2003-11-03 14:20
IT治理,中国需要吗?
By AMT 管政
2003年5月号《哈佛商业评论》杂志上,尼古拉斯·G·卡尔(Nicholas G.Carr)在一篇题为《IT不再重要》的长文中这样说:“由于信息技术的能力和普及性已经到达成熟阶段,它的战略重要性降低了。公司处理信息技术投资和管理的方式必须彻底变革。”这篇文章引起了业界的强烈反响,全球巨头都投入到这场“IT不再重要了吗”的大讨论中。另外,在国内也展开了一些其他有关IT的讨论,例如信息系统绩效评估、风险控制、信息系统监理、ERP/CRM/SCM/OA等先进信息系统的规划、企业信息中心的变迁等。其中很多讨论没有答案,不过很多人已经把寻求答案的目标归结到信息系统审计与控制上。刚在北京举行的 “中国IT治理论坛暨首届信息系统控制与审计高级研讨会”正是为寻求IT治理的相关问题的答案而召开的。大会以“IT新领域,战略制高点”为主题,参会专家和厂商代表针对中国信息化建设的现状与不足,讨论了中国实施信息系统控制与审计的必要性和紧迫性。大会重点讨论了企业“为什么需要IT治理”、“IT治理是什么”以及“IT治理的国际通用手段和标准有哪些?”。
信息化的可持续发展谈何容易
回顾几年来的发展,“信息化带动工业化、工业化促进信息化”的国家战略已日益深入人心,信息化应用取得了世人瞩目的成就,尤其是在今年,电子政务、企业信息化、电子商务、城市信息化等建设为IT产业发展提供了巨大的市场空间。与此同时,我们也要清醒地认识到,随着信息化建设和应用的深入发展,信息化建设和应用中一些深层次问题,也受到越来越广泛的关注。胡克瑾教授认为:“当前中国的信息化建设的现状特点是:信息系统的大型化、复杂化、多样化、网络化;对信息和信息系统的依赖性日益提高;对信息系统投资规模和成本不断增大;系统脆弱性和威胁范围的加大;对IT相关风险的管理被认为是企业治理的一个主要部分。同时,摆在我们面前的挑战是:信息化给我们带来什么?如何变革迎接挑战?如何充分利用IT资源?如何管理好所依赖的信息与信息平台?如何进行控制把风险降到最低?”
中国的信息化建设如何实现可持续发展,如何提升投资回报?很多人开始考虑IT治理。IT治理这个新领域是以“IT治理”为总框架,涵盖IT审计、信息安全审计、IT服务管理,着重研究IT发展与企业发展在治理结构、企业战略、企业运营管理、风险与价值、成本与控制、审计与监督、服务标准和规范等方面的新问题、新知识和新方法。这些内容势必对未来IT产业的发展、推进信息化建设有着十分重大的意义。陆培炜先生认为:“IT治理的提出,为企业在实现业务目标的同时平衡IT投资和风险方面提供一种机制。为了确保企业能够实现业务目标,实现在风险管理和收益实现间的有效平衡,指导和管理各类IT活动就显得非常迫切。”现在的问题是:如何在中国应用IT治理的辅助手段和标准。
IT治理的四种辅助手段
IT治理的使命是保持IT与业务目标一致,推动业务发展,促使收益最大化,合理利用IT资源,适当管理与IT相关的风险。IT治理的目标将帮助管理层建立以组织战略为导向,以外界环境为依据,以业务与IT整合为中心的观念,正确定位IT部门在整个组织中的作用。这些IT治理的使命和目标的实现需要通过多种辅助手段来实现,目前国际上通行的标准主要有四个:COBIT、ITIL、ISO/IEC17799和PRINCE2。
(1)COBIT
COBIT(Control Objectives for Information and related Technology):即信息系统和技术控制目标。成立于1969年的美国信息系统审计与控制协会ISACA,于1996推出了用于“IT审计”的知识体系COBIT。“IT审计”已经成为众多国家的政府部门、企业对IT的计划与组织、采购与实施、服务提供与服务支持、监督与控制等进行全面考核与认可的业界标准。相应地,“注册信息系统审计师”(CISA)日益成为世界各国发展信息化过程中,争相发展的新兴职业和领域。作为IT治理的核心模型,COBIT包含34个信息技术过程控制,并归集为四个控制域:IT规划和组织(Planning and Organization)、系统获得和实施(Acquisition and Implementation)、交付与支持(Delivery and Support)以及信息系统运行性能监控(Monitoring)。
COBIT 目前已成为国际上公认的IT管理与控制标准。同济大学博士生导师胡克瑾教授认为:“COBIT为3种不同的用户而设计:首先是管理人员,帮助他们在通常无法预测的IT环境中平衡对风险和控制的投资;其次是用户,帮助用户获得由内部或第三方提供的对IT安全和控制服务的保证;再次是IT审计人员,证实他们就内部控制问题向管理部门提出的意见和建议。”
(2)ITIL
