分析：國(guó)內(nèi)信息化缺乏IT治理理念

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

前幾日，滬深大盤(pán)發(fā)生異常大跳水，7分鐘內(nèi)上證指數(shù)跌去近20點(diǎn)。業(yè)內(nèi)分析人士認(rèn)為，上證指數(shù)的風(fēng)云突變可能與下午上證所IT系統(tǒng)的故障有關(guān)。

據(jù)悉，在當(dāng)日下午，剛上市的招行認(rèn)沽權(quán)證由于成交量巨大，導(dǎo)致其行情顯示時(shí)總成交量字段溢出，致使其總成交量顯示異常，并使招行權(quán)證價(jià)格在股票分析軟件上成為一條不再波動(dòng)的直線。這種現(xiàn)象直接導(dǎo)致市場(chǎng)波動(dòng)，帶動(dòng)股指發(fā)生了兩波快速下跌。今年全球由于IT系統(tǒng)故障導(dǎo)致金融市場(chǎng)大動(dòng)蕩的現(xiàn)象已經(jīng)有多起發(fā)生。去年末，在短短的40天內(nèi)，東京證交所由于交易系統(tǒng)軟件升級(jí)出現(xiàn)問(wèn)題而導(dǎo)致了兩起重大事故。

IT系統(tǒng)建設(shè)的目標(biāo)是為了支撐業(yè)務(wù)更好地發(fā)展，但是IT系統(tǒng)故障卻直接影響了上證和東京證交所的業(yè)務(wù)正常進(jìn)行，IT系統(tǒng)背叛了業(yè)務(wù)目標(biāo)。

“各種組織對(duì)信息系統(tǒng)的依賴程度在不斷增加，更有一些組織若沒(méi)有IT支撐將不復(fù)存在，這導(dǎo)致IT本身已經(jīng)或潛在成為一個(gè)巨大的威脅?！敝袊?guó)IT治理研究中心首席專家孫強(qiáng)說(shuō)，“隨IT而來(lái)的風(fēng)險(xiǎn)、利益和機(jī)會(huì)使得IT治理成為公司和政府治理中很關(guān)鍵的一個(gè)方面?！?/P>

IT治理重在事前控制

北京信息空間文化經(jīng)濟(jì)研究院首席顧問(wèn)蘇彤老師在去年的中國(guó)公司治理暨IT治理年會(huì)上講過(guò)這樣一個(gè)故事。

魏文王問(wèn)名醫(yī)扁鵲說(shuō)：“你們家兄弟三人，都精于醫(yī)術(shù)，到底哪一位醫(yī)術(shù)最好呢?”

扁鵲回答說(shuō)：“大哥最好，二哥次之，我最差?！?/P>

文王再問(wèn)：“那么為什么你最出名呢?”

扁鵲答說(shuō)：“我大哥治病，是治病于病情發(fā)作之前。由于一般人不知道他事先能鏟除病因，所以他的名氣無(wú)法傳出去，只有我們家里的人才知道。我二哥治病，是治病于病情剛剛發(fā)作之時(shí)。一般人以為他只能治輕微的小病，所以他只在我們的村子里才小有名氣。而我扁鵲治病，是治病于病情嚴(yán)重之時(shí)。一般人看見(jiàn)的都是我在經(jīng)脈上穿針管來(lái)放血、在皮膚上敷藥等大手術(shù)，所以他們以為我的醫(yī)術(shù)最高明，因此名氣響遍全國(guó)?！?/P>

“這個(gè)為人熟知的故事講了一個(gè)很淺顯的道理——事后控制不如事中控制，事中控制不如事前控制。可惜大多數(shù)的事業(yè)經(jīng)營(yíng)者均未能體會(huì)到這一點(diǎn)，等到錯(cuò)誤的決策造成了重大的損失才尋求彌補(bǔ)。彌補(bǔ)得好，當(dāng)然是聲名鵲起，但更多的時(shí)候是亡羊補(bǔ)牢，為時(shí)已晚?！碧K彤評(píng)論說(shuō)，“這正是IT治理意味深長(zhǎng)的地方!”

