[原創(chuàng)]IT治理訣竅在控制

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

IT如何控制風(fēng)險(xiǎn)？IT如何為企業(yè)的風(fēng)險(xiǎn)作出它應(yīng)有的貢獻(xiàn)？這是個(gè)很大的題目，到底怎么下手？

為什么IT風(fēng)險(xiǎn)那么重要？我國(guó)企業(yè)信息化從1978年開(kāi)始到現(xiàn)在大概也就二三十年的時(shí)間，到現(xiàn)在我們已經(jīng)走過(guò)了一個(gè)基本的建設(shè)階段。我們以前的信息化注重行業(yè)的覆蓋以及硬件配置等等。從2000年開(kāi)始，我們的重點(diǎn)開(kāi)始轉(zhuǎn)移了，因?yàn)樵絹?lái)越的企業(yè)和單位意識(shí)到，我們的信息化要見(jiàn)效了，真正要為業(yè)務(wù)作貢獻(xiàn)了，也就是IT如何能為企業(yè)、社會(huì)、為政府創(chuàng)造價(jià)值的層面上來(lái)了。

在我們研究IT創(chuàng)造價(jià)值的時(shí)候，需要更多的去關(guān)注IT本身的風(fēng)險(xiǎn)，因?yàn)镮T已經(jīng)成為現(xiàn)代社會(huì)生活所不可分割的一部分，就像電、空氣和水一樣重要，一旦沒(méi)有了的話，企業(yè)可能會(huì)停止運(yùn)轉(zhuǎn)，政府也可能會(huì)受影響。所以，這種依賴性比較高的風(fēng)險(xiǎn)迫使我們?nèi)タ紤]如何控制IT，如何令I(lǐng)T支持社會(huì)和企業(yè)的正常運(yùn)轉(zhuǎn)。

在IT所面臨的風(fēng)險(xiǎn)里，比較重要的有如下幾個(gè)：

第一個(gè)是IT治理風(fēng)險(xiǎn)。在我國(guó)，信息化做得好的一個(gè)重要原因是一把手重視，IT主管比較懂行，另外可能因?yàn)樯朴诶蒙鐣?huì)資源。有的單位做不好的重要原因之一在于把IT當(dāng)成技術(shù)去處理了。而這突顯了我國(guó)還處于人治時(shí)代，還沒(méi)有達(dá)到真正的治理階段，但實(shí)際上對(duì)這個(gè)社會(huì)來(lái)講，靠人治已經(jīng)遠(yuǎn)遠(yuǎn)不能滿足要求，一定要把它變成制度化形式。因?yàn)椴还軗Q了哪屆領(lǐng)導(dǎo)，企業(yè)和社會(huì)還是要往前發(fā)展的，IT應(yīng)該是什么樣就是什么樣，不因?yàn)轭I(lǐng)導(dǎo)的重視不重視而重視或受到忽略。

而且IT不光是技術(shù)的問(wèn)題，實(shí)際上還是戰(zhàn)略的一方面，真正把IT制度建設(shè)起來(lái)，IT才能擺脫目前的這種人治狀況。


　　第二是規(guī)劃的風(fēng)險(xiǎn)。每個(gè)企業(yè)或政府單位在做信息化的時(shí)候都在做規(guī)劃，但很多規(guī)劃實(shí)際上還不夠具體不夠標(biāo)準(zhǔn)化，當(dāng)然這也是客觀存在且不可避免的。凡事沒(méi)有一次性的完美。

第三就是項(xiàng)目管理風(fēng)險(xiǎn)。IT架構(gòu)規(guī)劃好了以后，實(shí)際上要按照一個(gè)一個(gè)的項(xiàng)目去實(shí)施。有的項(xiàng)目實(shí)施周期很長(zhǎng)，有的要?dú)v時(shí)半年到一年的時(shí)間，甚至兩年以上。

第四是基礎(chǔ)設(shè)施的風(fēng)險(xiǎn)。網(wǎng)絡(luò)越來(lái)越復(fù)雜，補(bǔ)丁包越來(lái)越多，開(kāi)發(fā)程度也越來(lái)越深，這也導(dǎo)致IT風(fēng)險(xiǎn)越來(lái)越大。另外，我們對(duì)IT基礎(chǔ)設(shè)施的依賴性又特別強(qiáng)。

第五個(gè)是應(yīng)用系統(tǒng)的風(fēng)險(xiǎn)。應(yīng)用系統(tǒng)的風(fēng)險(xiǎn)在于需求是否清晰。很多的情況下，人們的需求與實(shí)際脫節(jié)，搞軟件的人不太懂業(yè)務(wù)，懂業(yè)務(wù)的人又不太懂軟件開(kāi)發(fā)里面的一些具體操作方法，導(dǎo)致需求混亂。

