推薦序
爝火不息,見IT治理的核心價值:提升企業價值,降低IT風險
洪國興
以資訊科技治理(IT治理)為主軸,縱橫數十年的IT治理觀止,在資訊領領域,可說前無古人,顯見作者的雄心壯志,也將會有不可抹滅的歷史定位。
欣見有同好關注資訊科技治理(IT治理)的議題,長期以來,資訊科技治理理並沒有受到應有的關注,偶爾有一點星光,也大都是執行政府的計畫案,熱鬧一下,而資訊產業界取得資訊科技治理的相關證照,無非是為了政府的標案,難以成為燎原。
誠如本書副標所揭示的「提升企業價值,降低 IT風險」,此正足以凸顯顯本書的貢獻,期盼未來能廣為流傳資訊科技治理的核心價值,為凡我資訊人都應要有的神聖使命。資訊產業界更應群起呼應,使其蔚為風潮;無論政府或民間企業的CIO、資訊人更要領風氣之先。這股利量將是資訊科技大環境轉型最為重要的力量。
作者 如龍兄以撰寫資治通鑑的雄心壯志完成大作,雄心有餘,令人敬佩,望我資訊人要用心體會,否則難以領會作者所要傳達的意思,那就可惜矣!這也就是前無古人之處,其中蘊涵作者對我國古文明中即有「資訊」的領悟,這是本書極為珍貴之處,更是學資訊的人少有的涵養。
第五章IT治理的可用工具或框架全覽,將IT治理的可用工具匯集於本書,極為難得,既方便讀者對IT治理可用工具的了解,也使有志於IT治理的CIO或資訊經理人可以一目了然,增加本書的實用性與可用性。本書也可以當作工具書,當對各項IT治理工具有疑問時可以查考,也可作為有志研究 IT治理時的使用指南與參考用書,可以多重角度來使用本書,也更顯示本書的多元價值。
穿梭實務與理論 完成公司治理新拼圖
歐陽明.陳志仁
談起公司治理,因為擔任過多家公司董事,經常必須注意到。但是 IT治理,非常新穎的名詞,我幾乎沒聽過,直到作者Homer寫博士論文時,問我一些公司治理的看法時,我才接觸到這名詞。
作者是我以前的同事,大家在工作上是好伙伴。後來作者退休離開公司回到北部,我也因其他工作關係,離開原來的公司,但還是繼續保持聯絡,雖然一北一中。
沒想到他退而不休,又回到學校念博士班,論文更是有關 IT治理方面。其間,因為我是屬於財務領域,當過上市公司發言人及財務主管,也擔 任獨立董事,因此他來電問過幾次關於公司治理的問題,並說他想寫有關 IT 治理題目。但因為我對 IT 不很懂,所以只是被動的回答。直等到他這本新書「企業資治通鑑」出來後,我才知道 IT治理是怎麼一回事。
「企業資治通鑑」是一本帶領讀者一窺IT治理深厚底蘊的書,取名「企業資治通鑑」,當有效法北宋司馬光所主編《資治通鑑》的雄心。當我挑我有興趣的章節,如第四章董事會與高階主管在IT治理議題上的責任問題,第七章 IT 治理的漫長且艱難的旅程:挑戰與回應,一氣呵成讀完,了解公司董事成員的角色,以及IT浪潮洶湧澎湃下,衍生的資料治理、資訊治理、數位治理等議題,更讓我體會作者以「企業資治通鑑」為書名的用心。
本書從IT治理基本理論、使用時機、到使用方法的探討;從大型與中小型企業使用差異的探討;從企業經營著重角度不同,所衍生出IT治理重點不同的的探討,例如,第四章第三節「第三帖處方:根據策略議題,董事會成員需要詢問的棘手問題」,思索支持型和工廠型模式的公司應該有他們的審計委員會, 在IT專家的幫助下,向管理階層提出問題。而在轉換型和策略型模式的公司將需要一個成熟的IT委員會的幫助,也注意到有不少的公司將IT治理事情掌握在自己手中,並建立了嚴格的IT治理委員會。如我們的客戶家得寶(Home Depot)、沃爾瑪(Wal-Mart)。更重要的是,本書也探討了公司治理與 IT治理間的關係,讓我們有一個非常清晰的輪廓。
