董事會如何實現資訊治理之透明性: 對當前 COBIT 5 評估管理監督實務過程之研究

在吾人日益不斷成長中之數位經濟體系，資訊治理已變成組織成長、持續 、支撐的基本要素，成功之組織運作係以潛在之數位創新為手段，和瞭解管理風險以及知道科技之侷限性。¹

以往董事會之運作得以委任、忽略、或規避資訊治理之相關決策，但是來自新科技發展所造成之破壞性發明( 例如：雲端、物聯網、大數據等)，已逐漸受到董事會階層之關注，新的研究結果不斷出現要求公司董事會階層應多關注於公司之資訊治理事務，就數位組織而言，假若董事會階層不涉入資訊治理，² 被證實將會導致十分嚴重之後果。此外尚顯示企業科技資訊治理之能力將足以驅使公司董事會超過80% 以上之董事會成員們 (BODs)³ 皆參與其中。

本文中聚焦於董事會成員們在公司企業資訊治理(GEIT) 上所扮演角色，有關共同創作之研究計畫報告係由Antwerp管理學院、Cegeka、安侯建業和三星等單位所共同完成，2015至 2018的研究計畫探究了當代董事會成員們涉入處理資訊治理之最佳實務和能量，實現潛在科技創新，和確保控制相關之治理風險。為提供董事會成 員們一項達成他們資訊治理之明確路徑，相關之研究計畫目標致力於如何強化董事會成員們處理資訊之治理，同時獲得真實終極終點至終點之企業資訊治理結果。

本文係屬已完成之調查研究報告之一，特別是著墨於非執行董事在他們年報中如何報告其有關資訊治理之課責性問題，如此一來，他立刻與 COBIT 5之評估管理監督(EDM)過程有關，EDM05之過程在確保公司利害關係人對資訊之透明化，預期希藉董事會確保公司資訊治理之訊息，對公司利害關係人是有效且及時的，同時建置好增進企業營運績效基礎之報告。⁴

本文研究所顯示者，不論所扮演之角色如何擴大，但是有關資通訊治理之揭露程度仍屬侷限性，此外多以不夠主動之元素作為焦點之所在，例 如在回應與資通訊有關風險事件之發生上，相關報告多集中於高度資通訊密集之部門，以及觀察公開掛牌之公司企業等，就後者而言，其組織擁有控制數位化資產較多者可能更會受到投資者之青睞。

本文研究引導出一項理念，那就是當所有企業間對資通訊之依賴程度不斷增加，那麼在大多數之年報非財務面之資訊部分中，其公司資通訊之治理公開揭露之程度可能會變成一項非常具關鍵性之部位，因此董事會成員們開始逐漸增加揭露資通訊治理之動機，同時也顯示出較大之期望，希望公司行政執行管理團隊能多報導有關資通訊治理(例如: 資通訊治理之績效、遵從資通訊治理之報導、資通訊治理之情節場景與事件、資通訊治理運作之價值)，本文之研究提供相當之實例，建置從董事會成員到行政管理執行部門間，合適地揭露公司資訊治理之運作策略。

執行董事會應當揭露有關資通訊治理透明之理由

依據Turel 和Bart⁵ 有關2014之實證研究結果結論指出：董事會成員們不以滿足現行公司資通訊治理之需求為限，採取高標準之公司資通訊治理者，將可增進公司組織之經營績效，也彰顯出資通訊治理在公司董事會重要性，同時董事會成員們亦承擔資通訊治理之可責性。Turel 和Bart之研究結論指出，董事會為期組織更能趨於較策略性地運用資通訊治理，應當勇於為公司治理管控有關資通訊之資產，留意掌握可能之機會，同時以達成在數位經濟中，最終之績效卓越成果為目標。

其次這類實證研究結果指出:較偏重理論性研 究資通訊治理之報告通常會明確地強調重視，資通訊治理與廠商外部性利害關係人間^{6, 7} 之關聯的重要性，此一理論基礎支持深植於自願性揭露理論說、和代理理論說，可以預期廠商具提升其流動性能力和其價值之評估，同時當廠商藉由較佳之資通訊媒介訊息使用，將增加強化市場之信譽，以及減少公司之法律訴訟成本負擔，和廠商之資本成本支出。⁸

