导读:什么是IT治理? 它是企业的目标吗?还是企业的文化?还是我们必须要遵从法则?IT治理该隶属哪个部门?种种的问号之下拷问我们对驾驭IT风险的认知和兜售理念的差别?到底何为IT治理,中国的IT治理现状又如何? IT治理与风险管理到底离你有多远?

什么是IT治理? 它是企业的目标吗?还是企业的文化?还是我们必须要遵从法则?IT治理该隶属哪个部门?种种的问号之下拷问我们对驾驭IT风险的认知和兜售理念的差别?到底何为IT治理,中国的IT治理现状又如何?
IT治理与风险管理到底离你有多远? 当笔者以这么多问号做开头的时候,也很想问问所有看到此篇文章的读者你对IT治理和风险管理的认知到底有多深?“IT治理?没听过。”当一位省级移动公司网络负责人侃侃而谈IT管理之后,在回答“是否听说过IT 治理”时,却给出了这样的回答。这家移动公司正在提升IT 管理水平,以准备接受塞班斯法案的相关审计。没想到管理着300余名IT 员工的网络部负责人尽管参与了IT内控工作,却对“IT治理”闻所未闻。这与一些业内人的预想相去甚远。一个负责上百IT员工的负责人尚且如此,可想而知IT治理在中国的普及化道路还很漫长。 提起IT治理与风险管理这个名词从2003年引入中国,并于2004 年引入了ITIL,开始进行SOX 内控项目,几年过去了,实施的结果又如何呢?IT负责人的回答就是很好的明证,他根本就不知道IT风险无处不在他的左右,这是一个很危险的信号,也给中国IT治理与风险管理普及认知上敲响了警钟。 那么我们来看看最近由于IT的失败给商业带来影响的例子,切身体会IT风险离我们距离。 首先举一个例子,有一个工程师给一个大的某化工制造厂商工作,最后他被认定有罪,因为他偷了公司价值4亿美元的秘密,想给他新的雇主。他从公司的网上下载了大量的摘要以及16700多个文件,这是他们公司研究数据库里面下载的大部分的数据跟他研究的内容是没有太大的关系。 这些是公司对于他的电脑进行例行检查的时候发现的,从这个案例看出来要保护企业的关键数据和知识产权是多么重要。 另外一个案例是零售公司的例子,大量的信用卡、借记卡被个人所偷盗,主要是通过电脑的系统,他们直接在零售商的总部接入电脑偷走了客户资料,四千万美国人信用卡被盗。 上述案例中说明了IT风险无处不在,他不仅考验企业对IT风险的管控能力,也在考验用户在合规的情况下规避IT风险。 中国IT治理现状 在这次高峰论坛会议开始的宣传片引起了我的注意,这部大片不禁使我想起了六百年前我们伟大的先人——郑和曾经七下西洋,率领着上千艘的舰队以及上万人组成的庞大规模的舰队。据现在的研究发现,他可能是历史上最早到达南极的人,在他之后60年,四艘小船随风飘荡很幸运地发现了印度大陆。在十七世纪的时候最大的风险是在海洋上面。我们至今都没有搞明白在这样一个由数百艘、数万人组成的庞大的舰队里面,又没有今天的通讯手段,他们用什么方法达成郑和的业务目标的,这件事情至今我们没有想明白。但是至少表明了在六百年前郑和七下西洋的壮举,彰显了中国卓越的风险管理与控制能力。 为了抗击倭寇明代的天才军事家戚继光在海边修建一座海岸长城,这是古人为了降低风险所采取的防御措施,那么今天我们IT治理所面临情况如何呢? 在本次峰会上中国 IT 治理研究中心主任兼首席专家孙强先生,就中国目前IT治所处现状给予了回答: 现状之一:政府和监管机构出台大量合规的法规和要求,各方都遵从法规下治理和内部控制方面寻找更大的保障。 现状之二:中国的政府部门和企业的信息化建设大规模的进行,进入到整合应用和加强IT运维服务管理为主要特征的运行维护阶段,从建设阶段向建设与应用并重以及与应用和运行维护主要特征这样一个阶段转型。 现状之二:中国的政府部门和企业的信息化建设正在大规模进入到整合应用和加强IT运维服务管理为主要特征的运行维护阶段,第二个现状就是治理型的运维管控体系成为IT服务管理的发展趋势。治理型的IT服务管理有以下几个特征: 第一个特征:就是高层参与,高层要意识到它对业务的可持续性,IT如何为业务交付价值负责任。 第二个特征:基于IT治理模式决定我们管理的模式,比如这种管理模式有可能是集中的运维管理模式。基于这种管理模式会决定我们的管理体系,比如流程的管理体系、规章制度的管理体系、绩效的管理体系、运维费用的管理体系、技术体系等等。在确定了管理体系之后,才会确定我们的技术体系,也就是说把以前第一步就做的工作现在放到最后一步。因为我们确定技术选型的方案再确定我们选用哪一家公司的软件产品。这是IT服务管理在这个时代的显著的特征。 现状之三:就是信息化管理机制问题成为制约信息化快速发展的主要障碍之一。现在我们国家的信息化建设工作不是信息技术和设备的升级再造,而是业务流程的重组和利益的再分配,这相当于我们国家的行政体制改革一样,它已经进入到深水区,涉及到体制和利益的调整,制约了一些部门和岗位的自由载量权,有些部门推进的积极性不高,造成业务与IT两张皮,使得地区间、部门间发展不均衡,影响了跨部门、跨地区应用的开展。 IT治理面临的挑战 在IT治理现状中看到中国还处在一个发展阶段,在本次峰会上,各位专家也提到了中国IT治理路上的困难和挑战: 第一,国内外对信息资产的监管目前没有标准,但是对财务的监管是有标准的。 第二,在信息化生命周期的最源头就是IT治理的标准,IT服务管理的标准有了一个非常好的全球最佳的ITIL,从最近几年的发展势头来看,在IT服务领域已经处于了绝对的垄断地位,在这种情况下,中国的企业和中国的政府部门需要基于最佳时间发展出来有中国特色的符合中国企业特点的IT服务管理知识体系和管理规范。 以北京市为例,所有的政府机构共有信息化工作人员789人,这些人员当中,百分之九十以上的人员对运维的国际标准,ITIL和ISO20000表示未听说过。从事运维的人员基本上都没有国际公认的从事运维的上岗证书,就是ITIL的认证。百分之七十一的部门领导认为运维比建设更重要,另外一方面懂运维的人非常少,全市的运维工作大多数是外部企业承担的,共有130多家,外包的能够提供运维工作的有130多家。提供安全管理工作的有30多家,在所有的运维服务企业中,仅有一家拥有ISO20000的证书。百分之八十九的企业集中提供简单的技术设备、网络和系统的运维,这也是一个很大的挑战。 目前每个人都越来越意识到运维工作的重要性,但是这件事情到底应该怎么去干,没有知识体系、没有管理规范去遵循,所以并不知道如何去做? 第三,就是信息化管理的体制和机制层面的障碍导致了以下问题面临着极大的挑战:IT战略与业务战略的融合,IT能力与业务价值去协调,从而核心竞争力使IT投资获得最大的回报。 上述基于IT治理的现状、挑战是否真的如孙强先生所言雷声大雨点小,《I T 经理世界》做了一次小型调查,调查结果表明41%的人根本不知道IT 治理,比较了解IT 治理的受访者不足20%;有60%的人不知道IT 治理和IT 管理之间的区别;仅有1%的调查者参与过IT 治理的实践。从调查报告中可以看出国内的IT治理之路任重而道远。
治理