行政院國家科學委員會補助專題研究計畫 □ 成 果 報 告
█期中進度報告
以制度理論探討臺灣公私部門資訊科技治理模式(1/2)
計畫類別:█ 個別型計畫 □ 整合型計畫 計畫編號:NSC 95-2416-H-011 -016 -MY2
執行期間: 95 年 08 月 01 日至 97 年 07 月 31 日
計畫主持人:周子銓 共同主持人:
計畫參與人員:
成果報告類型(依經費核定清單規定繳交):█精簡報告 □完整報告
本成果報告包括以下應繳交之附件:
□赴國外出差或研習心得報告一份
□赴大陸地區出差或研習心得報告一份
□出席國際學術會議心得報告及發表之論文各一份
□國際合作研究計畫國外研究報告書一份
處理方式:除產學合作研究計畫、提升產業技術及人才培育研究計畫、
列管計畫及下列情形者外,得立即公開查詢
□涉及專利或其他智慧財產權,□一年□二年後可公開查詢 執行單位:國立台灣科技大學資訊管理系
中 華 民 國 96 年 5 月 31 日
中文摘要
企業風險管理是目前企業的最重要的研究議題之一,而資訊科技治理被視為企業界公 司治理的一個要項。組織的資訊科技治理代表著 IT 相關決策的決策權與責任的架構,以追 求使用 IT 的適當行為。但是資訊科技治理與一般公司治理結構連接上卻相當薄弱,且大部 份的研究都停留在提出資訊科技治理的觀念性架構,而缺乏對實務的相關研究。特別是目 前缺乏以臺灣科技產業為基礎來探討資訊科技治理的研究,也缺乏以臺灣公私部門資訊科 技治理模式差異比較的研究。本研究以質性研究方法中之個案研究,來瞭解台灣科技產業 與公務機關兩種不同環境下的資訊科技治理模式,除了以實務觀點來研究資訊科技治理 外,主要希望藉由社會學的制度理論為基礎,研究台灣科技產業與公務機關的制度環境如 何影響到資訊科技的權責架構,並瞭解不同制度環境的最適的資訊科技治理模式。初步研 究發現,公私部門在監督單位、考核機制實質資訊治理的監督的效果卻有明顯差異。本研 究將進一步蒐集相關資訊與個案,並深入研究制度的影響。
關鍵詞:資訊科技治理、制度理論
Abstract
With the growing emphasis on enterprise risk management, IT governance is becoming an increasingly important issue of corporate governance. IT governance represents the framework for decision rights and accountabilities to encourage desirable behavior in the use of IT. Effective IT governance helps ensure that IT supports business goals, optimizes business investment in IT, and appropriately manages IT-related risks and opportunities. However, the links between IT governance and corporate governance are rather weak. In addition, the empirical studies for IT governance have not yet been convincingly demonstrated. In particular, this study will employ the institution theory in examining the impacts of institutional environments on IT governance modes in terms of both private and public sectors. By employing case study method, the study finds that the IT governance structures in private and public sectors are different in their nature, mechanisms, and outcomes.
This study will collect more cases and focus on the influences of institutional perspectives.