ITIL(Information Technology Infrastructure Library):即信息技术基础构架库,一套被广泛承认的用于有效IT服务管理的实践准则。1980年以来,英国政府商务办公室(GOC,原称政府计算机与通信中心)为解决“IT服务质量不佳”的问题,逐步提出和完善了一整套对IT服务的质量进行评估的方法体系,叫做ITIL。2001年,英国标准协会在国际IT服务管理论坛(itSMF)上正式发布了以ITIL为核心的英国国家标准BS15000。这成为IT服务管理领域具有历史意义的重大事件。
ITIL是一套详细描述最佳IT服务管理的丛书。它是一种公共框架、最佳实践框架,服务质量是ITIL的核心。但ITIL只说明了要做什么(what),没有说明如何去做(How),企业应根据需求去参照ITIL框架进行IT服务管理的建设,而不应追求大而全;并且ITIL不是一个理论模型,而是一个最佳实践库。
(3)BS 7799
BS 7799(ISO/IEC17799):即国际信息安全管理标准体系,2000年12月,国际标准化组织ISO正式发布了有关信息安全的国际标准ISO17799,这个标准包括信息系统安全管理和安全认证两大部分,是参照英国国家标准BS7799而来的。它是一个详细的安全标准,包括安全内容的所有准则,由十个独立的部分组成,每一节都覆盖了不同的主题和区域。
由英国标准协会(BSI)编写的信息安全管理体系标准BS 7799-Part 1 (ISO 17799) 及BS 7799-Part 2为各种机构、企业进行信息安全管理提供了一个完整的管理框架。这一套‘姊妹对’标准引导机构、企业建立一个完整的信息安全管理体系,对信息安全进行动态的、以分析机构及企业面临的安全风险为起点对企业的信息安全风险进行动态的、全面的、有效的、不断改进的管理,并强调信息安全管理的目的是保持机构及企业业务的连续性不受信息安全事件的破坏,要从机构或企业现有的资源和管理基础为出发点,建立信息安全管理体系(ISMS),不断改进信息安全管理的水平,使机构或企业的信息安全以最小代价达到需要的水准。保护信息安全,建立信息安全管理体系是机构或企业营运的重要工作之一,尤其是BS 7799-2: 2002是目前最完整的参考依据,它以“计划(Plan)、实施(Do)、检查(Check)、行动(Action)”模式,将管理体系规范导入机构或企业内,以达到“持续改进”的目的。
(4)PRINCE2
PRINCE2(Projects In Controlled Environments)是一种对项目管理的某些特定方面提供支持的方法。PRINCE2描述了一个项目如何被切分成一些可供管理的阶段,以便高效地控制资源的使用和在整个项目周期执行常规的监督流程。PRINCE2的视野并不仅仅限于对具体项目的管理,还盖了在组织范围对项目的管理。
IT治理难点分析
“中国特色的IT治理该如何做?”这个问题是目前IT治理存在的核心问题,到底IT治理在中国是否可行。我们可以列举出若干个有关IT治理的“难点”。
难点1:如何实现COBIT、ITIL、ISO/IEC17799和PRINCE2的整合,构建善治的IT治理机制?
难点2:中国的IT治理有两条路,一是直接应用国外相对成熟的标准,二是借鉴国外的做法建立中国自己的治理标准,中国应该选择哪一条路?
难点3:中国的企业应该最先导入什么标准,以及以后如何逐步导入其他标准?
难点4:中国信息化建设如何解决好核心的技术、流程和人的问题,尤其是流程和人的问题?
难点5:中国怎样借鉴全球著名的“最佳实践”?
难点6:在不完善的公司治理结构的基础上,中国的企业能否以及如何做好IT治理?
难点7:IT治理如何得到政府部门的认可,如何从法律上制定相应的标准?
难点8:第三方审计、第三方监理能否以及如何在中国得到切实的贯彻执行?
难点9:IT治理的过程由谁来负责,又由谁来执行?
难点10:作为上千万家中小企业,该如何导入IT治理?
难点11:中国建立一套国外一百多年前的现在企业制度都那么难,而且做得不伦不类;那么现在讨论IT治理的实施是不是有点不切实际?
这些难点将成为IT治理能否在中国获得进一步发展的关键要素。IT治理这种提法很好,但是如何给中国的企业带来价值并没有明朗。
IT治理,中国需要吗?
中国的信息化的投资回报一直是我们讨论的重要话题之一。有人说,信息化看不出来给企业带来多大价值,有人说,信息化的投资回报是一种软效益,难以量化确定;也有人说,信息化的效益更多地体现为一种隐性效应、长期效应。
从IT治理的使命来看,它是为提升信息化的投资收益率服务的,是为了确保IT战略与企业战略保持更好的一致性,是为了提升IT投资在企业利润贡献中的作用。但分析中国目前信息化建设以及信息中心的现状,谈IT治理,本人认为难度较大。也许现在只能停留在概念形成阶段,还远没有到应用和实施阶段。
作者联系方式:guancrm@163.com