企業資治通鑑(企業ＩＴ治理)：提升企業價值，降低ＩＴ風險

作者簡介
推薦序
爝火不息,見IT治理的核心價值:提升企業價值,降低IT風險 洪國興     
穿梭實務與理論 完成公司治理新拼圖 歐陽明.陳志仁    
IT治理茍日新又日新 沈金祥    
資治通鑑的古今智慧 蕭瑞麟      
作者序
以「資治通鑑」為名，一語雙關,古今輝映   廖如龍
        
第一章 新透鏡下捎來的「信息」: 資訊的新觀點
第一節 資訊與信息源流考 ３
第二節 資訊生態(Information Ecology): 拓展企業組織資訊的跨域活動 ６
第三節 資訊足跡(Information footprint ):檢視公司有哪些資訊資產及應用幅員 ３１
第四節 資訊品質(Information Quality): 檢視企業組織的使用者如何看待資訊 ４３

第二章  資訊科技止於至善, 止於器物層次或企業組織理念層次?  
第一節  資訊科技的語義和溝通的內容 ７９
第二節  資訊科技是價值或禿鷹(IT is a Value or Vulture? ) ９３
第三節  IT價值再現:卡爾(Carr) 「IT無關緊要」的論述、缺陷與辯證 １１５
第四節  IT 價值的實現(I): 消費者剩餘、流程改善觀點 １２１
第五節  IT 價值的實現(II): 有效地管理和使用資訊的能力 １４２

第三章  資訊科技(IT)治理觀止
第一節 卓越始於良善治理: 從治理的演變到全球治理、公司治理 １７７
第二節 從治理基模的濫觴到IT治理基模 １９８
第三節 IT聚光燈的新焦點 - IT治理(上) ２２５
第四節 IT聚光燈的新焦點 - IT治理(下) ２６８
第五節 IT 治理的迷思３０３
        
第四章 從「香菜效果」到實質效果：董事會與高階主管在IT 治理議題上的職責問題
第一節 第一帖處方 六個決策清單,幫助高階主管負起領導的職責 ３２５
第二節 第二帖處方 董事的責任及董事應該詢問的IT問題 ３４０
第三節 第三帖處方 根據策略議題,董事會成員需要詢問的棘手問題 ３５６
    
第五章 IT 治理的可用工具或框架全覽
第一節 IT治理工具與框架的分類 ４０１
第二節 IT 治理決策流程可用框架或標準 ４０５
第三節 IT 治理核心企業流程可用框架或標準 ４３０
第四節 IT 治理的可用框架或標準支援流程 ４６３
第五節 IT 治理的可用框架或標準最後完整拼圖,及其應用情形 ４８８

第六章 IT 治理補遺  
第一節 中小企業與中小企業的IT治理 ５２５
第二節 (IT)外包與 IT外包的治理 ５４１

第七章 IT 治理的漫長且艱難的旅程: 挑戰與回應
第一節 IT 治理的挑戰 ５７２
第二節 IT 治理的回應, 兼論資料治理的困擾,與資訊治理的湧現 ５８１

 

作者序

以「資治通鑑」為名，一語雙關，古今輝映

　　本書取名「企業資治通鑑(企業IT治理)」，有三個考量：
　　其一，本書以資訊科技治理 (Information Technology Governance，IT Governance，簡稱IT治理)為主軸，以資治通鑑為名，觸及久蟄的「資」料治理，浮現的「資」訊治理、數位治理等議題，可說是無奈，也是一個轉身，故意一語雙關，讓讀者諸君產生古今輝映與期待，亦即以「資治通鑑」為名，為藥引，引讀者進入一個「資訊科技/資治/資料治理的世界」。

　　其二，書名加括號是一種擔心，怕引人望文生義，以為本書是一本企業史書，也納悶不知它如何和企業及lT 關聯起來，故以「企業IT治理」加上括號點出本書旨趣。

　　其三，本書也有企業史書的剪影，也是很多人熟悉的景況，譬如在1997年的一個清晨，嬌生公司(Johnson & Johnson，J&J)CEO拉森(Ralph Larsen)，賦予新任資訊長(CIO)新使命後，以IT治理旅程三部曲來回應，分別是對校準的挑戰、分權化演化到聯邦式IT治理、IT治理取得差異 - IT治理能力的增長。