Keywords: IT governance, institution theory
前言
在美國安隆能源公司財務危機事件後,公司治理(Corporate governance)開始受到重 視 , 大 眾 希 望 公 司 董 事 會 能 落 實 經 營 者 的 責 任 , 促 進 經 營 績 效 及 保 障 投 資 人 權 益
(http://www.sfb.gov.tw)。因此企業風險管理是目前企業的最重要的研究議題之一,此 一發展也導引出對於以企業功能別為主的個別治理架構的重視與重新評估(Vlahakis et al., 2004)。所以美國的國際資訊系統稽核與控制協會(Information Systems Audit and Control Association, ISACA) 針 對 強 化 公 司 治 理 的 趨 勢 著 手 討 論 資 訊 科 技 治 理 (IT governance)議題,將「資訊科技治理」視為企業界公司治理的一個要項。組織的資訊科技 治理代表著 IT 相關決策的決策權與責任的架構以追求使用 IT 的適當行為(Weill, 2004)。
所以資訊科技治理不是用於單一專案與決策的「管理」,而是考量一個組織的 IT 權責架構 型態,與關心在特定 IT 權責架構型態下運用 IT 是否可以達成組織最終的績效、目標與策 略,以確保對 IT 的投資價值。
研究目的
雖然資訊科技在與公司治理的議題上扮演著重要的角色,但是資訊科技治理與一般公司 治理結構連接上卻相當薄弱,且大部份的研究都停留在提出資訊科技治理的觀念性架構,
而缺乏對實務的相關研究(Brown & Grant, 2005)。根據 Weill 與 Ross(2005)在研究全世 界 300 家企業後指出,僅僅有三分之ㄧ的資深的管理者了解他們公司如何治理資訊科技,
但是同一研究亦發現治理的績效與財務績效卻是呈正相關。Orlikowski 與 Barley(2001) 指出 IT 研究者應該瞭解制度如何影響到科技的設計與使用,以深入的理解法規程序、規範 系統與文化架構如何形塑 IT 的設計與使用。所以本研究認為:在談到資訊科技治理時,雖 然 主 要 是 考 量 IT 相 關 決 策 的 決 策 權 與 責 任 的 架 構 以 追 求 使 用 IT 的 適 當 行 為 (Weill,2004),但是「決策權與責任的架構」對於「IT 的適當行為」的影響也應將制度環 境的影響列入考量,如此 IT 相關行為的研究將更有意義。
但是目前缺乏以制度環境來探討資訊科技治理的研究。另一方面,目前缺乏以臺灣產 業為基礎來探討資訊科技治理的研究,也缺乏比較公私部門資訊科技治理模式差異的研 究。雖然公部門組織結構沒有董監事會,但公部門也都有設監督單位。事實上資訊科技治 理方面很少有研究是以政府機關公部門為對象。目前許多公共管理領域學者(例如:Jones &
Thompson,1999)提倡引進與應用企業領域管理關念至公領域,推行所謂之「新公共管理」。
但是資訊科技治理相關的研究較注重企業領域而較缺乏公務機關的相關研究。特別是政府 機關的組織規模龐大、組織階層複雜且人員眾多。如何有效的推動資訊科技治理的過程並 非一般企業環境可比擬。故釐清公私部門組織、文化等差異將有助於公領域借用私領域管 理觀念之推行,且避免觀念的誤植。故本研究認為以臺灣公務機關為基礎的研究,來瞭解 臺灣公部門的資訊科技治理的實務相當重要。本研究擬以個案研究方式,運用制度理論 (Institutional theory)為研究觀點,並分年度分別探討台灣科技產業與公務機關所面臨 制度環境,以瞭解兩種不同組織結構、制度環境與資訊科技治理模式的關係,並比較科技 產業與公務機關資訊科技治理模式的差異。
文獻探討
所謂的「治理」是一個組織性的集體行動,其主要是由結構(觀察有關決策的形成過 程)、控制(運用權力使每一個決定均適用於結構)、程序(結構與控制的實施步驟)所組成的 議題(Prakash & Hart,1999)。過去治理的概念一般都會放在經濟或者社會與政治的領域 上,例如探討國家的經濟和社會資源管理上行使權力的過程,以及政府設計、制定、執行 政策和釋放功能的能力。一直到在談公司治理,希望透過內部及外部的監督管理方法,以 法律及經濟的手段,創造股東的最佳財富。
資訊科技治理係強調資訊科技之組織結構、領導與作業程序,以確保資訊科技能充分 支援企業策略與目標、創造並維護企業經營成果,與企業策略一致(www.itgovernance.org)。
Schwarz & Hirschheim (2003)則強調資訊科技治理為資訊科技關係結構或架構,成功完成 回應企業環境和戰略規則。Peterson(2004) 定義資訊科技治理為分散於企業內部各相關單 位資訊科技決策的責任與權利,定義制定或是監控有關資訊科技決策的過程與機制。
