IT治理:中国信息化的必由之道(6)-技术战略
·当前位置: 学海荡舟-论文 >> 管理文丛 >> 企业战略 >> 技术战略
IT治理:中国信息化的必由之道(6)



建立IT治理机制

建立IT治理机制是一个动态的过程。IT治理是机制的集合,更是治理主体间互动的过程,全球治理委员会的定义指出:"治理不是一整套规则,也不是一种活动,而是一个过程",所以IT治理是一个"过程",是公司与所有利益相关者的互动过程,包括在制定公司长远IT发展战略决策中这些"规则"上的互动,另外,环境的动态性也决定了IT治理的动态性。

IT治理是一个系统的过程。IT治理是控制、指导、协调组织战略目标和IT目标的系统,是IT治理主体、客体、IT治理结构、IT治理机制的总称,是内部IT治理、外部IT治理的融合,是IT治理方法、过程、目标与结果的统称,是为了实现IT治理目标所有制度安排与机制的集合。IT治理系统的目标是提供IT决策机制的科学化、决策过程的协调交互性和决策结果的创新性。

首先需要转变观念

拿着IT这样的现代武器,管理者却依旧是满脑袋的传统观念,结果可想而知,因此首先需要转变观念。在最高管理层(董事会)树立和维护IT战略地位的思想认识,建立企业战略与IT战略的互动观念,阐明IT应担当的角色,从业务的视角创造信息技术指导原则,如信息化规划本质上可以定位成从业务战略到信息战略的实现。从组织的战略出发而不是从系统的需求出发,可以避免脱离目标而进行建设的困境。从业务的变革出发而不是从技术的变革出发,有利于充分利用组织的现有资源来满足关键需求,从而避免建设的信息系统无法有效地支持组织的决策。又如利用电子商务消除时间和空间得特性,发展与全球客户的关系,能够引导巩固客户数据库和订单处理过程。

发展外部环境

目前我国外部市场监控机制尚不健全,公司治理结构中的监控职能被严重削弱,并使董事会失去监督。另一方面,风险管理意识淡薄,安全上采用纯粹技术手段解决。我们认为缺乏优良公司治理和IT治理机制是一些国内企业与金融机构无法抵御全球经济低靡和无法适应市场环境快速变化的重要原因之一。因此,加强IT治理实质上是一个政府和企业机构必须携手面对的问题。政府必须扮演一个重要的推动角色,并且尤其需要强调的是政府制定规则比较合理的方法是通过听证会或知情会上下协商、交互式地制定规则(非自上而下制定规则的方法,新制式车牌的暂停发放就是没有善治的案例),这样才能解决规则的充分合法性、可执行性问题,"治理不是一种正式的制度,而是持续的互动"(《我们的全球伙伴关系》);鉴于全球化和信息技术得无国界性,尽管在公司治理模式上有英美模式、德日模式、东亚和东南亚模式,但在IT治理上有更大趋同性的发展趋势,因此,从治理(Governance)的角度企业应该采用合乎国际标准的IT治理方法,以促进公司治理、IT治理和经营管理的协调发展。值得一提的是:组织采行优良IT治理机制的行动,将减轻政府部门在制订国民经济和社会信息化中所扮演的角色责任。

逐步试行建立IT治理委员会

IT治理委员会与IT审计师是IT治理最重要得环节。IT治理委员会由组织的最高管理层(董事会)及管理执行层包括IT管理和业务管理有关部门负责人、管理技术人员组成,定期召开会议,就企业战略与IT战略的驱动与设置等议题进行讨论并做出决策,为组织IT管理提供导向与支持,把IT治理的相关规范融入到组织的内部控制中。

对于规模较大的组织,一项IT(如安全)控制活动需要多个部门的共同参与才能得以实现,为能迅速解决控制过程出现的问题,防止内部互相推诿的现象发生,提高工作效率,需组成一个跨部门的IT治理委员会,加强全局的管理与流程执行的纪律,解决诸如信息安全事故的调查与处理等一些实际的问题,这是进行IT管理内部协调的很好的办法。

