| 更多文章... |
最重要、最关键的问题还是领导重视问题,并且一定要落实领导责任制。
“我感觉就像是当年的十月革命一声炮响,给中国带来了马列主义一样,国外IT治理、IT服务管理的理念与最佳实践必将给中国的信息化建设带来一场管理上的革命。我们终于找到了多年来一直探寻的电子政务建设中至关重要的正确的认识论和方法论。”,国家财政部信息网络中心赵晓光处长在2003年时第一次听到关于IT治理介绍时激动地说。在此之前,他搞信息化从来听的都是技术讲座,金财工程培训预算有上千万,以往全部为技术培训,并且作为国家级的信息化建设项目,全国财政系统的信息化人员在技术上积累了丰富的经验。但是财政信息化建设如何支撑和引领公共财政体制的改革与发展,正成为金财工程领导关注的焦点。在今天,成功的信息化建设,必须从转变思维方式开始,越来越多的CIO认识到,技术路线的思维范式正是产生上述问题的原因,要解决好这些问题,治理和管理是关键。此后赵处长迫切希望国家财务信息负责信息化的领导都能认识到IT治理的重要性,开始促成全国财政系统管理和治理的培训。三年来已举办五期全国性的信息化治理与IT领导力培训班,IT治理的工作也作为金财工程立项和可研报告中的重要内容,四川省财政厅和天津市财政局的IT治理推进已经取的可喜的成果。
“推广IT治理理念,转变思维范式,统一思想认识,这需要一个渐进的过程”, ITGov中国IT治理研究中心主任孙强深有体会。三年前第一次举办全国财政系统IT治理培训班,反响强烈,并且上了金财工程简报,但也有部分省厅信息化领导认为意义重大,但IT治理是在金财工程建设完之后的工作。在今年的培训结束后,各省领导的思想认识前所未有的统一,以IT治理关注的领域之一信息化绩效评价为例,大家普遍认识到这不是传统意义上后评价的概念,而是过程中控制的理念。如果我们没有评价和监控信息化的框架,那么,治理、IT与业务战略的一致性、价值交付、风险管理以及资源的有效利用等都将无从谈起。在反馈建议上,多数信息中心领导留下了这样一句话,“能给我们分管信息化的领导讲讲就好了”,这正是孙强希望达成的效果,“IT治理是所有人的责任,但它首先是高管层的责任,信息化不再是一把手重视不重视的问题,它是一把手的责任”。
孙强认为在产生“信息孤岛、与业务脱节、IT投资黑洞等问题的体系内是找不到出路的”,必须跳出来站在更高的层面找方向。因此,给高官层洗脑正是孙强近期推广IT治理工作的重点。从去年华立集团董事会“公司治理、IT治理与中国企业的国际竞争力”培训开始,孙强的团队开发了“中国IT治理及全面风险管理人才培养计划”和“中国IT治理智库系列丛书”,大规模成系列地开展IT治理推广活动。
目前,虽然也有不少领导层称非常重视信息化,但另一个难题是,他们并不知道到底应该怎么去重视。领导层在各种会议上高谈信息化的重要性,号召全员要统统配合,任何人不得以任何理由阻碍信息化建设,但最终在执行中却没有落实责权,导致信息化建设的结果与规划和预想不符。因此我们看到很多CIO会说,我们这里领导也很重视,可是我搞起信息化来还是感觉到困难重重。
“上无司令部,下无责任人”的困局在中国的信息化建设中越发凸现。IT治理正是要“为鼓励IT应用的期望行为而明确决策权归属和责任承担的框架”
董事会的新职责
如果说过去企业投资IT是希望它能带来高效和低成本,以及创收或支持决策,那么在后萨班斯时代,《萨班斯法案》、国际财务报告准则、新巴塞尔协议以及新修订的《证券法》、《公司法》都在从不同程度加强公司上下对IT职能的期望,那就是信息安全、透明、可被审计监控,也让董事会开始承担新的职责。董事会必须关注内部控制和信息系统,因为它是履行其他责任必须依靠的机制。
