稽核人員的功能可為消極式或積極式,消極式純以符合上級要求為目的,偏重檢查、偵錯及政策遵循;積極式則為掌握企業之需求,強調企業營運目標、風險、流程及創造價值。當稽核人員具備了扮演積極式角色的能力,但董事會出於認知上或意願上的落差而未予善用時,稽核人員有如未逢伯樂之千里馬,落得「人未盡其才」的景況,這對於稽核人員與企業都是「虧很大」。這種現象,在電腦稽核的領域更為常見,此因許多人認為IT(Information Technology)是高度技術性的,面對IT就好像眼前有一堵又厚又高的牆,遮斷了牆內的所有一切,也阻卻了翻越它以一探究竟的念頭。
本協會十五年來對於我國電腦稽核人員的養成不遺餘力,從開始培養了很多的「駒」,進而有很多的「良駒」,再而有很多的「千里馬」,但令人遺憾的是我們欠缺足夠的伯樂以促成「人盡其才」。IT這堵又厚又高的牆如果能在董事面前”倒塌”,我們就會有更多的伯樂,而IT這堵牆的倒塌,主要不是藉由武力,而是藉由心智的力量(Mind Power)。你看眼前有一堵又厚又高的牆,它就以「又厚又高的牆」之姿存在,但只要當下轉變心境,從「看到它的存在」轉變為「看到它的不存在」,它就瞬間倒塌且隨即人間蒸發。使董事增加其面對IT的心智力量,就是推動「資訊治理」的觀念並予以落實。
何謂「資訊治理」?參考資訊治理協會(IT governance Institute,簡稱ITGI,網址為www.itgi.org)的定義,「資訊治理」是董事會的責任,是整體公司治理之一部分,包括領導、組織結構及過程以確保資訊系統能促成組織之策略及目標。(IT governance is the responsibility of the board of directors and consists of the leadership, organizational structures and processes that ensure that the organization’s IT sustains and extends the organization’s strategies and objectives.)。又,ITGI將資訊治理分為五大焦點項目(Focus Areas)如下:
- 策略校準(Strategic Alignment)-與企業之營運校準及提供協力合作的解決方案
- 價值提供(Value Delivery-使價值議題之執行能貫穿於整個IT服務循環。
- 資源管理(Resource Management)-使可供使用資源之開發與使用最佳化。
- 風險管理(Risk Management)-保障資產安全、災難復原及遵循。
- 績效管理(Performance Management)-監督結果以採取改正行動。
簡而言之,就是要兼顧價值(Value)、風險(Risk)與成本(Cost)。
ITGI並指出董事會就資訊治理的主要職責如下:
- 計劃(Plan)-瞭解所扮演之角色及IT對企業之影響。
- 指導(Direct)-設定發展方向及預期效益、分派職責、促進轉型及設定IT作業之限制條件等。
- 控制(Control)- 衡量IT績效、管理風險及取得確證。
茲以釋例說明與企業營運校準如下:
在經營「事找人」的業者,可分為「人力銀行」與「人力仲介」兩種經營模式,其網頁設計也有所不同。「人力銀行」業者,主係提供一個網路平台供企業刊登求才廣告,在其網頁上刊載求才企業名稱及其職缺等資訊,並提供應徵者直接遞交履歷資料予求才企業之功能,後續面談等作業,則由求才企業與應徵者直接聯繫及進行。「人力仲介」業者,主係接受求才企業之委託,為企業代尋合適人選,甚至代為面談及推薦其中數名較適者,在其網頁上不刊載求才企業之名稱,應徵者之履歷資料不直接遞交予求才企業,而係先予以篩選,如亦受委代為面談另加附推薦說明,再提交予求才企業做決選。在IT技術上,「人力銀行」之層次較高,係因其功能較多,且業者主要藉由在網路上提供廣告服務來賺錢,故對IT中斷服務的忍受度低。 IT系統建置者如出於IT技術導向,為了展現其IT技術,對於「事找人」業者,不進一步了解其經營模式,均給與「人力銀行」的IT模式,不但成本較高,且求才者與求才企業可直接聯繫而無需「仲介」,如係「人力仲介」業者而有此IT系統,還能經營下去嗎?由此可知,IT策略未校準可能導致企業無法持續營運,故董事會應確保企業建置IT之策略目標明確、訂定與營運策略相互配合之IT計劃及建立IT預期效益與風險之評估模式,作為IT部門、外部IT人員與企業各部門協力建置、測試及使用IT時各個階段之指導原則。
企業對於資產之取得訂有管理辦法,包括成本與效益之評估、工期與預算之專案控管等,亦應涵蓋IT系統取得之管理,尤其是投資金額重大的IT系統,例如:目前廣為企業採用的ERP(Enterprise Resource planning)系統。ERP系統為一整合性之系統,原本具有較易促成價值議題之執行貫穿於整個IT服務循環之特性,然而不少企業推行的結果卻讓人失望,甚至有些推行的結果對管理者而言,只提供了「資料庫系統」的價值,而未及於「管理資訊系統」或「決策支援系統」的價值。該等企業所使用的系統軟體同為市場上廣被使用的軟體,但使用同樣的軟體所建置的ERP系統,有些很成功,有些卻不理想,除前段所述欠缺明確之IT策略目標、IT計劃未與營運校準或未建立效益與風險評估模式等原因外,主要肇因於企業建置ERP系統時欠缺合適的參與者及參與者未能協力合作。ERP系統既為整合性之系統,涵蓋所有部門之各項業務,牽涉的人員多且業務雜,如何從不同部門的使用者及IT人員(含外部顧問)觀點所「想要的」,釐清什麼是營運觀點所「需要的」,須有相當經驗的「使用者」、「IT部門人員」及「外部顧問」的參與,且三者要能旗鼓相當,以兼顧價值、風險與成本,又因旗鼓相當,有所爭執在所難免,故需強有力的協調仲裁者,以促進其協力合作。確保有夠資格且旗鼓相當的「使用者」、「IT部門人員」及「外部顧問」之參與,暨強有力的協調仲裁者,是董事會於「資訊治理」的職能之一,且唯有董事會因其位階夠高且視野夠寬廣方能勝任。
綜上所述,董事會於「資訊治理」的職能,不在於資訊技術層面,而在於管理層面,董事會如能有此認知,並將「資訊治理」納入「公司治理」的範疇中,為使IT投資能兼顧價值(Value)、風險(Risk)與成本(Cost),企業對電腦稽核的需求必然是積極式的,我們許多的「千里馬」就得以人盡其才,為企業創造更大的價值。因此,期盼「資訊治理」在本協會的推動下,能快快蔚為風潮。