用IT治理控制IT风险.doc
用 IT 治理控制 IT 风险 通过对企业风险管理的研究,我们发现在当前激烈的市场竞争环境下,许多企业昨天还风光无限,今天就可能面临破产。一个企业要获得可持续的发展,除了要有明确的战略方向、优秀的管理团队、合理的组织结构、适应市场要求的产品与技术外,还需要建立良好的治理结构,通过对权力的监督与平衡,就可把企业的战略风险与管理风险控制在一定范围内,那么无论由谁来领导,企业就不会大起大落。 对企业大量的信息化失败案例和对信息化建设中深层次机制问题的研究,我们发现信息化也像企业管理一样,需要制度创新,在信息化过程中,“制度重于一切”的定律同 样适用。例如,建造一个信息系统是容易的,让这个系统正常地运转起来并能实现业务价值,则是现实的难题。虽然采用先进的 IT 技术与产品、优秀的管理方法在一定的程度上能降低 IT 风险,但并不十分保险,只有通过为 IT 引入一定的结构、规则与标准,使 IT 在“他律” (IT 治理 )的基础上进行“自律” (IT 管理 ),才能使得 IT 风险在一定的框架内上下左右浮动,不超过企业计划中的风险范围。 这个框架就是 IT 治理框架,也可以称为 IT的“游戏规则”,忽略了规则的建立是国内信息化成功率低的根源,我们应当把建立信息化的“游戏规则”看成是信 息化的重要内容之一。 ●什么是 IT治理 ? 国际 IT 治理研究院 (ITGI)认为: IT 治理是一个由关系和过程所构成的体制,用于指导和控制企业,通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。 IT 治理可以分为五个域,其中是两个核心,一是 IT要向业务提交价值,二是降低风险。前者由 IT 与业务的战略一致性驱动,后者由企业内部建立的责任驱动 ;这两者都需要获得足够的资源并进行绩效测量,以保证获得预期的结果 ; ● IT 治理的目标 完善 IT 风险控制体系,降低IT 成本,实现 IT 与企业战略、管理、业 务、安全的深度融合,使 IT 为企业持续地创造价值,有效率并有效果地进行信息化。 ● IT 治理的主要内容 建立 IT 治理机制,使 IT 治理成为公司治理的一部分,在组织的最高决策层上对信息化的进行监管与制衡 ; 对 IT进行规划,确保 IT战略与业务战略的一致,信息化一定要为业务所想、为业务所用, IT 与业务的分离是信息化面临的最大风险 ; 采用国际上得到普遍认可的 IT 控制标准 (例如: COBIT、 ITIL、ISO27001)及行业最佳实践,为信息化管理提供规范和标准 ; 识别组织中的重要 IT 过程,确定其目标、功 能与职责。梳理出纵向上的技术管理过程和横向上的客户服务过程,推行过程管理的思想 ; 通过 PDCD 的过程,即计划、实施、调整、改进的循环,使信息化保持在可持续发展的轨道上,阶段性地进行信息系统审计,以发现存在的偏离,及时调整到信息化的最终目标上来 ; 持续地评估 IT 绩效,可以从整体信息化绩效、 IT 项目绩效及 IT 人员绩效等多个方面进行评估,以了解当前 IT 状况,为及进的调整与改进提供依据。