电子支付系统的IT治理（下）

ByAMT陈景琏编译

4IT治理涵盖哪些内容？

从基本上来说，可以从两个范围来认识IT治理：IT为业务带来价值以及IT风险得到降低。IT为业务带来价值主亚是受到IT与业务进行战略协调的驱动。后者主要是通过在企业内明确责任。这两个范围都需要一定的方法，例如平衡记分卡。而这些范围和方法纠缠升了IT治理的四个主要领域，这些都是受到股东价值的驱动。这其中有两项是成果：带来价值和降低风险。另外两项是驱动因素：战略协调与绩效评估。（见表2IT治理的核心领域）

4.1IT战略协调IT协调是一个过程，而不是一个终点。

关键问题是企业在IT方面的投资是否与企业的战略目标一致（目的，现行战略以及企业目标），以及借此建立起带来业务价值所需要的能力。这里的一致也就是一种协调的问题。而这种协调是很复杂的，面临很多种情况，不能完全得到满足。这种协调也就是继续沿着正确地方向进行运作同时需要比竞争对手协调地更好。对于很多企业而言，协调可能是达不到地，因为企业目标变化得过于迅速，但是毫无疑问，这种协调是一种值得的目标，因为这其中包含了对于IT投资价值的真正的思考。

IT协调的关键是IT战略的协调，例如IT战略是不是支持企业战略？对于IT治理而言，协调所涵盖的已经超过了IT组织与企业组织战略整合的范围。它同时也包括IT运作是否与企业现行运营相协调的问题。当然，在企业组织协调错误的时候，获取IT的协调是非常困难的。

4.2IT创造价值旁观者可以发现IT的价值

IT价值的基本原则是必须及时地、在预算内创造价值，同时达到事先承诺的利益。而在商务词汇中，这通常被称为：竞争优势，为履行订单或服务化肥的时间，客户满意度，客户等待时间，员工产出水平和获利水平。而值得注意的是：这些元素种有些是主观性的或者是难于衡量的。

IT为企业增加的价值主要是一种功能，这种功能以IT组织与企业整合程度以及IT组织满足企业期望程度为基础。企业具有一种与IT能创造的价值的内容相关的期望，例如能够满足业务需要、具有满足未来需求的柔性、产出能力以及响应时间、易用性和安全性、信息的安全性、整合性、精确性以及流动性。

企业对于运营方法也有相关的期望，例如上市时间、成本与以及IT人员的技能组合等。为了满足这些期望，IT和企业对于带来的价值必须使用一种共同的语言，将商务与IT术语进行整合，同时完全根据事实来取得共识。

必须注意在支付系统中风险是如此巨大以至于管理层的注意力需要同时也通常是集中于风险管理上的，因而IT带来价值在其中就扮演着第二位的角色。

4.3绩效评估在IT中，如果你参加一场比赛但是不记分，那么你就只是在练习。

在以信息为基础的全球化经济中，由于企业要使许多无形以及隐藏的资产流动起来以在竞争中获胜，因而战略变得更加重要。而其中平衡记分卡就是通过一个绩效评价系统将战略解读为达到目标的具体行动，这种绩效评价系统已经超越了传统的会计方法，主要衡量那些在信息时代中获胜所必须的基于管理和知识的资产，包括：挂主客户、流程效率以及学习和成长的能力。在这些记分卡中的核心是由IT内部架构所提供的管理信息。IT同时为平衡记分卡中财务（企业资源管理）、客户（客户关系管理）、流程（内部网和工作流工具）以及学习（）这四大量度中的分别的目标组合提供了解决方案。

IT也需要自己的记分卡。定义能够清晰的目标以及清晰地揭示IT目标对于业务的影响的优秀评估方法对企业而言是一种挑战，需要在企业的不同治理层面中以一种合作的方法来解决。企业平衡记分卡与IT平衡记分卡相联系是这种协调的一种有力的解决方法。

