当前,在加入WTO后的中国经济环境中,信息的重要性已被广为认同,信息系统也已逐步渗透到商业和政府组织中,IT系统开始从传统的后台支持转变为新业务开展的直接驱动力,IT也日益成为企业的直接利润中心。
建立IT治理机制
建立IT治理机制是一个动态的过程。IT治理是机制的集合,更是治理主体间互动的过程,全球治理委员会的定义指出:“治理不是一整套规则,也不是一种活动,而是一个过程”,所以IT治理是一个“过程”,是公司与所有利益相关者的互动过程,包括在制定公司长远IT发展战略决策中这些“规则”上的互动,另外,环境的动态性也决定了IT治理的动态性。
IT治理是一个系统的过程。IT治理是控制、指导、协调组织战略目标和IT目标的系统,是IT治理主体、客体、IT治理结构、IT治理机制的总称,是内部IT治理、外部IT治理的融合,是IT治理方法、过程、目标与结果的统称,是为了实现IT治理目标所有制度安排与机制的集合。IT治理系统的目标是提供IT决策机制的科学化、决策过程的协调交互性和决策结果的创新性。
首先需要转变观念
拿着IT这样的现代武器,管理者却依旧是满脑袋的传统观念,结果可想而知,因此首先需要转变观念。在最高管理层(董事会)树立和维护IT战略地位的思想认识,建立企业战略与IT战略的互动观念,阐明IT应担当的角色,从业务的视角创造信息技术指导原则,如信息化规划本质上可以定位成从业务战略到信息战略的实现。从组织的战略出发而不是从系统的需求出发,可以避免脱离目标而进行建设的困境。从业务的变革出发而不是从技术的变革出发,有利于充分利用组织的现有资源来满足关键需求,从而避免建设的信息系统无法有效地支持组织的决策。又如利用电子商务消除时间和空间得特性,发展与全球客户的关系,能够引导巩固客户数据库和订单处理过程。
发展外部环境
目前我国外部市场监控机制尚不健全,公司治理结构中的监控职能被严重削弱,并使董事会失去监督。另一方面,风险管理意识淡薄,安全上采用纯粹技术手段解决。我们认为缺乏优良公司治理和IT治理机制是一些国内企业与金融机构无法抵御全球经济低靡和无法适应市场环境快速变化的重要原因之一。因此,加强IT治理实质上是一个政府和企业机构必须携手面对的问题。政府必须扮演一个重要的推动角色,并且尤其需要强调的是政府制定规则比较合理的方法是通过听证会或知情会上下协商、交互式地制定规则(非自上而下制定规则的方法,新制式车牌的暂停发放就是没有善治的案例),这样才能解决规则的充分合法性、可执行性问题,“治理不是一种正式的制度,而是持续的互动”(《我们的全球伙伴关系》);鉴于全球化和信息技术得无国界性,尽管在公司治理模式上有英美模式、德日模式、东亚和东南亚模式,但在IT治理上有更大趋同性的发展趋势,因此,从治理(Governance)的角度企业应该采用合乎国际标准的IT治理方法,以促进公司治理、IT治理和经营管理的协调发展。值得一提的是:组织采行优良IT治理机制的行动,将减轻政府部门在制订国民经济和社会信息化中所扮演的角色责任。
逐步试行建立IT治理委员会
IT治理委员会与IT审计师是IT治理最重要得环节。IT治理委员会由组织的最高管理层(董事会)及管理执行层包括IT管理和业务管理有关部门负责人、管理技术人员组成,定期召开会议,就企业战略与IT战略的驱动与设置等议题进行讨论并做出决策,为组织IT管理提供导向与支持,把IT治理的相关规范融入到组织的内部控制中。
对于规模较大的组织,一项IT(如安全)控制活动需要多个部门的共同参与才能得以实现,为能迅速解决控制过程出现的问题,防止内部互相推诿的现象发生,提高工作效率,需组成一个跨部门的IT治理委员会,加强全局的管理与流程执行的纪律,解决诸如信息安全事故的调查与处理等一些实际的问题,这是进行IT管理内部协调的很好的办法。
今年的9月17日美国联邦政府公布了由关键基础设施委员会(CIPB)制订的保障网络安全计划——《国家保障网络安全策略》。根据该计划,美国政府将在网络安全中发挥主导作用,同时会要求所有用户采取措施,其中该文件要求上市公司发布经过独立审计的安全报告,建议公司成立公司安全委员会等。由此可见,美国的IT治理机制已深入发展到建立安全治理机制领域。
明确规定IT管理过程的责任
职责缺乏或界定不清,最终导致控制得不到有效得实施,形成管理风险。组织最高管理层应确保对管理层、部门、运维人员职责进行规定并形成书面文件。
对信息系统进行独立审计
信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。它综合运用IT技术与审计理论及方法为信息时代信息的使用者提供合理的保证。
在信息时代,组织为预防不良事件的发生必须将其内部控制扩展到信息处理系统的各个方面,包括企业内部网与因特网在内的任何直接或间接影响财务报表或其他至关重要资料的数据或处理系统,因为该系统与包括合作伙伴在内的其他系统有着密切的联系。此外,这些公司还必须对与其互通业务数据的合作伙伴的内部控制系统有信心。在对于经营惯例、交易处理的完整性、信息保护和如何对信息系统的内部控制实施评估和风险管理方面,组织可以通过内部审计或外部审计达到上述目的。
信息系统审计的主要由以下部分组成:1、信息系统的管理、规划与组织——评价信息系统的管理、计划与组织方面的策略、政策、标准、程序和相关实务。2、信息系统技术基础设施与操作实务——评价组织在技术与操作基础设施的管理和实施方面的有效性及效率,以确保其充分支持组织的商业目标。3、资产的保护——对逻辑、环境与信息技术基础设施的安全性进行评价,确保其能支持组织保护信息资产的需要, 防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失。4、灾难恢复与业务持续计划——这些计划是在发生灾难时,能够使组织持续进行业务,对这种计划的建立和维护流程需要进行评价。5、应用系统开发、获得、实施与维护——对应用系统的开发、获得、实施与维护方面所采用的方法和流程进行评价,以确保其满足组织的业务目标。6、业务流程评价与风险管理——评估业务系统与处理流程,确保根据组织的业务目标对相应风险实施管理。
总之,我们认为我国的信息化建设向着纵深发展,必然要在更深层面上解决体制和机制问题。善治的IT治理机制,应该要极小化由于信息化和透明化所导致的不一致利益冲突所造成的制度面成本。IT治理不仅仅是动态的管理控制架构,还需要落实在组织内部控制及政府与市场监督体系的动态机制。