2008 IBM IT 治理和风险管理高峰论坛在北京亮马河饭店隆重开幕，本次大会主题：“驾驭IT风险 护航业务创新”大会将在“改善服务管理；维持业务连续性；加强IT安全性”这几方面进行深入的探讨，在大会上ITGov中国IT治理研究中心主任兼首席专家孙强先生进行了以“中国 IT 治理和风险管理的现状、挑战和对策”为主题的演讲。

      在讲演中孙强先生表示：驾驭IT风险、护航业务创新这个话题我想主要从三方面展开，我们主要去看我们今天所面临的现状，我们的问题和挑战在哪里?针对这样的问题和挑战我们给出的对策是什么?在这样一个环境中，现状、挑战和问题都是一一对应的。

      现状之一就是政府和监管机构正在不遗余力地出台大量合规的要求，所以在2001年的时候，我们可以认为在信息产业的发展上以及人类的历史上出现了一个分水岭，此后的年代我们称之为合规的年代。在这样的背景下，所有各方都是在治理和内部控制方面寻找更大的保障。另外一个现状是我们会看到在法规的遵从上不存在折衷与妥协，比如我们的企业要上一套ERP系统，高管层基于业务需求各方面的判断有可能同意有可能不同意，但是在外部的法律法规问题上没有讨价还价的余地，这成了非常大的时代特征。我们会看到有一些上市公司，包括中国最早去美国上市的，也是基于合规成本太高昂等等一些原因就从美国资本市场上摘牌了。除了国外中国的政府和监管机构出台了一系列在合规方面的法律法规的要求。

      现状之二是我们会看到在中国的政府部门和企业的信息化建设正在大规模地进行，进入到整合应用和加强IT运维服务管理为主要特征的运行维护阶段，也就是在10多年大规模建设的阶段正在从建设阶段向建设与应用并重以及与应用和运行维护主要特征这样一个阶段转型。第二个现状就是治理型的运维管控体系成为IT服务管理的发展趋势，这点我们看的很明显。治理型的IT服务管理，至少有以下几个特征：

      第一个特征就是高层一定要参与进来，高层要意识到它要对业务的可持续，IT如何为业务交付价值负责任。第二个特征是我们再去做像IT服务管理的项目，不会像此前那样上一套软件设计一套管理流程，现在变成一种新的模式，这种模式就是首先我们要决定我们IT治理的模式，基于IT治理模式决定我们管理的模式，比如这种管理模式有可能是集中的运维的管理模式。基于这种管理模式会决定我们的管理体系，比如流程的管理体系、规章制度的管理体系、绩效的管理体系、运维费用的管理体系、技术体系等等。在确定了管理体系之后，才会确定我们的技术体系，也就是说把以前第一步就做的工作现在放到最后一步。因为我们确定技术选型的方案再确定我们选用哪一家公司的软件产品。这是IT服务管理在这个时代的显著的特征。
本文发表于博锐管理在线| http://www.boraid.com/darticle3/list.asp?id=103459|47
      在去年北京市电子政务的发展阶段有这样一个调查，这个调查表明北京市的电子政务的发展总体已经进入到深化应用和加强IT运维服务管理为主要特征的运行维护阶段，这里有一些数据，从2001年2007年上半年投到运维上的资金始终保持高速增长，运维费比2006年同比增加了10%、2007年同比增加20%，2008年初步预算增长约46%，并且在这张图上我们可以看到，我们用蓝色表示的是建设资金，蓝色在2007年的时候建设资金在持续攀升之后终于出现下降的趋势。

     现在越来越多的采用外包，信息化的建设在2000年之前有很多还是由甲方自行地开发。2007年去看的时候，基本上100%的建设、开发全部是外包的，这是由社会专业服务机构来提供的，运行维护这块，我们看一下这块的比例，大概也有超过59%是由社会外包来承担的。

     IT治理的五大领域成为关注焦点：第一，IT与业务战略的融合，这是非常大的挑战。应该说这是一个系统的问题，系统的问题按照中国文化来讲就是要用系统的方法来解决。第二，价值交付。第三，资源管理。第四，风险管理。第五，绩效管理。所有的这些都是为了统一的目标，就是提升我们的竞争优势，构筑我们中国企业的核心竞争力。现在突然出现了很多新的概念，很多的企业就搞不明白，他们会问：IT治理跟风险管理、跟内部控制、跟信息安全跟内部审计、外部审计是什么关系?是不是IT治理的工作就要由高管层去做，包括利益相关者?风险管理部门有风险管理的部门，内控有内控的部门，审计有审计的部门。因为这些东西在历史上的起源是各不相同的，它经历了不同的发展历程，但是在进入到信息社会之后，我们的企业在信息社会的条件下，这些概念开始融合了，比如风险管理方面，风险方面在原始社会，当时的人为了规避自然的灾害——雷电、风雨，他们躲到洞里面就视为风险管理的起源。其实风险管理在70年代的时候只用于保险行业，在出现了大规模的分布式、网络化的信息技术条件下这些概念开始融合了。

