本文节选自《信息化绩效评价:框架、实施与案例分析》,孙强、郝晓玲
4.1为什么要加强企业信息化管理控制?
随着信息技术本身的不断发展及其在企业中的应用日益广泛,企业信息化进程不断推进,企业对信息技术的关系越来越密切。一方面,信息技术的扩散与渗透效应为组织目标的实现带来迅速的高增值服务;能够大幅度改变组织结构和企业经营行为,具有创造新的机会并降低成本的潜在能力。另一方面,企业对信息和交付这些信息的系统的依赖性日益提高;信息技术与网络技术的迅速变化也为企业带来了更大的风险,信息系统自身的脆弱性及网络入侵等的威胁与灾害等也时刻困扰着企业。对许多企业来说,信息和支撑这些信息的技术代表着这个企业最有价值的资产。管理层需要对企业内所有层次的IT风险和限制进行评价和分析,这样才能实现对信息及相关技术有效的指导和充分的控制。可以说,一个有效的信息化管控体系是任何组织在长期取得成功的关键因素。
1 经营环境持续变化的要求
从经营环境上看,企业正在进行重新构造来使操作流程更趋于合理化,同时利用信息技术的先进优势来提高他们竞争的地位。企业重组、规模优化、向外寻求资源、向下授权、组织扁平化及分布式处理都是影响企业运作方式的变革。这些变革正与、并将继续与全球组织内的管理及运作控制结构产生极深的内部联系。信息技术已经融合到企业战略规划中,成为改善企业经营环境的主导力量。这也意味着需要采用更加强大的控制机制融入计算机和网络中去,这同时包括以硬件为基础的控制机制和以软件为基础的控制机制两方面。
在加速变革的信息技术时代,如果管理人员、信息系统专家及审计人员确实能够有效地履行他们的职责,他们的技能必须同技术及环境发展的一样快。如果他们要在评价典型的企业的控制行为时做出合理且深谋远虑的判断,他们也必须了解相关的控制技术及其变化特性。
简而言之,信息技术不断变化并快速扩张,管理者和员工很容易为这些新兴信息技术的特征所迷惑,以至于很容易忽略重要的控制和审计属性(在此建议CISA应该参与所有的系统开发生命周期SDLC项目); 与此同时,组织的结构也在发生剧烈变化。这就区别于在一间屋子里有一台主机完成计算的大机(Mainframe)时代,我们很难确定数据、控制真正在哪里。举例来说,网管员早晨进入的网络很可能与其前一天进入的就不一样,信息系统已经变得越来越难以管理。所以,我们迫切需要规范且弹性的信息化管控体系。
2 平衡风险和投资的要求
许多组织认识到信息技术能够带来潜在收益,成功的组织能够理解并能有效管理实施新技术带来的风险。因此,对于管理者而言,他们必须确定什么是对IT管理和控制的合理投资,怎样在一个总是不可预测的IT环境下平衡风险和实施控制的投资。因此,管理部门非常需要一个被广泛接受的IT管理和控制行为框架来对现存的和计划的IT环境拟定基准,从而辅助管理风险,并确定可接受的风险层次。此外,用户也越来越需要有保证的IT服务来确保存在充分的管理和控制。
信息化管控强调有效管理渗透其整个组织的复杂的信息技术,既能使企业充分利用其信息,达到收益最大化,又能更好地控制信息,降低应用信息技术的风险。
欢迎您与作者探讨您的观点和看法,联系电话:010-51657848
电子邮件:GOV#ITGov.org.cn(请将#替换为@) 。
京ICP备06004481号 Copyright 2002 - 2006 ITGov.org.cn, All Rights Reserved