风尘·天地·心

《SP计算机产品与流通》
中国企业迈入IT治理时代

中国企业的信息化应用正在从大规模建设阶段向以整合应用和加强IT运维服务管理为主要特征的运行维护阶段转变，治理型的IT运维管理体系将成为IT服务管理的发展趋势。

在这种情况下：
如何最大化发挥IT价值帮助企业的业务发展？
如何令IT灵活支持企业对内部控制和法规遵从的要求？
如何通过对IT系统有效涉及和监控，减少企业内外部风险？
如何避免IT事故对企业造成的灾难性打击，确保企业连续性？
如何在日益复杂的IT运行环境中，降低IT运营成本，提升人力和技术资源使用效率？

IT治理是一个决策和责任框架，用来控制或鼓励IT系统中所希望的行为。

IT治理要达到的4个目标：
主动支持不断发展和变化的业务需求；
衡量IT对业务支持的程度和绩效；
优化组织架构设计和资源使用；
提供IT方案和服务以获取最大的投资回报。

IT治理不是解决如何信息化的问题，二是解决如何管理、监控IT的问题，其中，业务和IT战略整合是IT治理的关键。

管理方案，实现三“化”：
可视化：企业应当全面了解IT对其业务的影响力，同时，IT系统也应该让企业管理层、业务部门和运维部门及合作伙伴在各自权限范围内，实时的看到“同自己有关的”IT和业务状况，从而为企业业务决策提供及时准确的信息，避免业务风险和危机，确保企业业务连续性和业务目标的实现；
可控化：IT系统能够有效管理和控制企业的IT资产和非IT资产，进而帮助企业提升资产使用效率和投资回报率，降低IT风险；
自动化：IT系统应当通过整合的IT流程和自动化的工具支持企业关键业务流程，从而降低人力成本和认为因素造成的风险。

5个切入点：
IT运维、安全运维、存储运维、企业运维和运营商运维。

破除发展瓶颈 电信业信息化全网络整合

发布时间：2007.07.05 15:16   来源：产经网-中国高新技术产业导报   作者：李壮

当前，我国电信业正处于转型的关键时期，而电信企业自身的信息化已经成为其核心价值之一。在新经济形态下，电信企业的信息化面临重重阻碍，信息化绩效管理将为其提供支撑。在电信企业将彼此分离的信息孤岛整合成整体的网络，完成信息化的同时，将为自身寻找到新的业务增长点。?

2007年，我国信息化工作进入新的发展阶段，信息化已经成为中国崛起的重要根基。对于转型中的电信业而言，电信业企业信息化已经成为运营商开启未来的钥匙和准入证。在新经济时代的电信运营商只有提升自身的信息化水平，才能更好地挖掘信息化商机，从而服务于我国的信息化建设。

在近日召开的“第四届中国电信业信息化论坛”上，与会专家认为，电信业信息化在经过一段时间的探索之后，目前已经到了建立实施绩效评估体系的阶段。

信息化道路阻碍重重

中国电信企业信息化部总监丁震分析了我国电信业目前所面临的困惑。他说：“信息化说起来很容易，但真正做起来难度很高。真正要将IT整合成一个整体，实现从经营、运营到管理提升，压力很大，过程也非常漫长。”

在经济全球化的推动下，包括电信业在内的各个行业面临的压力越来越大。电信业在技术上走过了电路交换、分组交换；早期以固网用户为主，现在则以移动为主；并且逐步由垄断走向开放。这些对电信企业的信息化提出了极高的要求。

丁震指出，信息化早期的电信企业多为孤岛式、烟囱式的系统，各种数据散落在不同的系统和网络中，而要将其理顺，满足企业的需要，难度还很大。以中国电信为例，目前的运营范围包括固定电话、数据、互联网和小灵通，只有移动尚未开通。而一旦获得全业务牌照，相关业务从受理、开通到计费都需要IT作支撑。“电信信息化的难度很高，而固网全业务信息化难度更高。”他说。

