孙强:尊敬的各位领导,各位嘉宾,女士们先生们上午好,我是来自ITGov中国IT治理研究中心的孙强。这个论坛我们和通信产业报一起举办过三届,每次都是围绕着怎么样发挥信息技术优势推动电信运营企业的管理创新,现在运营商处在转型时期,这是非常大的议题,我们研究电信运营商信息化的战略选择,大概会有这样一些看法与各位分享。
图:中国IT治理研究中心 孙强主任
第一点战略选择体现的就是明确信息化建设的战略需求,业务战略需求和合法合规的需求。第二点要构建和完善IT治理机制,提高信息技术的经营管理绩效。第三点是健全和完善激励机制,加强IT人才队伍的建设。第四明确信息化建设的企业架构,战略规划和战略重点,加强IT战略管理,确保信息化建设的高校、可持续发展。第五点加强信息技术成本管理,提高信息技术投资价值。第六点加强IT风险治理,创造新的战略竞争机遇。
由于时间关系只能讲其中的两点,其他的可以下来与各位交流,第一点是要明确信息化建设的战略需求,在这之前电信的运营企业的目标是做大做强,今天合法合规和利益相关者透明的机构,我们财务报告的数据成了非常巨大的挑战。这些是我们看到的现在中国电信企业在外部环境规范管理和提升核心竞争力当中所面临的挑战,尤其最近国资委刚刚颁布了中央企业全面风险管理指引,电信企业在迎接SOX法案的挑战到了关键时期,国资委“中央企业全面风险管理指引”又出台了,每年都有一些中央企业因为达不到这样的绩效考核指标,领导被迫下台。我们可以把合法合规总结一下。第一个是外部监管环境越来越要求提高透明度和强化信息披露,透明度决定利益相关者包括中小投资人包括合作伙伴在多大程度可以保护自身的利益。第二个在法律法规的遵从上不存在折中与妥协。无论美国资本市场,还是香港资本市场,还是国资委作为监管机构不会有丝毫的妥协。董事会现在要关注内部控制和信息系统,它是履行其他责任必须依赖的机制,所以对于运营商信息化部门来说,对于CIO来说,他们终于第一次有机会借着合法合规的SOX法案的机会向董事会汇报。运营商本身生产经营的压力旧很大,现在合法合规的工作量又是巨大的。在未来理解控制理论及IT控制设计的相关理念,将是电信运营企业最重要的能力之一。同时运营成为IT交付价值但也是高风险重中之重的工作。如果只做财务审计,一些IT控制上的潜在风险是发现不了的,如果不做IT控制的测试和评价,这有非常大的风险,尤其运营商的业务现在完全依赖于IT系统。 总之现在CIO面临的挑战就是将合法合规的实施计划和企业的IT控制的计划整合起来进行实施。
第二个要构建和完善IT治理的机制,提高信息技术的构建管理绩效。在去年举办了中国公司治理暨IT治理的年会,在这个年会上看到中国企业在生产经营压力非常大的情况下,在合法合规上也面临着非常巨大的挑战,并且合法合规的法律法规越来越多,所以需要找出一个以不变应万变的合规之道,我们提出三个结合的理念。公司治理要和IT治理相结合,全面风险管理要和IT治理相结合,以及六方要相结合,六方是指以C打头的高管层。对于信息化董事会和高官层不是一把手工程,不是重视不重视,这是他的职责。我们认为未来公司治理和IT治理对于企业的影响一定是革命性的,并且这种影响直接关系中国企业的国际竞争力。
有效的IT治理如何来看呢?首先要明确是什么东西,它解决三方面的问题,首先解决的目的性的问题,即IT治理需要做出哪些决策,我们认为主要包括五项,IT的原则、IT架构、IT基础设施,IT商业应用,IT投资。第二是要解决组织性问题。第三是解决系统性问题,即IT治理中如何制定和监控这些决策?电信运营企业需要通过一系列的治理机制——结构、流程和沟通来实现治理的计划,怎么样去实施IT治理规划的问题。我们在2004年曾经和中国网通集团合作了这样一个咨询项目,中国网通集团企业信息化管理控制体系,这在2005年获得国家级创新奖,并且中国联通包括中国电信运营商对这样的项目非常感兴趣,今天下午邀请到当时在河北网通做试点的项目负责人屈先生就这项目执行情况和大家做进一步交流。
