[原創(chuàng)]IT治理訣竅在控制

申請免費(fèi)試用、咨詢電話：400-8352-114

IT如何控制風(fēng)險(xiǎn)？IT如何為企業(yè)的風(fēng)險(xiǎn)作出它應(yīng)有的貢獻(xiàn)？這是個(gè)很大的題目，到底怎么下手？

為什么IT風(fēng)險(xiǎn)那么重要？我國企業(yè)信息化從1978年開始到現(xiàn)在大概也就二三十年的時(shí)間，到現(xiàn)在我們已經(jīng)走過了一個(gè)基本的建設(shè)階段。我們以前的信息化注重行業(yè)的覆蓋以及硬件配置等等。從2000年開始，我們的重點(diǎn)開始轉(zhuǎn)移了，因?yàn)樵絹碓降钠髽I(yè)和單位意識到，我們的信息化要見效了，真正要為業(yè)務(wù)作貢獻(xiàn)了，也就是IT如何能為企業(yè)、社會、為政府創(chuàng)造價(jià)值的層面上來了。

在我們研究IT創(chuàng)造價(jià)值的時(shí)候，需要更多的去關(guān)注IT本身的風(fēng)險(xiǎn)，因?yàn)镮T已經(jīng)成為現(xiàn)代社會生活所不可分割的一部分，就像電、空氣和水一樣重要，一旦沒有了的話，企業(yè)可能會停止運(yùn)轉(zhuǎn)，政府也可能會受影響。所以，這種依賴性比較高的風(fēng)險(xiǎn)迫使我們?nèi)タ紤]如何控制IT，如何令I(lǐng)T支持社會和企業(yè)的正常運(yùn)轉(zhuǎn)。

在IT所面臨的風(fēng)險(xiǎn)里，比較重要的有如下幾個(gè)：

第一個(gè)是IT治理風(fēng)險(xiǎn)。在我國，信息化做得好的一個(gè)重要原因是一把手重視，IT主管比較懂行，另外可能因?yàn)樯朴诶蒙鐣Y源。有的單位做不好的重要原因之一在于把IT當(dāng)成技術(shù)去處理了。而這突顯了我國還處于人治時(shí)代，還沒有達(dá)到真正的治理階段，但實(shí)際上對這個(gè)社會來講，靠人治已經(jīng)遠(yuǎn)遠(yuǎn)不能滿足要求，一定要把它變成制度化形式。因?yàn)椴还軗Q了哪屆領(lǐng)導(dǎo)，企業(yè)和社會還是要往前發(fā)展的，IT應(yīng)該是什么樣就是什么樣，不因?yàn)轭I(lǐng)導(dǎo)的重視不重視而重視或受到忽略。

而且IT不光是技術(shù)的問題，實(shí)際上還是戰(zhàn)略的一方面，真正把IT制度建設(shè)起來，IT才能擺脫目前的這種人治狀況。


　　第二是規(guī)劃的風(fēng)險(xiǎn)。每個(gè)企業(yè)或政府單位在做信息化的時(shí)候都在做規(guī)劃，但很多規(guī)劃實(shí)際上還不夠具體不夠標(biāo)準(zhǔn)化，當(dāng)然這也是客觀存在且不可避免的。凡事沒有一次性的完美。

第三就是項(xiàng)目管理風(fēng)險(xiǎn)。IT架構(gòu)規(guī)劃好了以后，實(shí)際上要按照一個(gè)一個(gè)的項(xiàng)目去實(shí)施。有的項(xiàng)目實(shí)施周期很長，有的要?dú)v時(shí)半年到一年的時(shí)間，甚至兩年以上。

第四是基礎(chǔ)設(shè)施的風(fēng)險(xiǎn)。網(wǎng)絡(luò)越來越復(fù)雜，補(bǔ)丁包越來越多，開發(fā)程度也越來越深，這也導(dǎo)致IT風(fēng)險(xiǎn)越來越大。另外，我們對IT基礎(chǔ)設(shè)施的依賴性又特別強(qiáng)。

第五個(gè)是應(yīng)用系統(tǒng)的風(fēng)險(xiǎn)。應(yīng)用系統(tǒng)的風(fēng)險(xiǎn)在于需求是否清晰。很多的情況下，人們的需求與實(shí)際脫節(jié)，搞軟件的人不太懂業(yè)務(wù)，懂業(yè)務(wù)的人又不太懂軟件開發(fā)里面的一些具體操作方法，導(dǎo)致需求混亂。