同是固网运营商的中国网通也面临类似情况。中国网通信息化部副总经理李莞箐介绍，网通围绕后线支撑的信息化网络多达70多个，但这些都是一个个信息孤岛。她提出，在新经济时代，网通面临技术、业务和管理三方面的转型和创新。“要为客户提供新型网络技术；在新型网络下开发新型业务；同时把通信技术和信息化技术结合在一起，为企业提供综合的信息服务。这些都对信息化工作提出了巨大挑战”。

此外，电信企业信息化还受到其他方面因素的影响。CCID信息化研究中心陈宝国在《2006-2008年中国电信行业信息化市场趋势分析》中指出，影响电信企业信息化的因素主要有以下四点：系统规划与规范研究较弱，导致对系统发展建设缺乏总体框架指导和具体实施规范，所建系统总体上相对孤立；修改原系统和重建新系统的两难选择；利润率下降导致系统投资乏力；厂商过度竞争不利于市场健康发展。

向全网络整合迈进

在电信企业寻找自身信息化的过程中，各个运营商都提出了自己的战略计划，开始向既定目标前进。丁震指出，传统电信业最大的特点是没有实现标准化。如果有了标准，各企业按标准运行，电信业的整体格局会焕然一新。

经过几年实践，中国电信逐步形成了面向客户综合业务省集中的核心IT系统，集团对各省系统大规模的改造基本完成，把离散本地网面向单业务结构各异的系统进行了整合。按照规划要求，以松偶合模块化可配置的建设原则和相对灵活的架构应对不断变化的市场需求。“中国电信向全网络整合的目标不断迈进。”丁震说。

中国网通也完成了类似的信息化进程。李莞箐介绍，网通建设了全集团ERP系统，在这个系统的建设中打通了很多跨越式的流程，许多分离的信息孤岛目前已经完成网络的整合，形成整体的办公网。数据中心也把散落在各个业务部门、各个管理角落、各个分散机房里的设备进行整合，通过专业化管理队伍形成支撑。

“在信息化往深度运用，特别是电信企业在转型过程中面临很多风险和挑战的时候。电信企业不再只是支撑支持的单位，信息化已经成为电信企业的核心价值之一。”国家信息化测评中心常务副主任胡建生提出，要发挥绩效管理对全面风险控制的作用，信息化绩效管理要为企业价值实现和风险管理找到一个平衡点。

由于信息化效果与效益直接影响企业绩效与价值的实现，电信企业转型需要信息化绩效管理体系的支撑。胡建生说，电信企业处于转型关键时期，需要加强信息化建设和关键统筹，支持转型战略的落实和风险防范。信息化绩效的量化数据为企业实现目标提供了合理的保证，能够把信息化直接和企业绩效对应起来，每一个信息化动作行为和部署都可以在绩效最后体现出来。

ITGov中国IT治理研究中心主任孙强也指出，实施信息化绩效评价迫在眉睫。

企业信息化成未来重点

当前，信息化程度已经成为企业核心竞争力必不可少的一部分。这对电信运营商也不例外。运营商市场竞争的空前激烈，使信息系统的重要性更加突显。目前，中国电信业已经迈入由大到强的重要机遇期。

信息产业部信息化推进司副司长洪京一指出，电信企业应把握信息化机遇，做信息社会主导力量。电信运营商一方面应在推进自身信息化建设上面做出表率，另一方面应充分认识电信运营业推进国民经济信息化和中小企业信息化的使命。

洪京一透露，信息化推进司在2007年将着重加强企业信息化建设，与有关行业协会推进行业和重点企业的信息化，发挥骨干和龙头企业的信息化进引领信用。同时，联合国家发改委、国信办推进中小企业的信息化。他表示，在推进中小企业信息化方面，运营商应结合自身转型过程中的信息服务，面向行业用户做出积极探索。“今后电信运营企业应更加积极发掘自身潜力，注意整合产业链的力量，在国家和企业信息化推进中发挥骨干的力量，并取得经济和社会效益的协调发展”。

洪京一指出，未来电信企业将立足信息化和信息服务业，持续推进以企业信息化为基础的行业信息化、以城市信息化为中心的社会服务信息化和以农业信息化为重点的领域信息化工作。

