过去,IT风险管理常被忽略或仅仅作为一个单纯的技术问题,但是,现在它已经成为组织治理的问题,是一个涉及到政府部门、监管机构、外部审计、技术服务提供商、董事会与管理层及所有利益相关者的问题。SOX法案更是通过内部控制有效性声明和严厉惩罚将法律与IT风险问题绑定。鉴于此,谨向上述人士推荐此书,相信本书的出版对于推动IT风险管理领域的发展有着非常积极的意义。
IT治理是国内外管理、信息技术、经济、审计、法律等学术界和产业界共同关注、研究的一个全球性课题。众多国内外企业基业常青和创新发展的实践都表明,有效的IT治理是竞争优势的源泉,是管理创新和构建组织竞争力的决定因素之一,也是保证组织持续发展、高速成长的关键所在。
IT治理的背景
IT治理的提出,一方面是因为信息已经成为我们企业最为宝贵的资产,IT在组织中已经扮演一个影响到组织全局、影响到治理层面的角色,另外一方面与全球瞩目的焦点难题—— 公司治理—— 亦有着深刻的渊源。众所周知,公司治理问题一直是企业制度与组织的核心问题。近年来,因上市公司频频“惊曝黑幕”,“公司治理”成为全球性的问题。从美国的安然、世通、施乐等粉饰业绩甚至导致企业崩溃的案件,到日本雪印食品公司舞弊案件,都使得公司治理正在成为企业议事日程中最重要和最迫切的任务。
公司治理是一种对公司管理和运营进行监督和控制的体系。它的核心是在所有权和经营权分离的条件下,解决好所有者和经营者的利益不一致而产生的委托—代理关系。其目标是降低代理成本,使所有者不干预公司的日常经营,同时又保证经理层维护股东的利益,实现公司价值和利益的最大化。而公司股东与经营管理者之间的信息不对称性或不完全性,容易导致公司治理的失效甚至失败,也是导致大的舞弊风险出现的主要原因。因此,有效的解决公司重要信息(包括财务信息和非财务信息)的真实性、准确性、及时性,通过有效的传递、鉴别和处理,协调高管层、董事会、股东和公司其他相关利益者的相互作用所产生的具体问题,并通过获得信息的监督者与决策者的沟通与决定实施有效的控制,是完善公司治理的一个重要方面和手段。为了解决现代公司中广泛存在的委托-代理问题,就必须在公司治理的制度中,重视委托与代理之间的信息不对称问题,通过对公司重要信息有效的传递、鉴别和处理,使代理成本最小化,提高企业的经营绩效。
那么,什么是IT治理呢?为什么说它和公司治理密切相关呢?
IT治理用于描述企业或政府是否采用有效的机制(就是为鼓励IT应用的期望行为而明确决策权归属和责任承担的框架),使得IT的应用能够完成组织赋予它的使命,同时平衡信息技术与过程的风险、确保实现组织的战略目标。目前,许多国家已经开始研究IT治理理论,并开发了IT治理的实践模型,在政府和企事业等单位得到良好的应用。为更好理解IT治理的内涵,需要追溯IT治理的起源。
1999年,英国BIS发布了Internal Control: Guidance for Directors on the Combined Code(Turnbull Report, 1999)报告。该报告提出了信息技术风险对公司治理的影响,引入了内部控制的要求,并指出,有效的公司治理必然需要有效的IT治理和风险管理。
BIS将信息风险管理融入到企业的操作中,证实企业中信息技术交付的价值,及时向相应的管理层汇报,其目的主要在于解决委托与代理之间的信息不对称问题,通过对公司重要信息有效的传递、鉴别和处理,使代理成本最小化,提高企业的经营绩效。
1994年TSE发布的题为“董事何去何从?提高加拿大公司治理的指南”中就认为:整合企业的内部控制和管理信息系统是董事会的5个“首要责任”之一,对此责任的解释是有效地履行董事会的责任需要有效的控制和信息系统来支持。例如,在批准企业战略时,董事会需明确各种评价战略的标准和监督执行战略的体系;同样,在审查和批准财务信息时,董事会需要企业的审计系统来通报数据的完整性和对会计原则的遵循。总之,该指南认为董事会必须关注内部控制和信息系统,因为它是履行其他责任必须依靠的机制。该报告对董事会责任的界定提高了内部控制在加拿大上市公司中的重要性,并有助于改善公司的控制环境。
