一、IT治理概念提出的背景
　　信息技术的横纵向嵌入改变了企业业务流程，给内部控制、治理结构，以及企业运营带来了巨大的冲击与挑战，尤其是SOX法案颁布以来，要求上市公司提高透明度，完善公司治理水平以保护投资者的利益，IT治理因此受到了前所未有的关注。
　　（一）IT治理是公司治理的重要组成部分
　　公司治理问题是由所有权与经营权的分离引起，其要求之一是增加公司经营、风险等方面信息披露的透明度（饶艳超，2003）。构建信息系统网络是解决信息不对称的良好途径，但是信息系统的构建及应用过程本身也存在着利益冲突和信息不对称问题，也需要一个合理的制度安排。
　　IT治理正是有关IT决策的权责利安排，它从企业整体利益出发构建IT系统，力求实现业务与信息的集成，这些不仅可使公司经营活动过程变得更透明，还可提高公司信息的质量，减少利益相关者之间的信息不对称问题，起到了驱动和支撑公司治理的作用（唐志豪等，2008）。
　　（二）IT治理是提高内部控制的有效手段
　　信息技术的深入应用，信息系统成为了管理层编制财务报告和披露相关信息的工具，基于权力制约和岗位分工的内部控制发展成为以信息流为基础的IT内部控制（章铁生，2007）。企业IT系统和IT控制若存在风险，会影响所有（或大部分）财务报表的可靠性，甚至影响企业的生存。
　　IT治理将合理的制度安排、控制程序嵌入到IT系统中，使得IT系统具备内在的控制机制，减少了信息生成过程中的错误与舞弊行为，确保企业运营满足相关法律法规（如SOX等）的要求。
　　（三）IT治理是控制经营成本，提高企业价值的驱动力
　　由于IT是企业价值创造的“银弹”、“魔弹”（Daly，2002），企业在IT系统方面的投资比重越来越大，平均投资额超过了其年收入的4.2％（Weill et a1.，2003），同时，巨额的IT系统的运营成本和维护费用也成为企业管理层必须考虑的因素。
　　IT治理通过平衡IT资源及IT过程的风险与回报，有助于降低订成本，提升IT投资价值。这些将有利于提高企业经营绩效，赢得企业竞争优势，从而使企业各相关利益者（包括股东）都从中获得增值收益。
　　综上，IT治理对信息环境中的公司治理、内部控制和企业运营的现实意义使得IT治理一度成为业界的流行词汇，以及学术界的研究热点，CIO Insight甚至将“IT治理”列入了2007年世界信息技术10大重要趋势之一。然而当前各国学者就IT治理的认识并没有统一，对相关的研究进行梳理是非常必要的。
　　二、IT治理的涵义
　　IT治理诞生于20世纪90年代（Lob et a1.，1992；Henderson et a1.，1993），回顾当前国内外相关研究文献，明确提出IT治理的学者和机构有很多（比如Sambamurthy et a1.，2000，Korae—Kakabadse et a1.，2001，Hoffman，2003，Weill，2004，Brown et a1.，2005，Van Grembergen，2005，ITGI，2007等等），但似乎还没有一个统一、精确的定义（Broadbent，2003）。
　　仔细分析这些研究，麻省理工学院CISR中心的Weill和Ross教授认为“IT治理是在IT应用过程中，为鼓励期望行为而明确决策权归属和责任担当的框架”，持类似观点还有Peterson（2004），Segars（1999）等。这类研究认为部署IT决策权是IT治理的重点内容，Weill更是强调IT治理旨在解决IT决策权力的分布问题。
　　而全球IT治理研究中心（ITGI）则认为“IT治理是董事会和执行层的责任，通过领导，组织和过程来保证IT实现和推动企业战略目标。价值，风险与控制是IT治理的核心。”持类似观点的还有Hoffman和Van Grembergen等。这类研究强调IT治理中的控制因素，尤以ITGI和国际信息系统审计与控制协会（ISACA）的研究最为有代表性，他们发布的COBIT（信息及相关技术控制）框架模型伴随着信息系统审计业务的不断推广目前在业界得到了广泛的应用。
　　业界和学术界对IT治理的不同理解，主要源于“治理”一词兼具控制和引导的双重涵义①。因此，我们将IT治理研究分为控制型和引导型两大流派，分别描述其代表人物及主要研究成果。
　　三、IT治理的主流研究评述
　　（一）控制型IT治理流派
　　该流派的研究强调IT治理中的控制因素。主要的研究思路是平衡IT风险与回报，控制企业IT资源的运用，实现IT资源的有效性和效率。