30年前唸書時,常感覺美式的教科書,都寫得非常詳盡,尤其是一個不懂的人,只要跟著書中的章節,一步步的讀,徜徉其中,就會逐步帶你進入書中知識。雖然通常篇幅不少,但是慢慢看,幾乎不用再翻其他參考書,就可以逐步吸收。本書就是具有這個特色。從名詞說明、名詞定義、到整個的應用範圍,作者幾乎是用盡所有方式,一點一滴,帶領著進入IT治理殿堂, 然後開始廣泛探討。例如,第三章「IT治理觀止」,為了「治理」這個名詞,書中一開始即大量引經據典,然後慢慢說明,帶入「治理」的意義。對於我這個喜歡從定義、定理開始的人,幾乎是立即愛上這樣的編排。
除此之外,第四章「從『香菜效果』到實質效果:董事會與高階主管在IT治理議題上的責任問題」,從我們最熟悉的公司治理開始談起,進而談到IT治理,並定義出關係圖。這給予兩者間,很明顯的主從關係。同時在同一章中,兼論到企業董事會成員中,通常真正深入懂得 IT內容的人不多,因此也提供董事們,藉由其他方式,來了解問題及執行。
書中引用很多國內外大公司案例。起先我也覺得應該是國內外大企業, 才會用的到的地方。但到第六章「IT治理補遺」,書中闡述中小企業的IT治理與IT的外包治理相關方面的作業,才進一步了解,其實IT治理是不分企業大小均可以實施,只是方式會不一樣。這一章節,是佔台灣大多數的中小企業值得參考的地方。
當然其他各章節,都有獨到之處,也都看的到作者苦心收集與撰寫,為IT治理推波的努力。最後在第七章「IT治理的漫長且艱難的旅程:挑戰與回應」,如同眼盲詩人荷馬(Homer)所作史詩Odyssey般,應該代表他內心「一段長途飄泊或漫長探索的過程」。
這本書為台灣 IT 治理開啟新的一頁,帶領大家一起踏入新的殿堂,一窺IT治理的內容。期待在更多董事了解下,將 IT 治理慢慢納入公司治理的一環。更期待上市櫃主管機關,藉由本書的付梓,未來有機會逐漸提倡IT治理的觀念,進而能導入成為公司治理的一環。
IT治理苟日新又日新
沈金祥
今年七月上旬個人應日本網屋邀請,於第四屆金融/保險業界IT控管研討會中主持並報告,如何強化金融業界網路安全應對處理與GDPR規範。會後廖如龍教授與個人就GDPR相關問題進行廣泛意見交換,當下我對他認知並深入研究GDPR議題之諸多看法時,極為驚豔。又談及企業如何應用資訊科技進行企業治理,提升經營績效時,對渠的資訊專業與推廣應用熱忱更是敬佩不已。故當渠邀請個人為新書撰寫序文時,隨即深感榮幸地答應他的美意。
個人於公務機關,從事資料蒐集處理分析應用的統計業務、會計事務及資訊管理應用工作前後約35年,深確瞭解資訊及其對機構達成營運目標之重要性。資訊即時應用,是一堆寶;不用,隔夜就變成草,誠可謂「可憐金玉質,身陷沼泥中」。慶幸的是,近年來國內企業界大都已深知資訊的重要性,知道分析資料應用於決策過程,並有自行蒐集客戶資料,進行處理利用者。惟於民國 105年個資法實施後,如何有效保護個人隱私資料,成為企業必須依法善盡保護個人資料的職責,也是 IT 治理的新挑戰。
有鑑於資訊科技管理涉及廣泛的IT專業與經營實務經驗,因IT產業日進千里,管理用應方法日新月異。現今能集其大全之專業人才尚屬有限,若能有相關工具書本公諸於世,縱然從不同角度、專業領域提供技術或經驗,供從事本項工作者、相關企業管理學者、或有志之士研讀分享,以為知識累積傳承之貢獻,應是國家及業界之福。日前,有幸拜讀廖教授渠新書 -企業資治通鑑(企業資治通鑑)-忽有日新又新的快感。因渠除擁有IT應用管理之最新專業知識、豐富教學與實務經驗外,本書內並旁徵博引我古典文學,將相關文獻與IT科技管理融合成一體,相互輝映於日常生活,與企業資訊經營管理上。
