中國IT治理之路任重而道遠

申請免費試用、咨詢電話：400-8352-114

什么是IT治理？ 它是企業(yè)的目標嗎？還是企業(yè)的文化？還是我們必須要遵從法則？IT治理該隸屬哪個部門？種種的問號之下拷問我們對駕馭IT風險的認知和兜售理念的差別？到底何為IT治理，中國的IT治理現(xiàn)狀又如何？

IT治理與風險管理到底離你有多遠

當筆者以這么多問號做開頭的時候，也很想問問所有看到此篇文章的讀者你對IT治理和風險管理的認知到底有多深？“IT治理？沒聽過?！碑斠晃皇〖壱苿庸揪W(wǎng)絡負責人侃侃而談IT管理之后，在回答“是否聽說過IT 治理”時，卻給出了這樣的回答。這家移動公司正在提升IT 管理水平，以準備接受塞班斯法案的相關審計。沒想到管理著300余名IT 員工的網(wǎng)絡部負責人盡管參與了IT內(nèi)控工作，卻對“IT治理”聞所未聞。這與一些業(yè)內(nèi)人的預想相去甚遠。一個負責上百IT員工的負責人尚且如此，可想而知 IT治理在中國的普及化道路還很漫長。

提起IT治理與風險管理這個名詞從2003年引入中國，并于2004 年引入了ITIL，開始進行SOX 內(nèi)控項目，幾年過去了，實施的結果又如何呢？IT負責人的回答就是很好的明證，他根本就不知道IT風險無處不在他的左右，這是一個很危險的信號，也給中國 IT治理與風險管理普及認知上敲響了警鐘。

那么我們來看看最近由于IT的失敗給商業(yè)帶來影響的例子，切身體會IT風險離我們距離。

首先舉一個例子，有一個工程師給一個大的某化工制造廠商工作，最后他被認定有罪，因為他偷了公司價值4億美元的秘密，想給他新的雇主。他從公司的網(wǎng)上下載了大量的摘要以及16700多個文件，這是他們公司研究數(shù)據(jù)庫里面下載的大部分的數(shù)據(jù)跟他研究的內(nèi)容是沒有太大的關系。

這些是公司對于他的電腦進行例行檢查的時候發(fā)現(xiàn)的，從這個案例看出來要保護企業(yè)的關鍵數(shù)據(jù)和知識產(chǎn)權是多么重要。

另外一個案例是零售公司的例子，大量的信用卡、借記卡被個人所偷盜，主要是通過電腦的系統(tǒng)，他們直接在零售商的總部接入電腦偷走了客戶資料，四千萬美國人信用卡被盜。

上述案例中說明了IT風險無處不在，他不僅考驗企業(yè)對IT風險的管控能力，也在考驗用戶在合規(guī)的情況下規(guī)避IT風險。

中國IT治理現(xiàn)狀

在這次高峰論壇會議開始的宣傳片引起了我的注意，這部大片不禁使我想起了六百年前我們偉大的先人——鄭和曾經(jīng)七下西洋，率領著上千艘的艦隊以及上萬人組成的龐大規(guī)模的艦隊。據(jù)現(xiàn)在的研究發(fā)現(xiàn)，他可能是歷史上最早到達南極的人，在他之后60年，四艘小船隨風飄蕩很幸運地發(fā)現(xiàn)了印度大陸。在十七世紀的時候最大的風險是在海洋上面。我們至今都沒有搞明白在這樣一個由數(shù)百艘、數(shù)萬人組成的龐大的艦隊里面，又沒有今天的通訊手段，他們用什么方法達成鄭和的業(yè)務目標的，這件事情至今我們沒有想明白。但是至少表明了在六百年前鄭和七下西洋的壯舉，彰顯了中國卓越的風險管理與控制能力。

為了抗擊倭寇明代的天才軍事家戚繼光在海邊修建一座海岸長城，這是古人為了降低風險所采取的防御措施，那么今天我們IT治理所面臨情況如何呢？

在本次峰會上中國 IT 治理研究中心主任兼首席專家孫強先生，就中國目前IT治所處現(xiàn)狀給予了回答：

現(xiàn)狀之一：政府和監(jiān)管機構出臺大量合規(guī)的法規(guī)和要求，各方都遵從法規(guī)下治理和內(nèi)部控制方面尋找更大的保障。

現(xiàn)狀之二：中國的政府部門和企業(yè)的信息化建設大規(guī)模的進行，進入到整合應用和加強IT運維服務管理為主要特征的運行維護階段，從建設階段向建設與應用并重以及與應用和運行維護主要特征這樣一個階段轉型。

