治理研究综述

二、IT治理研究综述

虽然业内和学者对IT治理的定义侧重点有所不同，但是，他们对IT治理的目标之一是获取IT的商业价值达成共识。但是对于如何实现IT治理这一目标，研究视角却不尽相同。在学术界，一类是以麻省理工(MIT)信息系统研究中心(CISR)的Peter Weill和Ross教授为代表，强调组织的IT治理应该基于权责制，即组织的IT治理应该对关键IT决策权进行部署，建立相关的治理组织、流程和机制，它们之间彼此相互融合，协同作用，以达到组织IT治理的目标;另一类是基于流程控制，以国际信息系统审计协会ISACA组织为代表，他们强调IT的商业价值是通过一系列的流程实现的，需要加强对IT价值实现流程的控制，以达到IT治理的目标。下面，本书就对这两大流派的主要观点进行梳理和归纳。

(一)基于权责部署

该流派的核心观点是，“IT治理是在IT应用过程中，为鼓励期望行为而明确的决策归属和责任担当框架”^［25］。IT与企业的其他资产，如资本、人力资源一样，是企业的宝贵资产，必须与其他资产一样经过适当的治理安排才能保证其价值和企业目标的实现。该流派强调组织应该通过建立自己的IT治理框架，在IT战略与业务战略相匹配的基础上，确定五个关键IT决策的内容，明确决策权的部署，以及相关的治理流程和机制，以实现IT的商业价值。

1.IT治理框架

企业的IT治理应该与企业的战略目标和业务绩效目标相一致，IT应该支持组织的战略，对关键的IT决策权应该有明确的部署，并且，有可行的治理流程和机制来保证它的实现;对IT绩效应该有明确的度量指标和责任归属，并且与组织的业务目标相一致。这是适用于任何企业的IT治理框架。Peter Weill给出的IT治理总体框架如图2.3所示。

图2.3　企业IT治理总体框架^［25］

2.IT治理的五个关键决策

从以上观点，我们可以看出，Peter Weill首先将IT定义为企业的一种关键核心资产。为了达到上述目标，任何企业的管理者都必须对以下五个关键IT问题做出决策^［25］:

(1)IT原则。它是IT在企业如何运用的一系列最高陈述。它体现了公司IT价值和目标，是在战略上对IT方向的共同理解，并指导战术上的决策。它阐明了企业的运作模式，以及IT如何支持企业的运作和企业投资IT的标准。

(2)IT架构。IT架构实际上是一个公司的数据、应用程序和基础数据的组织逻辑。它解释了如何根据公司的IT原则来开发新的应用需求，同时也转化成清晰的愿景来说明IT是如何帮助企业实现商业目标的。

(3)IT基础设施。企业的IT基础设施为多个应用系统提供共享的、基础的服务。它通常包括无线通信网络服务、大规模计算和管理、共享数据的管理、新技术的研发以及内联网等。

(4)应用需求。企业的业务应用决策直接为企业带来价值。通过识别出企业的核心流程，将战略应用集中在这些流程上，以加快企业对市场变化的响应速度。

(5)IT投资和优先顺序。IT投资应该与企业战略进行良好的匹配，确保可以反映出战略的优先顺序。

以上五个决策内部之间有重要的相互关系。首先，IT原则最重要，它阐明了企业的IT目标，决定了其他决策的方向。IT架构决策把IT原则转化为清晰的愿景来帮助企业实现其商业目标，基础设施和应用决策是由原则、架构和投资标准决定的。

3.IT治理决策权部署

Peter Weill的这五个关键决策从管理的视角抓住了与IT获取商业价值最相关的问题，为企业的管理者进行IT治理指明了方向，明确了企业进行IT治理的切入点。在此基础上，企业的管理者应该如何进行关键问题的决策?也即如何进行关键决策权的部署和分配?由谁提供决策所需的信息?这是基于权责部署流派研究的另一个核心内容。

IT决策权的部署，也称为IT治理模式(IT Governance Form)，指的是企业制定IT决策的组织结构(Structure)。早期的相关研究是将IT决策的权力部署分为两种最基本的、极端的方式:集中式和分散式。集中式是将IT的所有决策权力集中在IS部门。它有利于控制IT标准，实现规模经济与协同性。分散式治理设计将所有决策权力分配到各个业务部门或产品线上去，由各业务部门制定各自的IT解决方案，可以大大提高对业务部门和客户的需求响应速度。随着研究的不断深入，学者们开始质疑这种严格的两分法是否合理与现实，对基本IT治理模式进行了扩展，如表2.2所示。

那么企业如何才能同时实现集中的协同性和分散的灵活性?

