我国企业IT决策模式的实证研究——基于CISR模型和COBIT模型的综合分析

北京服装学院商学院 周常兰

一、引言

近十年来，随着信息技术尤其是网络技术的迅猛发展，企业信息化的广度与深度均得到扩展，使得企业的日常运营越来越依赖于信息化系统，信息技术（IT）对于企业而言越来越重要，信息化涉及到企业的方方面面，不仅仅是IT部门的责任，IT相关决策权的分配影响到信息化的绩效，改善IT治理结构和提高企业业绩之间存在有很强的相关性。因此，本文主要研究如下问题：对于当前我国企业而言，在IT相关决策权的分配方面是什么状况？对当前我国企业的信息化而言，什么样的决策权分配模式是理想的？

二、理论分析

（一）IT治理与IT管理 IT管理与IT治理是有本质区别的。与IT管理不同，IT治理不是应该决定哪些特定决策，而是系统地决定由谁来做出每种决策，谁应该参与决策，以及这些人应对他们的角色负何种责任。“管理者”经营、开发、实施并监控经营战略下的日常活动，“治理者”则处理整个组织的政策、文化及方向。Bird（2001）对管理者下了如下定义：“管理机构因治理而得到授予他们的权限”。换句话说，即“治理”决定谁来做决策，而“管理”则是做决策以及实施决策的过程。

（二）公司治理与IT治理Weill与Ross（2000）从两个互补的方面来表述公司治理，其中，行为方面的公司治理包含组织的不同代理人之间的关系和行为模式，规范方面的公司治理是为处理上述代理人关系进行决策权的分配，以及为确保公司目标实现提供委托代理关系形成机制和规章、操作规程的制定机制。IT治理和公司治理主体一样，是管理执行人员和利益相关者的责任（以董事会为代表）。公司治理主要关注利益相关者权益和管理，由最高管理层（董事会）和执行管理层实施，目的是提供战略方向，保证目标能够实现，风险适当管理，企业的资源合理使用。公司治理驱动和调整IT治理。IT治理是信息技术条件下所有利害相关者的利益均衡，IT治理的核心是权利的分配和责任的承担。不同的组织层次应拥有不同的决策权力和责任，并且通过机制建设保证决策权力和责任的适当归属。

（三）IT治理现行的主要理论框架 与IT治理有关的现行理论框架主要有ISACA（国际信息系统审计与控制协会）的COBIT（2007）、CISR（麻省理工大学斯隆管理学院信息系统研究中心）的IT决策权分配模式（2004）：（1）ISACA的COBIT（Control Objectives for Information and related Technology，信息及相关技术的控制目标）1996年，COBIT作为一项IT安全与控制的实践标准，是由美国信息系统审计与控制协会（ISACA）及其所属的IT治理研究所（ITGI）共同开发、公布的业界标准，目前已经更新至第4.1版，是国际上公认的最先进、最权威的安全与信息技术管理和控制的标准。COBIT形成了一套专供企业经营者、使用者、IT专家、信息系统审计员与安全控制人员来强化和评估IT管理和控制的规范，为IT的治理、安全与控制提供了一个一般适用的公认标准，并辅助管理层进行IT治理。它正在成为控制数据、系统和相关风险的优秀的实践法则，并逐渐被越来越多的用户所接受。它将帮助企业部署对系统和网络的有效管理。（2）CISR的CISR模型。CISR的Peter Weill教授（2002）发现优秀企业的IT治理与一般企业是不同的，存在五个IT关键领域：信息技术原则、信息技术结构、信息技术基础设施、企业应用需要和信息技术投资及优先次序。优秀企业在这五个关键领域谁做决策和如何决策和一般企业不同，对应于每个关键领域分别有着不同的决策方式，可分为六类，如表1所示。李维安、王德禄（2005）指出，COBIT模型强调的是应加强对信息技术投入和使用的监督和控制过程，CISR模型则强调对信息技术投入和使用的权力划分和责任分配，并形成组织所希望的行为。并认为两者虽然都强调控制，但COBIT模型强调对决策过程的控制，而CISR模型强调决策前的控制。唐志豪、计春阳、胡克瑾（2008）则认为COBIT可称为控制型模型，归入了控制型IT治理流派；认为CISR模型可称为引导型模型，归入了引导型IT治理流派。

表1 CISR模型的IT决策方式

三、研究设计

（一）问卷设计 调查问卷的设计共分为三个部分，第一部分是被调查人员及企业的基本情况，第二部分是对企业IT风险控制责任主体的调查，题型为选择题，目的是了解被调查企业IT相关方面决策权的责任分派实际状况；第三部分是对企业不同流程IT治理成熟度的调查，内容设计以ISACA的COBIT模型为基础，题型为六级利克特量表题，目的是了解当前被调查企业在各个流程IT治理成熟度现状。

（二）样本选取和数据来源 笔者于2010-2011年调查了100多家企业，对象包括信息技术部门及其他相关管理部门，调查形式分为纸质问卷以及远程网络问卷，最终用于数据分析的有效样本数为109份。

（三）问卷的信度和效度 经过数据录入与整理后，笔者首先运用SPSS的可靠性和相关性分析工具对问卷量表题的信度与效度进行了分析，结果表明问卷所有量表题的克朗巴哈α信度系数均在0.8以上，说明问卷的量表具有较高的信度。笔者运用相关性分析工具，输出“Pearson”皮尔逊相关系数，“Two-tailed”双侧显著性T检验，结果表明所有得分单项与所属分类总和的Pearson相关系数均在0.65以上，说明问卷的量表均有很好的内容效度。

