对于小型企业来说,服务器租赁可以提供对关键业务数据和应用程序的访问,而无需购买和维护自己的服务器。为了最大限度地控制成本,至关重要的是要遵循一些最佳实践。
1. 选择合适的供应商
在选择服务器租赁供应商时,考虑以下因素:
- 声誉和可靠性
- 价格和费用结构
- 支持水平
- 灵活性
- 安全性措施
2. 优化服务器配置
选择一个满足您当前需求的服务器配置。随着业务增长,可以轻松升级到更强大的服务器。
3. 充分利用虚拟化
虚拟化可以允许您在单台物理服务器上运行多个虚拟机。这可以节省成本并提高效率。
4. 监控和管理成本
密切监控服务器使用情况和成本,并定期审查账单以发现任何异常情况。
5. 协商定制租赁协议
与供应商协商定制租赁协议,以满足您的特定需求和预算。
6. 考虑云解决方案
云计算可以提供比服务器租赁更具成本效益的选项。根据您的需求,您可能希望考虑使用混合解决方案。
7. 优化带宽使用
带宽成本可能占服务器租赁支出的很大一部分。优化带宽使用可以节省成本。
8. 优化备份和恢复策略
备份和恢复对于保护您的数据至关重要。确保您的策略在成本效益和数据保护之间取得平衡。
9. 利用自动化
服务器管理任务的自动化可以节省时间和成本。
10. 针对小型企业执行审计程序
定期进行审计以评估服务器租赁成本的有效性和效率。审计师可以不实施函证程序,因为他们可以获得内部证据来支持他们的结论。
结论
遵循这些最佳实践,小型企业可以控制服务器租赁成本并最大限度地利用他们的投资。通过仔细选择供应商、优化配置、监控成本和协商定制协议,企业可以确保其服务器租赁解决方案既高效又具有成本效益。
什么是战略人力资源审计
战略人力资源审计是指按照特定的标准,采用综合性的研究分析方法,对组织的人力资源管理系统进行全面检查、分析与评估,为改进人力资源管理功能提供解决问题的方向与思路,从而为组织战略目标的实现提供科学支撑。
战略人力资源审计的价值管理审计的价值在于,“通过审计,管理审计师就能确定管理方法和管理业绩中存在的缺陷并给予充分的揭示。
在计划和完成组织目标的过程中,审计师不应忘记管理部门的具体需要,审计师的责任就是帮助管理部门判断哪些领域是经济的,并实现了对管理实务的改善。
审计师要遵循一个确定的研究或其他手段,只要有改善的可能性,审计师就有责任严格检查并评价每一项解决问题的建议,靠‘科学’的方法可以完成许多任务”。
“审计是对各层次管理能力的检查,它是一种服务,即判断潜在的危险点,或者相反,突出可能的有利机会;降低成本;消除浪费和不必要的损失;观察业绩和评价控制效果,确保管理部门履行公司的方针和程序;为管理部门提供较好的记录制度和信息报告方法;检查整体计划和企业目标;研究新思想、新发展和新的设备类型;判定企业经营是否有效益。
”美国人力资源管理协会2002年发表论文指出,大多数组织都例行地进行财务审计,以确保其财务系统没有非合规性,也能帮助经理改进财务管理。
不幸的是,大多数组织从来不对人力资源政策、实践与结果进行审计,以确定是否需要进行效果改进或更具有合法性。
但实际上,实施人力资源审计可以发展一个分析框架,以致能够确定优先的绩效管理问题;确定缺失的或在法律上难以抗诉的雇佣实践与政策;评估与测量实际的与要求的绩效,以及消除绩效缺口的必要行动;评估人力资源的效果与效率,是否与企业的规划战略相一致。
施温德、达斯与瓦格尔认为,人力资源审计检查组织或部门层面上的人力资源政策、实践与系统以消除缺陷,改进实现目标的方法;为直线经理和人力资源经理/专业人员提供反馈。
他们对战略人力资源审计的价值进行了详细的归纳:保持人力资源与组织的战略目标的一致;为人力资源的贡献提供特定的、可证实的数据;改进人力资源的专业形象;鼓励更大的专业化;澄清人力资源与直线部门的职责权限;激励政策与实践的一致性;发现关键性的人力资源问题;及时遵从法律要求;帮助评估与改进人力资源信息系统等③。
显然,如果我们能够发展一个模型能将这些价值包容进去,并能够进一步深化对战略人力资源审计的理解,那么这个框架就会不仅具有理论上的创新意义,而且在管理实践中也具有实际的指导意义。
战略人力资源审计的结构在对人力资源审计的发展进行了简短的回顾之后,我们有必要了解,什么是人力资源审计的内涵?也就是说,人力资源审计是如何界定的?它的结构是怎样的?对人力资源审计代表性的界定来自于米尔科维奇和布德罗·德斯勒、多伦和舒尔乐·柯伊、欧拉拉和卡斯蒂罗等人,而SDW模型则是对人力资源审计结构的典型概括。
米尔科维奇和布德罗认为,人力资源审计像财务和税收审计一样,考察人力资源政策与业务是否实行并得到了遵守;是否在规定的日期内完成了对每个员工的业绩鉴定;是否进行了对即将离开的员工的退出访谈;当新员工加入时,健康保险是否运行正常;每一项活动或程序是否按计划进行,是否按步骤实施,是否由适当的个人参与,等等。
许多人力资源部门把人力资源审计看做是质量管理过程中的另一个步骤。
