张景胜
(香港公开大学信息技术部,香港)
近年随着商业机构,政府部门及非政府组织使用的信息技术迅速增长,信息技术管治早已成为组织管理中具争议性的话题.原则上,信息技术管治是公司管治的重要组成部分,侧重于信息技术使用上的合法性和问责性[1].它由领导权、组织结构和流程组成,确保信息技术系统能够保持和扩大企业的战略和目标.它更配备了框架来管制用来建立、存储,处理和检索信息的系统和信息[2,3].
对于组织来说,信息技术管治的目标是:(a)将信息技术战略与组织战略保持一致,(b)确保信息技术的投资对组织产生价值,(c)确保信息技术资源加以适当的控制和管理,(d)确保信息技术资源(包括信息资产)得到良好的保护,以及(e)确保与信息技术相关的风险进行适当的管理.信息技术管治基本上涵盖战略一致性、资源管理、风险管理,价值让渡和绩效管理[3-5].这涉及信息技术资源的规划和管制.管制方面,合法性和问责性被认为是关键问题.信息技术管治中有几个著名的标准和指引.ISO38500提供了信息技术管治概念的框架,将重点放在组织使用信息技术资源上如何合乎法律,法规和道德义务[6].当中还提供了组织中信息技术资源有效和合意的使用指导原则.ISO38500的早期版本其实是AS 8015、澳大利亚信息通信技术公司管治标准[7].此外,ISACA制定了相似的信息技术管治框架,COBIT,提供了一个包含信息技术管治方法和原则的参考模型,能够反映出信息技术管治在组织中产生价值的核心角色[8].
信息技术管治被广泛认为是公司管治的一个组成部分.对于高等院校来说,它与高校管治是同等重要的[9-12],并且在过去几年间被认为是高等教育中一个首要的信息技术问题[13-15].许多高校一直在学术事务及业务运作上密集使用信息技术,信息技术上的投资被认为对高校具有战略价值.此外,高校认为有需要保护他们的信息技术资源.据EDUCAUSE进行的一项研究显示,实现信息技术管治的主要推动力是令信息技术目标与高校的目标一致,宣扬从高校整体出发的信息技术观点,收集社会意见,及决策透明化[9].
高等院校需要一个正式的框架进行信息技术管治,成立高级别的委员会可以达到这个目的.另外,高校可委任高级行政人员专门负责信息技术管治.前者称为委员会主导模式,而后者称为行政主导模式.委员会主导模式强调透过信息技术指导委员会监督信息技术政策,战略规划,资源分配和优先级设置.在行政主导模式中,首席信息官全权负责信息技术政策,战略规划,信息技术资源及项目.现时还没有明确的证据表明哪一种模式较好,因为那是取决于高校的文化和管理结构.
本文探讨了高等院校的信息技术管治,特别侧重于上述两种管治模式:分别对其中有关角色,功能和运作模式做了检讨.本文以下的结构安排:第1节总结高等院校中信息技术管治的问题;第2节和第3节分别阐述委员会主导模式和行政主导的模式;第4节简短讨论这两种管治模式的优点和缺点.
信息技术管治对于高等院校来说是重要的,原因有四个:首先,它已被广泛使用在学术事务及业务运作,信息技术系统的性能和质量极度影响高校的运作.第二,信息技术是巨大的投资,而信息技术资源对高校来说是宝贵的,所以对信息技术资源进行适当的控制是必需的.第三,它对于高校来说具有战略价值,特别是当有新发展的计划时,移动学习和大规模在线课程就是很好的例子.第四,高校必须适当地控制管理信息安全,以防止恶意攻击及避免丢失数据.良好的信息技术管治框架都应具备以上条件.
高等院校的学术和行政部门经常互相争夺信息技术资源.因此,信息技术项目中信息技术资源的分配和信息技术优先级的设置需要平衡教学、科研和管理之间的需求和利益.但资源分配和优先级的设置仍然没有明确标准.比如说,更新学生信息系统,开发移动学习平台,还是设置高性能计算实验室来支持科研是很难决择的,这些问题需要通过管理框架来解决.另一方面,由于信息技术资源对高校来说有重要的战略价值,因此需要适当地控制信息技术的资源.这是指有效的控制和监控资源的使用情况和项目的进展情况.更重要的是,像商业机构和政府部门那样,高校必须确保信息技术资源合法使用和对法律、法规和道德义务负责.这些控制措施是高校信息技术管治框架中必不可少的部分.
