中國IT治理和風(fēng)險管理的現(xiàn)狀

申請免費試用、咨詢電話：400-8352-114

2008 IBM IT 治理和風(fēng)險管理高峰論壇在北京亮馬河飯店隆重開幕，本次大會主題：“駕馭IT風(fēng)險 護(hù)航業(yè)務(wù)創(chuàng)新”大會將在“改善服務(wù)管理;維持業(yè)務(wù)連續(xù)性;加強(qiáng)IT安全性”這幾方面進(jìn)行深入的探討，在大會上中國IT治理研究中心主任兼首席專家孫強(qiáng)先生進(jìn)行了以“中國 IT 治理和風(fēng)險管理的現(xiàn)狀、挑戰(zhàn)和對策”為主題的演講。

在講演中孫強(qiáng)先生表示：駕馭IT風(fēng)險、護(hù)航業(yè)務(wù)創(chuàng)新這個話題我想主要從三方面展開，我們主要去看我們今天所面臨的現(xiàn)狀，我們的問題和挑戰(zhàn)在哪里?針對這樣的問題和挑戰(zhàn)我們給出的對策是什么?在這樣一個環(huán)境中，現(xiàn)狀、挑戰(zhàn)和問題都是一一對應(yīng)的。

現(xiàn)狀之一就是政府和監(jiān)管機(jī)構(gòu)正在不遺余力地出臺大量合規(guī)的要求，所以在2001年的時候，我們可以認(rèn)為在信息產(chǎn)業(yè)的發(fā)展上以及人類的歷史上出現(xiàn)了一個分水嶺，此后的年代我們稱之為合規(guī)的年代。在這樣的背景下，所有各方都是在治理和內(nèi)部控制方面尋找更大的保障。另外一個現(xiàn)狀是我們會看到在法規(guī)的遵從上不存在折衷與妥協(xié)，比如我們的企業(yè)要上一套erp系統(tǒng)，高管層基于業(yè)務(wù)需求各方面的判斷有可能同意有可能不同意，但是在外部的法律法規(guī)問題上沒有討價還價的余地，這成了非常大的時代特征。我們會看到有一些上市公司，包括中國最早去美國上市的，也是基于合規(guī)成本太高昂等等一些原因就從美國資本市場上摘牌了。除了國外中國的政府和監(jiān)管機(jī)構(gòu)出臺了一系列在合規(guī)方面的法律法規(guī)的要求。

現(xiàn)狀之二是我們會看到在中國的政府部門和企業(yè)的信息化建設(shè)正在大規(guī)模地進(jìn)行，進(jìn)入到整合應(yīng)用和加強(qiáng)IT運維服務(wù)管理為主要特征的運行維護(hù)階段，也就是在10多年大規(guī)模建設(shè)的階段正在從建設(shè)階段向建設(shè)與應(yīng)用并重以及與應(yīng)用和運行維護(hù)主要特征這樣一個階段轉(zhuǎn)型。第二個現(xiàn)狀就是治理型的運維管控體系成為IT服務(wù)管理的發(fā)展趨勢，這點我們看的很明顯。治理型的IT服務(wù)管理，至少有以下幾個特征：

第一個特征就是高層一定要參與進(jìn)來，高層要意識到它要對業(yè)務(wù)的可持續(xù)，IT如何為業(yè)務(wù)交付價值負(fù)責(zé)任。第二個特征是我們再去做像IT服務(wù)管理的項目，不會像此前那樣上一套軟件設(shè)計一套管理流程，現(xiàn)在變成一種新的模式，這種模式就是首先我們要決定我們IT治理的模式，基于IT治理模式?jīng)Q定我們管理的模式，比如這種管理模式有可能是集中的運維的管理模式。基于這種管理模式會決定我們的管理體系，比如流程的管理體系、規(guī)章制度的管理體系、績效的管理體系、運維費用的管理體系、技術(shù)體系等等。在確定了管理體系之后，才會確定我們的技術(shù)體系，也就是說把以前第一步就做的工作現(xiàn)在放到最后一步。因為我們確定技術(shù)選型的方案再確定我們選用哪一家公司的軟件產(chǎn)品。這是IT服務(wù)管理在這個時代的顯著的特征。

在去年北京市電子政務(wù)的發(fā)展階段有這樣一個調(diào)查，這個調(diào)查表明北京市的電子政務(wù)的發(fā)展總體已經(jīng)進(jìn)入到深化應(yīng)用和加強(qiáng)IT運維服務(wù)管理為主要特征的運行維護(hù)階段，這里有一些數(shù)據(jù)，從2001年2007年上半年投到運維上的資金始終保持高速增長，運維費比2006年同比增加了10%、2007年同比增加20%，2008年初步預(yù)算增長約46%，并且在這張圖上我們可以看到，我們用藍(lán)色表示的是建設(shè)資金，藍(lán)色在2007年的時候建設(shè)資金在持續(xù)攀升之后終于出現(xiàn)下降的趨勢。

