1.5 研究的理论基础

1.5.1 信息系统进化阶段理论

信息系统进化阶段理论主要有诺兰模型、西诺特模型和米切模型三种。美国哈佛大学教授理查德·诺兰（Richard.L.Nolan）在1974年首先提出了信息系统发展的四阶段论。在四阶段论中，诺兰按时间顺序将时间横轴划分成四个区间，即开发期、普及期、控制期和成熟期，他把这些区间称为信息系统的发展阶段，同时用纵轴来表示与信息系统相关联的费用支出。之后经过实践进一步验证和完善，1979年，诺兰将信息系统的发展道路调整分为六个阶段，被称为“诺兰模型”，诺兰强调，任何组织在实现以计算机为基础的信息系统时都必须从一个阶段发展到下一个阶段，不能实现跳跃式发展。诺兰的阶段模型总结了发达国家信息系统发展的经验和规律，无论在确定开发管理信息系统的策略，或者在制定管理信息系统规划的时候，都应首先明确本单位当前处于哪一生长阶段，进而根据该阶段特征来指导管理信息化系统建设。[96]

“诺兰模型”的企业信息化建设分为以下六个阶段：初始阶段、扩展阶段、控制阶段、统一阶段、数据管理阶段、成熟阶段，这六个阶段是一种波浪式的发展历程，其前三个阶段具有计算机数据处理时代的特征，后三个阶段则显示出信息技术时代的特点，前后之间的“转折区间”是在整合期中，由于办公自动化机器的普及、终端用户计算环境的进展而导致了发展的非连续性，这种非连续性又称为“技术性断点”。“诺兰模型”是第一个描述信息系统发展阶段的抽象化模型，具有划时代的重要意义，该理论已成为说明企业信息化发展程度的有力工具，该模型在概念层次上对企业中信息化的计划制定过程大有裨益。其后的“西诺特模型”和“米切模型”都是在“诺兰模型”的基础上做出的修正或改进。

1988年，西诺特（W.R.Synnott）参照“诺兰模型”提出了一个新的模型，这是一个过渡性的理论，主要考虑到了信息随时代变迁的变量。他用4个阶段的推移来描述计算机所处理的信息。从计算机处理原始数据的“数据”阶段开始，逐步过渡到用计算机加工数据并将它们存储到数据库的“信息”阶段；接着，经过诺兰所说的“技术性断点”，到达把信息当做经营资源的“信息资源”阶段；最后到达将信息作为带来组织竞争优势的武器，即“信息武器”阶段。他还提倡，随着计算机处理的信息机器作用的变化，作为信息资源管理者的高级信息主管或称为首席信息官（CIO，Chief Information Officer）的重要性应当受到重视。

“诺兰模型”和“西诺特模型”均把系统整合（集成）和数据管理分割为前后两个阶段，似乎可以先实现信息系统的整合后再搞数据管理，但后来的大量实践表明这是行不通的。美国的信息化专家米切（Mische）于20世纪90年代初对此作了进一步修正；揭示了信息系统整合与数据管理密不可分，系统整合期的重要特征就是搞好数据组织，或者说信息系统整合的实质就是数据整合或集成。此外，此前的研究仅仅集中于数据处理组织机构的管理和行为的侧面，而没有更多地研究各种信息技术的整合集成，忽视了将信息技术作为企业的发展要素而与经营管理相融合的策略。米切的信息系统发展阶段论的特征不只在数据处理工作的增长和管理标准化建设方面，而是涉及知识、理念、信息技术的综合水平及其在企业的经营管理中的作用及地位，以及信息技术服务机构提供成本效益和及时性都令人满意的解决方案的能力。[74]

1.5.2 IT治理理论

IT治理是信息系统审计和控制领域中一个相当新的概念，国际信息系统审计与控制协会（ISACA）所属的IT治理研究所（ITGI）定义如下：“IT治理是一个由关系和过程所构成的体制，用于指导和控制企业，通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。”[25]德勤（Deloitte）的定义如下：“IT治理是一个含义广泛的概念，包括信息系统、技术、通信、商业、所有利益相关者、合法性和其他问题。其主要任务是：保持IT与业务目标一致，推动业务发展，促使收益最大化，合理利用IT资源，IT相关风险的适当管理。”[14]虽然具体表述不一样，但国际上关于IT治理有如下几点共识。

首先，IT治理须与企业战略目标一致，IT对于企业非常关键，也是战略规划的组成，影响战略竞争。IT治理要从组织目标和信息化战略中抽取信息需求和功能需求，形成总体的IT治理框架和系统整体模型，为进一步系统设计和实施奠定基础，保证信息技术跟上持续变化的业务目标。

