IT治理，中國需要嗎？（By AMT 管政）

申請免費試用、咨詢電話：400-8352-114

IT治理，中國需要嗎？

By AMT 管政

    2003年5月號《哈佛商業(yè)評論》雜志上，尼古拉斯·G·卡爾(Nicholas G．Carr)在一篇題為《IT不再重要》的長文中這樣說：“由于信息技術的能力和普及性已經(jīng)到達成熟階段，它的戰(zhàn)略重要性降低了。公司處理信息技術投資和管理的方式必須徹底變革?！边@篇文章引起了業(yè)界的強烈反響，全球巨頭都投入到這場“IT不再重要了嗎”的大討論中。另外，在國內(nèi)也展開了一些其他有關IT的討論，例如信息系統(tǒng)績效評估、風險控制、信息系統(tǒng)監(jiān)理、ERP/CRM/SCM/OA等先進信息系統(tǒng)的規(guī)劃、企業(yè)信息中心的變遷等。其中很多討論沒有答案，不過很多人已經(jīng)把尋求答案的目標歸結到信息系統(tǒng)審計與控制上。剛在北京舉行的 “中國IT治理論壇暨首屆信息系統(tǒng)控制與審計高級研討會”正是為尋求IT治理的相關問題的答案而召開的。大會以“IT新領域，戰(zhàn)略制高點”為主題，參會專家和廠商代表針對中國信息化建設的現(xiàn)狀與不足，討論了中國實施信息系統(tǒng)控制與審計的必要性和緊迫性。大會重點討論了企業(yè)“為什么需要IT治理”、“IT治理是什么”以及“IT治理的國際通用手段和標準有哪些？”。

 信息化的可持續(xù)發(fā)展談何容易

 回顧幾年來的發(fā)展，“信息化帶動工業(yè)化、工業(yè)化促進信息化”的國家戰(zhàn)略已日益深入人心，信息化應用取得了世人矚目的成就，尤其是在今年，電子政務、企業(yè)信息化、電子商務、城市信息化等建設為IT產(chǎn)業(yè)發(fā)展提供了巨大的市場空間。與此同時，我們也要清醒地認識到，隨著信息化建設和應用的深入發(fā)展，信息化建設和應用中一些深層次問題，也受到越來越廣泛的關注。胡克瑾教授認為：“當前中國的信息化建設的現(xiàn)狀特點是：信息系統(tǒng)的大型化、復雜化、多樣化、網(wǎng)絡化；對信息和信息系統(tǒng)的依賴性日益提高；對信息系統(tǒng)投資規(guī)模和成本不斷增大；系統(tǒng)脆弱性和威脅范圍的加大；對IT相關風險的管理被認為是企業(yè)治理的一個主要部分。同時，擺在我們面前的挑戰(zhàn)是：信息化給我們帶來什么？如何變革迎接挑戰(zhàn)？如何充分利用IT資源？如何管理好所依賴的信息與信息平臺？如何進行控制把風險降到最低？”

 中國的信息化建設如何實現(xiàn)可持續(xù)發(fā)展，如何提升投資回報？很多人開始考慮IT治理。IT治理這個新領域是以“IT治理”為總框架，涵蓋IT審計、信息安全審計、IT服務管理，著重研究IT發(fā)展與企業(yè)發(fā)展在治理結構、企業(yè)戰(zhàn)略、企業(yè)運營管理、風險與價值、成本與控制、審計與監(jiān)督、服務標準和規(guī)范等方面的新問題、新知識和新方法。這些內(nèi)容勢必對未來IT產(chǎn)業(yè)的發(fā)展、推進信息化建設有著十分重大的意義。陸培煒先生認為：“IT治理的提出，為企業(yè)在實現(xiàn)業(yè)務目標的同時平衡IT投資和風險方面提供一種機制。為了確保企業(yè)能夠實現(xiàn)業(yè)務目標，實現(xiàn)在風險管理和收益實現(xiàn)間的有效平衡，指導和管理各類IT活動就顯得非常迫切。”現(xiàn)在的問題是：如何在中國應用IT治理的輔助手段和標準。