今年的9月17日美国联邦政府公布了由关键基础设施委员会(CIPB)制订的保障网络安全计划--《国家保障网络安全策略》。根据该计划,美国政府将在网络安全中发挥主导作用,同时会要求所有用户采取措施,其中该文件要求上市公司发布经过独立审计的安全报告,建议公司成立公司安全委员会等。由此可见,美国的IT治理机制已深入发展到建立安全治理机制领域。

明确规定IT管理过程的责任

职责缺乏或界定不清,最终导致控制得不到有效得实施,形成管理风险。组织最高管理层应确保对管理层、部门、运维人员职责进行规定并形成书面文件。

对信息系统进行独立审计

信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。它综合运用IT技术与审计理论及方法为信息时代信息的使用者提供合理的保证。

在信息时代,组织为预防不良事件的发生必须将其内部控制扩展到信息处理系统的各个方面,包括企业内部网与因特网在内的任何直接或间接影响财务报表或其他至关重要资料的数据或处理系统,因为该系统与包括合作伙伴在内的其他系统有着密切的联系。此外,这些公司还必须对与其互通业务数据的合作伙伴的内部控制系统有信心。在对于经营惯例、交易处理的完整性、信息保护和如何对信息系统的内部控制实施评估和风险管理方面,组织可以通过内部审计或外部审计达到上述目的。

信息系统审计的主要由以下部分组成:1、信息系统的管理、规划与组织--评价信息系统的管理、计划与组织方面的策略、政策、标准、程序和相关实务。2、信息系统技术基础设施与操作实务--评价组织在技术与操作基础设施的管理和实施方面的有效性及效率,以确保其充分支持组织的商业目标。3、资产的保护--对逻辑、环境与信息技术基础设施的安全性进行评价,确保其能支持组织保护信息资产的需要, 防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失。4、灾难恢复与业务持续计划--这些计划是在发生灾难时,能够使组织持续进行业务,对这种计划的建立和维护流程需要进行评价。5、应用系统开发、获得、实施与维护--对应用系统的开发、获得、实施与维护方面所采用的方法和流程进行评价,以确保其满足组织的业务目标。6、业务流程评价与风险管理--评估业务系统与处理流程,确保根据组织的业务目标对相应风险实施管理。

总之,我们认为我国的信息化建设向着纵深发展,必然要在更深层面上解决体制和机制问题。善治的IT治理机制,应该要极小化由于信息化和透明化所导致的不一致利益冲突所造成的制度面成本。IT治理不仅仅是动态的管理控制架构,还需要落实在组织内部控制及政府与市场监督体系的动态机制。

背景

IT治理的发展历程

国际组织和各国普遍认为公司治理机制对世界金融市场的稳定及经济发展发挥了至关重要的作用,这直接促进了IT治理机制的形成与发展。

在1999年,英国BIS发布了Internal Control: Guidance for Directors on the Combined Code( Turnbull Report, 1999)报告。该报告认为:企业风险来自于许多活动,不只是财务风险,因为事实说明,在金融界所有过去的风险问题都是由内部控制疏忽、信息技术失败引起的,而且所有企业最终依靠对信息技术基础设施的依赖和新技术风险的脆弱性,并呼吁高层领导树立风险意识。从此,公司治理和风险管理成为企业所有者与管理者日益重要的问题。该报告引入了内部控制的要求,对许多组织而言,信息与其支持技术代表该组织最有价值的资产,而且,竞争和不断变化的商业环境也要求企业能够充分利用信息技术实现更快的交付和更低的成本。因此,有效的公司治理和风险管理必然需要有效的IT治理和IT风险管理。与此同时,BIS还简单陈述了关键的信息系统,如何确保治理应该有效、透明,可以解释,这也意味管理信息技术相关风险,实现信息技术价值的交付成为公司治理中重要的组成部分。