许多高等院校均有设立信息技术指导委员会专责信息技术管治.据EDUCAUSE进行的一项超过400所高校的调查显示,当中三分之二的高校都采用委员会主导模式[9].这些高校通常是大型高校和公共机构,其中高校管治是以委员会为基础,而信息技术指导委员会是独立于其他领域的指导或管治委员会,如预算委员会和校园发展委员会.
高校中的信息技术指导委员担当着信息技术管治的重要角色.它主要监督信息技术战略规划、信息技术策略的设立与执行、资源分配、信息技术的发展计划和项目中的优先级设置,确保使用信息技术的资源合法及对法律,法规和行政等方面负责.除担当规划和控制的角色以外,信息技术指导委员会的职责是建议高级管理人员如何善用信息技术的资源来提升教学、科研和行政.表1显示了信息技术指导委员会的职权范围.
表1 信息技术指导委员会的职权范围
为了让信息技术指导委员会有效地执行其规划和控制功能,其必须拥有最终決定权去处理信息技术资源,为信息技术发展计划和项目实施信息技术政策和设置优先级.据EDUCAUSE的调查显示,获授权决定优先级设置和制定政策的信息技术指导委员会比起那些没获授权的被认为是更有效率的[9].在决定信息技术资源的分配和信息技术发展计划和项目优先级设置时,信息技术指导委员会应保持各方面利益的平衡,及担当评审资源和优先级冲突的角色.
根据高校的管治结构,信息技术指导委员会或要向董事会、顾问委员会、管理委员会、评议会或该高校的校长报告.该委员会的主席通常由校长任命,由信息技术总监担任秘书.该委员会的成员包括学术和行政部门(如教务处和财务处)的代表,具有相关专业知识的外界人士被任命为委员也是常见的.如没有利益冲突,这些外界人士可以作为一个局外人来帮助委员会并提供客观的建议.
行政主导模式是高等院校信息技术管治的另一种典型模式.这种模式是由任命的高级行政人员来监管高校的信息技术管治.该高级行政人员通常是指首席信息官.据EDUCAUSE进行的一项超过400所高校调查显示,当中三分之一的高校都采用行政主导模式[9].这些高校通常是小型高校和私营机构,有较简单和简洁的管治结构,财务和校园发展等领域的管理也可能是行政主导.
跟信息技术指导委员会相似的是,首席信息官负责监督高校的信息技术管治,其中包括信息技术战略规划、信息技术策略的设立与执行、资源分配、信息技术的发展计划和项目中的优先级设置,及确保信息技术的资源使用的合法性和问责性.跟信息技术指导委员会不同的是,首席信息官除了指导与规划的职责外,同时也担任执行和控制的角色.他要带领或指导信息技术发展,实施信息技术策略和执行控制措施.表2显示了在高等院校中首席信息官的职权范围.
表2 首席信息官的工作职能
首席信息官赋有权力对信息技术资源做最终决定,实施信息技术策略,以及设置信息技术发展计划和项目的优先级.由于缺乏正式平台去讨论不同需求,关切和利益,首席信息官可向有关的学术和行政部门征询意见,以平衡他们相互冲突的利益和需求.作为最终决策者,首席信息官是没有必要去裁定这些资源和优先级的冲突.
作为高校的职员之一,首席信息官也有固定的报告线.在许多高校里,首席信息官是副校长级别的高级管理人员,直接向校长报告.他能否独立进行责任和义务是很重要的.如果首席信息官要给学术副校长报告,作出的决定可能会偏向学术的需要.同样,如果他向行政副校长报告,决策也可能会偏向行政的需要.
委员会主导模式和行政主导模式是高等院校信息技术管治的两种典型模式.目前,还没有明确的证据表明其中哪一个模式更好.