儘管不論在實證面和理論上皆顯示揭露資通訊治理之重要性，不過其他方面之研究指出，一般說來企業董事會涉入企業資訊治理(GEIT)之情形甚低，在治理數位化之組織中，企業董事會其較具資通訊理解能力者較易於治理，Andriole在此一文獻領域所發表之論文指出，董事會在有關此一領域⁹ 之成熟度低到令人吃驚。研究報告結論指出，全球企業之董事會董事中具有企業技術能量導向之董事¹⁰ 不足全體之20%。總結而言，企業董事會應將其治理可責性之重點加以擴充，從原先財務或法律之焦點替換轉向包含技術科技在內之公司治理，在此一方式下，企業董事才可提供數位化之領導風格，企業組織才有能力確保其公司資訊治理之持續不墜，同時擴張延伸企業之營運策略與目標方向。

COBIT 5 如何強化資通訊治理透明之需求

ISACA於2012年公布其COBIT 5之運作過程模型(參見COBIT 5：過程之能量化)後，更能證實確認此項結論，在此一近似拱型之方法論中， COBIT 5認證了涵蓋分布於治理和管理領域裡37 項實施過程。公司董事會階層資通訊治理之職責包括5個治理流程(如圖表1)，包括建置資通訊治理之架構、以價值為觀念之責任議題(例如投資之 標準取捨)、風險之程度(風險之偏好)、和資源分配(資源之最適化)，同時針對公司利害關係人提供資通訊治理之透明度。後者之過程描述了本文的關鍵性之論題，COBIT 所描述之治理過程需要確保企業資通訊治理之績效，衡量之一致性，治理報告之透明性，針對公司利害關係人滿足其目標使命，可估量之指標，並且採取必要之補救改善措施。¹¹

比利時有關治理透明性之研究

為獲得有關當前資通訊治理透明度之實務經驗，研究者針對比利時12 家企業公開可獲取之年報資料進行分析，上述這些報告中之非財務性資料中期望包括有資通訊治理之資訊資料 ，其治理之實務經驗係全盤公司治理應採取處理措施之一部分。

高低無可避免地在所選樣之各個公司間會出現相當大之大之差異，圖表2聚集若干類別公司用以推論，是否廣泛運用資通訊治理機制，改變企業傳統上運作方法機制，即借重新定義企業之營運過程和其關聯性，更揭露公司資通訊治理者，相對於不作此一轉換之企業¹² 間表現之差異，第二、研究者觀察到公開掛牌上市之公司，其資訊之揭露程度優於那些未公開掛牌上市之公司，因為市場之力量之誘因會驅使公開掛牌上市之公司如此作為。檢視上述二項之主張假設，不論口語和文字之敘述表達皆可認定係獲致揭示公司資通訊治理，並被視為一個良好之實例。

有關於揭示公司資通訊治理之比率與內涵，相關之研究者比較有興趣於了解哪些議題會被列入每年之報告中表示，而哪些則不會列入每年之 報告中。用以決定揭示公司資通訊治理之比率與內涵地架構，在最近之學術性文獻¹³ 中經常被提及，此一揭示性之架構主張公司非執行董事會可依據4個相關面向報告資通訊治理: 資通訊治理策略共構、資通訊治理價值之傳遞、資通訊風險管理及資通訊治理之績效管理，在上述每一個方向領域中，從相關文獻中期望所推導衍生之報導項目內容如下：

• 有關資通訊風險管理項目包括訊息安全計畫和會被預期到之政策。
• 對於資通訊績效管理，獲取明顯用於資通訊訊息之支出。
• 有關資通訊之價值管理，追尋關於資通訊計畫之更新元素。
• 對於資通訊之全盤策略規劃，資訊之獲取為有關於資訊長(CIO)之角色，以及有關資通訊指導委員會之編制。

因此所檢視之報告比率結果，絕非在組織之中它所應實際呈現之指標結果，而僅僅是報告之內容。

研究之觀察

通常來說若所觀察者為平均偏低之資通訊治理報告率，廠商之報告內容大多數將會集中於資通訊風險之管理及資通訊之績效衡量(圖表3所示)，令人吃驚地是，就所觀察之樣本來說，期間之各個組織中，資通訊之全盤策略規劃是最少被揭露的類別項目之一，這項結果顯示出在每年之年報中。就整體之公司治理在透明度方面尚有改進之空間，學術性之研究文獻明確指出，資訊揭 露從非財務之觀點而言具潛在之利益，公司資通訊治理就特殊之相關論點，會提供廠商一項明確之誘因去考量增加其資通訊治理之公開揭露程度。