电信运营商要寻找业务的增长点，需要由传统的基础网络电信运营商转变为综合信息服务提供商。中国移动的“移动信息专家”和中国电信的“向综合信息服务提供商转型”，都已经开始立足于整个信息服务业的发展，突破原有业务领域，提出新的发展战略。(责任编辑：王林)

中国IT治理和风险管理的现状


2008 IBM IT 治理和风险管理高峰论坛在北京亮马河饭店隆重开幕，本次大会主题：“驾驭IT风险 护航业务创新”大会将在“改善服务管理;维持业务连续性;加强IT安全性”这几方面进行深
入的探讨，在大会上中国IT治理研究中心主任兼首席专家孙强先生进行了以“中国 IT 治理和风险管理的现状、挑战和对策”为主题的演讲。



在讲演中孙强先生表示：驾驭IT风险、护航业务创新这个话题我想主要从三方面展开，我们主要去看我们今天所面临的现状，我们的问题和挑战在哪里?针对这样的问题和挑战我们给出的对策是什么?在这样一个环境中，现状、挑战和问题都是一一对应的。



现状之一就是政府和监管机构正在不遗余力地出台大量合规的要求，所以在2001年的时候，我们可以认为在信息产业的发展上以及人类的历史上出现了一个分水岭，此后的年代我们称之为合规的年代。在这样的背景下，所有各方都是在治理和内部控制方面寻找更大的保障。另外一个现状是我们会看到在法规的遵从上不存在折衷与妥协，比如我们的企业要上一套ERP系统，高管层基于业务需求各方面的判断有可能同意有可能不同意，但是在外部的法律法规问题上没有讨价还价的余地，这成了非常大的时代特征。我们会看到有一些上市公司，包括中国最早去美国上市的，也是基于合规成本太高昂等等一些原因就从美国资本市场上摘牌了。除了国外中国的政府和监管机构出台了一系列在合规方面的法律法规的要求。



现状之二是我们会看到在中国的政府部门和企业的信息化建设正在大规模地进行，进入到整合应用和加强IT运维服务管理为主要特征的运行维护阶段，也就是在10多年大规模建设的阶段正在从建设阶段向建设与应用并重以及与应用和运行维护主要特征这样一个阶段转型。第二个现状就是治理型的运维管控体系成为IT服务管理的发展趋势，这点我们看的很明显。治理型的IT服务管理，至少有以下几个特征：



第一个特征就是高层一定要参与进来，高层要意识到它要对业务的可持续，IT如何为业务交付价值负责任。第二个特征是我们再去做像IT服务管理的项目，不会像此前那样上一套软件设计一套管理流程，现在变成一种新的模式，这种模式就是首先我们要决定我们IT治理的模式，基于IT治理模式决定我们管理的模式，比如这种管理模式有可能是集中的运维的管理模式。基于这种管理模式会决定我们的管理体系，比如流程的管理体系、规章制度的管理体系、绩效的管理体系、运维费用的管理体系、技术体系等等。在确定了管理体系之后，才会确定我们的技术体系，也就是说把以前第一步就做的工作现在放到最后一步。因为我们确定技术选型的方案再确定我们选用哪一家公司的软件产品。这是IT服务管理在这个时代的显著的特征。



在去年北京市电子政务的发展阶段有这样一个调查，这个调查表明北京市的电子政务的发展总体已经进入到深化应用和加强IT运维服务管理为主要特征的运行维护阶段，这里有一些数据，从2001年2007年上半年投到运维上的资金始终保持高速增长，运维费比2006年同比增加了10%、2007年同比增加20%，2008年初步预算增长约46%，并且在这张图上我们可以看到，我们用蓝色表示的是建设资金，蓝色在2007年的时候建设资金在持续攀升之后终于出现下降的趋势。



现在越来越多的采用外包，信息化的建设在2000年之前有很多还是由甲方自行地开发。2007年去看的时候，基本上100%的建设、开发全部是外包的，这是由社会专业服务机构来提供的，运行维护这块，我们看一下这块的比例，大概也有超过59%是由社会外包来承担的。



