ISACA Journal
Volume 4, 2,015 

Translated Articles 

IT 治理對企業組織的陳述與衝擊 一項國際研究的重要發現 

作者:Steven De Haes, Ph.D., Anant Joshi, Ph.D. andWim Van Grembergen, Ph.D. 

資訊科技 (Information Technology,IT)的核心功能是要為企業組織管理風險與創造價值,本研究特別聚焦於已浮現 20 年1 的企業資訊科技治理(Governance of Enterprise IT, GEIT;以下簡稱:GEIT)。由於企業不斷地增加對GEIT 的投資,本文採用一般實務接受架構COBIT 52 來衡量 GEIT 在企業組織內的實際推動情形。

本文藉由一項國際研究來得到出一些重要結論,企業組織推動GEIT,使用COBIT 5 衡量顯示,確能幫助企業組織3 提升價值。

本篇研究

對一般人而言,投資改善GEIT 是被認為屬於高成本與複雜的,GEIT 投資報酬對股東而言,是很困難衡量出具體的結果(通常是對財務)。最近的COBIT 5 標竿與企業價值衡量 (Benchmarking and Business Value Assessment of COBIT 5)報告,嘗試證明在企業組織內完成導入GEIT 實務,對企業價值有幫助提升。此外,本研究建立了一套國際標竿,用以衡量企業組織環境內導入與應用GEIT 的實際情形。

為執行本研究,本研究將COBIT 當 作是一個鏡頭(Lens),藉以觀察衡量與分析GEIT 的實務(Practice)。具體地而言,本研究提供了7 項COBIT 5 推動(Enablers)和圖形(Exhibits)的標竿 (Benchmarking),據此衡量不同企業組織環境導入GEIT 明確地連結企業資訊科技相關目標(Enterprise IT-Related Goals)層級的實現。 圖1,依序呈現出7 個推動(Enablers)來衡量企業資訊科技相關目標(IT-Related Goals) 實現後,再具以連結實現企業目標 (Enterprise Goals)層級(圖1)。

圖1模型扮演著本研究的主要概念性基礎模型的角色。

本研究專案是安特衛普大學(University of Antwerp) — 安特衛普管理學院 (Antwerp Management School)接受國際電腦稽核協會(Information Systems Audit and Control Association, ISACA) 委託而執行的專案,安特衛普管理學院採用問卷, 進行線上調查 (Online Survey),此專案邀請跨不同產業的業務、資訊科技與稽核經理人來填答完成問卷。為結構化此問卷調查,此問卷主要建立圍繞在衡量7項COBIT 5 推動(Enablers)的4 個不同構面(Dimensions)(重要程度、管理/導入程度、導入難易程度與貢獻) 與調查衡量資訊相關目標(IT-related Goals) 與企業組織目標(Enterprise Goals)的逐漸實現情形(如圖1)。 此線上問卷調查期間,是從2014年7月 24日至9月1日止,共有896位 問卷填達者完成問卷,經過篩選後,有效問卷 894份,無效問卷2份。894份有效問卷填答者分佈於全球各洲,有亞洲、北美洲、歐洲、大洋洲、南美洲、中東、中美洲與非洲等地,如圖2 所示。

研究結果

以下各段落中,分別呈現本研究發現與提出值得討論的重要問題。

7 項GEIT 推動與企業目標實現關係的重要性程 度如何?
線上調查的每一位問卷填答者, 被問到 GEIT 推動的意識重要性,此重要程度關係區分5 個等級,1 非常不重要,2 不重要,3 一般,4 重要,5 非常重要。每一項GEIT 推動是一個指標,問卷填答者衡量每一項GEIT 推動與實現企業目標關係的重要性程度。

問卷調查結果顯示7 項推動(Enablers)皆被認為非常重要,每一項推動皆高於4 分,滿分5(如 圖3)。如此意謂,由COBIT 5 所提出的7 項 GEIT 推動,有被市場注意到7 項推動與實現公司目標的高度悠關性,就如同每一項推動彼此有密切相關性一樣。比較7 項推動彼此相關性,呈現出資訊(Information)和人員、技術與競爭力 (People, Skills and Competences)的重要程度等級非常重要,緊接著是流程推動(Process Enabler)。 可以參考ISACA(Information Systems Audit and Control Association)出版的COBIT 5 導入與使用支援手冊,其中有詳細說明關於流程(Process)與資訊(Information)推動,ISACA 雖然沒有出版有關人員、技術與競爭力(People, Skills and Competence)推動的導入與使用支援手冊,但資訊年齡技術架構(Skills Framework for the Information Age, SFIA)現有第5 版(2011)4 或歐洲e 化競爭力架構(European e-Competence Framework)5 有提供語音導入與使用支援的數位學習檔案,可以播放語音導覽學習(Sound Guidance)人員、技術與競爭力(People, Skills and Competences)推動。