如上所述，企業間(已轉置者對未曾轉置者) 使用資通訊治理之密集度高低，將會對公司資通訊治理之揭露比率程度產生衝擊影響，比較資通訊治理已轉置者對未曾轉置者之群體公司(所有比利時之全體上市公司----皆完全保持相同之報告書內容)，整體之資通訊治理揭露比率之程度出現一個差異，那就是資通訊治理已轉置之上市公司平均報告率約為35%，至於資通訊治理未曾轉置之上市公司平均報告率約為14%。

所有上市公司(在比利時為皆已完成資通訊治理之轉置者)整體之資通訊治理揭露之比率介於 35%至26%之間，其整體之治理揭露之比率是優於所有未上市之公司，其原由在先前之研究報告中已有所說明，並指出揭示非財務性之資訊能夠改善並增進公司在股票市場上之評定價值，這類具有誘因導向之公司在實務上明顯地提到擁有知名評價之助力模式，她地影響衝擊宛如公司是擁有一個專職奉獻之資訊長，¹⁴ 或是對公司之資通訊做了一項投資( 當屬於資通訊治理轉置之產業)。¹⁵

董事會治理應採取之行動

當考量資通訊治理影響之潛在價值，和在公司階段水準資通訊治理相對未被發掘之特質，這類方式之研究對於董事會之資通訊治理具有相當之價值，同時執行委員會可以對提出之報告表達正確之問題所在，資通訊治理實務經驗未能在相關報告之適當位置呈現之機率是非常之高，同時也喪失在治理機制下使其利害關係股東得以確信之良好機會。資通訊治理公認化之實務經驗足以促使公司之董事會和其執行委員會能夠採取預防性措施、預先偵查出缺失、和採取減輕衝擊知措施，並且驅使他們能夠正確就資通訊之策略性水平而言，掌有資通訊治理之控制權。

從研究比利時公司企業之年報資料顯示，一般而言就企業資通訊治理之揭露來說，不論在執行或非執行階段而言，欲標示公司資通訊治理已處於成熟狀態之可能性非常地低，而資通訊之風險管理和資通訊之機會，將不斷持續提升中，而公司之利害關係人股東們仰賴被提供非財務面之資訊用以評估廠商之價值，這提供一項誘因驅使公司執行董事會和執行委員會皆開始致力扮演他們資通訊治理之角色，和提供有關之報告。

公司董事會高度介入資通訊治理者對組織績效會產生正面之效果(內部性之觀點)，而一般之說法認為，報導非財務面之資訊以及某種特定資通訊治理之實務經驗，將使廠商之評價具有正面影響之論點也是廣為人知者((外部性之觀點)，研究者更進一步之分析為能夠確認良好之認證實務做法，提供標靶基準資訊，針對每一廠商之個別性範圍設計一套充滿熱情理念切合現階段實用之準則方案，將是令人信服之景況。建立一組正式之資通訊治理實務經驗守則，據以執行之後能夠獲致較佳之組織運作績效，且其所提出之報告內容亦可滿足公司眾多利害關係人股東之需求。

Endnotes

¹ De Haes, S.; W. Van Grembergen; Enterprise Goverance of IT: Achieving Alignment and Value, 2^nd Edition, Springer, USA, 2015
² Turel, O.; C. Bart; “Board-level IT Governance and Organizational Performance,” European Journal of Information Systems, vol. 23, March 2014, p. 223-239
³ Valentine, E; Enterprise Business Technology Governance: New Core Competencies for Boards of Directors in Digital Leadership, Queensland University of Technology, Brisbane, Australia, 2015
⁴ ISACA, COBIT 5: Enabling Processes, USA, 2012
⁵ Op cit, Turel and Bart
⁶ Gordon, L. A.; M. P. Loeb; T. Sohail; “Market Value of Voluntary Disclosures Concerning Information Security,” MIS Quarterly, vol. 34, no. 3, 2010, p. 567-594
⁷ Raghupathi, W; “Corporate Governance of IT: A Framework for Development,” Communications of the ACM, vol. 50, no. 8, 2007, p. 94-99
⁸ Healy, P. M.; K. G. Palepu; “Information Asymmetry, Corporate Disclosure, and the Capital Markets: A Review of the Empirical Disclosure lLterature,” Journal of Accounting and eEconomics, vol. 31, iss. 1, 2001, p. 405-440
⁹ Andriole, Stephen J.; “Boards of Directors and Technology Governance: The Surprising State of the Practice,” Communications of the Association for Information Systems, vol. 24, article 22, March 2009
¹⁰ Op cit, Valentine
¹¹ ISACA, COBIT 5: Enabling Processes, USA, 2012
¹² Anderson, M. C.; R. D. Banker; S. Ravindran; “Value Implications of Investments in Information Technology,” Management Science, vol. 52, iss. 9, 1 September 2006, p. 1359-1376, http://pubsonline.informs.org/doi/abs/10.1287/mnsc.1060.0542
¹³ Joshi, A.; L. Bollen; H. Hassink; “An Empirical Assessment of IT Governance Transparency: Evidence From Commercial Banking,” Information Systems Management, vol. 30, iss. 2, 2013, p. 116-136
¹⁴ Chatterjee, D.; V. J. Richardson; R. W. Zmud; “Examining the Shareholder Wealth Effects of Announcements of Newly Created CIO Positions,” MIS Quarterly, vol. 25, no. 1, March 2001, p. 43-70
¹⁵ Dehning, B; V. J. Richardson; R. W. Zmud; “The Value Relevance of Announcements of Transformational Information Technology Investments,” MIS Quarterly, vol. 27, no. 4, December 2003, p. 637-656