2001年1月,BIS发布了关于“重要支付系统核心准则(CPSS43)”的报告,指出系统治理对于增强对市场和管理者的信心尤为重要。该报告主要强调集成化的重要支付系统的治理,因为电子支付系统依赖于信息技术实现其功能,这些系统在国家中占的数量很少,而他们所提供的服务却涉及很高的价值,因此要加强治理。
尽管在该报告中BIS强调电子支付系统的重要性,而支付系统与其他战略IT系统有不同的目标,但是BIS建议对治理需求进行整合,并提出明确的IT治理需求,指出有效的、可审核的、透明的治理对于公共部门和私人组织而言都十分重要,良好的治理机制能够帮助系统实现预期目标,满足需求,并处理不同的系统和行业的特殊问题。这些理念却对IT治理产生深远的积极影响。
美国信息系统审计与控制协会也于1999年成立了IT治理研究所,专门研究IT治理,并提供了信息及其相关技术的管理体系模型和最佳实务,帮助企业领导层认识有效实施IT治理的必要性与益处,从而保证长期的可持续的发展,并且增强利益相关者的价值。
在2002年美国颁布萨班斯法案(法案被称为“自罗斯福总统以来美国商业界影响最为深远的改革法案”)中,我们看到了一脉相承的要求,只不过这些要求是以前所未有的法律的形式固定下来的,良好的公司治理和高管层对IT治理的职责再也不是一个可有可无的美好愿景。
● 公司数据的完整性受到公司IT控制的充分性影响;
● 公司交易从交易开始、记录、处理到报告全程应用IT;
● 加快并支持财务报告的IT的控制;
● IT控制有效性记录与评价的要求;
● IT一般控制与应用控制;
● 利用IT自动记录并监控控制制度的执行。
因此,萨班斯方案开始要求CIO必须成为管理控制专家,不仅要参与到公司治理领域,以使IT与业务战略从治理到管理再到执行层面始终保持精确校准,还要在完善内部控制和全面风险管理体系中发挥作用。可见,IT已成为公司治理、全面风险管理关注的新领域。
中国IT治理的发展历程
由于IT治理被认为是“解决信息化建设中深层次的机制问题,建立一整套明确决策权归属和责任承担的制度安排”,因此很快引起了我国一些专家学者的重视,在21世纪初也开始了IT治理的研究,力图从发达国际的研究成果中学求借鉴和启发,探索适合中国国情的IT治理模式。
中国IT治理的兴起与发展源于2002年,这年3月我们起草了《关于建立我国信息系统审计制度的建议》,并向国信办领导做了汇报。同时,我们发起成立了中国信息系统审计与控制专业委员会的筹备组,并积极倡导在我国信息化建设中引入信息系统审计,开启了我国IT治理和信息系统审计研究的先河。同年7月,我们发表《信息系统监理与信息系统审计:中国的实践与美国的经验》,首开我国信息系统监理与信息系统审计比较研究的先河。2002年10月,ITGov专家团队(孙强、郝晓玲、孟秀转)联合发表《IT治理:中国信息化的必由之路》,首次在中国提出并倡导“IT治理”的理念。该文在互联网上引起了极大的反响,被广泛地转载和讨论。这是中国IT治理发展史上的第一个里程碑。同年,ITGov专家团队(孙强等)又发表了《信息安全治理:创造新的战略竞争机遇》,首次在中国提出“信息安全治理”理念并倡导治理层面(高管层和董事会) 必须履行对信息安全管理的职责。
2003年2月,围绕着IT治理这一核心理念,我们首开信息系统审计与监理、信息安全管理、IT项目管理、IT服务管理、信息化战略规划、管理信息化六大领域培训与推广工作,首次在国内从制度、战略、标准和体系的高度,大规模成系列地开展信息化管理研究、培训、会议等工作,在政府、行业用户、媒体及专家学者的共同推动下,IT治理、信息化管理、绩效评估、信息系统工程监理、IT服务管理、信息化战略规划、风险管理等成为2003年的热门关键词。