伴随着@@信息化建设@@的深入开展@@,信息化战略@@定位@@、信息化绩效评估@@@@、信息化项目管理@@、信息化投资@@风险@@管理@@@@、IT服务@@管理等成为中国信息化的热点问题@@,而@@IT治理@@作为一个@@全新的概念@@,更成为上述所有@@热点问题的交汇点@@。
不是@@概念是@@制度@@
了解@@IT治理@@,首先@@要知道什么是@@公司治理@@@@@@。公司治理@@@@ (Corporate Governance)是@@属于企业制度层面的内容@@,其核心在@@于企业通过权力制衡@@,监督管理者的绩效@@,保证股东和其他利益相关主体@@的权利@@。那么@@,从@@公司治理@@@@的含义@@,能不能望文生义地说@@“IT治理@@(IT Governance)是@@股东对@@@@IT经营者@@的一种监督与制衡@@机制@@”呢@@?最早提出@@IT治理@@概念的国际信息系统审计与控制联合会@@(ISACA)对@@IT治理@@做出了如下的定义@@:“IT治理@@是@@公司治理@@@@的一个@@有@@机组成部分@@,它包含领导力@@、组织结构和流程@@@@等制度和机制@@,其确保@@IT维续和扩展组织的战略@@和目标@@。”
于是@@@@,IT治理@@就包含了以下几层含义@@。首先@@,IT治理@@是@@公司治理@@@@的一个@@有@@机组成部分@@。信息化建设@@中@@,一个@@共@@识已经达成@@,即@@企业信息化是@@企业经营管理的一个@@有@@机组成部分@@,目前@@,信息部门已经是@@企业的一个@@重要部门@@,CIO是@@企业管理层的重要成员@@,信息化服务@@和管理流程@@也逐步融合到了企业的业务管理流程@@中@@。但@@在@@进一步推进信息化建设@@过程中@@,我们还必须达成另一个@@共@@识@@,即@@IT治理@@是@@公司治理@@@@的一个@@有@@机组成部分@@,它体现了股东@@、董事会@@和管理层对@@信息化建设@@的关注@@@@。其次@@@@,IT治理@@是@@一种制度和机制@@,包含了管理和制衡@@IT与业务@@匹配@@、IT投资@@价值@@、IT风险@@和@@IT绩效的领导力@@、组织结构和流程@@@@。再次@@@@,IT治理@@的目标是@@实现股东和其他利益相关主体@@对@@信息化建设@@的监督与制衡@@@@,以保证信息化建设@@能够真正落实和贯彻组织业务战略@@和目标@@。
作为公司治理@@@@的一个@@有@@机组成部分@@,股东是@@@@IT治理@@的核心主体@@@@,但@@IT治理@@的主体@@不仅局限于股东@@,而@@是@@包括股东@@、债权人@@、雇员@@、顾客@@、供应商@@、政府@@、社区等在@@内的广大公司利益相关者@@。不同主体@@对@@@@IT治理@@的关注@@点是@@不同的@@。股东和管理层比较关注@@低成本@@@@、高收益@@、并有@@助于增加公司的市场份额@@;客户关注@@的是@@更为快速@@、低成本@@、易于使@@用地享受更多@@的服务@@@@;而@@政府@@部门则对@@如何方便服务@@@@、引导和监督比较看重@@。
因此@@,董事会@@、经营者@@、IT管理者就成为@@IT治理@@的客体对@@象@@。但@@是@@@@三者的需求以及@@任务又是@@截然不同的@@。董事会@@在@@@@IT治理@@中应当被股东价值所驱动@@;采用@@IT治理@@的框架@@,关注@@IT与业务@@的匹配@@、IT价值贡献@@、IT风险@@管理@@;认真衡量信息化建设@@结果@@。经营者@@在@@@@IT治理@@中要保证@@IT战略@@与业务@@发展目标的匹配@@;把@@IT战略@@和目标分解到组织@@,建立有@@助于@@IT战略@@实施@@的组织结构@@;采用@@一个@@控制和治理@@结构@@;提供@@IT基础结构以创造和共@@享业务信息@@,在@@组织中明确风险@@管理@@的责任@@;关注@@于重要的@@IT流程@@和核心的@@IT能力@@,以及@@IT绩效管理@@。
监督与制衡@@
目前@@,对@@企业来说@@,IT已经不仅仅是@@技术@@,它更具有@@战略@@意义@@。IT战略@@是@@企业战略@@的有@@机组成部分@@,它对@@实现业务创新和管理提升具有@@重要意义@@,因此@@股东和董事会@@有@@必要建立对@@@@IT的监督和控制机制@@。随着@@企业信息化建设@@的深入@@,IT对@@业务的作用越来越关键@@。这种关键性来自于各项业务对@@于信息系统@@、信息资源和通信网络不断增强的依赖性@@;IT技术的潜力急剧改变了企业和业务实践@@,创造了新的机会并降低了成本@@;在@@一个@@互联的世界中@@,从@@事业务经营的风险@@也在@@不断加大@@;IT项目的失败不断影响@@IT声誉和企业的价值@@;借助@@IT实现知识管理对@@保证企业业务的发展十分关键等方面@@。这种关键性使@@得股东和董事会@@更多@@关注@@@@IT治理@@成为必然@@。但@@长期以来@@,人们对@@信息化的期望值普遍偏高@@,但@@是@@@@信息化建设@@状况却与期望差距很大@@,以致有@@人把@@@@IT描述为@@“IT黑洞@@”。这种期望与实际间不匹配情况的出现@@,在@@很大程度上是@@因为对@@@@IT项目的投资@@@@、风险@@和@@绩效等缺乏一个@@有@@效的监督和制衡机制@@,因此@@,IT治理@@十分必要@@。
