IT治理目前已经成为很多大规模企事业单位信息化建设过程当中必不可少的环节。
中培伟业《企业信息化审计与治理管控 IT4IT》培训专家张老师指出,目前很多企业都已经采用多种不同的方式实施了IT治理。在某些情况下,IT治理同IT战略、IT政策或者IT管理实践等等这些以前使用的概念没有什么明显的不同。虽然有企业声称已经实施了IT治理,但从方法论上说,其实都是基于不同的角度,各有侧重,也各有弱点。在这里,我们试图提出一种基于不同视角、不同治理力度之上的IT治理模型。
公司治理的角度
当今的公司治理是以责任为焦点的、自上而下的一种治理结构。 如果企业不能积极参与并提供董事会作出决策所必需的信息的话,那么指望获得很好的风险回报的努力也是注定要失败的。但在传统上,信息只会在企业内部的IT部门之间流动,董事会获取信息的能力有限。
总经理是股东指定的企业掌舵人。他除了需要履行一系列的职责之外,还要公开地表明必须满足不同类型的利益相关人的期望。用信息技术术语来说,总经理一个关键角色职责是要确保公司具有一个完善的内控系统。近年来,尽管很多总经理个人对信息技术的使用都很适应,但是他们很少具备管理信息技术方面的经验。
一旦IT风险降临,在掌舵人和水手之间产生的“误解的旋涡”就可能会造成非常不幸的后果。在湍急的水流中—正如IT界经常发生一样—这种情况是非常危险的。
走出这种困境的唯一可行的办法是要求那些对信息技术内行的经理们能够做些改变,运用明确的语言,高超的表达技巧,把IT对业务的完整含义准确表达出来。总经理们也需要学习新的知识和技能,使他们提出来的问题更有智慧,同时也能让独立顾问们设法提升他们的知识和技能,从而在信息技术重重迷雾中找出问题的真相。
接下来,更重要一步是要求总经理们能够在董事会及其附属的委员会中的议事日程中把IT治理的优先级提高到更恰当的位置,花更多一点的时间使企业的IT工作走在正确的道路上。
投资者的角度
全世界的投资者都希望能选择并管理一个好的投资组合以获得合理的回报,条件是较长时期内不会因为风险造成资金损失。在同样的规则下,IT该如何管理呢?
商业上可能会把IT活动看成一项投资,期望在其整个的投资周期里都能获利。确实,在一项IT投资的整个周期里,与IT相关的风险特性会发生改变。而采用一套IT相关风险管理的综合性方法可以在某些方面保持开发费用与开发风险之间的微妙平衡,同时也可以使运作成本与其他风险之间取得平衡
合规性的角度
在很多机构,合规管理部门会尽量避免让人感觉自己置身事外,只会指指点点,要求别人“你要如何如何”这样的印象。合规经理常常会找出并鼓励采用“最佳的”或者“领先的”实践,参照外部的参考模型或标准,制订超前性的内部政策和具有“自我约束性”的规章。
对IT管理而言,合规同遵从标准、获得认证的过程类似。多年来,为了证明IT服务供应商的能力,很多机构要求IT服务供应商在某种程度上遵守并维持同一系列的标准之间、某些时髦技术之间以及某些流行技术之间的一致性。
企业范围的风险管理的角度
在企业的全范围内,实施普遍性的风险管理理念勾勒出了一幅未来IT风险管理的蓝图。企业风险政策和过程将会扩展并应用到IT风险领域,为它描述了一条清晰的基线。收录在风险管理标准里,通用的风险管理过程只要少许调整就可以直接运用于IT范畴—例如,风险的识别、潜在影响评估及风险可能性等等。
为了使IT风险管理取得切实的成效,还有必要对风险管理视角做某些优化。信息技术失效所造成的后果,通常最严重的恐怕要算是对业务构成的影响了。衡量信息技术诸多方面的指标,过去大多采用相对单一的方式,而不是使用更严格的定量分析。而原因与结果之间的关系又往往非常复杂,难于分析和理解。IT风险自身的特点也决定着很难把它同业务绝对地分开。这种特点造成难以对IT风险进行定价,也难以实现IT风险的转移。同时,随着技术的进步,IT风险自身也在持续地快速发展。
主要的难题在于定量和定性两种技术之间如何取得平衡。IT风险最好能同业务综合在一起—而不是让IT独自承担IT功能的全部责任—尤其是处在形式多样而又变化迅速的IT风险环境下。
审计与控制的角度
通过对机构业务流程实施彻底的审计,尤其是对那些构成机构财务报告基础的文档和记录的审计,审计师就可以为机构的风险管理作出巨大贡献了。对于实体货物或财务资源审计过程主要考察三个方面的内容,即可靠性、完整性和有效性。对审计过程自身而言,很自然地会有一种反应,倾向于审计流程仅仅运用于已存在的过程和程序。和冗长的流程间审计相比,同样冗长的内部审计让人感受到了更多的信赖。
工程和系统的角度
从工程和系统视角出发,我们可以发现系统(机构)中可能存在的一些“单点故障”,也能发现诸如协同、接口等方面的问题。由于是以比较坚实的系统论为理论基础的,因而在这种视角里包含了诸如反馈、纠错和适应性行为等等一些基本要素。
纯粹采用“系统”视角从概念上越来越难以对“系统”作出解释。从“工程”视角出发,反而越来越容易理解一个“系统”。因此,对很多机构来说,很少用“系统”来描述什么,反而所谓“项目”、“过程”的观点可能更适用些。在业务运作的过程里面,如果应用系统处在中心地位的话,那么把IT风险评估同单一的、定义清晰的IT应用关联起来可能更有意义。
生命科学、生物学和生态学的角度
同其他定义良好的系统相比,知识管理系统很好地表现出了自然系统的特征,同时也为IT治理带来了新的挑战。从生物学视角出发,有助于解决一些系统的病态结构问题,比如电子邮件系统、电话系统和即时信息系统等等。
在实施IT治理过程中,每一个视角都会为我们带来独特的贡献。要想实现更有效的管理,我们在综合利用这些贡献的同时,应该尽力避免受到它们的局限。