企业风险控制需要IT治理,然而它的具体应用也要考虑中国国情的特殊性。
信息技术从其诞生,一直至今,绝大多数的企业和个人都认识到了它的威力。信息技术的魔力和信息技术黑洞就像一对孪生兄弟,成为信息化建设过程中一对由来已久的矛盾。要投资IT吗?要搞信息化建设吗?答案都是肯定的,可是到底如何才能使其回报对得起自己的投入呢?
在如今的信息化水平下,即便是国外较为发达的状况下,一谈到IT相关问题,大多数人想到的仍然是管理与控制,而不是“治理”。
国外尚且如此,那么国内呢?我们到底需不需要IT治理呢?IT治理真的只是一个概念吗?IT治理的确“上能通天”,可是对于务实的中国CIO来讲,更需要的是“下能达地”。
“中国式”IT治理
我们必须承认一点,IT治理的确不是企业的任何发展阶段都需要的,而是企业信息化发展到一定阶段的产物。一个尚处于手工管理信息,或者IT投资额所占比例不大,影响较弱时,谈IT治理有些过于“阳春白雪”。
但企业要想强大—解决了生存问题再图谋更大发展时,IT治理的作用就非常突出。
中国的企业是否需要IT治理,不能一概而论。事实上,目前已有一些我国企业正在或已经实施了IT治理,只不过有些不这么称呼罢了,毕竟信息化建设越深入就越演变成一种变革,要的只是实际效果。比如政府的金财工程也提出了IT治理模型,中化集团在CIO彭劲松的领导下也实施了基于COBIT的IT治理实践,再比如深圳三九医贸公司的CIO李士峰提出成立IT项目委员会负责公司所有IT项目的审批、验收、资金控制、人员职权和考核等,拉开了IT治理的帷幕。
同时,IT治理在中国会遇到许多国外没有的特殊困难,也是不容回避的事实。
2007年5月31日,中国网通集团所属的中国网通集团(香港)有限公司以零缺陷的测试结果通过了普华永道会计事务所对其财产报告的内控审计,成为率先过关美国《萨班斯—奥克斯利法案》404条款的国内电信运营商。有人说,这标志着国内运营商开始进入“后法规遵从”时代,运营商将面临审计合格后的持久性内控建设。
实际上,自2004年年末,网通就开始推进内控体系建设,确立了风险管理与内控体系建设的指导原则和实施步骤。作为公司萨班斯法案小组组长的网通CFO李福申曾表示:“原来我们过度地把西方的东西看成和中国的水火不容,其实并不一定如此。不要僵化地理解和执行美国的公司治理和404条款,一定要和所在国家的实际情况相结合。”
黄先生是国内某银行软件开发部的成员,作为软件的开发者,他对软件开发过程中的安全和和法规遵从两方面都不太感兴趣。
他说,“这不是我们考虑的问题。法规遵从是在业务部门提需求时,银行的法律合规部门介入,看提出的需求符不符合法律的需要。我们只需要满足业务部门的需求——业务部门都很强势,只要按时把项目完成,其他都可以忽略。”
在中国,有很多有中国特色的特例。很多情况可以轻描淡写用一句话带过,那就是国情不同。但从某种程度上来说,是否重视安全和法规遵从,反应了企业对这两个问题的态度。企业要意识到IT治理不是一个部门的问题,而是整体的一个架构。真正的安全应该是端到端的整体安全,随着企业的整体安全越来越被关注,也许,企业的软件开发部应该和法律合规部一起思考这个问题。毕竟在软件开发期间把这个漏洞找出,成本会大大降低,很多用户缺少的是提前防御的意识。
一些国际厂商也在对用户宣扬这样的理念。IBM公司在2007年7月20日对外公布完成了对Watchfire公司的收购,在Rational软件中加入了安全和法规遵从的部分。在软件开发的源头加入控制安全和法规遵从,也许可以使软件更安全。但要想使企业更安全,需要改变的是人的意识。
我们需要全新的安全
再来说说安全,对于企业来说,安全问题无疑是一个至关重要的问题。在中国,只要你不去美国上市,萨班斯—奥克斯利法案好像离我们很遥远。
而在美国,企业都会被要求对公司实施安全方面的控制,否则CIO、CEO会受到仅次于谋杀罪名的法律制裁。
新加坡的一家银行,有500个小额帐户的信息被泄露,导致40000个用户觉得此银行不安全,把自己的资金转走。500个小额帐户和40000个用户相比,储户更在乎的显然是对银行的信心。
即使是一些比较著名的公司,包括杜邦、黑莓、CNN等,也都在过去几年中遭遇过安全方面的危险。杜邦、黑莓、CNN面临的威胁都是来自于外部,而内部的风险往往都是来自于内部的成员没有很好的遵循内部的规范。
1
2
下一页>>