職是之故,個人樂於推薦-企業資治通鑑(企業資治通鑑)-乙書。因依個人閱讀後淺見,歸納本書具有專業有趣、知識周延、及實用時效等特色。最後, 僅以下列七言詩句,綜合個人對廖教授新書之祝賀,並為本序言之結語:
企 足而待終自 如
業 界官學踞蟠 龍
資 訊科技齊施 教
治 理企業均傳 授
通 達資安氣象 新
鑑 往知來是奇 書
必 讀經典為之 誌
讀 得日新又新 喜
資治通鑑的古今智慧
蕭瑞麟
如龍兄是廿多年老友,聽聞他要出書,將畢生的經驗分享給讀者,是一件令人興奮的事情。這是他在「資訊」方面的第一本書,但是裡面包含的卻是他多年的體驗。他的經歷基本上是資管系的人生勝利組,由 IBM、Oracle等跨國公司,到富士康、中小企業的台灣公司,他都擔任過資訊長,所以對於資訊管理與治理的大小問題,他都處理過。也因此,收到書的初稿很期待了解他過去這些年來是如何處理這些「資訊」問題。
書名一看就知語出雙關。如龍兄不僅是個科技人,也是個文青,很喜歡歷史典籍。《企業資治通鑑》,談的不是司馬光寫的歷史興替,而是資訊系統的管理與資訊部門的治理。「管理」關心的是營運問題、操作手法、工作實務;而治理關注的卻是制度建立、組織協調、資源調度。這本書 中除了如龍兄的經驗,還整理了資訊科技治理/資訊治理的相關學術文獻,更揉入許多歷史典故。這頗有現代資管司馬光的架勢。
書中包羅了資訊生態、資訊足跡、科技價值、資訊科技治理(IT governance)、資訊風險管理、資訊外包、董事會的角色、資訊治理(Information governance)等議題。這些都是資管重要議題,如龍兄旁徵博引,加入自己的看法,相信資訊主管必能可以獲益良多,省去不少摸索的時間。這本書帶給企業的不只是管理的新作法,更是治理的新觀念。未來,資訊科技治理/資訊治理的議題會更形重要,關注必須要提升到戰略層面,而不只營運層面。《企業資治通鑑》給的不只是一般的評鑑工具書,讓資訊人有專業的操作依循,更是一部通鑑,讓我們去省思資訊治理的歷史意義,並從這些意義中昇華出管理的智慧。
作者序
以「資治通鑑」為名,一語雙關,古今輝映
廖如龍
本書取名「企業資治通鑑 (企業 IT 治理)」,有三個考量:
其一, 本 書 以 資 訊 科 技 治 理 (Information Technology Governance, IT Governance,簡稱 IT 治理)為主軸(見第三章),以資治通鑑為名,觸及久蟄的「資」料治理,浮現的「資」訊治理、數位治理等議題(見第七章),可說是無奈,也是一個轉身,故意一語雙關,讓讀者諸君產生古今輝映與期待,亦即以「資治通鑑」為名,為藥引,引讀者進入一個「資訊科技/資訊/資料治理的世界」。
其二,書名加括號是一種擔心,怕引人望文生義,以為本書是一本企業史書,也納悶不知它如何和企業及lT關聯起來,故以「企業 IT治理」加上括號點出本書旨趣。
其三,本書也有企業史書的剪影,也是很多人熟悉的景況,譬如在1997 年的一個清晨,嬌生公司(Johnson & Johnson,J&J)CEO
拉森(Ralph Larsen),賦予新任資訊長(CIO)新使命後,以IT治理旅程三部曲來回應,分別是對校準的挑戰、分權化演化到聯邦式IT治理、IT治理取得差異-IT治理能力的增長。
寫作動機
