在一次全国性的CIO会议期间,有位CIO同行曾经跟我说他们企业包括总裁在内的董事会成员根本没有意识到企业的日常运营已在高度依赖信息系统,而企业却对IT的投资风险、转移成本、投资收益和商业价值等问题没什么概念、缺乏关注,更无具体要求。此外,董事会并没有像对财务管理定期审计那样有真正意义上的IT监管,这样的高层理念决定了这家公司严重缺乏IT方面的基本知识和管理经验。当时,我与在场的一位企业董事长、一位管理咨询公司的高管经过一番争论、辩论和讨论后,认为该企业的董事会在IT治理方面存在比较严重的失职。
有企业管理专家认为,人力、金融、实物、知识产权、关系和IT资产是企业的6大关键资产。如今,企业治理机制是否完善和有效,也体现在企业是否有效开发并整合好这些资产以产生尽可能大的商业价值。我认为,尽管治理水平有差别,对人力、金融、实物这3大传统关键资产的认知和重视度,中外企业相差并不大,而中国企业向来普遍重视各种内外部关系的维系,对专利、商标、品牌、商誉等知识产权的认知和重视度也在不断提升,而相比其他5类资产,尽管应用IT的水平不算太落后,但是中国本土企业对信息和IT资产(指各类电子数据、IT信息系统、相关流程和知识等)的认知与重视度是最差的、IT治理水平也最低。
IT治理的理念传入中国是近几年的事,据我所知,除了跨国企业的国内分支机构或合资合作企业,国内鲜有实际案例或“最佳实践”。讨论IT治理离不开公司治理,经济合作与发展组织(OECD)在《OECD公司治理原则》中将“公司治理”定义为“为确定组织目标和确保目标实现的绩效监控所提供的治理结构”。公司治理要解决的问题是何为组织目标、实现组织目标需要由哪些人用什么机制来做出哪些决策,以及如何监控这些决策,而管理是解决这些决策应如何实施与贯彻。我认为,IT治理是公司治理的组成部分,也是公司治理结构、体系和机制的体现,核心问题是IT相关决策权力归属、责任划分和相应的决策机制,应该和公司治理一样没有单一的模式。
企业的“内部控制”是企业各级监督者、管理者和员工们共同参与实施,为了实现控制目标的过程。国际上各类企业治理指引都是旨在引导企业建立有效的防范风险和控制舞弊机制。我认为,可以将企业内控体系的构建与完善视为完善公司治理结构的手段和方法,IT治理则更多是企业战略的组成和延续,IT管理是IT战略的实施与贯彻。企业整个内控体系构建与完善过程中涉及IT治理和管理的部分,政府和监管部门发布的规范、指引、体系、框架都是IT治理和管理的科学手段。IT治理要想达到好的实施成效,需要企业根据所处的内外部环境、自身的基础条件、掌控的各种资源情况以及高管层的风险偏好等各种因素综合考量,选择适当手段、学会用好方法,更要选择好实施时机。
我认为,对国内本土企业来说,IT治理、内控和公司治理一样,都不是全新的理念,企业多有实践,只不过因为IT建设与投资往往涉及前述其他五项资产,IT治理显得更为综合和复杂,主要问题在于企业是否已形成完整、科学的体系,包括制度、组织体系、流程、方法论和可度量的绩效指标,治理机制是否确实有效,高管层是否确实认识到还有值得改进和完善的地方,以及有无有效举措。比如,企业董事会的IT决策权、CEO的IT领导职责以及CEO应该对CIO授予哪些权力等问题是否够明确;此外,还涉及IT决策是否有明确的流程、IT重要事务是否有明确的职责划分等。
我曾就IT治理与内控问题,与专家、同行进行过多次深入探讨,并查阅了不少权威文章,我发现大家对IT治理上的共同观点是:IT治理应涉及企业IT应用的总目标、基本原则和策略、IT总体架构、IT核心技术平台、关键IT应用、IT投资和优先权与次序这6大问题。而这类决策应该在企业董事会、CEO或CIO之间划分职权。例如,像IT投资额、IT投资在哪些业务和流程上、哪些IT能力应该集中在总部、企业需要什么水平的IT服务、企业可接受的IT安全和隐私风险程度、由谁为IT建设或投资失败负责等,这类决策更不应该由CIO或IT经理等更低级别的个人单独决定。其他重要的IT事项,如IT战略规划、重大IT解决方案和系统选型、重大IT项目合作伙伴选择,以及重要的IT资产处置、重要的IT人事任免等,也必须由企业的IT治理、监管或管理委员会之类的机构按照制度和规定做出决定,再由CIO、IT负责人贯彻实施。