爱华网随着国际竞争的加剧,许多组织在信息技术与信息系统方面进行了大量投资,以寻求获取竞争优势。IT成为企业中最大的支出:占到企业总投资预算的50%,公司收入的4%。但是企业对IT的投资却往往无法带来令人满意的回报,甚至给企业带来很大风险,这些问题不仅阻挠了企业进一步开展信息化工作,也令信息技术领域的学者感到困惑。 IT面临的问题首要的是IT价值交付或IT投资绩效问题,即著名的“IT生产率悖论”。全球经济论坛首席经济学家史蒂芬8226;罗奇教授于1987年4月22日在《全球经济论坛经济时事通讯丛刊》上发表了题为“美国技术的两难境地:对信息技术的剖析”的文章,该文指出“计算机化的迅猛增长与经济绩效之间没有多少关系,对那些‘信息工人’人数多的经济部门尤其如此”。在1987年,诺贝尔奖获得者、美国经济学家罗伯特8226;索洛提出了著名的“生产力悖论”:“你可以在世界任何角落和生活的各个领域看到计算机时代的影子,但是在经济统计年鉴上除外”。索洛指出,有很多企业虽然经过长期和巨大的IT投资,但是这些投资很难从企业的经营业绩中体现出来,或者即使实际上有贡献,也很难界定这些投资到底为企业创造了哪些贡献,信息化投资和耗费与企业得到的业绩回报不成比例。美国年营业额在5亿美元以上的企业中,有90%的企业都遭遇过信息化失败。根据一项经过长达5年,对全球很多典型企业进行长期跟踪的调查显示:企业信息化存在巨大的风险,企业信息化就像是一个黑洞,不断吸钱进去,但取得的效果不佳。2003年,全球的金融服务企业在IT方面的投资金额超过了2350亿欧元,这些费用占了大型银行整体非利息支出的15%~22%,但据调查发现,只有31%的受访者表示已经从投资中回收;1997年Strassmann提出“浪费在计算机化上的钱比它创造的钱要多”。根据我国商业部的研究数据,2007年,中国行业信息化投入为4236.2亿元,比2006年的3703.3亿元增长了14.1%。不管从哪一个角度,4236.2亿元都是一个庞大的数字,这其中一个不争的事实是,每年IT投入的增长率远大于生产力的增长水平,更大于GDP的增长速度,这说明了信息化建设中存在着大量无效投入。 企业面临日益严重的IT风险。企业在IT建设的整个生命周期当中的都面临着大量的风险,有效管理这些风险将是企业未来12~18个月最为关注的7个问题之一。IT与业务战略一致性风险IT战略与业务战略脱节是治理不到位所导致的风险的突出体现。ITGI对CEO和CIO进行的调查显示,93%受访者认为IT对企业战略重要和非常重要,但36%的调查对象认为目前IT战略与业务战略之间的匹配问题难以令人满意。美国信息管理协会(SIM)自1980年以来定期调查信息管理领域最重要的问题,近年来的调查表明IT与业务战略的匹配问题已上升为最重要的问题。中国IT治理研究中心(ITGov)也将IT战略与业务战略的匹配问题列为IT治理的首要问题。伦敦证交所1993年取消的耗时10年,花费达1亿美元的“金牛座”计划和2004年以失败告终的英国电子大学的失败(耗资6200万英镑),无不是战略性失败。Neirotti、Paolucci在1998—2003年通过案例研究和对30家意大利公司的调查得出结论:IT治理和IT管理实践的不同导致他们IT应用效果的差异。王众托院士认为“信息化工程的失败归根到底是信息技术和管理业务的脱节”。Luftman和Brier 研究发现影响IT规划与业务规划一致性的6个最重要的驱动因素和6个主要的限制因素,见表1-1战略整合的驱动因素与限制因素。这些因素主要集中在IT与业务的沟通、IT组织架构以及IT管理人员的能力等方面。表1-1 战略整合的驱动因素与限制因素驱 动 因 素 限 制 因 素高级管理层支持IT IT与业务缺乏紧密联系IT融入战略发展 IT层次不分明IT了解业务 IT难以满足承诺业务与IT的伙伴关系 IT不了解业务层次分明的IT方案 高级管理层不支持ITIT领导力 IT管理缺乏领导能力(1) IT项目风险IT项目投资大,周期长,风险大。Verhoef和McFarlen的研究发现,在IT风险排序中,项目风险列在首位,特别是大型项目。从事技术研究与咨询的Standish 集团从1994年开始对公司IT项目进行周期性的研究,耗时7年。他们发现公司IT方面采取的行动失败率很高,一半以上(53%)的IT项目超期并超出预算,IT项目的1/3取消,项目的超期平均是初期估计值的222%,仅有不足16%的项目,是在最初的时间计划和预算控制内完成。