IT治理需要关注五个方面,第一个是战略的整合,或者称为战略的一致性,关注IT战略与业务战略的整合问题。第二个点是价值的交付,衡量IT价值交付的基准是IT应用能否按时按质,并在预算内实现预期的价值目标,所以我们要设计明确的预期目标。第三个是资源管理,涉及满足组织需求的IT资源和能力,用软件、技术、设备、投资等,使用以及配置的优化,最大使用这些资产并最优化其成本。第四个方面是风险管理,要求管理高层具有风险的意识,明确企业的风险容忍度,对IT风险进行识别,制定风险管理策略,将风险管理职责嵌入企业的日常运营,尤其是对IT资产的保护,灾难恢复性持续性运营。第五方面是绩效度量,包括跟踪项目交付与监控IT服务,利用平衡记分卡将IT战略转化为可以评价的目标行动,这种评价超越了传统的会计核算,可以评价信息时代必不可少的知识资产和相关的关系,关注客户流程效率,以及学习和成长等领域。
下面讲一下IT治理的模型cobit,这在运营商那里都用到了,用到合法合规上。这一块的这个标准的最佳实践可以指导业务战略经营目标的效率和效果上面的追求。总之现在信息化建设存在这样一个问题,IT交付的东西无法满足业务的需求。所有的矛盾可以提炼出来归结这样一个问题,我们为什么要升级改造,为什么要更新,为什么一次又一次大规模信息化之后发现还是无法满足业务的需求,为什么信息化部门的人员感觉到一年一年越来越忙,没有轻松的时候,好像没有盼头一样。总之就是你提交的东西不是业务部门需要的,这原因何在,现在国际上有一个看法,就是缺少管理与控制的框架,所以这两者之间不匹配的。cobit认为要想提供满足业务需要的信息,IT必须被自然组合起来的流程所管理,这套流程在cobit以最佳实践归纳为34个流程,同时也是34个控制目标。看一下cobit的架构,它为什么能够衔接治理层面的需要,我们在业务战略和技术之上的鸿沟。前面讲到现在有两个需求,一个是业务发展的需求,一个是合法合规的需求,这就是治理的需求,要满足这两个需求需要提供信息的服务,信息的服务怎么样去评价它,它提供的是可以满足业务需要的信息?也就是这里定义的信息标准,或者说是信息准则,我们用这个来衡量,这主要是指效率效果,有效性、机密性、完整性。在这方面如果打算提供满足业务需求或治理需求的信息。根据这样一个企业战略细化出来的业务需求,下面就可以指导设定IT的目标。IT目标需要通过一系列流程去完成我们设定的目标,这些流程在执行过程就会运用到基础设施和人员,通过运行一系列系统,通过交付满足需要的信息,然后再平衡记分卡上测定。我们都讲管理是一个闭环的循环,所以看到用红色表示的箭头回来还有一个逐级评价的过程。在cobit最佳实践里面,不管什么行业的企业你业务目标有那些,还有最佳实践总结出来,你IT战略目标有那些也总结出来了,业务战略目标和IT战略目标,以及细化下来的IT战略的流程和流程下来的关系都有明确的表述。比如这次北京移动受到程稚翰黑客的攻击,媒体广为报道,就是想看看对媒体报道,中国移动投资1.2亿的安全到底有多安全,试了一下,据中央电视台报道不堪一击,我们都有这样一个业务的战略目标,这战略目标需要很多IT战略目标去支撑他,有一个目标是确保IT目标能够抵御攻击并恢复,这个图片就是我们要举例说明的。这需要很多流程的目标来实现它,其中一个流程的目标是要发现并解决对信息应用系统基础设施未授权的保留,在流程里面一共两种,一种是活动,一种是任务,细分下来有一种活动叫了解安全需求威胁及需求。所以看到cobit这样一个框架终于有了一个全球的最佳实践,可以把我们业务战略细化到,比如在今天某个时间点一个员工所执行的一项活动,这样一个非常精细化管理模式里。下面还有一个评价的过程,因为员工包括流程包括IT目标在信息化非常复杂的过程里面会偏离目标,需要有一些指标体系把我们拉回来。首先要对活动目标进行评价,评价的指标有很多,其中一个就是对被监控的安全事件进行检查的频率。
