不久前北京移动发生的网上盗窃通信公司资费案,暴露出IT控制环境和信息监控的薄弱,这正反映了企业在IT治理和精确化管理上的缺失。北京移动信息安全事件正反映了中国电信运营商在完善信息系统审计机制,建立事前预防控制、事后检查控制等细节上问题。为什么信息安全事件在信息化建设水平领先的电信行业屡屡发生?信息安全风险评估作为企业IT治理和内控的重要一环,怎样才能落到实处?对于在信息化建设方面如火如荼的运营商,要解决这些问题显然还任重道远。其实,信息安全暴露的问题只反映了企业IT治理严峻形势的冰山一角。
问题重重
在6月28日由有ITGov中国IT治理研究中心和《通信产业报》主办的“第三届中国电信业信息化论坛”上,IT管理的近景与远景已清晰的为我们呈现出来。在此次以“IT战略与电信运营转型创新”为主题的信息化论坛上,众多信息化资深专家都表达了对电信企业IT管控水平的担忧。在信息化建设重心之一的IT管控领域,还存在众多虽然没有安全问题那样“惊心动魄”,却会在潜移默化中销蚀运营商竞争力的管理隐患。
在电信运营企业集体转型的关键时期,信息化是战略而不是选择,但转型时期的信息化战略,其内涵到底是什么?这是运营商的领导层和信息化部门负责人正在思考的命题。
对此,ITGov中国IT治理研究中心主任孙强认为,未来公司治理和IT治理对企业的影响一定是革命性的,并且这种影响直接关系到中国企业的国际竞争力。进而孙强表示转型时期中国电信运营企业信息化战略包括:1、明确信息化建设的战略需求——业务战略需求和合法合规需求。2、构建和完善IT治理机制,提高信息技术的经营管理绩效。3、健全和完善激励机制,加强IT人才队伍建设。4、明确信息化建设企业架构、战略规划和战略重点,加强IT战略管理,确保信息化建设的高效、可持续发展。5、加强信息技术成本管理,提高信息技术投资价值。6、加强IT风险治理,创造新的战略竞争机遇。
而在IT投资的整体决策和管理和评价方面,还没有形成一套量化投入产出和进行绩效优化的有效评价机制,这也严重制约运营商信息化建设的可持续发展。
ITGov中国IT治理研究中心及国资委全面风险管理专家孟秀转女士表示,没有度量,就没有管理。如果企业没有度量和监控信息化的框架,那么,治理、IT与业务战略的一致性、价值交付、风险管理以及资源的有效利用等都将无从谈起。
图:论坛主持人孟秀转女士
ITGov中国IT治理研究中心历经五年的潜心研究,创新性地提出了“ITGov三位一体(战略实施、项目管理、风险管控)信息化绩效评价模型”,对信息化全过程进行绩效评价,推动建立信息化发展的长效机制。目前该模型已在中国网通集团、北京市电子政务绩效考评、某大型集团企业信息化全过程进行绩效评价、某国企信息化战略实施等咨询项目中成功应用。
不久前,国家颁布了《2006━2020年国家信息化发展战略》,把大力推进信息化作为覆盖我国现代化建设全局的战略举措。而要真正实现国家的信息化战略,电信企业必须发挥龙头作用和带动作用。电信企业要实现自身的历史使命,提升企业自身的IT管控水平包括IT投资管控水平则成为首当其冲的选择。
各个击破
虽然在信息化建设方面存在很多问题和挑战,但“方法总比问题多”。在此次信息化论坛上,ITGov中国IT治理研究中心主任孙强认为,“要构建和完善IT治理的机制,必须实现三个结合,即公司治理要与IT治理、全面风险管理与IT治理相结合以及“六方”相结合。”
图:三个结合
同时,IT治理就是要解决好三方面的问题:一是解决目的性问题,即IT治理需要做出哪些决策?孙强主任认为电信企业IT决策主要包括五项:IT原则、IT架构、IT基础设施、IT商业应用、IT投资。二是解决组织性问题。三是解决系统性问题,即IT治理中如何制定和监控这些决策?电信运营企业需要通过一系列的治理机制——结构、流程和沟通实现治理计划。
