管控中的ＩＴ治理

最近越來越多的CEO對公司治理越來越關心了。最簡單兩個原因，一是明年7月1號之前，所有上市公司都要遵從新的內控指引—中國的“薩班斯規范”。這個規范就直接要求公司總經理、財務總監不但對市場風險，客戶風險，還要對運營風險要極其負責。而很多運營的數據都是IT，所以有特別的法律針對IT的風險責任。二就是最近國資委下令所有下面的單位加強IT的內控，要求他們要有評估報表并將這些報表給國資委打分。很多單位發現自己的分數很低，所以責任落在了CIO們頭上，要求他們怎么改善治理。

對于治理，人們有不同的看法。實際上IT治理的目標只有一個，就是怎么樣強化IT跟業務的互動，更具體的就是我們怎么樣充分利用IT來支持業務。IT治理不是虛談，它可以改變人的決定。治理不是一個目標，它是一個過程，它的目標就是讓IT充分配合業務。所以我認為，一方面，治理離不開組織，這包括組織的定位、組織的功能、組織的權和組織的能力。另一方面，要有流程，有流之前要有更清晰的IT的策略。還有，治理的控制點要充分融入到所有IT流程里面去。

人要引導IT的工作，所以治理是需監控的概念。要有一個獨立的組織來確定政策落地和推行，這需要內部審計功能，有效推行治理的不是要找一個人—CIO或財務，要有分工，要組織化，要推行有監管、有治理的IT進程。

另外，我們在實施IT之前要有一個清晰的IT政策，IT政策不但要反映到企業的使命、企業的決策中，也要反映到企業外部，比如說行業指令等等。還有就是在治理和實施方面企業有什么目標，這是審計師做出來的，不是IT做出來的。所以很重要的一點，企業需要一個清楚的治理標準。

CIO怎么做好自己的工作？一方面要提高自身的技術能力，一方面還要優化IT的架構，推行IT的治理，協助CEO把工作做好。在中國當好CIO不容易， IBM做過關于CIO的調研，確實，CIO的企業地位都沒有被很好地被定位和了解。根據我們的調研，CEO們很清楚地指出來，有些創新是CIO可以幫忙的，但是都沒有做好。一是推動業務流程的優化；二是IT系統太僵硬，很難改，不靈活，所以變成IT系統更新趕不上業務的改變；三是企業內有太多技術孤島，不能能很及時地收集數據。

CIO要提升自身戰略性的地位，怎么樣提升自身戰略性的地位呢？起碼有兩條路，一是可以致力于環保和綠色生產；二是為企業與用戶之間建立起服務水平的鑒定與溝通渠道。

IT是不能缺少的，但傳統對IT的認知，如技術平臺、網絡應用、提供服務，以及透過一些組織和流程來提供服務，太過簡單，我認為已經過期。從兩個方面來看，第一，缺少治理的觀念——整個IT怎么跟業務更吻合，更配合。第二，忽視了IT關注內控的功能，現在IT已經是無孔不入了。我們不但要通過IT達到某個功能，還要用IT技術避免某些欺詐的行為，讓IT 達到內控的目標。