IBM 在北京举办2008 IT 治理与风险管理论坛。本届论坛主题为“驾驭 IT 风险,护航业务创新”。ITGov 中国 IT 治理研究中心主任兼首席专家孙强在大会上作了《中国 IT 治理和风险管理现状、挑战和对策》主题报告。以下为报告全文:
各位领导、各位嘉宾,女士们、先生们上午好。很高兴有这样一个机会就IT治理与风险管理我们在这些方面的研究成果与各位交流。
刚才会议一开始我们首先看了一部大片,这部大片不禁使我想起了六百年前我们伟大的先人——郑和曾经七下西洋,累计率领着上百艘的舰队以及上万人组成的庞大规模的舰队。在十四世纪的时候风险最大是在海洋上面。我们至今都没有搞明白在这样一个由数百艘、数万人组成的庞大的舰队里面,又没有今天的通讯手段,他们用什么方法达成郑和的业务目标的,这件事情至今我们没有想明白。但是至少表明了在六百年前郑和七下西洋的壮举,彰显了中国卓越的风险管理与控制的能力,作为一位中国人,今天我们非常有信心与各位探讨一下驾驭IT风险、护航业务创新这样的话题。
这个话题我想主要从三方面展开,我们主要去看我们今天所面临的现状,我们的问题和挑战在哪里?针对这样的问题和挑战我们给出的对策是什么?下面演讲的内容,现状、挑战和问题都是一一对应的。
现状之一就是政府和监管机构正在不遗余力地出台大量合规的要求,所以在2001年的时候,我们可以认为在信息产业的发展上以及人类的历史上出现了一个分水岭,此后的年代我们称之为合规的年代。在这样的背景下,所有各方都是在治理和内部控制方面寻找更大的保障。另外一个现状是我们会看到在法规的遵从上不存在折衷与妥协,比如我们的企业要上一套ERP系统,高管层基于业务需求各方面的判断有可能同意有可能不同意,但是在外部的法律法规问题上没有讨价还价的余地,这成了非常大的时代特征。我们会看到有一些上市公司,包括中国最早去美国上市的,也是基于合规成本太高昂等等一些原因就从美国资本市场上摘牌了。除了国外,中国的政府和监管机构出台了一系列在合规方面的法律法规的要求。
现状之二是我们会看到在中国的政府部门和企业的信息化建设正在大规模地进行,进入到整合应用和加强IT运维服务管理为主要特征的运行维护阶段,也就是在10多年大规模建设的阶段正在从建设阶段向建设与应用并重以及与应用和运行维护主要特征这样一个阶段转型。第二个现状就是治理型的运维管控体系成为IT服务管理的发展趋势,这点我们看的很明显。治理型的IT服务管理,至少有以下几个特征:
第一个特征就是高层一定要参与进来,高层要意识到它要对业务的可持续,IT如何为业务交付价值负责任。第二个特征是我们再去做像IT服务管理的项目,不会像此前那样上一套软件设计一套管理流程,现在变成一种新的模式,这种模式就是首先我们要决定我们IT治理的模式,基于IT治理模式决定我们IT管理的模式,比如这种管理模式有可能是集中的运维的管理模式。基于这种管理模式会决定我们的管理控制体系,比如流程的管理体系、规章制度的管理体系、绩效的管理体系、运维费用的管理体系、技术体系等等。在确定了管理体系之后,才会确定我们的技术方案,也就是说把以前第一步就做的工作现在放到最后一步。因为我们确定技术选型的方案再确定我们选用哪一家公司的软件产品。这是IT服务管理在这个时代的显著的特征。
我们去年在某省有这样一个电子政务调查,这个调查表明该省的电子政务的发展总体已经进入到深化应用和加强IT运维服务管理为主要特征的运行维护阶段,这里有一些数据,从2001年2007年上半年投到运维上的资金始终保持高速增长,运维费比2006年同比增加了10%、2007年同比增加20%,2008年初步预算增长约46%,并且在这张图上我们可以看到,我们用蓝色表示的是建设资金,蓝色在2007年的时候建设资金在持续攀升之后终于出现下降的趋势。
