公司治理视角

　　当今的公司治理是以责任为焦点的、自上而下的一种治理结构。监管当局有责任保证股票市场的透明运作。出于对公共资产(和公众资产)审慎保护的目的，监管当局已经加快了对现行的上市规则的扩充和修改。披露及政策方面的要求也使董事会承担着越来越重的压力和责任。作为保护股东权益的责任主体，董事会首先要保证企业所承担的所有业务风险都能获得相应的利益回报。

　　如果企业不能积极参与并提供董事会作出决策所必需的信息的话，那么指望获得很好的风险回报的努力也是注定要失败的。但在传统上，信息只会在企业内部的IT部门之间流动，董事会获取信息的能力有限。

　　总经理是股东指定的企业掌舵人。他除了需要履行一系列的职责之外，还要公开地表明必须满足不同类型的利益相关人的期望。用信息技术术语来说，总经理一个关键角色职责是要确保公司具有一个完善的内控系统。近年来，尽管很多总经理个人对信息技术的使用都很适应，但是他们很少具备管理信息技术方面的经验。

　　一旦IT风险降临，在掌舵人和水手之间产生的“误解的旋涡”就可能会造成非常不幸的后果。在湍急的水流中—正如IT界经常发生一样—这种情况是非常危险的。

　　令人遗憾的是，在很多公司，以前的多次信息技术失败已经造成很深的误解。IT经理和服务交付队伍今天做出的承诺可能会招来重重疑虑，承诺会被某种担心的情绪所覆盖。这也促使IT人员更加谨小慎微，说话也会慢慢含糊起来。

　　走出这种困境的唯一可行的办法是要求那些对信息技术内行的经理们能够做些改变，运用明确的语言，高超的表达技巧，把IT对业务的完整含义准确表达出来。总经理们也需要学习新的知识和技能，使他们提出来的问题更有智慧，同时也能让独立顾问们设法提升他们的知识和技能，从而在信息技术重重迷雾中找出问题的真相。

　　接下来，更重要一步是要求总经理们能够在董事会及其附属的委员会中的议事日程中把IT治理的优先级提高到更恰当的位置，花更多一点的时间使企业的IT工作走在正确的道路上。

　　投资者视角

　　全世界的投资者都希望能选择并管理一个好的投资组合以获得合理的回报，条件是较长时期内不会因为风险造成资金损失。在同样的规则下，IT该如何管理呢?

　　商业上可能会把IT活动看成一项投资，期望在其整个的投资周期里都能获利。确实，在一项IT投资的整个周期里，与IT相关的风险特性会发生改变。而采用一套IT相关风险管理的综合性方法可以在某些方面保持开发费用与开发风险之间的微妙平衡，同时也可以使运作成本与其他风险之间取得平衡。

　　已列入计划的或者正在开发的项目一般都会从风险和回报这两个角度去作出评估。如果项目能够在预定的时间内、以不高于当初计划的费用成本、确定的交付质量实施交付的话，那么这个项目就会较容易地克服投资资金方面的障碍。如果在对项目评估过程中，就将项目的最终产品的整个使用期都看成是IT资产的运用，那么通过对这些资产的有效配置和高效率利用，可以肯定从这个项目中我们将能获得较好的回报。

　　由于在整个开发和实施周期内都需要资金的投入，因此很多的IT资产都始于负回报周期，如图2-1所示。只有在项目实施完成之后才进入商业价值释放期。在后续较长的时期，目标是保持累计的回报处在正的区域—即，使累计的回报大于初期的投入加上运营和维护IT资产的费用成本支出。

　　合规性视角

　　合规性管理者总是试图让机构做正确的事情。机构并不是盲目地遵循规则，而是灵活地使用这些规则，使结果达到最优。

　　所谓合规，最重要的是了解外部的法律环境和监管要求，确定怎样才能完全满足它们的要求。一旦规则明确了，那么合规角色的任务应该集中在：

　　◆ 帮助其他人员理解政策。

　　◆ 部署能够获得足够证据的过程和系统，以保证合规性。

　　◆ 有目的地披露合规性问题。

　　不合规的问题也需要加以解决。

　　在很多机构，合规管理部门会尽量避免让人感觉自己置身事外，只会指指点点，要求别人“你要如何如何”这样的印象。合规经理常常会找出并鼓励采用“最佳的”或者“领先的”实践，参照外部的参考模型或标准，制订超前性的内部政策和具有“自我约束性”的规章。