4.4风险管理你看不见的那些风险可能是致命。

企业风险来自于很多方面，不仅仅是财务风险。管理者目前很关注运营风险和系统风险，而这其中技术风险和信息安全问题是很显著的。在美国和英国是用的内部架构保护措施主要是面向企业对于IT技术架构的完全依赖性以及对于新技术的风险方面的缺陷。而对于这些方法的一些最初的推动活动都是使企业高层领导具有这方面风险意识。

董事会应当通过下列措施来管理企业风险：

确保对企业的重大风险具有透明度同时贯彻企业的风险规避或风险应对政策

明确在董事会中关于风险管理的责任，在向高级管理层进行委托时，要确保关于委托的限制能够被同时传达而且被清楚地加以理解

理解到位的内部控制系统通常具有提高成本效率的能力

认识到一个透明同时激励性的风险管理方法能够创造可以被利用俄竞争优势。

坚持风险管理是蕴含在企业的运营中的，对于不断变化的风险要进行快速响应，同时要根据协定的原则（汇报什么内容，时间，地点以及如何汇报）立即进行汇报以进行适度的管理。

在CPSS43报告中，国际结算银行认为风险管理职能（以及审计职能）应当是独立于那些负责日常运作的职能之外的。它同时表示由公众协助建立的透明性要披露包括治理结构、高层管理结构、基层组织结构、风险管理设计以及内部控制系统设计在内的信息。

5.应当提出哪些问题？

当我们的IT治理还不是最有效的治理流程的时候，询问一些棘手的问题是一种起步的有效方法。当然，负责治理的人员需要对于这些问题的好的回答。然后他们希望实际的行动。接着他们需要具体的贯彻。在行动的同时，确定由谁在什么时间负责采取行动也是非常重要的。

表3由ITGovernanceInstitute提出的一个问题的扩展列表。这些问题集中于三个目标：发现IT问题、寻找管理层对这些问题的现行做法、内部评价董事会对于这些问题的治理。

6IT治理如何实现？

ITGovernanceInstitute提供了从董事会和高级管理层两个角度的实施有效IT治理的行动计划。这些计划包括下列元素：

用于行使IT治理职责的行动列表，确定什么样的时间一般应当列入IT治理的议事事程。

与IT治理的主旨直接相关的产出结果评价，例如企业与IT目标协调性、由IT治理实现的成本效率、产生的能力和风险以及机遇。

最佳实践列表展示了那些在IT治理领域以及建立了领先地位的企业是如何完成上述事务的。

关键成功要素是在实践中对于成功极度重要的那些环境、能力以及态度。

绩效驱动提供了对于IT治理执行状况的反映指标，这与那些衡量取得什么样的结果的产出结果评价指标有所不同。这些执行情况的反映指标通常与关键的成功要素相联系。

这些计划列举了IT治理事务，将一系列目标以及相关的实践建立联系。这些实践进行了分类来反映实践产生最大贡献的IT治理的相关领域：价值创造、战略协调、风险管理以及绩效。同时也提供了一份关键成功要素列表来支持这些实践。最终，列举了2套评价指标：与IT治理目标相关的产出评价指标和与事务完成水平相关的绩效评价指标，同时也提供了相关的具体时间和关键成功要素。

7.你的组织如何进行相应比较？

为了能够实施有效的IT治理，组织需要衡量现有的执行水平，需要能够确定在什么地方能够提高以及如何实现。这些将涉及到IT治理流程本身以及所以需要在IT内进行管理的流程。

成熟度模型的使用很大程度上简化了这项任务，同时也提供了一个指标化、结构化的方法来评价你的流程的水平：

0＝不存在。没有应用管理流程。

1＝初步。流程是支离破碎的。

2＝重复性的。流程依照一个常规的模式。

3＝已定义的。流程是文档化的并且被传达下去。

4＝被管理的。流程是被监控并得到评价的。

5＝最优的。依照最佳流程进行自动运作。

对于各种成熟度级别的详细介绍可以参阅ITGovernanceInstitute的《BoardBriefingOnITGovernance》。