现在越来越多的采用外包,信息化的建设在2000年之前有很多还是由甲方自行地开发。2007年去看的时候,基本上100%的建设、开发全部是外包的,这是由社会专业服务机构来提供的,运行维护这块,我们看一下这块的比例,大概也有超过59%是由社会外包来承担的。
IT治理的五大领域成为关注焦点:第一,IT与业务战略的融合,这是非常大的挑战。应该说这是一个系统的问题,系统的问题按照中国文化来讲就是要用系统的方法来解决。第二,价值交付。第三,资源管理。第四,风险管理。第五,绩效管理。所有的这些都是为了统一的目标,就是提升我们的竞争优势,构筑我们中国企业的核心竞争力。现在突然出现了很多新的概念,很多的企业就搞不明白,他们会问:IT治理跟风险管理、跟内部控制、跟信息安全跟内部审计、外部审计是什么关系?是不是IT治理的工作就要由高管层去做,包括利益相关者?风险管理部门有风险管理的部门,内控有内控的部门,审计有审计的部门。因为这些东西在历史上的起源是各不相同的,它经历了不同的发展历程,但是在进入到信息社会之后,我们的企业在信息社会的条件下,这些概念开始融合了,比如风险管理方面,风险方面在原始社会,当时的人为了规避自然的灾害——雷电、风雨,他们躲到洞里面就视为风险管理的起源。其实风险管理在70年代的时候只用于保险行业,在出现了大规模的分布式、网络化的信息技术条件下这些概念开始融合了。
在未来我们可以看到,这些东西会变成一回事,因为它本质上都是服务于企业经营的效率、效果、合规这一相同的目标。现在我们不能把它看成IT治理就是基于高管层负责,风险管理由风险部门负责,企业里面还有信息安全的部门,他们觉得风险管理跟我没关系,我是做信息安全的,如果有这样的认识偏差会导致我们实际工作中无所适从。
现状之三就是信息化管理机制问题成为制约信息化快速发展的主要障碍之一。应该看到,现在我们国家的信息化建设要做的工作不是简单信息技术和设备的升级再造,现在它变成了业务流程的重组和利益的再分配,它变成了不是一个纯技术的事情了。这相当于我们国家的行政体制改革一样,它已经进入到深水区,涉及到体制和利益的调整,制约了一些部门和岗位的自由载量权,有些部门推进的积极性不高,造成业务与IT两张皮,使得地区间、部门间发展不均衡,影响了跨部门、跨地区应用的开展。现在电子政务的提法会在国内某些地区引起误区,我们应该提电子政府的提法,如果提电子政务的话,每个部门就势必会想我要为我的业务做出一套系统出来,这样的话就会派生出很多的应用系统出来,事实上我们现在要建设的是服务型政府,包括企业也一样,最终是要为客户交付价值。我们去看CIO的缺失从IT治理的高度看是致命的缺陷,在中国只有极少数的企业里面设立了CIO的制度。CIO不是在中国可以随随便便就可以开展的工作,但是我们还有一些创新的做法,比如在一些企业里面,并没有进入到高层的或者进入到常委、党组成员这样层级的CIO里面,但是它可以做覆盖信息化生命周期管控流程,通过明确这些管控流程,负责人巧妙地解决CIO如何协调各个职能部门处理跨部门的业务流程整合与创新的问题。这样会给我们一个思路,我们可以用创新的方法去破解观念之坎、制度之坎和体制之坎。
刚才我们谈的是我国IT治理和风险管理的现状。下面我们看一下挑战在哪里?挑战会有很多,在IT治理方面的压力和董事会的职责越来越凸显。在合规年代之前信息中心的负责人很少有机会和高管层对话,现在很多在美上市企业由于做合规的工作,可能一个月或者一个季度信息部的负责人都有机会向高层、董事长汇报IT控制体系有效性方面的工作。但是这个挑战其实是在于国内外,包括国际上对信息资产的监管尚无可遵循的标准。事实上,对信息资产的监管现在是没有标准的,但是我们对财务标准的监管是有标准的,国际上是有会计准则的,资本市场也有一系列的关于财务报告的要求,中国的财政部也有很多的关于财政管理的规章制度,也是有一些标准的。在信息资产的监管上现在全世界是没有标准的,由于其他的一些客观原因,董事会对IT是不进行监管的,因为它只是一个工具而已,它并没有变成影响到全局的东西,所以董事会当然不会去监管。但是在今天来说,对财务不进行审计是一件非常危险的事情。我们也会看到,我们与发达国家和先进企业的差距在于,这些企业大概在十年之前就开始了IT治理的征程,我们会看到我们与他们的差距不是在技术和设备的先进应用上面,我们可能用到的技术和设备比他们还要先进,是在治理的水平和管理的水平上面的差距。
