1.5 研究的理論基礎(chǔ)

1.5.1 信息系統(tǒng)進(jìn)化階段理論

信息系統(tǒng)進(jìn)化階段理論主要有諾蘭模型、西諾特模型和米切模型三種。美國(guó)哈佛大學(xué)教授理查德·諾蘭（Richard.L.Nolan）在1974年首先提出了信息系統(tǒng)發(fā)展的四階段論。在四階段論中，諾蘭按時(shí)間順序?qū)r(shí)間橫軸劃分成四個(gè)區(qū)間，即開(kāi)發(fā)期、普及期、控制期和成熟期，他把這些區(qū)間稱為信息系統(tǒng)的發(fā)展階段，同時(shí)用縱軸來(lái)表示與信息系統(tǒng)相關(guān)聯(lián)的費(fèi)用支出。之后經(jīng)過(guò)實(shí)踐進(jìn)一步驗(yàn)證和完善，1979年，諾蘭將信息系統(tǒng)的發(fā)展道路調(diào)整分為六個(gè)階段，被稱為“諾蘭模型”，諾蘭強(qiáng)調(diào)，任何組織在實(shí)現(xiàn)以計(jì)算機(jī)為基礎(chǔ)的信息系統(tǒng)時(shí)都必須從一個(gè)階段發(fā)展到下一個(gè)階段，不能實(shí)現(xiàn)跳躍式發(fā)展。諾蘭的階段模型總結(jié)了發(fā)達(dá)國(guó)家信息系統(tǒng)發(fā)展的經(jīng)驗(yàn)和規(guī)律，無(wú)論在確定開(kāi)發(fā)管理信息系統(tǒng)的策略，或者在制定管理信息系統(tǒng)規(guī)劃的時(shí)候，都應(yīng)首先明確本單位當(dāng)前處于哪一生長(zhǎng)階段，進(jìn)而根據(jù)該階段特征來(lái)指導(dǎo)管理信息化系統(tǒng)建設(shè)。[96]

“諾蘭模型”的企業(yè)信息化建設(shè)分為以下六個(gè)階段：初始階段、擴(kuò)展階段、控制階段、統(tǒng)一階段、數(shù)據(jù)管理階段、成熟階段，這六個(gè)階段是一種波浪式的發(fā)展歷程，其前三個(gè)階段具有計(jì)算機(jī)數(shù)據(jù)處理時(shí)代的特征，后三個(gè)階段則顯示出信息技術(shù)時(shí)代的特點(diǎn)，前后之間的“轉(zhuǎn)折區(qū)間”是在整合期中，由于辦公自動(dòng)化機(jī)器的普及、終端用戶計(jì)算環(huán)境的進(jìn)展而導(dǎo)致了發(fā)展的非連續(xù)性，這種非連續(xù)性又稱為“技術(shù)性斷點(diǎn)”。“諾蘭模型”是第一個(gè)描述信息系統(tǒng)發(fā)展階段的抽象化模型，具有劃時(shí)代的重要意義，該理論已成為說(shuō)明企業(yè)信息化發(fā)展程度的有力工具，該模型在概念層次上對(duì)企業(yè)中信息化的計(jì)劃制定過(guò)程大有裨益。其后的“西諾特模型”和“米切模型”都是在“諾蘭模型”的基礎(chǔ)上做出的修正或改進(jìn)。

1988年，西諾特（W.R.Synnott）參照“諾蘭模型”提出了一個(gè)新的模型，這是一個(gè)過(guò)渡性的理論，主要考慮到了信息隨時(shí)代變遷的變量。他用4個(gè)階段的推移來(lái)描述計(jì)算機(jī)所處理的信息。從計(jì)算機(jī)處理原始數(shù)據(jù)的“數(shù)據(jù)”階段開(kāi)始，逐步過(guò)渡到用計(jì)算機(jī)加工數(shù)據(jù)并將它們存儲(chǔ)到數(shù)據(jù)庫(kù)的“信息”階段；接著，經(jīng)過(guò)諾蘭所說(shuō)的“技術(shù)性斷點(diǎn)”，到達(dá)把信息當(dāng)做經(jīng)營(yíng)資源的“信息資源”階段；最后到達(dá)將信息作為帶來(lái)組織競(jìng)爭(zhēng)優(yōu)勢(shì)的武器，即“信息武器”階段。他還提倡，隨著計(jì)算機(jī)處理的信息機(jī)器作用的變化，作為信息資源管理者的高級(jí)信息主管或稱為首席信息官（CIO，Chief Information Officer）的重要性應(yīng)當(dāng)受到重視。