 IT治理的四種輔助手段

 IT治理的使命是保持IT與業(yè)務目標一致，推動業(yè)務發(fā)展，促使收益最大化，合理利用IT資源，適當管理與IT相關的風險。IT治理的目標將幫助管理層建立以組織戰(zhàn)略為導向，以外界環(huán)境為依據(jù)，以業(yè)務與IT整合為中心的觀念，正確定位IT部門在整個組織中的作用。這些IT治理的使命和目標的實現(xiàn)需要通過多種輔助手段來實現(xiàn)，目前國際上通行的標準主要有四個：COBIT、ITIL、ISO/IEC17799和PRINCE2。

 （1）COBIT

COBIT（Control Objectives for Information and related Technology）：即信息系統(tǒng)和技術控制目標。成立于1969年的美國信息系統(tǒng)審計與控制協(xié)會ISACA，于1996推出了用于“IT審計”的知識體系COBIT?！癐T審計”已經(jīng)成為眾多國家的政府部門、企業(yè)對IT的計劃與組織、采購與實施、服務提供與服務支持、監(jiān)督與控制等進行全面考核與認可的業(yè)界標準。相應地，“注冊信息系統(tǒng)審計師”（CISA）日益成為世界各國發(fā)展信息化過程中，爭相發(fā)展的新興職業(yè)和領域。作為IT治理的核心模型，COBIT包含34個信息技術過程控制，并歸集為四個控制域：IT規(guī)劃和組織（Planning and Organization）、系統(tǒng)獲得和實施（Acquisition and Implementation）、交付與支持（Delivery and Support）以及信息系統(tǒng)運行性能監(jiān)控（Monitoring）。

 COBIT 目前已成為國際上公認的IT管理與控制標準。同濟大學博士生導師胡克瑾教授認為：“COBIT為3種不同的用戶而設計：首先是管理人員，幫助他們在通常無法預測的IT環(huán)境中平衡對風險和控制的投資；其次是用戶，幫助用戶獲得由內(nèi)部或第三方提供的對IT安全和控制服務的保證；再次是IT審計人員，證實他們就內(nèi)部控制問題向管理部門提出的意見和建議。”

 （2）ITIL

ITIL（Information Technology Infrastructure Library）：即信息技術基礎構架庫，一套被廣泛承認的用于有效IT服務管理的實踐準則。1980年以來，英國政府商務辦公室（GOC，原稱政府計算機與通信中心）為解決“IT服務質量不佳”的問題，逐步提出和完善了一整套對IT服務的質量進行評估的方法體系，叫做ITIL。2001年，英國標準協(xié)會在國際IT服務管理論壇（itSMF）上正式發(fā)布了以ITIL為核心的英國國家標準BS15000。這成為IT服務管理領域具有歷史意義的重大事件。

 ITIL是一套詳細描述最佳IT服務管理的叢書。它是一種公共框架、最佳實踐框架，服務質量是ITIL的核心。但ITIL只說明了要做什么（what），沒有說明如何去做（How），企業(yè)應根據(jù)需求去參照ITIL框架進行IT服務管理的建設，而不應追求大而全；并且ITIL不是一個理論模型，而是一個最佳實踐庫。

 （3）BS 7799

BS 7799(ISO/IEC17799)：即國際信息安全管理標準體系，2000年12月，國際標準化組織ISO正式發(fā)布了有關信息安全的國際標準ISO17799，這個標準包括信息系統(tǒng)安全管理和安全認證兩大部分，是參照英國國家標準BS7799而來的。它是一個詳細的安全標準，包括安全內(nèi)容的所有準則，由十個獨立的部分組成，每一節(jié)都覆蓋了不同的主題和區(qū)域。