审计可以揭示事情是否按计划进行,但它们不能揭示业务是否得当,这些业务之间是否互补,是否与实现公司目标有关。
与米尔科维奇和布德罗更关心人力资源审计“事务”不同,德斯勒更看重人力资源审计“标准”。
他在《人力资源管理》一书中写到:对于任何一家企业来说,人力资源管理审计都是一项最基本的工作,这项工作的目的是使企业的高层管理者认识到人力资源管理工作的效果如何。
人力资源管理审计通常包括两部分内容,即考察企业的人力资源管理应当是什么样的以及它们实际上做得如何。
“应当是什么样的”是指人力资源管理部门在广义上的使命和目标。
它表明了人力资源管理是从一种什么样的哲学或基本观点出发的,确定了人力资源管理的基调。
“它们实际上做得如何”是指对实际人力资源管理状况的认识。
多伦和舒尔乐的界定试图兼顾“事务”与“标准”。
更重要的是,他们提出了一个“一般化”的定义,多伦和舒尔乐把人力资源审计界定为对一个企业的所有人力资源政策与规划的系统的。
规范的评价。
它的重点包括:人力资源部门如何提高运行能力;人力资源部门目前的目标及战略如何支持企业的目标与战略;人力资源部门如何实施各种人力资源功能,诸如配置、绩效评价,处理不满情绪等。
类似于财务审计,人力资源管理审计依赖于现存的记录,诸如人力资源预算和分配。
培训与发展项目的类型与数量以及绩效评价记录。
因此,审计可以全面地包括一切项目,也可以选择性地针对某些项目。
或许是由于柯伊的职业背景使然,他对人力资源审计的定义更具有“操作性”。
人力资源审计是检查有关一个组织人力资源功能的政策、程序、文件、系统和实践的过程。
人力资源审计的目的是为揭示组织非营利的人力资源系统的优势与劣势以及需要解决的任何问题。
人力资源审计自身是一个诊断性工具,而不是一个处方性工具。
它能帮助明确组织所缺失的或需要改进的功能,而不能指出组织应该如何做来解决这些问题。
它最大的用处在于支持组织根据诊断结果来采取行动,并推动人力资源功能最大限度地支撑组织的使命与目标。
欧拉拉和卡斯蒂罗于2002年专门就人力资源审计的定义和内涵发表了一篇论文。
欧拉拉和卡斯蒂罗认为,直到职能审计出现后,审计才变得越来越具体。
职能审计的目的是在公司的各职能领域内部进行诊断、分析、控制并提出建议。
人力资源审计是职能审计的一种。
因此,人们首先想到的一种定义方法是:人力资源审计就是在人力资源管理领域内进行诊断,分析、评估以及对未来人事活动的评价,人力资源审计是公司管理的一种基本工具,其目的不仅包括控制和量化结果,而且包括为确定公司未来人力资源管理活动而进行的广泛审核,因此,人力资源审计必须履行两个基本职能:第一,为了促进管理过程或人力资源的发展,人力资源审计必须是一个管理信息系统,该信息系统的反馈提供了有关环境的信息。
第二,人力资源审计必须是一种对现行政策和程序进行控制和评价的方法。
欧拉拉和卡斯蒂罗的定义显然是一个最为全面的界定。
基于对这些定义的理解以及概念界定简约与一般化需要,特别是考虑到实践中人力资源管理对组织战略发展的价值,并由此考虑到人力资源审计作为一种管理工具所具有的战略性,笔者对战略人力资源审计的严格定义是:按照特定的标准,采用综合性的研究分析方法,对组织的人力资源管理系统进行全面检查、分析与评估,为改进人力资源管理功能与提供解决问题的方向与思路,从而为组织战略目标的实现提供科学支撑。
SDW模型将战略人力资源审计从一般化的界定细化为战略人力资源审计结构(见图1)。
这个模型将人力资源审计分成四个方面:公司战略审计、人力资源系统审计、管理规范审计和员工满意度审计。
公司战略审计的核心是审计人力资源战略、政策、实践与组织战略计划的切合性,审计组织战略与环境及使命的切合性。
人力资源系统审计重在评估人力资源功能、系统、活动以及对组织、社会和员工目标的贡献度;确定责任人,决定每项活动的目标,评估这些活动如何支持并体现了组织战略、评估政策与程序、采样记录并分析数据,准备并在报告中提出改进建议。
管理规范审计的内容是评估经理人在多大程度上遵循了人力资源政策与程序,以发现错误,保证及时纠正并满足未达到的要求。
员工满意度审计是评估员工对工作相关事务的满意度以及对人力资源管理实践与系统的影响,如工资、福利、监督、绩效反馈、职业机会等,在预算及其他限制内解决资源供给。
但是,从战略人力资源管理的角度看,一个显而易见的问题是,SDW模型并不具有结构的完整性和逻辑的严密性。
因此,基于对以 SDW模型为代表的既有研究成果的分析以及对管理实践与管理咨询经验的抽象化,笔者提出了FRAIP 模型,试图完整地反映战略人力资源审计的逻辑结构。
FRAIP模型也可以称之为战略人力资源审计大厦,它的完整结构由五个部分构成:审计大厦的屋顶为战略人力资源功能审计(FA);大厦的两个支柱分别为战略人力资源规则审计(RA)与战略人力资源行动审计(AA);战略人力资源基础结构审计(IA)是审计大厦的屋基;而战略人力资本审计(SPA)构成大厦的核心部分,因为人是能动的战略性资源。
