走有中國特色的IT治理之路

申請免費試用、咨詢電話：400-8352-114

建立完善的信息化監(jiān)管與服務制度框架體系
 
走有中國特色的IT治理之路（代跋）

    近年來，“信息化帶動工業(yè)化、工業(yè)化促進信息化”的戰(zhàn)略國策日益深入人心，信息化應用取得了世人矚目的成就。與此同時，信息化建設和推進中深層次機制上的矛盾和問題，也受到了越來越廣泛的關注。這些問題包括：如何將IT戰(zhàn)略與業(yè)務戰(zhàn)略相融合？如何從公司治理的高度，對企業(yè)信息化做出制度安排？如何從戰(zhàn)略投資、企業(yè)管理變革的角度，降低IT的風險？信息中心的轉制與走向如何？如何利用發(fā)達國家和本國信息化的最佳實踐，指導行業(yè)和企業(yè)的信息化推進等工作？

    目前，發(fā)達國家的IT產業(yè)發(fā)展有了一些新的、值得關注的動向，這些戰(zhàn)略層面的動向，將對IT產業(yè)和信息化的理論與實踐產生重大的影響。用一句話來概括，這種動向就是——從制度、戰(zhàn)略、規(guī)范和標準的高度，重新看待IT的定位、作用和價值。以“IT治理”為核心，涵蓋信息系統(tǒng)審計、信息安全管理、IT服務管理及IT項目管理，著重研究IT發(fā)展與企業(yè)發(fā)展在治理結構、企業(yè)戰(zhàn)略、企業(yè)運營管理、風險與價值、成本與控制、審計與監(jiān)管、服務標準和規(guī)范等方面的新問題、新知識和新方法，勢必會對未來IT產業(yè)的發(fā)展，以及推進我國信息化建設有著十分重大的意義。

國際和國內背景

    1999年6月，世界銀行與經濟合作與發(fā)展組織為推動世界范圍內公司治理理論的發(fā)展簽署了理解性備忘錄。隨著美國的安然、世通、施樂、Tyco, Adelphia, ImClone及我國銀廣夏和藍田股份等一些公司丑聞的爆發(fā)，公司治理逐漸為大多數人所關注。突然間人們意識到一個企業(yè)的治理機制是多么重要。一旦公司治理鏈條有一個環(huán)節(jié)出現問題，就會引發(fā)一系列失敗，如陷入困境、破產等等。在這種情況下，全球股價走低并且?guī)缀鯖]有反彈的跡象就不足為奇了。2002年發(fā)布的美國薩班斯—奧克斯利法案，新增了許多加強公眾公司治理的規(guī)定，包括要求公司報告其內部控制體系。然而這個要求公司報告其內部控制體系法案，沒有詳述在確保公司治理效率方面IT的地位。

    在國內，IT產業(yè)和信息化應用已經步入了深化、整合、轉型和創(chuàng)新的關鍵時期，信息技術與信息系統(tǒng)對企業(yè)組織形態(tài)、治理結構、管理體制、運作流程和商業(yè)模式的影響日益深化；政府機構、企業(yè)組織對信息技術和信息系統(tǒng)的依賴性在日益加強；信息系統(tǒng)的安全、管理、風險與控制日益成為突出的問題；IT與業(yè)務應用的融合，是未來發(fā)展的核心；信息化應用的關鍵詞是：持續(xù)性、創(chuàng)造價值、風險與控制、整合、績效管理。在這樣的共識下，我們看到：越來越多的目光，聚焦在治理、審計、服務管理、風險與控制、安全等關鍵詞上。越來越多的最佳實踐，匯聚成日益豐富的新興知識體系和方法框架。這些領域正在為IT產業(yè)和信息化開辟新的領域，成為IT產業(yè)和信息化在健康規(guī)范的軌道上運行的制度保障。