現(xiàn)在越來越多的采用外包，信息化的建設(shè)在2000年之前有很多還是由甲方自行地開發(fā)。2007年去看的時候，基本上100%的建設(shè)、開發(fā)全部是外包的，這是由社會專業(yè)服務(wù)機(jī)構(gòu)來提供的，運行維護(hù)這塊，我們看一下這塊的比例，大概也有超過59%是由社會外包來承擔(dān)的。

IT治理的五大領(lǐng)域成為關(guān)注焦點：第一，IT與業(yè)務(wù)戰(zhàn)略的融合，這是非常大的挑戰(zhàn)。應(yīng)該說這是一個系統(tǒng)的問題，系統(tǒng)的問題按照中國文化來講就是要用系統(tǒng)的方法來解決。第二，價值交付。第三，資源管理。第四，風(fēng)險管理。第五，績效管理。所有的這些都是為了統(tǒng)一的目標(biāo)，就是提升我們的競爭優(yōu)勢，構(gòu)筑我們中國企業(yè)的核心競爭力。現(xiàn)在突然出現(xiàn)了很多新的概念，很多的企業(yè)就搞不明白，他們會問：IT治理跟風(fēng)險管理、跟內(nèi)部控制、跟信息安全跟內(nèi)部審計、外部審計是什么關(guān)系?是不是IT治理的工作就要由高管層去做，包括利益相關(guān)者?風(fēng)險管理部門有風(fēng)險管理的部門，內(nèi)控有內(nèi)控的部門，審計有審計的部門。因為這些東西在歷史上的起源是各不相同的，它經(jīng)歷了不同的發(fā)展歷程，但是在進(jìn)入到信息社會之后，我們的企業(yè)在信息社會的條件下，這些概念開始融合了，比如風(fēng)險管理方面，風(fēng)險方面在原始社會，當(dāng)時的人為了規(guī)避自然的災(zāi)害——雷電、風(fēng)雨，他們躲到洞里面就視為風(fēng)險管理的起源。其實風(fēng)險管理在70年代的時候只用于保險行業(yè)，在出現(xiàn)了大規(guī)模的分布式、網(wǎng)絡(luò)化的信息技術(shù)條件下這些概念開始融合了。

在未來我們可以看到，這些東西會變成一回事，因為它本質(zhì)上都是服務(wù)于企業(yè)這一相同的目標(biāo)，比如企業(yè)合規(guī)的目標(biāo)，企業(yè)運營管理的效果和效率目標(biāo)。現(xiàn)在我們不能把它看成IT治理就是基于高管層負(fù)責(zé)，風(fēng)險管理由風(fēng)險部門負(fù)責(zé)，企業(yè)里面還有信息安全的部門，他們覺得風(fēng)險管理跟我沒關(guān)系，我是做信息安全的，如果有這樣的認(rèn)識偏差會導(dǎo)致我們實際工作中無所適從。

現(xiàn)狀之三就是信息化管理機(jī)制問題成為制約信息化快速發(fā)展的主要障礙之一。應(yīng)該看到，現(xiàn)在我們國家的信息化建設(shè)要做的工作不是信息技術(shù)和設(shè)備的升級再造，現(xiàn)在它變成了業(yè)務(wù)流程的重組和利益的再分配，它變成了不是一個純技術(shù)的事情了。這相當(dāng)于我們國家的行政體制改革一樣，它已經(jīng)進(jìn)入到深水區(qū)，涉及到體制和利益的調(diào)整，制約了一些部門和崗位的自由載量權(quán)，有些部門推進(jìn)的積極性不高，造成業(yè)務(wù)與IT兩張皮，使得地區(qū)間、部門間發(fā)展不均衡，影響了跨部門、跨地區(qū)應(yīng)用的開展?，F(xiàn)在電子政務(wù)的提法會在國內(nèi)某些地區(qū)引起誤區(qū)，我們應(yīng)該提電子政務(wù)的提法，如果要提電子政務(wù)的話，每個部門就勢必會想我要為我的業(yè)務(wù)做出一套系統(tǒng)出來，這樣的話就會派生出很多的應(yīng)用系統(tǒng)出來，事實上我們現(xiàn)在要建設(shè)的是服務(wù)型政府，包括企業(yè)也一樣，最終是要為客戶交付價值。我們?nèi)タ碈IO的缺失應(yīng)該是缺乏IT治理的概念，在中國只有極少數(shù)的企業(yè)里面設(shè)立了CIO的制度。CIO不是在中國可以隨隨便便就可以開展的工作，但是我們還有一些創(chuàng)新的做法，比如在一些企業(yè)里面，并沒有進(jìn)入到高層的或者進(jìn)入到常委、黨組成員這樣層級的CIO里面，但是它可以做覆蓋信息化生命周期管控流程，通過明確這些管控流程，負(fù)責(zé)人巧妙地解決CIO如何協(xié)調(diào)各個職能部門處理跨部門的業(yè)務(wù)流程整合與創(chuàng)新的問題。這樣會給我們一個思路，我們可以用創(chuàng)新的方法去破解關(guān)鍵之坎、制度之坎和體制之坎。