Quality Statement:
This Work is translated into Chinese Traditional from the English language version of Volume 3, 2016 of the ISACA Journal articles by the Taiwan Chapter of the Information Systems Audit and Control Association (ISACA) with the permission of the ISACA. The Taiwan Chapter assumes sole responsibility for the accuracy and faithfulness of the translation.

品質聲明：
ISACA臺灣分會在ISACA總會的授權之下，摘錄ISACA Journal 2016,Volume 3中的文章進行翻譯。譯文的準確度及與原文的差異性則由臺灣分會獨立負責。

Copyright
© 2016 of Information Systems Audit and Control Association (“ISACA”). All rights reserved. No part of this article may be used, copied, reproduced, modified, distributed, displayed, stored in a retrieval system, or transmitted in any form by any means (electronic, mechanical, photocopying, recording or otherwise), without the prior written authorization of ISACA.

版權聲明：
© 2016 of Information Systems Audit and Control Association (“ISACA”). 版權所有，非經ISACA書面授權，不得以任何形式使用、影印、重製、修改、散布、展示、儲存於檢索系統、或以任何方式(電子、機械、影印、或錄影等方式)發送。

Disclaimer:
The ISACA Journal is published by ISACA. Membership in the association, a voluntary organization serving IT governance professionals, entitles one to receive an annual subscription to the ISACA Journal.

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and/or the IT Governance Institute and their committees, and from opinions endorsed by authors’ employers, or the editors of this Journal. ISACA Journal does not attest to the originality of authors’ content.

Instructors are permitted to photocopy isolated articles for noncommercial classroom use without fee. For other copying, reprint or republication, permission must be obtained in writing from the association. Where necessary, permission is granted by the copyright owners for those registered with the Copyright Clearance Center (CCC), 27 Congress St., Salem, MA 01970, to photocopy articles owned by ISACA, for a flat fee of US $2.50 per article plus 25¢ per page. Send payment to the CCC stating the ISSN (1526-7407), date, volume, and first and last page number of each article. Copying for other than personal use or internal reference, or of articles or columns not owned by the association without express permission of the association or the copyright owner is expressly prohibited.

免責聲明：
ISACA Journal係由ISACA出版。ISACA 為一服務資訊科技專業人士的自願性組織，其會員則有權獲得每 年出版的ISACA Journal。

ISACA Journal收錄的文章及刊物僅代表作者與廣告商的意見，其意見可能與ISACA以及資訊科技治理機構與相關委員會之政策和官方聲明相左，也可能與作者的雇主或本刊編輯有所不同。ISACA Journal 則無法保證內容的原創性。

若為非商業用途之課堂教學，則允許教師免費複印單篇文章。若為其他用途之複製，重印或再版，則必須獲得ISACA 的書面許可。如有需要，欲複印ISACA Journal 者需向Copyright Clearance Center(版權批准中心，地址：27 Congress St., Salem, MA 01970) 付費，每篇文章收取2.50 元美金固定費用，每頁收取 0.25 美金。欲複印文章者則需支付 CCC 上述費用，並說明 ISACA Journal 之 ISSN 編碼(1526-7407)、文章之出版日期、卷號、起訖頁碼。除了個人使用或內部參考之外，其他未經 ISACA 或版權所有者許可之複製行為則嚴明禁止。