Zmud等^［26］于1986年从治理模式与整个IS组织的影响出发，将两分法进一步发展成为三分法，这个新的治理模式被称为“联邦治理模式”。“联邦治理模式”综合了集中式和分布式模型的优点，在该治理模式下，集中的IS部门提供核心IT服务，同时业务部门对整体IS职能有一部分控制权，这样就能充分利用集中式治理和分散式治理两种方式的优点^{［27，28］}。

另一些学者则从IT治理模式对不同类型的IT决策的影响的角度出发，开始把IT治理模式和不同类型的IT决策结合起来。Norton^［29］研究了三种广为采用的IT决策:系统操作、系统开发和系统管理的治理模式。沿着这项研究，Byrd和Zmud等^［30］则针对IT规划决策的治理模式做了相应的研究。

表2.2　IT治理模式研究汇总

到了2004年，Weill和Ross^［25］教授再次对IT治理模式进行了更深入的探索，将传统的政治上的决策权模式(治理原型):君主制、封建制、联邦制、寡头制和无政府制，引入五个关键决策问题中，将六种IT治理模式与五个关键决策对应起来建立了IT治理安排矩阵，如表2.3所示。IT治理安排矩阵是更进一步对基本IT治理模式进行纵横向扩展的结果。

表2.3　IT治理安排矩阵^［25］

IT治理模式对组织的IT治理绩效有重要影响，这一点得到了多数学者的认同。但是，大家普遍认为，不存在一个最优的、适用于所有企业的IT治理模式。企业IT治理模式的选择受到许多因素的影响。为此，许多学者进行了企业如何选择最适合自己的最佳IT治理模式的研究，或者说，企业的IT治理模式受到哪些因素影响的研究。

这方面的研究经历了几个阶段，最早是始于研究影响IT治理模式的单个影响因子。随着研究的深入，出现了多重影响因子研究，并开始强调根据不同的IT决策来分析相应的影响因素。

早期的研究认为影响IT治理模式的影响因子主要有四大因素:组织结构、企业战略、行业和公司规模。主要内容和作者如表2.4所示。

表2.4　单因素影响汇总

多数研究者认为集中的组织导致集中的IT治理设计，而分散的组织采取分散的IT治理设计，如文献^{［22，31－33］}。Tavakolian^［31］发表了一个实证研究结果，他调查了52个大型组织的IT结构(治理框架)与组织竞争战略的联系。在这项研究中，Tavakolian发现采取“防御型”战略(保守竞争战略)的组织，相比采取“进取型”竞争战略的类似组织，前者更有可能采用集中式IT治理结构。Ahituv等人于1989年对以色列的303个组织做了实证研究，他们发现公司的行业类型与组织的IT治理分散程度没有显著关系^［32］。后来Clark^［34］重申了这个观点。许多研究认为组织的规模通常与特定IT治理模式无明显关系^{［32，34，35］}，但是Ein－Dor和Segev^［33］以53个大型公司为实证对象进行了研究，他们认为:如果以总收入而不以员工人数来衡量组织规模时，IT治理的集中程度是与组织规模负相关的。

这些IT治理模式单个影响因子的研究，对于企业如何选择IT治理模式有一定的价值，不过假定这些影响因子相互独立是不客观的，因此一些学者开始研究多重相互作用的，甚至是彼此冲突的影响因子对于IT治理模式的综合作用。

Brown和Magill是将单个影响因子研究推向多重影响因子研究的主要力量。Brown和Magill^［22］的研究提出了4种IT治理模式:高度集中、高度分散、混合、分散再集中式治理，以及10个相互作用的因子:公司远景、公司战略、企业组织结构、公司文化、IT的战略重要性、企业应用软件的架构和IT系统优先次序等。并且将10种影响因素与4种IT治理模式匹配起来，概括了每种治理模式的主要影响因子，可以作为IT治理模式的参考预测模型。

