推 荐 序 客观总结信息化实践，深入探索信息化理论 信息技术及其应用的飞速发展已将技术革命演变为产业革命和社会革命，由此带来的变革以及由这种变革造成的影响，已经超过以蒸汽机、电气化为代表的工业革命。信息产业已经成为规模最大、渗透性最强的支柱产业和战略产业。从《冲绳宪章》到《罗马宣言》，走向信息社会成为世界各国的共识。信息网络正成为最重要的基础设施，与信息技术、信息资源相结合，构成了最活跃的生产力。以信息技术创新能力、信息技术应用和信息资源开发利用广度和深度为标志的信息化能力，成为国家竞争力的主要标志。电子政务、电子商务、电子社区、远程教育和医疗成为广泛的实践。许多国家制定了应对这一历史机遇的国家战略。 党中央、国务院对信息化发展做出了一系列重大战略决策和部署。《中共中央关于制定国民经济和社会发展第十个五年计划的建议》中指出：信息化是当今世界经济和社会发展的大趋势，也是我国产业优化升级和实现工业化、现代化的关键环节。明确要求在“十五”计划中把推进国民经济和社会信息化放在优先位置。根据党中央的建议，“十五”计划把信息化作为一个重点部分，制定了“十五”信息化重点专项规划。2001年成立了由国务院总理任组长，中央、国务院和军队主要领导任副组长的国家信息化领导小组，设立了国务院信息化工作办公室作为其办事机构，加强了对推进信息化的领导和协调。在十六大报告中进一步提出了以信息化带动工业化，以工业化促进信息化，走出一条科技含量高、经济效益好、资源消耗低、环境污染少、人力资源优势得到充分发挥的新型工业化道路。国家信息化领导小组对一系列信息化发展的战略和重大任务做出了决策和部署，要求紧紧抓住信息化发展的机遇，进一步增强加快信息化的紧迫感和使命感，推动经济社会全面、协调、可持续发展。 我国在数十年信息化发展中，各方面取得了十分显著的成绩，也存在不容忽视的困难、矛盾和问题。信息技术进展快、信息资源增长快、信息产业发展快、信息网络扩散快、信息技术应用渗透快、信息化环境变化快。实践促进理论研究、理论促进实践的成熟。面对信息化快速发展的形势，迫切需要客观总结实践经验、深入探索具有中国特色的发展规律，引导信息化走上科学、健康的轨道。 信息技术在经济和社会领域应用过程中逐渐改变着组织结构、管理制度和业务流程，并为制度创新和管理创新提供新的工具和平台，从而对建立现代企业制度、完善公司法人治理结构产生不可忽视的重要作用。 IT治理系列著作，将引进经典专著和邀请专家学者编著相结合，从总结信息化经验、指导信息化实践，以及通过信息技术应用完善公司治理结构的两个方面，繁荣着我国信息化学术园地，将对我国信息化发展起到积极的引导作用。更希望，有更多的专家学者投身到信息化理论研究和实践总结中，为我国信息化发展奠定坚实的理论基础。 国务院信息化工作办公室副主任 杨学山 引 言 IT治理是国内外管理、信息技术、经济、审计、法律等学术界和产业界共同关注、研究的一个全球性课题。众多国内外企业发展、创新的实践表明，有效的IT治理是竞争优势的源泉，是管理创新和构建组织竞争力的决定因素之一，也是保证组织持续发展、高速成长的关键所在。 IT治理的背景 IT治理的提出，一方面是因为信息已经成为我们企业最为宝贵的资产，IT在组织中扮演着一个影响到组织全局、影响到治理层面的角色，另外一方面与全球瞩目的焦点难题——公司治理——亦有着深刻的渊源。众所周知，公司治理问题一直是企业制度与组织的核心问题。近年来，因上市公司频频“惊曝黑幕”，“公司治理”成为全球性的问题。从美国的安然、世通、施乐等粉饰业绩甚至导致企业崩溃的案件，到日本雪印食品公司舞弊案件，都使得公司治理正在成为企业议事日程中最重要和最迫切的任务。 