回望IT治理之路:规划与践行
时间:2020-04-25 05:15:57 来源:千叶帆 本文已影响人
2001年12月,美国最大的能源公司——安然公司,突然申请破产保护。此后,公司丑闻不断,规模也屡创新高,特别是2002年6月的世界通信会计丑闻事件,彻底打击了(美国)投资者对(美国)资本市场的信心。为了改变这一局面,美国国会和政府加速通过了萨班斯法案。据法案要求,从2006年7月15日起,但凡在美国上市的公司,都必须开始执行萨班斯法案,包括在美上市的中国企业。2002年萨班斯法案(SOX)的颁布,开启了全球内控时代。萨班斯法案中最难操作、最复杂、成本最高的是第404条款——“完善内部控制”。
IT治理之路
SOX法案中第404条款要求公司在财务报告方面加强内控,即管理层必须对内控方面有个自我评估,随后对内控做自我测试,最后要有个独立的第三方审计公司对最终测试报告进行审计,最后形成的内部控制报告要在每年的财务报告中体现出来,并由总经理签字。
由于IT和财务报告的关联性,IT也需要加强控制以达到SOX合规要求。IT的SOX合规审计必须落实到企业对IT的有效管理控制上来。IT的SOX合规审计成为2005年全球CIO最关注的事情:IT如何满足SOX法案的合规要求?IT部门如何入手实施?实施中有哪些经验和建议?
中国有一大批举足轻重的企业在美上市,SOX法案的出台,逼着中国企业走上企业治理和IT治理之路。
2008年6月,财政部等五部委联合发布了《企业内部控制基本规范》,该规范被称为中国版萨班斯(C-SOX),它成为中国内控的一个标志性里程碑。
IT治理是公司治理的组成部分。比如为了应对美国的萨班斯法案,在美国上市的企业就必须保证所披露信息的真实与准确,保证信息处理与传递的效率。法规遵从成为许多企业展开IT治理的最主要动力。我国电信、金融、化工等大型企业几乎不约而同地于2004年后开始进行IT内控、IT治理,这与萨班斯法案的要求直接相关。这些行业领军企业大规模实施的治理项目,为中国趟出了一条IT治理之路,同时也带动了IT治理相关的培训、咨询、审计业务的繁荣。
尽管不少企业进行IT治理是为了应对萨班斯法案,但不少正在从事IT治理的CIO并不认为符合萨班斯的内控要求就算取得了IT治理的胜利,“有针对性的治理工作仅是IT治理很小的一部分”。
治理面临的挑战
治理层面对IT的关注,需要从组织保障上设立IT治理委员会,实现最高管理层(董事会)对IT的监管。ING、梅隆金融等发达国家先进企业都是在董事会设立IT治理委员会。
当董事会和高管层需要做IT决策时,该委员会能够提供支持,从而使投资巨大的IT项目处于可控状态,并使企业获得更大的竞争优势。尤其对于转型模式下的中国证券企业,董事会的监管至关重要。
从另外一个角度来看,信息化过程已经演变成为“流程的重组和利益的再分配”,会触及一些部门和个人的利益,也会遭到他们的抵触,这种情况下的指导和协调工作,已经远远超出信息化部门领导的职责和权力范围,应当在治理层面建立IT治理的体制和机制,才能有效地推进信息化工作,规避IT风险,实现业务战略目标。
IT治理委员会由组织的最高管理层(董事会)及管理执行层包括IT管理和业务管理有关部门负责人、管理技术人员组成。IT治理委员会应定期召开会议,就企业战略与IT战略的驱动与设置等议题进行讨论并做出决策,为组织IT管理提供向导与支持,把IT治理的相关规范融入到组织的内部控制中。
治理机制的涵义,是指治理体系结构及其运行机理,治理机制又细分为运行机制、动力机制、约束机制。运行机制是指组织IT相关基本职能的活动方式和运行关系;动力机制是指推动信息化可持续发展的内在动力产生与运作的机理;约束机制是指对IT治理行为进行约束与纠正的功能与机理。通过细分的运行机制、动力机制和约束机制,就比较容易理解什么是治理机制了。