2004年，Weill和Ross在他们的著作中，通过实证研究提出了决定IT治理模式的五大影响因素:战略与绩效目标、组织结构、IT治理经验、组织的规模和多元化，以及行业和区域差异。他们还对六种IT治理模式(业务君主制、IT君主制、封建制、联邦制和双寡头制和无政府制)，五大IT治理决策(IT原则、IT架构、IT基础设施战略、业务应用需求和IT投资)，与这五种影响因素与之间的相应关系进行了研究。

总之，IT治理影响因素的研究历经了从单个影响因子分析，到多重影响因子分析，再到针对不同IT决策的多重影响因素分析的过程，这些研究成果是目前IT治理模式影响因素研究的基石。

4.IT治理机制(组织结构、流程与沟通关系)

随着对IT治理研究的进一步深入，学者们发现IT治理模式与IT投资回报、IT治理绩效并不具有完全相关关系，为此众多研究开始探索保障IT治理模式有效的结构、流程与沟通机制。

在这方面的一些代表学者有:Peterson、Van Grembergen、De Haes、Guldentops、Woodham以及Ross教授等。

他们的研究没有较大差异，IT治理的结构是指IT决策制定的组织结构，包括董事会、CIO、CEO等职位及职责的设置，以及IT战略委员会、IT架构委员会等类似的正式团队组织及职责的设置。IT治理的流程是指IT决策制定和监控的过程，比如IT投资评估流程、架构例外流程、IS战略规划、服务水平协议等过程，也可以指利用诸如IT BSC、COBIT以及ITIL等工具或方法来对IT/IS进行规划、实施、交付和监控的过程^{［36，37］}。IT治理的沟通机制是指一些正式和非正式的沟通反馈手段与方法，比如，形成业务部门与IT部门的良好合作关系，在决策相关者之间建立有效的冲突解决机制，IT政策和投资结构的公告、传播、培训等。

到了2004年，MIT的Weill和Ross教授在他们著作中花了一整章对这一问题进行了探讨，他们认为IT治理结构、流程和沟通关系与IT治理模式一起共同作用，才能体现出IT治理的绩效^［25］。没有相应的治理结构、流程和沟通关系，IT治理计划就不可能产生预期结果。汇总其研究成果如表2.5所示。

表2.5　IT治理结构、流程与沟通关系

Peterson还认为，IT治理结构、流程与沟通机制体现出一个多层次的横向集成关系，这种集成关系是一种联结、协同和合作的机制^［38］。IT治理的结构与流程描述的是联结与协同关系，IT治理的沟通则描述业务部门与IT部门之间的合作关系，有利于形成两者间的信任和良好的合作意愿。

总之，IT治理结构、流程与沟通关系的研究是学术界和业界对如何提高IT治理水平更深层次思考的结果，标志着IT治理的研究从决策权部署的“What研究”走向了如何实施“治理内容”的“How研究”。

从以上分析可以看出，基于权职部署的流派立足于IT是企业的关键资产之一，必须经过有效的治理才能实现其价值，达到企业目标。在这个过程中，在组织战略目标的指引下，组织必须对五个关键IT问题进行决策，对决策权的部署是其治理过程的关键。组织的决策水平对组织IT治理绩效有显著影响。在此基础上，组织需要相应治理结构、流程和沟通的关系来保证治理模式的有效性。

(二)基于流程的控制

IT治理的目标之一是实理IT的商业价值，而IT商业价值的实现是通过一系列的流程来完成的。这是基于流程观的基本出发点。这一流派的典型代表有国际信息系统审计协会(ISASC)和国际IT治理研究院(ITGI)。它们通过建立IT治理的总体框架，明确IT治理核心流程，以及颁布相关的流程控制标准，以帮助企业进行IT治理。主要研究成果有:Board Briefing on IT Governance(Second Edition)、信息及相关技术控制模型——COBIT4.1等，对IT治理的意义、内容、方法、工具等予以详细阐述。