國際上IT治理的發(fā)展歷程

    國際組織和各國普遍認為公司治理機制對世界金融市場的穩(wěn)定及經濟發(fā)展發(fā)揮了至關重要的作用，這直接促進了IT治理機制的形成與發(fā)展。在1999年，BIS發(fā)布了Internal Control: Guidance for Directors on the Combined Code( Turnbull Report, 1999)報告。該報告認為：企業(yè)風險來自于許多活動，不只是財務風險，因為事實說明，在金融界所有過去的風險問題都是由內部控制疏忽、信息技術失敗引起的，而且所有企業(yè)最終依靠對信息技術基礎設施的依賴和新技術風險的脆弱性，并呼吁高層領導樹立風險意識。從此，公司治理和風險管理成為企業(yè)所有者與管理者日益重要的問題。該報告引入了內部控制的要求，對許多組織而言，信息與其支持技術代表該組織最有價值的資產，而且，競爭和不斷變化的商業(yè)環(huán)境也要求企業(yè)能夠充分利用信息技術實現更快的交付和更低的成本。因此，有效的公司治理和風險管理必然需要有效的IT治理和IT風險管理。與此同時，BIS還簡單陳述了關鍵的信息系統(tǒng)，如何確保治理應該有效、透明，這也意味管理IT相關風險，實現IT價值的交付成為公司治理中重要的組成部分。

    1999年下半年，ISACA成立了IT治理研究院，專門研究IT治理的概念，并提出COBIT模型和最佳實務，幫助企業(yè)領導層認識有效實施IT治理的必要性與益處，從而保證長期的可持續(xù)的成功，并且增強利益相關者的價值。目前，該體系已在世界100多個國家的重要組織與企業(yè)中成功運用，指導這些組織有效利用信息資源，有效地管理信息相關的風險。

對IT本質的新認識

    我們長期以來致力于信息化建設中深層次機制問題的研究，研究表明：推動信息化同樣是“制度重于一切”，例如，建造一個信息系統(tǒng)是容易的，讓這個系統(tǒng)有效地運轉起來則是現實的難題。決定信息系統(tǒng)是否有效運轉的因素不是信息技術，而是制度、組織結構、規(guī)則與標準，最終是人。因此，在這些因素之上，需要合理有效的制度安排。由此，我們認識到良好的公司治理對信息化建設成功的重要性，也可以說建立現代企業(yè)制度及良好的公司治理是信息化建設成功的必要條件，反過來，我們也非常清楚地看到在公司治理過程中IT的重要作用。在此基礎上，中國信息化推進聯(lián)盟在今年十月成立了IT治理專業(yè)委員會，此后，我們對IT的本質及IT治理對政府或企業(yè)的重要性有了新的認識，這些認識可以總結歸結為以下三點：

1. IT可以增加利益相關者價值。

    信息是有價值的，和其他無形資產（如人力資本、品牌與管理質量等）一樣，是企業(yè)核心競爭力的一部分，這些資產的運轉都離不開IT的應用。目前，越來越多的企業(yè)管理層認識到一個組織的信息資產及其利用信息資產能力的戰(zhàn)略重要性。這些無形資產的重要性的增加，必然要求人們在如何為利益相關者創(chuàng)造價值方面重新定位信息技術。

    但是，IT并不是改善管理、業(yè)務流程、工作實踐的萬能工具，任何IT項目如果無法協(xié)助公司達成業(yè)務戰(zhàn)略目標，那么對這個公司而言就沒有任何價值。事實上，國外的研究表明，公司收益率與其在IT方面的花費完全沒有關系，IT就像其他工具一樣，必須通過有效的應用才能體現價值，因此，關于IT投資戰(zhàn)略與業(yè)務戰(zhàn)略的一致性就是一個非常值得探討的課題。

2. IT是實現業(yè)務目標的基本要素。

    沒有持續(xù)、有效的IT應用，沒有業(yè)務應用與IT的一致融合，業(yè)務目標是無法實現的，甚至一些企業(yè)將無法生存，如銀行、航空公司、通訊和媒體等，他們依賴于建立在IT基礎上的各種商業(yè)模型，諸如供應鏈管理等，沒有IT支持，他們難以實現業(yè)務流程自動處理，實現現金流，同樣，沒有IT他們也難以達到合同服務水平等。

3. IT占用大量的投資，并給企業(yè)帶來風險。

    IT占用大量投資，具有很大的風險，這要求管理高層要特別重視IT投資。如努力使IT戰(zhàn)略與公司業(yè)務目標一致，采用新技術，采用廣泛且有效的流程變革等。