根據 Brown & Grant(2005)的分類,資訊科技治理的研究主要有兩類:資訊科技治理 的形式與資訊科技治理權變分析。資訊科技治理的形式主要探討治理模式,例如是中央集 權或是分權的資訊科技決策制定模式;資訊科技治理權變分析則著重於影響到個別治理形 式的權變因子(例如:組織規模),以瞭解最適合組織的治理模式。所以資訊科技治理係在 使用資訊科技過程中,作為企業對於決策權利和責任框架所需之行為。Weill & Ross (2005) 具體指出資訊科技治理的主要關鍵因素包含:(1)策略性校準:IT 可依照企業策略、組織 與作業流程做校正並提供協同方案。(2)價值傳遞:著重於資訊科技的花費與價值的驗證。
(3)IT 資源管理:強調於知識、基礎架構與合作夥伴。(4)IT 風險管理:包含資產防護與災 害復原。(5)績效衡量:確定上述所提各項均能被徹底的量測。Weill & Ross(2005)進一步 提出評估企業資訊科技治理的四個績效分別是「成本績效」、「資產利用率」、「企業成長」
和「企業彈性」。另安全資訊的需求也是資訊科技治理必須處理和控制的項目(Thomson & von Solms,2005)。
另一方面,North(1990)於「制度、制度變遷與經濟成就」一書中,開宗明義指出,
制度是約束一個社會的遊戲規則。更嚴謹的說,制度是人為制定的限制,用以約束人類的 互動行為。因此,制度構成了人類交換的動機;此處所謂的交換包括政治的、經濟的以及 社會的行為。而制度的組成包括正式制度、非正式的限制與執行三部份,其目的在於減少 不確定性以及降低組織內的交易成本。而「制度化」(institutionalization)是一種程序,
透過這種程序可以使社會事實變成充分地規則化及持續性因而形成制度,這個觀念顯示社 會實務的改變即在於修正既有的制度或創造新的制度形式(Abercrombie et al.,1986)。
制度環境乃是綜合上述之個別制度所形成的一種上位抽象概念。雖然制度在社會學的 研究已經存在許久,但真正將制度理論用於組織研究上則是近幾十年的事。Scott(1995)
指出,在組織研究方面,最先提出制度化程序概念的是 Selznick(1949),他強調特定組 織中的程序,形成一組特殊的價值承諾,而 Stinchcombe(1965)更突顯 Selznick 觀點中 權力的角色,引申認為具有權力的人士可以運用某些機制以保留其在組織中的利益與承 諾。相較於其他組織理論,制度理論並不以效率為組織運作的基本預設,而是以制度化、
正當性與社會鑲嵌(social embeddedness)的概念來解釋組織的現象(Meyer & Rowan,
1977);制度理論企圖彰顯一個組織內部效率的高低並不足以決定該組織的存續,組織是鑲 嵌(embedded)在一個複雜的社會脈絡之中(Granovetter,1985),所以組織處在一個持 續社會建構與制度化的過程裡。
制度理論強調組織乃身受環境影響的開放系統(DiMaggio & Powell, 1983)。制度分析 檢視從外顯的法規到內隱的文化理解等的社會性與歷史性力量如何影響到組織的活動,以 及如何被組織活動所影響(Orlikowski & Barley, 2001)。新制度論認為制度影響政府的公 共政策的原因有四點:(1)制度決定了政府制定和執行政策的能力;(2)制度所提供的機 會和限制決定了政治行動者或經濟行動者的策略;(3)制度決定了政治行動者或經濟行動 者 之 間 的 權 力 分 配 模 式 ;( 4 ) 制 度 界 定 了 行 動 者 的 範 圍 或 行 動 者 如 何 認 知 其 利 益
(Pontusson,1995)。
若以制度理論來看資訊科技治理此一議題時,制度環境類似的組織所採用的治理模式
將產生同構(isomorphism)的現象,亦即組織為了讓組織資訊科技治理模式符合一般的社會 預期,而會使用一般組織採行的架構。這就是制度理論所指出的外生因素成為合適行為的 基礎,也就是理所當然(taken-for-granted)主導了資訊科技治理的設計。
研究方法
研究方法的選擇必須考慮到研究的目的與問題,不同的研究問題所適用的研究方法亦 有所不同。基於此事實與文獻限制,以量化實證的研究典範顯然並不適合,而必須依賴質 性方法。在後續的研究方法設計上亦需考量到如何以有系統且持續的訪談與如何有效率的 整理資料。依據 Yin(1994),單一個案與多重個案適用時機各有不同。選擇單一個案設計 的原因有三:(一)該個案乃測試一個成熟理論的關鍵性個案。這些理論已經具體地說明了 一組清楚的命題,以及這組命題適用的條件。(二)該個案代表一種極端或獨特的個案。(三) 此個案為揭露式個案。然而,多重個案研究是複現(replication)設計的概念,而非抽樣 邏輯,其中多重個案中的每一個案研究被視為複現的個別試驗,用以驗證理論,而當蒐集 的證據與理論有出入時,則做適度的修正。使用多重個案的優點在於多重個案得到的證據,
通常都被認為是較強而有力的,也因此整個研究也較為穩健(Yin,1994)。故本研究擬採 用多重個案研究為主要的研究策略。