　　IT审计师经常需要就企业的内部控制发表审计意见，这一流派的主要研究机构是ISACA和ITGI。主要的研究成果为信息及相关技术控制模型（COBIT），目前COBIT最新版是4.1版。2006年，ITGI和普华永道公司通过对全球范围内对695位CIO和CEO的实证调查，结果表明COBIT模型的认知度比2003年提高了50％，COBIT的使用率占全部rr从业人员的10％（ITGI，2006）。
　　COBIT是一个基于控制的IT治理框架，它的特点是以业务为中心，以流程为导向，由测量所驱动。COBIT为企业规划、实施和更新IT资产，进行全生命周期管理提供了良好的控制体系。它将企业的11r过程归集为四个控制域：IT规划和组织（Planning and Organization）、系统获得和实施（Acquisition andImplementation）、交付与支持（Delivery and Support）以及信息系统运行性能监控与评估（Monitor andEvaluate），共包含34个IT过程。并为每个IT过程设置了相应的控制目标体系。这个控制目标体系有一个高级控制目标和若干具体控制目标组成。
　　在此基础上，有不少学者做了进一步研究。Stephen Reingold建立了利用COBIT提高企业的IT过程的三步骤模型（Reingold，2005）。Daniel Ramos则针对COBIT的每个IT治理域和过程，详细分析了IT审计师在其中的作用，他们认为要塑造一个成熟的IT治理环境，使之与业务目标与匹配，IT审计师起着关键作用（Ramos，2001）。Gary Hardy发现COBIT虽然有控制目标，但没有给出相应的改善手段与方法，他建议将COBlT，ITIL，IS017799结合起来实施IT治理，并将三者根据每个IT过程详细的对应匹配起来（Hardy，2006）。类似的研究还有很多，ITGI的月刊《Information Systems Control Journal）发表了大量的关于如何运用COBIT改善IT安全治理，提高IT价值回报率，有效管理n‘资源以及控制IT风险的文章。上述的控制型I，IT治理流派的有关研究成果，给出了IT治理关键控制域，控制过程，以及可供参考的管理指南，方法，手段和工具集，其研究是基于过程控制的思想。
　　（二）引导型IT治理流派
　　该流派的研究强调通过引导（权责利制度安排）来提高IT治理水平。主要有三个方面的研究内容：IT治理模式（IT决策权力分配），IT治理机制（组织结构、流程和沟通关系），以及IT治理影响因素分析。
　　1.IT治理模式
　　IT治理模式（IT governance Form）指的是企业制定IT决策的权力部署方式。早期研究认为IT决策的权力部署分有两种最基本的、极端的方式：集中式和分散式。随后学者们开始质疑这种严格的两分法是否合理与现实，对基本IT治理模式进行了扩展。
　　严格意义上的集中式治理将所有的IT决策权力集中在信息系统（Is）部门里，一个严格的分散式治理设计将所有IT决策权力分配到各个业务单元或流程中去。大多数学者认同两种方式各有优缺点（Crosset a1.，1997），集中式治理有利于统一IT标准，有利于实现规模经济与协同性；而分散式治理由于允许各业务部门定制方案，可以满足本部门的个性化需求（Burlingame，1961）。
　　那么企业如何才能同时实现集中的协同性和分散的灵活性？
　　Zmud等（1986）从治理模式与整个Is组织的影响出发，将两分法进一步发展成为三分法，这个新的治理模式被称为“联邦治理模式”。“联邦治理模式”综合了集中式和分布式模型的优点，在该治理模式下，集中的IS部门提供核心IT服务，同时业务部门对整体IS职能有一部分控制权，这样就能充分利用集中式治理和分散式治理两种方式的优点（Boynton et a1.，1987；Rockart et a1.，1996）。
　　另一些学者则从IT治理模式对不同类型的IT决策的影响的角度出发，开始把IT治理模式和不同类型的IT决策配合起来。Olson和Chervany研究了三种广为采用的玎决策（Norton，1973）：系统操作，系统开发和系统管理的治理模式（Olson et a1.，1980）。沿着这项研究，Zmud和Byrd等则针对IT规划决策的治理模式作了相应的研究（Byrd et a1.，1995）。
