爱华网IT治理的提出,一方面因为信息已经成为我们最宝贵的资产之一,IT在组织中已经扮演一个影响到上层建筑、影响到组织全局、影响到治理层面的角色,信息技术不仅仅是生产力,也在生产关系中发挥重要作用。另外一方面与全球瞩目的焦点难题—— 政府治理与公司治理亦有着深刻的渊源。1. 政府治理与IT治理政府治理在我国目前主要表现为行政管理体制改革,电子政务在推进行政体制改革中发挥着至关重要的作用。建设“电子政府”也已经成为世界新一轮政府治理创新和衡量国家及城市竞争力水平的标志之一。中共十七大报告对此有明确定位:“健全政府职责体系,完善公共服务体系,推行电子政务,强化社会管理和公共服务”,“加快行政管理体制改革,建设服务型政府”,“建设服务型政府,首先要创新行政管理体制。要优化政府组织结构,加强公共服务部门建设,推进以公共服务为主要内容的政府绩效评估和行政问责制度,完善公共服务监管体系,加快法治政府建设,全面推进依法行政,依法规范政府职能和行政行为。”针对以上定位,中国IT治理研究中心(ITGov)认为:一是要建立 “责任型政府”,其标志是有“健全”的“政府职责体系”,即一个权责相协调的、对其行为高度负责的政府;二是建立“服务型政府”,从以往管制、管理转向服务的新观念,即树立以公众、老百姓为中心的新的政府管理理念;三是建立“法制型政府”,即加强政府法制建设,大力推进依法行政,为建设服务型政府提供有力的法制保障。十七大提出的加快服务型政府建设的改革发展新思路,必将对我国电子政务的整体发展趋势产生重要影响。在这个过程中,构建善治的IT治理,发挥信息技术优势,亦对推动政府治理创新、建设服务型政府至关重要。经过具体分析,中国IT治理研究中心(ITGov)认为将体现在以下3个方面: (1) 落实十七大精神,我国电子政务建设应当以全面支撑行政管理体制改革和政府治理创新为当前的工作目标和最高原则。从信息化的意义上讲,服务型政府的时代特征是信息化条件下以公众为中心的政府职能模式,即国际上所说的电子政府。推进电子政务是建设服务型政府必不可少的关键要素。我们遇到的新挑战是:既然行政管理体制改革的目标是建设服务型政府,则电子政务如何发展才能支撑我国行政管理体制改革,成为政府管理创新的信息化平台? (2) 针对十七大提出的“加大机构整合力度,探索实行职能有机统一的大部门体制,健全部门间协调配合机制。精简和规范各类议事协调机构及其办事机构,减少行政层次,降低行政成本,着力解决机构重叠、职责交叉、政出多门问题”,我们遇到的新挑战是:当前分别建立在各部门的电子政务系统如何适应和支撑大部制要求的整合或精简行政层次?在行政管理体制改革时期,能否保证政府的服务能力和服务水平不会下降或中断?是否会出现伴随行政管理体制改革而发生电子政务系统的废弃或重建?中国IT治理研究中心(ITGov)认为,应当研究和探索跨部门电子政务应用整合的治理机制与管理模式问题,尤其关键的核心问题是探索建设能够适应政府行政管理体制改革中机构不确定性的电子政务绩效评估模式,使之成为电子政务创新发展的动力机制。(3) 针对十七大提出的“建立健全决策权、执行权、监督权既相互制约又相互协调的权力结构和运行机制”,应当研究和探索跨越大系统的电子政务业务协同与整合问题,统筹建设符合广义电子政府(e-Government)要求的电子政务 (包含司法、行政、立法在内,统筹党委、人大、政府、政协、法院、检察院系统)新型治理机制和管理架构,这是当前电子政务建设正面临的迫切需求和严峻挑战,亦是国家电子政务总体框架的明确要求。我们遇到的挑战是:当前的电子政务如何适应跨越大系统、跨部门应用的迫切需求?针对上述行政管理体制改革的需要,中国IT治理研究中心(ITGov)认为,我国电子政务发展正在步入“深水区”,其本质上是某种形式的“政府再造”,绝非传统意义上的信息技术和设备的升级换代。我们正面临着新挑战和新机遇,电子政务必须支撑我国行政管理体制改革,成为政府管理创新的信息化平台。因此,在电子政务制度安排上迫切需要完善和创新。即适应行政管理体制改革需要,我国电子政务建设需要进一步研究和探索更加符合未来电子政务发展的新型治理机制。