初步資料結果 個案一:A 金控公司
A 金控公司與日本某銀行建立策略聯盟,並且自該日本銀行與一規模較小的私募基 金,取得共達新台幣 120 億的資金,挹注其受壞帳影響的個案金控下子銀行,促使個案金 控集團整體財務結構的改善。A 金控指出,這筆資金引進,將期下 A 銀行從原來極度不足 的資本水準,提升成為第一類資本比,以及整體資本適足率分別為7.2%以及 10.2%的健全 水平。這筆資金亦緩和 A 金控公司的雙重槓桿比率至 118%的可接受水準。A 金控的集團 總和資本適足率目前為128%,高過法定要求的 100%。A 金控集團與日本銀行的策略結盟,
將使該日本銀行有機會將其良好壞帳處理的能力發揮在個案金控的銀行體系,有助於兩個 集團的獲利提升。A 金控受「大股東的勢力」的問題影響不大,在金控成立過程中,完全 可以以金控的角度來設計監管機制、權力及責任歸屬,並強調資訊流通跟協同機制的設計。
而此優勢不僅能發揮金控跨子公司產生良好的溝通於合作機制,也能符合金融與公司相關 法律規範。A 金控認為台灣的銀行業其最大的問題都是財務結構問題,就是三大結構,人 才結構、IT結構、財務結構。針對 IT 的問題,AJ 金控提出幾項具建設性的作法,已獲 取 IT 的成效與達成資訊科技治理的目標。AJ 金控個案受訪者就指出:「A 金控權限五級,
組織三層,RM(業務關係)他就是虛擬的資訊處主管,在它上面有三個委員會,在RM的 上面有三個委員會。一個委員會就叫IT working committee,比如說是法金跟法金的R M在談策略的時候,牴觸了IT的 strategy 補給線策略。這時候,通常 RM 就會去找執行 長說我要招開 working committee,就成立一個IT的工作委員會,可以在這工作委員會 裡把那一個工作 priority 拉高,如果有衝突,就上 working committee 去討論往上層,那 這就是IT working committee。那他的再上一層就叫IT committee,那IT committee 就是決定IT的策略專案。」
但是,A 金控認為「資訊其實只是扮演一個加速器」,如果方向錯了,他就會跑去錯的 地方去,資訊本身並沒有方向感,資訊本身只能幫助他把工具提升。例如在核心銀行系統 的建置過程中,A 金控就特別強調:台幣系統跟外匯系統來分系統架構是錯誤的架構。台灣 隨著金融業的開放程度,剛開始可以做台幣,能做外匯的沒有多少,接下來再做外匯系統。
但資訊系統卻不能以台幣或外幣的思維來設計,現在金融商品系統應該以個金的資訊系 統、法金的資訊系統、投資管理的資訊系統、與財務操作的資訊系統來整合與設計,來能 與組織發展的競爭策略配合,這是才是 IT 策略與組織策略的配合。
個案二:F 金控
F 集團下金融事業體系以旗下 F 人壽為主體,整合原有的銀行、產險、證券事業成立 金融控股公司,其金融控股公司以 F 產險為主,後陸續成立 F 銀行、F 票券公司、F 人壽、
F 證券、F 投信等多家金融相關產業,若與其它 13 家金控公司比較,F 集團是相當完整,
該金控公司並入選中華徵信所評比 2003 年版台灣最有潛力的集團企業之一。F 金控於 2002 年 8 月初擊敗眾多競爭對手成功納入獲利良好的 T 銀行,T 銀行與 F 商業銀行同為 F 金融 控股公司旗下百分之百持股之子銀行。在「金融商品或是服務」上, F 銀行認為國內金融 業新的商品或服務很容易被對手模仿複製,沒什麼專利權;另外資訊科技如果過份投資到 某一個程度,就認為一定會有效益出現,那到不一定,後面其實是靠營運來繼續維持;這 對產生綜效以及創造顧客的價值跟滿意度是非常重要的。另外,很多創新的東西其實是趕 時效的。所以資訊部門在作法上通常分幾個階段,比如第一階段先讓新產品在市場上推出,
透過人員熟悉來搭配電腦,第二階段再來補強。
在「流程設計與營運」上,F銀行主要看兩家銀行合併流程要怎樣縮短、怎樣能有效率;
所以在整個流程營運設計上本銀行投入的程度算高。同時注重客戶滿意度。因可能流程設 計會帶來顧客滿意度會增加,綜效也是一樣。F銀行去年(2005年)幾乎花了一整年在做此方 面工作,高階已指示因為去年做的不錯今年要繼續。而在營運流程方面,盡量讓一些可做 服務分享的部分,盡量集中到中心再做。譬如,整批匯款或是票據處理都是在營運作業這 邊做,現在可能開戶前面的櫃台已經慢慢讓此工作盡量簡化,改為以銷售為主或是以一些 比較快速簡單的服務為主。所以像開戶的手續等都直接少瞄後傳到後台作業中心,其責把 這些資料全部做建檔,使整個流程的營運上面效率提高。
F 銀行對 IT 即時性(real time)的要求標準上,認為證劵是遠高於銀行、保險。F 銀行 有一個營運長,下面有資訊四個部跟兩個營運作業單位(一個客服、一個是後勤的業務服 務),這跟金控的組織完全一樣。在資訊部門組織的架構上,F 銀行已由非集權式轉為到集 權式的架構。目的是希望有整合跟綜效。建立關係經理人(RM,Relationship Manager)制 度,就是資訊人員要走出去要了解業務的需求(不能像以前是在部門裡等事情來)。基本上,
