治理與信息化:IT治理走來(lái)

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

治理與信息化:IT治理走來(lái)
“治理與信息化”專題之二
作者：孫強(qiáng)、陳拂曉 發(fā)表：2003.08.15 10:15:47 來(lái)源：中國(guó)計(jì)算機(jī)用戶—賽迪網(wǎng) 

目前，隨著技術(shù)的發(fā)展和應(yīng)用的深入，IT系統(tǒng)在從傳統(tǒng)的后臺(tái)支持轉(zhuǎn)變?yōu)樾聵I(yè)務(wù)開展的直接驅(qū)動(dòng)力，甚至IT正日益成為企業(yè)的直接利潤(rùn)中心。這種趨勢(shì)之下，企業(yè)以及各種組織、機(jī)構(gòu)對(duì)信息系統(tǒng)的依賴程度不斷增加，更有一些組織若沒(méi)有IT將不復(fù)存在，信息和信息技術(shù)成為企業(yè)最重要的資產(chǎn)。然而，這種趨勢(shì)也在導(dǎo)致IT成為或潛在成為——一個(gè)巨大的威脅。因此，IT治理成為IT應(yīng)用的重要保障。除此之外，IT治理還在成為公司和政府治理中關(guān)鍵的一個(gè)方面。

從本期開始，“治理與信息化”專題的后續(xù)文章，將著重講述“到底什么是IT治理”、“IT治理與公司治理之間的關(guān)系”、“IT治理的自動(dòng)化工具COBIT”、“如何實(shí)施IT治理”。

孫強(qiáng)：美國(guó)特許信息系統(tǒng)審計(jì)師，認(rèn)證信息安全管理顧問(wèn)，國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)會(huì)員。目前就任中國(guó)電子信息產(chǎn)業(yè)發(fā)展研究院培訓(xùn)中心業(yè)務(wù)拓展總監(jiān)、中國(guó)信息化推進(jìn)聯(lián)盟IT治理專業(yè)委員會(huì)副主任。

孫強(qiáng)先生致力于信息系統(tǒng)審計(jì)、信息化工程監(jiān)理、IT服務(wù)管理、信息安全管理以及國(guó)內(nèi)外的IT標(biāo)準(zhǔn)和咨詢方法論等領(lǐng)域的研究和知識(shí)的普及，在各種媒體上發(fā)表多篇關(guān)于IT治理、信息系統(tǒng)審計(jì)和監(jiān)理的文章。參與編寫《信息系統(tǒng)工程監(jiān)理》培訓(xùn)教材，主編《信息系統(tǒng)審計(jì)：安全、風(fēng)險(xiǎn)管理與控制》、《IT服務(wù)管理：發(fā)展、理解與實(shí)施》等。

陳拂曉：研究員，原國(guó)務(wù)院辦公廳秘書一局政務(wù)專員、科技部國(guó)家八六三計(jì)劃信息安全技術(shù)發(fā)展戰(zhàn)略研究專家組成員、全國(guó)政府系統(tǒng)辦公自動(dòng)化技術(shù)咨詢組組長(zhǎng)?，F(xiàn)為國(guó)信辦電子政務(wù)信息安全體系研究組副組長(zhǎng)、中國(guó)信息化推進(jìn)聯(lián)盟專家顧問(wèn)委員會(huì)副主席。

IT治理的“誕生”

IT治理是信息系統(tǒng)審計(jì)和控制領(lǐng)域中一個(gè)相當(dāng)新的概念，國(guó)際組織和各國(guó)普遍認(rèn)為，公司治理機(jī)制對(duì)世界金融市場(chǎng)的穩(wěn)定及經(jīng)濟(jì)發(fā)展發(fā)揮了至關(guān)重要的作用，這直接促進(jìn)了IT治理機(jī)制的形成與發(fā)展。

