監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價咨詢管理系統(tǒng) | 工程設計管理系統(tǒng) | 甲方項目管理系統(tǒng) | 簽約案例 | 客戶案例 | 在線試用
X 關閉

[原創(chuàng)]IT治理訣竅在控制

申請免費試用、咨詢電話:400-8352-114

君無心

IT如何控制風險?IT如何為企業(yè)的風險作出它應有的貢獻?這是個很大的題目,到底怎么下手?

為什么IT風險那么重要?我國企業(yè)信息化從1978年開始到現(xiàn)在大概也就二三十年的時間,到現(xiàn)在我們已經(jīng)走過了一個基本的建設階段。我們以前的信息化注重行業(yè)的覆蓋以及硬件配置等等。從2000年開始,我們的重點開始轉移了,因為越來越的企業(yè)和單位意識到,我們的信息化要見效了,真正要為業(yè)務作貢獻了,也就是IT如何能為企業(yè)、社會、為政府創(chuàng)造價值的層面上來了。

在我們研究IT創(chuàng)造價值的時候,需要更多的去關注IT本身的風險,因為IT已經(jīng)成為現(xiàn)代社會生活所不可分割的一部分,就像電、空氣和水一樣重要,一旦沒有了的話,企業(yè)可能會停止運轉,政府也可能會受影響。所以,這種依賴性比較高的風險迫使我們?nèi)タ紤]如何控制IT,如何令IT支持社會和企業(yè)的正常運轉。

在IT所面臨的風險里,比較重要的有如下幾個:

第一個是IT治理風險。在我國,信息化做得好的一個重要原因是一把手重視,IT主管比較懂行,另外可能因為善于利用社會資源。有的單位做不好的重要原因之一在于把IT當成技術去處理了。而這突顯了我國還處于人治時代,還沒有達到真正的治理階段,但實際上對這個社會來講,靠人治已經(jīng)遠遠不能滿足要求,一定要把它變成制度化形式。因為不管換了哪屆領導,企業(yè)和社會還是要往前發(fā)展的,IT應該是什么樣就是什么樣,不因為領導的重視不重視而重視或受到忽略。

而且IT不光是技術的問題,實際上還是戰(zhàn)略的一方面,真正把IT制度建設起來,IT才能擺脫目前的這種人治狀況。


  第二是規(guī)劃的風險。每個企業(yè)或政府單位在做信息化的時候都在做規(guī)劃,但很多規(guī)劃實際上還不夠具體不夠標準化,當然這也是客觀存在且不可避免的。凡事沒有一次性的完美。

第三就是項目管理風險。IT架構規(guī)劃好了以后,實際上要按照一個一個的項目去實施。有的項目實施周期很長,有的要歷時半年到一年的時間,甚至兩年以上。

第四是基礎設施的風險。網(wǎng)絡越來越復雜,補丁包越來越多,開發(fā)程度也越來越深,這也導致IT風險越來越大。另外,我們對IT基礎設施的依賴性又特別強。

第五個是應用系統(tǒng)的風險。應用系統(tǒng)的風險在于需求是否清晰。很多的情況下,人們的需求與實際脫節(jié),搞軟件的人不太懂業(yè)務,懂業(yè)務的人又不太懂軟件開發(fā)里面的一些具體操作方法,導致需求混亂。

第六個是軟件安全控制風險。

第七個是IT服務交付風險。什么叫服務交付風險?即使服務商提供的軟件系統(tǒng)沒有漏洞,但也不等于說用戶對系統(tǒng)百分百滿意,因為他關注的是服務。這種大多在國企比較顯著。

第八個信息安全風險,則比較常見。而且信息安全的形勢越來越嚴峻。以前做木馬寫病毒的人大多還只是為了炫耀自己的技術,而現(xiàn)在,病毒已經(jīng)成為一個產(chǎn)業(yè)鏈:有人專門寫病毒,有人專門的抓取“肉雞”(可以植入病毒的電腦),專門有人在偷信息……形成了一條黑色產(chǎn)業(yè)鏈。

第九個則是業(yè)務延續(xù)的風險。天災人禍等都會導致業(yè)務的硬性中斷,這個風險也要考慮在內(nèi)。

第十個則是績效風險。以前講IT只講投入不講產(chǎn)出,但對IT到底投了多少錢這個概念我們需要有。2005年我國在信息化改造提升方面投入了2829億,2006年是3227億元。增幅非???。企業(yè)里最講究的是投入回報率,但對IT,我們很少有人去算投入產(chǎn)出,這就產(chǎn)生了黑洞。

第十一個就是合規(guī)性的風險。合規(guī)性以前只針對一般的企業(yè)風險,現(xiàn)在已經(jīng)慢慢過渡到IT部分。如果國內(nèi)企業(yè)到美國上市,就必須要遵從薩班斯法。

面對這么多風險,我們到底怎么辦?

第一是要建立一套IT制度,改變過去靠人治的方式。

從公司最高層面來說要把IT治理環(huán)境建立起來。然后基礎層面的網(wǎng)絡、數(shù)據(jù)庫、安全以及應用系統(tǒng),都需要獲取可靠的授權,然后,要通過一個一個的標準,進行戰(zhàn)術性的IT治理流程。這些都建好了之后,關鍵要把它變成一個PTC的風險控制體系。

在戰(zhàn)略層面把IT的治理結構完善之后,就要進行公司業(yè)務層面的梳理。梳理完業(yè)務流程后,我們可以按生命周期把IT分為計劃、組織、獲取、實施,交付、支持和監(jiān)控等幾個方面。比如IT規(guī)劃到底有幾個步驟,到底應該怎么做,建立一個框架式的東西。 同時還要考慮資源協(xié)調(diào)。

為了建設統(tǒng)一的平臺,我們可以引入一些國際上標準化的最佳實踐,比如說信息安全管理和IT服務管理。最后,我認為應該形成一個審計制度,引入一套控制理念。

實際上,治理就是一種制度的安排。這個制度要解決什么問題呢?首先解決的是決策問題。決策不能靠人治的領導拍板,技術人員說了算也不對。一種好的治理架構應該在不同的方面有不同的決策模式,有的需要坐在一起談,有的需要技術人員說了算,有的必須由領導拍板。

進行IT治理也需要有幾個階段。第一步,我認為比較重要的就是要進行規(guī)劃和架構的設計。第二步就是要完善IT功能治理,達到初步的控制。到了第三個階段,讓IT實現(xiàn)跟業(yè)務融合,實現(xiàn)業(yè)務信息的安全。

發(fā)布:2007-03-25 10:23    編輯:泛普軟件 · xiaona    [打印此頁]    [關閉]
相關文章: