论文部分内容阅读
企业董事会和CEO是否明确了“I”(信息)的基本原则,是否参与到治理的具体实践过程中去,是IT治理执行得好坏的关键。只有在明确了“I”的基础上,企业才能建立起与企业的战略和业务相配套的、合理的IT治理构架。
通常人们看IT都是把“I(Informa-tion信息)”和“T(Technology技术)”放在一起,但实际上,那个“I”要大得多。管理层首先应当考虑的是信息怎么用,信息政策怎么去铺开,以支撑业务的有效性和效率,然后才能谈到用技术来帮助获得信息并支撑信息的运用。管理思路本应如此,但现实生活中却往往不是这样,多数情况是IT部门在执行所谓的“治理”。
谈到技术,董事会会说“这不是我们擅长的,应该由IT部门来做技术解决方案”。而很多情况下,IT部门因为对企业的商业模式了解有限,也难以进行相关的决策,如果硬要他们想出解决方案,他们首先想到的肯定是引用最先进的技术,而不是考虑企业当下是否需要。
此外,在IT部门怎么使用最先进的技术以支撑信息管理的问题上,也没有人来衔接,这里面有一个较大的断层。导致出现这种状况的最主要的原因,是IT部门本身并不在董事会里面,不属于最高管理层,所以真正涉及IT治理的话题,事实上是没有人来讨论和管理的。由于所谓的IT治理只能落实在IT运行这一层面,由此也造成了IT部门与公司其他业务部门之间少有对话、管理层也不清楚两个部门未来的融合目标、资源误配的情况时有发生等等问题。
如何在一个整体架构下来保障信息的统一性、安全性和流动性,IT部门怎么去支撑整套系统运营,这些都应该成为IT治理真正关注的话题。但通常的情况是,IT部门针对企业内部某一业务部门——比如原料、采购进货或财务管理部——单独为其开发解决数据问题的对应模块,这样导致的问题是不同的部门使用不同的技术、不同的模块,而从整个公司角度看却没有一个完整的系统,信息没办法在各部门间流动和使用。
我们在对企业进行相关的IT治理认证时发现,如果不能在IT治理的层面与公司上层进行沟通,前期工作事实上是无效的,任何问题都解决不了。以安全管理为例,实质上它与企业的风险控制密切相关。所谓风险,是相对于企业的战略和目标而言的,如果高层都没办法说清楚企业的战略目标是什么,必然导致底下的IT安全管理的执行面是混乱的,最终会导致目标与结果的不平衡。所以,IT服务认证主要聚焦在企业是否有一个完整的系统来评价自我、平衡风险。考核指标的第一个就在于企业的战略目标是否清楚,在此基础上是否有配套完整的风险评估模型,以及这模型在运用时是否能兼顾到企业发展的目标。只有模型与目标之间保持了一致性,企业的风险控制才能平衡。
治理软肋
在美国和欧洲,IT治理是一个很大的话题。不同的企业,IT治理执行得好坏,最大的区别就在于能否引起高层的关注,并从治理的角度制定出清晰的架构。高层是否承诺,是否参与到治理的具体实践过程中是其中的关键。CEO最需要做的事,是明确企业对待信息利用的基本方针——是最大程度地开放信息,让各事业部都能得到并加以利用,还是从某种程度上进行限制来保证信息的安全。基本方针的确定,往往能显示出一个企业在战略上的清晰度以及对待信息使用的立场。
国内在很多时候存在着一种本末倒置的情况。而越本末倒置,就越是由低层决定,越没有一致性。现在很多企业都还没有建立起CIO的职位,缺乏CIO这个角色来实现IT部门与董事会之间的沟通,基本上是董事会把建立IT系统的工作直接转给IT部门来做。这其实是非常错误的一个想法。因为“I”是直接与商业模型相连的,不能把它推到“T”的技术层面去,IT部门掌握的仅仅是T,却并不了解I该怎么用,企业把信息处理的责任推到技术部门去做,技术部门也挺冤枉。从他们现在的功能来讲,他们一定要了解企业的商业目标是什么,如果不了解,想问题的方向肯定有差异。
我们对于企业对IT治理的态度的判断是,首先这将是一个螺旋式上升的认识过程。开始时,客户倾向于IT信息安全管理、IT服务,以解决具体运作中的问题;然后这些前期的工作,也会引发高层的思考,比如如何建立一个完整的体系,如何解决某些控制条款牵涉到高层的地方,再比如要进行风险控制生产首先得明确什么是企业的风险。对这些问题的深入思考,都需要业务思考的明确。因而这些具体运作能引发更高层的思考,使其不断往上走。