 由英國標準協(xié)會（BSI）編寫的信息安全管理體系標準BS 7799-Part 1 (ISO 17799) 及BS 7799-Part 2為各種機構、企業(yè)進行信息安全管理提供了一個完整的管理框架。這一套‘姊妹對’標準引導機構、企業(yè)建立一個完整的信息安全管理體系，對信息安全進行動態(tài)的、以分析機構及企業(yè)面臨的安全風險為起點對企業(yè)的信息安全風險進行動態(tài)的、全面的、有效的、不斷改進的管理，并強調(diào)信息安全管理的目的是保持機構及企業(yè)業(yè)務的連續(xù)性不受信息安全事件的破壞，要從機構或企業(yè)現(xiàn)有的資源和管理基礎為出發(fā)點，建立信息安全管理體系（ISMS），不斷改進信息安全管理的水平，使機構或企業(yè)的信息安全以最小代價達到需要的水準。保護信息安全，建立信息安全管理體系是機構或企業(yè)營運的重要工作之一，尤其是BS 7799-2: 2002是目前最完整的參考依據(jù)，它以“計劃（Plan）、實施（Do）、檢查（Check）、行動（Action）”模式，將管理體系規(guī)范導入機構或企業(yè)內(nèi)，以達到“持續(xù)改進”的目的。

 （4）PRINCE2

PRINCE2（Projects In Controlled Environments）是一種對項目管理的某些特定方面提供支持的方法。PRINCE2描述了一個項目如何被切分成一些可供管理的階段，以便高效地控制資源的使用和在整個項目周期執(zhí)行常規(guī)的監(jiān)督流程。PRINCE2的視野并不僅僅限于對具體項目的管理，還蓋了在組織范圍對項目的管理。

 IT治理難點分析

 “中國特色的IT治理該如何做？”這個問題是目前IT治理存在的核心問題，到底IT治理在中國是否可行。我們可以列舉出若干個有關IT治理的“難點”。

 難點1：如何實現(xiàn)COBIT、ITIL、ISO/IEC17799和PRINCE2的整合，構建善治的IT治理機制？

難點2：中國的IT治理有兩條路，一是直接應用國外相對成熟的標準，二是借鑒國外的做法建立中國自己的治理標準，中國應該選擇哪一條路？

難點3：中國的企業(yè)應該最先導入什么標準，以及以后如何逐步導入其他標準？

難點4：中國信息化建設如何解決好核心的技術、流程和人的問題，尤其是流程和人的問題？

難點5：中國怎樣借鑒全球著名的“最佳實踐”？

難點6：在不完善的公司治理結構的基礎上，中國的企業(yè)能否以及如何做好IT治理？

難點7：IT治理如何得到政府部門的認可，如何從法律上制定相應的標準？

難點8：第三方審計、第三方監(jiān)理能否以及如何在中國得到切實的貫徹執(zhí)行？

難點9：IT治理的過程由誰來負責，又由誰來執(zhí)行？

難點10：作為上千萬家中小企業(yè)，該如何導入IT治理？

難點11：中國建立一套國外一百多年前的現(xiàn)在企業(yè)制度都那么難，而且做得不倫不類；那么現(xiàn)在討論IT治理的實施是不是有點不切實際？

這些難點將成為IT治理能否在中國獲得進一步發(fā)展的關鍵要素。IT治理這種提法很好，但是如何給中國的企業(yè)帶來價值并沒有明朗。

 IT治理，中國需要嗎？

 中國的信息化的投資回報一直是我們討論的重要話題之一。有人說，信息化看不出來給企業(yè)帶來多大價值，有人說，信息化的投資回報是一種軟效益，難以量化確定；也有人說，信息化的效益更多地體現(xiàn)為一種隱性效應、長期效應。

從IT治理的使命來看，它是為提升信息化的投資收益率服務的，是為了確保IT戰(zhàn)略與企業(yè)戰(zhàn)略保持更好的一致性，是為了提升IT投資在企業(yè)利潤貢獻中的作用。但分析中國目前信息化建設以及信息中心的現(xiàn)狀，談IT治理，本人認為難度較大。也許現(xiàn)在只能停留在概念形成階段，還遠沒有到應用和實施階段。

作者聯(lián)系方式：guancrm@163.com