其次，IT治理和其他治理主体一样，是管理执行人员和利益相关者的责任（以董事会为代表）。公司治理主要关注利益相关者权益并鼓励他们有效参与公司治理和管理，由最高管理层（董事会）和执行管理层实施，目的是提供战略方向，保证目标能够实现，风险适当管理，企业的资源合理使用。IT治理是公司治理的有机组成部分，公司治理驱动IT治理并影响其目标的设定。同时，IT形成战略计划的一个重要组成部分，这被认为是公司治理的一个重要功能——IT影响企业的战略竞争机遇。

最后，IT治理保护利益相关者的权益，使风险透明化，指导和控制IT投资、机遇、利益、风险。IT治理是信息技术条件下所有利害相关者的利益均衡，IT治理的核心是权利的分配和责任的承担。不同的组织层次应拥有不同的决策权力和责任，并且通过机制建设保证决策权力和责任的适当归属。

从本书的研究内容出发，笔者倾向于赞同IT治理研究所的观点，它明确指出了IT治理通过“平衡风险”与“增加价值”来确保企业目标的实现。[144]

1.5.3 企业风险管理理论

风险管理最早起源于美国，在20世纪30年代，由于受到1929—1933年的世界性经济危机的影响，美国约有40%的银行和企业破产，经济倒退了约20年。美国企业为应对经营上的危机，许多大中型企业都在内部设立了保险管理部门，负责安排企业的各种保险项目。可见，当时的风险管理主要依赖保险手段。1938年以后，美国企业对风险管理开始采用科学的方法，并逐步积累了丰富的经验。20世纪50年代风险管理发展成为一门学科，“风险管理”一词才形成。风险管理最初产生并应用于金融领域，由于风险管理理论的广泛适用性，现在已广泛应用于各国社会与经济发展的诸多领域，其中包括了企业。

对于企业而言，风险管理理论的提出与应用还是源于内部控制发展的需要。21世纪企业环境对内部控制提出了新要求，不仅要求把风险控制作为一个控制目标，还要把风险本身作为一个特定的要素进行管理，企业风险管理的发展路径如图1-4[78]所示。

对于企业风险管理，不同国家的不同组织有不同的定义，比如，COSO（The Committee of Sponsoring Organizations of the Treadway Commission，美国反欺诈财务报告委员会下属的发起人委员会）的定义为：“企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。”[12] COSO的定义反映了如下几个基本概念：企业风险管理是一个过程，它持续地流动于主体之内；企业风险管理由组织中各个层级的人员实施；企业风险管理应用于战略制订；企业风险管理贯穿于企业，在各个层级和单元应用，还包括采取主体层级的风险组合观；企业风险管理旨在识别一旦发生将会影响主体的潜在事项，并把风险控制在风险承受能力以内；企业风险管理能够向一个主体的管理当局和董事会提供合理保证；力求实现一个或多个不同类型但相互交叉的目标。

德勤（Deloitte）把企业风险管理定义为：“企业风险管理是使企业在实现其未来战略目标的过程中将市场的不确定性和变化所产生的影响控制在可接受范围内的过程和系统方法。”[77]认为全面风险管理的内容包括：它是一个流程和方法，以企业战略为导向，辨识对企业有潜在影响的事件，并根据风险偏好管理风险为企业管理层和董事会提供合理的保证。风险管理贯穿在企业管理的每一个方面：落实到企业作为一个整体和企业的各个业务流程，作为从董事会到高级管理层直至每一个员工的责任。并将全面风险管理的含义表示如图1-5[77]所示。

COSO的定义比较宽泛，它抓住了对于公司和其他组织如何管理风险至关重要的关键概念，为不同组织形式、行业和部门的应用提供了基础。它直接关注特定主体既定目标的实现，并为界定企业风险管理的有效性提供了依据。而德勤（Deloitte）的定义则明确了企业风险管理是企业实现“战略目标”的保证，表达得直观、形象一些。

COSO在其企业风险管理框架里说明了风险管理的四类目标。在主体既定的使命或愿景（vision）范围内，管理当局制订战略目标、选择战略，并在企业内自上而下设定相应的目标。企业风险管理框架力求实现主体的以下四种类型的目标：战略（strategic）目标——高层次目标，与使命相关联并支撑其使命；经营（operations）目标——有效和高效率地利用其资源；报告（reporting）目标——报告的可靠性；合规（compliance）目标——符合适用的法律和法规。对主体目标的这种分类可以使我们关注企业风险管理的不同侧面。这些各不相同但却相互交叉的类别——一个特定的目标可以归入多个类别，反映了主体的不同需要，而且可能会成为不同管理人员的直接责任。这个分类还有助于区分从每一类目标中能够期望的是什么。

COSO在其企业风险管理框架里说明了风险管理的8个相互关联的构成要素。它们来源于管理当局经营企业的方式，并与管理过程整合在一起。这些构成要素是：内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。企业风险管理并不是一个严格的顺次过程，一个构成要素并不是仅仅影响接下来的那个构成要素。它是一个多方向的、反复的过程，在这个过程中几乎每一个构成要素都能够、也的确会影响其他构成要素。[12]