過去任職 IBM、Oracle 等外商期間觀察及參與資訊系統導入,以及負責多家知名公司資訊副總或所謂的資訊長(CIO)多年後,又回到學術領域沈浸與思索「從前種種」,當我 2007 年第一次在博士班聽到國內金控 IT治理個案時,其情境與挑戰有「似曾相識」感受,十多年來經不斷鑽研,對其內涵由糢糊的印象,而豁然開朗,心領神會,發現它原來是作為CEO、CFO、CKO、CIO、CSO 等C字輩企業高階主管的工具箱,驚覺要是更早摭拾一點它的機制及最佳實踐框架,在CIO的職涯,將更得心應手; C字輩高階主管在互動之間形成共識,將IT治理安排、IT結構和期望的行為、IT治理機制、IT指標和問責性(見第三章「摩根大通銀行的IT治理實例」)結合行之有年的策略地圖,甚至360度績效考核,使企業績效目標與IT指標和問責性相連貫,則成效更為可觀;所謂「昨夜江邊春水生,艨艟巨艦一毛輕。向來枉費推移力,此日中流自在行。」,企業種種IT倡議就如同是艨艟巨艦,企業IT治理就如同是江邊春水生。
經多年來的反思,我想起一個傳說中的故事:德皇威廉二世(Wilhelm II) 因一戰失敗而退位後,讀罷《孫子兵法》後長歎:「如果早幾年讀到此書,就不會有這樣的結局了。」(1)他被深深震撼的,一定是開篇第一句話:「兵者,國之大事,死生之地,存亡之道,不可不察也。」(2),「兵者」即「戰爭」;就像很多企業未能選擇可管理的一系列IT優先事項,險些釀成災禍,或 IT專案失控的致命吸引力,導致災難而「動搖國本」,譬如1999年糖果商好時公司(Hershey Foods),一個失敗的電腦專案,股價連番下跌超過 8%,成為華爾街日報的頭版而聲名狼藉;又譬如FoxMeyer Drug為美國第四大藥品經銷商,市值50億美元。為了提高效率,導入SAP和自動倉儲系統,最後此一投資1億美元的IT專案以失敗收場。 失敗的原因是似曾相識的場景。首先,FoxMeyer設置了一個不切實際的雄心的時間表 - 整個系統要在18個月內實施。 其次,倉庫的員工受影響 - 更準確地說,受到威脅 – 至少可以說, 不支持該自動化系統專案。在三個現有倉庫關閉後,第一個自動化的倉庫受到破壞的困擾,庫存遭工人損壞,而且訂單不及填補 ; 最後,新系統的效率低於它所取代的系統:到1994年,SAP系統每晚僅處理10,000筆訂單,而舊主機的訂單處理為420,000筆。終於使它進入申請破產,落得於1997年以8千萬美元的價格賣給了競爭對手的災難;(3,4)對於「兵者」應抱持戒慎恐懼態度,當接觸到「IT 治理現象」後,應有類似的長歎吧!
今日企業和IT已是形影不離,甚至相當程度,不依賴IT和IT的功能,無法執行企業功能;IT投資在企業資本支出中已列居前茅,IT投資成效不彰IT專案失敗的風險也居高不下,失敗案例或陷入膠著的IT倡議,時有所聞, 正侵蝕組織內部的財富;亦即,太多的IT倡議未能達成公司預期,無法實現他們的IT投資的真正價值。
很難確定IT治理的重要性何時變得清晰。它不像一陣閃電般襲擊,會讓我們首先震驚,但後來看得更清楚。而是逐漸的,學者們在與上百位經理人對話,以及多年的研究後,確信 IT治理是IT產生企業價值的最重要因素。(5)
然而實務界討論IT治理稀稀落落;有些企業組織內資訊部門被視為一成本中心,將其定義為花錢的部門不能為企業帶來價值;媒體也偶偶有報導,但通常見樹不見林,政府單位如金管會證期局,談公司治理也以設立審計委員會為高標準,一切好像海水拍岸,幾許白浪,又歸於平靜。學界的討論激不起太大的風潮,似乎止於象牙塔,孤芳自賞,本書就在這種情境下動筆。
本書提供了什麼?
