走有中國(guó)特色的IT治理之路

申請(qǐng)免費(fèi)試用、咨詢(xún)電話(huà)：400-8352-114

建立完善的信息化監(jiān)管與服務(wù)制度框架體系
 
走有中國(guó)特色的IT治理之路（代跋）

    近年來(lái)，“信息化帶動(dòng)工業(yè)化、工業(yè)化促進(jìn)信息化”的戰(zhàn)略國(guó)策日益深入人心，信息化應(yīng)用取得了世人矚目的成就。與此同時(shí)，信息化建設(shè)和推進(jìn)中深層次機(jī)制上的矛盾和問(wèn)題，也受到了越來(lái)越廣泛的關(guān)注。這些問(wèn)題包括：如何將IT戰(zhàn)略與業(yè)務(wù)戰(zhàn)略相融合？如何從公司治理的高度，對(duì)企業(yè)信息化做出制度安排？如何從戰(zhàn)略投資、企業(yè)管理變革的角度，降低IT的風(fēng)險(xiǎn)？信息中心的轉(zhuǎn)制與走向如何？如何利用發(fā)達(dá)國(guó)家和本國(guó)信息化的最佳實(shí)踐，指導(dǎo)行業(yè)和企業(yè)的信息化推進(jìn)等工作？

    目前，發(fā)達(dá)國(guó)家的IT產(chǎn)業(yè)發(fā)展有了一些新的、值得關(guān)注的動(dòng)向，這些戰(zhàn)略層面的動(dòng)向，將對(duì)IT產(chǎn)業(yè)和信息化的理論與實(shí)踐產(chǎn)生重大的影響。用一句話(huà)來(lái)概括，這種動(dòng)向就是——從制度、戰(zhàn)略、規(guī)范和標(biāo)準(zhǔn)的高度，重新看待IT的定位、作用和價(jià)值。以“IT治理”為核心，涵蓋信息系統(tǒng)審計(jì)、信息安全管理、IT服務(wù)管理及IT項(xiàng)目管理，著重研究IT發(fā)展與企業(yè)發(fā)展在治理結(jié)構(gòu)、企業(yè)戰(zhàn)略、企業(yè)運(yùn)營(yíng)管理、風(fēng)險(xiǎn)與價(jià)值、成本與控制、審計(jì)與監(jiān)管、服務(wù)標(biāo)準(zhǔn)和規(guī)范等方面的新問(wèn)題、新知識(shí)和新方法，勢(shì)必會(huì)對(duì)未來(lái)IT產(chǎn)業(yè)的發(fā)展，以及推進(jìn)我國(guó)信息化建設(shè)有著十分重大的意義。

國(guó)際和國(guó)內(nèi)背景

    1999年6月，世界銀行與經(jīng)濟(jì)合作與發(fā)展組織為推動(dòng)世界范圍內(nèi)公司治理理論的發(fā)展簽署了理解性備忘錄。隨著美國(guó)的安然、世通、施樂(lè)、Tyco, Adelphia, ImClone及我國(guó)銀廣夏和藍(lán)田股份等一些公司丑聞的爆發(fā)，公司治理逐漸為大多數(shù)人所關(guān)注。突然間人們意識(shí)到一個(gè)企業(yè)的治理機(jī)制是多么重要。一旦公司治理鏈條有一個(gè)環(huán)節(jié)出現(xiàn)問(wèn)題，就會(huì)引發(fā)一系列失敗，如陷入困境、破產(chǎn)等等。在這種情況下，全球股價(jià)走低并且?guī)缀鯖](méi)有反彈的跡象就不足為奇了。2002年發(fā)布的美國(guó)薩班斯—奧克斯利法案，新增了許多加強(qiáng)公眾公司治理的規(guī)定，包括要求公司報(bào)告其內(nèi)部控制體系。然而這個(gè)要求公司報(bào)告其內(nèi)部控制體系法案，沒(méi)有詳述在確保公司治理效率方面IT的地位。

