監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價咨詢管理系統(tǒng) | 工程設(shè)計管理系統(tǒng) | 甲方項目管理系統(tǒng) | 簽約案例 | 客戶案例 | 在線試用
X 關(guān)閉

中國IT治理和風險管理的現(xiàn)狀、挑戰(zhàn)和對策

申請免費試用、咨詢電話:400-8352-114

Amteam.org

2008 IBM IT 治理和風險管理高峰論壇在北京亮馬河飯店隆重開幕,本次大會主題:“駕馭IT風險 護航業(yè)務(wù)創(chuàng)新”大會將在“改善服務(wù)管理;維持業(yè)務(wù)連續(xù)性;加強IT安全性”這幾方面進行深入的探討,在大會上中國IT治理研究中心主任兼首席專家孫強先生進行了以“中國 IT 治理和風險管理的現(xiàn)狀、挑戰(zhàn)和對策”為主題的演講。

在講演中孫強先生表示:駕馭IT風險、護航業(yè)務(wù)創(chuàng)新這個話題我想主要從三方面展開,我們主要去看我們今天所面臨的現(xiàn)狀,我們的問題和挑戰(zhàn)在哪里?針對這樣的問題和挑戰(zhàn)我們給出的對策是什么?在這樣一個環(huán)境中,現(xiàn)狀、挑戰(zhàn)和問題都是一一對應的。

現(xiàn)狀之一就是政府和監(jiān)管機構(gòu)正在不遺余力地出臺大量合規(guī)的要求,所以在2001年的時候,我們可以認為在信息產(chǎn)業(yè)的發(fā)展上以及人類的歷史上出現(xiàn)了一個分水嶺,此后的年代我們稱之為合規(guī)的年代。在這樣的背景下,所有各方都是在治理和內(nèi)部控制方面尋找更大的保障。另外一個現(xiàn)狀是我們會看到在法規(guī)的遵從上不存在折衷與妥協(xié),比如我們的企業(yè)要上一套erp系統(tǒng),高管層基于業(yè)務(wù)需求各方面的判斷有可能同意有可能不同意,但是在外部的法律法規(guī)問題上沒有討價還價的余地,這成了非常大的時代特征。我們會看到有一些上市公司,包括中國最早去美國上市的,也是基于合規(guī)成本太高昂等等一些原因就從美國資本市場上摘牌了。除了國外中國的政府和監(jiān)管機構(gòu)出臺了一系列在合規(guī)方面的法律法規(guī)的要求。

現(xiàn)狀之二是我們會看到在中國的政府部門和企業(yè)的信息化建設(shè)正在大規(guī)模地進行,進入到整合應用和加強IT運維服務(wù)管理為主要特征的運行維護階段,也就是在10多年大規(guī)模建設(shè)的階段正在從建設(shè)階段向建設(shè)與應用并重以及與應用和運行維護主要特征這樣一個階段轉(zhuǎn)型。第二個現(xiàn)狀就是治理型的運維管控體系成為IT服務(wù)管理的發(fā)展趨勢,這點我們看的很明顯。治理型的IT服務(wù)管理,至少有以下幾個特征:

第一個特征就是高層一定要參與進來,高層要意識到它要對業(yè)務(wù)的可持續(xù),IT如何為業(yè)務(wù)交付價值負責任。第二個特征是我們再去做像IT服務(wù)管理的項目,不會像此前那樣上一套軟件設(shè)計一套管理流程,現(xiàn)在變成一種新的模式,這種模式就是首先我們要決定我們IT治理的模式,基于IT治理模式?jīng)Q定我們管理的模式,比如這種管理模式有可能是集中的運維的管理模式?;谶@種管理模式會決定我們的管理體系,比如流程的管理體系、規(guī)章制度的管理體系、績效的管理體系、運維費用的管理體系、技術(shù)體系等等。在確定了管理體系之后,才會確定我們的技術(shù)體系,也就是說把以前第一步就做的工作現(xiàn)在放到最后一步。因為我們確定技術(shù)選型的方案再確定我們選用哪一家公司的軟件產(chǎn)品。這是IT服務(wù)管理在這個時代的顯著的特征。

