IT治理十問十答之四——怎樣建立動態(tài)的IT治理機制？

 IT治理是一個系統(tǒng)的過程。IT治理是控制、指導、協(xié)調組織戰(zhàn)略目標和IT目標的系統(tǒng)，是IT治理主體、客體、IT治理結構、IT治理機制的總稱，是內部IT治理、外部IT治理的融合，是IT治理方法、過程、目標與結果的統(tǒng)稱，是為了實現(xiàn)IT治理目標所有制度安排與機制的集合。IT治理系統(tǒng)的目標是提供IT決策機制的科學化、決策過程的協(xié)調交互性和決策結果的創(chuàng)新性。

 首先需要轉變觀念

拿著IT這樣的現(xiàn)代武器，管理者卻依舊是滿腦袋的傳統(tǒng)觀念，結果可想而知，因此首先需要轉變觀念。在最高管理層（董事會）樹立和維護IT戰(zhàn)略地位的思想認識，建立企業(yè)戰(zhàn)略與IT戰(zhàn)略的互動觀念，闡明IT應擔當?shù)慕巧?，從業(yè)務的視角創(chuàng)造信息技術指導原則，如信息化規(guī)劃本質上可以定位成從業(yè)務戰(zhàn)略到信息戰(zhàn)略的實現(xiàn)。從組織的戰(zhàn)略出發(fā)而不是從系統(tǒng)的需求出發(fā)，可以避免脫離目標而進行建設的困境。從業(yè)務的變革出發(fā)而不是從技術的變革出發(fā)，有利于充分利用組織的現(xiàn)有資源來滿足關鍵需求，從而避免建設的信息系統(tǒng)無法有效地支持組織的決策。又如利用電子商務消除時間和空間得特性，發(fā)展與全球客戶的關系，能夠引導鞏固客戶數(shù)據(jù)庫和訂單處理過程。

 發(fā)展外部環(huán)境

目前我國外部市場監(jiān)控機制尚不健全，公司治理結構中的監(jiān)控職能被嚴重削弱，并使董事會失去監(jiān)督。另一方面，風險管理意識淡薄，安全上采用純粹技術手段解決。缺乏優(yōu)良公司治理和IT治理機制是一些國內企業(yè)與金融機構無法抵御全球經濟低靡和無法適應市場環(huán)境快速變化的重要原因之一。因此，加強IT治理實質上是一個政府和企業(yè)機構必須攜手面對的問題。政府必須扮演一個重要的推動角色，并且尤其需要強調的是政府制定規(guī)則比較合理的方法是通過聽證會或知情會上下協(xié)商、交互式地制定規(guī)則（非自上而下制定規(guī)則的方法，新制式車牌的暫停發(fā)放就是沒有善治的案例），這樣才能解決規(guī)則的充分合法性、可執(zhí)行性問題，“治理不是一種正式的制度，而是持續(xù)的互動”（《我們的全球伙伴關系》）；鑒于全球化和信息技術的無國界性，盡管在公司治理模式上有英美模式、德日模式、東亞和東南亞模式，但在IT治理上有更大趨同性的發(fā)展趨勢，因此，從治理（Governance）的角度企業(yè)應該采用合乎國際標準的IT治理方法，以促進公司治理、IT治理和經營管理的協(xié)調發(fā)展。 

逐步試行建立IT治理委員會

IT治理委員會與IT審計師是IT治理的最重要環(huán)節(jié)。IT治理委員會由組織的最高管理層（董事會）及管理執(zhí)行層包括IT管理和業(yè)務管理有關部門負責人、管理技術人員組成，定期召開會議，就企業(yè)戰(zhàn)略與IT戰(zhàn)略的驅動與設置等議題進行討論并做出決策，為組織IT管理提供導向與支持，把IT治理的相關規(guī)范融入到組織的內部控制中。

對于規(guī)模較大的組織，一項IT（如安全）控制活動需要多個部門的共同參與才能得以實現(xiàn)，為能迅速解決控制過程出現(xiàn)的問題，防止內部互相推諉的現(xiàn)象發(fā)生，提高工作效率，需組成一個跨部門的IT治理委員會，加強全局的管理與流程執(zhí)行的紀律，解決諸如信息安全事故的調查與處理等一些實際的問題，這是進行IT管理內部協(xié)調的很好的辦法。

 明確規(guī)定IT管理過程的責任

職責缺乏或界定不清，最終導致控制得不到有效得實施，形成管理風險。組織最高管理層應確保對管理層、部門、運維人員職責進行規(guī)定并形成書面文件。

對信息系統(tǒng)進行獨立審計

信息系統(tǒng)審計是一個獲取并評價證據(jù)，以判斷信息系統(tǒng)是否能夠保證資產的安全、數(shù)據(jù)的完整以及有效率地利用組織的資源并有效果地實現(xiàn)組織目標的過程。它綜合運用IT技術與審計理論及方法為信息時代信息的使用者提供合理的保證。

在信息時代，組織為預防不良事件的發(fā)生必須將其內部控制擴展到信息處理系統(tǒng)的各個方面，包括企業(yè)內部網與因特網在內的任何直接或間接影響財務報表或其他至關重要資料的數(shù)據(jù)或處理系統(tǒng)，因為該系統(tǒng)與包括合作伙伴在內的其他系統(tǒng)有著密切的聯(lián)系。此外，這些公司還必須對與其互通業(yè)務數(shù)據(jù)的合作伙伴的內部控制系統(tǒng)有信心。在對于經營慣例、交易處理的完整性、信息保護和如何對信息系統(tǒng)的內部控制實施評估和風險管理方面，組織可以通過內部審計或外部審計達到上述目的。

信息系統(tǒng)審計的主要由以下部分組成：

1. 信息系統(tǒng)的管理、規(guī)劃與組織——評價信息系統(tǒng)的管理、計劃與組織方面的策略、政策、標準、程序和相關實務。

 2. 信息系統(tǒng)技術基礎設施與操作實務——評價組織在技術與操作基礎設施的管理和實施方面的有效性及效率，以確保其充分支持組織的商業(yè)目標。

 3. 資產的保護——對邏輯、環(huán)境與信息技術基礎設施的安全性進行評價，確保其能支持組織保護信息資產的需要,防止信息資產在未經授權的情況下被使用、披露、修改、損壞或丟失。

 4. 災難恢復與業(yè)務持續(xù)計劃——這些計劃是在發(fā)生災難時，能夠使組織持續(xù)進行業(yè)務,對這種計劃的建立和維護流程需要進行評價。

 5.  應用系統(tǒng)開發(fā)、獲得、實施與維護——對應用系統(tǒng)的開發(fā)、獲得、實施與維護方面所采用的方法和流程進行評價，以確保其滿足組織的業(yè)務目標。

 6. 業(yè)務流程評價與風險管理——評估業(yè)務系統(tǒng)與處理流程，確保根據(jù)組織的業(yè)務目標對相應風險實施管理。

1.什么是IT治理？