从中国版越狱看IT治理

发布时间：2009年11月03日点击数： 作者：ITGov中国IT治理研究中心 来源：ITGov

【字体：小 大】 【收藏】 【打印文章】 【查看评论( 0 )】

摘要:
近年来，采用高科技手段管理的部门却频频出现犯罪分子用最原始的手段突破底线，实施犯罪。原本要借助高科技手段加强内部管理，提升管理绩效，却被犯罪分子屡屡得手，让生命安全受到威胁，国家财产遭受损失，这不能不叫人警醒：拥有高科技就万无一失了吗？我们的管理水平仅仅是科技手段就可以替代的吗？10月17日发生在内蒙古的中国版越狱，再一次敲响了警钟。4名年轻的重刑犯以极端的暴力杀害了一名狱警，捆绑了另一名狱警，用狱警的指纹通过第一道监狱大门，刷卡通过第二道大门，并顺利跟随通过了“视网膜”识别系统后逃脱。在现代监狱管理系统看来，日常不多见的技术已经首先在管理中采用。高科技手段，并未遏制案件的再次发生。血的事实告诫我们：仅仅依靠高技术，而不在管理和治理上下功夫，我们还将付出更多代价！中国亟待加强IT治理！

近年来，采用高科技手段管理的部门却频频出现犯罪分子用最原始的手段突破底线，实施犯罪。原本要借助高科技手段加强内部管理，提升管理绩效，却被犯罪分子屡屡得手，让生命安全受到威胁，国家财产遭受损失，这不能不叫人警醒：拥有高科技就万无一失了吗？我们的管理水平仅仅是科技手段就可以替代的吗？10月17日发生在内蒙古的中国版越狱，再一次敲响了警钟。4名年轻的重刑犯以极端的暴力杀害了一名狱警，捆绑了另一名狱警，用狱警的指纹通过第一道监狱大门，刷卡通过第二道大门，并顺利跟随通过了“视网膜”识别系统后逃脱。在现代监狱管理系统看来，日常不多见的技术已经首先在管理中采用。高科技手段，并未遏制案件的再次发生。血的事实告诫我们：仅仅依靠高技术，而不在管理和治理上下功夫，我们还将付出更多代价！中国亟待加强IT治理！
         我们需要反思：我国政府为提高信息化发展水平和管理水平，二十多年来不遗余力的投入人力、物力、财力来推进信息化建设，但是效果不尽如人意。高科技、高投入到底给我们带来了什么？一些机构的领导在谈到信息化时，就炫耀投入了多少钱、购买了多么先进的基础设施，根本不提这些钱投下去要有哪些产出，相应的配套机制，以及如何保证绩效。即使提，也是掺了大量水分，甚至根本就是自吹自擂式的自娱自乐，到底效果怎样自己也不知道。误以为买了设备、装了软件就算是信息化了，似乎这些高投入换来的设备和软件就代表着信息化水平。由于对信息化管理的认识不足，大量机构还停留在重建设、轻管理、轻运维阶段，将筹码压在了技术采用上。缺少信息化运行维护的体制和机制保障，相关的制度准则和管理规范成了供人观赏的“标本”，有些甚至连“标本”都没有。近日看到某省每日信息网撰文在谈到“中国版越狱谁之过”时，竟然惋惜“要是早日安装VCR系统就好了”。这不能不让人为至今仍抱有技术意识非管理意识而深感痛心。僵化的管理思维模式，严重的内控漏洞，监督机制的缺陷、高科技诱发的“松散惰性”，完全缺失的审计流程和绩效管理，使得看似固若金汤的防护体系却为案发埋下了“伏笔”。一旦实发，只得感叹太“巧合”了。如果不能首先从意识形态上改变对信息化管理的认识，仍由技术先进性取代管理先进性，必将成为我国信息化建设与发展的瓶颈。结合近期创业版开市，也反映出一些问题。深交所在提出创业版构想十年后终得圆满。为了避免投资市场的非理性行为，专家一再呼吁警惕创业版“一兴即衰”，尽管做了28家同期上市的技术处理，开市首日仍遭暴炒，呈创业版“昙花一现”。无论技术手段多么高超，终究是管理的附属品。而人的思维决定着事物发展的走向。IT治理要以最大限度弱化人为因素的制度设计为根本，用体制强化这种设计，使各方利益得到平衡。