寫作期間,訪談竹科園區運輸業者CIO Eric,告訴我說:「現代的主管誰在意資治通鑑説什麼,只在乎能幫我解決什麼問題,帶來多少好處,還有跟得上潮流嗎?」; 化妝用製瓶/軟管上市公司 CEO Micheal 認為IT治理的議題,難以燎原,牽涉到不同階層對「治理」的「利益衝突」;也有光電廠的好友鼓勵說:「現在資訊管理以不足以表彰資訊的威力。」; 好友黃旭輝說:「早期ERP時代,很少考慮這些問題。」,本書旨趣正好可以回答這些疑惑。
IT和企業的校準(alignment)是一個歷久不衰的老議題,IT組織結構、回應靈敏的IT基礎設施、企業流程重設計、降低成本等等,也是業界的老生常談。乏善可陳的 IT績效,譬如失敗專案或中止專案、錯過了最後期限、預算超支,和不佳的投資報酬率(ROI)。越來越多的這些低 IT成效的指標,就需要 IT治理作為支持績效的手法與載具。
組織內 IT 治理的挑戰一幕幕在上演,如第三章提到 1997年的一個清晨, 嬌生公司(J&J) CEO拉森(Ralph Larsen),賦予新任資訊長(CIO)新使命:在全球化和分權化的文化上,達成標準化系統、削減 IT 成本、提高 IT價值、使IT與企業相校準。面對如何指導、組織和控制IT,以實現企業及其背後關鍵支持者(constituency)的價值等議題,這也是企業熟悉的景況。
IT治理它描述著相關決策的決策權與問責制的架構,以追求使用 IT 的適當行為。IT治理不是用於單一專案與決策的「管理」,IT治理也不等同於資訊管理。
IT治理是考量組織的IT權責架構型態,與關心在特定IT權責架構型態下,運用IT是否可以達成組織最終的績效、目標與策略,以確保對IT的投資價值。IT 治理不能孤立來考慮,因為它連接到其他關鍵的企業的資產(如財務、人力資源等)的治理倡議。進而連接到公司治理和使用IT上的期望行為。
幾乎所有企業皆有 IT 治理,差別就在於有效治理的企業會主動設計一套 IT治理機制(如委員會、預算程序、專案認可、IT 組織架構、使用單位費用轉嫁等等)以鼓勵與公司願景、策略、價值、文化相一致的行為;當適當行為改變,IT 治理行為亦隨之改變。
本書涵蓋「資」訊科技治理為主,也觸及久蟄的「資」料治理、浮現的「資」訊治理、數位治理等議題以及新興應用系統,譬如行動商務、社群媒體、物聯網、雲端運算,顯著地增強了產生大量資料的能力,挑戰IT治理涵蓋面的不足,綜覽資料生命週期,資訊治理(Information governance) 涉及資訊的評估、產生、收集、分析、分配、存儲、使用和控制資訊的環境建立和機會、規則和決策權,包括記錄管理、隱私規範、資訊安全、資料流和資料所有權以及資料生命週期管理;同時,資料治理(Data governance)考慮適當地處理資料作為公司資產,其框架包括五個相互關聯的決策領域,填補了IT治理未完成的拼圖。於再版之際,在第六章第三節加入「家族企業的 (IT)治理」及第七章第三節加入「未竟的旅程:加強IT治理的機制,回應數位轉型山雨欲來的挑戰」, 前者提到家族企業為數眾多且對國家經濟有其重要性及影響力,能否走出「家族治理是否矛盾?」(Is family governance an oxymoron?)(6) 的質疑,成為百/千年企業;後者提到企業在追求如日之升的「數位轉型」時,而別忘了千里之行始於足下。又於再版之際,回應讀者的期待,特別央請資訊界前輩, IMA創會理事長 李良猷先生導讀,透過其恢宏眼界,帶領讀者進入 IT治理的世界。
溫情滿人間
IT的影響力以及新興IT應用洶湧澎湃,無人可置身度外,作者憑著所學不留白的信念,站在前人肩膀上,如春蠶吐絲般,描繪 IT治理的樣貌,迻譯、歸納、演縯、思辨成一愚之得,使成一知識體系。卑微的願望是期望站在科技、人文、歷史的交會處,提出供來者討論IT治理的框架。
本書之成要感謝的人很多,首先要感謝修博士學位時指導教授 周子銓當年的醍醐灌頂,他總是站在資料萃取與理論鋪陳相互印證的制高點,點出觀點。讓我終於同意明白何以 Kurt Lewin 會說「沒有比好的理論更實際的了。」 (There is nothing so practice as a good theory.) (6)