    在國(guó)內(nèi)，IT產(chǎn)業(yè)和信息化應(yīng)用已經(jīng)步入了深化、整合、轉(zhuǎn)型和創(chuàng)新的關(guān)鍵時(shí)期，信息技術(shù)與信息系統(tǒng)對(duì)企業(yè)組織形態(tài)、治理結(jié)構(gòu)、管理體制、運(yùn)作流程和商業(yè)模式的影響日益深化；政府機(jī)構(gòu)、企業(yè)組織對(duì)信息技術(shù)和信息系統(tǒng)的依賴(lài)性在日益加強(qiáng)；信息系統(tǒng)的安全、管理、風(fēng)險(xiǎn)與控制日益成為突出的問(wèn)題；IT與業(yè)務(wù)應(yīng)用的融合，是未來(lái)發(fā)展的核心；信息化應(yīng)用的關(guān)鍵詞是：持續(xù)性、創(chuàng)造價(jià)值、風(fēng)險(xiǎn)與控制、整合、績(jī)效管理。在這樣的共識(shí)下，我們看到：越來(lái)越多的目光，聚焦在治理、審計(jì)、服務(wù)管理、風(fēng)險(xiǎn)與控制、安全等關(guān)鍵詞上。越來(lái)越多的最佳實(shí)踐，匯聚成日益豐富的新興知識(shí)體系和方法框架。這些領(lǐng)域正在為IT產(chǎn)業(yè)和信息化開(kāi)辟新的領(lǐng)域，成為IT產(chǎn)業(yè)和信息化在健康規(guī)范的軌道上運(yùn)行的制度保障。

國(guó)際上IT治理的發(fā)展歷程

    國(guó)際組織和各國(guó)普遍認(rèn)為公司治理機(jī)制對(duì)世界金融市場(chǎng)的穩(wěn)定及經(jīng)濟(jì)發(fā)展發(fā)揮了至關(guān)重要的作用，這直接促進(jìn)了IT治理機(jī)制的形成與發(fā)展。在1999年，BIS發(fā)布了Internal Control: Guidance for Directors on the Combined Code( Turnbull Report, 1999)報(bào)告。該報(bào)告認(rèn)為：企業(yè)風(fēng)險(xiǎn)來(lái)自于許多活動(dòng)，不只是財(cái)務(wù)風(fēng)險(xiǎn)，因?yàn)槭聦?shí)說(shuō)明，在金融界所有過(guò)去的風(fēng)險(xiǎn)問(wèn)題都是由內(nèi)部控制疏忽、信息技術(shù)失敗引起的，而且所有企業(yè)最終依靠對(duì)信息技術(shù)基礎(chǔ)設(shè)施的依賴(lài)和新技術(shù)風(fēng)險(xiǎn)的脆弱性，并呼吁高層領(lǐng)導(dǎo)樹(shù)立風(fēng)險(xiǎn)意識(shí)。從此，公司治理和風(fēng)險(xiǎn)管理成為企業(yè)所有者與管理者日益重要的問(wèn)題。該報(bào)告引入了內(nèi)部控制的要求，對(duì)許多組織而言，信息與其支持技術(shù)代表該組織最有價(jià)值的資產(chǎn)，而且，競(jìng)爭(zhēng)和不斷變化的商業(yè)環(huán)境也要求企業(yè)能夠充分利用信息技術(shù)實(shí)現(xiàn)更快的交付和更低的成本。因此，有效的公司治理和風(fēng)險(xiǎn)管理必然需要有效的IT治理和IT風(fēng)險(xiǎn)管理。與此同時(shí)，BIS還簡(jiǎn)單陳述了關(guān)鍵的信息系統(tǒng)，如何確保治理應(yīng)該有效、透明，這也意味管理IT相關(guān)風(fēng)險(xiǎn)，實(shí)現(xiàn)IT價(jià)值的交付成為公司治理中重要的組成部分。

