(yè)的戰(zhàn)略目標一致（目的，現(xiàn)行戰(zhàn)略以及企業(yè)目標），以及借此建立起帶來業(yè)務(wù)價值所需要的能力。這里的“一致”也就是一種“協(xié)調(diào)”的問題。而這種協(xié)調(diào)是很復雜的，面臨很多種情況，不能完全得到滿足。這種協(xié)調(diào)也就是繼續(xù)沿著正確地方向進行運作同時需要比競爭對手協(xié)調(diào)地更好。對于很多企業(yè)而言，協(xié)調(diào)可能是達不到地，因為企業(yè)目標變化得過于迅速，但是毫無疑問，這種協(xié)調(diào)是一種值得的目標，因為這其中包含了對于IT投資價值的真正的思考。

IT協(xié)調(diào)的關(guān)鍵是IT戰(zhàn)略的協(xié)調(diào)，例如IT戰(zhàn)略是不是支持企業(yè)戰(zhàn)略？對于IT治理而言，協(xié)調(diào)所涵蓋的已經(jīng)超過了IT組織與企業(yè)組織戰(zhàn)略整合的范圍。它同時也包括IT運作是否與企業(yè)現(xiàn)行運營相協(xié)調(diào)的問題。當然，在企業(yè)組織協(xié)調(diào)錯誤的時候，獲取IT的協(xié)調(diào)是非常困難的。

4.2 IT創(chuàng)造價值——“旁觀者可以發(fā)現(xiàn)IT的價值”

IT價值的基本原則是必須及時地、在預算內(nèi)創(chuàng)造價值，同時達到事先承諾的利益。而在商務(wù)詞匯中，這通常被稱為：競爭優(yōu)勢，為履行訂單或服務(wù)化肥的時間，客戶滿意度，客戶等待時間，員工產(chǎn)出水平和獲利水平。而值得注意的是：這些元素種有些是主觀性的或者是難于衡量的。

IT為企業(yè)增加的價值主要是一種功能，這種功能以IT組織與企業(yè)整合程度以及IT組織滿足企業(yè)期望程度為基礎(chǔ)。企業(yè)具有一種與IT能創(chuàng)造的價值的內(nèi)容相關(guān)的期望，例如能夠滿足業(yè)務(wù)需要、具有滿足未來需求的柔性、產(chǎn)出能力以及響應(yīng)時間、易用性和安全性、信息的安全性、整合性、精確性以及流動性。

企業(yè)對于運營方法也有相關(guān)的期望，例如上市時間、成本與時間管理以及IT人員的技能組合等。為了滿足這些期望，IT和企業(yè)對于帶來的價值必須使用一種“共同的語言”，將商務(wù)與IT術(shù)語進行整合，同時完全根據(jù)事實來取得共識。

必須注意在支付系統(tǒng)中風險是如此巨大以至于管理層的注意力需要同時也通常是集中于風險管理上的，因而IT帶來價值在其中就扮演著第二位的角色。

4.3 績效評估——“在IT中，如果你參加一場比賽但是不記分，那么你就只是在練習。”

在以信息為基礎(chǔ)的全球化經(jīng)濟中，由于企業(yè)要使許多無形以及隱藏的資產(chǎn)流動起來以在競爭中獲勝，因而戰(zhàn)略變得更加重要。而其中平衡記分卡就是通過一個績效評價系統(tǒng)將戰(zhàn)略解讀為達到目標的具體行動，這種績效評價系統(tǒng)已經(jīng)超越了傳統(tǒng)的會計方法，主要衡量那些在信息時代中獲勝所必須的基于管理和知識的資產(chǎn)，包括：掛主客戶、流程效率以及學習和成長的能力。在這些記分卡中的核心是由IT內(nèi)部架構(gòu)所提供的管理信息。IT同時為平衡記分卡中財務(wù)（企業(yè)資源管理）、客戶（客戶關(guān)系管理）、流程（內(nèi)部網(wǎng)和工作流工具）以及學習（知識管理）這四大量度中的分別的目標組合提供了解決方案。

IT也需要自己的記分卡。定義能夠清晰的目標以及清晰地揭示IT目標對于業(yè)務(wù)的影響的優(yōu)秀評估方法對企業(yè)而言是一種挑戰(zhàn)，需要在企業(yè)的不同治理層面中以一種合作的方法來解決。企業(yè)平衡記分卡與IT平衡記分卡相聯(lián)系是這種協(xié)調(diào)的一種有力的解決方法。

4.4 風險管理——“你看不見的那些風險可能是致命”。

企業(yè)風險來自于很多方面，不僅僅是財務(wù)風險。管理者目前很關(guān)注運營風險和系統(tǒng)風險，而這其中技術(shù)風險和信息安全問題是很顯著的。在美國和英國是用的內(nèi)部架構(gòu)保護措施主要是面向企業(yè)對于IT技術(shù)架構(gòu)的完全依賴性以及對于新技術(shù)的風險方面的缺陷。而對于這些方法的一些最初的推動活動都是使企業(yè)高層領(lǐng)導具有這方面風險意識。

