中国企业的IT治理和风险管理的现状

日期: 2009-01-23 来源:TechTarget中国 英文

  驾驭IT风险、护航业务创新这个话题我想主要从三方面展开,我们主要去看我们今天所面临的现状,我们的问题和挑战在哪里?针对这样的问题和挑战我们给出的对策是什么?在这样一个环境中,现状、挑战和问题都是一一对应的。

  现状之一就是政府和监管机构正在不遗余力地出台大量合规的要求,所以在2001年的时候,我们可以认为在信息产业的发展上以及人类的历史上出现了一个分水岭,此后的年代我们称之为合规的年代。在这样的背景下,所有各方都是在治理和内部控制方面寻找更大的保障。另外一个现状是我们会看到在法规的遵从上不存在折衷与妥协,比如我们的企业要上一套ERP系统,高管层基于业务需求各方面的判断有可能同意有可能不同意,但是在外部的法律法规问题上没有讨价还价的余地,这成了非常大的时代特征。我们会看到有一些上市公司,包括中国最早去美国上市的,也是基于合规成本太高昂等等一些原因就从美国资本市场上摘牌了。除了国外中国的政府和监管机构出台了一系列在合规方面的法律法规的要求。

  现状之二是我们会看到在中国的政府部门和企业的信息化建设正在大规模地进行,进入到整合应用和加强IT运维服务管理为主要特征的运行维护阶段,也就是在10多年大规模建设的阶段正在从建设阶段向建设与应用并重以及与应用和运行维护主要特征这样一个阶段转型。第二个现状就是治理型的运维管控体系成为IT服务管理的发展趋势,这点我们看的很明显。治理型的IT服务管理,至少有以下几个特征:

  第一个特征就是高层一定要参与进来,高层要意识到它要对业务的可持续,IT如何为业务交付价值负责任。第二个特征是我们再去做像IT服务管理的项目,不会像此前那样上一套软件设计一套管理流程,现在变成一种新的模式,这种模式就是首先我们要决定我们IT治理的模式,基于IT治理模式决定我们管理的模式,比如这种管理模式有可能是集中的运维的管理模式。基于这种管理模式会决定我们的管理体系,比如流程的管理体系、规章制度的管理体系、绩效的管理体系、运维费用的管理体系、技术体系等等。在确定了管理体系之后,才会确定我们的技术体系,也就是说把以前第一步就做的工作现在放到最后一步。因为我们确定技术选型的方案再确定我们选用哪一家公司的软件产品。这是IT服务管理在这个时代的显着的特征。

  在去年北京市电子政务的发展阶段有这样一个调查,这个调查表明北京市的电子政务的发展总体已经进入到深化应用和加强IT运维服务管理为主要特征的运行维护阶段,这里有一些数据,从2001年2007年上半年投到运维上的资金始终保持高速增长,运维费比2006年同比增加了10%、2007年同比增加20%,2008年初步预算增长约46%,并且在这张图上我们可以看到,我们用蓝色表示的是建设资金,蓝色在2007年的时候建设资金在持续攀升之后终于出现下降的趋势。

  现在越来越多的采用外包,信息化的建设在2000年之前有很多还是由甲方自行地开发。2007年去看的时候,基本上100%的建设、开发全部是外包的,这是由社会专业服务机构来提供的,运行维护这块,我们看一下这块的比例,大概也有超过59%是由社会外包来承担的。

  治理的五大领域成为关注焦点:第一,IT与业务战略的融合,这是非常大的挑战。应该说这是一个系统的问题,系统的问题按照中国文化来讲就是要用系统的方法来解决。第二,价值交付。第三,资源管理。第四,风险管理。第五,绩效管理。所有的这些都是为了统一的目标,就是提升我们的竞争优势,构筑我们中国企业的核心竞争力。现在突然出现了很多新的概念,很多的企业就搞不明白,他们会问:IT治理跟风险管理、跟内部控制、跟信息安全跟内部审计、外部审计是什么关系?是不是IT治理的工作就要由高管层去做,包括利益相关者?风险管理部门有风险管理的部门,内控有内控的部门,审计有审计的部门。因为这些东西在历史上的起源是各不相同的,它经历了不同的发展历程,但是在进入到信息社会之后,我们的企业在信息社会的条件下,这些概念开始融合了,比如风险管理方面,风险方面在原始社会,当时的人为了规避自然的灾害——雷电、风雨,他们躲到洞里面就视为风险管理的起源。其实风险管理在70年代的时候只用于保险行业,在出现了大规模的分布式、网络化的信息技术条件下这些概念开始融合了。

  在未来我们可以看到,这些东西会变成一回事,因为它本质上都是服务于企业这一相同的目标,比如企业合规的目标,企业运营管理的效果和效率目标。现在我们不能把它看成IT治理就是基于高管层负责,风险管理由风险部门负责,企业里面还有信息安全的部门,他们觉得风险管理跟我没关系,我是做信息安全的,如果有这样的认识偏差会导致我们实际工作中无所适从。

  现状之三就是信息化管理机制问题成为制约信息化快速发展的主要障碍之一。应该看到,现在我们国家的信息化建设要做的工作不是信息技术和设备的升级再造,现在它变成了业务流程的重组和利益的再分配,它变成了不是一个纯技术的事情了。这相当于我们国家的行政体制改革一样,它已经进入到深水区,涉及到体制和利益的调整,制约了一些部门和岗位的自由载量权,有些部门推进的积极性不高,造成业务与IT两张皮,使得地区间、部门间发展不均衡,影响了跨部门、跨地区应用的开展。现在电子政务的提法会在国内某些地区引起误区,我们应该提电子政务的提法,如果要提电子政务的话,每个部门就势必会想我要为我的业务做出一套系统出来,这样的话就会派生出很多的应用系统出来,事实上我们现在要建设的是服务型政府,包括企业也一样,最终是要为客户交付价值。我们去看CIO的缺失应该是缺乏IT治理的概念,在中国只有极少数的企业里面设立了CIO的制度。CIO不是在中国可以随随便便就可以开展的工作,但是我们还有一些创新的做法,比如在一些企业里面,并没有进入到高层的或者进入到常委、党组成员这样层级的CIO里面,但是它可以做覆盖信息化生命周期管控流程,通过明确这些管控流程,负责人巧妙地解决CIO如何协调各个职能部门处理跨部门的业务流程整合与创新的问题。这样会给我们一个思路,我们可以用创新的方法去破解关键之坎、制度之坎和体制之坎。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • 影子IT攻坚战 CIO还要学会更多

    企业高层们正在努力研究如何应对影子IT时代,IT转型领导者PA咨询公司精益生产专家Derek Lonsdale认为,为了减少影子技术的使用,尽量缩小由此造成的扰动,集中式IT部门有三项主要任务。找出这些任务,并收听解决这些问题的建议。  

  • 专家:有多少云计算风险可以避免?

    IT服务供应商CDW公司的云技术专家Stephen Braat,日前分享了他对于云计算风险管理的看法。

  • CIO如何构建云服务管理框架?

    云风险管理最重要的不在于云服务提供商本身,而是大企业缺乏一种针对云计算的统一框架。诸如数据隐私和安全等技术相关的云计算风险本身就处于快速的变化中,即使技术本身也因服务或提供商的不同而存在显著区别。

  • 不能忽视的工作场合隐私保护

    一个机构又该如何平衡保护个人隐私与满足某种调查目的而需要查看个人隐私之间的关系呢?TechTarget 执行编辑Linda Tucci将为我们带来她的见解。