公司治理是一种对公司管理和运营进行监督和控制的体系。它的核心是在所有权和经营权分离的条件下，解决好所有者和经营者的利益不一致而产生的委托—代理关系。其目标是降低代理成本，使所有者不干预公司的日常经营，同时又保证经理层维护股东的利益，实现公司价值和利益的最大化。而公司股东与经营管理者之间的信息不对称性或不完全性，容易导致公司治理的失效甚至失败，也是导致大的舞弊风险出现的主要原因。因此，有效地解决公司重要信息(包括财务信息和非财务信息)的真实性、准确性、及时性，通过有效的传递、鉴别和处理，协调高管层、董事会、股东和公司其他相关利益者的相互作用所产生的具体问题，并通过获得的信息在监督者与决策者之间沟通，实施有效的控制，是完善公司治理的一个重要方面和手段。为了解决现代公司中广泛存在的委托－代理问题，就必须重视委托与代理之间的信息不对称问题，通过对公司重要信息有效的传递、鉴别和处理，使代理成本最小化，提高企业的经营绩效。 那么，什么是IT治理呢？为什么说它和公司治理密切相关呢？ IT治理用于描述企业或政府是否采用有效的机制(就是为鼓励IT应用的期望行为而明确决策权归属和责任承担的框架)，使得IT的应用能够完成组织赋予它的使命，同时平衡信息技术与过程的风险，确保实现组织的战略目标。目前，许多国家已经开始研究IT治理理论，并开发了IT治理的实践模型，在政府和企事业等单位得到良好的应用。为更好理解IT治理的内涵，需要追溯IT治理的起源。 1999年，英国BIS发布了Internal Control: Guidance for Directors on the Combined Code(Turnbull Report, 1999)报告。该报告提出了信息技术风险对公司治理的影响，引入了内部控制的要求，并指出：有效的公司治理必然需要有效的IT治理和风险管理。 BIS将信息风险管理融入到企业的操作中，证实企业中信息技术交付的价值，及时向相应的管理层汇报，其目的主要在于解决委托与代理之间的信息不对称问题，通过对公司重要信息有效的传递、鉴别和处理，使代理成本最小化，提高企业的经营绩效。 1994年，TSE发布的题为“董事何去何从？提高加拿大公司治理的指南”中就认为：整合企业的内部控制和管理信息系统是董事会的5个“首要责任”之一，对此责任的解释是有效地履行董事会的责任需要有效的控制和信息系统来支持。例如，在批准企业战略时，董事会需明确各种评价战略的标准和监督执行战略的体系；同样，在审查和批准财务信息时，董事会需要企业的审计系统来通报数据的完整性和对会计原则的遵循。该指南认为董事会必须关注内部控制和信息系统，因为它是履行其他责任必须依靠的机制。该报告对董事会责任的界定提高了内部控制在加拿大上市公司中的重要性，并有助于改善公司的控制环境。 2001年1月，BIS发布了关于“重要支付系统核心准则(CPSS43)”的报告，指出系统治理对于增强对市场和管理者的信心尤为重要。该报告主要强调集成化的重要支付系统的治理，因为电子支付系统依赖于信息技术实现其功能，这些系统在国家中占的数量很少，而它们所提供的服务却有很高的价值，因此要加强治理。 尽管在该报告中BIS强调电子支付系统的重要性，而支付系统与其他战略IT系统有不同的目标，但是BIS建议对治理需求进行整合，并提出明确的IT治理需求，指出有效的、可审核的、透明的治理对于公共部门和私人组织而言都十分重要，良好的治理机制能够帮助系统实现预期目标，满足需求，并处理不同的系统和行业的特殊问题。这些理念却对IT治理产生深远的积极影响。 