在古代军事通信中,利用烽火狼烟等工具传递信息,满足其决策管理需求,可以认为是信息治理的起源。根据史书记载,约2700年前中国的周幽王时期(公元前781年~公元前770年)就有了利用烽火传递信息的办法。秦始皇统一后修筑的万里长城,其作用之一就是利用及时的信息传递来满足管理国家广袤边境的需要,更是利用技术工具手段服务于管理需求的信息治理史上的奇迹。公元1405年到1433年,郑和率数百艘大船,数万人的庞大船队,历经亚非三十余国,涉十万余里,完成了七下西洋的伟大历史壮举,更是彰显中国人民举世无双的组织治理、信息治理与风险管控能力。
21.IT治理的发展经过了哪些阶段?
在古代军事通信中,利用烽火狼烟等工具传递信息,满足其决策管理需求,可以认为是信息治理的起源。根据史书记载,约2700年前中国的周幽王时期(公元前781年~公元前770年)就有了利用烽火传递信息的办法。秦始皇统一后修筑的万里长城,其作用之一就是利用及时的信息传递来满足管理国家广袤边境的需要,更是利用技术工具手段服务于管理需求的信息治理史上的奇迹。公元1405年到1433年,郑和率数百艘大船,数万人的庞大船队,历经亚非三十余国,涉十万余里,完成了七下西洋的伟大历史壮举,更是彰显中国人民举世无双的组织治理、信息治理与风险管控能力。
二十世纪八十年代以来,随着信息技术的快速发展,特别是分布式计算和互联网的普遍应用,一方面我们认识到应用信息技术的战略重要性,另外一方面,信息技术所蕴含的巨大风险,导致信息技术日益成为悬在我们头上的达摩克利斯之剑。IT治理迅速成为全球政府、企业、学研机构、社团组织等共同关注的话题。
1999年,英国BIS发布了Internal Control: Guidance for Directors on the Combined Code(Turnbull Report, 1999)报告。该报告提出了信息技术风险对公司治理的影响,引入了内部控制的要求,并指出,有效的公司治理必然需要有效的IT治理和风险管理。BIS将信息风险管理融入到企业的操作中,鉴证企业中信息技术交付的价值,及时向相应的管理层汇报,其目的主要在于解决委托与代理之间的信息不对称问题,通过对公司重要信息有效的传递、鉴别和处理,使代理成本最小化,提高企业的经营绩效。
1994年TSE发布的题为“董事何去何从?提高加拿大公司治理的指南”中就认为:整合企业的内部控制和管理信息系统是董事会的5个“首要责任”之一,对此责任的解释是有效地履行董事会的责任需要有效的控制和信息系统来支持。例如,在批准企业战略时,董事会需明确各种评价战略的标准和监督执行战略的体系;同样,在审查和批准财务信息时,董事会需要企业的审计系统来通报数据的完整性和对会计原则的遵循。总之,该指南认为董事会必须关注内部控制和信息系统,因为它是履行其他责任必须依靠的机制。该报告对董事会责任的界定提高了内部控制在加拿大上市公司中的重要性,并有助于改善公司的控制环境。
2001年1月,BIS发布了关于“重要支付系统核心准则(CPSS43)”的报告,指出系统治理对于增强对市场和管理者的信心尤为重要。该报告主要强调集成化的重要支付系统的治理,因为电子支付系统依赖于信息技术实现其功能,这些系统在国家中占的数量很少,而他们所提供的服务却涉及很高的价值,因此要加强治理。
尽管在该报告中BIS强调电子支付系统的重要性,而支付系统与其他战略IT系统有不同的目标,但是BIS建议对治理需求进行整合,并提出明确的IT治理需求,指出有效的、可审核的、透明的治理对于公共部门和私人组织而言都十分重要,良好的治理机制能够帮助系统实现预期目标,满足需求,并处理不同的系统和行业的特殊问题。这些理念却对IT治理产生深远的积极影响。
美国信息系统审计与控制协会也于1999年成立了IT治理研究所,专门研究IT治理,并提供了信息及其相关技术的管理体系模型和最佳实务,帮助组织领导层认识有效实施IT治理的必要性与益处,从而保证组织的可持续发展,并且增强利益相关者的价值。
在2002年美国颁布萨班斯法案(该法案被称为“自罗斯福总统以来美国商业界影响最为深远的改革法案”)中,我们看到了一脉相承的要求,只不过这些要求是以前所未有的法律形式固定下来的,良好的公司治理和高管层对IT治理的职责再也不是一个可有可无的美好愿景。
公司数据的完整性受到公司IT控制的充分性影响;
公司交易从交易开始、记录、处理到报告全程应用IT;
加快并支持财务报告的IT的控制;
IT控制有效性记录与评价的要求;
IT一般控制与应用控制;
利用IT自动记录并监控控制制度的执行。
因此,萨班斯法案开始要求CIO必须成为管理控制专家,不仅要参与到公司治理领域,以使IT与业务战略从治理到管理再到执行层面始终保持精确校准,还要在完善内部控制和全面风险管理体系中发挥作用。
2006年6月,国务院国有资产监督管理委员会出台《中央企业全面风险管理指引》,对中央企业开展全面风险管理工作的总体原则、基本流程、组织体系、风险评估、风险管理策略、风险管理解决方案、监督与改进、风险管理文化、风险管理信息系统等方面进行了详细阐述,对《指引》的贯彻落实也提出了明确要求。
2006年11月,银监会发布《银行业金融机构信息系统风险管理指引》, 其内容包括总则、机构职责、总体风险控制、研发风险控制、运行维护风险控制、外包风险控制、审计和附则等八个部分。该指引目的是防范银行业金融机构运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险,实现对信息系统风险的识别、计量、评价、预警和控制。
2008年6月,财政部、证监会、审计署、银监会、保监会联合发布我国第一部《企业内部控制基本规范》。基本规范共七章五十条,各章分别是:总则、内部环境、风险评估、控制活动、信息与沟通、内部监督和附则。该基本规范还有机融合世界主要经济体加强内部控制的做法经验,提出了企业建立与实施有效内部控制的要素,即构建以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证,相互联系、相互促进的五要素内部控制框架。此次基本规范的印发,标志着中国企业内部控制规范体系建设取得重大突破。
2008年9月,中国证券业协会和中国期货业协会共同发布《证券期货经营机构信息技术治理工作指引(试行)》。在行业机构中倡导信息技术(IT)治理理念,使IT治理被纳入公司治理范畴,提升机构驾驭IT的能力,保障行业的信息系统安全运行。2009年7月,中国期货业协会发布《期货公司信息技术管理指引》,该指引共分为四个技术等级,包含总则、技术管理、机房建设、核心系统、安全、日常运行、备份、系统维护和营业部技术要求九方面的内容。
2009年6月,为进一步加强商业银行信息科技风险管理,银监会发布《商业银行信息科技风险管理指引》,共十一章七十六条,分为总则,信息科技治理,信息科技风险管理,信息安全,信息系统开发、测试和维护,信息科技运行,业务连续性管理,外包,内部审计,外部审计和附则等十一个部分。该指引的发布,将进一步推动我国银行业信息科技风险管理向更高水平迈进。
至此,IT治理已成为国内外政府治理、公司治理及全面风险管理关注的新领域。
京ICP备06004481号 Copyright 2002 - 2006 ITGov.org.cn, All Rights Reserved