也要感謝不少好友及前輩,如Bath大學教育學博士 林民程在很多關鍵譯筆及政治社會思想觀念的釐清;財會專家 林民頤在會計品質沿革上的指導; 微程式公司稽核副總 盧建忠在本書會計用語上的建議、校勘,不改其內稽、內控本色;統一企業CIO陳景星、前陽明海運CIO 陳文振、前勝華科技CIO 陳信僥、前中友百貨CIO 劉松澧、前國賓飯店CIO邱漢洲等人接受訪談或提供不同觀點的建言;好友 吳文宗及 林羿佑協助相關期刊的搜尋;前IBM同事 單建成的諮詢、釐清一般管理及專案管理上的用詞/譯名,及IT服務管理顧問 許明治提供 ITIL 的諮詢與洞見;好友 劉幸、蘇哲民、郭德慶在翻譯上用詞遣字的切磋,以求信、達、雅兼顧;前IBM同事 林榮吉協助難度較高,優雅流暢弧線的繪製;同事 張滿源提供必要繪圖上的協助,趙正敏及林廷軒兩位教授,就參考書目格式提供很多指正;好友 孫福春仔細校勘/排版,指出誤植或用詞不當之處,我常讚嘆他「草枯鷹眼疾,好眼力!」,再版時,重新排版,就內容呈現、視覺效果,費心斟酌,在此致謝意。最後,要感謝好友陳法顯對第一版編排及可讀性提出很多針砭,讓改版後更搭襯,更有質感。
2018 年 3月15參觀 陳宗書經理服務的洽富實業後,IMA常務理事 楊文昇談到觀察逢甲大學董事會運作,在授權與牽制上,靈活與卓越的表現,也給了很多靈感,好友 傅志忠博士、IMA創會理事長 李良猷、遠通電收CEO 張永昌,輔大教授 葉宏謨對書名提供靈感與建議。
此外,要感謝成霖企業董事長 歐陽明,前玉晶光財務長 陳志仁;前內政部參事兼資訊中心主任沈金祥;實踐大學副教授 洪國興,也是中華民國資訊經理人協會(IMA)現任理事長;蕭瑞麟,政治大學科技管理智慧財產研究所教授等人慨然應允撰寫推薦序,既可當本書的導讀,又讓本書「蓬蓽生輝」。
當然,也要感謝林文隆先生介紹、黃榮華先生願意協助付梓,尤其在出,版事業如此艱辛的時候。
以文會友
企業組織的IT治理是IT管理和策略性IT領導的新領域,仍是處在成形中的學門。數位革命洶湧澎拜,對於許多企業來說,企業需要更快速下決策,因此,也增加了治理的壓力,如歐盟GDPR隱私立法的巨大變化, 號稱史上最嚴格的個資保護規則,IT風險已影響企業經營,一罰就是集團全球營收4%,另一方面GDPR的實施可以大為改變大數據分析的方式,勢將影響 IT 治理的景觀,前景可說目不暇給。
筆者才疏學淺,不揣淺陋,雖本書構思多年而問世,仍不免有舛誤之處,作者自當負全責,盼讀者諸君,多所賜教以匡不逮。
歡迎讀者諸君,對本書所探討的各項議題,來函互相切磋,以文會友,來函請寄:homerhomer.liao@gmail.com。
廖如龍 謹識 2019 年仲夏
參考文獻
1.Ota, F. (2014). Sun Tzu in Contemporary Chinese Strategy. Joint Forces Quarterly, 2, 76-80.
2.喬良。(2015)。血腥屠場外的殘酷戰爭-「一戰」筆記。經濟導刊(1):90-96。
3.McAfee, A. (2006). Mastering the three worlds of information technology. Harvard Business Review, 84(11), 141.
4.Jake Widman (2008). IT's biggest project failures & what they teach us. Computerworld
4.Weill, P., & Ross, J. W. (2004). IT governance: How top performers manage IT decision rights for superior results. Harvard Business Press.
5.Martin, H. F. (2001). Is family governance an oxymoron?. Family Business Review, 14(2), 91-96.
6.Nonaka, I., & Takeuchi, H. (1995). The knowledge creation company: how Japanese companies create the dynamics of innovation.
天天爆殺 
今日66折 
博客來
博客來
博客來
博客來
博客來
常見問題
線上客服
客服信箱
