治理與信息化:IT治理走來

申請免費試用、咨詢電話：400-8352-114

治理與信息化:IT治理走來
“治理與信息化”專題之二
作者：孫強、陳拂曉 發(fā)表：2003.08.15 10:15:47 來源：中國計算機用戶—賽迪網(wǎng) 

目前，隨著技術的發(fā)展和應用的深入，IT系統(tǒng)在從傳統(tǒng)的后臺支持轉變?yōu)樾聵I(yè)務開展的直接驅動力，甚至IT正日益成為企業(yè)的直接利潤中心。這種趨勢之下，企業(yè)以及各種組織、機構對信息系統(tǒng)的依賴程度不斷增加，更有一些組織若沒有IT將不復存在，信息和信息技術成為企業(yè)最重要的資產(chǎn)。然而，這種趨勢也在導致IT成為或潛在成為——一個巨大的威脅。因此，IT治理成為IT應用的重要保障。除此之外，IT治理還在成為公司和政府治理中關鍵的一個方面。

從本期開始，“治理與信息化”專題的后續(xù)文章，將著重講述“到底什么是IT治理”、“IT治理與公司治理之間的關系”、“IT治理的自動化工具COBIT”、“如何實施IT治理”。

孫強：美國特許信息系統(tǒng)審計師，認證信息安全管理顧問，國際信息系統(tǒng)審計與控制協(xié)會會員。目前就任中國電子信息產(chǎn)業(yè)發(fā)展研究院培訓中心業(yè)務拓展總監(jiān)、中國信息化推進聯(lián)盟IT治理專業(yè)委員會副主任。

孫強先生致力于信息系統(tǒng)審計、信息化工程監(jiān)理、IT服務管理、信息安全管理以及國內外的IT標準和咨詢方法論等領域的研究和知識的普及，在各種媒體上發(fā)表多篇關于IT治理、信息系統(tǒng)審計和監(jiān)理的文章。參與編寫《信息系統(tǒng)工程監(jiān)理》培訓教材，主編《信息系統(tǒng)審計：安全、風險管理與控制》、《IT服務管理：發(fā)展、理解與實施》等。

陳拂曉：研究員，原國務院辦公廳秘書一局政務專員、科技部國家八六三計劃信息安全技術發(fā)展戰(zhàn)略研究專家組成員、全國政府系統(tǒng)辦公自動化技術咨詢組組長。現(xiàn)為國信辦電子政務信息安全體系研究組副組長、中國信息化推進聯(lián)盟專家顧問委員會副主席。

IT治理的“誕生”

IT治理是信息系統(tǒng)審計和控制領域中一個相當新的概念，國際組織和各國普遍認為，公司治理機制對世界金融市場的穩(wěn)定及經(jīng)濟發(fā)展發(fā)揮了至關重要的作用，這直接促進了IT治理機制的形成與發(fā)展。

1999年，英國BIS發(fā)布了《內部控制：綜合準則董事指南》（Internal Control: Guidance for Directors on the Combined Code，Turnbull Report, 1999）報告。該報告認為，企業(yè)風險來自于許多方面，而不僅是財務風險。因為事實說明，在金融界所有過去的風險問題都是由內部控制疏忽、信息技術失敗引起的，而且與企業(yè)對信息技術基礎設施的依賴和應用新技術的風險密切相關，并呼吁高層領導樹立風險意識。從此，公司治理和風險管理成為企業(yè)所有者與管理者日益重要的問題。

此報告強調了IT的雙重性，即一方面信息技術支持企業(yè)的信息數(shù)據(jù)資產(chǎn)，幫助企業(yè)在市場競爭和商業(yè)環(huán)境中提高反應速度、降低成本，另一方面，IT和IT應用也存在著風險，也要注意“管理”。因此企業(yè)中的關鍵信息系統(tǒng)，既要與企業(yè)的發(fā)展戰(zhàn)略相匹配，確?！肮局卫怼庇行?、透明，同時也要規(guī)避IT自身的風險。

