近年来,“信息化带动工业化、工业化促进信息化”的战略国策日益深入人心,信息化应用取得了世人瞩目的成就。与此同时,信息化建设和推进中深层次的矛盾和问题,也受到了越来越广泛的关注。这些问题包括:如何将IT战略与业务战略相融合?如何从公司治理的高度,对企业信息化做出制度安排?如何从战略投资、企业管理变革的角度,降低IT的风险?信息中心的转制与走向如何?如何利用发达国家和本国信息化的最佳实践,指导行业和企业的信息化推进等工作?
目前,发达国家的IT产业发展有了一些新的、值得关注的动向,这些战略层面的动向,将对IT产业和信息化的理论与实践产生重大的影响。用一句话来概括,这种动向就是——从制度、战略、规范和标准的高度,重新看待IT的定位、作用和价值。以“IT治理”为总框架,涵盖信息系统审计、信息安全管理、IT服务管理及IT项目管理,着重研究IT发展与企业发展在治理结构、企业战略、企业运营管理、风险与价值、成本与控制、审计与监管、服务标准和规范等方面的新问题、新知识和新方法,势必会对未来IT产业的发展,以及推进我国信息化建设有着十分重大的意义。
国际和国内背景
1999年6月,世界银行与经济合作与发展组织为推动世界范围内公司治理理论的发展签署了理解性备忘录。随着美国的安然、世通、施乐、Tyco, Adelphia, ImClone及我国银广夏和蓝田股份等一些公司丑闻的爆发,公司治理逐渐为大多数人所关注。突然间人们意识到一个企业的治理机制是多么重要。一旦公司治理链条有一个环节出现问题,就会引发一系列失败,如陷入困境、破产等等。2002年发布的美国萨贝恩斯—奥克斯利法案,新增了许多加强公众公司治理的规定,包括要求公司报告其内部控制体系。然而这个要求公司报告其内部控制体系法案,没有详述在确保公司治理效率方面IT的地位。
在国内,IT产业和信息化应用已经步入了深化、整合、转型和创新的关键时期,信息技术与信息系统对企业组织形态、治理结构、管理体制、运作流程和商业模式的影响日益深化;政府机构、企业组织对信息技术和信息系统的依赖性在日益加强;信息系统的安全、管理、风险与控制日益成为突出的问题;IT与业务应用的融合,是未来发展的核心;信息化应用的关键词是:持续性、创造价值、风险与控制、整合、绩效管理。在这样的共识下,我们看到:越来越多的目光,聚焦在治理、审计、服务管理、风险与控制、安全等关键词上。越来越多的最佳实践,汇聚成日益丰富的新兴知识体系和方法框架。这些领域正在为IT产业和信息化开辟新的领域,成为IT产业和信息化在健康规范的轨道上运行的制度保障。
国际上IT治理的发展历程
国际组织和各国普遍认为公司治理机制对世界金融市场的稳定及经济发展发挥了至关重要的作用,这直接促进了IT治理机制的形成与发展。在1999年,BIS发布了Internal Control: Guidance for Directors on the Combined Code( Turnbull Report, 1999)报告。该报告认为:企业风险来自于许多活动,不只是财务风险,因为事实说明,在金融界所有过去的风险问题都是由内部控制疏忽、信息技术失败引起的,而且所有企业最终依靠对信息技术基础设施的依赖和新技术风险的脆弱性,并呼吁高层领导树立风险意识。从此,公司治理和风险管理成为企业所有者与管理者日益重要的问题。该报告引入了内部控制的要求,对许多组织而言,信息与其支持技术代表该组织最有价值的资产,而且,竞争和不断变化的商业环境也要求企业能够充分利用信息技术实现更快的交付和更低的成本。因此,有效的公司治理和风险管理必然需要有效的IT治理和IT风险管理。与此同时,BIS还简单陈述了关键的信息系统,如何确保治理应该有效、透明,这也意味管理IT相关风险,实现IT价值的交付成为公司治理中重要的组成部分。
