IT治理十问十答之四——怎样建立动态的IT治理机制?
IT治理是一个系统的过程。IT治理是控制、指导、协调组织战略目标和IT目标的系统,是IT治理主体、客体、IT治理结构、IT治理机制的总称,是内部IT治理、外部IT治理的融合,是IT治理方法、过程、目标与结果的统称,是为了实现IT治理目标所有制度安排与机制的集合。IT治理系统的目标是提供IT决策机制的科学化、决策过程的协调交互性和决策结果的创新性。
首先需要转变观念
拿着IT这样的现代武器,管理者却依旧是满脑袋的传统观念,结果可想而知,因此首先需要转变观念。在最高管理层(董事会)树立和维护IT战略地位的思想认识,建立企业战略与IT战略的互动观念,阐明IT应担当的角色,从业务的视角创造信息技术指导原则,如信息化规划本质上可以定位成从业务战略到信息战略的实现。从组织的战略出发而不是从系统的需求出发,可以避免脱离目标而进行建设的困境。从业务的变革出发而不是从技术的变革出发,有利于充分利用组织的现有资源来满足关键需求,从而避免建设的信息系统无法有效地支持组织的决策。又如利用电子商务消除时间和空间得特性,发展与全球客户的关系,能够引导巩固客户数据库和订单处理过程。
发展外部环境
目前我国外部市场监控机制尚不健全,公司治理结构中的监控职能被严重削弱,并使董事会失去监督。另一方面,风险管理意识淡薄,安全上采用纯粹技术手段解决。缺乏优良公司治理和IT治理机制是一些国内企业与金融机构无法抵御全球经济低靡和无法适应市场环境快速变化的重要原因之一。因此,加强IT治理实质上是一个政府和企业机构必须携手面对的问题。政府必须扮演一个重要的推动角色,并且尤其需要强调的是政府制定规则比较合理的方法是通过听证会或知情会上下协商、交互式地制定规则(非自上而下制定规则的方法,新制式车牌的暂停发放就是没有善治的案例),这样才能解决规则的充分合法性、可执行性问题,“治理不是一种正式的制度,而是持续的互动”(《我们的全球伙伴关系》);鉴于全球化和信息技术的无国界性,尽管在公司治理模式上有英美模式、德日模式、东亚和东南亚模式,但在IT治理上有更大趋同性的发展趋势,因此,从治理(Governance)的角度企业应该采用合乎国际标准的IT治理方法,以促进公司治理、IT治理和经营管理的协调发展。
逐步试行建立IT治理委员会
IT治理委员会与IT审计师是IT治理的最重要环节。IT治理委员会由组织的最高管理层(董事会)及管理执行层包括IT管理和业务管理有关部门负责人、管理技术人员组成,定期召开会议,就企业战略与IT战略的驱动与设置等议题进行讨论并做出决策,为组织IT管理提供导向与支持,把IT治理的相关规范融入到组织的内部控制中。
对于规模较大的组织,一项IT(如安全)控制活动需要多个部门的共同参与才能得以实现,为能迅速解决控制过程出现的问题,防止内部互相推诿的现象发生,提高工作效率,需组成一个跨部门的IT治理委员会,加强全局的管理与流程执行的纪律,解决诸如信息安全事故的调查与处理等一些实际的问题,这是进行IT管理内部协调的很好的办法。
明确规定IT管理过程的责任
职责缺乏或界定不清,最终导致控制得不到有效得实施,形成管理风险。组织最高管理层应确保对管理层、部门、运维人员职责进行规定并形成书面文件。
对信息系统进行独立审计
信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。它综合运用IT技术与审计理论及方法为信息时代信息的使用者提供合理的保证。
在信息时代,组织为预防不良事件的发生必须将其内部控制扩展到信息处理系统的各个方面,包括企业内部网与因特网在内的任何直接或间接影响财务报表或其他至关重要资料的数据或处理系统,因为该系统与包括合作伙伴在内的其他系统有着密切的联系。此外,这些公司还必须对与其互通业务数据的合作伙伴的内部控制系统有信心。在对于经营惯例、交易处理的完整性、信息保护和如何对信息系统的内部控制实施评估和风险管理方面,组织可以通过内部审计或外部审计达到上述目的。
信息系统审计的主要由以下部分组成:
1. 信息系统的管理、规划与组织——评价信息系统的管理、计划与组织方面的策略、政策、标准、程序和相关实务。
2. 信息系统技术基础设施与操作实务——评价组织在技术与操作基础设施的管理和实施方面的有效性及效率,以确保其充分支持组织的商业目标。
3. 资产的保护——对逻辑、环境与信息技术基础设施的安全性进行评价,确保其能支持组织保护信息资产的需要,防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失。
4. 灾难恢复与业务持续计划——这些计划是在发生灾难时,能够使组织持续进行业务,对这种计划的建立和维护流程需要进行评价。
5. 应用系统开发、获得、实施与维护——对应用系统的开发、获得、实施与维护方面所采用的方法和流程进行评价,以确保其满足组织的业务目标。
6. 业务流程评价与风险管理——评估业务系统与处理流程,确保根据组织的业务目标对相应风险实施管理。
IT治理十问十答1.什么是IT治理?
