从国内信息化现状来看,由于经济的持续增长,多年来各行各业的信息化一直呈现出一派欣欣向荣的景象,国内信息化工作已取得了巨大的进展,“以信息化带动工业化”的基本国策已经深入人心,但是我们也逐渐发现,国内信息化高速发展背景下,各行业的信息化工作并不一帆风顺,存在着各种各样的问题,例如:
信息化建设各自为政,形成了各种各样的信息孤岛;重硬件购买,轻软件和咨询服务,信息高速路上无车可跑;IT 应用与业务需求之间逻辑错位,IT设施最后成了摆设;重视安全技术,轻视安全管理,IT安全可靠性没有保证;IT建设缺乏绩效评估机制,长期的高投入与低产出使IT成了“投资黑洞”;国内企业ERP建设过程中,充满了“企业家的眼泪”;CIO及信息技术人员变成“救火队员”,其作用逐渐边缘化…
能真正成功信息化项目可谓凤毛麟角,从相关统计来看,企业信息化项目失败率高70%以上,这引起了产业部门和用户部门的忧虑,也受到一些IT业有识之土的关注,我们逐渐认识到信息化给组织带来竞争优势的同时,也同时给组织带来了巨大的风险。
应当如何有效地控制IT风险?如何使IT战略与企业战略相融合?如何让IT为组织持续地创造价值?如何实现“有效益的信息化”?如何建立信息化的 “科学发展观”?这些重大问题己迫切地摆在了我们面前。
企业风险管理对IT的要求
从企业管理层面来看,企业风险管理已成为大型公司保护企业核心竞争力的有效手段。不管是什么规模的组织,都需要有一套控制指南来有效地管理企业内外各种各样的风险,并随着业务环境的变化和新技术的发展及时更新,才能保证企业健康、持续地发展,有效的风险管理己成为企业发展的主旋律。
2002年美国国会发布了《萨班斯—奥克斯利法案》,在这个法案中明确提出了所有上市公司都必须加强风险管理,建立有效的内部控制框架,以确保上市公司遵守证券法律以提高公司披露的准确性和可靠性,从而保护投资者及其他目的。此法案是有史以来对上市公司影响最大的一部法律,为了符合法案的要求,在美国上市的公众公司需要投入大量的人力、物力和财力来建立内部控制,中国在美国上市的中石化、中国人寿、新浪、亚信等企业也为此付出了巨大的努力。据美国Financial Executive International组织对321个公司的调查显示,在一个规模比较大、年营业收入超过50亿美元的公司,建立此体系至少需要470万美元,维系其运转需要每年150万美元。
在建立符合《萨班斯—奥克斯利法案》要求的企业风险管理与内部控制的工作中, IT的份量占到了40%以上,这是因为一方面IT要作为管理组织业务风险的工具与手段,例如,对财务应用系统的机密性、完整性控制,以及对业务交易信息的监督与数据采集都离不开IT系统;另一方面IT本身的风险,例如网络风险、系统风险、应用风险,也是SOX关注的重要内容,因此《萨班斯—奥克斯利法案》把IT推到了企业风险管理的风尖浪口。
近年来,国内行业主管部门一直在要求企业加强风险管理。2004年9月30日中国银监会发布了《商业银行内部控制评价试行办法》,旨在为规范和加强对商业银行内部控制评价,督促商业银行建立内部控制体系,健全内部控制机制,保证商业银行稳健运行,其中包括了对建立银行计算机系统内部控制的要求。2006年3月1日银监会发布《电子银行业务管理办法》和《电子银行安全评估指引》,直接对技术风险较大的电子银行提出了进行独立的或相对独立的信息系统审计的要求。
目前IT治理已经在中国企业有了越来越多的实践探索。IT治理体现在IT治理机制、IT治理流程和IT领导力等方面,归根到底是责任担当机制,目的是实现IT与业务的融合,完善公司治理和实践科学的信息化发展观。中国IT管理咨询的一个现实是,头疼医头,脚疼医脚,瞎子摸象,各报一角,难以做到有效的整合,让咨询发挥合力,IT治理的出现,提供了一次机会,那就是建立一个综合的框架,让企业在各方面所作的咨询工作围绕着业务战略发挥合力。