    1999年下半年，ISACA成立了IT治理研究院，專(zhuān)門(mén)研究IT治理的概念，并提出COBIT模型和最佳實(shí)務(wù)，幫助企業(yè)領(lǐng)導(dǎo)層認(rèn)識(shí)有效實(shí)施IT治理的必要性與益處，從而保證長(zhǎng)期的可持續(xù)的成功，并且增強(qiáng)利益相關(guān)者的價(jià)值。目前，該體系已在世界100多個(gè)國(guó)家的重要組織與企業(yè)中成功運(yùn)用，指導(dǎo)這些組織有效利用信息資源，有效地管理信息相關(guān)的風(fēng)險(xiǎn)。

對(duì)IT本質(zhì)的新認(rèn)識(shí)

    我們長(zhǎng)期以來(lái)致力于信息化建設(shè)中深層次機(jī)制問(wèn)題的研究，研究表明：推動(dòng)信息化同樣是“制度重于一切”，例如，建造一個(gè)信息系統(tǒng)是容易的，讓這個(gè)系統(tǒng)有效地運(yùn)轉(zhuǎn)起來(lái)則是現(xiàn)實(shí)的難題。決定信息系統(tǒng)是否有效運(yùn)轉(zhuǎn)的因素不是信息技術(shù)，而是制度、組織結(jié)構(gòu)、規(guī)則與標(biāo)準(zhǔn)，最終是人。因此，在這些因素之上，需要合理有效的制度安排。由此，我們認(rèn)識(shí)到良好的公司治理對(duì)信息化建設(shè)成功的重要性，也可以說(shuō)建立現(xiàn)代企業(yè)制度及良好的公司治理是信息化建設(shè)成功的必要條件，反過(guò)來(lái)，我們也非常清楚地看到在公司治理過(guò)程中IT的重要作用。在此基礎(chǔ)上，中國(guó)信息化推進(jìn)聯(lián)盟在今年十月成立了IT治理專(zhuān)業(yè)委員會(huì)，此后，我們對(duì)IT的本質(zhì)及IT治理對(duì)政府或企業(yè)的重要性有了新的認(rèn)識(shí)，這些認(rèn)識(shí)可以總結(jié)歸結(jié)為以下三點(diǎn)：

1. IT可以增加利益相關(guān)者價(jià)值。

    信息是有價(jià)值的，和其他無(wú)形資產(chǎn)（如人力資本、品牌與管理質(zhì)量等）一樣，是企業(yè)核心競(jìng)爭(zhēng)力的一部分，這些資產(chǎn)的運(yùn)轉(zhuǎn)都離不開(kāi)IT的應(yīng)用。目前，越來(lái)越多的企業(yè)管理層認(rèn)識(shí)到一個(gè)組織的信息資產(chǎn)及其利用信息資產(chǎn)能力的戰(zhàn)略重要性。這些無(wú)形資產(chǎn)的重要性的增加，必然要求人們?cè)谌绾螢槔嫦嚓P(guān)者創(chuàng)造價(jià)值方面重新定位信息技術(shù)。

    但是，IT并不是改善管理、業(yè)務(wù)流程、工作實(shí)踐的萬(wàn)能工具，任何IT項(xiàng)目如果無(wú)法協(xié)助公司達(dá)成業(yè)務(wù)戰(zhàn)略目標(biāo)，那么對(duì)這個(gè)公司而言就沒(méi)有任何價(jià)值。事實(shí)上，國(guó)外的研究表明，公司收益率與其在IT方面的花費(fèi)完全沒(méi)有關(guān)系，IT就像其他工具一樣，必須通過(guò)有效的應(yīng)用才能體現(xiàn)價(jià)值，因此，關(guān)于IT投資戰(zhàn)略與業(yè)務(wù)戰(zhàn)略的一致性就是一個(gè)非常值得探討的課題。