2.IT治理在国内的现状
3.IT治理的目标及解决的问题
4.怎样建立动态的IT治理机制?
5.IT治理和公司治理的关系
6.怎样确定IT治理结构?
7.IT治理架构COBIT
8.IT治理绩效评估
9.IT治理中的信息安全问题(上)
10.IT治理中的信息安全问题(下)
国内外关于“公司治理”的研究热潮始于亚洲金融危机(建立公司治理机制的公司能为其股东制造更高的获利机会,并且得以在金融危机中拥有较高的存活率),目前世界各国和国际相关经济组织例如ADEC,PECC,ADB和WB等都有大量的理论和实践,并在各国极力建议推行公司治理。而“IT治理”开始于1999年下半年的美国,尽管已迅速成为热点,并细分到安全治理领域,但国际上这方面的文献资料非常之少,在加上要切合中国国情,尽管我们从去年年底开始这方面的研究工作,但仍需要克服不少的困难和障碍。当前,业界在总结一些具有典型意义的问题,例如:在IT设备配置水平相近的企业,IT应用水平却相去甚远等,这表明当前这个阶段国民经济和社会信息化已发展到对 “IT治理”有迫切需求的阶段,这要求中国的信息化推动者借鉴和创新。
- 1知识的特性对联盟治理模式的影响研究(AMT研究院 杨赟)
- 2SOX法案:点燃加强IT控制的星星之火
- 3IT治理:中国信息化的必由之道(二)
- 4准时生产技术(JIT)(一)(AMT研究院 张艳)
- 5准时生产技术(JIT)(二)(AMT研究院 张艳)
- 6企业信息流重组模型研究(上)(王能元 霍国庆)
- 7SOX法案:点燃加强IT控制的星星之火Ⅱ
- 8在信息系统项目管理中引入配置管理的机制
- 9管理大讲堂:绩效管理(二)绩效管理在企业中的实施(AMT管政)
- 10企业应借助信息科技优化管治机制
- 11IT组合和项目组合管理
- 12IT治理:领域内全球公认的辅助工具大整合(孙 强)
- 13OA工作流程是行政办公系统的重要组成部分
- 14第三方物流(二)(AMT研究院 张翔)
- 15企业医生照“CT”-企业信息化供应商症候系列(三)(蔡雨阳 李际)
- 16管理大讲堂:虚拟企业(AMT 管政)
- 17IT治理十问十答之三——IT治理的目标及解决的问题
- 18ITIL的最后突破
- 19“非常”IT治理
- 20SOX法案促进IT治理的完善
- 21面对IT治理,需要做些什么?
- 22服务生命周期管理(一)(AMT研究院 周瑛)
- 23以内部流程信息化管理根除公司治理顽疾
- 24IT治理十问十答之一——什么是IT治理?
- 2505年《前沿论从》“项目/治理”知识地图
- 26SOX会计师薪水上涨
- 27虚拟企业长沙OA信息化应该注意的问题
- 28如何识别与规避风险
- 29中小企业如何托管自己的服务器
- 30中国信息化:互联网自由遭遇治理
成都公司:成都市成华区建设南路160号1层9号
重庆公司:重庆市江北区红旗河沟华创商务大厦18楼