挑战之二是监管我国的信息化正在进入以整合应用和加强IT运维服务管理为主要特征的运行维护阶段,比如我们现在所遵循的IT治理标准主要都是国际上的,在这方面中国整个信息化建设的制度安排基本上是健全的,比如建设阶段对厂商资质的管理、软件开发商的资质管理,有集成资质的认证,包括有做绩效评价的一些方法,还有监理的管理办法,这都是由中国政府部门颁布的。包括有验收的管理办法,整个的制度安排是比较健全的,但是现在缺失在信息化生命周期最源头就是关于IT治理的标准,IT服务管理的标准有了一个非常好的全球的最佳的ITIL,这个东西对我们来说是非常好的,从最近几年的发展势头来看,大概是在IT服务领域已经处于垄断地位了,在这种情况下,中国的企业和中国的政府部门需要基于最佳时间,发展出来有中国特色的符合企业特点的IT服务管理的知识体系和管理规范。
去年因为我们做了一些调查研究,有这样一些数据,就以某省为例,所有的政府机构共有信息化工作人员789人,这些人员当中,90%以上的人员对运维的国际标准,ITIL和ISO20000表示未听说或者未了解。从事运维的人员基本上都没有国际公认的从事运维的上岗证书,就是ITIL的认证。71%的部门领导认为运维比建设更重要,但内部运维力量不足,一方面是人员不足,核心业务系统按370个来计算,假设所有人员参与运维,平均每个系统运维的人员仅有两个人,现在政府的应用系统可能是服务于上千万的我们的老百姓,但只有两个人员在运维。另外一方面懂运维的人非常少,全市的运维工作大多数是外部企业承担的,共有130多家,外包的能够提供运维工作的有130多家。提供安全管理工作的有30多家,在所有的运维服务企业中,仅有一家拥有ISO20000的证书。89%的企业集中提供简单的技术设备、网络和系统的运维,比如提供桌面的运维,只能提供一些简单的运维服务。这也是一个很大的挑战。
大家一方面越来越意识到运维工作的重要性,但是这件事情到底应该怎么去干,没有知识体系、没有管理规范去遵循,所以并不知道怎么去做。
挑战之三就是信息化管理的体制和机制层面的障碍导致了以下问题面临着极大的挑战:IT战略与业务战略的融合,IT能力与业务价值相协调,从而构筑核心竞争力,使IT投资获得最大的回报。为什么体制和机制层面的障碍会导致这些问题呢?因为我们讲IT要与业务融合,首先在治理层面就是IT与业务要融合。我们在前面看到的那些发达国家、先进企业,他们董事会里面不光有薪酬委员会、投资委员会、审计委员会等等,还会有一个IT委员会,这个委员会负责治理层面的IT和业务的融合工作,因为如果在治理层面失之毫厘,那在操作层面就会差之千里。在座的各位都是信息化部门的领导,如果在高层IT和业务失之毫厘,虽然在下面做了很多的IT业务的精细的管理工作,但它们还是不一致的,还是两张皮的,这个问题还是要从机制和体制问题解决它。