1999年下半年，國際信息系統(tǒng)審計與控制協(xié)會（ISACA）成立了IT治理研究院，專門研究IT治理的概念，并提供了信息及其相關技術的管理體系模型和最佳實務，幫助企業(yè)領導層認識有效實施IT治理的必要性與益處，從而保證長期的可持續(xù)的成功，并且增強利益相關者的價值。

目前，該體系已在世界100多個國家和地區(qū)的重要組織與企業(yè)中成功運用，指導這些組織有效利用信息資源，有效地管理信息相關的風險。研究與探討IT治理，對于信息化的探索和實踐有著重要的借鑒意義。

IT的“困境”

信息化建設是一項艱難的工程。英國2001年12月12日公布的一項有關企業(yè)信息管理的調查顯示：96％的企業(yè)對于本公司的信息管理系統(tǒng)感到不滿；關于目前正在使用的信息系統(tǒng)，認為“所制作的報告缺乏一貫性”或者是“核對信息花費了太多時間”的企業(yè)約占70％；回答“目前的信息系統(tǒng)不能靈活適應變化”的企業(yè)約占60％；對于“數(shù)據(jù)的準確”表示擔心的企業(yè)約占60％；60％以上的企業(yè)正在策劃有關數(shù)據(jù)及信息的整合計劃。特別引人深思的是，該調查是由美國Harte-Hanks以全球500強企業(yè)以及財富1000企業(yè)中的171家公司為對象通過問卷方式實施的。

事實表明，系統(tǒng)規(guī)模越大、與管理聯(lián)系越密切、集成度越高的系統(tǒng)，風險也越大，失敗概率越高，用戶的滿意度越低。信息化建設項目的高風險和高失敗率，與企業(yè)在信息化建設決策之前，沒有進行充分的技術經(jīng)濟論證，沒有綜合論證項目技術上的先進性和可行性、財務上的實施可能性、經(jīng)濟上的合理性和有效性密切相關。而這些是IT治理所要關注的重要內容。

由于任何企業(yè)的任務環(huán)境要考慮和關系的利益非常廣泛，在任何一個IT戰(zhàn)略決策中，都會不可避免發(fā)生利益相關者包括部門利益之間的利益沖突。所以，即使管理層努力協(xié)調，企業(yè)中任何會招致某個或多個群體的不滿。一些管理層在做出IT戰(zhàn)略決策之前，沒有仔細考慮每一個方案會影響到哪些重要的利益相關者，更有甚者把信息化當作一種政治資本在做。那些開始看起來能為公司帶來最大利益的最佳方案，也許日后為公司帶來最嚴重的后果。因此管理者必須懂得信息系統(tǒng)給組織所帶來的各種影響。相關領導需要仔細地考慮，當引進信息系統(tǒng)并產(chǎn)生效益的同時，還可能給企業(yè)帶來什么新的問題？信息系統(tǒng)是否能夠給組織各級領導的工作帶來影響？組織的工作流程是否需要變化？會不會引起新的人員下崗？等等。因此IT與企業(yè)發(fā)展策略、企業(yè)分配和管理制度等密切相關。IT治理的一個重要內容就是與公司治理緊密聯(lián)系起來。

IT治理，目前在我國基本上處于初始階段。但IT治理的重要性日益為人們所認識。據(jù)了解，在一些大企業(yè)中，已出現(xiàn)CIO的權利范圍不只是領導其信息部門，還負責事業(yè)部門的人、財、物的資源配置和利益均衡，這是具有中國特色的IT治理機制的嘗試。

IT治理的關鍵

關于IT治理主要有以下三種觀點。Robert S. Roussey（美國南加州大學教授）認為：IT治理用于描述被委托治理實體的人員在監(jiān)督、檢查、控制和指導實體的過程中如何看待信息技術。IT的應用對于組織能否達到它的遠景、使命、戰(zhàn)略目標至關重要。