剛才我們談的是我國IT治理和風(fēng)險管理的現(xiàn)狀。下面我們看一下挑戰(zhàn)在哪里?挑戰(zhàn)會有很多，在IT治理方面的壓力和董事會的職責(zé)越來越凸顯。在合規(guī)年代之前信息中心的負(fù)責(zé)人很少有機(jī)會和高管層對話，現(xiàn)在很多在美上市企業(yè)由于做合規(guī)的工作，可能一個月或者一個季度信息部的負(fù)責(zé)人都有機(jī)會向高層、董事長匯報IT控制體系有效性方面的工作。但是這個挑戰(zhàn)其實是在于國內(nèi)外，包括國際上對信息資產(chǎn)的監(jiān)管尚無可遵循的標(biāo)準(zhǔn)。事實上，對信息資產(chǎn)的監(jiān)管現(xiàn)在是沒有標(biāo)準(zhǔn)的，但是我們對財務(wù)標(biāo)準(zhǔn)的監(jiān)管是有標(biāo)準(zhǔn)的，國際上是有會計準(zhǔn)則的，資本市場也有一系列的關(guān)于財務(wù)報告的要求，中國的財政部也有很多的關(guān)于財政管理的規(guī)章制度，也是有一些標(biāo)準(zhǔn)的。在信息資產(chǎn)的監(jiān)管上現(xiàn)在全世界是沒有標(biāo)準(zhǔn)的，由于其他的一些客觀原因，董事會對IT是不進(jìn)行監(jiān)管的，因為它只是一個工具而已，它并沒有變成影響到全局的東西，所以董事會當(dāng)然不會去監(jiān)管。但是在今天來說，對財務(wù)不進(jìn)行審計是一件非常危險的事情。我們也會看到，我們與發(fā)達(dá)國家和先進(jìn)企業(yè)的差距在于，這些企業(yè)大概在十年之前就開始了IT治理的征程，我們會看到我們與他們的差距不是在技術(shù)和設(shè)備的先進(jìn)應(yīng)用上面，我們可能用到的技術(shù)和設(shè)備比他們還要先進(jìn)，是在治理的水平和管理的水平上面的差距。

挑戰(zhàn)之二是監(jiān)管我國的信息化正在進(jìn)入以整合應(yīng)用和加強(qiáng)IT運維服務(wù)管理為主要特征的運行維護(hù)階段，比如我們現(xiàn)在所遵循的IT治理標(biāo)準(zhǔn)主要都是國際上的，在這方面中國整個信息化建設(shè)的制度安排基本上是健全的，比如建設(shè)階段對廠商資質(zhì)的管理、軟件開發(fā)商的資質(zhì)管理，有集成資質(zhì)的認(rèn)證，包括有做績效評價的一些方法，還有監(jiān)理的管理辦法，這都是由中國政府部門頒布的。包括有驗收的管理辦法，整個的制度安排是比較健全的，但是現(xiàn)在在信息化生命周期最源頭就是關(guān)于IT治理的標(biāo)準(zhǔn)，IT服務(wù)管理的標(biāo)準(zhǔn)有了一個非常好的全球的最佳的ITIL，這個東西對我們來說是非常好的，從最近幾年的發(fā)展勢頭來看，大概是在IT服務(wù)領(lǐng)域已經(jīng)處于壟斷地位了，在這種情況下，中國的企業(yè)和中國的政府部門需要基于最佳時間發(fā)展出來有中國特色的符合企業(yè)特點的IT服務(wù)管理的知識體系和管理規(guī)范。