結論和建議

    從以上的分析可見，在信息時代，信息資產和知識資產是企業(yè)最具價值的核心資產要素；信息化是一個需要從治理層面予以關注的戰(zhàn)略問題；信息化需要監(jiān)管、制衡和審計；信息化管理需要規(guī)范和標準。

    以信息安全管理為例，已有國際標準ISO17799，我國的國家標準應如何與ISO17799接軌？又如IT服務管理，凝聚著全球眾多企業(yè)最佳實務的結晶，已經成為事實上的國際IT管理標準，我們應當如何看待、吸納、消化這個對于國內尚是新興的領域知識，并形成對國內信息化建設管理指導性、監(jiān)督性和服務性的制度框架和知識體系？我們如何培養(yǎng)自己的信息主管（CIO）、信息系統(tǒng)審計師或信息安全管理顧問？他們具有什么樣的職能、職責和工作規(guī)范？這些問題都是亟待從國家戰(zhàn)略的高度，綜合政策、法規(guī)、行業(yè)規(guī)范、知識傳播、應用推廣、學術交流等各個層面的工作，有序推進的一件大事。

    我們的建議可以歸納為建立完善信息化監(jiān)管與服務制度框架。這是一項系統(tǒng)的工程，任何從技術、業(yè)務、管理和戰(zhàn)略單一層面解決問題的努力都是無效和失敗的，因此，應該建立完善的信息化監(jiān)管與服務制度框架體系，這一完善的體系里應該有四方面：

• IT項目管理；
• 面向集成商的資質管理；
• 第三方的監(jiān)理與審計服務；
• 面向用戶的管理標準規(guī)范，包括IT服務管理和信息安全管理。

    在這四個方面，IT項目管理是后三者共同需要的管理手段，面向集成商的資質管理已經為我國信息化市場的規(guī)范發(fā)展發(fā)揮了良好的促進作用，第三方的監(jiān)理服務正在有序推進，現在急需加強的是對信息系統(tǒng)運營階段的審計和面向用戶的管理標準規(guī)范，這些領域都已有相應的國際標準，我們可以在借鑒消化的基礎上，建立符合國情的對應標準。具體標準規(guī)范如下：

一、 IT項目管理、信息系統(tǒng)審計、IT服務管理及信息安全管理標準規(guī)范。
二、 IT項目管理、信息系統(tǒng)監(jiān)理和信息系統(tǒng)審計軟件。
三、 監(jiān)理工程師和信息系統(tǒng)審計師職業(yè)規(guī)范體系的建立。
四、 監(jiān)理、審計行業(yè)管理體制研究。
五、 監(jiān)理、審計公司內部管理機制研究。
六、 監(jiān)理、審計職業(yè)規(guī)范指南——質量控制。

    設計該系統(tǒng)應考慮以下方面：

• 經營理念
• 組織結構
• 建立、健全質量控制系統(tǒng)的政策與程序
• 溝通質量控制程序的方式
• 監(jiān)理、審計公司的規(guī)模
• 現行質量控制系統(tǒng)
• 所提供專業(yè)服務的性質
• 負責人及監(jiān)理、審計人員執(zhí)業(yè)的自主性程度
• 監(jiān)理公司的區(qū)域分布等

    總之，在市場經濟條件下，政府的作用是加強“引導、規(guī)范、監(jiān)管、服務”，而信息系統(tǒng)工程的突出特點是投資和風險都很巨大，因此對其進行合理規(guī)范、監(jiān)管與服務顯得尤為重要。目前信息產業(yè)部已經或正準備出臺信息系統(tǒng)工程監(jiān)管與服務的一系列辦法，如信息系統(tǒng)工程集成資質、監(jiān)理資質、咨詢資質、績效評估等，對信息系統(tǒng)工程的質量起到了很好的制度保障作用。然而，各方也普遍認識到這些制度需要與時俱進。因此，研究與探討國際上IT治理與管理的先進經驗，走有中國特色的IT治理之路，建立有中國特色的相對完善的信息系統(tǒng)工程監(jiān)審制度、IT服務管理標準以及信息安全管理標準，規(guī)范信息化建設市場的秩序，保證信息系統(tǒng)工程的質量，降低風險，提高信息系統(tǒng)工程的效率與效益，培育高素質的中介服務機構和從業(yè)人員，是加快推進我國信息化建設步伐的一項重要工作。