　　寫作動機
　　過去任職IBM、Oracle等外商期間觀察及參與資訊系統導入，以及負責多家知名公司資訊副總或所謂的資訊長(CIO)多年後，又回到學術領域沈浸與思索「從前種種」，當我2007年第一次在博士班聽到國內金控IT治理個案時，其情境與挑戰有「似曾相識」感受，十多年來經不斷鑽研，對其內涵由糢糊的印象，而豁然開朗，心領神會，發現它原來是作為CEO、CFO、CKO、CIO、CSO等C字輩企業高階主管的工具箱，驚覺要是更早摭拾一點它的機制及最佳實踐框架，在CIO的職涯，將更得心應手； C字輩高階主管在互動之間形成共識，將IT治理安排、IT結構和期望的行為、IT治理機制、IT指標和問責性(見第三章 摩根大通銀行的IT治理實例)結合行之有年的策略地圖，甚至360度績效考核，使企業績效目標與IT指標和問責性相連貫，則成效更為可觀；所謂「昨夜江邊春水生，艨艟巨艦一毛輕。向來枉費推移力，此日中流自在行。」，企業IT倡議就如同是艨艟巨艦，企業IT治理就如同是江邊春水生。

　　經多年來的反思，我想起一個傳說中的故事：德皇威廉二世(Wilhelm II)因一戰失敗而退位後，讀罷《孫子兵法》後長歎：「如果早幾年讀到此書，就不會有這樣的結局了。」(1)他被深深震撼的，一定是開篇第一句話：「兵者，國之大事，死生之地，存亡之道，不可不察也。」(2)，「兵者」即「戰爭」；就像很多企業未能選擇可管理的一系列IT優先事項，險些釀成災禍，或IT專案失控的致命吸引力，導致災難而「動搖國本」，譬如1999年糖果商好時公司(Hershey Foods)，一個失敗的電腦專案，股價連番下跌超過8%，成為華爾街日報的頭版而聲名狼藉；對於「兵者」應抱持戒慎恐懼態度，當接觸到「IT治理現象」後，應有類似的長歎吧!

　　今日企業和IT已是形影不離，甚至相當程度，不依賴IT和IT的功能，無法執行企業功能；IT投資在企業資本支出中已列居前茅，IT投資成效不彰及IT專案失敗的風險也居高不下，失敗案例或陷入膠著的IT倡議，時有所聞，正侵蝕組織內部的財富；亦即，太多的IT倡議未能達成公司預期，無法實現他們的IT投資的真正價值。

　　很難確定IT治理的重要性何時變得清晰。它不像一陣閃電般襲擊，會讓我們首先震驚，但後來看得更清楚。而是逐漸的，學者們在與上百位經理人對話，以及多年的研究後，確信IT治理是IT產生企業價值的最重要因素。(3)

　　然而實務界討論IT治理稀稀落落；有些企業組織內資訊部門被視為一成本中心，將其定義為花錢的部門不能為企業帶來價值；媒體也偶偶有報導，但通常見樹不見林，政府單位如金管會證期局，談公司治理也以設立審計委員會為高標準，一切好像海水拍岸，幾許白浪，又歸於平靜。學界的討論激不起太大的風潮，似乎止於象牙塔，孤芳自賞，本書就在這種情境下動筆。

　　本書提供了什麼？
　　寫作期間，訪談園區運輸業者CIO，告訴我說：「現代的主管誰在意資治通鑑説什麼，只在乎能幫我解決什麼問題，帶來多少好處，還有跟得上潮流嗎？」，也有化妝用塑膠製瓶上市公司CEO以為IT治理的議題，難以燎原，牽涉到不同階層對「治理」的「利益衝突」，也有光電廠的好友鼓勵說：「現在資訊管理以不足以表彰資訊的威力，」，也有人說：「早期ERP時代，很少考慮這些問題。」，本書旨趣正好可以回答這些疑惑。

　　IT和企業的校準(alignment)是一個歷久不衰的老議題，IT組織結構、回應靈敏的IT基礎設施、企業流程重設計、降低成本等等，也是業界的老生常談。乏善可陳的IT績效，譬如失敗專案或中止專案、錯過了最後期限、預算超支，和不佳的投資報酬率（ROI）。越來越多的這些低IT成效的指標，就需要IT治理作為支持績效的手法與載具。

　　組織內IT治理的挑戰一幕幕在上演，如第三章提到1997年的一個清晨，嬌生公司(Johnson &Johnson，J&J) CEO拉森(Ralph Larsen)，賦予新任資訊長(CIO)新使命：在全球化和分權化的文化上，達成標準化系統、削減IT成本、提高IT價值、使IT與企業相校準。面對如何指導、組織和控制IT，以實現企業及其背後關鍵支持者(constituency)的價值等議題，這也是企業熟悉的景況。

　　IT治理它代表著相關決策的決策權與問責制的架構，以追求使用IT的適當行為。IT治理不是用於單一專案與決策的「管理」，IT治理也不等同於資訊管理。

　　IT治理是考量組織的IT權責架構型態，與關心在特定IT權責架構型態下，運用IT是否可以達成組織最終的績效、目標與策略，以確保對IT的投資價值。IT治理不能孤立來考慮，因為它連接到其他關鍵的企業的資產（如財務、人力資源等）的治理倡議。進而連接到公司治理和使用IT上的期望行為。