1999年下半年,ISACA成立了IT治理研究院,专门研究IT治理的概念,并提供了信息及其相关技术的管理体系模型和最佳实务,帮助企业领导层认识有效实施IT治理的必要性与益处,从而保证长期的可持续的成功,并且增强利益相关者的价值。目前,该体系已在世界100多个国家的重要组织与企业中成功运用,指导这些组织有效利用信息资源,有效地管理信息相关的风险。因此,研究与探讨IT治理,对于我国信息化的探索和实践也有着重要的借鉴意义。

链接

国际信息系统审计与控制协会

国际信息系统审计与控制协会ISACA(Information System Audit and Control Association)成立于1969年,最初称为EDP审计师联合会,总部设在美国的芝加哥,是一个非盈利组织。目前在世界上100多个国家设有160多个分会,现有会员两万多人,是全球公认的在IT的管理、控制和保证领域的权威,ISACA的任务是:通过发展促进对信息、系统、技术的有效管理与控制的研究、实施及标准、权限的制定来支持企业实现其目标。这说明该协会的存在就是为了帮助IT的管理控制及保证利益相关者妥善处理IT的管理、IT的风险、IT的运作过程及协作控制、协作管理、协作风险和协作程序的相互作用。

ISACA通过提供各种有价值的服务(如:研究、标准、信息、教育、认证、专业的远景)实现以上作用。协会帮助从事信息系统审计、控制、安全工作的人员,使之不仅注意IT、IT的风险与安全主题而且更要关注IT与商业、商业运作及商业风险的关系。起主要工作内容如下:

  • 设定标准-- 一般作为世界范围内的IT审计、控制的指导方针。
  • 一个令人尊敬的认证项目CISA--在IS审计、控制、安全领域内国际上承认的认证。
  • 一个关于关键的管理和技术主题的专业的发展项目。
  • 提供备受赞誉的技术出版物,包含最新的研究、案例学习、信息知识入门等。
  • 指导会员专业的活动和操行的职业道德准则。

通过ISACA会员共同的努力,该组织超越了地理、文化和职业界限,他们代表各种不同的企业团体,包括金融银行协会、会计审核公司、政府公共部门、公共事业及制造业等,通过选举或指定一个由全球的志愿者组成的团体管理这个协会,把他们独特的专业的见解带到协会中并用来作出组织的决定,这就是国际信息系统审计与控制协会的国际委员会。

为了体现对中国事务的重视,ISACA 理事会成立了一个工作组,专门负责ISACA和IT 审计与控制职业在中国的发展。该工作组由来自中国和世界各地的致力于ISACA 在中国发展的代表组成。ISACA 理事会的副会长Dean Kingsley担任中国工作组的主席。

(本文由孙  强 郝亚斌 郝晓玲 孟秀转共同完成)

    (作者孙强,赛迪顾问业务拓展总监,中国信息化推进联盟IT治理专业委员会副主任。美国注册信息系统审计师,国际信息系统审计与控制协会会员,中国信息系统审计与控制专业委员会(筹)发起人。发表多篇关于IT治理、信息系统审计和监理的文章。参与《信息系统工程监理》培训教材编写,主编《IT审计:理论与实务》、《IT服务管理:发展、理解与实施》等。欢迎您与作者孙强探讨您的观点和看法,联系电话:010-88559017电子邮件:sun6869@tom.com )
  • 上一篇文章:
  • 下一篇文章:
    • :查看相关:
  • 青啤ERP信息管理系统建设成功案例
  • 情景案例:宝威,难解的中国“结”
  • CCTN批发县(市)级电视台广告——“中国县(市)级电视广告网”营销案例
  • 肯德基(KFC)在中国——“世界著名烹鸡“专家”经营案例
  • 冰淇淋热战“比硬斗狠”——中国冰淇淋市场竞争案例

    		•