他们还发现完成项目的比例在大公司中甚至更少,这一比例是9%。即使在完成的项目中,也只有42%的项目成功交付,实现了最初的计划要求。项目失败的原因在于企业IT 项目管理控制能力差,管理成熟度低。(2) IT运维风险IT项目完成后进入运维阶段,这是IT为企业创造价值的阶段。在这个阶段中,企业不但会投入甚至比IT建设投资还要多的运维资源,而且还会面临许多风险。当前,我国信息化已经进入建设与运维并重和以运维为主要特征的阶段,这也标志着延续多年的信息化推进方式要有根本性转变;2008年,ITGI全球IT治理状况报告中,IT服务交付风险被认为是最重要的IT风险之一,排在第二位。“随着实时企业观念的推进,即使是最小的中断—— 关键业务系统几分钟或是几小时的储运损耗、关键供应商或是外部服务供应商服务的中断、都可能带来极为严重的商业后果”。2006年4月22日银联由于准备上线的某外围设备的隐性缺陷,诱发了跨行交易系统主机的缺陷,使主机发生故障。全国近9亿张银联卡整整7个小时不能正常跨行ATM机取款和交易。2006年10月11日,首都机场离港系统瘫痪50分钟,几千人滞留机场,多驾飞机延误。南京火车站电脑售票系统突然发生死机故障,整个车站售票处于瘫痪状态;广东省工行因系统故障,全线停业一个半小时等等。据调查显示,这些IT运维事件中20%是技术原因,80%是IT服务管理控制不完善的结果。(3) 信息资产的安全风险所谓信息资产是指“一种在资产负债表之外,结果逐渐积累,可以被用来提升竞争优势的信息”。美国联邦审计署把信息资产看做重要的国家基础设施。然而国内外病毒破坏、数据被盗或被篡改等信息安全事件频繁发生。澳大利亚CD环球保存了30万客户的信用卡记录,黑客盗取了25 000份信息卡资料发布在互联网上。2006年2月27日,北京市二中院开庭审理程稚瀚涉嫌利用网络技术手段盗取北京移动通信公司充值卡密码,致使北京移动通信公司损失近380万元一案。风险控制能力的缺失使中国移动投入1.2亿元建设的网络安全不堪一击。这些事件暴露出企业存在重大的信息安全控制缺陷,其实一个外包人员密码管理制度的执行就可以避免类似中国移动的事件发生,很多安全问题,不在于安全技术的先进与否,而在于我们的信息安全意识和信息安全管理制度。IT系统及存储在其中的信息资产的保护在组织中日益成为战略要求,信息技术内部控制也将成为内部控制发展的另一个焦点和方向。(4) 合法合规风险2008年,ISACA公布了“全球最受关注的业务/技术问题”调查报告,受访者为3173位IT管理者、IT审计或合规人员以及信息安全管理人员,结果显示合规问题是今后企业最重要的问题,名列首位。由于信息技术风险的影响越来越大,各国际组织和政府部门相继出台IT风险控制相关标准与规范。欧洲、日本等各国纷纷加强了对企业IT控制的严格要求。信息技术对内部控制的影响已经引起各类协会组织的关注,国际信息系统审计与控制协会(ISACA)、内部审计师协会(IIA)等组织都提出了相应的信息技术内部控制框架,美国注册会计师协会(AICPA)也考虑信息技术对内部控制的影响,修改发布了相应的审计准则。在我国,国务院国资委2006年发布的《中央企业全面风险管理指引》和2009年7月正式实施的《企业内部控制基本规范》也对IT控制进行了规范。从以上分析可以看出,IT价值交付的过程就是企业管理控制IT风险的过程,IT给企业带来价值与善治的IT治理(IT管理)密不可分,具备IT治理(IT管理)能力不仅是企业实现业务目标的内在要求,也是合法合规的外在要求。
但是,目前由于企业对IT治理(IT管理)缺乏正确的认识,许多企业IT治理(IT管理)能力低下。ITGI国际总裁林恩8226;劳顿曾说:全球有许多组织由于没有实施有效的IT管控措施,都在无谓地牺牲资金、工作效率和竞争优势。我国企业在遵循SOX方案上也曾交过高昂的学费。善治的企业能够给利益相关者带来更好的回报,信息技术管理也不例外。企业高管需要对IT工作进行指导、监控和评估,适当控制与IT有关的风险,开展IT商业价值评估。IT风险的产生归根到底是企业IT治理(IT管理)的缺陷引起的。IT治理(IT管理)可以通过识别并分析IT价值交付过程中的风险事项,采取适当的风险管理策略,确保企业IT投资持续稳定地发挥价值,这就是IT治理(IT管理)的目标。