委员会主导模式适用于大型高校和公共机构,其中高校管治的结构主要由委员会组成.它也适用于那些没有高级行政人员监督信息技术资源和管治的高校.如果要让信息技术指导委员有效地进行信息技术管治,就应该赋予其适当的权力去执行政策、分配资源和设置优先级.许多高等院校信息技术资源的管理是高度分散的,以委员会为基础的设置有助于提供一个正式的平台协调各方去使用信息技术资源和部署政策和控制措施.不可避免的是,资源分配和优先级设置总会相互冲突.因此,这可能需要很长的时间来妥协来达成共识.
行政主导模式具有一定的简单管理的优势.首席信息官有权为资源分配和优先级设置作出决定,而不需要妥协利益冲突,决策可以更加高效.然而,如果没有委员会,就等于缺乏一个正式的平台让首席信息官去了解各方面的关注、需求和利益.因此,他可能会在作出最终决定之前,向不同的学术和行政部门征求意见.由于首席信息官负责信息技术规划、管治和制定政策,领导项目的实施和执行控制措施,缺乏监察和平衡的体制管治和管理是另一件值得关注的事.
对于高等院校来说,在考虑信息技术管治模型时按照该高校的文化和管理结构来考虑营运效能是非常重要的.本文回顾了高等院校信息技术管治的两种典型模式,委员会主导和行政主导模式.对于两者当中的角色,职能及运作模式,以及其优点和缺点进行了讨论.这有助于高等院校规划、设计和实施一个合适的信息技术管治模型.
[1] P.Weill and J.W.Ross,ITGovernance:HowTopPerformersManageITDecisionRightsforSuperiorResults,Harvard Business School Press,2004.
[2] A.Calder,ITGovernance:APocketGuide,ITG Publishing,2007.
[3] ITGI,BoardBriefingonITGovernance,2nd Edition,IT Governance Institute.http://www.isaca.org/restricted/Documents/26904_Board_Briefing_final.pdf
[4] Wikipedia,CorporateGovernanceofInformationTechnology,Wikipedia.https://en.wikipedia.org/wiki/Corporate_governance_of_information_technology
[5] W.van Grembergen and S.de Haes,EnterpriseGovernanceofInformationTechnology:AchievingStrategic AlignmentandValue,Springer,2009.
[6] ISO,TheISO38500:2008:StandardsforCorporateGovernanceofInformationTechnology,Joint Technical Committee ISO/IEC,International Standards Organization,2008.
[7] Standards Australia,TheAS8015-2005:AustralianStandardforCorporateGovernanceofInformationand CommunicationTechnology,Standards Australia,2005.
[8] ITGI,ITGovernanceImplementationGuideusingCORBITandVALIT,2nd Edition,IT Governance Institute,2007.
[9] R.Yanosky and J.McCredie,ProcessandPolitics:ITGovernanceinHigherEducation,Centre for Applied Research,EDUCAUSE,2008.
[10] CRUE,GovernanceofInformationTechnologyinHigherEducation,Sector Committee for Information and Communication Technology,Spanish Association of University Rectors,2008.
[11] Hanover,InformationTechnologyGovernanceinHigherEducation,Hanover Research Council,2008.
[12] J.Bhattacharjya and V.Chang,“Adoption and Implementation of IT Governance:Cases from Australian Higher Education”,In:M.G.Hunter(Ed.),StrategicInformationSystems:Concepts,Methodologies,Tools,and Applications,pp.1308-1326,Canada,2010.
[13] B.L.Ingerman and C.Yang,“Top-Ten IT Issues 2010”,EDUCAUSEReview,May/June 2010 issue,pp.46-60,EDUCAUSE.
[14] B.L.Ingerman and C.Yang,“Top-Ten IT Issues 2011”,EDUCAUSEReview,May/June 2011 issue,pp.24-40,EDUCAUSE.
[15] S.Grajek and J.A.Pirani,“Top-Ten IT Issues 2012”,EDUCAUSEReview,May/June 2012issue,pp.37-53,EDUCAUSE.