去年因為我們做了一些調(diào)查研究，有這樣一些數(shù)據(jù)，就以北京市為例，所有的政府機(jī)構(gòu)共有信息化工作人員789人，這些人員當(dāng)中，90%以上的人員對運維的國際標(biāo)準(zhǔn)，ITIL和ISO20000表示未聽說或者未了解。從事運維的人員基本上都沒有國際公認(rèn)的從事運維的上崗證書，就是ITIL的認(rèn)證。71%的部門領(lǐng)導(dǎo)認(rèn)為運維比建設(shè)更重要，但內(nèi)部運維力量不足，一方面是人員不足，核心業(yè)務(wù)系統(tǒng)按370個來計算，假設(shè)所有人員參與運維，平均每個系統(tǒng)運維的人員僅有兩個人，現(xiàn)在政府的應(yīng)用系統(tǒng)可能是服務(wù)于上千萬的我們的老百姓，但只有兩個人員在運維。另外一方面懂運維的人非常少，全市的運維工作大多數(shù)是外部企業(yè)承擔(dān)的，共有130多家，外包的能夠提供運維工作的有130多家。提供安全管理工作的有30多家，在所有的運維服務(wù)企業(yè)中，僅有一家擁有ISO20000的證書。89%的企業(yè)集中提供簡單的技術(shù)設(shè)備、網(wǎng)絡(luò)和系統(tǒng)的運維，比如提供桌面的運維，只能提供一些簡單的運維服務(wù)。這也是一個很大的挑戰(zhàn)。

大家一方面越來越意識到運維工作的重要性，但是這件事情到底應(yīng)該怎么去干，沒有知識體系、沒有管理規(guī)范去遵循，所以并不知道怎么去做。

挑戰(zhàn)之三就是信息化管理的體制和機(jī)制層面的障礙導(dǎo)致了以下問題面臨著極大的挑戰(zhàn)：IT戰(zhàn)略與業(yè)務(wù)戰(zhàn)略的融合，IT能力與業(yè)務(wù)價值去協(xié)調(diào)，從而核心競爭力使IT投資獲得最大的回報。為什么體制和機(jī)制層面的障礙會導(dǎo)致這些問題呢?因為我們講IT要與業(yè)務(wù)融合，首先在治理層面就是IT與業(yè)務(wù)要融合。我們在前面看到的那些發(fā)達(dá)國家、先進(jìn)企業(yè)，他們董事會里面不光有薪酬委員會、投資委員會、審計委員會等等，還會有一個IT委員會，這個委員會負(fù)責(zé)治理層面的IT和業(yè)務(wù)的融合工作，因為如果在治理層面失之毫厘，那在操作層面就會差之千里。在座的各位都是信息化部門的領(lǐng)導(dǎo)，如果在高層IT和業(yè)務(wù)失之毫厘，雖然在下面做了很多的IT業(yè)務(wù)的精細(xì)的管理工作，但它們還是不一致的，還是兩張皮的，這個問題還是要從機(jī)制和體制問題解決它。

另外一塊，我們講到CIO所面臨的新挑戰(zhàn)就是要成為IT控制的專家，內(nèi)部控制最早只是應(yīng)用于財務(wù)管理的領(lǐng)域，在座的各位可能都是信息技術(shù)方面的專家，現(xiàn)在要求如何將IT與業(yè)務(wù)戰(zhàn)略融合，IT的能力與業(yè)務(wù)的價值相匹配，然后將整個信息化的建設(shè)生命周期都置于嚴(yán)格的控制下，那樣才能創(chuàng)造出最大的業(yè)務(wù)價值，所以其實是要我們成為一個控制的專家，這對于我們來說是非常大的挑戰(zhàn)。首先從知識體系來說就是一個非常大的挑戰(zhàn)，并且我們要把IT的控制和我們整個的企業(yè)的控制、企業(yè)層面的控制、業(yè)務(wù)流程層面的控制相融合，這又是一個非常大的挑戰(zhàn)。所以基于前面講到的現(xiàn)狀、挑戰(zhàn)，我們給出的對策就是實施IT治理，實施IT治理我們可以認(rèn)為是信息的治理。曾經(jīng)鄭和信息治理做的非常好，中國信息治理做的好的例子太多了，中國的長城在秦朝的時候，來自周邊地區(qū)少數(shù)民族的軍事上的進(jìn)攻非常多，又要守衛(wèi)著這么大的疆土，所以在秦朝的時候修復(fù)了長城，它用來傳遞信息，在明朝的時候現(xiàn)在甚至把長城修到了海里，徹底阻斷了倭寇進(jìn)攻的路線，中國在唐朝的時代是世界上最發(fā)達(dá)的國家，軍事實力也是最強(qiáng)大的，這表明在中國3000年歷史中信息治理做的好的比比皆是。