其次,IT部门也需要一定的过程去理解商业流程究竟是什么,业务目标是什么。作为IT部门的负责人,CIO的另外一个挑战是如何把好的IT模式推介给高层。对技术在这个过程中怎么去应用,他要有一个整体把握:他自己既是一个技术专家,同时也应与公司其他业务部门达成共识、互相协作。
再次是心态问题。前几年,在制定IT认证标准的时候,有人曾说:“安全问题说起来重要,做起来次要,忙起来不要,出了事的时候才想到早该要。”直到现在,这种状况还是比较普遍的,业务部门一方面会非常欢迎信息安全工作,但是忙起来时如果监控力度不够,他们就会跳过安全控制措施,因为效率对他是最重要的。
IT安全与治理
通常情况下,信息安全包括可用性(Availability)、完整性(Integrity)、机密性(Confidentiality)三个方面。所以说IT安全不是只讲保密性,而是需要在可用性和保密性之间做一个平衡,保密性越多的话,可用性就没有了;可用性越多保密性就越低。因此,要从风险评估体系的角度出发来平衡这三个性能。
另外,在实施安全的时候,由于IT安全保密措施的严格执行,往往会给一线的业务造成比较明显的效率下降。这个时候就特别需要高层的承诺以确保整个IT安全系统能够在业务部门推行,并一如既往地发挥监控的作用。比如华为的CIO就非常强势,“信息安全无小事”是任正非一直倡导的。华为的信息安全管理部门的权力是非常大的,虽然不见得层级特别高,但是CIO可以直接向CEO去汇报,而且企业在资金投入上也几乎不计成本。
当然要达到可行性和保密性的平衡,IT治理的架构一定要考虑业务部门的需要,要有一个长远的战略,以及细分每个阶段的可行性以保证整个企业的业绩成长。从前景上来讲,IT治理是不可回避的问题,其在公司里将越来越重要,在组织上的影响力也会上升到越来越高的位置。
而且,对于企业组织架构来说,IT治理也会产生很大的影响,传统的管理、行政等将会在IT的指导下展开工作。在组织架构上,包括高层的IT治理委员会、信息产业委员会,上升到高层的比重会逐步增加。目前来看,IT安全服务和风险控制的话题,基本上已经引起了高层委员会的关注和讨论,整体发展的方向是乐观的。
过去,组织里很少有CIO的角色概念,基本等同于企业的信息中心主任。随着企业对IT价值的重视、IT的应用在企业中扮演着越来越重要的角色,CIO的位置也越来越高。而IT部门也会在这个过程中逐渐转换角色,从单纯的技术支持,到进一步成为业务架构重组或管理的一部分。
通常人们看IT都是把“I(Informa-tion信息)”和“T(Technology技术)”放在一起,但实际上,那个“I”要大得多。管理层首先应当考虑的是信息怎么用,信息政策怎么去铺开,以支撑业务的有效性和效率,然后才能谈到用技术来帮助获得信息并支撑信息的运用。管理思路本应如此,但现实生活中却往往不是这样,多数情况是IT部门在执行所谓的“治理”。
谈到技术,董事会会说“这不是我们擅长的,应该由IT部门来做技术解决方案”。而很多情况下,IT部门因为对企业的商业模式了解有限,也难以进行相关的决策,如果硬要他们想出解决方案,他们首先想到的肯定是引用最先进的技术,而不是考虑企业当下是否需要。
此外,在IT部门怎么使用最先进的技术以支撑信息管理的问题上,也没有人来衔接,这里面有一个较大的断层。导致出现这种状况的最主要的原因,是IT部门本身并不在董事会里面,不属于最高管理层,所以真正涉及IT治理的话题,事实上是没有人来讨论和管理的。由于所谓的IT治理只能落实在IT运行这一层面,由此也造成了IT部门与公司其他业务部门之间少有对话、管理层也不清楚两个部门未来的融合目标、资源误配的情况时有发生等等问题。
如何在一个整体架构下来保障信息的统一性、安全性和流动性,IT部门怎么去支撑整套系统运营,这些都应该成为IT治理真正关注的话题。但通常的情况是,IT部门针对企业内部某一业务部门——比如原料、采购进货或财务管理部——单独为其开发解决数据问题的对应模块,这样导致的问题是不同的部门使用不同的技术、不同的模块,而从整个公司角度看却没有一个完整的系统,信息没办法在各部门间流动和使用。
我们在对企业进行相关的IT治理认证时发现,如果不能在IT治理的层面与公司上层进行沟通,前期工作事实上是无效的,任何问题都解决不了。以安全管理为例,实质上它与企业的风险控制密切相关。所谓风险,是相对于企业的战略和目标而言的,如果高层都没办法说清楚企业的战略目标是什么,必然导致底下的IT安全管理的执行面是混乱的,最终会导致目标与结果的不平衡。所以,IT服务认证主要聚焦在企业是否有一个完整的系统来评价自我、平衡风险。考核指标的第一个就在于企业的战略目标是否清楚,在此基础上是否有配套完整的风险评估模型,以及这模型在运用时是否能兼顾到企业发展的目标。只有模型与目标之间保持了一致性,企业的风险控制才能平衡。