“諾蘭模型”和“西諾特模型”均把系統(tǒng)整合（集成）和數(shù)據(jù)管理分割為前后兩個(gè)階段，似乎可以先實(shí)現(xiàn)信息系統(tǒng)的整合后再搞數(shù)據(jù)管理，但后來(lái)的大量實(shí)踐表明這是行不通的。美國(guó)的信息化專家米切（Mische）于20世紀(jì)90年代初對(duì)此作了進(jìn)一步修正；揭示了信息系統(tǒng)整合與數(shù)據(jù)管理密不可分，系統(tǒng)整合期的重要特征就是搞好數(shù)據(jù)組織，或者說(shuō)信息系統(tǒng)整合的實(shí)質(zhì)就是數(shù)據(jù)整合或集成。此外，此前的研究?jī)H僅集中于數(shù)據(jù)處理組織機(jī)構(gòu)的管理和行為的側(cè)面，而沒(méi)有更多地研究各種信息技術(shù)的整合集成，忽視了將信息技術(shù)作為企業(yè)的發(fā)展要素而與經(jīng)營(yíng)管理相融合的策略。米切的信息系統(tǒng)發(fā)展階段論的特征不只在數(shù)據(jù)處理工作的增長(zhǎng)和管理標(biāo)準(zhǔn)化建設(shè)方面，而是涉及知識(shí)、理念、信息技術(shù)的綜合水平及其在企業(yè)的經(jīng)營(yíng)管理中的作用及地位，以及信息技術(shù)服務(wù)機(jī)構(gòu)提供成本效益和及時(shí)性都令人滿意的解決方案的能力。[74]

1.5.2 IT治理理論

IT治理是信息系統(tǒng)審計(jì)和控制領(lǐng)域中一個(gè)相當(dāng)新的概念，國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（ISACA）所屬的IT治理研究所（ITGI）定義如下：“IT治理是一個(gè)由關(guān)系和過(guò)程所構(gòu)成的體制，用于指導(dǎo)和控制企業(yè)，通過(guò)平衡信息技術(shù)與過(guò)程的風(fēng)險(xiǎn)、增加價(jià)值來(lái)確保實(shí)現(xiàn)企業(yè)的目標(biāo)。”[25]德勤（Deloitte）的定義如下：“IT治理是一個(gè)含義廣泛的概念，包括信息系統(tǒng)、技術(shù)、通信、商業(yè)、所有利益相關(guān)者、合法性和其他問(wèn)題。其主要任務(wù)是：保持IT與業(yè)務(wù)目標(biāo)一致，推動(dòng)業(yè)務(wù)發(fā)展，促使收益最大化，合理利用IT資源，IT相關(guān)風(fēng)險(xiǎn)的適當(dāng)管理。”[14]雖然具體表述不一樣，但國(guó)際上關(guān)于IT治理有如下幾點(diǎn)共識(shí)。

首先，IT治理須與企業(yè)戰(zhàn)略目標(biāo)一致，IT對(duì)于企業(yè)非常關(guān)鍵，也是戰(zhàn)略規(guī)劃的組成，影響戰(zhàn)略競(jìng)爭(zhēng)。IT治理要從組織目標(biāo)和信息化戰(zhàn)略中抽取信息需求和功能需求，形成總體的IT治理框架和系統(tǒng)整體模型，為進(jìn)一步系統(tǒng)設(shè)計(jì)和實(shí)施奠定基礎(chǔ)，保證信息技術(shù)跟上持續(xù)變化的業(yè)務(wù)目標(biāo)。

其次，IT治理和其他治理主體一樣，是管理執(zhí)行人員和利益相關(guān)者的責(zé)任（以董事會(huì)為代表）。公司治理主要關(guān)注利益相關(guān)者權(quán)益并鼓勵(lì)他們有效參與公司治理和管理，由最高管理層（董事會(huì)）和執(zhí)行管理層實(shí)施，目的是提供戰(zhàn)略方向，保證目標(biāo)能夠?qū)崿F(xiàn)，風(fēng)險(xiǎn)適當(dāng)管理，企業(yè)的資源合理使用。IT治理是公司治理的有機(jī)組成部分，公司治理驅(qū)動(dòng)IT治理并影響其目標(biāo)的設(shè)定。同時(shí)，IT形成戰(zhàn)略計(jì)劃的一個(gè)重要組成部分，這被認(rèn)為是公司治理的一個(gè)重要功能——IT影響企業(yè)的戰(zhàn)略競(jìng)爭(zhēng)機(jī)遇。

最后，IT治理保護(hù)利益相關(guān)者的權(quán)益，使風(fēng)險(xiǎn)透明化，指導(dǎo)和控制IT投資、機(jī)遇、利益、風(fēng)險(xiǎn)。IT治理是信息技術(shù)條件下所有利害相關(guān)者的利益均衡，IT治理的核心是權(quán)利的分配和責(zé)任的承擔(dān)。不同的組織層次應(yīng)擁有不同的決策權(quán)力和責(zé)任，并且通過(guò)機(jī)制建設(shè)保證決策權(quán)力和責(zé)任的適當(dāng)歸屬。

