中国IT治理研究中心专家 孙强

　　尊敬的各位领导、嘉宾、女士们、先生们上午好，去年我们在首届的中国电信信息化论坛上也曾经就IT治理发表演讲，我们在很多的论坛上就IT治理发表我们的一些观点，我们目的是为了推进中国信息化的高效可持续的发展，现在我们看来，IT治理是我们从IT的投入上获取商业价值的唯一的途径，因此这是一个很重要的话题，这一年来有越来越多的领导行业用户希望和我们探讨一下这方面的话题，因为他们已经意识到信息化发展到现在这个阶段，IT已经扮演着组织全局的角色，因此我们需要从治理的角度去看待，所以希望这样一个开放的论坛，希望行业学会、媒体、企业代表、研究机构能够在这样一个开放式交流平台上去探讨一下我们共同期望的那样一个生态环境，就是我们共同期望的那样一个理想的状态到底是什么样的，然后再看一下我们各自的责任，我们共同去努力！
   
    今天大概会谈这样几个观点，第一是我们现在越来越体会到我们和国外同行、竞争对手的差距不是技术先进上面的差距，而是管理理念和方法上的差距，而且这种观念有待于加大。第二个是建立完善信息化管理控制和制度安排，应该是现在管理企业者重中之重的工作，第三个我们建立标准的机制，必须以国际上的标准为主。

    第一个问题我们很快的过一下，为什么在今天这个市场环境下，建立、完善的IT治理、管理是企业重中之重的工作，现在我们看IT发展演进到组织全局的角色，已经像水和电的基础设施这样一种角色在演变，一方面它可以给我们创造一些战略竞争机遇，另外一方面他也意味着重大的风险，现在这个会场如果停电三分钟的话是什么结果，当然我们现在所有的企业业务运营在这个系统之上，我们无法想像停电了怎么办，所以我们现在对业务的控制已经转化为对IT的控制，所以这也就是为什么IT和信息化管理体系这么重要的原因之一。当然客观上来说，现在国内外关于保护利益相关者的法律监管的局势正在日趋加强。

    这一张图正好表明了为什么IT已经渗透到我们组织的所有层面，其实我们看到在一个组织无非是这样三个层面的元素，在执行层面我们现在距设定我们的业务战略目标，去制定我们发展的战略，我们都要从IT的视角看一下我们竞争的机遇。我们现在所有的业务都是基于这些信息技术支撑之上的，所以这客观的导致对这些业务的控制已经转化为对IT的控制了，在IT的服务这样一个基础层面，我们了解到其实像很多运营商在这块工作做得是非常好的，也就是说把很多重复性的劳动，比如财务、人力资源、法律、培训等都放在共享中去实现，所以我们谈到组织所有层面，IT已经都渗透到其中，所以我们现在要关注IT的管理体系，我们现在面临的困难就代替管理层认为IT的人员应该对系统产生的信息质量负责，但问题就在于绝大多数IT人员对复杂的内部控制并不精通，所以，这一多年来，看到的就是关于IT的内部控制忽然之间成为CIO谈论的热点，此前他们应不具备这方面的知识体系和技能，现在信息化的发展要求他们成为IT控方面的专家，这对于CIO是一个巨大的挑战。如果是在美国上市的公司还要把这个管控和撒班斯法案结合在一起。

    管理我们说它既不是一门科学也不是一门艺术，管理更准确的说就是管理实践，它还是可以总结出一些规律性的东西，它的核心一共有这样三个方面，目的性、组织性和系统性，目的性这个角度看信息化建设有很多的项目，它失败的原因不是技术上的失败，而仅仅是因为业务目标不明确，需求很含糊，或者动机不纯，用很多利益博弈在里面，与组织相对的是混乱和无序，在企业里面表现为没有明确的权责，我想后面的很多演讲嘉宾就会讲在组织架构上，在流程上面我们怎么样去明确人的权责。与系统性相对的就是随意性和随机性，因为中国企业在符合撒班斯上面比欧美企业额外支付的一些成本，就是我们传统的外部监管环境没有如此严格，导致我们其实是人治的管理，不是法治的管理，也就是我们没有严格的绩效指标去管理IT的职能。