第六個(gè)是軟件安全控制風(fēng)險(xiǎn)。

第七個(gè)是IT服務(wù)交付風(fēng)險(xiǎn)。什么叫服務(wù)交付風(fēng)險(xiǎn)？即使服務(wù)商提供的軟件系統(tǒng)沒(méi)有漏洞，但也不等于說(shuō)用戶對(duì)系統(tǒng)百分百滿意，因?yàn)樗P(guān)注的是服務(wù)。這種大多在國(guó)企比較顯著。

第八個(gè)信息安全風(fēng)險(xiǎn)，則比較常見(jiàn)。而且信息安全的形勢(shì)越來(lái)越嚴(yán)峻。以前做木馬寫(xiě)病毒的人大多還只是為了炫耀自己的技術(shù)，而現(xiàn)在，病毒已經(jīng)成為一個(gè)產(chǎn)業(yè)鏈：有人專(zhuān)門(mén)寫(xiě)病毒，有人專(zhuān)門(mén)的抓取“肉雞”（可以植入病毒的電腦），專(zhuān)門(mén)有人在偷信息……形成了一條黑色產(chǎn)業(yè)鏈。

第九個(gè)則是業(yè)務(wù)延續(xù)的風(fēng)險(xiǎn)。天災(zāi)人禍等都會(huì)導(dǎo)致業(yè)務(wù)的硬性中斷，這個(gè)風(fēng)險(xiǎn)也要考慮在內(nèi)。

第十個(gè)則是績(jī)效風(fēng)險(xiǎn)。以前講IT只講投入不講產(chǎn)出，但對(duì)IT到底投了多少錢(qián)這個(gè)概念我們需要有。2005年我國(guó)在信息化改造提升方面投入了2829億，2006年是3227億元。增幅非常快。企業(yè)里最講究的是投入回報(bào)率，但對(duì)IT，我們很少有人去算投入產(chǎn)出，這就產(chǎn)生了黑洞。

第十一個(gè)就是合規(guī)性的風(fēng)險(xiǎn)。合規(guī)性以前只針對(duì)一般的企業(yè)風(fēng)險(xiǎn)，現(xiàn)在已經(jīng)慢慢過(guò)渡到IT部分。如果國(guó)內(nèi)企業(yè)到美國(guó)上市，就必須要遵從薩班斯法。

面對(duì)這么多風(fēng)險(xiǎn)，我們到底怎么辦？

第一是要建立一套IT制度，改變過(guò)去靠人治的方式。

從公司最高層面來(lái)說(shuō)要把IT治理環(huán)境建立起來(lái)。然后基礎(chǔ)層面的網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)、安全以及應(yīng)用系統(tǒng)，都需要獲取可靠的授權(quán)，然后，要通過(guò)一個(gè)一個(gè)的標(biāo)準(zhǔn)，進(jìn)行戰(zhàn)術(shù)性的IT治理流程。這些都建好了之后，關(guān)鍵要把它變成一個(gè)PTC的風(fēng)險(xiǎn)控制體系。

在戰(zhàn)略層面把IT的治理結(jié)構(gòu)完善之后，就要進(jìn)行公司業(yè)務(wù)層面的梳理。梳理完業(yè)務(wù)流程后，我們可以按生命周期把IT分為計(jì)劃、組織、獲取、實(shí)施，交付、支持和監(jiān)控等幾個(gè)方面。比如IT規(guī)劃到底有幾個(gè)步驟，到底應(yīng)該怎么做，建立一個(gè)框架式的東西。 同時(shí)還要考慮資源協(xié)調(diào)。

為了建設(shè)統(tǒng)一的平臺(tái)，我們可以引入一些國(guó)際上標(biāo)準(zhǔn)化的最佳實(shí)踐，比如說(shuō)信息安全管理和IT服務(wù)管理。最后，我認(rèn)為應(yīng)該形成一個(gè)審計(jì)制度，引入一套控制理念。

實(shí)際上，治理就是一種制度的安排。這個(gè)制度要解決什么問(wèn)題呢？首先解決的是決策問(wèn)題。決策不能靠人治的領(lǐng)導(dǎo)拍板，技術(shù)人員說(shuō)了算也不對(duì)。一種好的治理架構(gòu)應(yīng)該在不同的方面有不同的決策模式，有的需要坐在一起談，有的需要技術(shù)人員說(shuō)了算，有的必須由領(lǐng)導(dǎo)拍板。

進(jìn)行IT治理也需要有幾個(gè)階段。第一步，我認(rèn)為比較重要的就是要進(jìn)行規(guī)劃和架構(gòu)的設(shè)計(jì)。第二步就是要完善IT功能治理，達(dá)到初步的控制。到了第三個(gè)階段，讓IT實(shí)現(xiàn)跟業(yè)務(wù)融合，實(shí)現(xiàn)業(yè)務(wù)信息的安全。