前几日，沪深大盘发生异常大跳水，7分钟内上证指数跌去近20点。业内分析人士认为，上证指数的风云突变可能与下午上证所IT系统的故障有关。

　　据悉，在当日下午，刚上市的招行认沽权证由于成交量巨大，导致其行情显示时总成交量字段溢出，致使其总成交量显示异常，并使招行权证价格在股票分析软件上成为一条不再波动的直线。这种现象直接导致市场波动，带动股指发生了两波快速下跌。今年全球由于IT系统故障导致金融市场大动荡的现象已经有多起发生。去年末，在短短的40天内，东京证交所由于交易系统软件升级出现问题而导致了两起重大事故。

　　IT系统建设的目标是为了支撑业务更好地发展，但是IT系统故障却直接影响了上证和东京证交所的业务正常进行，IT系统背叛了业务目标。

　　“各种组织对信息系统的依赖程度在不断增加，更有一些组织若没有IT支撑将不复存在，这导致IT本身已经或潜在成为一个巨大的威胁。”中国IT治理研究中心首席专家孙强说，“随IT而来的风险、利益和机会使得IT治理成为公司和政府治理中很关键的一个方面。”

　　IT治理重在事前控制

　　根据美国IT治理协会的定义，IT治理是“一种引导和控制企业各种关系和流程的结构，这种结构安排旨在通过平衡信息技术及其流程中的风险和收益，增加价值以实现企业目标。”中国IT治理研究中心在综合研究的基础上提出如下定义：IT治理用于描述企业或政府是否采用有效的机制(就是为鼓励IT应用的期望行为而明确决策权归属和责任承担的框架)，使得IT的应用能够完成组织赋予它的使命，同时平衡信息技术与过程的风险、确保实现组织的战略目标。 “治理和管理的区别就在于：治理是决定由谁来进行决策，管理则是制定和执行这些决策。”孙强说，“这是一个硬币的两面，谁也不能脱离谁而存在。”IT管理是公司的信息及信息系统的运营，确定IT目标以及实现此目标所采取的行动；而IT治理是指最高管理层(董事会)利用它来监督管理层在IT战略上的过程、结果和联系，以确保这种运营处于正确的轨道之上。

　　萨班斯法案需要善治型CIO

　　在美国安然公司的财务丑闻发生之后，美国政府颁布了萨班斯法案，这部法案也被称为自罗斯福以来美国商业界影响最为深远的改革法案。这个法案对整个公司管理层对内控体系和信息披露提出了严格的要求。并且针对要求提出了监管和惩罚的措施。总体来说，萨班斯法案是从公司会计的流程角度出发的，为什么会涉及到信息系统呢?毕博管理咨询(大中国区) 总经理迟邦劳指出，目前越来越多的企业依靠信息系统支撑业务运作，而信息系统里面存在相应的风险，所以就要建立一个信息系统的控制体系。萨班斯法案就是要求财务报表的准确性，财务报表靠业务流程，而业务流程又是由信息系统支撑的。信息系统总体控制是针对信息系统共性的内容，比如说所有的信息系统都要有相应的数据库和服务器。对这些总体控制是不是能够达到相关要求，也需要对信息系统做一些相关的控制。

　　法案中对企业影响最大的是302和404两个条款。302条款主要是要求企业的高管签署对企业重要事情不存在遗留。404条款要求企业管理层对企业必须建立一个有效的内控体系，并且对内控体系要进行评估。评估内容包括：

　　公司数据的完整性受到公司IT控制的充分性影响；

　　公司交易从交易开始、记录、处理到报告全程应用IT；

　　加快并支持财务报告的IT控制；

　　IT控制有效性记录与评价的要求；

　　IT一般控制与应用控制；

　　利用IT自动记录并监控控制制度的执行。

　　孙强指出：“萨班斯法案要求CIO必须成为管理控制专家，不仅要参与到公司治理领域，以使IT与业务战略从治理到管理再到执行层面始终保持精确校准，还要在完善内部控制和全面风险管理体系中发挥作用。”

　　IT治理 理顺IT

　　在萨班斯法案的强制要求下，受到该法案制约的各家上市公司纷纷把公司治理和IT治理提上日程，并且已经基本建立了对信息化的管控体系，收到了很好的效果。据孙强介绍，具有出众IT治理的企业其资产回报率要比那些治理低下的企业高出20%，并且有效的IT治理是唯一也是最重要的使组织从IT上获得价值的途径。

