建立有效IT治理 助力公司規(guī)避風(fēng)險(xiǎn)
2010-11-29 |
||
在加入WTO后的中國(guó)經(jīng)濟(jì)環(huán)境中,信息的重要性已被廣為認(rèn)同。IT日益成為企業(yè)的直接利潤(rùn)中心,而隨IT而來(lái)的風(fēng)險(xiǎn)、利益和機(jī)會(huì)使得IT治理成為公司治理中很關(guān)鍵的一個(gè)方面。
在加入WTO后的中國(guó)經(jīng)濟(jì)環(huán)境中,信息的重要性已被廣為認(rèn)同。IT日益成為企業(yè)的直接利潤(rùn)中心,而隨IT而來(lái)的風(fēng)險(xiǎn)、利益和機(jī)會(huì)使得IT治理成為公司治理中很關(guān)鍵的一個(gè)方面。 一、lT治理的產(chǎn)生和發(fā)展 IT治理是信息系統(tǒng)審計(jì)和控制領(lǐng)域中的一個(gè)新概念,用于描述企業(yè)或政府是否采用有效的機(jī)制,使得IT的應(yīng)用能夠完成組織賦予它的使命,平衡信息技術(shù)與過(guò)程的風(fēng)險(xiǎn)、確保實(shí)現(xiàn)組織的戰(zhàn)略目標(biāo)。IT治理是一個(gè)全面的術(shù)語(yǔ),包含信息系統(tǒng)、技術(shù)通信、業(yè)務(wù)法律與其他問(wèn)題;涉及所有股東、董事會(huì)、高級(jí)管理層、管理執(zhí)行層、過(guò)程所有者、IT供應(yīng)商、用戶、審計(jì)師等利益相關(guān)者,治理的目的是保證IT與企業(yè)目標(biāo)的一致性。許多國(guó)家已經(jīng)開(kāi)始研究IT治理理論,并開(kāi)發(fā)了IT治理的實(shí)踐模型。1999年,國(guó)際清算銀行發(fā)布了International Control:Guid—ance for Directors On the Combined Code報(bào)告。1999年下半年,國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)成立了IT治理研究院,專門研究IT治理。2002年,題為(IT治理:中國(guó)信息化的必由之道》的論文發(fā)表,使得IT治理的觀念首次在國(guó)內(nèi)引起關(guān)注。 二、IT治理的定義 IT治理是公司治理中至關(guān)重要的一部分,包括IT審計(jì)、IT服務(wù)管理、信息系統(tǒng)安全審計(jì),它是對(duì)目前全球IT產(chǎn)業(yè)重新認(rèn)識(shí)和發(fā)現(xiàn)知識(shí)社會(huì)和信息經(jīng)濟(jì)運(yùn)行機(jī)理的一個(gè)總的概括。Robert S.Roussey(美國(guó)南加州大學(xué)教授)認(rèn)為:IT治理用于描述被委托治理實(shí)體的人員在監(jiān)督、檢查、控制和指導(dǎo)實(shí)體的過(guò)程中如何看待信息技術(shù)。IT的應(yīng)用對(duì)于組織能否達(dá)到它的使命、戰(zhàn)略目標(biāo)至關(guān)重要。德勤定義:IT治理是一個(gè)含義廣泛的概念,包括信息系統(tǒng)、技術(shù)、通信、商業(yè)、所有利益相關(guān)者、合法性和其它問(wèn)題。國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)(ISACA)定義如下:IT治理是一個(gè)由關(guān)系和過(guò)程所構(gòu)成的體制,用于指導(dǎo)和控制企業(yè),通過(guò)平衡信息技術(shù)與過(guò)程的風(fēng)險(xiǎn)、增加價(jià)值來(lái)確保實(shí)現(xiàn)企業(yè)的目標(biāo)。IT治理和IT管理有所不同。IT管理是公司的信息及信息系統(tǒng)的運(yùn)營(yíng),確定IT目標(biāo)以及實(shí)現(xiàn)此目標(biāo)所采取的行動(dòng);而IT治理是指最高管理層(董事會(huì))利用它來(lái)監(jiān)督管理層在IT戰(zhàn)略上的過(guò)程、結(jié)構(gòu)和聯(lián)系,以確保這種運(yùn)營(yíng)處于正確的軌道之上。二者互相依托,缺一不可。 三、IT治理與公司治理的關(guān)系 IT治理是公司治理的一部分,IT治理應(yīng)由董事會(huì)設(shè)計(jì)并執(zhí)行,要讓管理層設(shè)計(jì)IT治理框架。