美国信息系统审计与控制协会于1999年成立了IT治理研究院，专门研究IT治理，并提供了信息及其相关技术的管理体系模型和最佳实务，帮助企业领导层认识有效实施IT治理的必要性与益处，从而保证长期的可持续发展，并且增强利益相关者的价值。 在2002年美国颁布的萨班斯法案(法案被称为“自罗斯福总统以来美国商业界影响最为深远的改革法案”)中，我们看到了一脉相承的要求，只不过这些要求是以前所未有的法律的形式固定下来的，良好的公司治理和高管层对IT治理的职责再也不是一个可有可无的美好远景。 萨班斯方案开始要求CIO必须成为管理控制专家，不仅要参与到公司治理领域，以使IT与业务战略从治理到管理再到执行层面始终保持精确校准，还要在完善内部控制和全面风险管理体系中发挥作用。可见，IT已成为公司治理、全面风险管理关注的新领域。 IT治理的研究与实践 在IT治理理论体系建设上，探索内涵以信息时代的公司治理和IT治理为核心范畴，外延涵盖IT服务管理、IT管控体系、信息系统审计、信息安全管理体系、业务持续管理体系、信息化绩效评价、IT风险管理、IT领导力等理论体系。从IT治理主体和治理客体、治理边界和治理范围、治理机制和治理功能、结构和形式等方面出发，构筑IT治理的体系框架，还将IT治理的研究范围从IT治理结构扩展到IT治理机制，从单一的法人治理扩展到集团企业的治理，从IT治理的一般模型扩展到IT治理的决策模型，从IT治理的理念导入扩展到影响IT治理的因素，从IT治理的安排矩阵扩展到治理IT绩效的研究，从IT治理的理论研究扩展到对国际先进企业的实证分析。在国内较早地针对CIO的制度框架、CIO的管理框架、CIO的能力框架这三大框架，进行开创性研究，为我国引入CIO制度、发挥信息技术优势推动管理创新提供了一些理论支持。 在IT治理实践与应用研究方面，我们坚持为政府决策和企业实践服务，重视将理论研究付诸实际应用，在IT治理原则、集团治理、跨国公司IT治理和IT治理评价体系方面，针对重大现实问题展开研究，先后进行了近百家公司的实证调查，承担多项与大型企业合作的横向课题，取得的系列成果为政府或监管部门制定政策、监管制度，以及企业的IT治理决策提供了咨询支持。已经完成或正在进行的研究有： ? 中国IT治理应用研究。在借鉴美国、英国、荷兰、澳大利亚和ITGI等不同国家、地区、国际组织、跨国企业IT治理原则的基础上，在国内率先提出并开展了中国IT治理应用研究，该研究从中国信息化现存的问题切入，立足于建设高效可持续发展的中国信息化，全面阐述符合中国国情和企业需求的IT治理的定义、目标、范围和IT治理知识体系以及IT治理成熟度模型等。 ? 公司治理、IT治理和中国企业国际竞争力研究。该研究结合外部监管环境日趋严格的趋势和中国企业的国际竞争力提升，分析总结以下核心内容：在信息时代如何完善公司治理以及提升企业内部控制和风险管理水平？如何构建IT总体控制体系，迎接萨班斯法案的挑战？利用COSO建立的内部控制框架给IT部门的系统控制带来的变更风险有哪些？内部控制与全面风险管理的区别与联系？中国企业在内部控制与全面风险管理理念上的误区分析，如内部控制等同于控制制度吗？如何利用信息化手段有效提高内部控制和风险防范能力？如何通过信息化战略提升企业的核心竞争力和IT部门的价值？为什么说国际竞争很大程度上是公司治理和IT治理的竞争？如何建立持续有效的内部控制长效机制？ ? 中国企业信息化管理控制体系研究。在毫无任何经验可借鉴的情况下，我们探索出适合中国企业的信息化管理控制体系框架模型，及其构建原则、方法和实施工具。