IT治理：中国信息化的必由之道

面对日趋严格的外部监管环境和全球一体化的市场竞争，管理层在符合外部监管环境的要求和整合IT管控体系上遇到了极大挑战。为迎接这一挑战，全球已形成了一个公司治理与IT治理的改革运动。虽然，IT治理的理念确立和机制建设在电力行业才刚刚开始，但已汇聚多方目光。关注这个新兴领域，将从制度层面和标准规范层面，为中国电力行业的发展和信息化建设提供全新的视角。因此，为全面理解、准确把握IT治理及其在电力行业的推进，记者采访了国内最早倡导IT治理和IT控制的专家，ITGov（中国）IT治理研究中心孙强主任。

　　ITGov中国IT治理研究中心主任 孙强

　　《电力信息化》记者 曾聪

　　记 者：您为什么关注IT治理和IT服务管理等领域？

　　孙 强：经过多年的实践，我国企业信息化应用取得了世人瞩目的成就。与此同时，也到了一个总结、提升与再发展的关键时期。这突出地表现为信息化建设和推进中深层次的机制问题，包括：如何将IT战略与企业战略相融合；如何从公司治理的高度，对企业信息化做出制度安排；如何从战略投资、企业管理变革的角度，降低IT风险；如何利用本国和发达国家信息化最佳实践、智力成果，加快行业和企业的信息化推进工作等。

　　记 者：我们都知道公司治理对中国电力企业改革与发展具有重要意义。那么，IT治理对电力行业的意义是什么？它与公司治理存在什么关系？

  　孙 强：公司治理问题一直是企业制度与组织的核心问题。近年来，因上市公司频频“惊曝黑幕”，使公司治理成为全球性问题。在我国，公司治理正在成为企业议事日程中最重要和最迫切的任务。但是，也要看到目前企业内外环境都发生极大变化；企业管理信息化，信息技术与信息系统对企业组织形态、治理结构、管理机制、运作流程和商业模式的影响日益深化，原有的治理控制机制已不适应，公司治理面临新的挑战。

　　解决公司治理问题，最核心的是公司信息的真实与准确性和处理与传递效率，而IT技术在实现透明度原则和体现监控力度上正成为日益有效的工具。因此，越来越多的人关注IT与公司治理之间的关系；及在加强公司内部控制和公司治理，IT所能发挥的重要作用。在这种信息时代的大环境下，对IT治理的研究就成为当前国内外备受关注的一个新领域。IT治理是用于描述企业或政府是否采用有效机制，使IT应用能完成组织赋予它的使命，同时平衡信息化过程中的风险，确保实现组织战略目标的过程。IT治理的使命是：保持IT与业务目标一致、推动业务发展、促使收益最大化、合理利用IT资源、适当管理与IT相关的风险。美国IT治理研究所曾提出IT治理的模型COBIT，用于帮助企业领导层认识有效实施IT治理的必要性与益处，从而保证长期的可持续的成功，并增强利益相关者的价值。我们认为，治理是组织管理机制和运行机制的发挥过程。在信息时代IT在企业中已从企业管理的辅助手段、解决管理问题的工具上升到影响企业全局的角色，因此IT治理应成为公司治理的工具。可以说，IT的作用已进入制度层面，这是IT技术应用的一个质的飞跃。目前，无论是电力行业还是其他行业，不管信息化程度如何，在公司治理问题上，仍停留在非信息化时代，这使得信息化投资效率低、风险大，影响进一步投入和发展。所以，实现信息化的可持续发展，必须研究、实现IT治理。现在，所有这些研究都还只是开始，下一步国内外的研究方向将是IT究竟如何在公司内部控制、公司治理中发挥作用。

　　记 者：如何理解您时常提到的“IT治理和IT服务管理是当前我国信息化建设的瓶颈”问题，您所倡导的IT治理与IT服务管理又存在怎样的关系？

　　孙 强：根据三年多来对行业信息化状况的观察和分析，我们认为国内IT应用层次的差异不取决于信息技术的先进性，而是由IT管理或IT治理水平的高低造成的。公司治理和IT治理是中国企业国际竞争力的基本要素，也是中国企业“基业常青”的制度基础；是企业树立市场形象的需要；没有完善的IT治理，国内企业首先在利用国际市场筹集资金方面就输给自己的竞争对手，产品市场的竞争必将更加困难。因此，不进行治理实践改革的公司在想获得资本已加速发展时，将发现自己处于竞争劣势。面对风险和不同的法规要求，以不变应万变的方案就是建立健全公司治理、IT治理机制，这是一套可以不断自我完善、自我提高的机制。通过一系列IT治理方面的制度安排，能有效推动实现IT和业务战略的融合，提高IT的投资回报率，降低IT的风险。