四、我国企业IT相关决策权分配的调查结果分析

（一）样本企业IT相关决策权分配情况 如表2所示，样本企业的信息技术原则决策权、信息技术投资决策权、企业应用需要决策权三个方面比重最大的都是企业君主式，比重第二位的都是双寡头式，没有无政府状态式。在信息技术结构决策权、信息技术基础设施决策权方面，比重前三位的依次是IT部门君主式、企业君主式、双寡头式，且这三种模式的比重差别不悬殊，没有无政府状态式。

表2 样本企业IT相关决策权分配统计表

（二）样本企业各流程IT治理成熟度情况 为了弄清样本集团公司在当前有哪些流程的IT治理成熟度较高，哪些流程较低，笔者统计了各流程的IT治理成熟度评价的得分均值，结果如表3所示，在这四个流程的IT治理成熟度方面，基本上可以分为两个等级，IT治理成熟度高的是获取与实施流程、交付与支持流程，得分均值在4.2左右，IT治理成熟度低的是监控与评估流程、规划与组织流程，得分均值在4.0左右。说明当前我国企业需要重点加强对信息化的监控与评估，做好信息化的规划与组织工作。

表3 全样本信息化各流程IT治理成熟度描述统计量

（三）IT相关决策权分配与各流程IT治理成熟度的关联分析结果 以全样本企业为对象，分别统计了五大方面采取的五种决策模式下全流程与各流程IT治理成熟度的得分均值，如表4所示。在五大决策方面分别选取了管理信息化全流程风险控制程度最高对应的两种决策模式，并以方框在表中标识出来，可以发现，在信息技术投资、信息技术原则这两个方面，理想的决策权分配模式依次为联邦式决策模式（4.54612分、4.579753分）、双寡头式决策模式（4.444119分、4.359566分）。在信息技术结构方面，理想的决策权分配模式依次为联邦式决策模式（4.493753分）、企业君主式决策模式（4.301431分）。在企业应用需要方面，理想的决策权分配模式依次为双寡头式决策模式（4.361908分）、IT部门君主式决策模式（4.293138分）。在信息技术基础设施方面，理想的决策权分配模式依次为企业君主式决策模式（4.291642分）、联邦式决策模式（4.199568分）。如图1所示。

表4 IT相关决策权分配与各流程IT治理成熟度的关联分析表

图1 当前的IT决策模式与理想的IT决策模式比较图

五、结论与建议

（一）结论 我国企业在信息技术投资、信息技术原则这两个方面，理想的决策权分配模式依次为联邦式决策模式、双寡头式决策模式。在信息技术结构方面，理想的决策权分配模式依次为联邦式决策模式、企业君主式决策模式。在企业应用需要方面，理想的决策权分配模式依次为双寡头式决策模式、IT部门君主式决策模式。在信息技术基础设施方面，理想的决策权分配模式依次为企业君主式决策模式、联邦式决策模式。在四个流程的风险控制程度方面，我国企业风险控制程度高的是获取与实施流程、交付与支持流程，风险控制程度低的是监控与评估流程、规划与组织流程，说明当前我国企业需要重点加强对管理信息化的监控与评估，做好管理信息化的规划与组织工作。

（二）建议 考察上述理想的决策权分配模式，联邦式决策模式与双寡头决策模式出现的频率最高，根据这一结果，笔者认为理想的决策权分配模式的实现的根本途径在于优化公司治理结构：一是建立IT战略委员会，IT战略委员会应由企业的最高管理层及管理执行层包括IT管理和业务管理有关部门负责人、管理技术人员组成。IT战略委员会通过定期召开会议，就公司战略与IT战略的驱动与设置等议题进行讨论，并做出重大IT投资与IT结构决策，还为企业IT日常管理提供原则性的导向与支持，并把IT治理的相关规范融入到企业的内部控制中。二是建立IT监管部门，发挥IT监管部门在专业领域的监督、评价和指导作用。建立风险管理部门，把全面风险管理作为专业职能部门的职责，在指导全部关键资产的风险治理机制方面发挥指导作用。充分发挥内部审计部门在风险控制方面的监督、评价作用。三是要明确规定各部门的责任。企业最高管理层应确保对管理层、相关部门及人员职责进行规定并形成书面文件。通过明确IT决策与管理控制过程中的责任，以解决信息化建设与控制中存在的责权利不明问题，并确定目标不一致问题的协调机制。此外，要建立责任考核制度并与责任主体的经济利益联系起来，从而保障书面文件规定得以贯彻执行。

［1］唐志豪、计春阳、胡克瑾：《IT治理研究述评》，《会计研究》2008年第5期。

［2］李维安、王德禄：《IT治理及其模型的比较分析》，《首都经济贸易大学学报》2005年第5期。

［3］周常兰、陈宝峰：《ISCA模型——IT治理视角下的解析》，《会计研究》2009年第2期。

［4］ISACA，COBIT Management Guidelines.4.1 Edition,2007.

［5］Weill,P.，Don’t just Lead,Govern:How Top-Performing Firms Govern IT.MIS Quarterly Executive,2004.