信息技术管理涉及影响企业管理方式的各项程序、惯例、政策、法规、管理措施及制度等,因此它应当从属于公司治理的组织策略体系。加拿大审计长公署专家的这篇文章介绍了什么是信息技术管理、为什么需要信息技术管理以及如何才能更好地实现信息技术管理,还介绍了信息技术审计中审计计划、审计策略及绩效评价指标的应用等。这对于我们认识信息技术管理以及开展信息技术审计工作很有帮助。?????编者
人们通常认为信息技术管理是一个独立的研究领域,但实际上,它应当从属于公司治理的组织策略体系。该体系包括影响企业(泛指包括商业公司在内的所有组织)管理方式的各项程序、惯例、政策、法规、管理措施及制度等。针对企业相关利益者之间的各种复杂关系而设立的这些策略,其目的在于促使企业尽可能地以最为有效和便捷的方式实现各项既定目标。这些策略覆盖了公司治理的方方面面,既包括了所有利益相关者在企业决策方面的参与形式、如何平衡风险与回报,也包括了引入诸如绩效指标等先进方法、开展信息技术审计及如何克服困境等。
公司治理的范围
问责制度及受托责任:实施多种机制以确保企业管理层诚信经营并保护公共部门组织免受欺诈或其他不道德行为的影响。
经济效益管理:公司治理体系如何实现最优结果并达成既定目标。
战略效益管理:公共部门机构往往致力于实现诸如减少贫困、市场准入、稳定收入、医疗保险及创造就业等公共政策目标,但这些目标往往难以用经济效益来衡量。
利益相关者原则:加强对诸如公民、雇员、企业及各级政府等利益相关者的问责制度。
我们不应将信息技术管理看作一门独立的学科,而是将其作为信息技术系统整合进入公司治理战略的一种手段。有效的公司治理战略能够协助企业全方位管理为实现企业目标而实施的相关行动。作为这种战略的一部分,所有利益相关者都应当参与决策过程。而这种参与使得评价体系的作用为大众所接受,同时又确保了信息技术相关决策由企业制定并执行,反之则不行。
信息技术管理
什么是“信息技术管理”?虽然许多人对于“信息技术管理”的定义多有不同,但他们都有一点共识,那就是“信息技术管理”应当包括:监管、执行各项活动的程序及规则、状态及质量的评价及报告机制。
为什么需要“信息技术管理”?信息技术管理的目的在于确保对信息技术的投资:1.产出了价值回报;2.降低了信息技术综合风险,避免了系统故障。信息技术对于期望实现高效率服务与产品供给的企业,尤其是那些使用信息技术以期改变原有经营模式的企业,显得尤为重要。这一改变过程已经成为当前私有和公共部门引入新型经营模式的主要途径,通常被称作“商业转型”。虽然商业转型可以为企业带来很多回报,但是它仍存在许多潜在的风险,极有可能扰乱企业的正常运转并带来一些难以预料的后果。这就需要我们在利用信息技术实现组织变革的过程中学会如何平衡风险与回报。
如何才能更好地实现“信息技术管理”?尽管软件行业在信息技术系统优化的过程中做了多方面的努力,但是,信息技术系统在稳定性及满足客户需求方面仍然不尽如人意。信息技术系统优化的关键在于为信息技术、相关程序及信息技术审计人员设定好角色及职责,建立组织结构及高效的治理模式,并确定组织目标。同时,有效管理的缺失,也极有可能导致信息技术系统项目的最终失败。要想获得成功,企业必须综合考虑下列各个因素,以使项目实现最优化:
?????高层框架(包括定义领导体系、行事程序、角色及责任、信息需求及组织架构)确保了信息技术投资能够根据企业总体目标有序规划,从而最大限度地发挥信息技术的功效。
?????独立担保:采取内部审计或外部审计的形式,及时反馈信息技术与企业政策、规则、程序及总体目标契合程度的相关信息。
?????资源管理:通过例行测评,确保信息技术项目拥有充足且高效的资源以满足企业的需求。
?????风险管理有效地确保了企业及信息技术系统能够定期测评并报告信息技术相关风险及其对企业的影响(重点关注其对于实现企业总体目标可能造成的不利影响)。一旦暴露出任何问题,相关措施将迅速跟上。
?????战略规划:1.促使董事会及高层管理人员了解信息技术的战略价值,形成技术视角及相关能力;2.确保信息技术投资能够根据企业总体目标有序规划,最大限度地发挥信息技术的功效。
?????价值实现最大限度地优化了每一笔信息技术投资所带来的效益。这类投资均是以投资人的需求为目标,为企业带来价值。
?????绩效管理报告(准确、及时、全面地报送高管层相关文件、档案及信息技术项目报告)对信息技术项目目标的完成程度做出了全面而详尽的考核。通过这种考核,企业能够充分评价信息技术的绩效情况:哪些预定的目标已经实现?哪些项目模块已经交付使用?还有哪些问题亟待解决?绩效评价指标是获取绩效情况相关信息的一种有效方法
绩效评价指标对于信息技术管理的重要性