它应当满足:更科学有效的跨部门、跨业务流程、跨越大系统的建设领导、协调指导、顶层设计、安全管理、资源整合和深化应用需求的电子政务治理框架;并将以上方面通过严格的电子政务全流程管控体系加以实施,也就是要构建面向政府治理创新的、善治的IT治理机制[ ]。2. 公司治理与IT治理公司治理问题一直是企业制度与组织的核心问题。尤其是近年来,因上市公司频频“惊曝黑幕”,“公司治理”成为全球性的问题。从美国的安然、世通、施乐等粉饰业绩甚至导致企业崩溃的案件,到我国银广夏等事件,都使得公司治理正在成为企业议事日程中最重要和最迫切的任务。公司治理是一种对公司管理和运营进行监督和控制的体系。它的核心是在所有权和经营权分离的条件下,解决好所有者和经营者因利益不一致而产生的委托——代理关系。其目标是降低代理成本,使所有者不干预公司的日常经营,同时又保证经理层维护股东的利益,实现公司价值和利益的最大化。而公司股东与经营管理者之间的信息不对称性或不完全性,容易导致公司治理的失效甚至失败,也是导致大的舞弊风险出现的主要原因。因此,有效解决公司重要信息(包括财务信息和非财务信息)的真实性、准确性、及时性,通过有效的传递、鉴别和处理,协调高管层、董事会、股东和公司其他相关利益者的相互作用所产生的具体问题,并通过获得信息的监督者与决策者的沟通与决定实施有效的控制,是完善公司治理的一个重要方面和手段。为了解决现代公司中广泛存在的委托—— 代理问题,就必须在公司治理的制度中,重视委托与代理之间的信息不对称问题,通过对公司重要信息有效的传递、鉴别和处理,使代理成本最小化,提高企业的经营绩效。为什么说IT治理与政府治理、公司治理密切相关呢?这需要追溯IT治理的起源。
3. IT治理的发展历程在古代军事通信中,利用烽火狼烟等工具传递信息,满足其决策管理需求,可以认为是信息治理的起源。根据史书记载,约2700年前,中国的周幽王时期(公元前781~770年)就有了利用烽火传递信息的办法。秦始皇统一后修筑的万里长城,其作用之一就是利用及时的信息传递来满足管理国家广袤边境的需要,更是史上利用技术工具手段服务于管理需求的信息治理的奇迹。公元1405—1433年,郑和率数百艘大船,数万人的庞大船队,历经亚非30余国,涉10万余里,完成了七下西洋的伟大历史壮举,更是彰显中国人民举世无双的组织治理、信息治理与风险管控能力。20世纪80年代以来,随着信息技术的快速发展,特别是分布式计算和互联网的普遍应用,一方面我们认识到应用信息技术的战略重要性,另外一方面,信息技术所蕴含的巨大风险,导致信息技术日益成为悬在我们头上的达摩克利斯之剑。IT治理迅速成为全球政府、企业、学研机构、社团组织等共同关注的话题。1999年,英国BSI(国际清算银行)发布了Internal Control: Guidance for Directors on the Combined Code(内部控制:全面风险管理指引)报告。该报告提出了信息技术风险对公司治理的影响,引入了内部控制的要求,并指出,有效的公司治理必然需要有效的IT治理和风险管理。BIS将信息风险管理融入企业的操作中,鉴证企业中信息技术交付的价值,及时向相应的管理层汇报,其目的主要在于解决委托与代理之间的信息不对称问题,通过对公司重要信息有效的传递、鉴别和处理,使代理成本最小化,提高企业的经营绩效。1994年TSE发布的题为“董事何去何从?提高加拿大公司治理的指南”中就认为:整合企业的内部控制和管理信息系统是董事会的5个“首要责任”之一,对此责任的解释是有效地履行董事会的责任需要有效的控制和信息系统来支持。例如,在批准企业战略时,董事会需明确各种评价战略的标准和监督执行战略的体系;同样,在审查和批准财务信息时,董事会需要企业的审计系统来通报数据的完整性和对会计原则的遵循。总之,该指南认为董事会必须关注内部控制和信息系统,因为它是履行其他责任必须依靠的机制。该报告对董事会责任的界定提高了内部控制在加拿大上市公司中的重要性,并有助于改善公司的控制环境。2001年1月,BSI发布了关于“重要支付系统核心准则(CPSS43)”的报告,指出系统治理对于增强对市场和管理者的信心尤为重要。