1999年，英國(guó)BIS發(fā)布了《內(nèi)部控制：綜合準(zhǔn)則董事指南》（Internal Control: Guidance for Directors on the Combined Code，Turnbull Report, 1999）報(bào)告。該報(bào)告認(rèn)為，企業(yè)風(fēng)險(xiǎn)來(lái)自于許多方面，而不僅是財(cái)務(wù)風(fēng)險(xiǎn)。因?yàn)槭聦?shí)說(shuō)明，在金融界所有過(guò)去的風(fēng)險(xiǎn)問(wèn)題都是由內(nèi)部控制疏忽、信息技術(shù)失敗引起的，而且與企業(yè)對(duì)信息技術(shù)基礎(chǔ)設(shè)施的依賴和應(yīng)用新技術(shù)的風(fēng)險(xiǎn)密切相關(guān)，并呼吁高層領(lǐng)導(dǎo)樹立風(fēng)險(xiǎn)意識(shí)。從此，公司治理和風(fēng)險(xiǎn)管理成為企業(yè)所有者與管理者日益重要的問(wèn)題。

此報(bào)告強(qiáng)調(diào)了IT的雙重性，即一方面信息技術(shù)支持企業(yè)的信息數(shù)據(jù)資產(chǎn)，幫助企業(yè)在市場(chǎng)競(jìng)爭(zhēng)和商業(yè)環(huán)境中提高反應(yīng)速度、降低成本，另一方面，IT和IT應(yīng)用也存在著風(fēng)險(xiǎn)，也要注意“管理”。因此企業(yè)中的關(guān)鍵信息系統(tǒng)，既要與企業(yè)的發(fā)展戰(zhàn)略相匹配，確?！肮局卫怼庇行А⑼该?，同時(shí)也要規(guī)避IT自身的風(fēng)險(xiǎn)。

1999年下半年，國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（ISACA）成立了IT治理研究院，專門研究IT治理的概念，并提供了信息及其相關(guān)技術(shù)的管理體系模型和最佳實(shí)務(wù)，幫助企業(yè)領(lǐng)導(dǎo)層認(rèn)識(shí)有效實(shí)施IT治理的必要性與益處，從而保證長(zhǎng)期的可持續(xù)的成功，并且增強(qiáng)利益相關(guān)者的價(jià)值。

目前，該體系已在世界100多個(gè)國(guó)家和地區(qū)的重要組織與企業(yè)中成功運(yùn)用，指導(dǎo)這些組織有效利用信息資源，有效地管理信息相關(guān)的風(fēng)險(xiǎn)。研究與探討IT治理，對(duì)于信息化的探索和實(shí)踐有著重要的借鑒意義。

IT的“困境”

信息化建設(shè)是一項(xiàng)艱難的工程。英國(guó)2001年12月12日公布的一項(xiàng)有關(guān)企業(yè)信息管理的調(diào)查顯示：96％的企業(yè)對(duì)于本公司的信息管理系統(tǒng)感到不滿；關(guān)于目前正在使用的信息系統(tǒng)，認(rèn)為“所制作的報(bào)告缺乏一貫性”或者是“核對(duì)信息花費(fèi)了太多時(shí)間”的企業(yè)約占70％；回答“目前的信息系統(tǒng)不能靈活適應(yīng)變化”的企業(yè)約占60％；對(duì)于“數(shù)據(jù)的準(zhǔn)確”表示擔(dān)心的企業(yè)約占60％；60％以上的企業(yè)正在策劃有關(guān)數(shù)據(jù)及信息的整合計(jì)劃。特別引人深思的是，該調(diào)查是由美國(guó)Harte-Hanks以全球500強(qiáng)企業(yè)以及財(cái)富1000企業(yè)中的171家公司為對(duì)象通過(guò)問(wèn)卷方式實(shí)施的。

事實(shí)表明，系統(tǒng)規(guī)模越大、與管理聯(lián)系越密切、集成度越高的系統(tǒng)，風(fēng)險(xiǎn)也越大，失敗概率越高，用戶的滿意度越低。信息化建設(shè)項(xiàng)目的高風(fēng)險(xiǎn)和高失敗率，與企業(yè)在信息化建設(shè)決策之前，沒(méi)有進(jìn)行充分的技術(shù)經(jīng)濟(jì)論證，沒(méi)有綜合論證項(xiàng)目技術(shù)上的先進(jìn)性和可行性、財(cái)務(wù)上的實(shí)施可能性、經(jīng)濟(jì)上的合理性和有效性密切相關(guān)。而這些是IT治理所要關(guān)注的重要內(nèi)容。

