扫描二维码

订阅畅享网微信

也说治理

  作者:CesarBacani
2007/1/22 10:11:45
本文关键字: 内部控制及404法案

简介:亚洲企业的高管对信息技术寄予厚望,希望它在IT治理、满足合规要求和创收方面能有所建树。而该地区的CIO们却在说“且慢!” 
 
  最近,美国的萨奥法案让亚洲许多企业的CIO心神不宁。不过在香港地铁公司(MTRC)却是另一番景象。2000年中期,公司CIO赖锡璋(Daniel Lai)和他的团队开始开发一套应用于整个企业的IT治理系统,用来记录、监控和控制提供和维持商业价值来源的所有IT流程。因此,当毕马威会计师事务所(KPMG)今年8月依据萨奥法案的合规性等要求对它进行审计时,香港地铁公司的IT部门已经准备好了全部的资料。“所有文件和控制措施都已经就绪了。”赖说。

  如果他的亚洲同行们都这样有备而来就好了。位于美国伊利诺伊州的IT治理协会(IT Governance Institute)在其2006年全球IT治理报告中称,全球只有17%的企业实施了IT治理解决方案,另有19%的公司正在建立这样的框架(见图表:参差不齐)。该报告是对695名CEO和CIO进行的一项调查的结果,他们中有38%来自亚太地区。其中根本不考虑建立IT治理结构的受访者比例高达36%。这份报告认为,“实施IT治理并不像一些企业想象的那样简单。”

  即便如此,企业似乎还是别无选择。类似萨奥法案的法律正在亚洲各国的立法机构大行其道。澳大利亚、韩国和印度的议会已经提出通过类似法律的要求。日本在今年6月份通过了金融工具和交易法,其中与萨奥法案相对应的条款要求企业在2009年内对内部控制制度进行评估和认证。这意味着,用来生成、修改、储存和传输数据的IT系统必须置于控制系统的管理之下,以使企业的外部审计师确信其财务报表准确可靠,同时也能保证签署这些财务文件的CEO和CFO免受牢狱之灾。

  除了合规性问题以外,一个更为显著的发展趋势是企业不断使IT与业务取得协同。经济学人信息部(EIU)在最近的一份报告中称之为“把IT的使命从降低成本扩大到创造收入”。 EIU在对58个国家的288名高管的一次调查中发现,其中83%的CEO和董事认为,未来三年中IT的首要战略角色为促进营收的增长,而不是像现在这样推动成本节约(见图表:寄予厚望)。由于不仅需要注重控制,还要注重透明度和投资回报,IT治理将对实现这一深远的使命发挥举足轻重的作用。

  期望不同

  而难就难在这里。尽管别人对IT在业务发展和治理中可以发挥的作用寄予厚望,CIO们对自己能多快应对这种挑战却十分谨慎。EIU注意到,业务高管和IT负责人之间在期望上存在着差距,在亚太地区尤其如此。尽管北美地区的业务高管和IT经理人都同意,IT在未来三年中的首要角色将是创收,亚洲的IT专家们仍然认为自己对企业的贡献将主要是进一步降低运营成本。根据EIU的统计,在亚洲企业中上述两类经理人存在这种认识差距的比例为23个百分点,在欧洲是13个,而在北美则只有3个。

  IT人士的这种谨慎态度来源于他们对现实的认识。在香港地铁公司,赖花了一年多时间来在公司实施ISO 9001:2000、SEI CMM Level 2等各种国际标准,并改造系统开发的生命周期和项目管理的方法。他提醒说,IT治理的实施不可能在一朝一夕间完成。香港地铁公司的解决方案必须度身定制,因为它既是一家受政府控制和监管的公共事业企业,但作为一家于2000年在香港上市的公司,它同时又要向来自私营部门的投资者负责。此外,它还要向在美国发行的公司债权的持有人负责(这就是它必须遵守萨奥法案的原因)。

  经过长时间的准备,一个IT治理结构终于破土而出。它包含多个级别的委员会,以确保透明度、可视性、成本效率和有效性,以及对内部制定的标准、规程和控制措施的遵守。级别最高的是直属于董事会的由财务总监挂帅的IT执行管理委员会。这个委员会每两到三个月召开一次会议。“每个委员会都有明确定义的角色和职责,这不仅涉及IT,在业务方面也是如此。”赖说。