從本書(shū)的研究?jī)?nèi)容出發(fā)，筆者傾向于贊同IT治理研究所的觀點(diǎn)，它明確指出了IT治理通過(guò)“平衡風(fēng)險(xiǎn)”與“增加價(jià)值”來(lái)確保企業(yè)目標(biāo)的實(shí)現(xiàn)。[144]

1.5.3 企業(yè)風(fēng)險(xiǎn)管理理論

風(fēng)險(xiǎn)管理最早起源于美國(guó)，在20世紀(jì)30年代，由于受到1929—1933年的世界性經(jīng)濟(jì)危機(jī)的影響，美國(guó)約有40%的銀行和企業(yè)破產(chǎn)，經(jīng)濟(jì)倒退了約20年。美國(guó)企業(yè)為應(yīng)對(duì)經(jīng)營(yíng)上的危機(jī)，許多大中型企業(yè)都在內(nèi)部設(shè)立了保險(xiǎn)管理部門，負(fù)責(zé)安排企業(yè)的各種保險(xiǎn)項(xiàng)目。可見(jiàn)，當(dāng)時(shí)的風(fēng)險(xiǎn)管理主要依賴保險(xiǎn)手段。1938年以后，美國(guó)企業(yè)對(duì)風(fēng)險(xiǎn)管理開(kāi)始采用科學(xué)的方法，并逐步積累了豐富的經(jīng)驗(yàn)。20世紀(jì)50年代風(fēng)險(xiǎn)管理發(fā)展成為一門學(xué)科，“風(fēng)險(xiǎn)管理”一詞才形成。風(fēng)險(xiǎn)管理最初產(chǎn)生并應(yīng)用于金融領(lǐng)域，由于風(fēng)險(xiǎn)管理理論的廣泛適用性，現(xiàn)在已廣泛應(yīng)用于各國(guó)社會(huì)與經(jīng)濟(jì)發(fā)展的諸多領(lǐng)域，其中包括了企業(yè)。

對(duì)于企業(yè)而言，風(fēng)險(xiǎn)管理理論的提出與應(yīng)用還是源于內(nèi)部控制發(fā)展的需要。21世紀(jì)企業(yè)環(huán)境對(duì)內(nèi)部控制提出了新要求，不僅要求把風(fēng)險(xiǎn)控制作為一個(gè)控制目標(biāo)，還要把風(fēng)險(xiǎn)本身作為一個(gè)特定的要素進(jìn)行管理，企業(yè)風(fēng)險(xiǎn)管理的發(fā)展路徑如圖1-4[78]所示。

對(duì)于企業(yè)風(fēng)險(xiǎn)管理，不同國(guó)家的不同組織有不同的定義，比如，COSO（The Committee of Sponsoring Organizations of the Treadway Commission，美國(guó)反欺詐財(cái)務(wù)報(bào)告委員會(huì)下屬的發(fā)起人委員會(huì)）的定義為：“企業(yè)風(fēng)險(xiǎn)管理是一個(gè)過(guò)程，它由一個(gè)主體的董事會(huì)、管理當(dāng)局和其他人員實(shí)施，應(yīng)用于戰(zhàn)略制訂并貫穿于企業(yè)之中，旨在識(shí)別可能會(huì)影響主體的潛在事項(xiàng)，管理風(fēng)險(xiǎn)以使其在該主體的風(fēng)險(xiǎn)容量之內(nèi)，并為主體目標(biāo)的實(shí)現(xiàn)提供合理保證。”[12] COSO的定義反映了如下幾個(gè)基本概念：企業(yè)風(fēng)險(xiǎn)管理是一個(gè)過(guò)程，它持續(xù)地流動(dòng)于主體之內(nèi)；企業(yè)風(fēng)險(xiǎn)管理由組織中各個(gè)層級(jí)的人員實(shí)施；企業(yè)風(fēng)險(xiǎn)管理應(yīng)用于戰(zhàn)略制訂；企業(yè)風(fēng)險(xiǎn)管理貫穿于企業(yè)，在各個(gè)層級(jí)和單元應(yīng)用，還包括采取主體層級(jí)的風(fēng)險(xiǎn)組合觀；企業(yè)風(fēng)險(xiǎn)管理旨在識(shí)別一旦發(fā)生將會(huì)影響主體的潛在事項(xiàng)，并把風(fēng)險(xiǎn)控制在風(fēng)險(xiǎn)承受能力以內(nèi)；企業(yè)風(fēng)險(xiǎn)管理能夠向一個(gè)主體的管理當(dāng)局和董事會(huì)提供合理保證；力求實(shí)現(xiàn)一個(gè)或多個(gè)不同類型但相互交叉的目標(biāo)。