　　幾乎所有企業皆有IT治理，差別就在於有效治理的企業會主動設計一套IT治理機制（如委員會、預算程序、專案認可、IT組織架構、使用單位費用轉嫁等等）以鼓勵與公司願景、策略、價值、文化相一致的行為；當適當行為改變，IT治理行為亦隨之改變。

　　本書涵蓋「資」訊科技治理為主，也觸及久蟄的「資」料治理、浮現的「資」訊治理、數位治理等議題以及新興應用系統，譬如行動商務、社群媒體、物聯網、雲端運算，顯著地增強了產生大量資料的能力，挑戰IT治理涵蓋面的不足，綜覽資料生命週期，資訊治理(Information Governance)涉及資訊的評估、產生、收集、分析、分配、存儲、使用和控制資訊的環境建立和機會、規則和決策權，包括記錄管理、隱私規範、資訊安全、資料流和資料所有權以及資料生命週期管理； 同時，資料治理(Data Governance)考慮適當地處理資料作為公司資產，其框架包括五個相互關聯的決策領域，填補了IT治理未完成的拼圖。
    
　　溫情滿人間
　　IT的影響力以及新興IT應用洶湧澎湃，無人可置身度外，作者憑著所學不留白的信念，站在前人肩膀上，如春蠶吐絲般，描繪 IT治理的樣貌，迻譯、歸納、演縯、思辨成一愚之得，使成一知識體系。卑微的願望是期望站在科技、人文、歷史的交會處，提出供來者討論IT治理的框架。

　　本書之成要感謝的人很多，首先要感謝修博士學位時指導教授 周子銓當年的醍醐灌頂，他總是站在資料萃取與理論鋪陳相互印證的制高點，點出觀點。讓我終於同意明白何以Kurt Lewin 會說「沒有比好的理論更實際的了。」(There is nothing so practice as a good theory.) (4)

　　也要感謝不少好友及前輩，如Bath大學教育學博士 林民程在很多關鍵譯筆及政治社會思想觀念的釐清；財會專家 林民頤在會計品質沿革上的指導；微程式公司稽核副總 盧建忠在本書會計用語上的建議、校勘，不改其內稽、內控本色；統一企業CIO 陳景星、前陽明海運CIO 陳文振、前勝華科技CIO 陳信僥、前中友百貨CIO 劉松澧、前國賓飯店CIO邱漢洲等人接受訪談或提供不同觀點的建言；好友 吳文宗及 林羿佑協助相關期刊的搜尋；前IBM同事 單建成的諮詢、釐清PMBOK/project management的用詞/譯名，及IT服務管理顧問 許明治提供ITIL的諮詢與洞見；好友 劉幸、蘇哲民、郭德慶在翻譯上用詞遣字的切磋，以求信、達、雅兼顧；前IBM同事 林榮吉協助難度較高，優雅流暢弧線的繪製； 學生洪偉修，同事 張滿源提供必要繪圖上的協助，趙正敏及林廷軒兩位教授，就參考書目格式提供很多指正；好友 孫福春仔細校勘/排版，指出誤植或用詞不當之處，我常讚嘆他「草枯鷹眼疾，好眼力!」。

　　2018年3月15參觀洽富食品後，IMA常務理事 楊文昇談到觀察逢甲大學董事會運作，在授權與牽制上，靈活與卓越的表現，也給了很多靈感，好友 傅志忠博士、IMA 創會理事長 李良猷、遠通電收CEO 張永昌，輔大教授 葉宏謨對書名提供靈感與建議。

　　此外，要感謝成霖企業董事長 歐陽明，前玉晶光財務長 陳志仁；前內政部參事兼資訊中心主任沈金祥；實踐大學副教授 洪國興，也是中華民國資訊經理人協會(IMA)現任理事長；蕭瑞麟，政治大學科技管理智慧財產研究所教授等人慨然應允撰寫推薦序，既可當本書的導讀，又讓本書「蓬蓽生輝」。

　　當然，也要感謝林文隆先生介紹、黃榮華先生願意協助付梓，尤其在出版事業，如此艱辛的時候。

　　以文會友
　　企業組織的IT治理是IT管理和策略性IT領導的新領域，仍是處在成形中的學門。數位革命洶湧澎拜，對於許多企業來說，企業需要更快速下決策，因此，也增加了治理的壓力，如歐盟GDPR隱私立法的巨大變化，號稱史上最嚴格的個資保護規則，IT風險已影響企業經營，一罰就是集團全球營收4%，另一方面GDPR的實施可以大為改變大數據分析的方式，勢將影響IT治理的景觀，前景可說目不暇給。

　　筆者才疏學淺，不揣淺陋，雖本書構思多年而問世，仍不免有舛誤之處，作者自當負全責，盼讀者諸君，多所賜教以匡不逮。

　　歡迎讀者諸君，對本書所探討的各項議題，來函互相切磋，以文會友，來函請寄：[email protected]。
     

廖如龍 謹識 2018年仲夏