  香港地铁公司的系统似乎符合IT治理的典型定义。毕马威认为,IT治理就是 “对投资决策、投资管理、资源管理、风险管理、项目(价值)管理和沟通的表现进行规范的一套业务流程”。它发挥作用的范围不限于IT部门,而是遍及整个企业。这些流程要求“多个层次的组织投入,从对高管的业务支持到对具体的项目服务和单个的项目资源的管理。”这些流程中有自动化的,也有非自动化的,尽管CA、Mercury和Compuware等供应商正在推出据称能提供实时IT治理仪表盘的软件
 
当然,IT治理的生根发芽需要时间。毕马威信息风险管理业务的全球负责人艾基·扎雷拉(Edge Zarrella)说,“这不仅仅关系到建立控制措施。它不只是准备好工具和报告的问题。人们往往忘记的一个重要组成部分是文化行为这个方面。你的控制意识如何?”一些公司建立了庞大的安全控制体系,但黑客却仍然能够钻空子。“为什么呢?”扎雷拉继续说,“IT治理涉及行为、文化、人员和流程等方面,以及你如何来监控它。”

  但是业务能否等待那么长时间呢?失去耐心的CEO们,有时甚至是CFO们,正越来越多地领头推动IT技术的采用,这使CIO成了单纯的实施者。CEO们看到竞争对手建立客户关系管理系统,便问IT部门什么时候才能在本公司也建立这样一套系统。而CIO要到2009年才可能做出反应。他们手里还有一份很长的任务清单,都是必须优先处理的IT治理和其他方面的工作。如果别的公司在这个月购买了客户关系管理、商业智能或其他任何IT解决方案,那么只有那些异常耐心和自信的业务高管们才愿花三年时间等IT部门实施同样的方案。

  顾问的加入

  平心而论,今天的业务高管在IT方面并非一无所知(尽管一些CIO私底下会觉得他们那点可怜的知识实在不敢恭维)。他们知道的东西已经足以(或至少他们自认为足以)让他们确信数据挖掘、客户关系管理、网上市场营销等可以带来竞争优势。而在赶潮流上毫不懈怠的IT顾问、供应商和非盈利机构自身也在努力让自己的产品便于企业的管理者们理解,而不仅是让IT部门的员工明白。

  信息系统和相关技术控制目标(Cobit)是这方面的一个例子。由美国IT治理理事会制定的这一IT治理框架是专为IT界以外的人士设计的。保诚公司亚洲(Prudential Corporation Asia)的地区IT业务负责人埃马纽尔·罗德里格斯(Emmanuel Rodriguez)说,“在我们负责业务运营的同事看来,IT治理似乎是个乏味的话题,而且由于没有任何IT背景,他们中许多人可能永远也无法理解它。我们采用了Cobit作为公司的架构,因为它的语言对非专业人士来说是那么浅显易懂。”

  此外,还有诸如信息技术基础设施库和统一合规项目等其他一些IT治理架构也纷纷被开发出来,以指导开发流程,并确保所有必要的治理结构都安排就绪。在这方面,IT治理理事会及其上级组织——信息系统审计和控制协会(ISACA)可以说是行动最积极的机构。ISACA的国际主席埃弗雷特·约翰逊(Everett Johnson)刚刚结束了对亚洲的一次访问,他在此行中为名叫Val IT的Cobit新加强版本进行了宣传。

  他解释说,“这一举措是要让你从IT投资中获得更大价值。”Val IT协议的目的是处理在设计和执行方面有问题的IT系统和有赖于IT的业务项目,这些问题项目使软件未经使用就被束之高阁。约翰逊说,“Gartner两年前对此做了一项调查,调查结果显示,每年被浪费的资金高达几十亿美元。”Val IT的协议和指导方针已经发布,并且已经开始有一些商业案例和最佳做法的案例研究,以便于企业使用。下一个阶段的重点将是以50家参与该研究的企业的经验为基础来建立基准。