该报告主要强调集成化的重要支付系统的治理,因为电子支付系统依赖于信息技术实现其功能,这些系统在国家中占的数量很少,而他们所提供的服务却涉及很高的价值,因此要加强治理。尽管在该报告中BSI强调电子支付系统的重要性,而支付系统与其他战略IT系统有不同的目标,但是BSI建议对治理需求进行整合,并提出明确的IT治理需求,指出有效的、可审核的、透明的治理对于公共部门和私人组织而言都十分重要,良好的治理机制能够帮助系统实现预期目标,满足需求,并处理不同的系统和行业的特殊问题。这些理念却对IT治理产生积极、深远的影响。美国信息系统审计与控制协会也于1999年成立了IT治理研究所,专门研究IT治理,并提供了信息及其相关技术的管理体系模型和最佳实务,帮助组织领导层认识有效实施IT治理的必要性与益处,从而保证组织的可持续发展,并且增强利益相关者的价值。在2002年,美国颁布的萨班斯法案(该法案被称为“自罗斯福总统以来美国商业界影响最为深远的改革法案”)中,我们看到了一脉相承的要求,只不过这些要求是以前所未有的法律形式固定下来的,良好的公司治理和高管层对IT治理的职责再也不是一个可有可无的美好愿景。● 公司数据的完整性受到公司IT控制的充分性影响;● 公司交易从交易开始、记录、处理到报告全程应用IT;● 加快并支持财务报告的IT的控制;● IT控制有效性记录与评价的要求;● IT一般控制与应用控制;● 利用IT自动记录并监控控制制度的执行。因此,萨班斯法案开始要求CIO必须成为管理控制专家,不仅要参与到公司治理领域中,以使IT与业务战略从治理到管理再到执行层面始终保持精确校准,还要在完善内部控制和全面风险管理体系中发挥作用。2006年6月,国务院国有资产监督管理委员会出台《中央企业全面风险管理指引》,对中央企业开展全面风险管理工作的总体原则、基本流程、组织体系、风险评估、风险管理策略、风险管理解决方案、监督与改进、风险管理文化、风险管理信息系统等方面进行了详细阐述,对《指引》的贯彻落实也提出了明确要求。2006年11月,银监会发布《银行业金融机构信息系统风险管理指引》,其内容包括总则、机构职责、总体风险控制、研发风险控制、运行维护风险控制、外包风险控制、审计和附则8个部分。该指引目的是防范银行业金融机构运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险,实现对信息系统风险的识别、计量、评价、预警和控制。2008年6月,财政部、证监会、审计署、银监会、保监会联合发布我国第一部《企业内部控制基本规范》。基本规范共七章五十条,各章分别是:总则、内部环境、风险评估、控制活动、信息与沟通、内部监督和附则。该基本规范还有机融合世界主要经济体加强内部控制的做法经验,提出了企业建立与实施有效内部控制的要素,即构建以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证,相互联系、相互促进的五要素内部控制框架。此次基本规范的印发,标志着中国企业内部控制规范体系建设取得重大突破。2008年9月,中国证券业协会和中国期货业协会共同发布《证券期货经营机构信息技术治理工作指引(试行)》。在行业机构中倡导信息技术(IT)治理理念,使IT治理被纳入公司治理范畴,提升机构驾驭IT的能力,保障行业的信息系统安全运行。2009年7月,中国期货业协会发布《期货公司信息技术管理指引》,该指引共分为4个技术等级,包含总则、技术管理、机房建设、核心系统、安全、日常运行、备份、系统维护和营业部技术要求9方面的内容。2009年6月,为进一步加强商业银行信息科技风险管理,银监会发布《商业银行信息科技风险管理指引》,分为总则、信息科技治理、信息科技风险管理、信息安全、信息系统开发、测试和维护、信息科技运行、业务连续性管理、外包、内部审计、外部审计和附则等11个部分。该指引的发布,将进一步推动我国银行业信息科技风险管理向更高水平迈进。至此,IT治理已成为国内外政府治理、公司治理及全面风险管理关注的新领域。中国IT治理研究中心(ITGov)认为:● 政府监管部门、资本市场、投资人和价值链上的所有利益相关方,都在公司治理和内控方面寻求更大的保证。