绩效评价指标是建立一个严格高效的信息技术管理体系的基础。企业首先需要了解自身的信息技术系统究竟在哪一方面实现了价值增长,这就需要一套设计完善的绩效评价指标体系来为管理层衡量信息技术系统的成功与否,并确定哪一方面还有待加强,从而进一步提升该系统的效率。这些评价指标的应用使得企业定量计算信息技术投资的产出效益成为可能。
绩效评价指标的优点在于:逐步提高信息技术服务的质量;逐步降低信息技术风险;进一步促进信息技术的产出;逐步减少提供信息技术服务的成本。
目前,绩效评价指标根据功能的不同分为两种类型:用于评价信息技术系统在开发过程中效益情况的指标;用于评价信息技术服务应用成功与否的指标。对于第一类指标,业界有一套通用的评测标准用于跟踪项目开发情况,并使得企业能够在项目生命周期的各个阶段都能够评估项目的进展情况。而 第二种指标则因企业的不同及企业所采用的信息技术服务的不同而千差万别。
虽然我们无法罗列出用于衡量信息技术有效性的所有不同指标,但是无论是在系统开发阶段还是使用阶段,下列几个指标对于大部分企业都是适用的,当然,这还需取决于数据采集的时间和地点:
?????分类别分项目记录信息技术成本。企业可以根据这一指标了解每一具体项目的投资总额并确定财务投资的增值情况。
?????分项目分析信息技术员工人数及成本。这一指标可用于对比每一具体项目的产出与所投入的资源总量情况。
?????项目外包比例。这一指标可用于确定企业员工的工作成效,并衡量企业对外部资源的依赖程度。
?????信息技术相关操作风险事故数量及造成的损失。企业可以通过风险识别,实施降低风险措施,分析未能有效降低风险而导致的损失等,来衡量企业的风险应对能力。评测结果应当递交管理层。
类似的评价指标还有很多,例如:信息技术部门员工中全职与兼职的比例、工作站成本、信息技术安全事故的数量和损失等。
信息技术审计的审计计划、审计策略及绩效评价指标的应用
为了实现有效的信息技术管理,信息技术审计人员可以利用绩效评价指标开展审计,并在审计中注意审计计划和审计策略。
绩效评价指标。信息技术审计人员可以采取下列手段进一步完善绩效评价指标:1.分析,包括理解指标的含义、形成原因、确定指标所反映的情况、分析企业拟采取应对措施的有效程度,并提供相关可靠信息;2.通过对报送企业管理机构的指标情况进行定期评估,为绩效评价指标的准确性、完整性和可靠程度提供独立担保;3.利用个人的工作技能制定项目绩效评测中指标的使用标准。审计人员可以通过协助企业准确地采集、汇报并分析指标,从而更为真实地反映企业的治理情况。
审计计划。信息技术审计人员应当利用历史研究材料及其他最高审计机关所完成的审计项目,向最高审计机关展示企业信息技术管理审计所能达到的审计范围和审计目标,并向企业审计委员会阐述信息技术的效能及风险,介绍独立信息技术管理审计的重要性,以确保信息技术管理列入最高审计机关及企业审计委员会的审计计划。
审计策略。信息技术审计人员能够进一步促进信息技术管理战略的完善:1.通过询问以确保管理层已经充分认识到了应用信息技术可能产生的问题、风险及回报;2.作为企业与信息技术部门之间的沟通桥梁,促使开发者和使用者能够对所面临的风险、困难及如何协同行动达成共识。
信息技术管理中存在的困难
对于不同的企业来说,其所面临的环境、政治、地理、经济和社会情况均各不相同,相应的,在建立有效治理结构的过程中就会遇到不同的困难。我们无法罗列信息技术管理中可能面临的所有困难,但是下面所述的这些情况在大多数企业中都是普遍存在的:
项目控制不力:过去,许多信息技术项目均由信息技术部门独立完成,管理层往往并不参与项目控制,这就使得信息技术部门无法准确了解项目需求,从而导致项目面临信息技术目标难以契合企业总体目标的风险,造成大范围的效率低下。同时,管理层的项目控制缺失,也使得信息技术部门难以对该项目形成重视。
管理层协作不力:虽然管理层在考虑重大信息技术投资时,需要与信息技术部门加强协作,以获得足够的信息与反馈从而作出正确的决定,但是在决策过程中,管理层往往并不愿意与信息技术部门进行通力合作。
资源管理不力:用最少的投入得到最大的产出,企业必须高效率地管理自身的信息技术资源,为信息技术服务提供足够的技术、软硬件支持,尤其是人力资源支持。
风险管理不力:这是影响信息技术项目成功的主要因素。评价各种管理层未能充分认识到的信息技术风险并采取应对措施是风险管理的主要工作。一旦未能有效地处理这些风险因素,将极有可能导致项目失败。
战略规划不力:信息技术投资如果未能根据企业目标和资源情况有规划地投入,极有可能导致收益低下甚至无收益。这种战略规划上的失误将导致信息技术无法为企业目标的实现做出必要的贡献。
(姚明伟 编译,本文为世界审计组织IT审计委员会第16次年会及研讨会论文,作者理查德?布里森博依斯和兹阿德?沙迪德,为加拿大审计长公署IT审计专家。资料来源:2009年2月18日《中国审计报》)
|