曾有一位金融行业高管直言不讳的说,“上级就看我们的业绩,今年业绩不行,立刻下台,我现在满脑子都是市场,哪有功夫抓什么IT治理。”处在转轨时期的中国企业家无一不抱着做大做强的梦想,火车跑得越快越好,用什么机制和体制保证火车在轨道上长期平稳的跑,而且不出轨却被高管们忽视。安然公司在管理、产品、电子商务等方面的创新举世闻名,就是这样一家管理卓越的500强企业却一夜之间倒闭了,因为它在治理上出轨了。恐龙又大又强,可是它却从这个地球上消失了,很多专家认为《萨班斯法案》是历史的分水岭,我们当务之急就是要适应环境的变化。
“中国在美上市企业正在为此不得不付出高昂的学费,问题在于,付出如此昂贵的学费,我们能否进行理性决策和理性选择。”孙强指出,一些企业片面追求信息化建设的速度和效果,以10个月就能完成核心业务系统开发并在全国迅速上线为荣,问题是在这么短的时间内只能追求功能的完善,而几乎无法兼顾控制、风险管理和信息安全上的考量。那些在美上市公司现在暴露出很多这方面的问题,如现有应用系统没有进行分级加密设计,如要增加此项功能,则需要更新软件版本,需要投资和时间。应用系统开发、变更无测试环境。应用系统本身没有规范的密码设置、超时退出、帐户密码锁定等安全参数要求。现有应用系统的很多操作都需要在后台进行处理,如果采用授权机制,也不能完全满足内控的要求,审批的流程会增加大量的记录工作量,并且直接访问修改后台数据还会涉及到数据库管理员与应用管理员职责不能分离的情况。要想解决好以上看似简单的问题,在合规项目时间紧、任务重、范围大的情况下,必然困难重重。
因此孙强提出,信息化建设的正三角(即上而下依次是董事会或高管层、执行经理层、IT团队,越往下的群体职责多)应该倒立过来,变为董事会或高管层处于职责最多的位置,高管层的作用越大,IT团队就越容易执行,信息化建设的成效就越显著。具体而言,高管层的职责是设计、实施、维护和监控内部控制和风险管理体系,尤其是对IT的控制,以确保所有的商业策略、规程和业务流程都在合法合规的轨道上运行。SOX 404 实际上就是要求高管层要对企业内部控制的有效性负法律责任。据最近的一项调查,自02年以来,已经有500起这样的案件,其中最高判刑有20年的,这些企业的高管们正在监狱里渡过他们的余生。
ING集团是一家源自荷兰的全球金融服务机构,它为全球六千万家私营企业、集团和政府机构等客户提供银行、保险和资产管理服。这家十年前就开始实践IT治理、并被公认在IT治理方面做得最成功的企业董事会就鼓励董事会寻找下列问题的答案: IT是如何给业务增加价值? 有多少IT项目失败,不能按时完成交付承诺? 董事会是否对此有清晰的认识:与竞争对手相比,企业在IT上的投资有多少?ING的董事会成员还有责任确保采取了用于提供答案的机制。 同所有企业一样,有时答案读起来会令人不舒服,但是至少问了这些问题,还找到了答案。不知即为福总是非常短暂的!
在国外一些较早开展IT治理的企业,如ING集团、摩托罗拉公司、联邦快递等也通过在内部建立IT战略委员会(或IT治理委员会)的方法来解决董事会参与IT治理中“上无司令部”的问题。 通常IT治理委员会由组织的最高管理层(董事会)及管理执行层的重要成员组成,定期召开会议,就企业战略与IT战略的驱动与设置等议题进行讨论并做出决策,为组织IT管理提供导向与支持,把IT治理的相关机制融入到企业治理中。正是凭借着善治的公司治理和IT治理,摩托罗拉成功地从二十世纪末全球通讯业的大萧条中恢复过来。孙强认为,与之形成强烈反差的是尽管我国很多企业和政府部门也有信息化建设领导小组,但他们普遍不是治理而是管理层面的,缺乏正式的运作机制保障,治理层面的业务战略与IT在大方向上就脱节,在这种情况下,CIO在那里整合业务与IT也是南辕北辙。单就产品和服务而言,我国有些企业是超越竞争对手的,但公司治理和IT治理的缺失,使得我们的企业在国际市场上竞争时,就先输了一步棋。