IT治理的五大领域成为关注焦点：第一，IT与业务战略的融合，这是非常大的挑战。应该说这是一个系统的问题，系统的问题按照中国文化来讲就是要用系统的方法来解决。第二，价值交付。第三，资源管理。第四，风险管理。第五，绩效管理。所有的这些都是为了统一的目标，就是提升我们的竞争优势，构筑我们中国企业的核心竞争力。现在突然出现了很多新的概念，很多的企业就搞不明白，他们会问：IT治理跟风险管理、跟内部控制、跟信息安全跟内部审计、外部审计是什么关系?是不是IT治理的工作就要由高管层去做，包括利益相关者?风险管理部门有风险管理的部门，内控有内控的部门，审计有审计的部门。因为这些东西在历史上的起源是各不相同的，它经历了不同的发展历程，但是在进入到信息社会之后，我们的企业在信息社会的条件下，这些概念开始融合了，比如风险管理方面，风险方面在原始社会，当时的人为了规避自然的灾害——雷电、风雨，他们躲到洞里面就视为风险管理的起源。其实风险管理在70年代的时候只用于保险行业，在出现了大规模的分布式、网络化的信息技术条件下这些概念开始融合了。



在未来我们可以看到，这些东西会变成一回事，因为它本质上都是服务于企业这一相同的目标，比如企业合规的目标，企业运营管理的效果和效率目标。现在我们不能把它看成IT治理就是基于高管层负责，风险管理由风险部门负责，企业里面还有信息安全的部门，他们觉得风险管理跟我没关系，我是做信息安全的，如果有这样的认识偏差会导致我们实际工作中无所适从。



现状之三就是信息化管理机制问题成为制约信息化快速发展的主要障碍之一。应该看到，现在我们国家的信息化建设要做的工作不是信息技术和设备的升级再造，现在它变成了业务流程的重组和利益的再分配，它变成了不是一个纯技术的事情了。这相当于我们国家的行政体制改革一样，它已经进入到深水区，涉及到体制和利益的调整，制约了一些部门和岗位的自由载量权，有些部门推进的积极性不高，造成业务与IT两张皮，使得地区间、部门间发展不均衡，影响了跨部门、跨地区应用的开展。现在电子政务的提法会在国内某些地区引起误区，我们应该提电子政务的提法，如果要提电子政务的话，每个部门就势必会想我要为我的业务做出一套系统出来，这样的话就会派生出很多的应用系统出来，事实上我们现在要建设的是服务型政府，包括企业也一样，最终是要为客户交付价值。我们去看CIO的缺失应该是缺乏IT治理的概念，在中国只有极少数的企业里面设立了CIO的制度。CIO不是在中国可以随随便便就可以开展的工作，但是我们还有一些创新的做法，比如在一些企业里面，并没有进入到高层的或者进入到常委、党组成员这样层级的CIO里面，但是它可以做覆盖信息化生命周期管控流程，通过明确这些管控流程，负责人巧妙地解决CIO如何协调各个职能部门处理跨部门的业务流程整合与创新的问题。这样会给我们一个思路，我们可以用创新的方法去破解关键之坎、制度之坎和体制之坎。



刚才我们谈的是我国IT治理和风险管理的现状。下面我们看一下挑战在哪里?挑战会有很多，在IT治理方面的压力和董事会的职责越来越凸显。在合规年代之前信息中心的负责人很少有机会和高管层对话，现在很多在美上市企业由于做合规的工作，可能一个月或者一个季度信息部的负责人都有机会向高层、董事长汇报IT控制体系有效性方面的工作。但是这个挑战其实是在于国内外，包括国际上对信息资产的监管尚无可遵循的标准。事实上，对信息资产的监管现在是没有标准的，但是我们对财务标准的监管是有标准的，国际上是有会计准则的，资本市场也有一系列的关于财务报告的要求，中国的财政部也有很多的关于财政管理的规章制度，也是有一些标准的。在信息资产的监管上现在全世界是没有标准的，由于其他的一些客观原因，董事会对IT是不进行监管的，因为它只是一个工具而已，它并没有变成影响到全局的东西，所以董事会当然不会去监管。但是在今天来说，对财务不进行审计是一件非常危险的事情。我们也会看到，我们与发达国家和先进企业的差距在于，这些企业大概在十年之前就开始了IT治理的征程，我们会看到我们与他们的差距不是在技术和设备的先进应用上面，我们可能用到的技术和设备比他们还要先进，是在治理的水平和管理的水平上面的差距。