针对IT治理这三方面的问题,如何构建善治的IT治理,北京信诚致远信息化管理咨询公司同期发布的IT治理生命周期实施解决方案——Meycor。包括以下软件模块:COBIT 控制自评估、Meycor COBIT 管理指南、Meycor COBIT 审计指南、Meycor COBIT 风险管理、 Meycor COBIT 知识提供、Meycor COBIT Delphos。
德勤企业风险管理服务经理薛梓源表示,为了应对萨班斯等一些国际法案对企业内控提出的更高要求,必须加大信息系统在总体控制方面的责任,在信息系统对管理流程的介入程度上,采取自上而下的基于风险管理的分配原则,尽量缩减成本,同时实现内控的合理化。实现流程和控制的集中化,建立一个好的集中身份管理措施和授权措施,以及加强包括用户身份、网络安全、系统安全在内的保护措施都是建立好的管理流程的要素。薛梓源在发言中还提到了结算和维护等内部系统,这些系统会对财务报告产生非常重要的直接或间接影响,特别是对于电信运营商,因其业务的庞大,更应该把这些财务相关的系统纳入内部控制体系建设,防止相关漏洞的发生。
可喜的是,虽然在信息化管理控制方面存在很多问题,但是运营商也在实践中积极探索适合自身的可行之路。由ITGov和北京信诚致远提供咨询指导的中国网通企业信息化管理控制体系项目,其试点单位河北网通项目负责人屈玉阁在介绍信息化管控经验时指出,从内部控制环境方面来说,信息化控制体系的建立是企业信息化建设过程发展到一定时期的必然产物。信息化要向提供满足业务需要的信息,必须建立覆盖全生命周期的管理控制流程。优秀的IT管理离不开相关制度的建设,河北网通把《信息系统质量管理制度》、《信息系统故障管理制度》等等,作为信息化管理建设从战略规划、需求、立项到日常信息系统维护以及绩效评价等方面的统一行为准则,避免了过去规划、建设、运营维护、绩效评估等各个阶段存在的各种问题。并且完成信息维护故障服务台,实现了信息系统维护故障申告的统一接口管理,理顺了对设备提供厂商的沟通渠道,降低了非常可观的管理成本。
创新思维
在本届信息化论坛上,很多专家提出的思想和概念都值得人们继续关注。收入保障体系撑起了运营商节流的骨架,中国联通的实践也成为了收入保障体系的最好注脚;IT投资管理使运营商在信息化建设方面做到心中有数;向管理标准要竞争力,中国移动在向世界一流企业迈进;河北网通的实践已经为建立信息化管控流程的意义做了最好的阐释。
在IT管理和控制等信息化建设的重点领域,旧的问题解决后还会涌现新的问题。每一个问题的解决,都会带动信息化建设的集中突破和整体提升,电信企业的信息化整体水平也在这样的过程中水涨船高。
图:中国IT治理智库系列丛书展示
-
没有关键字相关信息!
- 信息系统运维预算定额参考标准研究[04-09]
- 第2章 跨文化管理理论和实践[01-14]
- 16:什么是关键成功因素法(CSF)?[06-09]
- 24:eSCM-SP(服务提供商外包能力模型)有哪些…[06-10]
- 第4章 跨文化沟通[01-14]
- 治理评论第一期[01-20]
- 治理评论第六期[01-20]
- 治理评论第二期[01-20]
- 治理评论第五期[01-20]
- 治理评论第三期[01-20]
- 治理评论第四期[01-20]
- 太极凭什么中标12306? [09-26]
- 中国国际航空股份有限公司--书评[11-01]