    所以我们建议，在企业的权范围内，从部门的高度上，从标准化这样一个出发点来构建整个企业的管理体系，现在在很多的中央企业里面都有这样的一些成功的案例。比如说中远公司，他所有的管理体系都是在中远集团到整个的所有的层面全部参考国际标准，比如我们看到的人力资源的ISO这个标准，关于信息安全的799的标准，关于职业健康的1万八的标准，甚至党务管理也整合起来，其实对于企业来说，这个管理体系有很多，这些管理体系之间必须有很多接口，造成体制上是支离破碎的，所以我们希望把这些管理体系整合在一起，形成一个综合的管理。包括风险管理是澳大利亚最早的一个标准，现在很受业界的认可，以及项目管理方面，这样构建一个完整的管理体系。

    下面会看一下IT治理是什么，因为治理本身是一个在国际上含糊不清的话题，所以我们对他的认识也是一个非常初级，也是在逐步加深的阶段，但我们说，IT治理用一句话概括，我们为了鼓励IT的应用，希望有明确的责任归属和担当框架，也就是说我们赋予某些人职责和权利，他所担当的责任和职责是什么，这在信息化建设过程当中同样是需要明确的。

    治理和管理的区别在于治理是由谁来决定，而管理是制定和执行这些决策的过程，我们谈到执行化很荣誉管理关注信息技术，真正具备无限潜力的是人，所以我们要关注技术背后的人，他的制度安排，我们到底赋予他什么样的职责，他担当这个职责需要什么样的一套制度安排。

    IT治理这个话题，其实在过去一直不受重视，因为信息技术这一块在过去被我们的管理高层董事会认为是战略放的问题，现在监管环境越来越挑战这个观点，下面我们看到的十点，是谁有环境做出制度安排做出决策，只有董事会和高管层。

    第一个是责任，责任里面还隐含了两个含义，一个是透明，一个是诚信、正直，这是我们对高管层的要求。有效的履行董事会和高管层的职责就要有有效的信息系统的支撑。在审查批准财务信息的时候，董事会需要企业的审计系统通报数据的完整性和对会计准则的要求，所有这些要求董事会和高层关注内部信息系统，因为这是我们履行其他职责必须依赖的机制。

    第二个是意识，也就是说我们对IT战略定位要有一个统一的看法，现在在很多企业里面意识是不统一的。

    第三是职业道德，撒班斯法案的出发点就是，它是美国的公众和国会施加压力，就是我们一直在提的公司治理有这样一句话，我们如果不追求股东利益最大化的公司不是道德的公司，但是如果只追求利益最大化而不顾社会责任同样是不道德的公司。所以它不在是可有可无，虚幻飘渺的东西，而是有一个法律的东西，其实我也看到今年一月份关于中国上市公司的统计数据，在30天时间里，14个高管层出丑闻落马，所以我们看企业的东西不是下面的员工的问题，很多在高管层上面。当然今天谈IT治理，他们的职责。

    第四是范围。第五个是资源配制，我们这是我们非常宝贵的资产，我们要把它配制在高风险的地方，第六个是整合的彻底性，也就是说我们要建立一套完整的体系，IT的管控体系和我们业务的管控体系要彻底整合在一起，当然在很多企业里面存在的情况就是两张皮的现象。

    第七个就是效果，我们这个其实还要考虑到，如果IT中断，我们有什么样的办法能保证我们的业务不中断，这是效果层面的含义。

    第八个是持续的评价，第九个是合法和归，第十个是信息共享。

    这些谁能做出决策呢，只有董事会和管理高层，但是因为中国的企业，国资委在给他们搞试点，现在他们也意识到企业的成功也一定是董事会的成功，我们曾经也跟搞试点的中央企业的董事会、高管层交流，他们现在基本上在董事会这个层面是不谈IT的问题，主要的原因有思想意识上的问题，也有他们缺少沟通的语言，他们和财务、内审部门没有沟通的共同语言，所以要发展共同的语言。对于出众的好的IT企业，好的资产回报要比治理底下的企业高达20％。

    根据国外的一个统计数据，其实即使在发达国家也只有38％的管理高层能够描述他们的IT治理，在IT治理的框架下，我们其实看到有很多方面，而不仅仅是技术，我们现在在技术方面从体系方面来说我们做的是比较好，但是存在着其他很多的问题。比如信息安全的政策，最高层的原则性的一个东西，比如说关于IT建设的自评估的机制，我们很多的内审部门他们关注于传统的财务运营风险控制而没有关注信息技术风险控制。比如信息系统审计在很多的外企里面他们的信息化的这些人员主要的工作其实就是监控外包方，很多的核心业务外包出去，主要监控外包的合同，履行审计的职责。所以我们IT治理的框架下，我们需要发展的职能还是有很多的方面。