笔者所发展的战略人力资源审计的FRAIP模型突破了目前这个学科的散点式结构而迈向了系统阶段。
战略人力资源功能审计的核心使命是确定人力资源管理功能能否在战略上支撑组织战略,或与行业的“最佳实践” 相比,组织的人力资源功能的差距在哪里。
它所包含的内容有:人力资源功能战略审计,人力资源功能兼容审计、人力资源功能整合审计与人力资源管理技术审计。
战略人力资源功能审计特别关注人力资源管理技术审计,因为技术是功能的最基础单位。
战略人力资源规则是为了实现组织的人力资源功能而为具体的人力资源管理活动确定的行动准则,具有相对的稳定性,所有的人力资源管理活动必须在规则的框架下进行。
战略人力资源规则分为外部规则(法律)与内部规则(制度与流程)。
内部规则中,制度是实体性规则,而流程是程序性规则。
战略人力资源规则审计的核心内容是人力资源法律审计,人力资源管理制度审计与人力资源流程审计。
战略人力资源行动是实现人力资源功能价值的全部过程,即所有的功能最终都必须通过具体的管理行动才能得以实现。
整个战略人力资源行动包括三个方面:行动的开始(人力资源管理计划),行动的过程(人力资源项目)和行动的结果(人力资源绩效),因此,战略人力资源行动审计就自然包括人力资源管理计划审计、人力资源项目审计与人力资源绩效审计。
人力资源基础结构是人力资源管理运行的平台。
战略人力资源基础结构审计包括治理结构审计,组织结构审计。
职位结构审计与人力资源信息系统审计等。
人力资本是组织人力资源功能价值实现的最终决定因素。
战略人力资本审计的内容为人力资本结构审计、人力资本流动审计、人力资本价值与收益审计、人力资本倾向审计。
战略人力资源审计的功能人力资源审计的功能是人力资源审计结构的天然结果,如果我们能进一步明晰战略人力资源审计的性质,我们就能更深入地理解战略人力资源审计对于组织战略的功能和价值。
战略人力资源审计有四个显著性质:即关注问题、关注方法、关注基准、关注机理。
1.关注问题。
我们现在的人力资源管理乃至管理咨询更多关注的是“结果导向”,即提供人力资源解决方案,而不太关注或没有意识到方案的前提,甚至有时根本就不理会这个前提。
因此,在人力资源管理实践中,很多方案作为“药方”,要么根本不能解决任何问题,要么根本就不能执行,要么可能产生更大的副作用,严重损害了组织的功能。
战略人力资源审计关注的重点是把分析人力资源管理问题放在首位,从而为提升解决方案的针对性准备基础,有效降低了解决方案产生副作用的风险。
因此,它的核心是“防疫”。
2.关注方法。
我们现在的人力资源管理实践或咨询方案更多地使用判断的方法来设计解决方案,而战略人力资源审计更强调以数据,事实、基准分析为基础的研究分析方法,强调研究方法的科学性、针对性与综合性,从而为提高解决方案的科学性与精确性准备基础。
3.关注基准。
问题的存在或目标的实现总是以基准为前提的。
由于人力资源管理的法律限制,战略人力资源审计首先以法律为基准,确定管理实践与法律规定之间的缺口。
而由于整个组织的目标性,战略人力资源审计特别要关注目标基准,确定目标计划与实际完成状况之间的缺口。
同时,由于市场竞争的淘汰机制,战略人力资源审计还必须关注行业乃至竞争对手的“最佳实践”基准,确定现行管理模式与最佳实践之间的缺口。
4.关注机理。
管理解决方案是以解决问题,消除缺口为目标的,但仅仅知道问题和缺口是不够的,还必须把握问题和缺口产生的机理。
此外,任何解决方案都必须在实施之前进行机理分析,以确定方案能否真正解决我们想要解决的问题以及发生意外的概率与补救措施选择,战略人力资源审计关注对问题机理与方案机理的审计分析。
基于对战略人力资源审计性质的理解,我们便能够深刻地把握战略人力资源审计的功能。
美国人力资源管理协会的一篇论文指出,大多数组织都例行地进行财务审计,以确保其财务系统的合规性。
不幸的是,大多数组织从来不对人力资源政策、实践与结果进行审计,以确定是否需要进行效果改进或更具有合规性。
但实际上,实施人力资源审计可以发展一个分析框架,以至于能够确定缺失的或在法律上难以抗诉的就业实践与政策;评估与测量实际的与要求的绩效,以及消除绩效缺口的必要行动;评估人力资源管理的效果与效率是否与企业的规划战略相一致。
施温德、达斯与瓦格尔对战略人力资源审计的价值进行了详细的归纳:保持人力资源与组织的战略目标的一致;为人力资源的贡献提供特定的、可证实的数据;改进人力资源的专业形象;鼓励更大的专业化;澄清人力资源部门与直线部门的职责权限;激励政策与实践的一致性;发现关键性的人力资源问题;及时遵从法律要求;帮助评估与改进人力资源信息系统等。
实际上,我们可以将人力资源审计的功能归结为战略功能和管理功能两个层面。
人力资源审计的战略功能是为寻求更加支持组织战略的人力资源战略提供前提与基础。