1.IT治理总体框架

国际IT治理协会(ITGI)认为:“IT治理本质上关心两件事，即实现IT技术的商业价值和IT风险的规避。”^［24］它们将IT治理研究的内容分为五个领域——战略匹配、价值交付、风险管理、资源管理和绩效管理。它们均由股东价值所驱动。IT价值的实现是通过IT与业务战略匹配，而风险规避则通过在企业内部建立相关职责来实现。两者都需要相关资源的支持，并对其绩效进行度量。它们之间的关系如图2.4所示。企业可以从任何一点作为切入点，但一般是从IT战略匹配开始，以确保其与整个组织战略目标一致。

图2.4　IT治理总体框架^［24］

2.IT战略匹配

IT治理的定义明确告诉我们，IT治理的一个重要内容是实现IT与业务的战略匹配，而战略匹配是获取IT商业价值的驱动力之一^［24］。组织获得的IT商业价值与IT与业务的匹配和满足业务需求的程度成正比^［24］。

战略匹配是指“通过建立和维护IT与业务的共生关系，以达到获取竞争优势这一目标的过程”^［39］。“战略匹配”这一概念是全面综合性的，它的重要性在业内和学术界都已得到认可，问题是企业如何才能实现IT与业务战略匹配?

John C.Henderson和N.Venkatraman^［40］通过系统研究并结合北美企业IT对管理活动影响的实例分析，于1994年提出了著名的战略匹配模型(Strategic Alignment Model，SAM)。该模型把业务战略和IT战略关系研究分为内、外两大部分。外部领域指公司竞争的商业场所，诸如产品或IT市场的提供以及区别于竞争者的特殊战略属性和IT战略等;内部领域是关于管理结构或整体信息架构的逻辑和业务流程等的设计，以及为达到所要求的组织和系统的能力所需要的人力资源、技术等。

SAM模型提出了四个视角:支持运营、技术变革、IT潜在竞争优势和服务水平视角，归属于两大类——企业战略作为驱动器和IT战略作为使能器，来探讨企业战略与IT战略的匹配关系，帮助指导管理者的实践。

(1)企业战略作为驱动器。

①支持运营:企业必须有明确的发展战略，而且，它是企业组织结构、业务流程和IT组织结构和业务流程的驱动。IT建设是为了支持完成企业战略所必需的业务流程，提高它们的效率。

②技术变革:与战略驱动视角不同，它不受已经明确的企业战略的限制，而是积极地从IT领域寻找更新IT战略、技术和流程，来选择合适的企业战略目标。

(2)IT战略作为使能器(Enabler)。

①IT潜在竞争优势:这一视角不是从已经确定的企业战略出发，而是从最新的IT技术出发，考察新技术对产品、服务(战略范围)、战略关键属性的影响，从而形成新的企业战略，包括:产品、服务、独特竞争优势等，以及为新战略的实施所构建的企业组织结构和业务流程。

②服务水平视角:该视角关注于如何建立世界级的IT服务组织。如微软、思科等世界级的IT服务组织。它的战略匹配就是要建立满足客户快速增长的、不断变化的服务需求的IT能力。分析方法既要反映顾客的需求，又要分析当前的产品和服务，诸如终端用户调查法、服务水平约定法等。

另一个得到广泛认同的战略匹配方法是“平衡积分卡”法。它由Kaplan和Norton^［41］于1992年提出。它的核心内容是:对一公司绩效的评估不应该仅限于传统的财务指标，而应该将客户满意度、内部运营和创新能力作为补充指标。这四个指标之间的平衡，能确保公司未来的财务指标和战略目标的实现。在这个评价框架中，每一个视角的评价又由三层指标构成:使命、目标和具体指标，是一个层层分解的过程。

业务BSC(平衡积分卡)和IT的BSC相联为IT治理提供了有效机制。Van Der Zee和De Jong^［42］认为:平衡积分卡是唯一一个解决IT与业务两大领域中主要问题的工具。第一个问题是，IT战略与业务战略的时间差问题，第二个问题是，业务与IT的共同语言问题。以这种方式使用平衡积分卡，它就成为IT与业务匹配的方法，业务目标和业务成功驱动因素被识别出来，包括一些特别的IT驱动。