  如果企业的IT部门能独立完成工作,那么这家公司仅支付象征性的费用就能使用Cobit。另一个办法是聘请注册的Cobit商业应用顾问。与香港地铁公司不同的是,保诚亚洲聘请顾问来开发和实施其IT治理解决方案。罗德里格斯不愿说明他的公司支付了多少费用,不过他表示,为此花的每一分钱都物有所值。他估计,从公司2005年聘请顾问(Cobit正是该顾问推荐的)开始,完成这个IT治理项目需要18个月。考虑到这将涉及保诚在亚洲各地市场的12个办事处,这个时间并不算太长。

  咨询顾问们通常都善于言辞。惠普亚洲公司管理解决方案业务的全球业务开发经理西蒙·洛勒尔(Simon Roller)说,“我们在IT治理的阴和阳上做文章。”他说的阴是指在IT部门实施治理机制的狭义职责;而阳则是指使用IT来在整个企业范围内推动治理的广义任务,例如遵守萨奥法案、安全保障以及业务持续性。此外,洛勒尔说,还有IT治理解决方案的“组织设计”。
他解释说,“我们要回答一个问题:什么是IT和业务之间合理的治理模式。IT共享服务、外包、投资回报之类的理念如何融入治理架构呢?”服务的内容之一将是在IT和业务之间扮演婚姻顾问,明确应如何使两者的关系和谐起来,以利于发展。洛勒尔说,“IT的反应往往很慢,无法对业务提供应有的支持,效率不高,而且不一定能负起应负的责任。现在,业务方面提出要求:给我治理模式、供应链模式、财务模式,我要让IT为业务服务。”

  即便在合规方面也是如此。毕马威的404研究所最近对须遵守萨奥法案的美国和其他国家的公司的1000名高管进行了调查。一半的受访者称在合规方面,IT面临最大的挑战,有许多人说他们在设计IT解决方案时没有让CIO参与进来。

  新产品登台

  软件供应商们也在争相登上IT治理的列车。这毫不奇怪。美国的CA公司去年花费3.5亿美元请来了IT治理解决方案专家Niku。它刚刚引入了一个名为(Clarity 8)的升级版的项目和组合管理解决方案。该解决方案由四个模块组成,其中包括一个组合管理功能(内有一个能详细显示每种业务服务的总运作成本的实时CIO仪表盘),以及一个内有Cobit等框架的风险和控制措施管理功能解决方案包。CA的财务服务和安全总监马尔孔·里斯特尔(Malcolm Lister)说,“清晰度8能帮助有赖于IT的企业实现其目标,不论是实现人工流程的自动化,还是选择需要作为重点的项目,或者是优化对流程的组织工作。”

  在2003年收购了另一IT治理专家Kitana后,Mercury Interactive公司推出了Mercury IT治理中心。2004年收购了Changepoint的Compuware正在开发Changepoint这一IT治理产品的升级版本,以使IT能与预算编制和规划流程相连。Compuware负责合作伙伴业务开发的副总裁鲍勃·唐纳德(Bob Donald)说,“与我们的竞争对手不同的是,我们的解决方案是一个整体,而不是需要拼凑起来的几个模块。”他还说,该产品把重点放在三个“真正的价值点”上:组合的规划、专项资源的管理,以及找出不必要或浪费资源的IT产品和服务。

  这些新产品有一个共同的主线,这就是它们都意在给企业IT基础设施的不足之处亮起红灯。这让信息安全解决方案、电子邮件和数字文件存储,以及灾难恢复系统的提供商们都期待着滚滚财源。Cybertrust是一家领先的全球电子安全服务公司,它对有专业管理的IT服务尤其看好。该公司副总裁兼亚洲地区总经理杰瑞米·匹扎拉(Jeremy Pizzala)说,“企业可以把它们的关键安全基础设施的监控和管理外包给我们,我们能迅速提供合规报告,让审计师和监管者知道企业在总体上满足了萨奥法案第404章和Cobit标准的要求。”