通过审计,确定人力资源战略能否有效地支持组织战略,确定现行的人力资源功能是否与人力资源战略一致,确定人力资源规则、行动、基础结构以及人力资本能否支持人力资源功能。
战略人力资源审计的管理功能在于为改进组织的人力资源管理提供前提与基础。
它的管理价值可以形象地概括为四种精密仪器:显微镜、测量计、分析仪与导航器、显微镜的功能在于根据法律基准,目标基准与实践基准发现组织人力资源管理功能、规则、行动、基础结构与人力资本方面的缺口;测量计的功能在于澜定缺口的性质与衡量缺口的大小;分析仪的功能是分析研究缺口产生的机理与解决方案发挥作用的机理;导航器的功能是确定解决问题的方向与基本思路。
战略人力资源审计的价值还可以从另一个角度来考虑,即如果组织不能发现人力资源管理中的问题,那么组织的代价是难以估量的。
最典型的例子是人力资源法律审计。
国家对人力资源管理施加了越采越多的法律限制,而且这些法律也不断变化。
这使得组织如果不能及时切实地遵从法律规范,那么它的代价是面临法律诉讼,甚至高额罚款;它还会使组织蒙受声誉上的损失,影响组织在市场和社区的形象。
参考文献1.0 1.1 1.2 杨伟国.战略人力资源审计:历史、结构与功能.经济理论与经济管理.2005年7期杨伟国. 战略人力资源审计.复旦大学出版社,2004.07
什么是IT治理
IT治理并没有想像得那样复杂和虚无缥缈。
我们并不需要从成百上千种IT治理模式中煞费苦心地寻找一条适合自己的模式。
埃森哲公司创建了一种IT治理模式,该模式为组织建立有效的IT治理提供了一张路线图。
IT治理的概念引入到国内已经有三年多的时间了,虽然媒体、IT企业及一些专家学者在不断呼吁IT治理的重要性,但将IT治理从理论推进到实践层面的案例还鲜有所闻。
之所以会如此,组织缺乏IT治理的操作指南应该是一个重要原因。
我们不能停留于对于IT治理概念的玩味和寻究,从某种程度上来讲,IT治理的定义的抽象晦涩已经影响了组织对于IT治理的接受,并直接伤害了IT治理的实践操作性,现在是到了为IT治理寻找一条切实可行的操作路径的时候。
实际上,IT治理并没有想像得那样复杂和虚无缥缈。
我们并不需要从成百上千种IT治理模式中煞费苦心地寻找一条适合自己的模式。
埃森哲公司创建了一种IT治理模式,该模式为组织建立有效的IT治理提供了一张路线图。
本文将对该模式作一个介绍。
简单地讲,IT治理关注两个方面的问题,即IT治理的“什么”和“谁”。
IT治理的“什么”是指IT治理应该作出哪些决策,IT治理的“谁”则是指这些决策分别应该由谁来作出。
那么,IT治理到底应该作出哪些决策呢?要找到这个问题的答案,必须先搞清楚一个问题,那就是组织到底需要IT发挥什么样的作用。
不要想当然地以为这是一个可以简单回答的问题。
实际上,不同的组织对于IT的需要是不一样的。
组织到底需要IT做什么,在很大程度上取决于它处于一个什么样的商业环境。
商业特征决定IT需求走向IT治理的第一步就是,要对组织处于什么样的商业环境进行正确的分析。
埃森哲公司的IT治理模式通过两个指标来对组织的商业环境进行分析:变化的速度和竞争的基础。
变化的速度。
某些企业处在一个变化较快的行业,如半导体企业和电信企业。
在这样的行业,消费者的需求和偏好经常改变,产业政策也时常推陈出新,时不时出现的新技术会一下子改变整个产业价值链;而另外一些行业的发展状态则相对稳定,不会有那么快的变化,如航空业。
在这样的行业,消费者的需求、竞争格局、政府管制、技术及供应商等方面的变化都是缓慢发生的。
竞争的基础。
从竞争的基础来看,企业可以分为两类。
一类企业以运营效率为基础进行竞争。
对于这类组织来说,重点在于降低成本,以及优化现有的商业模式以应对竞争;另一类企业以产品和服务的差异性为竞争的基础。
这类企业力求先于竞争对手提供新的商业能力,或者是开创新的商业模式,以此获得竞争优势。
根据以上两个指标,可以将组织分为四类。
A类组织处于变化不快的行业,以运营效率为竞争基础;B类组织处于变化不快的行业,以产品服务的差异化为竞争基础;C类组织处于变化快的行业,以运营效率为竞争基础;D类组织处于变化快的行业,以产品服务的差异化为竞争基础。
这四类不同的组织因其业务特点的不同而对IT产生不同的需求。
A类组织发展的关键在于严格控制成本,因此这类企业希望利用IT来保持低成本,通过如外包这类节省成本的方法来提供成熟的能力。
B类组织的管理层期望利用信息来提高决策能力,并开发新的产品和服务,以高收入来抵消不断增长的IT支出。
C类组织按优先次序制定IT投资计划以及长期能力的路线图,它们在对成本进行有效管理的同时,根据路线图,运用IT来实现计划中的新能力,以满足市场不断变化的需求。
D类组织期望IT具有高度的灵活性,以满足迅速变化的商业策略和要求。
这类企业倾向于提供创新的IT解决方案,以获得先发优势,因此它们的IT投资重点在于创造新的能力。