2. IT是實(shí)現(xiàn)業(yè)務(wù)目標(biāo)的基本要素。

    沒(méi)有持續(xù)、有效的IT應(yīng)用，沒(méi)有業(yè)務(wù)應(yīng)用與IT的一致融合，業(yè)務(wù)目標(biāo)是無(wú)法實(shí)現(xiàn)的，甚至一些企業(yè)將無(wú)法生存，如銀行、航空公司、通訊和媒體等，他們依賴(lài)于建立在IT基礎(chǔ)上的各種商業(yè)模型，諸如供應(yīng)鏈管理等，沒(méi)有IT支持，他們難以實(shí)現(xiàn)業(yè)務(wù)流程自動(dòng)處理，實(shí)現(xiàn)現(xiàn)金流，同樣，沒(méi)有IT他們也難以達(dá)到合同服務(wù)水平等。

3. IT占用大量的投資，并給企業(yè)帶來(lái)風(fēng)險(xiǎn)。

    IT占用大量投資，具有很大的風(fēng)險(xiǎn)，這要求管理高層要特別重視IT投資。如努力使IT戰(zhàn)略與公司業(yè)務(wù)目標(biāo)一致，采用新技術(shù)，采用廣泛且有效的流程變革等。

結(jié)論和建議

    從以上的分析可見(jiàn)，在信息時(shí)代，信息資產(chǎn)和知識(shí)資產(chǎn)是企業(yè)最具價(jià)值的核心資產(chǎn)要素；信息化是一個(gè)需要從治理層面予以關(guān)注的戰(zhàn)略問(wèn)題；信息化需要監(jiān)管、制衡和審計(jì)；信息化管理需要規(guī)范和標(biāo)準(zhǔn)。

    以信息安全管理為例，已有國(guó)際標(biāo)準(zhǔn)ISO17799，我國(guó)的國(guó)家標(biāo)準(zhǔn)應(yīng)如何與ISO17799接軌？又如IT服務(wù)管理，凝聚著全球眾多企業(yè)最佳實(shí)務(wù)的結(jié)晶，已經(jīng)成為事實(shí)上的國(guó)際IT管理標(biāo)準(zhǔn)，我們應(yīng)當(dāng)如何看待、吸納、消化這個(gè)對(duì)于國(guó)內(nèi)尚是新興的領(lǐng)域知識(shí)，并形成對(duì)國(guó)內(nèi)信息化建設(shè)管理指導(dǎo)性、監(jiān)督性和服務(wù)性的制度框架和知識(shí)體系？我們?nèi)绾闻囵B(yǎng)自己的信息主管（CIO）、信息系統(tǒng)審計(jì)師或信息安全管理顧問(wèn)？他們具有什么樣的職能、職責(zé)和工作規(guī)范？這些問(wèn)題都是亟待從國(guó)家戰(zhàn)略的高度，綜合政策、法規(guī)、行業(yè)規(guī)范、知識(shí)傳播、應(yīng)用推廣、學(xué)術(shù)交流等各個(gè)層面的工作，有序推進(jìn)的一件大事。

    我們的建議可以歸納為建立完善信息化監(jiān)管與服務(wù)制度框架。這是一項(xiàng)系統(tǒng)的工程，任何從技術(shù)、業(yè)務(wù)、管理和戰(zhàn)略單一層面解決問(wèn)題的努力都是無(wú)效和失敗的，因此，應(yīng)該建立完善的信息化監(jiān)管與服務(wù)制度框架體系，這一完善的體系里應(yīng)該有四方面：

• IT項(xiàng)目管理；
• 面向集成商的資質(zhì)管理；
• 第三方的監(jiān)理與審計(jì)服務(wù)；
• 面向用戶(hù)的管理標(biāo)準(zhǔn)規(guī)范，包括IT服務(wù)管理和信息安全管理。