公司治理包括IT治理,良好的IT治理能提高公司治理的水平。公司治理中的激勵(lì)與約束機(jī)制也應(yīng)包括對(duì)IT相關(guān)人員的激勵(lì)與約束;公司治理確定的企業(yè)競(jìng)爭(zhēng)戰(zhàn)略也應(yīng)包括IT的發(fā)展戰(zhàn)略及與其它資產(chǎn)協(xié)同的機(jī)制;公司治理確定的風(fēng)險(xiǎn)控制和價(jià)值創(chuàng)造模式,也應(yīng)包括的IT的業(yè)績(jī)衡量和評(píng)價(jià)框架。IT治理是在公司治理整體框架下的一個(gè)組成部分,它不僅在協(xié)助企業(yè)業(yè)務(wù)開(kāi)展和提高企業(yè)競(jìng)爭(zhēng)力方面發(fā)揮重要作用,在協(xié)助人力資源治理、金融治理、實(shí)物資產(chǎn)治理、知識(shí)產(chǎn)權(quán)治理、關(guān)系資產(chǎn)治理等方面發(fā)揮作用,也通過(guò)提高公司的信息質(zhì)量,加強(qiáng)公司治理環(huán)節(jié)的信息披露和內(nèi)部控制,為企業(yè)的利益所有者(股東)提供更多信息,最終將提高公司治理水平。缺乏IT治理的公司治理是不完整和不科學(xué)的。 四、建立有效的IT治理架構(gòu) 建立有效的企業(yè)IT治理框架,需從五個(gè)領(lǐng)域進(jìn)行:IT戰(zhàn)略一致性,IT價(jià)值交付,IT資源管理,風(fēng)險(xiǎn)管理,性能評(píng)價(jià)。IT戰(zhàn)略一致性要求IT戰(zhàn)略同企業(yè)戰(zhàn)略目標(biāo)的一致,不但包括未來(lái)IT組織和企業(yè)組織的一致性戰(zhàn)略集成,也包括了當(dāng)前企業(yè)IT和業(yè)務(wù)執(zhí)行、操作上的一致性。價(jià)值的交付強(qiáng)調(diào)支出成本的優(yōu)化和證實(shí)IT的價(jià)值。IT的價(jià)值在于要在一定時(shí)間、預(yù)算內(nèi)交付優(yōu)質(zhì)的產(chǎn)品、服務(wù),取得預(yù)期的收益,也就是要在競(jìng)爭(zhēng)優(yōu)勢(shì)、完成訂單或服務(wù)花費(fèi)的時(shí)間、客戶滿意度、客戶等待時(shí)間、職員生產(chǎn)力等方面的提高。風(fēng)險(xiǎn)管理強(qiáng)調(diào)IT資產(chǎn)的安全維護(hù)和災(zāi)難的恢復(fù),除了金融的風(fēng)險(xiǎn)之外,管理者還需要特別關(guān)注運(yùn)營(yíng)和系統(tǒng)的風(fēng)險(xiǎn),其中技術(shù)的風(fēng)險(xiǎn)和信息的安全性尤為突出,資源管理強(qiáng)調(diào)優(yōu)化知識(shí)和結(jié)構(gòu)。IT性能成功實(shí)現(xiàn)的一個(gè)關(guān)鍵在于優(yōu)化投資、IT資源的分配和使用,很多企業(yè)無(wú)法在最小化IT資源成本的同時(shí)最大化它所帶來(lái)的績(jī)效,性能評(píng)價(jià)強(qiáng)調(diào)跟蹤項(xiàng)目的交付和監(jiān)控IT服務(wù)。 五、我國(guó)IT治理現(xiàn)狀 目前我國(guó)外部市場(chǎng)監(jiān)控機(jī)制尚不健全,公司治理結(jié)構(gòu)中的監(jiān)控職能被嚴(yán)重削弱,并使董事會(huì)失去監(jiān)督,風(fēng)險(xiǎn)管理意識(shí)淡薄,安全上采用純粹技術(shù)手段解決。缺乏優(yōu)良公司治理和IT治理機(jī)制是一些國(guó)內(nèi)企業(yè)與金融機(jī)構(gòu)無(wú)法抵御全球經(jīng)濟(jì)低迷和無(wú)法適應(yīng)市場(chǎng)環(huán)境快速變化的重要原因之一,加強(qiáng)IT治理實(shí)質(zhì)上是一個(gè)政府和企業(yè)機(jī)構(gòu)必須攜手面對(duì)的問(wèn)題。政府必須扮演一個(gè)重要的推動(dòng)角色,并且尤其需要強(qiáng)調(diào)的是政府制定規(guī)則比較合理的方法是通過(guò)聽(tīng)證會(huì)或知情會(huì)上下協(xié)商、交互式的制定規(guī)則,這樣才能解決規(guī)則的充分合法性、可執(zhí)行問(wèn)題。 |