　　就国内企业来说，IT治理做得比较好的企业仍然集中在电信和金融服务两大行业，比如中国移动、中国网通、工商银行和建设银行等，纷纷在保持信息化战略目标与业务目标一致、合理利用信息资源、控制信息化相关风险的前提下，建立信息化管控体系，促使集团收益最大化。孙强还详细介绍了某省通信分公司在 IT治理方面的成功经验，该公司处于转制的关键时期，提升企业的核心竞争力、实现“经营以利润为中心，流程以客户为中心”的机制转变迫在眉睫。为了应对这种转变，该公司认识到必须加强企业内部信息化管理，提高内部运作效率。该公司为信息化管控体系设立了三个主要目标：

　　第一、保持信息化战略目标与业务目标一致。根据公司的指示精神，结合公司实际情况，成立专门的信息化工作部门负责信息化工作的统筹安排、协调和提出重大决策意见。规范信息化管理工作，开展规范、有序的规划工作，明确本公司信息系统的实施路线。从而将企业的业务目标和信息化战略目标的信息需求和功能需求整合起来，形成总体的信息化管控体系框架和系统整体模型。

　　第二、合理利用信息资源。通过信息化管控体系对信息资源的管理职能进行有效管理和对业务流程中的资源合理利用。结合公司实际情况，逐步统一信息系统规划的原则、架构、接口、数据、安全等重点问题，实现公司规划与集团公司规划的互动和相互补充。并在充分考虑支撑成本、支撑效果、风险规避等因素的基础上，向以自我支撑为主、外包为辅的支撑方向发展，逐步建立一支高水平的、相对稳定的信息化支撑队伍，同时不断提高自我支撑能力和支撑范围。

　　第三、控制信息化相关风险。通过风险管理方法规避企业发展过程中的信息化相关风险。在建立信息化管控体系的基础上，进行信息化能力评价的试行工作，确定能力指标的现状值；根据业务目标，明确能力指标的目标值。同时，制定信息资源的保护级别，强调关键的信息技术资源，有效实施监督控制和事故处理等方法。初步改变目前信息系统工程超期、信息化客户需求没有满足、信息化平台不支持业务应用等现状，进而保证投资的回收并支持决策、改善管理效率。

　　该公司的信息化管控树立以组织战略为导向，以外界环境为依据，以业务与信息化整合为重心的观念，正确定位信息化部门在整个企业组织中的作用。具体包括：

　　建立该通信公司信息化管控体制，制定涉及信息化工作的部门的岗位智能，确定信息化建设周期定义各个阶段的流程，并针对各阶段不同的管理水平和能力建立成熟度指标，确定各阶段的关键成功因素和关键绩效指标，然后梳理信息化建设所涉及的各个部门的关系，将各阶段管控流程细化到岗位角色。并且通过分析公司的业务流程，将信息化管控体系划分为信息化规划、信息化实施、运行和评估四个阶段。

　　IT治理水平决定IT应用层次

　　此前有媒体报道，2003年，新华人寿信息技术中心二部主任周建军到日本考察保险公司的信息化建设，他惊讶地发现，日本的许多保险公司采用的IT技术从主机到操作系统、数据库，甚至是一些开发工具都是老掉牙的，而就是这些老掉牙的系统却支撑着这些百年老店成熟的业务运作，有条不紊。统计显示，2003年中国保险行业在 IT技术上的投入约为13亿元，2004年这个数字达到了30.9亿元。为了应对大举进入中国的外资保险公司的挑战，国内保险公司纷纷采购最新的软件和硬件系统，这些系统和设备的先进程度已经超过了一些国外保险巨头的IT软硬件。但是，有着“飞机大炮”的国内保险企业为何仍然逊色于“小米加步枪”的国外巨头呢?IBM公司的张烈生先生曾经说：“所有把落后归咎于技术的人，都是在逃避一个事实：认识上的落后和管理上的无能”。

　　孙强说，国内IT治理水平的好与差造成了IT应用层次的差异。之所以在技术上更先进更成熟的一些国内企业，在业务上落后于竞争对手，从IT治理的角度来看，技术的竞争已经超越了有与无的层面，进而甚至超越了抢夺技术最早占有权的层面，体现在业务和技术管理能力上的对抗。事实上我国信息化目前所处阶段缺乏的并不是先进的技术与设备，而是IT治理的理念和方法论。