治理與信息化:IT治理走來

申請免費試用、咨詢電話：400-8352-114

治理與信息化:IT治理走來
“治理與信息化”專題之二
作者：孫強、陳拂曉 發(fā)表：2003.08.15 10:15:47 來源：中國計算機用戶—賽迪網(wǎng) 

目前，隨著技術(shù)的發(fā)展和應(yīng)用的深入，IT系統(tǒng)在從傳統(tǒng)的后臺支持轉(zhuǎn)變?yōu)樾聵I(yè)務(wù)開展的直接驅(qū)動力，甚至IT正日益成為企業(yè)的直接利潤中心。這種趨勢之下，企業(yè)以及各種組織、機構(gòu)對信息系統(tǒng)的依賴程度不斷增加，更有一些組織若沒有IT將不復(fù)存在，信息和信息技術(shù)成為企業(yè)最重要的資產(chǎn)。然而，這種趨勢也在導(dǎo)致IT成為或潛在成為——一個巨大的威脅。因此，IT治理成為IT應(yīng)用的重要保障。除此之外，IT治理還在成為公司和政府治理中關(guān)鍵的一個方面。

從本期開始，“治理與信息化”專題的后續(xù)文章，將著重講述“到底什么是IT治理”、“IT治理與公司治理之間的關(guān)系”、“IT治理的自動化工具COBIT”、“如何實施IT治理”。

孫強：美國特許信息系統(tǒng)審計師，認證信息安全管理顧問，國際信息系統(tǒng)審計與控制協(xié)會會員。目前就任中國電子信息產(chǎn)業(yè)發(fā)展研究院培訓(xùn)中心業(yè)務(wù)拓展總監(jiān)、中國信息化推進聯(lián)盟IT治理專業(yè)委員會副主任。

孫強先生致力于信息系統(tǒng)審計、信息化工程監(jiān)理、IT服務(wù)管理、信息安全管理以及國內(nèi)外的IT標準和咨詢方法論等領(lǐng)域的研究和知識的普及，在各種媒體上發(fā)表多篇關(guān)于IT治理、信息系統(tǒng)審計和監(jiān)理的文章。參與編寫《信息系統(tǒng)工程監(jiān)理》培訓(xùn)教材，主編《信息系統(tǒng)審計：安全、風(fēng)險管理與控制》、《IT服務(wù)管理：發(fā)展、理解與實施》等。

陳拂曉：研究員，原國務(wù)院辦公廳秘書一局政務(wù)專員、科技部國家八六三計劃信息安全技術(shù)發(fā)展戰(zhàn)略研究專家組成員、全國政府系統(tǒng)辦公自動化技術(shù)咨詢組組長?，F(xiàn)為國信辦電子政務(wù)信息安全體系研究組副組長、中國信息化推進聯(lián)盟專家顧問委員會副主席。

IT治理的“誕生”

IT治理是信息系統(tǒng)審計和控制領(lǐng)域中一個相當(dāng)新的概念，國際組織和各國普遍認為，公司治理機制對世界金融市場的穩(wěn)定及經(jīng)濟發(fā)展發(fā)揮了至關(guān)重要的作用，這直接促進了IT治理機制的形成與發(fā)展。

1999年，英國BIS發(fā)布了《內(nèi)部控制：綜合準則董事指南》（Internal Control: Guidance for Directors on the Combined Code，Turnbull Report, 1999）報告。該報告認為，企業(yè)風(fēng)險來自于許多方面，而不僅是財務(wù)風(fēng)險。因為事實說明，在金融界所有過去的風(fēng)險問題都是由內(nèi)部控制疏忽、信息技術(shù)失敗引起的，而且與企業(yè)對信息技術(shù)基礎(chǔ)設(shè)施的依賴和應(yīng)用新技術(shù)的風(fēng)險密切相關(guān)，并呼吁高層領(lǐng)導(dǎo)樹立風(fēng)險意識。從此，公司治理和風(fēng)險管理成為企業(yè)所有者與管理者日益重要的問題。

此報告強調(diào)了IT的雙重性，即一方面信息技術(shù)支持企業(yè)的信息數(shù)據(jù)資產(chǎn)，幫助企業(yè)在市場競爭和商業(yè)環(huán)境中提高反應(yīng)速度、降低成本，另一方面，IT和IT應(yīng)用也存在著風(fēng)險，也要注意“管理”。因此企業(yè)中的關(guān)鍵信息系統(tǒng)，既要與企業(yè)的發(fā)展戰(zhàn)略相匹配，確?！肮局卫怼庇行?、透明，同時也要規(guī)避IT自身的風(fēng)險。

