中国信息官CIO精英 前沿视野 经验之谈 职业发展 信息官杂谈 | 产品资讯笔记本 商用电脑 服务器 办公 网络设备 存储设备 软件 显示设备 其他

您当前的位置: 首页 > 信息化治理 > IT综合治理 〉国内企业缺乏IT治理理念和方法论

国内企业缺乏IT治理理念和方法论

2008-03-14 11:15:59

    3月2日下午14点10分,沪深大盘发生异常大跳水,7分钟内上证指数跌去近20点。业内分析人士认为,上证指数的风云突变可能与下午上证所IT系统的故障有关。

  据周刊报道,在当日下午,刚上市的招行认沽权证由于成交量巨大,导致其行情显示时总成交量字段溢出,致使其总成交量显示异常,并使招行权证价格在股票分析软件上成为一条不再波动的直线。这种现象直接导致市场波动,带动股指发生了两波快速下跌。今年全球由于IT系统故障导致金融市场大动荡的现象已经有多起发生。去年末,在短短的40天内,东京证交所由于交易系统软件升级出现问题而导致了两起重大事故。

  IT系统建设的目标是为了支撑业务更好地发展,但是IT系统故障却直接影响了上证和东京证交所的业务正常进行,IT系统背叛了业务目标。

  “各种组织对信息系统的依赖程度在不断增加,更有一些组织若没有IT支撑将不复存在,这导致IT本身已经或潜在成为一个巨大的威胁。”中国IT治理研究中心首席专家孙强说,“随IT而来的风险、利益和机会使得IT治理成为公司和政府治理中很关键的一个方面。”

  IT治理重在事前控制

  北京信息空间文化经济研究院首席顾问苏彤老师在去年的中国公司治理暨IT治理年会上讲过这样一个故事。

  魏文王问名医扁鹊说:“你们家兄弟三人,都精于医术,到底哪一位医术最好呢?”

  扁鹊回答说:“大哥最好,二哥次之,我最差。”

  文王再问:“那么为什么你最出名呢?”

  扁鹊答说:“我大哥治病,是治病于病情发作之前。由于一般人不知道他事先能铲除病因,所以他的名气无法传出去,只有我们家里的人才知道。我二哥治病,是治病于病情刚刚发作之时。一般人以为他只能治轻微的小病,所以他只在我们的村子里才小有名气。而我扁鹊治病,是治病于病情严重之时。一般人看见的都是我在经脉上穿针管来放血、在皮肤上敷药等大手术,所以他们以为我的医术最高明,因此名气响遍全国。”

  “这个为人熟知的故事讲了一个很浅显的道理——事后控制不如事中控制,事中控制不如事前控制。可惜大多数的事业经营者均未能体会到这一点,等到错误的决策造成了重大的损失才寻求弥补。弥补得好,当然是声名鹊起,但更多的时候是亡羊补牢,为时已晚。”苏彤评论说,“这正是IT治理意味深长的地方!”

  根据美国IT治理协会的定义,IT治理是“一种引导和控制企业各种关系和流程的结构,这种结构安排旨在通过平衡信息技术及其流程中的风险和收益,增加价值以实现企业目标。”中国IT治理研究中心在综合研究的基础上提出如下定义:IT治理用于描述企业或政府是否采用有效的机制(就是为鼓励IT应用的期望行为而明确决策权归属和责任承担的框架),使得IT的应用能够完成组织赋予它的使命,同时平衡信息技术与过程的风险、确保实现组织的战略目标。 “治理和管理的区别就在于:治理是决定由谁来进行决策,管理则是制定和执行这些决策。”孙强说,“这是一个硬币的两面,谁也不能脱离谁而存在。”IT管理是公司的信息及信息系统的运营,确定IT目标以及实现此目标所采取的行动;而IT治理是指最高管理层(董事会)利用它来监督管理层在IT战略上的过程、结果和联系,以确保这种运营处于正确的轨道之上。

  萨班斯法案需要善治型CIO

  在美国安然公司的财务丑闻发生之后,美国政府颁布了萨班斯法案,这部法案也被称为自罗斯福以来美国商业界影响最为深远的改革法案。这个法案对整个公司管理层对内控体系和信息披露提出了严格的要求。并且针对要求提出了监管和惩罚的措施。总体来说,萨班斯法案是从公司会计的流程角度出发的,为什么会涉及到信息系统呢?毕博管理咨询(大中国区) 总经理迟邦劳指出,目前越来越多的企业依靠信息系统支撑业务运作,而信息系统里面存在相应的风险,所以就要建立一个信息系统的控制体系。萨班斯法案就是要求财务报表的准确性,财务报表靠业务流程,而业务流程又是由信息系统支撑的。信息系统总体控制是针对信息系统共性的内容,比如说所有的信息系统都要有相应的数据库和服务器。对这些总体控制是不是能够达到相关要求,也需要对信息系统做一些相关的控制。

  法案中对企业影响最大的是302和404两个条款。302条款主要是要求企业的高管签署对企业重要事情不存在遗留。404条款要求企业管理层对企业必须建立一个有效的内控体系,并且对内控体系要进行评估。评估内容包括:

  公司数据的完整性受到公司IT控制的充分性影响;

  公司交易从交易开始、记录、处理到报告全程应用IT;

  加快并支持财务报告的IT控制;

  IT控制有效性记录与评价的要求;

  IT一般控制与应用控制;

  利用IT自动记录并监控控制制度的执行。

  孙强指出:“萨班斯法案要求CIO必须成为管理控制专家,不仅要参与到公司治理领域,以使IT与业务战略从治理到管理再到执行层面始终保持精确校准,还要在完善内部控制和全面风险管理体系中发挥作用。”

  

投稿邮箱:cio114@foxmail.com