IT治理的决策范围一旦组织明确了自己对于IT的需求,那下一步就要解决IT治理作哪些决策的问题,也就是前文所说的IT治理的“什么”。
IT治理的决策范围一般包括以下五个方面。
组织模式:组织是采取集权、分权还是混合的模式?投资:组织将投资于什么?投多少?架构:组织是着重于稳定性还是灵活性?这两者各到什么程度?应用系统是向外购买还是内部开发?是建立一个综合性的ERP系统还是多种系统?标准:组织需要将什么技术标准化,采用什么标准?资源:IT组织将利用什么类型的资源?这些资源的来源是什么?对于A类组织,其首选的组织模式应该是集权式治理,IT对于预算和决策负有责任。
加拿大邮政公司就采用这种方法,该公司坚持一种简单化的组织模式,有一个集权部门来对公司行为进行优先排序,并通过单一的IT资源来完成。
在标准的决策方面,A类组织谋求在全组织范围内加强架构、技术和供应商的标准化,只是在一些被证明是正当的例外的情况下才允许有所背离。
一家大型的法国保险公司就是这方面的一个例子。
该公司在集团范围内对IT架构实行了标准化,因此它可以优化其核心的IT流程,整合系统支持其非寿险业务,移植数据,配置新的系统以支持其健康险业务。
在资源决策方面,A类组织善于利用内外部资源的组合,通常会与少量的几家优选的服务提供商达成服务协议。
当某个全球性的化学品公司认为IT并非其核心业务时其,便将整个IT运作外包出去,包括其ERP系统全球范围内的实施和支持。
IT治理公司治理主要关注利益相关者权益和管理,包括一系列责任和条例,由最高管理层(董事会)和执行管理层实施,目的是提供战略方向,保证目标能够实现,风险适当管理,企业的资源合理使用。
公司治理,驱动和调整IT治理。
同时,IT能够提供关键的输入,形成战略计划的一个重要组成部分,这被认为是公司治理的一个重要功能——IT影响企业的战略竞争机遇。
IT治理和公司治理关系图IT治理的一个关键性问题是:公司的IT投资是否与战略目标相一致,从而构筑必要的核心竞争力。
因为企业目标变化太快,很难保证IT与商业目标始终保持一致,因此需要多方面的协调,保证IT治理继续沿着正确的方向走,这也是IT投资者真正关心的问题。
对IT治理而言,要能体现未来信息技术与未来企业组织的战略集成。
既要尽可能地保持开放性和长远性,以确保系统的稳定性和延续性;同时又因为规划赶不上变化,再长远的规划也难以保证能跟上企业环境的变化。
IT治理中一个相对有效的做法是,在信息化规划时,认真分析企业的战略与IT支撑之间的影响度,并合理预测环境变化可能给企业战略带来的偏移,在规划时留有适当的余地,从业务战略到信息战略,做务实的牵引,不要追求大而全。
IT治理有助于建立一个灵活的、具有适应性的企业。
IT治理能够影响信息和指示:企业能够感知市场正在发生的事,使用知识资产并从中学习,创新新产品、服务、渠道、过程;迅速变化,将革新带入市场,衡量业绩。
IT治理应该体现“以组织战略目标为中心”的思想,通过合理配置IT资源创造价值。
企业治理侧重于企业整体规划,IT治理侧重于企业中信息资源的有效利用和管理。
企业目标在于远景和商业模式,IT目标在于商业模式的实施。
企业目标与IT目标之间的关系如下图所示:IT治理主要涉及两个方面:IT要为企业交付价值,IT风险要降低。
前者受IT与企业的战略一致性驱动,后者由责任义务落实到企业驱动。
这两者都需要衡量,如使用平衡计分卡。
这就可以看出IT治理的四个核心领域,都是由利益相关者价值驱动的,其中两个是成果:价值交付和风险降低,另外两个是驱动力:战略一致性和业绩衡量。
概括地说,公司治理和IT治理都是市场(含政府)他律的机制,是如何“管好管理者”的机制,其目标也是一致的:达到业务永续运营,并增加组织的长期获利机会。
无论大环境是好是坏,最高管理层(董事会)均应以达成其目标为责任,而且管理阶层需有能力协助其达成目标,因此最高管理层(董事会)必须常常监督管理部门对决策判断与政策实施的绩效。
“斯达模式”这一被誉为国企摆脱困境、改革发展的创新模式,正说明了公司治理和IT治理的重要性和互动关系。
“黑纸”利用合资契机,对产权体制进行了改革,并按照现代企业制度要求,建立与市场竞争相适应的公司治理机制,明晰了企业产权,优化了生产要素配置,转变了职工观念,为斯达大力进行信息化改造创造了有力条件。
反过来,信息化也促进了公司的现代化管理。
IT治理和IT管理IT管理是公司的信息及信息系统的运营,确定IT目标以及实现此目标所采取的行动;而IT治理是指最高管理层(董事会)利用它来监督管理层在IT战略上的过程、结构和联系,以确保这种运营处于正确的轨道之上。
这是一个硬币的两面,谁也不能脱离谁而存在。
可见,IT管理就是在既定的IT治理模式下,管理层为实现公司的目标而采取的行动。
IT治理规定了整个企业IT运作的基本框架,IT管理则是在这个既定的框架下驾驭企业奔向目标。