在大型企业的应用实践表明，通过建立和完善科学的信息化管理控制体系，规范了企业信息化管理工作，为实现企业的信息化战略目标提供了管理上的保障。 ? 中国企业IT治理评价体系研究。在借鉴国际著名公司治理评价体系并结合中国企业治理环境特点的基础上，我们正在研究与国际接轨的中国企业IT治理评价体系。旨在对照发达国家先进企业，全面展示并评价我国企业的IT治理水平，让世界进一步了解中国公司的治理状况。 ? 中国信息系统审计研究。在结合中国国情，引进、消化和吸收了国际上先进的安全、风险管理与控制的方法论和最佳实务的基础上，我们深入开展了如何审计各类信息系统环境下的控制的研究。重点聚焦在当前业界普遍关注的ERP审计和数据中心审计上，以及信息安全审计的相关要项。 ? 中国信息安全管理体系研究。依据BS7799这一全球公认的信息安全管理标准，针对企业信息安全治理中的具体问题，如在战略和运营层面的风险评估框架缺失，在治理层面的信息安全职责不到位，信息安全组织结构不科学，结合具体企业集团个案进行深入研究，辅以ITGov资源平台整合的实施信息安全管理的方法、步骤及应用软件，我们已经初步形成了企业信息安全管理体系的研究和咨询体系。 ? 中国IT服务管理体系构建研究。我国的信息化建设发展到今天，运行维护的安全、可靠和高效成为备受行业用户关注的焦点问题。理论与实践并不总是能够保持同步，我们力图融合当前该领域的最新发展，并结合中国企业的具体问题进行具体分析，构建符合中国国情和企业需求的IT服务管理体系，而不是完全照搬国际上的最佳实践。我们研究和实践的重点是：在考量组织实际的IT需求的基础上，通过业务流程重组和内部管理变革实现IT和业务的最大程度的整合，从而使IT成为真正驱动业务发展的内在驱动力，同时有效地降低IT管理的成本。 ? IT领导力研究。针对当前我国信息化建设的现状，先从评价和分析典型的IT部门浪费、低效率和实施差等现象和原因开始，识别成功运营IT的主要管理领域，总结国内外的最佳实践，帮助将IT部门转变成为世界一流的组织。该研究的具体方向涵盖：①改善IT管理；②持续改善与业务部门的关系；③IT人力资源管理；④增加项目管理规范性；⑤IT绩效管理；⑥IT运营管理；⑦科学地财务管理/预算管理；⑧有效地管理供应商；⑨IT的风险管理；⑩IT的管控体系。 致谢 在IT治理系列丛书的创作过程中，诸多的领导、专家、合作伙伴、客户、同事以及家人表现出真诚的关心、卓越的智慧、创新精神、务实精神和专业能力。他们一直在精神上给予支持，这是真正令我们感激的。 我们尤其要感谢国务院信息化工作办公室杨学山副主任的关心支持，感谢专家委员会的陈拂晓等众多领导与专家，他们的厚爱与支持是无法衡量的。他们在过去的三年中帮助我们形成和提升了我们的研究和实践。 我们特别要感谢孟秀转博士对IT治理智库系列丛书框架和特定章节的建设性评议。 诚挚感谢荷兰范哈仑(VHP)出版社Ivo Van Haren先生和孙振鹏先生的直接支持，通过他们的努力，ITGov建立了与全球最佳实践同步互动的平台。 还要感谢清华大学出版社的工作人员，特别是张立红女士为本书的编审所作的大量细致工作。 同样要感谢的是和ITGov资源平台上的海内外战友，包括Jan van Bon、郝晓玲、王东红、李长征、陈涛、欧丽和白杨，他(她)们无私的奉献、杰出的执行与管理协助切实保证了工作的有序进行。 更重要的是，我们要感谢我们各自的家人。完成本系列书占去了我们太多的时间，而其中一些时间本应该是留给家庭生活的。 此书献给以上的领导和朋友们，谨此表达我们的感激之情！ ITGov中国IT治理研究中心 孙强