    这个观点其实是中国网通集团的原先负责信息化的总裁的观点，我们去年和国资委的领导一起去调研六大运营商，他的观点IT治理在中国电信业的解释有了一个非常好的观点。他说，我们要将信息化工作的关注点从单纯的系统建设转向增加价值，更家关注价值的提升，组织文化的创新，从追求更高更强的技术转向IT战略与业务发展战略的融合，运用更加综合交叉的信息化支撑体系，将信息化工作的重心向投资、解决方案转向价值和持续的改善，总结他这个观点，其实就是我们要从大规模的信息技术建设上面转移到我们对信息化的管理工作的关注上来，并且遵循思想、目标、流程、模型、信息系统这样一个正确的方法论，分步实施、合理、有效地组织。

    IT治理的三个观点问题，我们结合前面的三个管理核心来看，就是目的性、组织性、系统性。IT的有效管理和应用必须做出哪些决策？啊组织性方面，应该由谁来做出这些决策？系统性方面，如何制定和监控这些决策？  

    对于一个企业来说存在着六项治理，人力资源的治理，财务的治理、实务资产的治理，以及关系的治理等等六个方面，在六个方面其实我们做的最好的就是关于实务资产的治理和财务资产的治理，我们做的最差的就是IT资产的管理，我们其实只要看一下我们的财务，哪怕只有两个人的小企业它的财务制度、流程、规章肯定是非常健全的。一些必要的职责分利也是有的，可是我们现在关于信息化的职责、流程、组织架构还是处在一个非常原始、混乱的阶段。

    从这张图上我们看出这样一个观点我们企业制定了一些好的战略，但是这些战略其实不会自动的创造价值，真正创造价值的是我们期望的行为对我们所有的员工他去做符合业务战略目标的事情，我们用期望行为概念来表达这个行业，这是真正为我们企业带来利润，创造价值的。但是好的战略它不会导致一个企业的期望自动发生，这里面需要一套治理的机制，需要一套制度的安排在里面。

    比如说对于IT治理的机制，它其实就包括我们关于IT的组织架构，我们去做信息化建设与管理的所有的流程。第一个就是战略规划的流程，我们做信息化的战略规划，我到底用什么一个组织结构，在这个组织结构里面每个角色它的职责是什么，包括一些议事的程序，以及我们怎么样去评价信息化的战略目标，到底是不是和我们的业务战略目标保持一律性。当然对于其他的流程是一样的，比如招投标采购，信息安全的管理工作，比如说应用系统的开发，同样是需要这些组织结构、流程，议事程序以及对它评价的流程。

    一共有这样五项重要的IT决策，就是我们到底要做那些IT决策，其实我们即使不存在那些很清晰的流程，但是我们必然存在这五项决策，第一个是IT的原则，它是一个非常简洁的东西，它阐述IT五的商业作用是什么，第二个是IT架构，包括组织架构和管理架构，第三个是IT基础设施，第四个是关于满足业务需求的IT建设的决策，第五个是IT的投资和应用优先，每项决策要考虑这些问题，比如说我们看IT投资与优先顺序决策里面，我们要看到企业里面的投资和业务部门的投资哪个更重要，因为对于很多中国的企业集团公司来说，比如它的业务部门如果做出IT投资决策一定是站在部门利益的角度去的，不会更多考虑整个集团层面的利益，所以集团层面的信息化的投资和业务单元的投资到底哪个更重要，如何安排优先顺序，这是我们做IT投资必然考虑的问题。

    做出这些决策需要哪些治理的机制呢？我们按照政府治理的模式可以总结出以下这六种治理模式，第一个是业务君主制，由业务部门最高管理层说了算。IT君主制度就是IT专家来制定，封建制度是每个业务部门独立决策，对于一些跨行业经营的集团公司来说，为了保证每个行业的高成长性，比如说杜邦就跨了很多行业，化工、医疗等，毫不相关的行业，每个行业要保持面向市场的高速反应必须要有封建制。联邦制是民主的做法，也就是说像美国政府和中央政府各个州的关系一样，我们怎样采用民主协商的方法。IT双寡头制度，是IT团队和其他的某一团队共同做出决策。无政府状态，决策由鼓励的个体或者小团体做出。