　　到了2004年，MIT的Weill和Ross教授再次对IT治理模式进了更深入的探索，通过对全球范围内23个国家的250多个企业进行了实证研究（WeiH et a1.，2004），建立了IT治理安排矩阵。他们发展了六种IT治理模式：业务君主制、IT君主制、封建制、联邦制和双寡头制和无政府制；提出了I.IT治理的五个关键决策：IT原则、IT架构、IT基础设施、业务应用需求和1T投资；并将六种IT治理模式与五个关键决策对应起来建立了IT治理安排矩阵，IT治理矩阵是更进一步对基本IT治理模式进行纵横向扩展的结果。这项研究成果是Weill和Ross对IT治理先前研究的深化，代表着目前IT治理的最新主流研究成果。
　　总的来说，IT治理模式的研究定义了IT决策权力的不同部署方式。从最初的基本的、极端的集中或分散式开始，学者们逐渐提出一些较柔性的，较接近组织实际运作的治理模式。
　　2.IT治理机制（组织结构、流程与沟通关系）
　　伴随IT治理研究的进一步深入，学者们发现IT治理模式与IT治理绩效并不具有完全相关关系，众多研究开始探索保障IT治理绩效的组织结构、流程与沟通机制。
　　在这方面的一些代表学者有：Peterson，Van Grembergen，De Haes，Guldentops，Woodham以及WeiU和Ross教授等。他们的研究没有较大差异，IT治理的组织结构是指IT决策制定的组织结构，包括董事会，CIO，CEO等职位及职责的设置，以及ITIL战略委员会，IT架构委员会等类正式团队组织及职责的设置。IT治理的流程是指IT决策制定和监控的过程，比如IT投资评估流程、IT架构例外流程、IS战略规划、服务水平协议等过程，也可以指利用诸如IT平衡计分卡（BSC）、COBIT以及ITIL等工具或方法来对IT／IS进行规划，实施，交付和监控的过程（De Haes et a1.，2005；Van Grembergen et a1.，2004）。I-IT治理的沟通机制是指一些正式和非正式的沟通反馈手段与方法，比如建立业务部门与rI-部门的合作关系，建立决策者间的冲突解决机制，传播和培训IT政策，以及定期进行IT投资项目汇报等。
　　2004年，MIT的Weill和Ross教授在他们着作中也对这一问题进行了探讨，他们认为IT治理结构、流程和沟通关系与IT治理模式一起共同作用，才能体现出IT治理的绩效（Weill et a1.，2004）。没有相应的治理结构，流程和沟通关系，IT治理的模式不可能产生预期结果。
　　Peterson还认为IT治理结构、流程与沟通机制体现出一个多层次的横向集成关系（Peterson，2004）。
　　总之，IT治理组织结构、流程与沟通关系的研究是学术界和业界对如何提高IT治理水平更深层次思考的结果。标志着IT治理的研究从部署决策权的“What研究”走向了如何实施“治理内容”的“How研究”。
　　3.IT治理影响因素分析
　　IT治理影响因素的研究主要聚焦于分析IT治理模式是否与该企业相适应，通过分析不同的I，I.治理模式的关键成功因素影响，帮助企业找到一种合适的IT治理模式。这方面的研究经历了几个阶段，最早的研究是单个影响因子研究，随着研究的深入，出现多重影响因子研究，并开始强调根据不同的IT决策来分析相应的影响因素。
　　早期的研究认为影响IT治理模式的影响因子主要有四大因素：组织结构，企业战略，行业和公司规模。多数研究者认为集中的组织导致集中的IT治理设计，而分散的组织采取分散的IT治理设计，如文献（Ahituv et a1.，1989；Brown et a1.，1994；Ein—Dor et a1.，1982；Tavakolian，1989）。Tavokolian（1989）发表了一个实证研究结果，他调查了52个大型组织的IT结构（治理框架）与组织竞争战略的联系。在这项研究中，Tavokolian发现采取“防御型”战略（保守竞争战略）的组织，相比采取“进取型”竞争战略的类似组织，前者更有可能采用集中式IT治理结构。Ahituv等（1989）以色列的303个组织作了实证研究，他们发现公司的行业类型与组织的I，IT治理分散程度没有显着关系（Ahituv et a1.，1989）。后来Clark（1992）也重申了这个观点。许多研究认为组织的规模通常与特定IT治理模式无明显关系（Ahituvet a1.，1989；Clark Jr，1992；Olson et a1.，1980；Tavakolian，1989），但是Ein—Dor和Segev（1982）年以53个大型公司为实证对象进行了研究，他们认为：如果以总收入而不以员工人数来衡量组织规模时，IT治理的集中程度是与组织规模负相关的。