企業組織如何導入/管理7 項GEIT 推動?
問卷填答者回答關於GEIT 推動的導入/管理情形,對於資訊、文化、道德與行為、人員、技術與競爭力、服務、基礎建設與應用推動的管理衡量程度,分別區分5 個等級,1 完全沒有管理,2 稍微管理,3 部分管理,4 主要管理,5 完全管理。對於原則、政策與架構、組織結構與流程推動的導入衡量程度,分別區分5 個等級,1 完全沒有導入,2 稍微導入,3 部分導入,4 主要導入,5 完全導入。

圖4 顯示,服務、基礎建設與應用(分數 3.88) 與組織結構(分數3.70)推動,相對其他衡量推動,管理程度等級較高;企業組織似乎要努力處理更多人方面的推動問題,特別是文化、道德與行為,相對其他衡量推動,管理程度等級最低。最高的服務、基礎建設與應用程度等級遠高於文化、道德與行為,如此結果隱含的可能意義是服務、基礎建設與應用(換言之,服務、基礎建設與應用和GEIT 的相關性)比管理文化、道德與行為更為具體;相對地,可能比較容易導入。

本研究也包括深入分析,特別聚焦於流程推動。問卷填答者回答,衡量37 題COBIT 5 流程推動的導入情形,在”不知道”的選項,區分5 個等級。等級範圍由1“未導入”至5 “完全導入”。

圖5 顯示,COBIT 5 流程參考模型(Process Reference Model, PRM)5 個領域(Domain)的領域層級分數。每一個領域的平均分數高於3.0,在5 個領域下,問卷填答者意識到自己的企業組織有部分(Partly)導入流程推動。同時圖5 顯示,在出貨、服務與支援(Deliver, Service and Support, DSS) 領域流程,營運與支援流程執行類型,導入層級較高於其他領域。

問卷填答者顯示, 評估、方向與監督 (Evaluate, Direct and Monitor, EDM)領域比其他領域低。經由此事實,可能的解釋是這些流程需要比較高的管理階層與董事會介入。由COBIT 5 流程參考模型觀點而言,治理流程導入層級比管理流程導入層級相對較低,此項結果與符合其他國際研究報導,GEIT6, 7 導入其董事會涉入程度較低的結論。然而,其他研究強調董事會涉入的重要性,證明董事會層級涉入GEIT 與組織績效8 有明確相關性。因此,這些研究結論有號召董事會成員參與GEIT 領域的鼓吹效果。

在細項流程層級領域,相對較佳導入 COBIT 5 流程是DSS02 Manage service request and incidents and Manage costs and budgets. 相對較不佳導入 COBIT 5 流程是APO06 Manage Innovation, Ensure benefits delivery and Manage knowledge. 一般而言,很多流程推動需要高階主管投入參與(例如:組織改變、業務流程控制),才會有好成績。再一次號召行動,眾多研究者9, 10, 11 已強調IT 價值創造,提升企業組織營運績效,需要高階經理人涉入及不同業務部門投入。Weill and Ross 指出,“如果高階經理人未承擔IT 責任,企業組織必將失去IT 投入資金,且對企業組織價值無法提升。IT 投資將成為一項負債,而不是資產。12

企業組織內,GEIT 推動導入/管理的難易程度如何?
每一項GEIT推動導入/管理,皆需要消耗不同的企業資源,問卷填答者被問到衡量每一項 GEIT推動導入的難易程度等級。問卷填答者根據 7項推動,區分5個不同難易程度,1非常困難,2 困難,3一般,4簡單與5非常簡單。

此項研究發現顯示於圖6, 組織結構推動、與服務、基礎建設和應用推動被問卷填答者意識到是容易導入管理。13 此項研究發現圖6 與圖4 組織結構推動、與服務、基礎建設和應用推動比較容易導入/管理,兩者一致。再由圖4 與圖6 比較顯示,圖4 文化、道德與行為推動導入/管理程度最困難、與圖6 資訊推動導入/管理難易程度,兩項分數最低。