　　一个合规经理通常要达到的目标包括：

　　◆ 倡导坚持规章和程序—尽管对业务而言，“零违规”会导致过高的费用开销，是过于理想化的，也不恰当的一种追求。

　　◆ 说明识别和管理合规风险，防止出现不合规的行为的必要性。

　　◆ 提出具体的要求和清晰的指引，避免给违规行为制造机会。

　　◆用最大努力，制止违规现象发生。

　　◆灵活地处置当前的和将来的合规风险，其中的一些合规风险是未知的、不可预测的。

　　◆ 保障合规与其他业务行为之间的协调性，包括同风险管理活动的联系和结合。

　　对IT管理而言，合规同遵从标准、获得认证的过程类似。多年来，为了证明IT服务供应商的能力，很多机构要求IT服务供应商在某种程度上遵守并维持同一系列的标准之间、某些时髦技术之间以及某些流行技术之间的一致性。例如，印度的软件业者在20世纪90年代就致力于获得高级SEI能力成熟模型 认证。

　　近些年来，同IT的合规、认证有关的活动显著增多了，其中包括IT内部操作的合规和认证。同其他领域一样，要求合规的主要好处有的时候仅仅在于“被人看成是合规的”。这种行为其实是站在“实用主义”的立场，其成果注定是零零碎碎的、暂时的和有局限性的，最终是无法取得协调一致的效果的。合规和标准化认证的成果未必能直接反映在取得某些实际利益上，也未必必然带来风险的明显降低。但在很多时候，这个过程却可以促使IT自身更广泛地结合业务需求和目标，去做正确的事。

企业范围的风险管理视角

　　很长时期以来，风险管理的中心都是围绕着特殊资产的，尤其是实物资产受到了更多的关注，目标是识别可能对实物资产造成的威胁，常常还附带有保险测度等措施。而对其他形式的资产，比如流程知识、信息资产以及品牌质量都没有被纳入到风险管理的范畴。然而，准确地认识这些资产并认清可能给它们带来的威胁也是一项很有价值的工作。

　　在企业的全范围内，实施普遍性的风险管理理念勾勒出了一幅未来IT风险管理的蓝图。企业风险政策和过程将会扩展并应用到IT风险领域，为它描述了一条清晰的基线。收录在风险管理标准里，通用的风险管理过程只要少许调整就可以直接运用于IT范畴—例如，风险的识别、潜在影响评估及风险可能性等等。

　　为了使IT风险管理取得切实的成效，还有必要对风险管理视角做某些优化。信息技术失效所造成的后果，通常最严重的恐怕要算是对业务构成的影响了。衡量信息技术诸多方面的指标，过去大多采用相对单一的方式，而不是使用更严格的定量分析。而原因与结果之间的关系又往往非常复杂，难于分析和理解。IT风险自身的特点也决定着很难把它同业务绝对地分开。这种特点造成难以对IT风险进行定价，也难以实现IT风险的转移。同时，随着技术的进步，IT风险自身也在持续地快速发展。

　　主要的难题在于定量和定性两种技术之间如何取得平衡。IT风险最好能同业务综合在一起—而不是让IT独自承担IT功能的全部责任—尤其是处在形式多样而又变化迅速的IT风险环境下。

　　审计与控制视角

　　通过对机构业务流程实施彻底的审计，尤其是对那些构成机构财务报告基础的文档和记录的审计，审计师就可以为机构的风险管理作出巨大贡献了。对于实体货物或财务资源审计过程主要考察三个方面的内容，即可靠性、完整性和有效性。对审计过程自身而言，很自然地会有一种反应，倾向于审计流程仅仅运用于已存在的过程和程序。和冗长的流程间审计相比，同样冗长的内部审计让人感受到了更多的信赖。