根据当前的国情和信息化发展所处的阶段,可以把建立完善信息化全生命周期风险管理控制体系作为构建落地的运行机制的主要内容,把信息化绩效评估作为信息化可持续发展的内在动力机制,把信息化风险管控体系和绩效问责共同作为约束机制。
证券业的实践
在金融行业里,证券业是对IT治理需求最迫切的。为进一步加强信息技术监管,保障信息系统的安全稳定运行,2008年4月3日,深圳证监局特地下发了《深圳辖区证券公司信息技术治理工作指引(试行)》,2008年9月3日,中国证券业协会、中国期货业协会联合发布了《证券期货经营机构信息技术治理工作指引(试行)》(下文简称《治理工作指引》)。
在证券业协会发布《治理工作指引》后,绝大部分证券公司和基金公司专门召开贯彻落实会议,将IT治理工作提到公司管理的高度来认识,并着手建立《治理工作指引》中要求的IT治理组织机构、机制和相关的规章制度,设立IT治理委员会或类似机构,研究设立技术总监等相关职位,组织信息技术部门负责人学习讨论《治理工作指引》的指导精神和相关要求。例如,光大证券、华泰证券、海通证券等部分公司制定了IT治理工作方案或计划,有的公司还起草了或正在起草实施IT治理纲要。原来有IT规划委员会或信息化领导小组等组织的公司,根据指引的要求对相关组织进行了调整,明确了公司IT委员会职责,完善了委员会职能,调整了委员会人员结构,将风险控制、财务管理以及主要业务部门的负责人补充到委员会中。
IT规划有广义和狭义之分。广义的IT规划包含了“IS(IS指信息系统)规划”与狭义的“IT规划”两个部分。所谓IT战略规划是指为满足经营需求、实现战略目标,由企业高层领导、信息系统技术专家、信息系统用户代表根据企业总体战略的要求,对企业信息系统的发展目标和方向所制定的基本规划。
“IT规划”通常是在IS规划完成之后进行,是对信息系统各部分的技术,包括软硬件和相关技术的计划与安排。IT规划的组成部分包括:使命,远景目标,中长期目标以及规划要点。规划要点围绕着应用、数据、技术和组织展开。最后还有建设项目、规划实施的保障等。
(本文摘自《中国IT管理十年》一书,由机械工业出版社出版)
IT治理委员会的职责
相关链接
IT治理委员会的职责包括以下方面,但不限于这些:
遵守并贯彻执行国家有关信息化治理(管理)的法律、法规和技术标准,落实政府监管部门相关监管要求,负责开展信息化相关的合规工作。
审查批准信息化战略,确保其与业务战略和重大策略相一致。评估信息技术及其风险管理工作的总体效果和效率。
分析信息技术风险成因,掌握主要的信息技术风险,确定可接受的风险级别,确保相关风险能够合理管理。
统一全体人员对信息化治理的思想、认识并进行意识养成教育。
设立一个由来自高级管理层、信息化部门和主要业务部门的代表组成的专门信息技术管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息化战略规划的执行、信息化预算和实际支出、信息化管理的整体状况。
在建立良好的公司治理的基础上进行信息化治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息化治理组织结构。加强信息化专业队伍的建设,建立人才激励机制。
确保内部审计部门进行独立有效的信息技术风险管理审计,对审计报告进行确认并落实整改。
确保所有员工充分理解和遵守经其批准的信息化治理制度和流程,并安排相关培训。
确保本法人机构涉及客户信息、账务信息以及产品信息等核心信息资产的安全。
配合政府监管部门做好信息科技风险监督检查,按照监管意见进行整改。
相关热词搜索:之路,践行,回望,治理,规划,