治理软肋
在美国和欧洲,IT治理是一个很大的话题。不同的企业,IT治理执行得好坏,最大的区别就在于能否引起高层的关注,并从治理的角度制定出清晰的架构。高层是否承诺,是否参与到治理的具体实践过程中是其中的关键。CEO最需要做的事,是明确企业对待信息利用的基本方针——是最大程度地开放信息,让各事业部都能得到并加以利用,还是从某种程度上进行限制来保证信息的安全。基本方针的确定,往往能显示出一个企业在战略上的清晰度以及对待信息使用的立场。
国内在很多时候存在着一种本末倒置的情况。而越本末倒置,就越是由低层决定,越没有一致性。现在很多企业都还没有建立起CIO的职位,缺乏CIO这个角色来实现IT部门与董事会之间的沟通,基本上是董事会把建立IT系统的工作直接转给IT部门来做。这其实是非常错误的一个想法。因为“I”是直接与商业模型相连的,不能把它推到“T”的技术层面去,IT部门掌握的仅仅是T,却并不了解I该怎么用,企业把信息处理的责任推到技术部门去做,技术部门也挺冤枉。从他们现在的功能来讲,他们一定要了解企业的商业目标是什么,如果不了解,想问题的方向肯定有差异。
我们对于企业对IT治理的态度的判断是,首先这将是一个螺旋式上升的认识过程。开始时,客户倾向于IT信息安全管理、IT服务,以解决具体运作中的问题;然后这些前期的工作,也会引发高层的思考,比如如何建立一个完整的体系,如何解决某些控制条款牵涉到高层的地方,再比如要进行风险控制生产首先得明确什么是企业的风险。对这些问题的深入思考,都需要业务思考的明确。因而这些具体运作能引发更高层的思考,使其不断往上走。
其次,IT部门也需要一定的过程去理解商业流程究竟是什么,业务目标是什么。作为IT部门的负责人,CIO的另外一个挑战是如何把好的IT模式推介给高层。对技术在这个过程中怎么去应用,他要有一个整体把握:他自己既是一个技术专家,同时也应与公司其他业务部门达成共识、互相协作。
再次是心态问题。前几年,在制定IT认证标准的时候,有人曾说:“安全问题说起来重要,做起来次要,忙起来不要,出了事的时候才想到早该要。”直到现在,这种状况还是比较普遍的,业务部门一方面会非常欢迎信息安全工作,但是忙起来时如果监控力度不够,他们就会跳过安全控制措施,因为效率对他是最重要的。
IT安全与治理
通常情况下,信息安全包括可用性(Availability)、完整性(Integrity)、机密性(Confidentiality)三个方面。所以说IT安全不是只讲保密性,而是需要在可用性和保密性之间做一个平衡,保密性越多的话,可用性就没有了;可用性越多保密性就越低。因此,要从风险评估体系的角度出发来平衡这三个性能。
另外,在实施安全的时候,由于IT安全保密措施的严格执行,往往会给一线的业务造成比较明显的效率下降。这个时候就特别需要高层的承诺以确保整个IT安全系统能够在业务部门推行,并一如既往地发挥监控的作用。比如华为的CIO就非常强势,“信息安全无小事”是任正非一直倡导的。华为的信息安全管理部门的权力是非常大的,虽然不见得层级特别高,但是CIO可以直接向CEO去汇报,而且企业在资金投入上也几乎不计成本。
当然要达到可行性和保密性的平衡,IT治理的架构一定要考虑业务部门的需要,要有一个长远的战略,以及细分每个阶段的可行性以保证整个企业的业绩成长。从前景上来讲,IT治理是不可回避的问题,其在公司里将越来越重要,在组织上的影响力也会上升到越来越高的位置。
而且,对于企业组织架构来说,IT治理也会产生很大的影响,传统的管理、行政等将会在IT的指导下展开工作。在组织架构上,包括高层的IT治理委员会、信息产业委员会,上升到高层的比重会逐步增加。目前来看,IT安全服务和风险控制的话题,基本上已经引起了高层委员会的关注和讨论,整体发展的方向是乐观的。
过去,组织里很少有CIO的角色概念,基本等同于企业的信息中心主任。随着企业对IT价值的重视、IT的应用在企业中扮演着越来越重要的角色,CIO的位置也越来越高。而IT部门也会在这个过程中逐渐转换角色,从单纯的技术支持,到进一步成为业务架构重组或管理的一部分。