而@@对@@于绝大多数人来说@@,IT是@@一门纯粹的技术@@,业务人员以及@@一些管理人员还仅仅是@@把@@它当作一种工具和手段@@,IT一直没有@@得到它应该得到的重视@@@@。这主要是@@因为信息技术日新月异@@,与其他学科相比@@,需要具备更好的@@专业技术基础@@,才能很好理解@@IT与业务@@、风险@@和@@机会的关系@@。因此@@,有@@必要从@@治理@@的高度提升企业对@@@@@@IT的重视@@。
此外@@,IT涉及巨大的投资@@和极大的风险@@@@。随着@@网络和@@Internet技术的发展@@,企业对@@@@IT的投资@@动辄上亿@@,例如中国工商银行近几年的数据大集中项目涉及全国几十家省级分行@@,投资@@已经达到几十个@@亿@@。随着@@IT投资@@增大@@,IT的风险@@也逐步加大@@。IT治理@@能够有@@效保护@@IT投资@@,规避@@IT风险@@。
持续的循环过程@@
中国企业信息化建设@@已经经历了从@@无到有@@@@,从@@单机到联网@@,从@@简单的@@“应用@@电子化@@”到复杂的@@“管理信息化@@”的发展过程@@,IT管理理念也经历了从@@@@IT应用@@、IT服务@@、IT管理到@@IT治理@@的完善阶段@@。那么@@,企业究竟应该在@@信息化建设@@的哪一个@@阶段引入@@IT治理@@机制呢@@@@?赛迪顾问认为@@,对@@企业来说@@,IT治理@@是@@一个@@持续的循环过程@@@@,有@@IT流程@@就应该有@@@@IT治理@@。在@@信息化发展的初始阶段@@,组织并没有@@体会到它的重要意义@@,往往忽略了@@IT治理@@,于是@@@@,信息化建设@@与业务@@的不匹配@@、信息孤岛@@、信息投资@@黑洞@@的产生等信息化建设@@初期@@IT治理@@缺失所造成的恶果便频繁出现@@,因此@@从@@信息化建设@@的初始阶段就应加强@@IT治理@@机制的建立@@。同时@@,IT治理@@是@@股东或市场@@(含政府@@@@)他律的机制@@,因此@@治理@@通常被理解为一种事后的监督机制@@。但@@是@@@@,为了实现与信息化建设@@的互动@@,需要建立从@@事前@@、事中到事后的监督和控制机制@@@@。
为了成功地实现@@IT治理@@,企业必须拥有@@较为完善的公司治理@@@@结构和治理@@环境@@,这是@@@@IT治理@@的基础环境@@。以国有@@商业银行为例@@,由于@@四大国有@@商业银行还没有@@改造为股份公司@@,没有@@建立完善的现代企业制度@@,更谈不上形成合理的公司治理@@@@结构@@。国有@@商业银行公司治理@@@@结构的缺陷也使@@@@IT治理@@的机制不健全@@,因此@@对@@国有@@商业银行@@IT治理@@环境的建立是@@首要解决的问题@@。同时@@,IT治理@@的基础条件是@@企业已经把@@@@IT看作企业经营管理的一个@@有@@机组成部分@@,企业股东和相关利益者充分理解@@IT的价值和意义@@,从@@企业员工到企业最高管理层对@@@@IT有@@基本的认同@@。由于@@IT治理@@的复杂性和专业性@@,治理@@层必须强烈依赖企业的下层来提供@@决策和评估活动所需要的信息@@。为保证有@@效的@@IT治理@@,下层应用@@要和企业总体目标采用@@相同的原则@@,提供@@评估业绩的衡量方法@@。因此@@,好的@@IT治理@@实践需要在@@企业全部范围内推行@@。
此外@@,IT治理@@应遵循一定的方法论@@。即@@在@@业务目标的驱动下@@,制定@@IT战略@@,并保证@@IT战略@@与业务@@战略@@目标的匹配@@ ;挖掘业务需求@@,完善信息系统建设@@,使@@IT真正为业务提升@@、管理创新贡献价值@@;实施@@IT项目管理与风险@@管理@@@@;进行@@IT绩效评估@@。这是@@@@一个@@循序渐进的往复循环的过程@@,通过这个@@过程@@,IT治理@@将逐步实现股东的利益@@。
在@@IT治理@@过程中@@,需要一个@@核心的控制框架@@。COBIT(“信息和相关技术的控制目标@@”)是@@ISACA提出的@@IT治理@@的控制框架@@,它包括以下几个@@方面@@:把@@被控制的@@IT流程@@分为四个@@领域@@,即@@系统规划@@、系统获取和实施@@@@、系统交付和维护@@、系统监控@@,每个@@领域中包含多个@@@@IT流程@@,共@@34个@@IT流程@@;对@@每个@@流程@@设定一个@@高层次@@的控制目标@@,从@@7个@@信息准则上去监控@@;针对@@管理层和@@IT参与者共@@@@300个@@详细的控制目标@@;建立在@@这些控制目标上的大量@@IT流程@@的审计指南@@、实施@@指南和管理指南@@。