此后,ITGov在艰难探索中前行,创下了许多中国第一,如:中国第一套IT治理智库丛书,中国第一个IT治理咨询项目、中国第一个电子政务绩效评价项目、中国第一个“三位一体(战略实施、项目管理、风险管控)”的企业信息化绩效评价模型、中国第一个企业信息化管理控制体系咨询项目(荣获2005年度国家级管理创新奖),中国第一个IT治理暨全面风险管理人才培养计划,中国第一家开展COBIT、ISO17799、ITIL、COSO、SOX、ISO20000、PRINCE2、ITPMBOK、信息化工程监理标准等多个国内外标准体系之间的整合研究工作,并推动研究制定我国的信息系统审计、IT服务管理行业标准。2005年末,正值中国在美上市企业距离SOX法案合规的最后期限已经很近的关键时刻,由ITGov主办的中国公司治理暨IT治理年会(简称G2峰会,每年定期举办)在北京开幕,为中国企业寻找全球风险时代的“航海图”,并同期成立了G2俱乐部,旨在建立推动公司治理和IT治理的长效机制。目前,ITGov致力于成为非为赢利性质的世界级的IT治理研究、培训与咨询机构,以“参与国际信息化管理标准的制定,推动中国信息化建设的高效可持续发展为己任”这样一个共同的价值观,正在成为凝聚海内外优秀专家的资源平台。
正是在各方的努力倡导和积极推动下,短短数年,就出现了IT治理研究浪潮,并大有一浪高过一浪之态势。我们迎来了探索和实践适合中国政府和企业的IT治理模式的新时代。
IT治理的研究与实践
近年来,在IT治理研究与推广方面,我们以信息时代的公司治理和IT治理为研究方向,依托ITGov中国IT治理研究中心的资源平台优势,开展了基础性和应用性的重大理论和现实问题研究,形成了与国内外紧密合作的网络优势,承担了国家自然科学基金、中国人民银行等部委的重点研究课题,已经初步建成了我国第一个开放式的IT治理科学研究平台。
在IT治理理论体系建设上,探索内延以信息时代的公司治理和IT治理为核心范畴,外延涵盖IT服务管理、IT管控体系、信息系统审计、信息安全管理体系、业务持续管理体系、信息化绩效评价、IT风险管理、IT领导力等理论体系。从IT治理主体和治理客体、治理边界和治理范围、治理机制和治理功能、结构和形式等方面出发,构筑IT治理的体系框架,还将IT治理的研究范围从IT治理结构扩展到IT治理机制,从单一的法人治理扩展到集团企业的治理,从IT治理的一般模型扩展到IT治理的决策模型,从IT治理的理念导入扩展到影响IT治理的因素,从IT治理的安排矩阵扩展到治理IT绩效的研究,从IT治理的理论研究扩展到对国际先进企业的实证分析。在国内较早地针对CIO的制度框架、CIO的管理框架、CIO的能力框架这三大框架,进行开创性研究,为我国引入CIO制度、发挥信息技术优势、推动管理创新提供了一些理论支持。
在IT治理实践与应用研究方面,我们坚持为政府决策和企业实践服务,重视将理论研究付诸实际应用,在IT治理原则、集团治理、跨国公司IT治理和IT治理评价体系方面,针对重大现实问题展开研究,先后进行了近百家公司的实证调查,承担多项与大型企业合作的横向课题,取得的系列成果为政府或监管部门制定政策、监管制度,以及企业的IT治理决策提供了咨询支持。已经完成或正在进行的研究如下。
第一、中国IT治理应用研究
在借鉴美国、英国、荷兰、澳大利亚和ITGI等不同国家、地区、国际组织、跨国企业IT治理原则的基础上,在国内率先提出并开展了中国IT治理应用研究,该研究从中国信息化现存的问题切入,立足于建设高效可持续发展的中国信息化,全面阐述符合中国国情和企业需求的IT治理的定义、目标、范围和IT治理知识体系以及IT治理成熟度模型等等。
第二、公司治理、IT治理和中国企业国际竞争力研究
该研究结合外部监管环境日趋严格的趋势和中国企业的国际竞争力提升,分析总结以下核心内容:在信息时代如何完善公司治理以及提升企业内部控制和风险管理水平?如何构建IT总体控制体系,迎接萨班斯法案的挑战?利用COSO建立的内部控制框架给IT部门的系统控制带来的变更风险有哪些?内部控制与全面风险管理的区别与联系?中国企业在内部控制与全面风险管理理念上的误区分析,如内部控制等同于控制制度吗?如何利用信息化手段有效提高内部控制和风险防范能力?如何通过信息化战略提升企业的核心竞争力和IT部门的价值?为什么说国际竞争很大程度上是公司治理和IT治理的竞争?如何建立持续有效的内部控制长效机制?