根據(jù)美國(guó)IT治理協(xié)會(huì)的定義，IT治理是“一種引導(dǎo)和控制企業(yè)各種關(guān)系和流程的結(jié)構(gòu)，這種結(jié)構(gòu)安排旨在通過(guò)平衡信息技術(shù)及其流程中的風(fēng)險(xiǎn)和收益，增加價(jià)值以實(shí)現(xiàn)企業(yè)目標(biāo)?！敝袊?guó)IT治理研究中心在綜合研究的基礎(chǔ)上提出如下定義：IT治理用于描述企業(yè)或政府是否采用有效的機(jī)制(就是為鼓勵(lì)I(lǐng)T應(yīng)用的期望行為而明確決策權(quán)歸屬和責(zé)任承擔(dān)的框架)，使得IT的應(yīng)用能夠完成組織賦予它的使命，同時(shí)平衡信息技術(shù)與過(guò)程的風(fēng)險(xiǎn)、確保實(shí)現(xiàn)組織的戰(zhàn)略目標(biāo)。 “治理和管理的區(qū)別就在于：治理是決定由誰(shuí)來(lái)進(jìn)行決策，管理則是制定和執(zhí)行這些決策?！睂O強(qiáng)說(shuō)，“這是一個(gè)硬幣的兩面，誰(shuí)也不能脫離誰(shuí)而存在?！盜T管理是公司的信息及信息系統(tǒng)的運(yùn)營(yíng)，確定IT目標(biāo)以及實(shí)現(xiàn)此目標(biāo)所采取的行動(dòng)；而IT治理是指最高管理層(董事會(huì))利用它來(lái)監(jiān)督管理層在IT戰(zhàn)略上的過(guò)程、結(jié)果和聯(lián)系，以確保這種運(yùn)營(yíng)處于正確的軌道之上。

薩班斯法案需要善治型CIO

在美國(guó)安然公司的財(cái)務(wù)丑聞發(fā)生之后，美國(guó)政府頒布了薩班斯法案，這部法案也被稱為自羅斯福以來(lái)美國(guó)商業(yè)界影響最為深遠(yuǎn)的改革法案。這個(gè)法案對(duì)整個(gè)公司管理層對(duì)內(nèi)控體系和信息披露提出了嚴(yán)格的要求。并且針對(duì)要求提出了監(jiān)管和懲罰的措施?？傮w來(lái)說(shuō)，薩班斯法案是從公司會(huì)計(jì)的流程角度出發(fā)的，為什么會(huì)涉及到信息系統(tǒng)呢?畢博管理咨詢(大中國(guó)區(qū)) 總經(jīng)理遲邦勞指出，目前越來(lái)越多的企業(yè)依靠信息系統(tǒng)支撐業(yè)務(wù)運(yùn)作，而信息系統(tǒng)里面存在相應(yīng)的風(fēng)險(xiǎn)，所以就要建立一個(gè)信息系統(tǒng)的控制體系。薩班斯法案就是要求財(cái)務(wù)報(bào)表的準(zhǔn)確性，財(cái)務(wù)報(bào)表靠業(yè)務(wù)流程，而業(yè)務(wù)流程又是由信息系統(tǒng)支撐的。信息系統(tǒng)總體控制是針對(duì)信息系統(tǒng)共性的內(nèi)容，比如說(shuō)所有的信息系統(tǒng)都要有相應(yīng)的數(shù)據(jù)庫(kù)和服務(wù)器。對(duì)這些總體控制是不是能夠達(dá)到相關(guān)要求，也需要對(duì)信息系統(tǒng)做一些相關(guān)的控制。

法案中對(duì)企業(yè)影響最大的是302和404兩個(gè)條款。302條款主要是要求企業(yè)的高管簽署對(duì)企業(yè)重要事情不存在遺留。404條款要求企業(yè)管理層對(duì)企業(yè)必須建立一個(gè)有效的內(nèi)控體系，并且對(duì)內(nèi)控體系要進(jìn)行評(píng)估。評(píng)估內(nèi)容包括：

公司數(shù)據(jù)的完整性受到公司IT控制的充分性影響；

公司交易從交易開(kāi)始、記錄、處理到報(bào)告全程應(yīng)用IT；

加快并支持財(cái)務(wù)報(bào)告的IT控制；

IT控制有效性記錄與評(píng)價(jià)的要求；

IT一般控制與應(yīng)用控制；

利用IT自動(dòng)記錄并監(jiān)控控制制度的執(zhí)行。

孫強(qiáng)指出：“薩班斯法案要求CIO必須成為管理控制專家，不僅要參與到公司治理領(lǐng)域，以使IT與業(yè)務(wù)戰(zhàn)略從治理到管理再到執(zhí)行層面始終保持精確校準(zhǔn)，還要在完善內(nèi)部控制和全面風(fēng)險(xiǎn)管理體系中發(fā)揮作用?！?/P>