    在這四個(gè)方面，IT項(xiàng)目管理是后三者共同需要的管理手段，面向集成商的資質(zhì)管理已經(jīng)為我國(guó)信息化市場(chǎng)的規(guī)范發(fā)展發(fā)揮了良好的促進(jìn)作用，第三方的監(jiān)理服務(wù)正在有序推進(jìn)，現(xiàn)在急需加強(qiáng)的是對(duì)信息系統(tǒng)運(yùn)營(yíng)階段的審計(jì)和面向用戶(hù)的管理標(biāo)準(zhǔn)規(guī)范，這些領(lǐng)域都已有相應(yīng)的國(guó)際標(biāo)準(zhǔn)，我們可以在借鑒消化的基礎(chǔ)上，建立符合國(guó)情的對(duì)應(yīng)標(biāo)準(zhǔn)。具體標(biāo)準(zhǔn)規(guī)范如下：

一、 IT項(xiàng)目管理、信息系統(tǒng)審計(jì)、IT服務(wù)管理及信息安全管理標(biāo)準(zhǔn)規(guī)范。
二、 IT項(xiàng)目管理、信息系統(tǒng)監(jiān)理和信息系統(tǒng)審計(jì)軟件。
三、 監(jiān)理工程師和信息系統(tǒng)審計(jì)師職業(yè)規(guī)范體系的建立。
四、 監(jiān)理、審計(jì)行業(yè)管理體制研究。
五、 監(jiān)理、審計(jì)公司內(nèi)部管理機(jī)制研究。
六、 監(jiān)理、審計(jì)職業(yè)規(guī)范指南——質(zhì)量控制。

    設(shè)計(jì)該系統(tǒng)應(yīng)考慮以下方面：

• 經(jīng)營(yíng)理念
• 組織結(jié)構(gòu)
• 建立、健全質(zhì)量控制系統(tǒng)的政策與程序
• 溝通質(zhì)量控制程序的方式
• 監(jiān)理、審計(jì)公司的規(guī)模
• 現(xiàn)行質(zhì)量控制系統(tǒng)
• 所提供專(zhuān)業(yè)服務(wù)的性質(zhì)
• 負(fù)責(zé)人及監(jiān)理、審計(jì)人員執(zhí)業(yè)的自主性程度
• 監(jiān)理公司的區(qū)域分布等

    總之，在市場(chǎng)經(jīng)濟(jì)條件下，政府的作用是加強(qiáng)“引導(dǎo)、規(guī)范、監(jiān)管、服務(wù)”，而信息系統(tǒng)工程的突出特點(diǎn)是投資和風(fēng)險(xiǎn)都很巨大，因此對(duì)其進(jìn)行合理規(guī)范、監(jiān)管與服務(wù)顯得尤為重要。目前信息產(chǎn)業(yè)部已經(jīng)或正準(zhǔn)備出臺(tái)信息系統(tǒng)工程監(jiān)管與服務(wù)的一系列辦法，如信息系統(tǒng)工程集成資質(zhì)、監(jiān)理資質(zhì)、咨詢(xún)資質(zhì)、績(jī)效評(píng)估等，對(duì)信息系統(tǒng)工程的質(zhì)量起到了很好的制度保障作用。然而，各方也普遍認(rèn)識(shí)到這些制度需要與時(shí)俱進(jìn)。因此，研究與探討國(guó)際上IT治理與管理的先進(jìn)經(jīng)驗(yàn)，走有中國(guó)特色的IT治理之路，建立有中國(guó)特色的相對(duì)完善的信息系統(tǒng)工程監(jiān)審制度、IT服務(wù)管理標(biāo)準(zhǔn)以及信息安全管理標(biāo)準(zhǔn)，規(guī)范信息化建設(shè)市場(chǎng)的秩序，保證信息系統(tǒng)工程的質(zhì)量，降低風(fēng)險(xiǎn)，提高信息系統(tǒng)工程的效率與效益，培育高素質(zhì)的中介服務(wù)機(jī)構(gòu)和從業(yè)人員，是加快推進(jìn)我國(guó)信息化建設(shè)步伐的一項(xiàng)重要工作。