缺乏良好IT治理模式的公司,即使有“很好”的IT管理体系(而这实际上是不可能的),就像一座地基不牢固的大厦;同样,没有公司IT管理体系的畅通,单纯的治理模式也只能是一个美好的蓝图,而缺乏实际的内容。
就我国信息化建设目前的现状而言,无论是IT治理,还是IT管理都是我们所迫切需要解决的。
浅析IT治理框架的三个支柱一旦IT领导理解了IT治理框架的三个支柱,他们对于IT治理为什么如此重要,以及哪一种方法可以最好地帮助他们达成治理目标,就会有更好的理解。
IT治理是目前很多人都在谈论的一个话题。
确实,一些技术供应商和咨询顾问已经将IT治理纳入一个最新的热门的销售范畴。
然而,以他们所销售的产品和服务的范围为基础,已经出现了IT治理的种种定义,这在一定程度上给市场带来了混乱。
那么,对于如今这个最热门的企业治理方面的概念,业务和IT领导从哪里可以获得一个单一而又全面的定义呢?基于ITGI、正在形成的产业标准、客户最佳实践及思想领导者的工作,第一流的分析师现在都在强调IT治理框架的三个支柱的模式。
这一框架强调确保IT在支持业务目标、优化商业技术投资及合理管理IT相关风险和机会中的重要性。
在CIO和IT领导看来,由于可以为组织走出烦恼多时的没完没了的支出、扩展、补丁、再支出的循环提供一个清楚的路径,这三个支柱的模式和与之相应的IT治理成熟度模型正在迅速地获得动力。
有了IT治理这一框架,IT投资所带来的价值可以获得理解,实现技术投资和业务目标需求之间的联结也有了明确的方法。
在来自管理层和董事会的压力越来越大的情况下,IT组织不能仅依靠理论—他们需要能发挥作用的治理。
IT治理框架的三个支柱对于任何想抓住这种前瞻性的IT方法所带来的利益的组织而言,这一成形的IT治理框架都是适用的。
这个框架包括三个主要的组成部分,具体表现为“计划/构造/管理”三个生命周期,通过一个不断进行的连结这三个要素的反馈环,使得IT变革成为可能。
这三个支柱是:企业架构计划,包括:企业架构造型和管理战略性的IT计划和路线图标准管理投资组合合理化,包括:应用系统和基础设施的合理化项目-投资分析合并和收购运营整合服务融合,包括:服务提供管理业务关系管理供应商和外包商管理IT财务管理IT塞班斯-奥克斯莱法案(Sarbanes-Oxley)和其他法规遵从的问题业务连续性计划一旦IT领导理解了这三个支柱,他们对于IT治理为什么如此重要,以及哪一种方法可以最好地帮助他们达成治理目标,就会有更好的理解。
例如,在项目投资管理和系统管理领域,一般的供应商只会致力于整个框架的一部分。
对IT治理问题需要有一个全面的解决方案,这一需求已经越来越表现出来了。
IT治理解决方案Troux是惟一能提供有效的IT治理系统的企业,同时,它还能提供全面的可以连结业务和自动工作流,及自动化的策略管理系统。
为了解决CIO们今天面临的最具挑战性的IT治理问题,Troux的解决方案提供了基础,并且横跨IT治理框架的三个领域。
企业架构:使得企业建造师可以完全模仿符合未来需要的架构,并且提供创造和管理与架构相协调的标准和路线图的能力。
投资合理化:为IT执行人员提供确保应用、基础设施、服务和项目投资与业务和成本优化相协调的可视度和工具。
服务管理:使IT组织可以实现对业务服务的自动化定义和管理,并确保关键业务、遵从和业务连续性目标的一致。
有了以上各种解决办法,Troux带来了帮助CIO和IT执行人员实现IT治理所需要的深入的专业知识、最佳实践和成熟的模式。
结论正如IT治理已经位居CIO日程表的前列,经理人员们也已经发现,最佳实践和方法的标准还没有准确的定义—到现在这一状况才有所改变。
Troux的技术为CIO和IT经理有效计划、构建和管理他们的IT运作,提供了所需要的最佳实践和方法。
链接如何看待IT治理的角色“对于CIO来说,IT治理意味着组织结构、决定过程和一种在企业内加强控制的信息基础。
”位于斯坦福的Meta集团的分析师Val Sribar说。
走向IT治理最重要的一步是“发展一种可以自信地进行关键资产、财务和遵从的决策的信息基础。
”Sribar又说,“业务和技术架构的可见度对于企业管理和成长是关键性的。
”幸运的是,IT经理为了达成治理目标可以获得帮助。
“像Troux这样的供应商已经出现,并填补了治理流程和IT运营之间的空白。
”Sribar说治理的标准目前国际上通行的IT治理标准主要有四个:ITIL 、COBIT、ISO/IEC和PRINCE2。
(1)ITILITIL(Information Technology Infrastructure Library):即信息技术基础构架库,一套被广泛承认的用于有效IT服务管理的实践准则。
1980年以来,英国政府商务办公室(GOC,原称政府计算机与通信中心)为解决“IT服务质量不佳”的问题,逐步提出和完善了一整套对IT服务的质量进行评估的方法体系,叫做ITIL。