由于任何企業(yè)的任務(wù)環(huán)境要考慮和關(guān)系的利益非常廣泛，在任何一個(gè)IT戰(zhàn)略決策中，都會(huì)不可避免發(fā)生利益相關(guān)者包括部門利益之間的利益沖突。所以，即使管理層努力協(xié)調(diào)，企業(yè)中任何會(huì)招致某個(gè)或多個(gè)群體的不滿。一些管理層在做出IT戰(zhàn)略決策之前，沒(méi)有仔細(xì)考慮每一個(gè)方案會(huì)影響到哪些重要的利益相關(guān)者，更有甚者把信息化當(dāng)作一種政治資本在做。那些開始看起來(lái)能為公司帶來(lái)最大利益的最佳方案，也許日后為公司帶來(lái)最嚴(yán)重的后果。因此管理者必須懂得信息系統(tǒng)給組織所帶來(lái)的各種影響。相關(guān)領(lǐng)導(dǎo)需要仔細(xì)地考慮，當(dāng)引進(jìn)信息系統(tǒng)并產(chǎn)生效益的同時(shí)，還可能給企業(yè)帶來(lái)什么新的問(wèn)題？信息系統(tǒng)是否能夠給組織各級(jí)領(lǐng)導(dǎo)的工作帶來(lái)影響？組織的工作流程是否需要變化？會(huì)不會(huì)引起新的人員下崗？等等。因此IT與企業(yè)發(fā)展策略、企業(yè)分配和管理制度等密切相關(guān)。IT治理的一個(gè)重要內(nèi)容就是與公司治理緊密聯(lián)系起來(lái)。

IT治理，目前在我國(guó)基本上處于初始階段。但I(xiàn)T治理的重要性日益為人們所認(rèn)識(shí)。據(jù)了解，在一些大企業(yè)中，已出現(xiàn)CIO的權(quán)利范圍不只是領(lǐng)導(dǎo)其信息部門，還負(fù)責(zé)事業(yè)部門的人、財(cái)、物的資源配置和利益均衡，這是具有中國(guó)特色的IT治理機(jī)制的嘗試。

IT治理的關(guān)鍵

關(guān)于IT治理主要有以下三種觀點(diǎn)。Robert S. Roussey（美國(guó)南加州大學(xué)教授）認(rèn)為：IT治理用于描述被委托治理實(shí)體的人員在監(jiān)督、檢查、控制和指導(dǎo)實(shí)體的過(guò)程中如何看待信息技術(shù)。IT的應(yīng)用對(duì)于組織能否達(dá)到它的遠(yuǎn)景、使命、戰(zhàn)略目標(biāo)至關(guān)重要。

德勤定義: IT治理是一個(gè)含義廣泛的術(shù)語(yǔ)，包括信息系統(tǒng)、技術(shù)、通訊、商業(yè)、所有利益相關(guān)者、合法性和其他問(wèn)題。其主要任務(wù)是：保持IT與業(yè)務(wù)目標(biāo)一致，推動(dòng)業(yè)務(wù)發(fā)展，促使收益最大化，合理利用IT資源，IT相關(guān)風(fēng)險(xiǎn)的適當(dāng)管理。

ISACA認(rèn)為：IT治理是一個(gè)由關(guān)系和過(guò)程所構(gòu)成的體制，用于指導(dǎo)和控制企業(yè)，通過(guò)平衡信息技術(shù)與過(guò)程的風(fēng)險(xiǎn)、增加價(jià)值來(lái)確保實(shí)現(xiàn)企業(yè)的目標(biāo)。

通過(guò)上述定義可以總結(jié)出以下共同點(diǎn)：

◆ IT治理必須與企業(yè)戰(zhàn)略目標(biāo)一致，IT是企業(yè)戰(zhàn)略規(guī)劃的組成部分，將影響企業(yè)的戰(zhàn)略競(jìng)爭(zhēng)。

◆ IT治理的主體和其它治理主體一樣，是管理執(zhí)行人員和利益相關(guān)者（以董事會(huì)為代表）。

◆ IT治理保護(hù)利益相關(guān)者的權(quán)益，使風(fēng)險(xiǎn)透明化，同時(shí)指導(dǎo)和控制IT投資、機(jī)遇、利益、風(fēng)險(xiǎn)。