    我们举一个业务优先君主制的例子，就是由高级部门的管理层来负责制定影响到整个企业的IT企业，比如说美国一家投资银行道富，它采取的是业务君主制的方法。他接受以下输入：CO的直接报告，来自业务部门的IT领导者，且级的IT预算管理流程，服务水平协议和相关费用分摊，一个现实所有IT资源极其配制结果的活动追踪系统。

    这是根据美国的MIT所做一项调查，对23个国家的256个企业得出的一个结论。我们在五项IT原则，每一项都考虑它的输入信息是什么，以及考虑由采取哪种治理的原型。36％代表了256家企业里面比例最高的它采用的是双寡头制的方法来治理IT原则，IT原则是非常简洁的东西它指导我们到底自我开发还是别的什么。所以五项决策我们把它归纳起来，可以认为，它的输入都是采取那种民主制的做法，所有的业务部门、开发部门共同决策。先民主，后集中，当然决策也有联邦制的方法。如果中国采取联邦制的方法问题是非常大，我们在很多企业里面看到，如果这样坐在一起要争执很长时间做不出一个结论，到最后就是不停的争执，即使最后做出决策，是多方利益博弈的结果，而那个结果也没有什么意思了，因为利益每一方都要分一点。

    每个公司的业务战略是不同的，就会导致期望行为不同，这中间的治理安排一定是不同的，治理的结构和治理的机制一定是不同的，所以对于UPS就采取256家统计下来的普遍的做法也是不太相同的。UPS为什么要采取这种做法，我们看一下它的治理架构是：以战略的控制权由公司高层掌握，而具体的决策权授予组织的多个层面。所以出去这种治理的结构高管层就要使IT治理透明，以便每个成员都能理解并遵循IT的建议、实施和应用流程。
  
    UPS通过以下的四种机制来保证IT治理对每一个实施者都是一目了然的，第一个IT指导委员会，将战略的决策权授于四位高层管理人员。第二个IT治理委员会，向IT指导委员会报告，将架构方面决策权授予高层的IT主管员。架构的决策权为什么授予IT主管人员，因为架构的决策倾向于技术上的问题，所以授予IT主管员。

    第三个正式的特许流程，所有的业务单元他们可以提交一个好的观点给IT指导委员会去做筛选，其实这是非常典型的一个治理思想，这里强调我不是统治，不是集团的管理部门怎么说下面各省市分公司怎么干，强调携手共同面对信息化，信息技术发展的挑战。我们上下互动，这是非常典型的治理思想。其实在很多企业，没有这么一个流程去做这个事情，在UPS有一个非常正式的特许流程，你有好的想法，哪怕非常普通的员工有渠道把事情报上去，IT指导委员会可以看到。

    第四个就是在组织的适当层级设置从处理例外情况到标准状况的提交程序。
    这是美国大都会集团IT原则，这非常简洁可以讨论甚至可以推翻的东西，一旦制定最高原则之后可以指导信息化建设。比如大都会认为购买之前要考虑重复使用，在自己建造之前先考虑购买所以不存在到底是外包还是自己开发这个问题的一些无谓争论。大都会也是快速并购，并购了很多不同行业的企业进来，导致这些客户的信息都分散在并购企业的系统里面，所以其实大都会要确定一个IT的原则就是建立统一的客户治理。这原则指导IT的架构，所以我们看到在图左边建了一个统一的客户识图，这个从登陆导航到搜索到访问信息，不管并购企业的系统多么分散复杂，但是由于有了统一的界面，保持在大都会的整合访问就会非常好。

    这一块谈到了设计良好IT治理应该考虑的因素。由于时间关系就跳过去，这是CISCO战略的指导原则，原先的CEO向CFO汇报的，就会关心信息化项目能不能在预算内按照约定的目标和时间完成。CISCO感觉这种模式不符合以客户为中心的业务战略，改向客户联络的高级副总裁汇报，所有以客户为中心的信息化项目在CISCO可以优先批准，与客户为中心无关的项目会得到延迟。