第六個(gè)是軟件安全控制風(fēng)險(xiǎn)。

第七個(gè)是IT服務(wù)交付風(fēng)險(xiǎn)。什么叫服務(wù)交付風(fēng)險(xiǎn)？即使服務(wù)商提供的軟件系統(tǒng)沒有漏洞，但也不等于說用戶對系統(tǒng)百分百滿意，因?yàn)樗P(guān)注的是服務(wù)。這種大多在國企比較顯著。

第八個(gè)信息安全風(fēng)險(xiǎn)，則比較常見。而且信息安全的形勢越來越嚴(yán)峻。以前做木馬寫病毒的人大多還只是為了炫耀自己的技術(shù)，而現(xiàn)在，病毒已經(jīng)成為一個(gè)產(chǎn)業(yè)鏈：有人專門寫病毒，有人專門的抓取“肉雞”（可以植入病毒的電腦），專門有人在偷信息……形成了一條黑色產(chǎn)業(yè)鏈。

第九個(gè)則是業(yè)務(wù)延續(xù)的風(fēng)險(xiǎn)。天災(zāi)人禍等都會導(dǎo)致業(yè)務(wù)的硬性中斷，這個(gè)風(fēng)險(xiǎn)也要考慮在內(nèi)。

第十個(gè)則是績效風(fēng)險(xiǎn)。以前講IT只講投入不講產(chǎn)出，但對IT到底投了多少錢這個(gè)概念我們需要有。2005年我國在信息化改造提升方面投入了2829億，2006年是3227億元。增幅非?？?。企業(yè)里最講究的是投入回報(bào)率，但對IT，我們很少有人去算投入產(chǎn)出，這就產(chǎn)生了黑洞。

第十一個(gè)就是合規(guī)性的風(fēng)險(xiǎn)。合規(guī)性以前只針對一般的企業(yè)風(fēng)險(xiǎn)，現(xiàn)在已經(jīng)慢慢過渡到IT部分。如果國內(nèi)企業(yè)到美國上市，就必須要遵從薩班斯法。

面對這么多風(fēng)險(xiǎn)，我們到底怎么辦？

第一是要建立一套IT制度，改變過去靠人治的方式。

從公司最高層面來說要把IT治理環(huán)境建立起來。然后基礎(chǔ)層面的網(wǎng)絡(luò)、數(shù)據(jù)庫、安全以及應(yīng)用系統(tǒng)，都需要獲取可靠的授權(quán)，然后，要通過一個(gè)一個(gè)的標(biāo)準(zhǔn)，進(jìn)行戰(zhàn)術(shù)性的IT治理流程。這些都建好了之后，關(guān)鍵要把它變成一個(gè)PTC的風(fēng)險(xiǎn)控制體系。

在戰(zhàn)略層面把IT的治理結(jié)構(gòu)完善之后，就要進(jìn)行公司業(yè)務(wù)層面的梳理。梳理完業(yè)務(wù)流程后，我們可以按生命周期把IT分為計(jì)劃、組織、獲取、實(shí)施，交付、支持和監(jiān)控等幾個(gè)方面。比如IT規(guī)劃到底有幾個(gè)步驟，到底應(yīng)該怎么做，建立一個(gè)框架式的東西。 同時(shí)還要考慮資源協(xié)調(diào)。

為了建設(shè)統(tǒng)一的平臺，我們可以引入一些國際上標(biāo)準(zhǔn)化的最佳實(shí)踐，比如說信息安全管理和IT服務(wù)管理。最后，我認(rèn)為應(yīng)該形成一個(gè)審計(jì)制度，引入一套控制理念。

實(shí)際上，治理就是一種制度的安排。這個(gè)制度要解決什么問題呢？首先解決的是決策問題。決策不能靠人治的領(lǐng)導(dǎo)拍板，技術(shù)人員說了算也不對。一種好的治理架構(gòu)應(yīng)該在不同的方面有不同的決策模式，有的需要坐在一起談，有的需要技術(shù)人員說了算，有的必須由領(lǐng)導(dǎo)拍板。

進(jìn)行IT治理也需要有幾個(gè)階段。第一步，我認(rèn)為比較重要的就是要進(jìn)行規(guī)劃和架構(gòu)的設(shè)計(jì)。第二步就是要完善IT功能治理，達(dá)到初步的控制。到了第三個(gè)階段，讓IT實(shí)現(xiàn)跟業(yè)務(wù)融合，實(shí)現(xiàn)業(yè)務(wù)信息的安全。