7 項GEIT 推動對IT 相關目標(IT-Related Goals) 與企業組織目標實現(Enterprise Achievement) 有幫助嗎?
圖 1 顯示,COBIT 5 已經介紹7 項GEIT 推動及IT 相關目標與企業目標逐漸實現的層級關係。具體而言,7 項GEIT 推動的成功導入與管理是正向關聯IT 相關目標實現,IT 相關目標實現更進一步實現企業組織目標,彼此有層次關係。根據894 問卷填答者的問卷衡量顯示,7 項 GEIT 推動有逐漸實現IT 相關目標與企業組織目標(有5 個衡量尺度,1 沒有實現至5 完全實現),本研究發現,7 項推動導入/管理的整體平體均分數與IT 相關目標實現的整體報導平均分數,兩者有顯著正相關(如圖7)。此條正斜率的迴歸線顯示,7 項推動導入/管理與IT 相關目標實現, 兩者有顯著正相關。此研究發現, 與 COBIT 5 目標實現層級圖1 一致。此顯著正相關,也可以確認37 題流程推動分數。 圖8 表達顯示,整平均流程分數與IT 相關目標實現,兩者有顯著正相關。最後研究確認,IT 相關目標實現與企業組織目標實現,兩者有顯著正相關。 IT 相關目標實現結果正向連結企業目標實現(如圖9)。

結論

企業組織一般皆認為要得到正確的資訊與可靠的科技,投資IT 治理與管理是屬於昂貴與高成本的。為確認與提出這些研究主題,本研究計畫使用COBIT 5 目標層級關係概述來衡量GEIT 推動、GEIT 推動與IT 相關目標實現、IT 相關目標實現與企業目標實現,彼此呈現正向關係。

本研究發現及建議,導入專業COBIT 5 提出的7 項GEIT 推動是有價值的。COBIT 5 提出的每一項GEIT 推動,被認為有高度重要性與較佳的導入程度,且GEIT 清楚顯示與IT 相關目標實現,有顯著正向(Strongly Positive)關係。再一次,本研究發現及建議,IT 相關目標實現與企業目標實現, 彼此呈現正向關係, 進而確認 COBIT 5 提出的目標層級模型正確性。

本研究提供的實際證據,治理與管理推動導入,對企業組織價值創造有正向衝擊,對企業組織價值提升有幫助,高階管理人員比較容易支持 GEIT 投資。除此以外,本研究結果將貢獻於相關新知識領域與理論建立,並藉由一項國際標竿與多項參考手冊衡量治理與管理實務導入情形,例如COBIT 5 能衡量IT 資產與資源運用的情形,創造較高的企業價值。

Endnotes

1 De Haes, S.; W. Van Grembergen; Enterprise Governance of IT: Achieving Alignment and Value, Springer, USA, 2015
2 ISACA, COBIT 5, USA, 2012, www.isaca.org/cobit
3 This article summarizes the key findings and results of a fully elaborated research report titled Benchmarking and Business Value Assessment of COBIT 5, which includes detailed benchmarking results and has filtered data by sector, geography and company size. Find the full report at www.isaca.org/Knowledge-Center/Research/Pages/Research.aspx.
4 SFIA Foundation, The Skills Framework for the Information Age (SFIA), http://www.sfia-online.org/en
5 European e-Competence Framework, www.ecompetences.eu/
6 Op cit, De Haes and Van Grembergen
7 Andriole, S.; “Boards of Directors and Information Technology Governance: The Surprising State of Practice,” Communications of the Association for Information Systems, vol. 24, article 22, 2009, p. 373-394
8 Turel, O.; C. Bart; “Board-level IT Governance and Organizational Performance,” European Journal of Information Systems, vol. 23, 2014, p. 223-239
9 Weill; Ross; IT Governance: How Top-performers Manage IT Decision Rights for Super Results, Harvard Business School Press, USA, 2004
10 Op cit, De Haes and Van Grembergen
11 Op cit, Turel and Bart
12 Weill; Ross; IT Savvy: What Top Executives Must Know to Go From Pain to Gain, Harvard Business Press, USA, 2009
13 Op cit, De Haes and Van Grembergen. This result is in line with the study of De Haes and Van Grembergen (2015), which also reported that IT governance structures are typically reported as being the easiest to adopt.