  当然,所有这些IT产品和服务都需要花钱。Compuware的唐纳德说,Changepoint IT治理解决方案的价格从十万美元到几百万美元,具体成本视组织的规模和复杂程度而定,因为这些因素决定了需要多少份许可,以及实施工作是否需要系统集成商和顾问。就像在多年讳疾忌医后终于选择了全面体检的人那样,IT治理体系会诊断出如此之多的问题,使企业可能不得不购买比它们原来预计的多得多的IT服务。

  权宜之计

  这样做是否值得呢?如果一家企业必须遵守萨奥法案第404条及其他类似法规,那么它可能别无选择。有些企业可能像香港地铁公司那样决定自己承担这件力气活儿——自行设计和实施一套IT治理解决方案。不过一番努力可能以失败告终,还可能要承担由此引起的违规风险。因此,检验和保证内部控制是否充分将是每年都得做的事情,因此建立一套强有力的系统优于那些权宜之计。

  这样做还可能有更大的好处。毕马威的研究结果显示,实施了有效治理结构、完善的投资流程、有利于变革的IT框架,以及强有力的变革管理流程的企业“能更好地利用其基础设施的能力并制定纪律来实现更快、成本低廉并更具有可持续性的IT解决方案。”这不是一件小事,你只要关注一下Gartner和其他研究机构披露的浪费在被束之高阁的软件上的大量资金就会知道。

不过,毕马威的扎雷拉提醒说,实施IT治理结构需要谨慎。举例来说,每家公司需要的控制机制的严格程度各有不同。风险承受能力很低的金融机构只能选择实施非常严格的控制制度。扎雷拉说,“不过如果你是一家创业型企业,你可能只需要基本的控制措施就足够了。”他还提醒不要过度依赖仪表盘:“安然公司曾有出色的仪表盘,并一度被视为风险管理方面的全球最佳企业。制度和仪表盘是很好的工具,但如果你不去解决它们显示出的问题,那这些工具就失去了作用。”

  香港地铁公司和保诚亚洲都支持缓慢但谨慎的做法,并且都认为应该让企业中的每个人都接受IT治理的观念。在保诚,罗德里格斯写了一本名为《IT治理食谱》的书。该书以通俗易懂的方式详细说明了Cobit协议,其中有案例研究、最佳做法举例、插图和照片。他和他的团队向保诚亚洲12个市场中每个地区业务单位的IT部门负责人、审计部门负责人、合规部门负责人以及CEO发出了一份包含40项问题的问卷,以调查他们是否已经阅读和理解了Cobit体系,找出了差距,并设计了旨在弥补差距的培训计划。他们现在正在等待对该问卷的回复。

  企业希望IT能创造收入,而不只降低成本,应如何看待这一预期呢?保诚的罗德里格斯说,客户关系管理、商业智能和其他强化创收能力的IT项目的实施与IT治理的举措同步进行。该公司已经有了IT评估、决策和监控流程,它们最终将被集成到IT治理结构中去。其他企业正尝试短期外包之类的解决方案。举例来说,中国财经信息提供商新华财经的一个部门与即需即供型的软件提供商Salesforce.com签订了一份合同,它每月向后者支付服务费以使用其提供的客户关系管理工具和数据库储存服务。该合同可随时终止。

  谈到合规性工作的高昂成本时,扎雷拉说,外包可能是IT治理的长期解决方案。他与一家每年合规性成本高达5亿美元“并以20%的速度增长”的公司进行了合作。为控制这些成本,可将内部控制的检验外包给一家共享服务中心或一个独立的第三方。安全、数据存储和其他IT服务也可以外包。其实许多跨国公司已经这样做了。

  那么CIO应何去何从?但愿不会是像关于CIO这三个字母的笑话里说的那样——“职业生涯就此终结”。规模缩水的企业IT部门将全神贯注地监控外包的IT职能,包括有赖于IT的控制流程,同时达到企业的营收预期。保诚的罗德里格斯说,“我不同意CIO的职责主要是降低成本。我想,CIO既有成本效率方面的职责,也有推动创收方面的职责。”这正是CFO的观点。

来源:《CFOCHINA》杂志    

责编:CesarBacani
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
专业博客
畅享
首页
返回
顶部
×
    信息化规划
    IT总包
    供应商选型
    IT监理
    开发维护外包
    评估维权
客服电话
400-698-9918