今天我們在IT風(fēng)險上面臨著幾大挑戰(zhàn)，必由之路就是要去實施IT治理，這里面我們有很多的觀點，由于時間關(guān)系，只能給出一個基本的思路：

第一步，我們需要建立IT治理與風(fēng)險管理的機(jī)制和框架。也就是第一步需要我們把藍(lán)圖做出來，我們現(xiàn)在在哪里，要到哪里去，中間這塊怎么才能做得到。

第二步，需要找一位有IT領(lǐng)導(dǎo)力的領(lǐng)導(dǎo)者，他統(tǒng)管IT治理與風(fēng)險管理的機(jī)制和架構(gòu)。這不管在國外還是中國企業(yè)都是這樣，有領(lǐng)導(dǎo)力的領(lǐng)導(dǎo)者太重要了。

第三步，企業(yè)需要通過事先設(shè)計的組合管理方法來綜合性地應(yīng)對IT風(fēng)險。最重要的是要指出風(fēng)險管理的本質(zhì)與最終目標(biāo)是要塑造具備良好風(fēng)險管理意識的企業(yè)文化，這才是一個具有優(yōu)秀信息技術(shù)能力的、創(chuàng)新型與學(xué)習(xí)型的企業(yè)所要具備的基本特征。我們曾經(jīng)要做一些IT治理和IT管理的顧問工作，一開始做這個顧問工作的時候，甲方覺得這么大的工作量都由我一個人來負(fù)責(zé)，這怎么能行呢?我們跟他講你要把IT治理和IT管理所遵循的國際標(biāo)準(zhǔn)，去嚴(yán)格地實施IT管理所遵循的流程，逐步地把它形成一種文化。大概是在十天之前，我們再去這個客戶那里做調(diào)研的時候，他們告訴我們，在昨天我們配置管理流程的經(jīng)理主動地發(fā)起一次討論，他基于平臺上搜集來的信息、基于他的觀察和其他人的建議，召集大家主動地做這個流程。這需要變成一種文化，變成不是有規(guī)章制度要求他做這件事情，而是大家覺得我要做這件事情，這就是文化。它本質(zhì)上確實是一個文化的問題。

最后，我們?nèi)タ纯碔T治理實施的路線圖，這個實施路線圖的遵循應(yīng)該是從世界觀到方法論再到具體的操作實踐的思路展開。我們做這件事情，IT治理僅僅是一個方法論的東西，首先要確定我們要建設(shè)高效可持續(xù)發(fā)展的信息化，把這個作為我們的世界觀，當(dāng)然這個具體內(nèi)容我們有一系列的文章，什么是科學(xué)的信息化發(fā)展觀?這在互聯(lián)網(wǎng)上大家都可以搜索到。確定了世界觀之后，我們就需要從體制和機(jī)制、制度安排的層面做一些設(shè)想、設(shè)計，這就是IT治理的工作，我們要設(shè)計這個框架是什么樣的、機(jī)制是什么樣的，誰來治理、治理什么?治理的內(nèi)容是什么?如何去評價這樣一個治理?去設(shè)計這樣一些工作。

在打好了這樣體制機(jī)制制度安排的基礎(chǔ)上，我們就可以逐項進(jìn)行IT風(fēng)險管理工作。為什么叫IT的風(fēng)險管理不叫IT的管理呢?因為我們有這樣一個研究，我們發(fā)現(xiàn)現(xiàn)在所有的管理都是風(fēng)險管理，所有的管理都是績效管理，所有的管理也都是流程管理，其實它是一回事，所以我們以后把IT的管理就叫做IT的風(fēng)險管理，不再是以前的投入產(chǎn)出的問題，而是風(fēng)險與收益的問題。

首先，IT治理和風(fēng)險管理是需要長期制度化的方法來實現(xiàn)的工作，它不是一蹴而就的東西，需要我們要以一個平常心來看待它。因為很多企業(yè)試圖讓我們用半天的時間告訴他IT治理是什么，到底是什么工作，這不可能做到。

第二，我們一定要以全球最佳時間為出發(fā)點，例如ITIL等。當(dāng)然我們應(yīng)該站在巨人的肩膀上。如果我們的企業(yè)都遵循這樣一種控制流程，這個控制流程的目的就是用來改善企業(yè)的內(nèi)部控制系統(tǒng)，進(jìn)而達(dá)成合法合規(guī)這樣一個目標(biāo)，就會給我們企業(yè)帶來一個持久的收益。

一旦中國的企業(yè)形成了與企業(yè)文化相適應(yīng)的良好治理結(jié)構(gòu)和治理機(jī)制，這就會成為中國企業(yè)國際競爭力的核心源泉。(chinabyte)