作者: Steven De Haes, Ph.D.
Is an associate professor at the University of Antwerp and Antwerp Management School (Belgium), co-editor-in-chief of the International Journal on IT/Business Alignment and Governance (IJITBAG), academic director of the IT Alignment and Governance (ITAG) Research Institute. He can be reached at steven.dehaes@uantwerpen.be.

Anant Joshi, Ph.D.
Is a post-doctoral researcher at the University of Antwerp and Antwerp Management School (Belgium), and a lecturer at Maastricht University (The Netherlands).

Wim Van Grembergen, Ph.D.
Is a professor at the University of Antwerp and Antwerp Management School, academic director of the ITAG Research Institute, and co-editor-in-chief of the IJITBAG.

譯者:張碩毅, 電腦稽核協會編譯出版委員會主委、國立中正大學會計與資訊科技學系教授

Quality Statement:
This Work is translated into Chinese Traditional from the English language version of Volume 4, 2015 of the ISACA Journal articles by the Taiwan Chapter of the Information Systems Audit and Control Association (ISACA) with the permission of the ISACA. The Taiwan Chapter assumes sole responsibility for the accuracy and faithfulness of the translation.

品質聲明:
ISACA臺灣分會在ISACA總會的授權之下,摘錄 ISACA Journal 2015,Volume 4 中的文章進行翻譯。譯文的準確度及與原文的差異性則由臺灣分會獨立負責。

Copyright
© 2015 of Information Systems Audit and Control Association (“ISACA”). All rights reserved. No part of this article may be used, copied, reproduced, modified, distributed, displayed, stored in a retrieval system, or transmitted in any form by any means (electronic, mechanical, photocopying, recording or otherwise), without the prior written authorization of ISACA.

版權聲明:
© 2015 of Information Systems Audit and Control Association (“ISACA”). 版權所有,非經ISACA書面授權,不得以任何形式使用、影印、重製、修改、散布、展示、儲存於檢索系統、或以任何方式(電子、機械、影印、或錄影等方式)發送。

Disclaimer:
The ISACA Journal is published by ISACA. Membership in the association, a voluntary organization serving IT governance professionals, entitles one to receive an annual subscription to the ISACA Journal.

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and/or the IT Governance Institute and their committees, and from opinions endorsed by authors’ employers, or the editors of this Journal. ISACA Journal does not attest to the originality of authors’ content.

Instructors are permitted to photocopy isolated articles for noncommercial classroom use without fee. For other copying, reprint or republication, permission must be obtained in writing from the association. Where necessary, permission is granted by the copyright owners for those registered with the Copyright Clearance Center (CCC), 27 Congress St., Salem, MA 01970, to photocopy articles owned by ISACA, for a flat fee of US $2.50 per article plus 25¢ per page. Send payment to the CCC stating the ISSN (1526-7407), date, volume, and first and last page number of each article. Copying for other than personal use or internal reference, or of articles or columns not owned by the association without express permission of the association or the copyright owner is expressly prohibited.

免責聲明:
ISACA Journal 係由ISACA出版。ISACA 為一服務資訊科技專業人士的自願性組織,其會員則有權獲得每年出版的 ISACA Journal。

ISACA Journal 收錄的文章及刊物僅代表作者與廣告商的意見,其意見可能與ISACA以及資訊科技治理機構與相關委員會之政策和官方聲明相左,也可能與作者的雇主或本刊編輯有所不同。ISACA Journal 則無法保證內容的原創性。

若為非商業用途之課堂教學,則允許教師免費複印單篇文章。若為其他用途之複製,重印或再版,則必須獲得ISACA的書面許可。如有需要,欲複印ISACA Journal 者需向Copyright Clearance Center(版權批准中心,地址:27 Congress St., Salem, MA 01970) 付費,每篇文章收取2.50 元美金固定費用,每頁收取 0.25 美金。欲複印文章者則需支付CCC 上述費用,並說明ISACA Journal 之ISSN 編碼(1526-7407)、文章之出版日期、卷號、起訖頁碼。除了個人使用或內部參考之外,其他未經ISACA 或版權所有者許可之複製行為則嚴明禁止

 

Add Comments

Recent Comments

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and from opinions endorsed by authors’ employers or the editors of the Journal. The ISACA Journal does not attest to the originality of authors’ content.