　　在机构的大环境下，审计人员可能会比风险管理人员拥有更大的权力，因为在他们检查的领域里面，他们具有很大的限制权。他们必须问的问题是“如何”，而在很大程度上会忽略业务流程的“为什么”。传统的审计人员通常都具备财会背景，而财务方面的视野又会受制于信息系统的审计范围。

　　审计人员的信息技术视角受到管理控制概念的很大影响。固有风险存在于每一个系统中，是原生的。通过提高设计正确性和加强应用的管理控制可以降低或者减少这些内在风险。管理控制的强弱程度能够通过一些应用审计以及技术评估手段，经历多次测试得到。

　　后续的残留风险应该通过筛选器进行比对，判断是否超出预定的阈值。通常它们会以财务或者货币术语表示的目标净利润率作为指标。

　　如果这些指标超出了阈值，那么就预示着管理控制将会进一步的收紧，以减少失控发生的可能性，降低严重程度。审计人员会提出一些改进操作建议，并督促管理者在机构内部尽快着手实施这些控制。遗憾的是，很多的这类建议都会被解释成合规指标，企业会以尽量少的资源，采取某种被动的方式去实施建议的控制。改进建议对于缓解管理风险的业务价值几乎被完全忽略了。

　　通常的审计检查并不是一个非常明晰的实证过程，反而是把这个过程抽象为一个“查找—定义— 建议— 行动”这样的流程更为贴切。因为在这个过程中，并不会采用优先和平衡的视角来区分出哪些是最重要、最优先的问题。其结果必然会带有某种程度的对抗，进而是勉勉强强、不具备任何实质意义的顺从。

　　经过审计人员的不懈努力，最终将会揭露很多有关公共企业和政府部门IT失效的细节。

　　工程和系统视角

　　一个机构的行为实际上非常类似于一个正在运作的系统，就像铁路和港口一样，工程和系统的视角对风险区域的识别，查找缺陷是非常有效的。系统的整体运作可以看成是构件和子系统之间的分工合作最终实现系统目标的过程。从工程和系统视角出发，我们可以发现系统(机构)中可能存在的一些“单点故障”，也能发现诸如协同、接口等方面的问题。由于是以比较坚实的系统论为理论基础的，因而在这种视角里包含了诸如反馈、纠错和适应性行为等等一些基本要素。

　　纯粹采用“系统”视角从概念上越来越难以对“系统”作出解释。从“工程”视角出发，反而越来越容易理解一个“系统”。因此，对很多机构来说，很少用“系统”来描述什么，反而所谓“项目”、“过程”的观点可能更适用些。在业务运作的过程里面，如果应用系统处在中心地位的话，那么把IT风险评估同单一的、定义清晰的IT应用关联起来可能更有意义。

　　生命科学、生物学和生态学视角

　　随着自然界的发展和演化，生物学家和生态学家们也花费很长的时间来认识、解释自然界系统。随着环境的发展变化，为了适应自然物种间多种多样的互相关联方式，自然系统也展现出了天然的生长和进化。由于自然界系统或自然构件之间的联系管道比较简单，因此在自然系统里面很少出现单点失效的情况。

　　同其他定义良好的系统相比，知识管理系统很好地表现出了自然系统的特征，同时也为IT治理带来了新的挑战。从生物学视角出发，有助于解决一些系统的病态结构问题，比如电子邮件系统、电话系统和即时信息系统等等。

　　信息技术很像人体的神经系统，组织和协调大脑运算、记忆能力和神经网络共同来处理和控制身体肌肉、器官乃至整个身体的活动。显然，就像神经系统不能从身体中分离一样，信息技术也无法从机构组织里分离。

　　在实施IT治理过程中，每一个视角都会为我们带来独特的贡献。要想实现更有效的管理，我们在综合利用这些贡献的同时，应该尽力避免受到它们的局限。