德勤（Deloitte）把企業(yè)風(fēng)險(xiǎn)管理定義為：“企業(yè)風(fēng)險(xiǎn)管理是使企業(yè)在實(shí)現(xiàn)其未來(lái)戰(zhàn)略目標(biāo)的過(guò)程中將市場(chǎng)的不確定性和變化所產(chǎn)生的影響控制在可接受范圍內(nèi)的過(guò)程和系統(tǒng)方法。”[77]認(rèn)為全面風(fēng)險(xiǎn)管理的內(nèi)容包括：它是一個(gè)流程和方法，以企業(yè)戰(zhàn)略為導(dǎo)向，辨識(shí)對(duì)企業(yè)有潛在影響的事件，并根據(jù)風(fēng)險(xiǎn)偏好管理風(fēng)險(xiǎn)為企業(yè)管理層和董事會(huì)提供合理的保證。風(fēng)險(xiǎn)管理貫穿在企業(yè)管理的每一個(gè)方面：落實(shí)到企業(yè)作為一個(gè)整體和企業(yè)的各個(gè)業(yè)務(wù)流程，作為從董事會(huì)到高級(jí)管理層直至每一個(gè)員工的責(zé)任。并將全面風(fēng)險(xiǎn)管理的含義表示如圖1-5[77]所示。

COSO的定義比較寬泛，它抓住了對(duì)于公司和其他組織如何管理風(fēng)險(xiǎn)至關(guān)重要的關(guān)鍵概念，為不同組織形式、行業(yè)和部門的應(yīng)用提供了基礎(chǔ)。它直接關(guān)注特定主體既定目標(biāo)的實(shí)現(xiàn)，并為界定企業(yè)風(fēng)險(xiǎn)管理的有效性提供了依據(jù)。而德勤（Deloitte）的定義則明確了企業(yè)風(fēng)險(xiǎn)管理是企業(yè)實(shí)現(xiàn)“戰(zhàn)略目標(biāo)”的保證，表達(dá)得直觀、形象一些。

COSO在其企業(yè)風(fēng)險(xiǎn)管理框架里說(shuō)明了風(fēng)險(xiǎn)管理的四類目標(biāo)。在主體既定的使命或愿景（vision）范圍內(nèi)，管理當(dāng)局制訂戰(zhàn)略目標(biāo)、選擇戰(zhàn)略，并在企業(yè)內(nèi)自上而下設(shè)定相應(yīng)的目標(biāo)。企業(yè)風(fēng)險(xiǎn)管理框架力求實(shí)現(xiàn)主體的以下四種類型的目標(biāo)：戰(zhàn)略（strategic）目標(biāo)——高層次目標(biāo)，與使命相關(guān)聯(lián)并支撐其使命；經(jīng)營(yíng)（operations）目標(biāo)——有效和高效率地利用其資源；報(bào)告（reporting）目標(biāo)——報(bào)告的可靠性；合規(guī)（compliance）目標(biāo)——符合適用的法律和法規(guī)。對(duì)主體目標(biāo)的這種分類可以使我們關(guān)注企業(yè)風(fēng)險(xiǎn)管理的不同側(cè)面。這些各不相同但卻相互交叉的類別——一個(gè)特定的目標(biāo)可以歸入多個(gè)類別，反映了主體的不同需要，而且可能會(huì)成為不同管理人員的直接責(zé)任。這個(gè)分類還有助于區(qū)分從每一類目標(biāo)中能夠期望的是什么。

COSO在其企業(yè)風(fēng)險(xiǎn)管理框架里說(shuō)明了風(fēng)險(xiǎn)管理的8個(gè)相互關(guān)聯(lián)的構(gòu)成要素。它們來(lái)源于管理當(dāng)局經(jīng)營(yíng)企業(yè)的方式，并與管理過(guò)程整合在一起。這些構(gòu)成要素是：內(nèi)部環(huán)境、目標(biāo)設(shè)定、事項(xiàng)識(shí)別、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)應(yīng)對(duì)、控制活動(dòng)、信息與溝通、監(jiān)控。企業(yè)風(fēng)險(xiǎn)管理并不是一個(gè)嚴(yán)格的順次過(guò)程，一個(gè)構(gòu)成要素并不是僅僅影響接下來(lái)的那個(gè)構(gòu)成要素。它是一個(gè)多方向的、反復(fù)的過(guò)程，在這個(gè)過(guò)程中幾乎每一個(gè)構(gòu)成要素都能夠、也的確會(huì)影響其他構(gòu)成要素。[12]