另外一块,我们讲到CIO所面临的新挑战就是要成为IT控制的专家,内部控制最早只是应用于财务管理的领域,在座的各位可能都是信息技术方面的专家,现在要求如何将IT与业务战略融合,IT的能力与业务的价值相匹配,然后将整个信息化的建设生命周期都置于严格的控制下,那样才能创造出最大的业务价值,所以其实是要我们成为一个控制的专家,这对于我们来说是非常大的挑战。首先从知识体系来说就是一个非常大的挑战,并且我们要把IT的控制和我们整个的企业的控制、企业层面的控制、业务流程层面的控制相融合,这又是一个非常大的挑战。所以基于前面讲到的现状、挑战,我们给出的对策就是实施IT治理,实施IT治理我们可以认为是信息的治理。曾经郑和的信息治理做的非常好,中国信息治理做的好的例子太多了,中国的长城在秦朝的时候,来自周边地区少数民族的军事上的进攻非常多,又要守卫着这么大的疆土,所以在秦朝的时候修复了长城,它用来传递信息,在明朝的时候现在甚至把长城修到了海里,彻底阻断了倭寇进攻的路线,这表明在中国3000年历史中信息治理做的好的比比皆是。
今天我们在IT风险上面临着几大挑战,必由之路就是要去实施IT治理,这里面我们有很多的观点,由于时间关系,只能给出一个基本的思路:
第一步,我们需要建立IT治理与风险管理的机制和框架。也就是第一步需要我们把蓝图做出来,我们现在在哪里,要到哪里去,中间这块怎么才能做得到。
第二步,需要找一位有IT领导力的领导者,他统管IT治理与风险管理的机制和架构。这不管在国外还是中国企业都是这样,有领导力的领导者太重要了。
第三步,企业需要通过事先设计的组合管理方法来综合性地应对IT风险。最重要的是要指出风险管理的本质与最终目标是要塑造具备良好风险管理意识的企业文化,这才是一个具有优秀信息技术能力的、创新型与学习型的企业所要具备的基本特征。我们曾经要做一些IT治理和IT管理的顾问工作,一开始做这个顾问工作的时候,甲方觉得这么大的工作量都由我一个人来负责,这怎么能行呢?我们跟他讲你要把IT治理和IT管理所遵循的国际标准,去严格地实施IT管理所遵循的流程,逐步地把它形成一种文化。大概是在十天之前,我们再去这个客户那里做调研的时候,他们告诉我们,在昨天我们配置管理流程的经理主动地发起一次讨论,他基于平台上搜集来的信息、基于他的观察和其他人的建议,召集大家主动地做这个流程。这需要变成一种文化,变成不是有规章制度要求他做这件事情,而是大家觉得我要做这件事情,这就是文化。它本质上确实是一个文化的问题。
最后,我们去看看IT治理实施的路线图,这个实施路线图的遵循应该是从世界观到方法论再到具体的操作实践的思路展开。我们做这件事情,IT治理仅仅是一个方法论的东西,首先要确定我们要建设高效可持续发展的信息化,把这个作为我们的世界观,当然这个具体内容我们有一系列的文章,什么是科学的信息化发展观?这在互联网上大家都可以搜索到。确定了世界观之后,我们就需要从体制和机制、制度安排的层面做一些设想、设计,这就是IT治理的工作,我们要设计这个框架是什么样的、机制是什么样的,谁来治理、治理什么?治理的内容是什么?如何去评价这样一个治理?去设计这样一些工作。
在打好了这样体制机制制度安排的基础上,我们就可以逐项进行IT风险管理工作。为什么叫IT的风险管理不叫IT的管理呢?因为我们有这样一个研究,我们发现现在所有的管理都是风险管理,所有的管理都是绩效管理,所有的管理也都是流程管理,其实它是一回事,所以我们以后把IT的管理就叫做IT的风险管理,不再是以前的投入产出的问题,而是风险与收益的问题。
首先,IT治理和风险管理是需要长期制度化的方法来实现的工作,它不是一蹴而就的东西,需要我们要以一个平常心来看待它。因为很多企业试图让我们用半天的时间告诉他IT治理是什么,到底是什么工作,这不可能做到。
第二,我们一定要以全球最佳时间为出发点,例如ITIL等。当然我们应该站在巨人的肩膀上。如果我们的企业都遵循这样一种控制流程,这个控制流程的目的就是用来改善企业的内部控制系统,进而达成合法合规这样一个目标,就会给我们企业带来一个持久的收益。
一旦中国的企业形成了与企业文化相适应的良好治理结构和治理机制,这就会成为中国企业国际竞争力的核心源泉。今天我要给大家报告的内容就到这里,谢谢各位。
网友评论