在去年北京市電子政務(wù)的發(fā)展階段有這樣一個調(diào)查,這個調(diào)查表明北京市的電子政務(wù)的發(fā)展總體已經(jīng)進入到深化應用和加強IT運維服務(wù)管理為主要特征的運行維護階段,這里有一些數(shù)據(jù),從2001年2007年上半年投到運維上的資金始終保持高速增長,運維費比2006年同比增加了10%、2007年同比增加20%,2008年初步預算增長約46%,并且在這張圖上我們可以看到,我們用藍色表示的是建設(shè)資金,藍色在2007年的時候建設(shè)資金在持續(xù)攀升之后終于出現(xiàn)下降的趨勢。

現(xiàn)在越來越多的采用外包,信息化的建設(shè)在2000年之前有很多還是由甲方自行地開發(fā)。2007年去看的時候,基本上100%的建設(shè)、開發(fā)全部是外包的,這是由社會專業(yè)服務(wù)機構(gòu)來提供的,運行維護這塊,我們看一下這塊的比例,大概也有超過59%是由社會外包來承擔的。

IT治理的五大領(lǐng)域成為關(guān)注焦點:第一,IT與業(yè)務(wù)戰(zhàn)略的融合,這是非常大的挑戰(zhàn)。應該說這是一個系統(tǒng)的問題,系統(tǒng)的問題按照中國文化來講就是要用系統(tǒng)的方法來解決。第二,價值交付。第三,資源管理。第四,風險管理。第五,績效管理。所有的這些都是為了統(tǒng)一的目標,就是提升我們的競爭優(yōu)勢,構(gòu)筑我們中國企業(yè)的核心競爭力?,F(xiàn)在突然出現(xiàn)了很多新的概念,很多的企業(yè)就搞不明白,他們會問:IT治理跟風險管理、跟內(nèi)部控制、跟信息安全跟內(nèi)部審計、外部審計是什么關(guān)系?是不是IT治理的工作就要由高管層去做,包括利益相關(guān)者?風險管理部門有風險管理的部門,內(nèi)控有內(nèi)控的部門,審計有審計的部門。因為這些東西在歷史上的起源是各不相同的,它經(jīng)歷了不同的發(fā)展歷程,但是在進入到信息社會之后,我們的企業(yè)在信息社會的條件下,這些概念開始融合了,比如風險管理方面,風險方面在原始社會,當時的人為了規(guī)避自然的災害——雷電、風雨,他們躲到洞里面就視為風險管理的起源。其實風險管理在70年代的時候只用于保險行業(yè),在出現(xiàn)了大規(guī)模的分布式、網(wǎng)絡(luò)化的信息技術(shù)條件下這些概念開始融合了。

在未來我們可以看到,這些東西會變成一回事,因為它本質(zhì)上都是服務(wù)于企業(yè)這一相同的目標,比如企業(yè)合規(guī)的目標,企業(yè)運營管理的效果和效率目標?,F(xiàn)在我們不能把它看成IT治理就是基于高管層負責,風險管理由風險部門負責,企業(yè)里面還有信息安全的部門,他們覺得風險管理跟我沒關(guān)系,我是做信息安全的,如果有這樣的認識偏差會導致我們實際工作中無所適從。

現(xiàn)狀之三就是信息化管理機制問題成為制約信息化快速發(fā)展的主要障礙之一。應該看到,現(xiàn)在我們國家的信息化建設(shè)要做的工作不是信息技術(shù)和設(shè)備的升級再造,現(xiàn)在它變成了業(yè)務(wù)流程的重組和利益的再分配,它變成了不是一個純技術(shù)的事情了。這相當于我們國家的行政體制改革一樣,它已經(jīng)進入到深水區(qū),涉及到體制和利益的調(diào)整,制約了一些部門和崗位的自由載量權(quán),有些部門推進的積極性不高,造成業(yè)務(wù)與IT兩張皮,使得地區(qū)間、部門間發(fā)展不均衡,影響了跨部門、跨地區(qū)應用的開展?,F(xiàn)在電子政務(wù)的提法會在國內(nèi)某些地區(qū)引起誤區(qū),我們應該提電子政務(wù)的提法,如果要提電子政務(wù)的話,每個部門就勢必會想我要為我的業(yè)務(wù)做出一套系統(tǒng)出來,這樣的話就會派生出很多的應用系統(tǒng)出來,事實上我們現(xiàn)在要建設(shè)的是服務(wù)型政府,包括企業(yè)也一樣,最終是要為客戶交付價值。我們?nèi)タ碈IO的缺失應該是缺乏IT治理的概念,在中國只有極少數(shù)的企業(yè)里面設(shè)立了CIO的制度。CIO不是在中國可以隨隨便便就可以開展的工作,但是我們還有一些創(chuàng)新的做法,比如在一些企業(yè)里面,并沒有進入到高層的或者進入到常委、黨組成員這樣層級的CIO里面,但是它可以做覆蓋信息化生命周期管控流程,通過明確這些管控流程,負責人巧妙地解決CIO如何協(xié)調(diào)各個職能部門處理跨部門的業(yè)務(wù)流程整合與創(chuàng)新的問題。這樣會給我們一個思路,我們可以用創(chuàng)新的方法去破解關(guān)鍵之坎、制度之坎和體制之坎。