第三、中国企业信息化管理控制体系研究
在毫无任何经验可借鉴的情况下,我们探索出适合中国企业的信息化管理控制体系框构模型,及其构建原则、方法和实施工具。在大型企业的应用实践表明,通过建立和完善科学的信息化管理控制体系,规范了企业信息化管理工作,为实现企业的信息化战略目标提供了管理上的保障。
第四、中国企业IT治理评价体系研究
在借鉴国际著名公司治理评价体系并结合中国企业治理环境特点的基础上,我们正在研究与国际接轨的中国企业IT治理评价体系。旨在对照发达国家先进企业,全面展示并评价我国企业的IT治理水平,让世界进一步了解中国公司的治理状况。
第五、中国信息系统审计研究
在结合中国国情,引进、消化和吸收了国际上先进的安全、风险管理与控制的方法论和最佳实务的基础上,我们深入开展了如何审计各类信息系统环境下的控制的研究。重点聚焦在当前业界普遍关注的ERP审计和数据中心审计上,以及信息安全审计的相关要项。
第六、中国信息安全管理体系研究
依据ISO17799/27001这一全球公认的信息安全管理标准,针对企业信息安全治理中的具体问题,如在战略和运营层面的风险评估框架缺失,在治理层面的信息安全职责不到位,信息安全组织结构不科学,结合具体企业集团个案进行深入研究,辅以ITGov资源平台整合的实施信息安全管理的方法、步骤及应用软件,我们已经初步形成了企业信息安全管理体系的研究和咨询体系。
第七、中国IT服务管理体系构建研究
我国的信息化建设发展到今天,运行维护的安全、可靠和高效成为备受行业用户关注的焦点问题。理论与实践并不总是能够保持同步,我们力图融合当前该领域的最新发展,并结合中国企业的具体问题进行具体分析,构建符合中国国情和企业需求的IT服务管理体系,而不是完全照搬国际上的最佳实践。我们研究和实践的重点是:在考量组织实际的IT需求的基础上,通过业务流程重组和内部管理变革实现IT和业务的最大程度的整合,从而使IT成为真正驱动业务发展的内在驱动力,同时有效地降低IT管理的成本。
第八、IT领导力研究
我们针对当前我国信息化建设的现状,先从评价和分析典型的IT部门浪费、低效率和实施差等现象和原因开始,识别成功运营IT的主要管理领域,总结国内外的最佳实践,帮助将IT部门转变成为世界一流的组织。该研究的具体方向涵盖(1)改善IT管理,(2)持续改善与业务部门的关系,(3)IT人力资源管理,(4)增加项目管理规范性,(5)IT绩效管理,(6)IT运营管理,(7)科学的财务管理/预算管理,(8)有效地管理供应商,(9)IT的风险管理,(10) IT的管控体系。
第九、后萨班斯时代的信息安全治理研究
信息作为企业最有价值和最主要的资产,其安全保护面临巨大挑战。董事会和高管层的责任在于保护投资者的利益,有责任保护信息的安全。本课题研究重点如下。
(1) 信息安全问题一直是政府管制的重点,政府和监管机构出台了很多有关信息安全的法规、条例,以后一定会是越来越多。并且,政府和监管机构在这些法规条例的执行上会越来越严格。
(2) 信息安全经常被作为一个单纯的技术或管理问题,但是,现在它已经是一个公司治理问题,是一个涉及到政府部门、监管机构、外部审计、技术服务提供商、董事会与管理层等所有利益相关者相互关系的治理问题。
(3) 信息安全问题的解决必须依赖于治理,因为实践证明,仅仅依靠政府监管和CIO及信息安全部不能完全解决信息安全问题,必须有董事会和高管层的关注,而SOX法案通过302、404等条款将信息安全上升为法律的高度。但是,就信息安全和公司治理本身,我国企业目前处在初级阶段,相关体制、机制及领导层观念都亟待转变。理论界只有ITGov中国IT治理研究中心在研究界定信息安全治理的基本理论框架,特别是信息安全、内部控制和公司治理三者之间的关系;信息安全治理与信息安全技术、信息安全管理的联系与区别;信息安全治理与公司治理、IT治理的有机整合。
