分析：國內(nèi)信息化缺乏IT治理理念

申請免費試用、咨詢電話：400-8352-114

前幾日，滬深大盤發(fā)生異常大跳水，7分鐘內(nèi)上證指數(shù)跌去近20點。業(yè)內(nèi)分析人士認(rèn)為，上證指數(shù)的風(fēng)云突變可能與下午上證所IT系統(tǒng)的故障有關(guān)。

據(jù)悉，在當(dāng)日下午，剛上市的招行認(rèn)沽權(quán)證由于成交量巨大，導(dǎo)致其行情顯示時總成交量字段溢出，致使其總成交量顯示異常，并使招行權(quán)證價格在股票分析軟件上成為一條不再波動的直線。這種現(xiàn)象直接導(dǎo)致市場波動，帶動股指發(fā)生了兩波快速下跌。今年全球由于IT系統(tǒng)故障導(dǎo)致金融市場大動蕩的現(xiàn)象已經(jīng)有多起發(fā)生。去年末，在短短的40天內(nèi)，東京證交所由于交易系統(tǒng)軟件升級出現(xiàn)問題而導(dǎo)致了兩起重大事故。

IT系統(tǒng)建設(shè)的目標(biāo)是為了支撐業(yè)務(wù)更好地發(fā)展，但是IT系統(tǒng)故障卻直接影響了上證和東京證交所的業(yè)務(wù)正常進行，IT系統(tǒng)背叛了業(yè)務(wù)目標(biāo)。

“各種組織對信息系統(tǒng)的依賴程度在不斷增加，更有一些組織若沒有IT支撐將不復(fù)存在，這導(dǎo)致IT本身已經(jīng)或潛在成為一個巨大的威脅。”中國IT治理研究中心首席專家孫強說，“隨IT而來的風(fēng)險、利益和機會使得IT治理成為公司和政府治理中很關(guān)鍵的一個方面。”

IT治理重在事前控制

北京信息空間文化經(jīng)濟研究院首席顧問蘇彤老師在去年的中國公司治理暨IT治理年會上講過這樣一個故事。

魏文王問名醫(yī)扁鵲說：“你們家兄弟三人，都精于醫(yī)術(shù)，到底哪一位醫(yī)術(shù)最好呢?”

扁鵲回答說：“大哥最好，二哥次之，我最差?！?/P>

文王再問：“那么為什么你最出名呢?”

扁鵲答說：“我大哥治病，是治病于病情發(fā)作之前。由于一般人不知道他事先能鏟除病因，所以他的名氣無法傳出去，只有我們家里的人才知道。我二哥治病，是治病于病情剛剛發(fā)作之時。一般人以為他只能治輕微的小病，所以他只在我們的村子里才小有名氣。而我扁鵲治病，是治病于病情嚴(yán)重之時。一般人看見的都是我在經(jīng)脈上穿針管來放血、在皮膚上敷藥等大手術(shù)，所以他們以為我的醫(yī)術(shù)最高明，因此名氣響遍全國?！?/P>

“這個為人熟知的故事講了一個很淺顯的道理——事后控制不如事中控制，事中控制不如事前控制。可惜大多數(shù)的事業(yè)經(jīng)營者均未能體會到這一點，等到錯誤的決策造成了重大的損失才尋求彌補。彌補得好，當(dāng)然是聲名鵲起，但更多的時候是亡羊補牢，為時已晚?！碧K彤評論說，“這正是IT治理意味深長的地方!”

根據(jù)美國IT治理協(xié)會的定義，IT治理是“一種引導(dǎo)和控制企業(yè)各種關(guān)系和流程的結(jié)構(gòu)，這種結(jié)構(gòu)安排旨在通過平衡信息技術(shù)及其流程中的風(fēng)險和收益，增加價值以實現(xiàn)企業(yè)目標(biāo)。”中國IT治理研究中心在綜合研究的基礎(chǔ)上提出如下定義：IT治理用于描述企業(yè)或政府是否采用有效的機制(就是為鼓勵I(lǐng)T應(yīng)用的期望行為而明確決策權(quán)歸屬和責(zé)任承擔(dān)的框架)，使得IT的應(yīng)用能夠完成組織賦予它的使命，同時平衡信息技術(shù)與過程的風(fēng)險、確保實現(xiàn)組織的戰(zhàn)略目標(biāo)。 “治理和管理的區(qū)別就在于：治理是決定由誰來進行決策，管理則是制定和執(zhí)行這些決策。”孫強說，“這是一個硬幣的兩面，誰也不能脫離誰而存在。”IT管理是公司的信息及信息系統(tǒng)的運營，確定IT目標(biāo)以及實現(xiàn)此目標(biāo)所采取的行動；而IT治理是指最高管理層(董事會)利用它來監(jiān)督管理層在IT戰(zhàn)略上的過程、結(jié)果和聯(lián)系，以確保這種運營處于正確的軌道之上。

薩班斯法案需要善治型CIO

在美國安然公司的財務(wù)丑聞發(fā)生之后，美國政府頒布了薩班斯法案，這部法案也被稱為自羅斯福以來美國商業(yè)界影響最為深遠(yuǎn)的改革法案。這個法案對整個公司管理層對內(nèi)控體系和信息披露提出了嚴(yán)格的要求。并且針對要求提出了監(jiān)管和懲罰的措施?？傮w來說，薩班斯法案是從公司會計的流程角度出發(fā)的，為什么會涉及到信息系統(tǒng)呢?畢博管理咨詢(大中國區(qū)) 總經(jīng)理遲邦勞指出，目前越來越多的企業(yè)依靠信息系統(tǒng)支撐業(yè)務(wù)運作，而信息系統(tǒng)里面存在相應(yīng)的風(fēng)險，所以就要建立一個信息系統(tǒng)的控制體系。薩班斯法案就是要求財務(wù)報表的準(zhǔn)確性，財務(wù)報表靠業(yè)務(wù)流程，而業(yè)務(wù)流程又是由信息系統(tǒng)支撐的。信息系統(tǒng)總體控制是針對信息系統(tǒng)共性的內(nèi)容，比如說所有的信息系統(tǒng)都要有相應(yīng)的數(shù)據(jù)庫和服務(wù)器。對這些總體控制是不是能夠達到相關(guān)要求，也需要對信息系統(tǒng)做一些相關(guān)的控制。

法案中對企業(yè)影響最大的是302和404兩個條款。302條款主要是要求企業(yè)的高管簽署對企業(yè)重要事情不存在遺留。404條款要求企業(yè)管理層對企業(yè)必須建立一個有效的內(nèi)控體系，并且對內(nèi)控體系要進行評估。評估內(nèi)容包括：

公司數(shù)據(jù)的完整性受到公司IT控制的充分性影響；

公司交易從交易開始、記錄、處理到報告全程應(yīng)用IT；

加快并支持財務(wù)報告的IT控制；

IT控制有效性記錄與評價的要求；

IT一般控制與應(yīng)用控制；

利用IT自動記錄并監(jiān)控控制制度的執(zhí)行。

孫強指出：“薩班斯法案要求CIO必須成為管理控制專家，不僅要參與到公司治理領(lǐng)域，以使IT與業(yè)務(wù)戰(zhàn)略從治理到管理再到執(zhí)行層面始終保持精確校準(zhǔn)，還要在完善內(nèi)部控制和全面風(fēng)險管理體系中發(fā)揮作用。”