2001年,英国标准协会在国际IT服务管理论坛(itSMF)上正式发布了以ITIL为核心的英国国家标准BS。
这成为IT服务管理领域具有历史意义的重大事件。
(2)COBITCOBIT(Control Objectives for Information and related Technology):即信息系统和技术控制目标。
成立于1969年的美国信息系统审计与控制协会ISACA,于1996推出了用于“IT审计”的知识体系COBIT。
“IT审计”已经成为众多国家的政府部门、企业对IT的计划与组织、采购与实施、服务提供与服务支持、监督与控制等进行全面考核与认可的业界标准。
相应地,“注册信息系统审计师”(CISA)日益成为世界各国发展信息化过程中,争相发展的新兴职业和领域。
作为IT治理的核心模型,COBIT包含34个信息技术过程控制,并归集为四个控制域:IT规划和组织(Planning and Organization)、系统获得和实施(Acquisition and Implementation)、交付与支持(Delivery and Support)以及信息系统运行性能监控(Monitoring)。
COBIT 目前已成为国际上公认的IT管理与控制标准。
(3)BS 7799BS 7799(ISO/IEC):即国际信息安全管理标准体系,2000年12月,国际标准化组织ISO正式发布了有关信息安全的国际标准ISO,这个标准包括信息系统安全管理和安全认证两大部分,是参照英国国家标准BS7799而来的。
它是一个详细的安全标准,包括安全内容的所有准则,由十个独立的部分组成,每一节都覆盖了不同的主题和区域。
由英国标准协会(BSI)编写的信息安全管理体系标准BS 7799-Part 1 (ISO ) 及BS 7799-Part 2为各种机构、企业进行信息安全管理提供了一个完整的管理框架。
这一套‘姊妹对’标准引导机构、企业建立一个完整的信息安全管理体系,对信息安全进行动态的、以分析机构及企业面临的安全风险为起点对企业的信息安全风险进行动态的、全面的、有效的、不断改进的管理,并强调信息安全管理的目的是保持机构及企业业务的连续性不受信息安全事件的破坏,要从机构或企业现有的资源和管理基础为出发点,建立信息安全管理体系(ISMS),不断改进信息安全管理的水平,使机构或企业的信息安全以最小代价达到需要的水准。
保护信息安全,建立信息安全管理体系是机构或企业营运的重要工作之一,尤其是BS 7799-2: 2002是目前最完整的参考依据,它以“计划(Plan)、实施(Do)、检查(Check)、行动(Action)”模式,将管理体系规范导入机构或企业内,以达到“持续改进”的目的。
(4)PRINCE2PRINCE2(Projects In Controlled Environments)是一种对项目管理的某些特定方面提供支持的方法。
PRINCE2描述了一个项目如何被切分成一些可供管理的阶段,以便高效地控制资源的使用和在整个项目周期执行常规的监督流程。
PRINCE2的视野并不仅仅限于对具体项目的管理,还盖了在组织范围对项目的管理。
在这里,我们重点对COBIT进行介绍:COBIT的全称是“Control Objectives for Information and related Technology”,上世纪90年代早期由IT治理协会提出,至今(2005年)已是第三版,COBIT目前已成为国际上公认的IT管理与控制框架,已在世界一百多个国家的重要组织与企业中运用,指导这些组织有效地利用信息资源,有效地管理与信息相关的风险。
COBIT有6个组件:- Executive Summary- Management Guidelines- Framework- Control Objectives- Implemenation Toolset- Audit GuidelinesCOBIT型是企业战略目标和信息技术战略目标的桥梁,使得信息技术目标和企业战略目标之间实现互动。
该框架的意义在于:COBIT实现了企业目标与IT治理目标之间的桥梁作用。
首先,COBIT考虑了企业自身的战略规划,对业务环境和企业总的业务战略进行分析定位,并将战略规划所产生的目标、政策、行动计划作为信息技术的关键环境,并由此确定IT准则。
IT为企业战略提供了基于技术的解决方案,为满足业务战略需求提供了技术与工具。
在IT准则的指导下,利用控制目标模型,分别从规划与组织、获取与实施、交付与支持、监控等过程进行控制、管理信息资源。
在IT管理的同时,引入审计指南,从而保证IT资源管理的安全性、可靠性和有效性。
COBIT实现可跟踪的业绩衡量,通过平衡记分卡可以在财务(企业资源管理)、客户(客户关系管理)、过程(内部网,工作流工具)、学习(知识管理)等方面维持平衡,评价企业目标的实现情况以及IT绩效,并调整业务目标和IT战略,进行持续的IT管理。