1999年下半年，國際信息系統(tǒng)審計與控制協(xié)會（ISACA）成立了IT治理研究院，專門研究IT治理的概念，并提供了信息及其相關(guān)技術(shù)的管理體系模型和最佳實務(wù)，幫助企業(yè)領(lǐng)導(dǎo)層認識有效實施IT治理的必要性與益處，從而保證長期的可持續(xù)的成功，并且增強利益相關(guān)者的價值。

目前，該體系已在世界100多個國家和地區(qū)的重要組織與企業(yè)中成功運用，指導(dǎo)這些組織有效利用信息資源，有效地管理信息相關(guān)的風(fēng)險。研究與探討IT治理，對于信息化的探索和實踐有著重要的借鑒意義。

IT的“困境”

信息化建設(shè)是一項艱難的工程。英國2001年12月12日公布的一項有關(guān)企業(yè)信息管理的調(diào)查顯示：96％的企業(yè)對于本公司的信息管理系統(tǒng)感到不滿；關(guān)于目前正在使用的信息系統(tǒng)，認為“所制作的報告缺乏一貫性”或者是“核對信息花費了太多時間”的企業(yè)約占70％；回答“目前的信息系統(tǒng)不能靈活適應(yīng)變化”的企業(yè)約占60％；對于“數(shù)據(jù)的準確”表示擔(dān)心的企業(yè)約占60％；60％以上的企業(yè)正在策劃有關(guān)數(shù)據(jù)及信息的整合計劃。特別引人深思的是，該調(diào)查是由美國Harte-Hanks以全球500強企業(yè)以及財富1000企業(yè)中的171家公司為對象通過問卷方式實施的。

事實表明，系統(tǒng)規(guī)模越大、與管理聯(lián)系越密切、集成度越高的系統(tǒng)，風(fēng)險也越大，失敗概率越高，用戶的滿意度越低。信息化建設(shè)項目的高風(fēng)險和高失敗率，與企業(yè)在信息化建設(shè)決策之前，沒有進行充分的技術(shù)經(jīng)濟論證，沒有綜合論證項目技術(shù)上的先進性和可行性、財務(wù)上的實施可能性、經(jīng)濟上的合理性和有效性密切相關(guān)。而這些是IT治理所要關(guān)注的重要內(nèi)容。

由于任何企業(yè)的任務(wù)環(huán)境要考慮和關(guān)系的利益非常廣泛，在任何一個IT戰(zhàn)略決策中，都會不可避免發(fā)生利益相關(guān)者包括部門利益之間的利益沖突。所以，即使管理層努力協(xié)調(diào)，企業(yè)中任何會招致某個或多個群體的不滿。一些管理層在做出IT戰(zhàn)略決策之前，沒有仔細考慮每一個方案會影響到哪些重要的利益相關(guān)者，更有甚者把信息化當(dāng)作一種政治資本在做。那些開始看起來能為公司帶來最大利益的最佳方案，也許日后為公司帶來最嚴重的后果。因此管理者必須懂得信息系統(tǒng)給組織所帶來的各種影響。相關(guān)領(lǐng)導(dǎo)需要仔細地考慮，當(dāng)引進信息系統(tǒng)并產(chǎn)生效益的同時，還可能給企業(yè)帶來什么新的問題？信息系統(tǒng)是否能夠給組織各級領(lǐng)導(dǎo)的工作帶來影響？組織的工作流程是否需要變化？會不會引起新的人員下崗？等等。因此IT與企業(yè)發(fā)展策略、企業(yè)分配和管理制度等密切相關(guān)。IT治理的一個重要內(nèi)容就是與公司治理緊密聯(lián)系起來。

IT治理，目前在我國基本上處于初始階段。但IT治理的重要性日益為人們所認識。據(jù)了解，在一些大企業(yè)中，已出現(xiàn)CIO的權(quán)利范圍不只是領(lǐng)導(dǎo)其信息部門，還負責(zé)事業(yè)部門的人、財、物的資源配置和利益均衡，這是具有中國特色的IT治理機制的嘗試。

IT治理的關(guān)鍵

關(guān)于IT治理主要有以下三種觀點。Robert S. Roussey（美國南加州大學(xué)教授）認為：IT治理用于描述被委托治理實體的人員在監(jiān)督、檢查、控制和指導(dǎo)實體的過程中如何看待信息技術(shù)。IT的應(yīng)用對于組織能否達到它的遠景、使命、戰(zhàn)略目標至關(guān)重要。