         ITGov中国IT治理研究中心认为：当前我国信息化建设中最大的问题不是技术问题，也不是资金问题，而是缺乏科学的IT管理理念；我国IT领导者最大的问题不是缺少经验和能力，而是缺乏卓越的管理素质和管理方法。2002年发表的《IT治理，中国信息化的必由之路》中曾鲜明提出：“我国的信息化建设向着纵深发展，必然要在更深层面上解决体制和机制问题。善治的IT治理机制，应该要极小化于信息化和透明化导致的不一致利益冲突所造成的制度面成本。IT治理不仅仅是动态的管理控制架构，还需要落实在组织内部控制及监督体系的动态机制中。”
         关于IT治理，中外学者不断研究，给出了诸多定义。美国IT治理协会给出的定义是：“IT治理是一种引导和控制企业各种关系和流程的结构，这种结构安排，旨在通过平衡信息技术及其流程中的风险和收益，增加价值，以实现企业目标。”国内专家给出的定义是：IT治理是指设计并实施信息化过程中各方利益最大化的制度安排，包括业务与信息化战略融合的机制，权责对等的责任担当框架和问责机制，资源配置的决策机制，组织保障机制，核心IT能力发展机制，绩效管理机制以及覆盖信息化全生命周期的风险管控机制。该制度安排的目的是实现组织的业务战略，促进管理创新，合理管控信息化过程的风险，建立信息化可持续发展的长效机制，最终实现IT商业价值（ITGov中国IT治理研究中心孙强，2008）。
         无论是平衡风险与收益的结构安排，还是权责对等的约束激励机制，伴随我国信息化发展进程，金融行业更是首当其冲再一次引发新一轮IT治理推进工作。今年7月份，期货行业协会颁布了《期货公司信息技术管理指引》；去年5月，证券行业协会与期货业协会共同发布了《证券期货经营机构信息技术治理工作指引》；而再早些时候，银监会也颁布了类似的指引与准则，银行较金融衍生品公司的治理进程普遍快一拍，有些银行秣马厉兵几年，做得相对较好。但整个行业仍普遍存在对于IT治理要如何执行，从哪里入手，采取哪些步骤等疑问。
         IT治理首先要从提高领导层的思想认识入手。我国的国情与其他国家最大的不同之处在于行政干预，这是每一项工作取得进展的最大驱动力。奥运会因有了国家的行政干预，我们举办了一次史上最成功的盛会。IT治理如果有领导层的有力支持和足够重视，我国的IT治理水平将在2010年到2020年间有一个质的飞跃，甚至会超越发达国家。根本在于，领导者必须调整和打破头脑中根深蒂固的僵化思想，用信息时代的管理思维加信息化手段治理好我们的信息化。为此，除了要学习了解发达国家的治理方法，更要结合本土实情改革创新。让一向自认为有悠久历史文化的中国式智慧与西方先进科技相结合，缔造出21世纪最有效的管理体系。同时，加强信息技术管理在领导层中的权重，加强信息技术部门的影响力，使信息化规划与战略规划融为一体。为此，国资委在今年初《关于进一步推进中央企业信息化工作的意见》中明确指出：到2009年底，所有中央企业都应建立首席信息官（CIO）制度，建立信息化专职管理部门，做到机构、职能、人员和责任“四落实”。
         有了机构、职能、人员和责任，还是要进一步明确要采取哪些步骤来执行IT治理。IT治理是一个大概念，在很多机构看来，因与善治的IT治理差距较大和对领导层缺乏信心而误认为其很虚。要打破这个误区，我们认为要执行以下四个步骤：
         第一步、建立健全风险管控体系和监督执行机制
         第二步、重视运维管理，特别要提升外包服务管理水平
         第三步、加强信息系统审计，有效保护信息资源
         第四步、运用绩效考核手段持续改进管理避免弯路
         以上四步，将分专题继续探讨具体做法，我也将在一系列专题探讨后介绍一款根据全球公认的IT治理框架COBIT开发的IT治理管理系统。欢迎浏览我的博客（http://time-20percent.blog.sohu.com/）并发表意见。