此新制度分兩面:(1)內部管理面是透過組織的專業分工及建立一套標準的機制予以達成 (2)業務面是由資訊部門的關係經理人在對外,就是會對到每一個事業群的主管。針對業務 產生新的想法與業務,資訊部門就要去支援。對此資訊專案要能將其所需的成本估出來,
再經由高階主管審核及排定執行地優先順序。
個案三:財政部 B 區國稅局
財政部 B 區國稅局成立之初,係將改制前高雄市及高雄縣小港鄉之國稅稽徵業務收回
自徵,並陸續在各行政區及加工出口區分設 11 個稽徵所。以資安管理為例,該單位在導入 資訊安全管理系統委外專案時,主要是根據「行政院及所屬各機關資訊安全管理要點」另 外,亦依據財政部訂定之「財政部暨所屬機關(構)資訊安全管理準則」。至於過程的考量,
包含在與委外顧問制定資訊安全政策時,主要傾向於考量各單位應該要做什麼?各單位應 該要配合的部份有那些?例如受訪者提到:「以本局而言,高階管理階層負責資訊安全之 管理審查與督導、企劃科負責資訊作業內部稽核、政風室負責相關資訊安全作業稽核、資 訊科負責資訊安全管理之規劃與推動、人事室負責人員之進用與考評、秘書室負責門禁管 制與一般庶務管理(例如,門禁監控、採購與委外廠商契約之訂定、水電、通訊及空調設 施等)、其他業務單位負責本身業務之資訊資產管理等。各單位都有本身需要擔負的權責。」
但是本研究發現雖然某區國稅局具有三個監督、考核的單位,雖然應該「瞭解資訊安 全議題」,但是如前所述,B 區國稅局資訊科要推廣資訊安全計劃, 91 年 9 月即成立「資 訊安全推行小組」,成為負責推動某區國稅局資訊安全的工作。所以監督單位雖然瞭解資 訊安全議題,但是監督單位只能提供政策指引,在實際個案推動資安系統上沒有直接的關 係或幫助。以「行政院國家資通安全會報」而言,受訪者提到似乎較強調「辦理資訊安全 重大事項的宣導與協助資訊安全技術問題」之解決:「在本局推行及導入相關資訊安全委 外專案時,其中「行政院國家資通安全會報」由於與 B 區國稅局並無直接隸屬關係,而且
「行政院國家資通安全會報」主要為辦理資訊安全重大事項的宣導與協助資訊安全技術問 題之解決,因此在資訊安全管理系統專案中,並無直接進行督導之事實。」
而第二個單為位「財政部財稅資料中心」似乎較強調「作業考核」,至於第三個單為 位「行政院主計處電子資料處理中心」更是不具有實質與國稅局引進資安系統有關。三個 單位並不是 B 區國稅局直屬機關,故缺乏實質資訊安全治理的監督的效果。所以公務機關 的監督單位,常依政府法規而成立,造成多個監督單位的情形,但是缺乏整合的功能,且 公務機關所監督機制會受到(1)從屬關係、(2)業務功能與(3)僅止於外部稽核服務,故缺乏 實質資訊治理的監督的效果。
計畫期中成果自評:
總結來看,公私部門在監督單位、考核機制實質資訊治理的監督的效果卻有明顯差異。
現存公務機關的監督單位,常依政府法規而成立,造成多個監督單位的情形,但卻缺乏整 合的功能,因此也就但缺實質資訊治理的監督的效果。如果以制度理論的觀點分析時,當 組織受到制度環境影響越大時也意味著組織在談到如策略性校準、價值傳遞、IT 資源管理、
IT 風險管理與績效衡量時缺乏因組織差異所產生的獨特考量。本研究將進一步蒐集相關資 訊與個案,並深入研究制度的影響。
參考文獻:
Abercrombie, N., Hill, S. & Turner, B. S. (1986), The Penguin Dictionary of Sociology, Third Edition, Penguin Books.
Brown, A.E. & Grant, G.G.(2005), “Framing the frameworks: a review of IT governance research”, Communications of the Association for Information Systems, 15, pp.696-712.
DiMaggio, P. & Powell, W. (1983), “The iron cage revisited: institutional isomorphism and collective rationality in organizational fields”, American Sociological Review, 48,
pp.147-160.
Granovetter, M. (1985), “Economic action and social structure : the problem of embeddedness”, American Journal of Sociology, 91, pp.481-510.