(4)在改善信息安全治理状况方面,发达国家先进企业已取得共识,要重视管理和制度安排。突出表现在企业领导层认识到信息安全问题从合规的角度看,不能是政府强制下的被动适应,而要从战略角度出发,管理层参与,变被动合规为主动合规,将合法合规转换为战略竞争优势,进而为企业创造战略竞争机会。
(5) 当前最迫切的是需要一个与公司治理相一致的信息安全治理的机制和框架。组织仅仅通过应用最新的工具和技术来解决所面临的信息安全问题是远远不够的。因为信息安全问题变得越来越复杂,并且很少仅用一种技术来解决。大多数安全问题深深的植根于多个组织分支和业务流程中。当前所用的大多数方法都是“自下而上”的、“补丁式”的、操作层面的,较少考虑治理层面需要、组织战略目标、业务流程风险管控目标及合规问题。
第十、电子政务绩效考评指标体系
目前电子政务的绩效考评尚未形成完全科学、定量的评价指标,各部门历年的统计数据还没有完全形成规范化管理,每年的统计数据还没有形成统一的口径,现行的绩效考评工作还有待进一步完善。因此,本课题的研究对于规范我国电子政务绩效的考评具有十分重要的现实意义。本课题的总体目的在于:
(1) 提出一套能够客观评价我国电子政务工作绩效的科学、规范、合理的评价指标体系,主要考核政务信息化建设的组织协调与务实推进情况,准确掌握政府电子政务建设现状,作为决策参考。
(2) 切实提高电子政务效益,提高电子政务工程的实施成功率。通过建立健全电子政务水平考核制度,可以在政府信息化建设过程中加强监管,发现问题,引导政府信息化工作建立在有效益、务实、统筹规划的基础上。
(3) 通过制度的建设规范电子政务平台建设,规范与重组政务流程,引导政府职能向服务型转变,实现并督促和监督政府的服务行为。
(4) 对待建设的电子政务起到导向作用,对正在建设的电子政务起到监督作用,对已建立的电子政务起到后评价作用。
(5) 逐步形成统一的规划和规范,制定达标的工作目标,从而作为政府信息化投资和工作效果评价的客观依据,为今后政府部门信息化水平的考评的规范化和标准化提供参考依据。
本课题要研究解决的内容:
(1) 提出一套能够客观评价我国电子政务发展水平的定量化评价的指标集合。
(2) 提出电子政务绩效考评的数据采集方法、指标测度公式、权重分配方式。
(3) 提出电子政务绩效考评的组织实施流程。
(4) 提出有助于电子政务绩效考评的组织与管理制度。
通过IT治理理论研究和实践的积累,为我们同步研发的“中国IT治理暨全面风险管理人才培养计划”也提供了良好的教学平台。我们率先在北京大学开设了IT治理研究生课程,编著的“中国IT治理智库”系列丛书是国内最早的IT治理教科书之一,被多所知名大学推荐为研究生参考用书。我们还翻译引进了国际上以VHP出版社为代表的高水平的IT治理方面的专著和教材,以适应多层次、多角度、多领域的研究需要,进而取长补短、相互学习,为培养多层次的IT治理及完善学科建设奠定基础。由此,我们建立起我国第一个IT治理人才培养平台,形成了一支以海内外知名专家为骨干的教师队伍。同时设计了一系列面向不同对象的课程开发体系,并为企业、政府等有关单位进行了IT治理和全面风险管理领域的人才培养。
为拓展IT治理知识普及和最佳实践的交流,我们建立了国内第一个专业的IT治理门户网站—— 中国IT治理论坛(www.ITGov.org.cn),致力于IT治理理论和最佳实践的交流、普及和提高;我们还成功地举办了中国公司治理暨IT治理年会(G2峰会),中国信息安全治理年会等,这些都为公司治理研究与教学起到了积极的推动作用。
IT治理智库系列丛书