　　IT服务管理聚焦于公司的信息及信息系统的战术和运营层面，通过梳理IT对业务的支持流程，以确保IT目标及为此目标实现所采取的行动；IT治理是指最高管理层利用它来监督管理层在IT战略上的过程、结构和联系，以确保这种运营处于正确的轨道之上。可以说IT治理包涵IT服务管理，IT治理更多的是从战略高度来阐述IT与业务战略的有机融合；而IT服务管理是在战术和运营层面具体实现IT治理。当然IT治理不仅仅包涵IT服务管理，还涵盖IT项目管理、安全管理、信息系统审计等多个领域。这些领域的有机整合有助于实施善治的IT治理。

　　记 者：IT治理的重要性已有目共睹，应如何实现您所倡导的IT治理？企业完善公司治理、IT治理是一项系统工程，不能一蹴而就，您认为这项工作的关键是什么？在信息化应用水平比较高的电力行业，提升和完善IT治理最核心的问题在哪里？

　　孙 强：善治的IT治理机制是确保IT资源与公司战略目标保持一致的基础，同样也能确保IT服务满足组织对优质、可信和安全的信息需要。采用好的IT治理机制可以给企业带来诸多收益。善治的IT治理的实现，需要结合企业的具体情况来实施。

　　IT治理和其他治理活动一样，集中在最高管理层和管理执行层。然而，由于IT治理的复杂性和专业性，治理层必须强烈依赖企业的下层来提供决策和评估活动所需的信息。为保证有效的IT治理，下层应用要和企业总体目标采用相同的原则，并采用评估绩效的衡量方法。因此，好的IT治理实践需要在企业全部范围内推行。这其中，最高管理层要证实IT战略与业务战略一致，并且通过明确的期望和衡量手段来指导IT战略，使IT交付价值平衡IT投资风险，恰当决策信息资源应优先使用的地方。而管理执行层则要完成将IT风险管理的责任和控制落实到企业中，制定明确的政策和全面的控制框架，还要将战略、策略、目标等由上至下落实到企业，并始终保持IT战略与业务战略目标的精确校准。在这个过程中，IT治理使最高管理层和管理执行层实现业务目标、平衡新技术的机遇和风险，对关键流程实施有效控制和构筑核心竞争力等活动成为可能。

　　目前很多企业对完善公司治理、内部控制、IT治理等工作有一个错误认识，以为请咨询公司构建一套体系就可以发挥作用。事实上，无论多么完美的体系最终是否有效取决于企业风险和管理文化。公司治理、IT治理不仅是董事会关注的问题，它涉及企业各层面、各职能部门的每一个人，所有人员都在治理机制中发挥着应有的作用。所以这就需要在公司上下树立一种文化，更重要的是需要大力加强人才的培养。

　　就电力行业而言最核心的问题应该有两个：一是信息化基础设施如何稳定可靠的运行；二是，由于市场的竞争，业务需求变化非常大，IT供给怎样更好地满足业务需求的变化，以及二者之前如何进行匹配和精确地交流。这两个问题都是在IT治理里面涉及到的一些核心问题，也就是对IT战略的推进和IT风险管理及IT流程价值交付问题。针对电力行业，现在的必由之路首先是高管层必须认识到关注IT和内部控制是履行其职责的前提条件，因此必须肩负起对IT治理的责任，其次是构建与整个企业公司治理相符合的IT治理机制和架构，这也是我们一直所推动的理念。

　　我们希望电力行业信息化主管领导关注以上两个核心问题，同时解决这两个问题也是很大的挑战。电力行业作为传统行业，应该从思想转变和人才培养开始。事实上，国资委也很重视通过培训来推动这项工作，2005年，我们协助国资委开展了多次 “中央企业全面风险管理培训班”。ITGov也自主创新推出了我国首个“IT治理与内部控制人才培养计划”，为各类企业和政府组织培养了一大批持有国际IT治理认证的专家才人。我们祝愿电力行业的信息化向着高效可持续发展的方向发展。

　　背景链接：

　　孙 强

　　CISA、CISM、BS7799LA、COBIT认证专家。中国IT治理研究与实践最早的推动者之一，ITGov中国IT治理研究中心主任、国际信息系统审计与控制协会（ISACA）会员、国际IT治理学会（ITGA）IT控制框架标准组专家顾问。他长期致力于探讨信息化建设中深层次的机制和制度问题，倡导将国际上前沿的IT治理机制及其方法论与中国的国情相结合，著有《信息系统审计：安全、风险管理与控制》、《IT服务管理：概念、理解与实施》、《信息安全管理：全球最佳实务与实施指南》、《信息化绩效评价》、《后萨班斯时代的IT内控体系》、《IT治理：引领中国信息化的可持续发展》、《IT服务管理手册与通用词汇表手册》、《IT服务管理：中国的最佳实践》、《IT服务管理体系建制》，主审有《IT领导力》等。联系方式：sunq@itgov.org.cn