应按照IT治理的方法论,循序渐进地推进IT治理,即:在业务目标的驱动下,制定IT战略,并保证IT战略与业务战略目标的匹配;挖掘业务需求,完善信息系统建设,使IT真正为业务提升、管理创新贡献价值;实施IT项目管理与风险管理;进行IT绩效评估。这是一个循序渐进的往复循环的过程,通过这个过程,IT治理将逐步给股东带来利益。
建立IT治理机制,需要从以下几个方面入手。
企业战略与IT战略互动
在最高管理层(董事会)中,树立和强化IT战略地位,建立企业战略与IT战略的互动观念,阐明IT应担当的角色。从业务的视角,建立信息技术指导原则,如信息化规划本质上可以定位成从业务战略到信息战略的实现。IT战略的建立,从组织的战略出发而不是从系统的需求出发,可以避免脱离目标而进行建设的困境;从业务的变革出发而不是从技术的变革出发,有利于充分利用现有的资源来满足关键需求,从而避免建设的信息系统无法有效地支持组织的决策。又如,利用电子商务消除时间和空间的特性,发展与全球客户的关系,能够引导、巩固客户数据库和订单处理过程。
政府推动
目前我国外部市场监控机制尚不健全,严重削弱了公司治理结构中的监控职能,董事会的监督作用也没能发挥出来。另一方面,企业机构风险管理意识淡薄,安全上采用纯粹技术手段解决。我们认为缺乏优良公司治理和IT治理机制是一些国内企业与金融机构无法抵御全球经济低靡和无法适应市场环境快速变化的重要原因之一。因此,加强IT治理实质上是一个政府和企业机构必须携手面对的问题。政府必须扮演一个重要的推动角色,并且尤其需要强调的是,政府制定规则比较合理的方法是通过听证会或知情会上下协商、交互式地制定规则,这样才能解决规则的充分合法性、可执行性问题,“治理不是一种正式的制度,而是持续的互动”(引自全球治理委员会1995年发布的《我们的全球伙伴关系》研究报告)。鉴于全球化和信息技术的无国界性,尽管在公司治理模式有英美模式、德日模式、东亚和东南亚模式,但IT治理的发展趋势有更大的趋同性,因此,从治理(Governance)的角度,企业应该采用合乎国际标准的IT治理方法,以促进公司治理、IT治理和经营管理的协调发展。值得一提的是,组织采行优良IT治理机制的行动,将减轻政府部门在制订国民经济和社会信息化中所扮演的角色责任。
建立IT治理委员会
设立IT治理委员会与IT审计师是IT治理最重要的环节。IT治理委员会由组织的最高管理层(董事会)及管理执行层包括IT管理和业务管理有关部门的负责人、管理技术人员组成。IT治理委员会应定期召开会议,就企业战略与IT战略的驱动与设置等议题进行讨论并作出决策,为组织IT管理提供导向与支持,把IT治理的相关规范融入到组织的内部控制中。
对于规模较大的组织,一项IT(如安全)控制活动需要多个部门的共同参与才能得以实现。为能够迅速解决控制过程中出现的问题,防止内部互相推诿的现象发生、提高工作效率,组成一个跨部门的IT治理委员会,加强全局的管理与流程执行的纪律,解决诸如信息安全事故的调查与处理等一些实际的问题,这是进行IT管理内部协调的很好的办法。
2002年9月17日,美国联邦政府公布了由关键基础设施委员会(CIPB)制订的保障网络安全计划--《国家保障网络安全策略》。根据该计划,美国政府将在网络安全中发挥主导作用,同时要求所有企业机构采取措施。其中该文件要求上市公司发布经过独立审计的安全报告,建议公司成立公司安全委员会等。由此可见,美国的IT治理机制已深入发展到建立安全治理机制领域。
保证职责明确
IT管理过程的职责缺乏或界定不清,最终导致无法有效地进行控制,形成管理风险。组织最高管理层应确保对管理层、部门、运维人员职责进行规定并形成书面文件。
信息系统审计
信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产安全、数据完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。它综合运用IT技术与审计理论及方法,为信息的使用者提供合理的保证。
在信息时代,组织为预防不良事件的发生,必须将其内部控制扩展到信息处理系统的各个方面,包括企业内部网与因特网在内的任何直接或间接影响财务报表或其他至关重要资料的数据或处理系统,因为该系统与包括合作伙伴在内的其他系统有着密切的联系。此外,这些企业还必须信任与其互通业务数据的合作伙伴的内部控制系统。在对于经营惯例、交易处理的完整性、信息保护和如何对信息系统的内部控制实施评估和风险管理方面,组织可以通过内部审计或外部审计达到上述目的。
信息系统审计的主要由以下部分组成:1、信息系统的管理、规划与组织—评价信息系统的管理、计划与组织方面的策略、政策、标准、程序和相关实务。2、信息系统技术基础设施与操作实务—评价组织在技术与操作基础设施的管理和实施方面的有效性及效率,以确保其充分支持组织的商业目标。3、资产的保护—对逻辑、环境与信息技术基础设施的安全性进行评价,确保其支持组织保护信息资产的需要, 防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失。4、灾难恢复与业务持续计划—这些计划是在发生灾难时,能够使组织持续进行业务,对这种计划的建立和维护流程需要进行评价。5、应用系统开发、获得、实施与维护—对应用系统的开发、获得、实施与维护方面所采用的方法和流程进行评价,以确保其满足组织的业务目标。6、业务流程评价与风险管理—评估业务系统与处理流程,确保根据组织的业务目标对相应风险实施管理。
网友评论