董事會應(yīng)當通過下列措施來管理企業(yè)風險：

• 確保對企業(yè)的重大風險具有透明度同時貫徹企業(yè)的風險規(guī)避或風險應(yīng)對政策
• 明確在董事會中關(guān)于風險管理的責任，在向高級管理層進行委托時，要確保關(guān)于委托的限制能夠被同時傳達而且被清楚地加以理解
• 理解到位的內(nèi)部控制系統(tǒng)通常具有提高成本效率的能力
• 認識到一個透明同時激勵性的風險管理方法能夠創(chuàng)造可以被利用俄競爭優(yōu)勢。

·         堅持風險管理是蘊含在企業(yè)的運營中的，對于不斷變化的風險要進行快速響應(yīng)，同時要根據(jù)協(xié)定的原則（匯報什么內(nèi)容，時間，地點以及如何匯報）立即進行匯報以進行適度的管理。

在CPSS43報告中，國際結(jié)算銀行認為風險管理職能（以及審計職能）應(yīng)當是獨立于那些負責日常運作的職能之外的。它同時表示由公眾協(xié)助建立的透明性要披露包括治理結(jié)構(gòu)、高層管理結(jié)構(gòu)、基層組織結(jié)構(gòu)、風險管理設(shè)計以及內(nèi)部控制系統(tǒng)設(shè)計在內(nèi)的信息。

5. 應(yīng)當提出哪些問題？

當我們的IT治理還不是最有效的治理流程的時候，詢問一些棘手的問題是一種起步的有效方法。當然，負責治理的人員需要對于這些問題的好的回答。然后他們希望實際的行動。接著他們需要具體的貫徹。在行動的同時，確定由誰在什么時間負責采取行動也是非常重要的。

表3由IT Governance Institute提出的一個問題的擴展列表。這些問題集中于三個目標：發(fā)現(xiàn)IT問題、尋找管理層對這些問題的現(xiàn)行做法、內(nèi)部評價董事會對于這些問題的治理。

6  IT治理如何實現(xiàn)？

IT Governance Institute提供了從董事會和高級管理層兩個角度的實施有效IT治理的行動計劃。這些計劃包括下列元素：

• 用于行使IT治理職責的行動列表，確定什么樣的時間一般應(yīng)當列入IT治理的議事事程。
• 與IT治理的主旨直接相關(guān)的產(chǎn)出結(jié)果評價，例如企業(yè)與IT目標協(xié)調(diào)性、由IT治理實現(xiàn)的成本效率、產(chǎn)生的能力和風險以及機遇。
• 最佳實踐列表展示了那些在IT治理領(lǐng)域以及建立了領(lǐng)先地位的企業(yè)是如何完成上述事務(wù)的。
• 關(guān)鍵成功要素是在實踐中對于成功極度重要的那些環(huán)境、能力以及態(tài)度。
• 績效驅(qū)動提供了對于IT治理執(zhí)行狀況的反映指標，這與那些衡量取得什么樣的結(jié)果的產(chǎn)出結(jié)果評價指標有所不同。這些執(zhí)行情況的反映指標通常與關(guān)鍵的成功要素相聯(lián)系。

這些計劃列舉了IT治理事務(wù)，將一系列目標以及相關(guān)的實踐建立聯(lián)系。這些實踐進行了分類來反映實踐產(chǎn)生最大貢獻的IT治理的相關(guān)領(lǐng)域：價值創(chuàng)造、戰(zhàn)略協(xié)調(diào)、風險管理以及績效。同時也提供了一份關(guān)鍵成功要素列表來支持這些實踐。最終，列舉了2套評價指標：與IT治理目標相關(guān)的產(chǎn)出評價指標和與事務(wù)完成水平相關(guān)的績效評價指標，同時也提供了相關(guān)的具體時間和關(guān)鍵成功要素。

7. 你的組織如何進行相應(yīng)比較？

為了能夠?qū)嵤┯行У?/span>IT治理，組織需要衡量現(xiàn)有的執(zhí)行水平，需要能夠確定在什么地方能夠提高以及如何實現(xiàn)。這些將涉及到IT治理流程本身以及所以需要在IT內(nèi)進行管理的流程。

成熟度模型的使用很大程度上簡化了這項任務(wù)，同時也提供了一個指標化、結(jié)構(gòu)化的方法來評價你的流程的水平：

0＝不存在。沒有應(yīng)用管理流程。

1＝初步。流程是支離破碎的。

2＝重復性的。流程依照一個常規(guī)的模式。

3＝已定義的。流程是文檔化的并且被傳達下去。

4＝被管理的。流程是被監(jiān)控并得到評價的。

5＝最優(yōu)的。依照最佳流程進行自動運作。

對于各種成熟度級別的詳細介紹可以參閱IT Governance Institute的《Board Briefing On IT Governance》。