    第三个问题讲到国外信息化管理的标准，这一块是国内外目前聚焦的向信息化管理要效益，我们考虑IT治理怎么向制度和机制的层面去实现，然后落实在管理的层面怎么执行，信息系统审计考虑从控制的角度怎么保全信息技术的价值，IT服务管理是从流程的角度实现这类价值。回到今天讲很重要的观点，我们的业务战略不同导致期望行为不同，导致治理架构不同，治理机制和架构只要在我们业务战略里面没有发生转变的时候，我们的IT治理就轻易不要去定，如果我们业务战略发生变化了，我们做信息化建设的IT治理和架构一定会变，CISCO就是这样，他业务治理架构非常快，发现原先做客户支持非常好，现在卖出去的产品在急剧上升，是不是同比例增加我的客户支持人员呢，所以CISCO考虑IT治理的转变和结构。

    IT治理相关的领域标准一共有7199，包括ATW等等，接下来一些演讲嘉宾，包括明天上午演讲的孟庆林先生会详细谈到，我下面涉及这些标准的内容就跳过去不讲了，关于COB，这是管理层董事会财务部门，信息化部门沟通的共同语言，恰恰在风险管理业务和信息技术之上架起一座桥梁，此前全球缺少这套架构和共同语言。我这边主要从事的工作是一些研究和培训的工作，所以大家会从资料上看到我们出了一系列出版物，这是我们的研究成果，我们目的就是为了提供这样一套共同的语言，在管理层和业务部门内控部门能够进行交互的一套共同语言。这一套书由清华大学出版社出版的，待会儿大家在外面可以看到这一套书。所以这也是信息技术风险的体现，它给我们带来了很大的方便，我们如此依赖于它导致现在成为一个巨大的风险，这像其他的水电基础设施一样，这个风险我们要评价一下是不是能接受，今天如果不能接受，就备份两台投影仪和电脑可以立即切换过来，刚才讲的这个恰恰在2002年发表了IT不再重要讨论的焦点，就是在文章里面建议我们的企业要关注信息技术的风险，不要第一个去吃螃蟹，用比较成熟的，让竞争对手先去尝试，竞争对手做得比较好之后再去尝试这套系统，卡尔强调这样一个观点，因为现在信息技术已经转变成一个可以购买的商品，既然我们可以买到竞争对手也可以买到，所以怎么样用它构筑核心竞争能力呢？如果在一百年前某家企业可以用上电，可以围绕电建筑核心竞争力，发展到一百年后，没有一家企业把核心竞争力建筑在电，电话传真这些，信息基础也是认为基础设施的层面，卡尔考虑信息技术演变基础设施的层次，没有考虑人的创造性以及人通过软件发挥出来创造性具有无限潜能的，这对于我们创造新的商业模式，在运营商银行业有非常好的案例，怎么发挥人的无限创造性。

    我这里还有最后两张片子谈一下CIO的问题，在国内外没有统一的看法，我们认为CIO不仅仅扮演一个管理的角色要扮演一个领导的角色，还要告诉我们企业要到哪里去，传统来说董事会和高管层的职责，我们希望CIO加入进去扮演这样的职责，对于CIO来说无非作为一个供需方的考虑，作为需方和业务的同事共同领导企业沟通商业的价值，基于IT创造我们企业的愿景，作为供方来说还要把自己的本质工作做好，比如说要有一个强有力的IT团队，要进行绩效评价和优化，要创造面向客户的IT组织架构，我们跟运营商很多交流，他们架构规划开发运营维护，这明显按照生命周期划分，不是面向客户的组织架构，CIO如何成为这样一个领导而不仅仅是管理者呢？大概要经过这样一个周期，第一个理解市场竞争环境和业务环境，也就是CIO不是要懂业务，它一定要成为它企业里面业务专家，基于这个IT创造企业未来愿景，并且和利益相关方沟通期望的行为，创建一个清晰的IT治理的架构，在战略和战术层面进行IT的融合，这种战略和战术层面的融合，比如建立IT服务管理体系，建立信息安全管理体系。保持这两者之间的交流，构建新型的IT组织。刚才提到所有运营商与IT组织架构是有问题的，控制流程也是有问题的，一般开发一个高绩效的团队，CIO有一个非常强有力的团队作为助手，管理企业的IT风险，另外进行绩效的风险评价。

    接下来内容由于时间不展开介绍了，我们有一本书IT领导力介绍非常详细，并且有光盘和模板供大家使用。总之我们是希望通过构建一个IT治理的机制和制度安排来推动我们电信运营企业信息化的高效可持续发展，由于时间关系我就先讲到这里，谢谢各位。