挑战之二是监管我国的信息化正在进入以整合应用和加强IT运维服务管理为主要特征的运行维护阶段，比如我们现在所遵循的IT治理标准主要都是国际上的，在这方面中国整个信息化建设的制度安排基本上是健全的，比如建设阶段对厂商资质的管理、软件开发商的资质管理，有集成资质的认证，包括有做绩效评价的一些方法，还有监理的管理办法，这都是由中国政府部门颁布的。包括有验收的管理办法，整个的制度安排是比较健全的，但是现在在信息化生命周期最源头就是关于IT治理的标准，IT服务管理的标准有了一个非常好的全球的最佳的ITIL，这个东西对我们来说是非常好的，从最近几年的发展势头来看，大概是在IT服务领域已经处于垄断地位了，在这种情况下，中国的企业和中国的政府部门需要基于最佳时间发展出来有中国特色的符合企业特点的IT服务管理的知识体系和管理规范。



去年因为我们做了一些调查研究，有这样一些数据，就以北京市为例，所有的政府机构共有信息化工作人员789人，这些人员当中，90%以上的人员对运维的国际标准，ITIL和ISO20000表示未听说或者未了解。从事运维的人员基本上都没有国际公认的从事运维的上岗证书，就是ITIL的认证。71%的部门领导认为运维比建设更重要，但内部运维力量不足，一方面是人员不足，核心业务系统按370个来计算，假设所有人员参与运维，平均每个系统运维的人员仅有两个人，现在政府的应用系统可能是服务于上千万的我们的老百姓，但只有两个人员在运维。另外一方面懂运维的人非常少，全市的运维工作大多数是外部企业承担的，共有130多家，外包的能够提供运维工作的有130多家。提供安全管理工作的有30多家，在所有的运维服务企业中，仅有一家拥有ISO20000的证书。89%的企业集中提供简单的技术设备、网络和系统的运维，比如提供桌面的运维，只能提供一些简单的运维服务。这也是一个很大的挑战。



大家一方面越来越意识到运维工作的重要性，但是这件事情到底应该怎么去干，没有知识体系、没有管理规范去遵循，所以并不知道怎么去做。



挑战之三就是信息化管理的体制和机制层面的障碍导致了以下问题面临着极大的挑战：IT战略与业务战略的融合，IT能力与业务价值去协调，从而核心竞争力使IT投资获得最大的回报。为什么体制和机制层面的障碍会导致这些问题呢?因为我们讲IT要与业务融合，首先在治理层面就是IT与业务要融合。我们在前面看到的那些发达国家、先进企业，他们董事会里面不光有薪酬委员会、投资委员会、审计委员会等等，还会有一个IT委员会，这个委员会负责治理层面的IT和业务的融合工作，因为如果在治理层面失之毫厘，那在操作层面就会差之千里。在座的各位都是信息化部门的领导，如果在高层IT和业务失之毫厘，虽然在下面做了很多的IT业务的精细的管理工作，但它们还是不一致的，还是两张皮的，这个问题还是要从机制和体制问题解决它。