COBIT采用成熟度模型,可以定位自己企业的IT管理目前在业界所处的位置,以及未来努力的方向,通俗地说就是给IT管理“打分”。
COBIT还提供了目前最佳案例和关键成功因素(CSF),供企业和组织借鉴。
从内容上看,COBIT覆盖了从分析&设计到开发&实施到运营、维护的整个过程。
对于分析&设计,重点目标是IT与业务的需求,根据业务目标细化IT战略,确定待开放的IT系统,进行相应的系统分析和设计。
在分析与设计这样一个流程范围中,比我们传统所说的信息系统的分析与设计要宽广得多,它强调的是IT的战略要符合业务的战略,任何信息系统的开发都应该与业务战略保持精确的校准。
从业务战略的高度来分析和设计信息系统。
提供这个阶段主要是考察组织的需求,同时根据这些需求设计合理的资源组合,设立合理的服务级别、目标,提供满足客户需求的IT服务。
这个阶段对IT应用已上升到IT服务管理的阶段。
主要解决下面的问题,为满足客户的需要提供哪些资源,这些资源之间的成本是多少,如何在服务成本和服务的效益间达到一个恰当的平衡点。
在支持这个层面,主要是如何满足客户提出的IT需求,以支持服务的需求。
COBIT上层是对IT运行进行外部控制和内部审计,以确保IT与业务实现精确校准,同时实现对IT应用持续不断的应用和改进。
COBIT覆盖整个信息系统的全部生命周期,其视野是最为开阔的。
概括而言,COBIT的主要优点如下:COBIT是一个非常有用的工具,也非常易于理解和实施,可以帮助企业在管理层、IT与审计之间交流的鸿沟上搭建桥梁,提供了彼此沟通的共同语言。
几乎每个机构都可以从COBIT中获益,来决定基于IT过程及他们所支持的商业功能的合理控制。
当我们知道这些业务功能是什么,其对企业的影响到什么程度时,就能对这些事件进行良好的分类。
所有的信息系统审计、控制及安全专业人员应该考虑采用COBIT原则。
通过实施COBIT,增加了管理层对控制的感知及支持。
COBIT帮助管理层懂得如何控制影响、业务功能。
COBIT提供的实施工具集包括优秀的案例资料(提供模板业务过程,使得优秀范例能够迅速移植),有助于向管理层很好地表述IT管理概念。
管理层在基于最佳控制实践基础上做出正确决策的能力亦得到了提高。
COBIT使IT管理工作简易并量化,减轻对复杂信息系统管理工作的难度。
对于那些不具有广博IT知识的人来讲,是一个认清信息技术的有价值的工具。
它也使得信息系统审计师具有与IT专业人员相同的专业广度,并且可以询问IT工程相关的问题。
COBIT提供了一种国际通用的IT管理及问题解决方案,普遍适用于各种不同的业务项目和审计,并且既包容了当前的情况,也提供将来可能会使用到的指导方针。
COBIT有助于提高信息系统审计师的影响力,依据COBIT出具的信息系统审计报告,更容易得到管理层的肯定。
COBIT框架可以能够帮助决定过程责任,提高IT治理水平。
通过应用该框架进行责任分析,可以做到基于角色的IT管理,定义过程措施,确保客户利益。
总之,COBIT模型实现了企业战略与IT战略的互动,并形成持续改进的良性循环机制,为企业提供了具有一定参考价值的解决方案。
因此,针对我国信息化存在的问题,借鉴COBIT的IT治理思想和框架,科学、系统地对信息及相关技术进行管理,逐步试行建立IT治理机制,对推动我国信息技术的发展和应用具有十分重要的现实意义。
审计需要做什么
审计需要做的核心工作包括:审查财务和业务数据,评估风险,确保合规性,提出改进建议。
审查财务和业务数据
审计的首要任务是审查企业的财务和业务数据。
这包括检查企业的财务报表、账目、交易记录等,确保这些数据的准确性和完整性。
审计师需要仔细分析这些数据,以发现可能存在的问题和异常,如潜在的欺诈行为、误差或管理不善等问题。
评估风险
审计过程中,审计师还需要对企业的风险进行评估。
这包括对业务流程、内部控制、市场状况等方面进行检查和评估,以识别潜在的风险点和漏洞。
审计师需要确定这些风险对企业的影响程度,并为企业提出相应的风险管理策略和建议。
确保合规性
审计师需要确保企业的运营活动符合相关的法规、政策和标准。
这包括检查企业的各项政策、程序和实践是否符合法律要求,以及是否遵循行业标准和最佳实践。
如果发现不合规的情况,审计师需要及时提出,并帮助企业进行整改。
提出改进建议
除了发现和指出问题,审计师还需要根据审计结果提出改进建议。
这些建议可能涉及优化流程、完善内部控制、提升风险管理水平等方面。
审计师需要与企业的高级管理层和相关部门沟通,共同制定改进措施,以提高企业的运营效率和质量。
总之,审计是一项重要的工作,它涉及对企业财务和业务数据的审查,风险的评估,合规性的确保,以及提出改进建议等方面。
审计师需要保持独立、客观的态度,以确保审计工作的有效性和公正性。
通过审计,企业可以更好地管理风险,提高运营效率,实现可持续发展。