Jones, L.R. & Thompson, F. (1999) Public Management: Institutional Renewal for the Twenty-First Century, Stamfor, CT:JAI Press.
Meyer, J. W. & Rowan, B. (1977), “Institutionalized Organizations:Formal Structure as Myth and Ceremony”, American Journal of Sociology, 83 (2), pp.340-363.
North, D.C. (1990), Institutions, Institutional Change, and Economic Performance, Cambridge University Press.
Orlikowski, W.J. & Barley, S. (2001),“Technology and institutions: what can research on information technology and research on organizations learn from each other?” MIS Quarterly, 25(2), pp.145-165.
Peterson, R. (2004), “Crafting information technology governance”, Information System Management, 21(4), pp.7-22.
Pontusson, J. (1995), “From comparative public to political economy-pitting political institutions in their place and taking interests seriously”, Comparative Political Studies, 28(1), pp.117-147.
Prakash, A., Hart, J., 1999. Globalization and Governance. Routledge, London.
Schwarz, A. & Hirschheim, R. (2003), “An extended platform logic perspective of IT governance:
managing perceptions and activities of IT”, Journal of Strategic Information Systems, 12, pp.129-166.
Scott, W. R., (1992), Organizations: Rational, Natural, and Open Systems , 4th, London:Prentice-Hall.
Selznick, P. (1949), TVA and the grass roots , Berkeley: University of California press.
Stinchcombe , A. L. (1965), Social Structure and Organizations , In March, J. G., eds, Handbook of Organizations, Chicago: Rand McNally.
Thomson, K. & von Solms, R. (2005), “Information security obedience: a definition”, Computers and Security, 24, pp.69-75.
Vlahakis, P.A., Wintner, J.M. & Cammaker, J.R. (2004), “Understanding the Sarbanes-Oxley Act of 2002”, Corporate Governance Advisor, 10(5), pp.13-17.
Weill, P. (2004), “Don’t just lead govern: how top-performing firms govern IT”, MIS Quarterly Executive, 3(1), pp.1-17.
Weill, P. & Ross, J. (2005), ”A matrixed approach to designing it governance”, MIT Sloan Management Review, Vol.4, No.2, pp.26-34.
Yin, R., 1994, Case Study Research: Design and Methods (2nd ed.), Sage publication.