另外一块，我们讲到CIO所面临的新挑战就是要成为IT控制的专家，内部控制最早只是应用于财务管理的领域，在座的各位可能都是信息技术方面的专家，现在要求如何将IT与业务战略融合，IT的能力与业务的价值相匹配，然后将整个信息化的建设生命周期都置于严格的控制下，那样才能创造出最大的业务价值，所以其实是要我们成为一个控制的专家，这对于我们来说是非常大的挑战。首先从知识体系来说就是一个非常大的挑战，并且我们要把IT的控制和我们整个的企业的控制、企业层面的控制、业务流程层面的控制相融合，这又是一个非常大的挑战。所以基于前面讲到的现状、挑战，我们给出的对策就是实施IT治理，实施IT治理我们可以认为是信息的治理。曾经郑和信息治理做的非常好，中国信息治理做的好的例子太多了，中国的长城在秦朝的时候，来自周边地区少数民族的军事上的进攻非常多，又要守卫着这么大的疆土，所以在秦朝的时候修复了长城，它用来传递信息，在明朝的时候现在甚至把长城修到了海里，彻底阻断了倭寇进攻的路线，中国在唐朝的时代是世界上最发达的国家，军事实力也是最强大的，这表明在中国3000年历史中信息治理做的好的比比皆是。



今天我们在IT风险上面临着几大挑战，必由之路就是要去实施IT治理，这里面我们有很多的观点，由于时间关系，只能给出一个基本的思路：



第一步，我们需要建立IT治理与风险管理的机制和框架。也就是第一步需要我们把蓝图做出来，我们现在在哪里，要到哪里去，中间这块怎么才能做得到。



第二步，需要找一位有IT领导力的领导者，他统管IT治理与风险管理的机制和架构。这不管在国外还是中国企业都是这样，有领导力的领导者太重要了。



第三步，企业需要通过事先设计的组合管理方法来综合性地应对IT风险。最重要的是要指出风险管理的本质与最终目标是要塑造具备良好风险管理意识的企业文化，这才是一个具有优秀信息技术能力的、创新型与学习型的企业所要具备的基本特征。我们曾经要做一些IT治理和IT管理的顾问工作，一开始做这个顾问工作的时候，甲方觉得这么大的工作量都由我一个人来负责，这怎么能行呢?我们跟他讲你要把IT治理和IT管理所遵循的国际标准，去严格地实施IT管理所遵循的流程，逐步地把它形成一种文化。大概是在十天之前，我们再去这个客户那里做调研的时候，他们告诉我们，在昨天我们配置管理流程的经理主动地发起一次讨论，他基于平台上搜集来的信息、基于他的观察和其他人的建议，召集大家主动地做这个流程。这需要变成一种文化，变成不是有规章制度要求他做这件事情，而是大家觉得我要做这件事情，这就是文化。它本质上确实是一个文化的问题。



最后，我们去看看IT治理实施的路线图，这个实施路线图的遵循应该是从世界观到方法论再到具体的操作实践的思路展开。我们做这件事情，IT治理仅仅是一个方法论的东西，首先要确定我们要建设高效可持续发展的信息化，把这个作为我们的世界观，当然这个具体内容我们有一系列的文章，什么是科学的信息化发展观?这在互联网上大家都可以搜索到。确定了世界观之后，我们就需要从体制和机制、制度安排的层面做一些设想、设计，这就是IT治理的工作，我们要设计这个框架是什么样的、机制是什么样的，谁来治理、治理什么?治理的内容是什么?如何去评价这样一个治理?去设计这样一些工作。



在打好了这样体制机制制度安排的基础上，我们就可以逐项进行IT风险管理工作。为什么叫IT的风险管理不叫IT的管理呢?因为我们有这样一个研究，我们发现现在所有的管理都是风险管理，所有的管理都是绩效管理，所有的管理也都是流程管理，其实它是一回事，所以我们以后把IT的管理就叫做IT的风险管理，不再是以前的投入产出的问题，而是风险与收益的问题。



首先，IT治理和风险管理是需要长期制度化的方法来实现的工作，它不是一蹴而就的东西，需要我们要以一个平常心来看待它。因为很多企业试图让我们用半天的时间告诉他IT治理是什么，到底是什么工作，这不可能做到。



第二，我们一定要以全球最佳时间为出发点，例如ITIL等。当然我们应该站在巨人的肩膀上。如果我们的企业都遵循这样一种控制流程，这个控制流程的目的就是用来改善企业的内部控制系统，进而达成合法合规这样一个目标，就会给我们企业带来一个持久的收益。



一旦中国的企业形成了与企业文化相适应的良好治理结构和治理机制，这就会成为中国企业国际竞争力的核心源泉。(chinabyte)