如何借助IT手段来实现整个企业内部管理的精确化,将公司内部的管控建立在规范化、标准化、低成本和零风险的基础上?以上问题一直是困扰电信企业CIO和CEO的难题。
不久前北京移动发生的网上盗窃通信公司资费案,暴露出信息监控的薄弱,这正反映了企业在IT精确化治理上的缺失。北京移动的这次事件正反映了中国电信运营商在完善信息系统审计机制,建立事前预防控制、事后检查控制等细节上问题。为什么信息安全事件在信息化建设水平领先的电信行业屡屡发生?信息安全风险评估作为企业IT治理和内控的重要一环,怎样才能落到实处?对于在信息化建设方面如火如荼的运营商,要解决这些问题显然还任重道远。其实,信息安全暴露的问题只反映了企业IT治理严峻形势的冰山一角。
问题重重
在6月28日由《通信产业报》主办的“第三届中国电信业信息化论坛”上,IT管理的近景与远景已清晰的为我们呈现出来。在此次以“IT战略与电信运营转型创新”为主题的信息化论坛上,众多信息化资深专家都表达了对电信企业IT管控水平的担忧。在信息化建设重心之一的IT管控领域,还存在众多虽然没有安全问题那样“惊心动魄”,却会在潜移默化中销蚀运营商竞争力的管理隐患。
在运营收入的管理层面,因为现有系统和设备的原因存在严重的数据流失,而对于收入管理来说,数据的流失就意味着收入统计的巨大误差。而在IT项目投资的整体运做和管理方面,还没有形成一套结合成本因素的有效评估机制,这也为运营商的领导层和IT负责人带来了很多困扰。
对此,毕博咨询通信与媒体部经理汪鑫表示,运营商作为上市公司,如何使集团公司的IT战略真正满足集团的总体战略同时兼顾省公司的发展目标?如何在管理框架的合理性和实施的有效性上寻找平衡?这些都将是IT项目投资管理必须克服的难题。
和收入保障、IT投资管理等局部性问题相比,更为紧迫的是,在全局泛围内,目前还没有形成一种重视信息化评测的良好氛围。国家信息化测评中心常务副主任胡建生指出,“随着信息化应用的不断深入,如果企业不能对自身的信息化水平达到‘量化’级的了解,就是为企业发展埋下了巨大的风险隐患。”“千里之堤,毁于蚁穴”。不难看出,IT系统管控领域各种局部的“内伤”正潜移默化销蚀着运营商的竞争力,并且成为孕育各种突发危机的温床。
不久前,国家颁布了《2006━2020年国家信息化发展战略》,把大力推进信息化作为覆盖我国现代化建设全局的战略举措。而要真正实现国家的信息化战略,电信企业必须发挥龙头作用和带动作用。电信企业要实现自身的历史使命,提升企业自身的IT管控水平则成为首当其冲的选择。
各个击破
虽然在信息化建设方面存在很多问题和挑战,但“方法总比问题多”。在此次信息化论坛上,ITGov中国IT治理研究中心主任孙强认为,“要构建和完善IT治理的机制,必须把公司治理、全面风险管理与其相结合。”要实现有效的IT治理,在制定目标时,必须结合IT原则、架构、IT基础设施、IT商业应用和IT投资综合考虑,同时在组织上保障决策的制定和监控。
德勤企业风险管理服务经理薛梓源表示,为了应对萨班斯等一些国际法案对企业内控提出的更高要求,必须加大信息系统在总体控制方面的责任,在信息系统对管理流程的介入程度上,采取自上而下的基于风险管理的分配原则,尽量缩减成本,同时实现内控的合理化。实现流程和控制的集中化,建立一个好的集中身份管理措施和授权措施,以及加强包括用户身份、网络安全、系统安全在内的保护措施都是建立好的管理流程的要素。薛梓源在发言中还提到了结算和维护等内部系统,这些系统会对财务报告产生非常重要的直接或间接影响,特别是对于电信运营商,因其业务的庞大,更应该把这些财务相关的系统纳入内部控制体系建设,防止相关漏洞的发生。
网友评论