     在未来我们可以看到，这些东西会变成一回事，因为它本质上都是服务于企业这一相同的目标，比如企业合规的目标，企业运营管理的效果和效率目标。现在我们不能把它看成IT治理就是基于高管层负责，风险管理由风险部门负责，企业里面还有信息安全的部门，他们觉得风险管理跟我没关系，我是做信息安全的，如果有这样的认识偏差会导致我们实际工作中无所适从。

     现状之三就是信息化管理机制问题成为制约信息化快速发展的主要障碍之一。应该看到，现在我们国家的信息化建设要做的工作不是信息技术和设备的升级再造，现在它变成了业务流程的重组和利益的再分配，它变成了不是一个纯技术的事情了。这相当于我们国家的行政体制改革一样，它已经进入到深水区，涉及到体制和利益的调整，制约了一些部门和岗位的自由载量权，有些部门推进的积极性不高，造成业务与IT两张皮，使得地区间、部门间发展不均衡，影响了跨部门、跨地区应用的开展。现在电子政务的提法会在国内某些地区引起误区，我们应该提电子政务的提法，如果要提电子政务的话，每个部门就势必会想我要为我的业务做出一套系统出来，这样的话就会派生出很多的应用系统出来，事实上我们现在要建设的是服务型政府，包括企业也一样，最终是要为客户交付价值。我们去看CIO的缺失应该是缺乏IT治理的概念，在中国只有极少数的企业里面设立了CIO的制度。CIO不是在中国可以随随便便就可以开展的工作，但是我们还有一些创新的做法，比如在一些企业里面，并没有进入到高层的或者进入到常委、党组成员这样层级的CIO里面，但是它可以做覆盖信息化生命周期管控流程，通过明确这些管控流程，负责人巧妙地解决CIO如何协调各个职能部门处理跨部门的业务流程整合与创新的问题。这样会给我们一个思路，我们可以用创新的方法去破解关键之坎、制度之坎和体制之坎。

      刚才我们谈的是我国IT治理和风险管理的现状。下面我们看一下挑战在哪里?挑战会有很多，在IT治理方面的压力和董事会的职责越来越凸显。在合规年代之前信息中心的负责人很少有机会和高管层对话，现在很多在美上市企业由于做合规的工作，可能一个月或者一个季度信息部的负责人都有机会向高层、董事长汇报IT控制体系有效性方面的工作。但是这个挑战其实是在于国内外，包括国际上对信息资产的监管尚无可遵循的标准。事实上，对信息资产的监管现在是没有标准的，但是我们对财务标准的监管是有标准的，国际上是有会计准则的，资本市场也有一系列的关于财务报告的要求，中国的财政部也有很多的关于财政管理的规章制度，也是有一些标准的。在信息资产的监管上现在全世界是没有标准的，由于其他的一些客观原因，董事会对IT是不进行监管的，因为它只是一个工具而已，它并没有变成影响到全局的东西，所以董事会当然不会去监管。但是在今天来说，对财务不进行审计是一件非常危险的事情。我们也会看到，我们与发达国家和先进企业的差距在于，这些企业大概在十年之前就开始了IT治理的征程，我们会看到我们与他们的差距不是在技术和设备的先进应用上面，我们可能用到的技术和设备比他们还要先进，是在治理的水平和管理的水平上面的差距。

      挑战之二是监管我国的信息化正在进入以整合应用和加强IT运维服务管理为主要特征的运行维护阶段，比如我们现在所遵循的IT治理标准主要都是国际上的，在这方面中国整个信息化建设的制度安排基本上是健全的，比如建设阶段对厂商资质的管理、软件开发商的资质管理，有集成资质的认证，包括有做绩效评价的一些方法，还有监理的管理办法，这都是由中国政府部门颁布的。包括有验收的管理办法，整个的制度安排是比较健全的，但是现在在信息化生命周期最源头就是关于IT治理的标准，IT服务管理的标准有了一个非常好的全球的最佳的ITIL，这个东西对我们来说是非常好的，从最近几年的发展势头来看，大概是在IT服务领域已经处于垄断地位了，在这种情况下，中国的企业和中国的政府部门需要基于最佳时间发展出来有中国特色的符合企业特点的IT服务管理的知识体系和管理规范。

      去年因为我们做了一些调查研究，有这样一些数据，就以北京市为例，所有的政府机构共有信息化工作人员789人，这些人员当中，90%以上的人员对运维的国际标准，ITIL和ISO20000表示未听说或者未了解。从事运维的人员基本上都没有国际公认的从事运维的上岗证书，就是ITIL的认证。71%的部门领导认为运维比建设更重要，但内部运维力量不足，一方面是人员不 该内容可能有会员内容，需要登录查看全文，点击这里在顶部登录