剛才我們談的是我國IT治理和風險管理的現(xiàn)狀。下面我們看一下挑戰(zhàn)在哪里?挑戰(zhàn)會有很多,在IT治理方面的壓力和董事會的職責越來越凸顯。在合規(guī)年代之前信息中心的負責人很少有機會和高管層對話,現(xiàn)在很多在美上市企業(yè)由于做合規(guī)的工作,可能一個月或者一個季度信息部的負責人都有機會向高層、董事長匯報IT控制體系有效性方面的工作。但是這個挑戰(zhàn)其實是在于國內(nèi)外,包括國際上對信息資產(chǎn)的監(jiān)管尚無可遵循的標準。事實上,對信息資產(chǎn)的監(jiān)管現(xiàn)在是沒有標準的,但是我們對財務(wù)標準的監(jiān)管是有標準的,國際上是有會計準則的,資本市場也有一系列的關(guān)于財務(wù)報告的要求,中國的財政部也有很多的關(guān)于財政管理的規(guī)章制度,也是有一些標準的。在信息資產(chǎn)的監(jiān)管上現(xiàn)在全世界是沒有標準的,由于其他的一些客觀原因,董事會對IT是不進行監(jiān)管的,因為它只是一個工具而已,它并沒有變成影響到全局的東西,所以董事會當然不會去監(jiān)管。但是在今天來說,對財務(wù)不進行審計是一件非常危險的事情。我們也會看到,我們與發(fā)達國家和先進企業(yè)的差距在于,這些企業(yè)大概在十年之前就開始了IT治理的征程,我們會看到我們與他們的差距不是在技術(shù)和設(shè)備的先進應用上面,我們可能用到的技術(shù)和設(shè)備比他們還要先進,是在治理的水平和管理的水平上面的差距。

挑戰(zhàn)之二是監(jiān)管我國的信息化正在進入以整合應用和加強IT運維服務(wù)管理為主要特征的運行維護階段,比如我們現(xiàn)在所遵循的IT治理標準主要都是國際上的,在這方面中國整個信息化建設(shè)的制度安排基本上是健全的,比如建設(shè)階段對廠商資質(zhì)的管理、軟件開發(fā)商的資質(zhì)管理,有集成資質(zhì)的認證,包括有做績效評價的一些方法,還有監(jiān)理的管理辦法,這都是由中國政府部門頒布的。包括有驗收的管理辦法,整個的制度安排是比較健全的,但是現(xiàn)在在信息化生命周期最源頭就是關(guān)于IT治理的標準,IT服務(wù)管理的標準有了一個非常好的全球的最佳的ITIL,這個東西對我們來說是非常好的,從最近幾年的發(fā)展勢頭來看,大概是在IT服務(wù)領(lǐng)域已經(jīng)處于壟斷地位了,在這種情況下,中國的企業(yè)和中國的政府部門需要基于最佳時間發(fā)展出來有中國特色的符合企業(yè)特點的IT服務(wù)管理的知識體系和管理規(guī)范。