因此,未来政府和监管机构将不遗余力地出台大量的合规要求。合规、全面风险管理和IT治理的要求是大势所趋。● 在法规遵从上不存在折中与妥协。尽管目前我国出台的相关合规要求还远远没有达到萨班斯法案那样的法律力度,但政府监管机构要求“又好又快”地发展,而不是“又快又好”地发展,也将成为未来的大趋势。4. 中国IT治理的发展历程当西方尚热衷于就IT技术谈IT治理,尝试用技术工具来解决管理问题的时候,中国IT治理研究中心(ITGov)基于中国源远流长的文化和治理思想,很快把握到了治理的本质。并且,中国与西方在逻辑上存在着完全不同的世界观、价值观和方法论,在逻辑上存在着完全不同的政治学、经济学和治理思想,这些完全不同的文化对于信息社会很可能是最重要的建设性依据—— 高速发展的信息技术,带来地球村的经济高度一体化,也同时在强化着不同信息策源地的差异性。而在中国文化中就蕴藏着那种完全不同的世界观、价值观和方法论,蕴藏着完全不同的政治学、经济学和治理思想,它们无法在西方的框架中被表述,因此需要把它们在新的框架中表述出来并且发展成为新的理论范式[ ]。中国IT治理研究中心(ITGov)从IT治理和组织治理出发,结合中国源远流长的文化思想,创造性提出信息社会统筹治理新范式,即G3框架。G3框架以文化治理为核心,研究信息社会文化治理、组织治理和IT治理综合治理的新范式理论(理论范式和方法论范式),贯彻东方文化的整体性思维、关系性思维、复杂性思维、系统性思维和非线性思维的思想,把关于对象系统发生、发展的各个要素,直接因素和间接因素,要素之间的直接联系和间接联系分析清楚。在这个基础上为管理学家及实际管理工作者提供价值观念、思维方式、评价标准、方法论和具体方法。ITGov认为,G3框架的核心,就是文化治理。技术治理源于文化治理,文化治理创新组织(制度)治理,组织(制度)治理成果能有效促进先进技术的孵化。要形成这样的动力机制系统,释放文化的开放性与能动性,保持文化理念的自我更新迭代,甚至批判能力,使之与时俱进,成为文化治理的关键。因此,G3框架的突破将导致管理科学革命,从而使未来社会的组织治理和IT治理获得一个全新的面貌,进而建立技术空间、组织(制度)空间和文化空间三位一体的“信息空间”,用东方特色的文化治理统筹组织治理与信息治理,达至善治,推动中华民族的伟大复兴,为重构世界和谐发展的知识体系奠定基础。G3框架的提出,起源于我们对IT治理的研究,IT治理的研究起因于我们长期在思考信息化建设中深层次体制与机制问题。在互联网泡沫破灭之后,我们开始认识到:推动信息化可持续发展同样是“制度创新重于一切”,例如,建造一个信息系统是容易的,让这个系统有效地运转起来则是现实的难题。决定信息系统是否有效运转的因素不是信息技术,而是制度创新、组织结构、管理流程、规则与标准,最终是人。因此,在这些因素之上,需要从制度层面创新思路,为信息化可持续发展提供动力机制。由此,我们认识到良好的公司治理对信息化建设成功的重要性,也可以说建立现代企业制度及良好的公司治理是信息化建设成功的必要条件,反过来,我们也非常清楚地看到在公司治理过程中IT治理的重要作用。推进可持续发展的中国信息化建设,需要“解决信息化建设中深层次的体制与机制问题,建立一整套明确决策权归属和责任承担的制度安排”,并且鉴于中国和西方完全不同的世界观、文化及治理思想,中国需要走有中国特色的IT治理之路。在此基础上,中国IT治理研究中心(ITGov)成立。2002年以来,中国IT治理研究中心(ITGov)开启了走有中国特色IT治理之路的伟大征程。已完成数十个IT治理研究课题,组织出版了文化治理、组织治理与IT治理智库丛书,先后参与多家政府部门IT治理政策研制工作,为我国培养了一大批IT治理暨全面风险管理人才,指导多家政府部门和企业开展IT治理实施工作。目前,ITGov致力于成为世界级的IT治理研究机构,以“参与国际信息化治理与管理标准制定,推动信息化建设的高效可持续发展为己任”为共同使命,正在成为凝聚海内外优秀专家的资源平台。正是在各方的努力倡导和积极推动下,短短数年,我们迎来了探索和实践适合中国政府和企业的IT治理机制的新时代。
