国际和国内背景

      1999年6月，世界银行与经济合作与发展组织为推动世界范围内公司治理理论的发展签署了理解性备忘录。随着美国的安然、世通、施乐、Tyco, Adelphia, ImClone及我国银广夏和蓝田股份等一些公司丑闻的爆发，公司治理逐渐为大多数人所关注。突然间人们意识到一个企业的治理机制是多么重要。一旦公司治理链条有一个环节出现问题，就会引发一系列失败，如陷入困境、破产等等。2002年发布的美国萨贝恩斯—奥克斯利法案，新增了许多加强公众公司治理的规定，包括要求公司报告其内部控制体系。然而这个要求公司报告其内部控制体系法案，没有详述在确保公司治理效率方面IT的地位。

      在国内，IT产业和信息化应用已经步入了深化、整合、转型和创新的关键时期，信息技术与信息系统对企业组织形态、治理结构、管理体制、运作流程和商业模式的影响日益深化；政府机构、企业组织对信息技术和信息系统的依赖性在日益加强；信息系统的安全、管理、风险与控制日益成为突出的问题；IT与业务应用的融合，是未来发展的核心；信息化应用的关键词是：持续性、创造价值、风险与控制、整合、绩效管理。在这样的共识下，我们看到：越来越多的目光，聚焦在治理、审计、服务管理、风险与控制、安全等关键词上。越来越多的最佳实践，汇聚成日益丰富的新兴知识体系和方法框架。这些领域正在为IT产业和信息化开辟新的领域，成为IT产业和信息化在健康规范的轨道上运行的制度保障。

国际上IT治理的发展历程

      国际组织和各国普遍认为公司治理机制对世界金融市场的稳定及经济发展发挥了至关重要的作用，这直接促进了IT治理机制的形成与发展。在1999年，BIS发布了Internal Control: Guidance for Directors on the Combined Code( Turnbull Report, 1999)报告。该报告认为：企业风险来自于许多活动，不只是财务风险，因为事实说明，在金融界所有过去的风险问题都是由内部控制疏忽、信息技术失败引起的，而且所有企业最终依靠对信息技术基础设施的依赖和新技术风险的脆弱性，并呼吁高层领导树立风险意识。从此，公司治理和风险管理成为企业所有者与管理者日益重要的问题。该报告引入了内部控制的要求，对许多组织而言，信息与其支持技术代表该组织最有价值的资产，而且，竞争和不断变化的商业环境也要求企业能够充分利用信息技术实现更快的交付和更低的成本。因此，有效的公司治理和风险管理必然需要有效的IT治理和IT风险管理。与此同时，BIS还简单陈述了关键的信息系统，如何确保治理应该有效、透明，这也意味管理IT相关风险，实现IT价值的交付成为公司治理中重要的组成部分。

      1999年下半年，ISACA成立了IT治理研究院，专门研究IT治理的概念，并提出COBIT模型和最佳实务，帮助企业领导层认识有效实施IT治理的必要性与益处，从而保证长期的可持续的成功，并且增强利益相关者的价值。目前，该体系已在世界100多个国家的重要组织与企业中成功运用，指导这些组织有效利用信息资源，有效地管理信息相关的风险。

对IT本质的新认识

      我们长期以来致力于信息化建设中深层次机制问题的研究，研究表明：制度重于一切，例如，建造一个信息系统是容易的，让这个系统有效地运转起来则是现实的难题。决定信息系统是否有效运转的因素不是信息技术，而是制度、组织结构、规则与标准，最终是人。因此，在这些因素之上，需要合理有效的制度安排。由此，我们认识到良好的公司治理对信息化建设成功的重要性，也可以说建立现代企业制度及良好的公司治理是信息化建设成功的必要条件，反过来，我们也非常清楚地看到在公司治理过程中IT的重要作用。在此基础上，中国信息化推进联盟在今年三月成立了IT治理专业委员会，此后，我们对IT的本质及IT治理对政府或企业的重要性有了新的认识，这些认识可以总结归结为以下三点：

1. IT可以增加利益相关者价值。
信息是有价值的，和其他无形资产（如人力资本、品牌与管理质量等）一样，是企业核心竞争力的一部分，这些资产的运转都离不开IT的应用。目前，越来越多的企业管理层认识到一个组织的信息资产及其利用信息资产能力的战略重要性。这些无形资产的重要性的增加，必然要求人们在如何为利益相关者创造价值方面重新定位信息技术。

2. IT是实现业务目标的基本要素。
没有持续、有效的IT应用，没有业务应用与IT的一致融合，业务目标是无法实现的，甚至一些企业将无法生存，如银行、航空公司、通讯和媒体等，他们依赖于建立在IT基础上的各种商业模型，诸如供应链管理等，没有IT支持，他们难以实现业务流程自动处理，实现现金流，同样，没有IT他们也难以达到合同服务水平等。

3. IT占用大量的投资，并给企业带来风险。
IT占用大量投资，具有很大的风险，这要求管理高层要特别重视IT投资。如努力使IT战略与公司业务目标一致，采用新技术，采用广泛且复杂的流程变革等。

结论和建议

      从以上的分析可见，在信息时代，信息资产和知识资产是企业最具价值的核心资产要素；信息化是一个需要从治理层面予以关注的战略问题；信息化需要监管、制衡和审计；信息化管理需要规范和标准。

      以信息安全管理为例，已有国际标准ISO17799，我国的国家标准应如何与ISO17799接轨？国内应当如何看待、吸纳、消化这个新兴的领域知识，并形成对国内信息化建设管理指导性、监督性的制度框架和知识体系？我们如何培养自己的信息系统审计师？他们具有什么样的职能、职责和工作规范？这些问题都是亟待从国家战略的高度，综合政策、法规、行业规范、知识传播、应用推广、学术交流等各个层面的工作，有序推进的一件大事。

      我们的建议可以归纳为建立完善信息化监管制度框架。这是一项系统的工程，任何从技术、业务、管理和战略单一层面解决问题的努力都是无效和失败的，因此，应该建立完善的信息化监管制度框架体系，这一完善的体系里应该有四方面：

·IT项目管理；
·面向集成商的资质管理；
·第三方的监理与审计服务；
·面向用户的管理标准规范，包括IT服务管理和信息安全管理。

      在这四个方面，IT项目管理是后三者共同需要的管理手段，面向集成商的资质管理已经为我国信息化市场的规范发展发挥了良好的促进作用，第三方的监理服务正在有序推进，现在急需加强的是对信息系统运营阶段的审计和面向用户的管理标准规范，这些领域都已有相应的国际标准，我们可以在借鉴消化的基础上，建立符合国情的对应标准。具体标准规范如下：

一、 IT项目管理、信息系统审计、IT服务管理及信息安全管理标准规范。
二、 IT项目管理、信息系统监理和信息系统审计软件。
三、 监理工程师和信息系统审计师职业规范体系的建立。
四、 监理、审计行业管理体制研究。
五、 监理、审计公司内部管理机制研究。
六、 监理、审计职业规范指南——质量控制。

设计该系统应考虑以下方面：
·经营理念
·组织结构
·建立、健全质量控制系统的政策与程序
·沟通质量控制程序的方式
·监理、审计公司的规模
·现行质量控制系统
·所提供专业服务的性质
·负责人及监理、审计人员执业的自主性程度
·监理公司的区域分布等