3.价值交付、风险管理和绩效度量

“IT战略匹配是旅程，而非目的地。”IT价值交付由战略匹配所驱动。战略匹配关注于业务和IT规划等相关主题。在此基础上，如何保证IT价值的交付以及这些过程中的风险管理?国际信息系统审计与控制协会(ISCA)与IT治理研究院(ITGI)先后研究发布了Board Briefing on IT Governance(Second Edition)、COBIT4.1等标准，该标准为IT治理、安全与控制提供了一个一般适用的公认标准，以辅助公司决策层进行IT治理。

COBIT是一个基于流程控制的IT治理框架，它的特点是以业务为中心，以流程为导向，由测量所驱动。它依据IT资产的生命周期，将对其的控制划分为四个控制域:IT规划和组织(Planning and Organization)、系统获得和实施(Acquisition and Implementation)、交付与支持(Delivery and Support)以及信息系统运行性能监控与评估(Monitor and Evaluate)，共包含34个IT过程。并为每个IT过程设置了相应的控制目标和管理指南，包括成熟度模型和关键绩效指标。

在COBIT基础上，有不少学者做了进一步研究。Stephen Rein gold^［43］建立了利用COBIT提高企业IT过程的三步骤模型。而Hardy^［44］认为，虽然COBIT明确指出了IT治理的详细过程及其控制目标，但是，它并没有给出相应的改善手段与方法，建议将COBIT、ITIL、ISO17799结合起来实施IT治理。

ITIL，即信息技术基础架构库(Information Technology Infrastructure Library)，是英国政府商务办公室为解决“IT服务质量不佳”问题，融合IT服务管理的最佳实践，提出的一整套对IT服务质量进行逐步完善和评估的方法体系。ITIL将IT服务管理分为10个核心流程和一项管理职能。这10个核心流程分别是服务级别管理、IT服务财务管理、能力管理、IT服务持续性管理、可用性管理、配置管理、变更管理、发布管理、事故管理、问题管理。

COBIT告诉我们IT治理需要控制哪些过程及其控制目标，而ITIL则详细告诉企业如何进行IT过程的控制。

上述基于流程的IT治理流派的有关研究成果给出了IT治理关键控制域、控制过程以及可供参考的管理指南、方法、手段和工具集，其研究是基于过程控制的思想。

(三)两种IT治理思想的融合

基于权责部署的IT治理流派关注的是:如何在组织范围内组织IT功能，如何分配关键IT决策的决策权，如何使IT与业务战略相匹配，哪些因素会影响组织关键IT决策权的分配，或者说，组织有哪些可替代的治理模式;而基于流程控制的IT治理流派，则是从IT服务、管理和控制的流程出发，构建IT治理框架，在该框架中，也包含着IT功能的组织、战略匹配等内容，强调对于治理组织的结构和权责部署随着公司战略、公司治理和业务需求的变化而变化。因此，有学者提出，应该构建一个融权责和流程视角于一体的集成的IT治理框架^{［45，46］}。这方面的代表人物有Tomi Dahlberg和Peterson。

Tomi^［45］认为:由于IT治理是公司治理的一个组成部分，战略匹配应该成为IT治理的基础，集成化的IT治理框架应该始于此。Tomi的IT治理框架模型采用系统化思想将组织的IT治理划分为计划、运作和评估三个阶段。在IT计划阶段，主要考虑IT与业务的战略匹配问题。他认为，IT与业务的匹配方式和程度对组织IT职能的组织方式和最终IT商业价值的实现有着重要影响;在治理的运作阶段，则关注于IT资源、风险和绩效的管理，以及IT决策权的分配。在IT治理绩效评估阶段，则从组织利益、机会、成本和风险四个维度对IT治理绩效进行评估，并将评估结果反馈到IT治理的计划阶段和运作阶段。该模型的最大贡献是将IT决策权的部署(Structure)、治理流程(Process)，以及高层管理者的需求集成在一起，使董事会、高层管理者以及业务和IT的管理者们能够理解IT治理，完成其各自的IT治理职责，并对绩效进行度量，使IT治理真正成为公司治理的一个组成部分。该模型目前在业内具有一定的影响力。Tomi还采用实证研究的方法对其提出的IT治理框架、IT治理绩效评估概念和量表的有效性进行了验证，其治理框架模型如图2.5所示。

图2.5　集成权责与流程的IT治理模型^［45］