爱华网最近越来越多的CEO对公司治理越来越关心了。最简单两个原因,一是明年7月1号之前,所有上市公司都要遵从新的内控指引—中国的“萨班斯规范”。这个规范就直接要求公司总经理、财务总监不但对市场风险,客户风险,还要对运营风险要极其负责。而很多运营的数据都是IT,所以有特别的法律针对IT的风险责任。二就是最近国资委下令所有下面的单位加强IT的内控,要求他们要有评估报表并将这些报表给国资委打分。很多单位发现自己的分数很低,所以责任落在了CIO们头上,要求他们怎么改善治理。对于治理,人们有不同的看法。实际上IT治理的目标只有一个,就是怎么样强化IT跟业务的互动,更具体的就是我们怎么样充分利用IT来支持业务。IT治理不是虚谈,它可以改变人的决定。治理不是一个目标,它是一个过程,它的目标就是让IT充分配合业务。所以我认为,一方面,治理离不开组织,这包括组织的定位、组织的功能、组织的权和组织的能力。另一方面,要有流程,有流之前要有更清晰的IT的策略。还有,治理的控制点要充分融入到所有IT流程里面去。人要引导IT的工作,所以治理是需监控的概念。要有一个独立的组织来确定政策落地和推行,这需要内部审计功能,有效推行治理的不是要找一个人—CIO或财务,要有分工,要组织化,要推行有监管、有治理的IT进程。另外,我们在实施IT之前要有一个清晰的IT政策,IT政策不但要反映到企业的使命、企业的决策中,也要反映到企业外部,比如说行业指令等等。还有就是在治理和实施方面企业有什么目标,这是审计师做出来的,不是IT做出来的。所以很重要的一点,企业需要一个清楚的治理标准。CIO怎么做好自己的工作?一方面要提高自身的技术能力,一方面还要优化IT的架构,推行IT的治理,协助CEO把工作做好。在中国当好CIO不容易, IBM做过关于CIO的调研,确实,CIO的企业地位都没有被很好地被定位和了解。根据我们的调研,CEO们很清楚地指出来,有些创新是CIO可以帮忙的,但是都没有做好。一是推动业务流程的优化;二是IT系统太僵硬,很难改,不灵活,所以变成IT系统更新赶不上业务的改变;三是企业内有太多技术孤岛,不能能很及时地收集数据。CIO要提升自身战略性的地位,怎么样提升自身战略性的地位呢?起码有两条路,一是可以致力于环保和绿色生产;二是为企业与用户之间建立起服务水平的鉴定与沟通渠道。
IT是不能缺少的,但传统对IT的认知,如技术平台、网络应用、提供服务,以及透过一些组织和流程来提供服务,太过简单,我认为已经过期。从两个方面来看,第一,缺少治理的观念——整个IT怎么跟业务更吻合,更配合。第二,忽视了IT关注内控的功能,现在IT已经是无孔不入了。我们不但要通过IT达到某个功能,还要用IT技术避免某些欺诈的行为,让IT 达到内控的目标。