北京移动这个事件,我是通过媒体分析,被程稚翰攻击长达4个月时间居然未被发现,按照cobit里的检查监控的指标哪去了,如果达成这样一个指标,所有指标都会驱动我们实现IT的目标,我们如何评价IT的目标,这里面有很多指标,其中有影响IT业务突发事件的数量。通过这样的指标以及其他细化下来的指标综合评价会实现业务战略的目标,这业务战略目标实现了没有?还要一个关键目标指标来评价,这就是cobit这样一个框架体系给我们的指导。它可以把我们愿景细化到业务战略目标,细化到IT的战略目标,细化到流程的目标,细化到每天,每个人时间点上所要执行的一系列的活动和任务,这是一个非常精细化的管理。当我们业务战略目标发生变化的时候,比如中国移动愿景和目标都发生变化,原先成为世界一流的通讯企业,现在成为世界一流的企业。当这些发生变化的时候,我们如何用一个清晰的框架,根据这个框架细化以下的IT目标,流程目标,去互动来适应这种变化。
cobit在管理指南提供这样一个工具,它是讲流程为什么按照最佳实践的做法就可以输出满足业务需要的信息系统,有时候处于好意做了变更,结果业务部门充满抱怨,如何解决这问题,cobit提供了很多管理工具,主要关键成功因素,关键绩效指标等,首先是根据重合度模型确定IT管理,比如河北移动和内蒙移动的管理水平可能不在一个程度级别的,它适用的指标体系和流程,以及RACI的职责描述不一样的,根据重组模型确定以后,就可以根据cobit最佳实践给的关键成功因素作为流程的输入,这是全球最佳实践的总结。比如今天要去北大,不知道怎么走,最好问一下几个人,否则到那里可能要多花半个小时找来找去还找不到在哪儿。我们在这个过程中始终像正弦曲线一样在被动,最后要靠KGI把目标拉回来,我到了北大一定要抬头看一下有北京大学的牌子才能确认我到了。同时对流程中的这些职责,打板子要打谁的板子,现在不清楚。这个流程要征求哪些人的意见,因为要设定一些控制目标,这些控制目标由信息化部门自己控制,要相关业务部门的人去控制,在这样一个流程图的角色和职责描述里都有。所以关键成功因素是我们需要去做和遵循的,如果我们不遵循一定会偏离的,也就是很多老人给了我们很多好的人生建议,如果不遵循一定会走弯路的。 在流程中控制是说我们不得不做的,我们应该怎么样交付,怎么样衡量这个绩效。重组模型是怎么样提高,可能内蒙需要根据业务发展的需要向河北移动看齐,它怎么样提高。
我们和国外的一家企业MEYCOR合作,提供基于cobit的IT治理实施软件,这包括控制自评估,管理指南、审计指南,风险管理,知识提供,用于指导我国的企业如何有效地实施IT治理。
第三点关于健全和完善极力,关于加强IT人才队伍的建设,今年电信运营商在迎接萨班斯法案挑战无一例外请了国际咨询公司,这费用非常高昂的,如果内部又懂信息化又懂业务,又懂IT控制的人才实际上不需要花这么多钱,我们现在面临合法合规,懂技术已经不是问题了,我们现在需要培养这些人才。我们经过三年研究与国际上合作,推出中国IT治理暨全面风险管理人才培养计划,这里面很多课程体系被英国电信,荷兰电信等全球电信运营企业全球所采用的课件。主要有这样一系列的认证,CISA从事于IT控制的系统设计审计事,还有ISO20000、ISO27001、COBIT、CIA等认证的培训和考试。我们也形成了将近30本中国IT治理智库。
既然现在面临的问题不是技术上的问题,那么ITGov希望成为中国企业与国际先进企业在最佳实践理念上进行同步发展的一个平台。由于时间问题就简单报道到这里,也希望大家有更多问题可以进一步交流,谢谢大家!
京ICP备06004481号 Copyright 2002 - 2006 ITGov.org.cn, All Rights Reserved