德勤定義: IT治理是一個含義廣泛的術(shù)語，包括信息系統(tǒng)、技術(shù)、通訊、商業(yè)、所有利益相關(guān)者、合法性和其他問題。其主要任務(wù)是：保持IT與業(yè)務(wù)目標一致，推動業(yè)務(wù)發(fā)展，促使收益最大化，合理利用IT資源，IT相關(guān)風(fēng)險的適當(dāng)管理。

ISACA認為：IT治理是一個由關(guān)系和過程所構(gòu)成的體制，用于指導(dǎo)和控制企業(yè)，通過平衡信息技術(shù)與過程的風(fēng)險、增加價值來確保實現(xiàn)企業(yè)的目標。

通過上述定義可以總結(jié)出以下共同點：

◆ IT治理必須與企業(yè)戰(zhàn)略目標一致，IT是企業(yè)戰(zhàn)略規(guī)劃的組成部分，將影響企業(yè)的戰(zhàn)略競爭。

◆ IT治理的主體和其它治理主體一樣，是管理執(zhí)行人員和利益相關(guān)者（以董事會為代表）。

◆ IT治理保護利益相關(guān)者的權(quán)益，使風(fēng)險透明化，同時指導(dǎo)和控制IT投資、機遇、利益、風(fēng)險。

◆ IT治理包括管理層、組織結(jié)構(gòu)、過程，以確保IT維持和拓展組織戰(zhàn)略目標。

◆ 應(yīng)該合理利用企業(yè)的信息資源，有效地集成與協(xié)調(diào)。

◆ IT治理確保IT及時按照目標交付，并且有合適的功能和期望的收益，是一個一致的價值傳遞體系，有明確的期望值和衡量手段。

◆ IT治理引導(dǎo)IT戰(zhàn)略以平衡系統(tǒng)投資，支持企業(yè)， 變革企業(yè)，或者創(chuàng)建一個信息基礎(chǔ)架構(gòu)，保證業(yè)務(wù)增長，并在一個新的領(lǐng)域競爭。

◆ IT治理對于核心IT資源做出合理的決策，進入新的市場，驅(qū)動競爭策略，創(chuàng)造總的收入增長，改善客戶滿意度，維系客戶關(guān)系。

關(guān)于ISACA

國際信息系統(tǒng)審計與控制協(xié)會ISACA（Information System Audit and Control Association）成立于1969年，最初稱為EDP審計師聯(lián)合會，總部設(shè)在美國的芝加哥，是一個非盈利組織。目前在世界上100多個國家設(shè)有160多個分會，現(xiàn)有會員兩萬多人，是全球公認的在IT的管理、控制和保證領(lǐng)域的權(quán)威。

任務(wù) ISACA的任務(wù)是：通過發(fā)展促進對信息、系統(tǒng)、技術(shù)的有效管理與控制的研究、實施及標準、權(quán)限的制定來支持企業(yè)實現(xiàn)其目標。這說明該協(xié)會的存在就是為了幫助IT的管理控制及保證利益相關(guān)者妥善處理IT的管理、IT的風(fēng)險、IT的運作過程及協(xié)作控制、協(xié)作管理、協(xié)作風(fēng)險和協(xié)作程序的相互作用。

工作內(nèi)容 ISACA通過提供各種有價值的服務(wù)（如：研究、標準、信息、教育、認證、專業(yè)的遠景）實現(xiàn)以上作用。協(xié)會幫助從事信息系統(tǒng)審計、控制、安全工作的人員，使之不僅注意IT、IT的風(fēng)險與安全主題而且更要關(guān)注IT與商業(yè)、商業(yè)運作及商業(yè)風(fēng)險的關(guān)系。其主要工作內(nèi)容如下：

◆ 設(shè)定標準—— 一般作為世界范圍內(nèi)的IT審計、控制的指導(dǎo)方針。

◆ 一個令人尊敬的認證項目CISA——在IS審計、控制、安全領(lǐng)域內(nèi)國際上承認的認證。

◆ 一個關(guān)于關(guān)鍵的管理和技術(shù)主題的專業(yè)的發(fā)展項目。

◆ 提供備受贊譽的技術(shù)出版物，包含最新的研究、案例學(xué)習(xí)、信息知識入門等。

◆ 指導(dǎo)會員專業(yè)的活動和操行的職業(yè)道德準則。

ISACA國際委員會 通過ISACA會員共同的努力，該組織超越了地理、文化和職業(yè)界限，他們代表各種不同的企業(yè)團體，包括金融銀行協(xié)會、會計審核公司、政府公共部門、公共事業(yè)及制造業(yè)等，通過選舉或指定一個由全球的志愿者組成的團體管理這個協(xié)會，把他們獨特的專業(yè)的見解帶到協(xié)會中并用來作出組織的決定，這就是國際信息系統(tǒng)審計與控制協(xié)會的國際委員會