◆ IT治理包括管理層、組織結(jié)構(gòu)、過(guò)程，以確保IT維持和拓展組織戰(zhàn)略目標(biāo)。

◆ 應(yīng)該合理利用企業(yè)的信息資源，有效地集成與協(xié)調(diào)。

◆ IT治理確保IT及時(shí)按照目標(biāo)交付，并且有合適的功能和期望的收益，是一個(gè)一致的價(jià)值傳遞體系，有明確的期望值和衡量手段。

◆ IT治理引導(dǎo)IT戰(zhàn)略以平衡系統(tǒng)投資，支持企業(yè)， 變革企業(yè)，或者創(chuàng)建一個(gè)信息基礎(chǔ)架構(gòu)，保證業(yè)務(wù)增長(zhǎng)，并在一個(gè)新的領(lǐng)域競(jìng)爭(zhēng)。

◆ IT治理對(duì)于核心IT資源做出合理的決策，進(jìn)入新的市場(chǎng)，驅(qū)動(dòng)競(jìng)爭(zhēng)策略，創(chuàng)造總的收入增長(zhǎng)，改善客戶滿意度，維系客戶關(guān)系。

關(guān)于ISACA

國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)ISACA（Information System Audit and Control Association）成立于1969年，最初稱為EDP審計(jì)師聯(lián)合會(huì)，總部設(shè)在美國(guó)的芝加哥，是一個(gè)非盈利組織。目前在世界上100多個(gè)國(guó)家設(shè)有160多個(gè)分會(huì)，現(xiàn)有會(huì)員兩萬(wàn)多人，是全球公認(rèn)的在IT的管理、控制和保證領(lǐng)域的權(quán)威。

任務(wù) ISACA的任務(wù)是：通過(guò)發(fā)展促進(jìn)對(duì)信息、系統(tǒng)、技術(shù)的有效管理與控制的研究、實(shí)施及標(biāo)準(zhǔn)、權(quán)限的制定來(lái)支持企業(yè)實(shí)現(xiàn)其目標(biāo)。這說(shuō)明該協(xié)會(huì)的存在就是為了幫助IT的管理控制及保證利益相關(guān)者妥善處理IT的管理、IT的風(fēng)險(xiǎn)、IT的運(yùn)作過(guò)程及協(xié)作控制、協(xié)作管理、協(xié)作風(fēng)險(xiǎn)和協(xié)作程序的相互作用。

工作內(nèi)容 ISACA通過(guò)提供各種有價(jià)值的服務(wù)（如：研究、標(biāo)準(zhǔn)、信息、教育、認(rèn)證、專業(yè)的遠(yuǎn)景）實(shí)現(xiàn)以上作用。協(xié)會(huì)幫助從事信息系統(tǒng)審計(jì)、控制、安全工作的人員，使之不僅注意IT、IT的風(fēng)險(xiǎn)與安全主題而且更要關(guān)注IT與商業(yè)、商業(yè)運(yùn)作及商業(yè)風(fēng)險(xiǎn)的關(guān)系。其主要工作內(nèi)容如下：

◆ 設(shè)定標(biāo)準(zhǔn)—— 一般作為世界范圍內(nèi)的IT審計(jì)、控制的指導(dǎo)方針。

◆ 一個(gè)令人尊敬的認(rèn)證項(xiàng)目CISA——在IS審計(jì)、控制、安全領(lǐng)域內(nèi)國(guó)際上承認(rèn)的認(rèn)證。

◆ 一個(gè)關(guān)于關(guān)鍵的管理和技術(shù)主題的專業(yè)的發(fā)展項(xiàng)目。

◆ 提供備受贊譽(yù)的技術(shù)出版物，包含最新的研究、案例學(xué)習(xí)、信息知識(shí)入門等。

◆ 指導(dǎo)會(huì)員專業(yè)的活動(dòng)和操行的職業(yè)道德準(zhǔn)則。

ISACA國(guó)際委員會(huì) 通過(guò)ISACA會(huì)員共同的努力，該組織超越了地理、文化和職業(yè)界限，他們代表各種不同的企業(yè)團(tuán)體，包括金融銀行協(xié)會(huì)、會(huì)計(jì)審核公司、政府公共部門、公共事業(yè)及制造業(yè)等，通過(guò)選舉或指定一個(gè)由全球的志愿者組成的團(tuán)體管理這個(gè)協(xié)會(huì)，把他們獨(dú)特的專業(yè)的見解帶到協(xié)會(huì)中并用來(lái)作出組織的決定，這就是國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)的國(guó)際委員會(huì)