　　这些IT治理模式单个影响因子的研究，对于企业如何选择IT治理模式有一定的价值，不过假定这些影响因子相互独立是不客观的，因此一些学者开始研究多重，相互作用的，甚至是彼此冲突的影响因子对于IT治理模式的综合作用（Brown et a1.，1994；Sambamurthy et a1.，1999）。
　　Brown和Magill是将单个影响因子研究推向多重影响因子研究的主要力量。Brown和Magil（1994）l的研究提出了4种n.治理模式：高度集中，高度分散，混合，分散再集中式治理，以及10个相互作用的因子：公司远景、公司战略、企业组织结构、公司文化、IT的战略重要性、企业应用软件的架构和IT系统优先次序等。并且将10种影响因素与4种IT治理模式匹配起来，概括了每种治理模式的主要影响因子，可以作为IT治理模式的参考预测模型。
　　Brown和MagiU（1998）进一步针对特定的跨业务部门的IT服务（比如系统开发），提出了混合型IT治理模式的6个影响因素。到了1999年，Sambamurthy和Zmud（1999）通过实证研究，提出更复杂的、集成的多重影响因子理论（Sambamurthy et a1.，1999），他们将多重影响因素的相互作用区分成几种类型（加强型，冲突型，支配型），并且研究了它们与三种IT服务决策（IT基础设施，IT使用，IT项目管理），与9种治理模型（集中式，分散式和联邦式等）的关系。
　　2004年，Weill和Ross在他们的着作中，通过实证研究提出了决定IT治理模式的五大影响因素：战略与绩效目标、组织结构、IT治理经验、组织的规模和多元化、以及行业和区域差异（Weill，2004）。还对六种IT治理模式（业务君主制、IT君主制、封建制、联邦制和双寡头制和无政府制）、五大IT治理关键决策（IT原则、IT架构、IT基础设施、业务应用需求和IT投资），与这五种影响因素之间的相应关系进行了研究。
　　总之，IT治理影响因素的研究历经了从单个影响因子分析，到多重影响因子分析，再到针对不同IT决策的多重影响因素分析的过程，这些研究成果是目前的IT治理影响因素研究的基石。
　　四、IT治理的新动向——关系导向的IT治理
　　从以上综述可以看出，Weill和Ross的研究是引导型IT治理的代表，他们的研究成为当代I-IT治理领域的主流成果。但是，在2000年，Sambamurthy和Zmud在管理信息系统领域的TOP杂志——《信息系统研究》杂志上撰文，提出了一个新观点。他们认为IT治理首先最重要的，是建立一个关系平台，一个能满足企业目前和未来发展需要的IT关系平台（Sambamurthy et a1.，2000）。建立了这个平台之后，再着眼针对某个特定的IT决策解决其权力部署问题。Sambamurthy和Zmud提出的平台由三大部分组成：IT能力（IT Capabilities），IT关系架构（relational architecture）和集成架构（integration architecture）。
　　2003年，A.Schwarz和R.Hischheim响应Sambamurthy和Zmud的号召，使用了美国天然气行业的六个企业对IT治理作了案例研究，证实了业界已经由原来的关注集中／分散的单向架构，转变成为强调企业内外互动关系的双向架构（Schwarz et a1.，2003）。
　　这些研究使得IT治理的研究由单个企业内部走向企业外围，由讨论静态的治理组织结构转向讨论动态、柔性的组织内外关系。虽然讨论关系在IT研究领域并不是新方向，但是这种关系导向的治理逻辑仍然显示出IT治理研究的重大转变。
　　五、进一步研究
　　围绕IT治理的主流成果和新趋势，我们认为以下是可以进一步研究的方向：
　　（1）结合行业特征、企业文化、企业战略等维度，进一步完善WeiU和Ross提出IT治理安排矩阵；
　　（2）沿着控制型IT治理思想，对如何利于COBIT设计IT治理，控制IT风险等专题进行思考，或者加入ITGI的研究团队促进该理论的不断完善和提高；
　　（3）积极响应Sambamurthy和Zmud的学术号召，研究企业内外IT关系平台的构建和管理，以及围绕IT关系和能力来实施IT治理的流程与机制等；
　　（4）最后学者们还可以探讨如何融合控制学派与引导学派双方的治理思想，来同时控制IT风险和提升企业价值。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。