ITGov致力于成为中国人创办的、非赢利性质的、世界级的IT治理研究、培训与咨询机构,以“参与国际信息化管理标准的制定,推动中国信息化建设的高效可持续发展为己任”这样一个共同的价值观,正在成为凝聚海内外优秀专家的资源平台。ITGov远大理想的征程已经开始起航,我们希望从推动对IT治理与IT管理的关注及转变IT管理者信息化建设的观念开启这一伟大的航程。故或编著或引进精品信息化管理图书也是非常主要的一项工作。这项具有历史性意义的工程从2002年开始,但当时无论是中文出版物还是在互联网上能够检索到的资料几乎为零,期间的投入和需克服的困难难以想象。至今,我们已经编著出版了《信息系统审计》、《IT服务管理》、《信息安全管理》、《IT领导力》、《信息化绩效评价》等一系列图书,最令我们欣慰和充满成就感的是伴随着这一系列丛书的出版,IT治理及其相关领域受到了越来越多的关注和理解,并在某种程度上推动了中国信息化建设的历史进程。我们曾荣幸地向包括信息产业部和国信办等部委的领导汇报这项工作,也为中国人民银行、中国网通集团、中国联通集团和中国北方工业公司等提供过培训咨询服务,还曾应邀参与过众多国际性的IT治理项目合作,如国际IT治理协会IT控制框架标准等。所有这一切都成为我们坚定信心忘我工作的动力,推动了IT治理智库系列丛书的出版。
IT治理智库系列丛书面向政府部门领导、企业董事会、管理高层和咨询业咨询顾问,全面介绍了他们应了解的有效管理信息化的理念与方法,这个理念就是IT治理的理念,这些方法包括:如何发挥信息技术优势,推动管理创新,构建中国企业的核心竞争力;如何将IT战略与业务战略相融合;如何从公司治理的高度,对企业信息化做出制度安排;如何从战略投资、企业管理变革的角度,降低信息化的风险;信息中心如何转制与发展;如何创建和管理高绩效的IT部门;哪一种CIO的治理机制更好;CIO如何与管理高层沟通;CIO如何发挥真正的价值,成为构建企业核心竞争力的工程师;如何进行信息化绩效评价;如何从IT投资中获得高回报,如何对IT服务进行管理,如何利用发达国家和本国信息化的最佳实践,指导行业和企业的信息化推进工作,解决IT部门与其他业务部门之间典型摩擦与交流不足的技巧和工具等等。每本书都力图清楚地抓住管理IT的非技术性关键要素,并给出实施方法与案例。我们希望CEO和CIO能够坐下来共同阅读IT治理智库系列丛书,我们更希望政府部门和企业的IT领导者能够转变观念,树立科学的信息化发展观,以ITGov为资源共享平台,共同为推进高效、可持续发展的信息化建设做出贡献。
致谢
在IT治理智库系列丛书的创作过程中,诸多的领导、专家、合作伙伴、客户、同事以及家人表现出真诚的关心、卓越的智慧、创新精神、务实精神和专业能力。他们一直在精神上给予支持,这是真正令我们感激的。
我们尤其要感谢国务院信息化工作办公室杨学山副主任的关心支持,感谢“IT治理智库”编委会的陈拂晓、王智玉和胡克瑾等众多领导与专家,他们的厚爱与支持是无法衡量的。他们在过去的三年中帮助我们形成和提升了我们的研究和实践。
我们特别要感谢孟秀转博士和李海风对IT治理智库系列丛书框架和特定章节的建设性评议。
诚挚感谢VHP出版社Ivo Van Haren先生和孙振鹏先生的直接支持,通过他们的努力,ITGov建立了与全球最佳实践同步互动的平台。
还要感谢清华大学出版社的工作人员,特别是张立红女士为本书的编审所作的大量细致工作。
同样要感谢的是和ITGov资源平台上的海内外战友,包括Jan van Bon、郝晓玲、王东红、李长征、陈涛、白杨、俞静、李晓冬、徐斌、刘晓菲、邹志德、肖沂和秦勇,他(她)们无私的奉献、杰出的执行与管理协助切实保证了工作的有序进行。
更重要的是,我们要感谢我们各自的家人。完成本书占去了我们太多的时间,而其中一些时间本应该是留给家庭生活的。
此书献给以上的领导和朋友们,谨此表达我们的感激之情!
孙强
ITGov中国IT治理研究中心
京ICP备06004481号 Copyright 2002 - 2006 ITGov.org.cn, All Rights Reserved