現(xiàn)狀之二：中國的政府部門和企業(yè)的信息化建設正在大規(guī)模進入到整合應用和加強IT運維服務管理為主要特征的運行維護階段，第二個現(xiàn)狀就是治理型的運維管控體系成為IT服務管理的發(fā)展趨勢。治理型的IT服務管理有以下幾個特征：

第一個特征：就是高層參與，高層要意識到它對業(yè)務的可持續(xù)性，IT如何為業(yè)務交付價值負責任。

第二個特征：基于IT治理模式?jīng)Q定我們管理的模式，比如這種管理模式有可能是集中的運維管理模式?；谶@種管理模式會決定我們的管理體系，比如流程的管理體系、規(guī)章制度的管理體系、績效的管理體系、運維費用的管理體系、技術體系等等。在確定了管理體系之后，才會確定我們的技術體系，也就是說把以前第一步就做的工作現(xiàn)在放到最后一步。因為我們確定技術選型的方案再確定我們選用哪一家公司的軟件產(chǎn)品。這是IT服務管理在這個時代的顯著的特征。

現(xiàn)狀之三：就是信息化管理機制問題成為制約信息化快速發(fā)展的主要障礙之一?，F(xiàn)在我們國家的信息化建設工作不是信息技術和設備的升級再造，而是業(yè)務流程的重組和利益的再分配，這相當于我們國家的行政體制改革一樣，它已經(jīng)進入到深水區(qū)，涉及到體制和利益的調(diào)整，制約了一些部門和崗位的自由載量權，有些部門推進的積極性不高，造成業(yè)務與IT兩張皮，使得地區(qū)間、部門間發(fā)展不均衡，影響了跨部門、跨地區(qū)應用的開展。

IT治理面臨的挑戰(zhàn)

在IT治理現(xiàn)狀中看到中國還處在一個發(fā)展階段，在本次峰會上，各位專家也提到了中國IT治理路上的困難和挑戰(zhàn)：

第一，國內(nèi)外對信息資產(chǎn)的監(jiān)管目前沒有標準，但是對財務的監(jiān)管是有標準的。

第二，在信息化生命周期的最源頭就是IT治理的標準，IT服務管理的標準有了一個非常好的全球最佳的ITIL，從最近幾年的發(fā)展勢頭來看，在IT服務領域已經(jīng)處于了絕對的壟斷地位，在這種情況下，中國的企業(yè)和中國的政府部門需要基于最佳時間發(fā)展出來有中國特色的符合中國企業(yè)特點的IT服務管理知識體系和管理規(guī)范。

以北京市為例，所有的政府機構共有信息化工作人員789人，這些人員當中，百分之九十以上的人員對運維的國際標準，ITIL和ISO20000表示未聽說過。從事運維的人員基本上都沒有國際公認的從事運維的上崗證書，就是ITIL的認證。百分之七十一的部門領導認為運維比建設更重要，另外一方面懂運維的人非常少，全市的運維工作大多數(shù)是外部企業(yè)承擔的，共有130多家，外包的能夠提供運維工作的有130多家。提供安全管理工作的有30多家，在所有的運維服務企業(yè)中，僅有一家擁有ISO20000的證書。百分之八十九的企業(yè)集中提供簡單的技術設備、網(wǎng)絡和系統(tǒng)的運維，這也是一個很大的挑戰(zhàn)。

目前每個人都越來越意識到運維工作的重要性，但是這件事情到底應該怎么去干，沒有知識體系、沒有管理規(guī)范去遵循，所以并不知道如何去做？

第三，就是信息化管理的體制和機制層面的障礙導致了以下問題面臨著極大的挑戰(zhàn)：IT戰(zhàn)略與業(yè)務戰(zhàn)略的融合，IT能力與業(yè)務價值去協(xié)調(diào)，從而核心競爭力使IT投資獲得最大的回報。

上述基于IT治理的現(xiàn)狀、挑戰(zhàn)是否真的如孫強先生所言雷聲大雨點小，《I T 經(jīng)理世界》做了一次小型調(diào)查，調(diào)查結果表明41%的人根本不知道IT 治理，比較了解IT 治理的受訪者不足20%；有60%的人不知道IT 治理和IT 管理之間的區(qū)別；僅有1%的調(diào)查者參與過IT 治理的實踐。從調(diào)查報告中可以看出國內(nèi)的IT治理之路任重而道遠。（IT168）