德勤定義: IT治理是一個含義廣泛的術語，包括信息系統(tǒng)、技術、通訊、商業(yè)、所有利益相關者、合法性和其他問題。其主要任務是：保持IT與業(yè)務目標一致，推動業(yè)務發(fā)展，促使收益最大化，合理利用IT資源，IT相關風險的適當管理。

ISACA認為：IT治理是一個由關系和過程所構成的體制，用于指導和控制企業(yè)，通過平衡信息技術與過程的風險、增加價值來確保實現(xiàn)企業(yè)的目標。

通過上述定義可以總結出以下共同點：

◆ IT治理必須與企業(yè)戰(zhàn)略目標一致，IT是企業(yè)戰(zhàn)略規(guī)劃的組成部分，將影響企業(yè)的戰(zhàn)略競爭。

◆ IT治理的主體和其它治理主體一樣，是管理執(zhí)行人員和利益相關者（以董事會為代表）。

◆ IT治理保護利益相關者的權益，使風險透明化，同時指導和控制IT投資、機遇、利益、風險。

◆ IT治理包括管理層、組織結構、過程，以確保IT維持和拓展組織戰(zhàn)略目標。

◆ 應該合理利用企業(yè)的信息資源，有效地集成與協(xié)調。

◆ IT治理確保IT及時按照目標交付，并且有合適的功能和期望的收益，是一個一致的價值傳遞體系，有明確的期望值和衡量手段。

◆ IT治理引導IT戰(zhàn)略以平衡系統(tǒng)投資，支持企業(yè)， 變革企業(yè)，或者創(chuàng)建一個信息基礎架構，保證業(yè)務增長，并在一個新的領域競爭。

◆ IT治理對于核心IT資源做出合理的決策，進入新的市場，驅動競爭策略，創(chuàng)造總的收入增長，改善客戶滿意度，維系客戶關系。

關于ISACA

國際信息系統(tǒng)審計與控制協(xié)會ISACA（Information System Audit and Control Association）成立于1969年，最初稱為EDP審計師聯(lián)合會，總部設在美國的芝加哥，是一個非盈利組織。目前在世界上100多個國家設有160多個分會，現(xiàn)有會員兩萬多人，是全球公認的在IT的管理、控制和保證領域的權威。

任務 ISACA的任務是：通過發(fā)展促進對信息、系統(tǒng)、技術的有效管理與控制的研究、實施及標準、權限的制定來支持企業(yè)實現(xiàn)其目標。這說明該協(xié)會的存在就是為了幫助IT的管理控制及保證利益相關者妥善處理IT的管理、IT的風險、IT的運作過程及協(xié)作控制、協(xié)作管理、協(xié)作風險和協(xié)作程序的相互作用。

工作內容 ISACA通過提供各種有價值的服務（如：研究、標準、信息、教育、認證、專業(yè)的遠景）實現(xiàn)以上作用。協(xié)會幫助從事信息系統(tǒng)審計、控制、安全工作的人員，使之不僅注意IT、IT的風險與安全主題而且更要關注IT與商業(yè)、商業(yè)運作及商業(yè)風險的關系。其主要工作內容如下：

◆ 設定標準—— 一般作為世界范圍內的IT審計、控制的指導方針。

◆ 一個令人尊敬的認證項目CISA——在IS審計、控制、安全領域內國際上承認的認證。

◆ 一個關于關鍵的管理和技術主題的專業(yè)的發(fā)展項目。

◆ 提供備受贊譽的技術出版物，包含最新的研究、案例學習、信息知識入門等。

◆ 指導會員專業(yè)的活動和操行的職業(yè)道德準則。

ISACA國際委員會 通過ISACA會員共同的努力，該組織超越了地理、文化和職業(yè)界限，他們代表各種不同的企業(yè)團體，包括金融銀行協(xié)會、會計審核公司、政府公共部門、公共事業(yè)及制造業(yè)等，通過選舉或指定一個由全球的志愿者組成的團體管理這個協(xié)會，把他們獨特的專業(yè)的見解帶到協(xié)會中并用來作出組織的決定，這就是國際信息系統(tǒng)審計與控制協(xié)會的國際委員會