去年因為我們做了一些調(diào)查研究,有這樣一些數(shù)據(jù),就以北京市為例,所有的政府機構(gòu)共有信息化工作人員789人,這些人員當中,90%以上的人員對運維的國際標準,ITIL和ISO20000表示未聽說或者未了解。從事運維的人員基本上都沒有國際公認的從事運維的上崗證書,就是ITIL的認證。71%的部門領(lǐng)導認為運維比建設(shè)更重要,但內(nèi)部運維力量不足,一方面是人員不足,核心業(yè)務(wù)系統(tǒng)按370個來計算,假設(shè)所有人員參與運維,平均每個系統(tǒng)運維的人員僅有兩個人,現(xiàn)在政府的應用系統(tǒng)可能是服務(wù)于上千萬的我們的老百姓,但只有兩個人員在運維。另外一方面懂運維的人非常少,全市的運維工作大多數(shù)是外部企業(yè)承擔的,共有130多家,外包的能夠提供運維工作的有130多家。提供安全管理工作的有30多家,在所有的運維服務(wù)企業(yè)中,僅有一家擁有ISO20000的證書。89%的企業(yè)集中提供簡單的技術(shù)設(shè)備、網(wǎng)絡(luò)和系統(tǒng)的運維,比如提供桌面的運維,只能提供一些簡單的運維服務(wù)。這也是一個很大的挑戰(zhàn)。

大家一方面越來越意識到運維工作的重要性,但是這件事情到底應該怎么去干,沒有知識體系、沒有管理規(guī)范去遵循,所以并不知道怎么去做。

挑戰(zhàn)之三就是信息化管理的體制和機制層面的障礙導致了以下問題面臨著極大的挑戰(zhàn):IT戰(zhàn)略與業(yè)務(wù)戰(zhàn)略的融合,IT能力與業(yè)務(wù)價值去協(xié)調(diào),從而核心競爭力使IT投資獲得最大的回報。為什么體制和機制層面的障礙會導致這些問題呢?因為我們講IT要與業(yè)務(wù)融合,首先在治理層面就是IT與業(yè)務(wù)要融合。我們在前面看到的那些發(fā)達國家、先進企業(yè),他們董事會里面不光有薪酬委員會、投資委員會、審計委員會等等,還會有一個IT委員會,這個委員會負責治理層面的IT和業(yè)務(wù)的融合工作,因為如果在治理層面失之毫厘,那在操作層面就會差之千里。在座的各位都是信息化部門的領(lǐng)導,如果在高層IT和業(yè)務(wù)失之毫厘,雖然在下面做了很多的IT業(yè)務(wù)的精細的管理工作,但它們還是不一致的,還是兩張皮的,這個問題還是要從機制和體制問題解決它。

另外一塊,我們講到CIO所面臨的新挑戰(zhàn)就是要成為IT控制的專家,內(nèi)部控制最早只是應用于財務(wù)管理的領(lǐng)域,在座的各位可能都是信息技術(shù)方面的專家,現(xiàn)在要求如何將IT與業(yè)務(wù)戰(zhàn)略融合,IT的能力與業(yè)務(wù)的價值相匹配,然后將整個信息化的建設(shè)生命周期都置于嚴格的控制下,那樣才能創(chuàng)造出最大的業(yè)務(wù)價值,所以其實是要我們成為一個控制的專家,這對于我們來說是非常大的挑戰(zhàn)。首先從知識體系來說就是一個非常大的挑戰(zhàn),并且我們要把IT的控制和我們整個的企業(yè)的控制、企業(yè)層面的控制、業(yè)務(wù)流程層面的控制相融合,這又是一個非常大的挑戰(zhàn)。所以基于前面講到的現(xiàn)狀、挑戰(zhàn),我們給出的對策就是實施IT治理,實施IT治理我們可以認為是信息的治理。曾經(jīng)鄭和信息治理做的非常好,中國信息治理做的好的例子太多了,中國的長城在秦朝的時候,來自周邊地區(qū)少數(shù)民族的軍事上的進攻非常多,又要守衛(wèi)著這么大的疆土,所以在秦朝的時候修復了長城,它用來傳遞信息,在明朝的時候現(xiàn)在甚至把長城修到了海里,徹底阻斷了倭寇進攻的路線,中國在唐朝的時代是世界上最發(fā)達的國家,軍事實力也是最強大的,這表明在中國3000年歷史中信息治理做的好的比比皆是。

今天我們在IT風險上面臨著幾大挑戰(zhàn),必由之路就是要去實施IT治理,這里面我們有很多的觀點,由于時間關(guān)系,只能給出一個基本的思路:

第一步,我們需要建立IT治理與風險管理的機制和框架。也就是第一步需要我們把藍圖做出來,我們現(xiàn)在在哪里,要到哪里去,中間這塊怎么才能做得到。

第二步,需要找一位有IT領(lǐng)導力的領(lǐng)導者,他統(tǒng)管IT治理與風險管理的機制和架構(gòu)。這不管在國外還是中國企業(yè)都是這樣,有領(lǐng)導力的領(lǐng)導者太重要了。

第三步,企業(yè)需要通過事先設(shè)計的組合管理方法來綜合性地應對IT風險。最重要的是要指出風險管理的本質(zhì)與最終目標是要塑造具備良好風險管理意識的企業(yè)文化,這才是一個具有優(yōu)秀信息技術(shù)能力的、創(chuàng)新型與學習型的企業(yè)所要具備的基本特征。我們曾經(jīng)要做一些IT治理和IT管理的顧問工作,一開始做這個顧問工作的時候,甲方覺得這么大的工作量都由我一個人來負責,這怎么能行呢?我們跟他講你要把IT治理和IT管理所遵循的國際標準,去嚴格地實施IT管理所遵循的流程,逐步地把它形成一種文化。大概是在十天之前,我們再去這個客戶那里做調(diào)研的時候,他們告訴我們,在昨天我們配置管理流程的經(jīng)理主動地發(fā)起一次討論,他基于平臺上搜集來的信息、基于他的觀察和其他人的建議,召集大家主動地做這個流程。這需要變成一種文化,變成不是有規(guī)章制度要求他做這件事情,而是大家覺得我要做這件事情,這就是文化。它本質(zhì)上確實是一個文化的問題。

最后,我們?nèi)タ纯碔T治理實施的路線圖,這個實施路線圖的遵循應該是從世界觀到方法論再到具體的操作實踐的思路展開。我們做這件事情,IT治理僅僅是一個方法論的東西,首先要確定我們要建設(shè)高效可持續(xù)發(fā)展的信息化,把這個作為我們的世界觀,當然這個具體內(nèi)容我們有一系列的文章,什么是科學的信息化發(fā)展觀?這在互聯(lián)網(wǎng)上大家都可以搜索到。確定了世界觀之后,我們就需要從體制和機制、制度安排的層面做一些設(shè)想、設(shè)計,這就是IT治理的工作,我們要設(shè)計這個框架是什么樣的、機制是什么樣的,誰來治理、治理什么?治理的內(nèi)容是什么?如何去評價這樣一個治理?去設(shè)計這樣一些工作。

在打好了這樣體制機制制度安排的基礎(chǔ)上,我們就可以逐項進行IT風險管理工作。為什么叫IT的風險管理不叫IT的管理呢?因為我們有這樣一個研究,我們發(fā)現(xiàn)現(xiàn)在所有的管理都是風險管理,所有的管理都是績效管理,所有的管理也都是流程管理,其實它是一回事,所以我們以后把IT的管理就叫做IT的風險管理,不再是以前的投入產(chǎn)出的問題,而是風險與收益的問題。

首先,IT治理和風險管理是需要長期制度化的方法來實現(xiàn)的工作,它不是一蹴而就的東西,需要我們要以一個平常心來看待它。因為很多企業(yè)試圖讓我們用半天的時間告訴他IT治理是什么,到底是什么工作,這不可能做到。

第二,我們一定要以全球最佳時間為出發(fā)點,例如ITIL等。當然我們應該站在巨人的肩膀上。如果我們的企業(yè)都遵循這樣一種控制流程,這個控制流程的目的就是用來改善企業(yè)的內(nèi)部控制系統(tǒng),進而達成合法合規(guī)這樣一個目標,就會給我們企業(yè)帶來一個持久的收益。

一旦中國的企業(yè)形成了與企業(yè)文化相適應的良好治理結(jié)構(gòu)和治理機制,這就會成為中國企業(yè)國際競爭力的核心源泉。

來源:比特網(wǎng)ChinaByte

發(fā)布:2007-03-25 10:24    編輯:泛普軟件 · xiaona    [打印此頁]    [關(guān)閉]
相關(guān)文章: