1.建立信息化的“游戲規(guī)則”

  對企業(yè)大量的信息化失敗案例和對信息化建設(shè)中深層次機制問題的研究，我們發(fā)現(xiàn)信息化也像企業(yè)管理一樣，需要制度創(chuàng)新，在信息化過程中，“制度重于一切”的定律同樣適用。例如，建造一個信息系統(tǒng)是容易的，讓這個系統(tǒng)正常地運轉(zhuǎn)起來并能實現(xiàn)業(yè)務(wù)價值，則是現(xiàn)實難題。雖然采用先進的IT技術(shù)與產(chǎn)品、優(yōu)秀的管理方法在一定的程度上能降低IT風(fēng)險，但并不十分保險，只有通過為IT引入一定的結(jié)構(gòu)、規(guī)則與標準，使IT在“他律”（IT治理）的基礎(chǔ)上進行“自律”（IT管理），才能使得IT風(fēng)險在一定的框架內(nèi)上下左右浮動，不超過且計劃中的風(fēng)險范圍。

  通俗的說我們在規(guī)劃信息化時，除了要關(guān)注IT技術(shù)外，還要建立能使IT正常運轉(zhuǎn)的制度，或者稱為IT治理機制。正如公司需要治理一樣，IT也需要進行治理，就是要從制度、標準、規(guī)范的角度來重新認識IT問題并完善IT治理機制，這是目前走出IT建設(shè)誤區(qū)的良方。IT治理是國際IT領(lǐng)域中的一個新的概念，用于描述企業(yè)或政府是否采用有效的機制，使IT的應(yīng)用能夠完成組織賦予它的使命，同時平衡信息技術(shù)與過程的風(fēng)險，確保實現(xiàn)組織的戰(zhàn)略目標。

  為完善企業(yè)的IT治理，在戰(zhàn)略層面上，要綜合公司治理結(jié)構(gòu)、企業(yè)戰(zhàn)略規(guī)劃，使IT治理作為公司治理的一部分，在治理結(jié)構(gòu)上體現(xiàn)IT的位置與作用，使IT議題要進入董事會（或者是監(jiān)事會、最高管理當局）下的戰(zhàn)略委員會、審計委員會、安全委員會；IT執(zhí)行與監(jiān)管要分開，監(jiān)管機制要獨立并持續(xù)運行、溝通與反饋機制要持續(xù)有效。

  在戰(zhàn)術(shù)面上，為保護IT與業(yè)務(wù)目標一致，有限利用IT資源，提高績效，降低風(fēng)險與控制成本，需按照國際普遍接受的企業(yè)內(nèi)部控制標準建立有效的IT控制框架并監(jiān)控實施。

  這個框架也可成為IT風(fēng)險管理框架，或稱為IT的“游戲規(guī)則”，忽略了規(guī)則的建立是國內(nèi)信息化成功率低的根源，我們應(yīng)當把建立信息化的“游戲規(guī)則”看成是信息化的重要內(nèi)容之一。

  2.IT風(fēng)險管理框架的目標

  完善IT風(fēng)險控制體系，降低IT成本，實現(xiàn)IT與企業(yè)戰(zhàn)略、管理、業(yè)務(wù)、安全的深度融合，使IT為企業(yè)持續(xù)地創(chuàng)造價值，有效率并有效果地進行信息化建設(shè)。

  3.IT風(fēng)險管理框架的內(nèi)容

 根據(jù)IT風(fēng)險管理的目標和原則，我們給出IT風(fēng)險管理框架的一種具體實現(xiàn)，其步驟如下圖所示。 

 4.IT風(fēng)險管理架構(gòu)的原則

 IT風(fēng)險管理架構(gòu)應(yīng)遵循如下原則：

  ·在戰(zhàn)略層面，建立IT治理機制，使IT治理成為公司治理的一部分，在組織最高決策層上對信息化建設(shè)進行監(jiān)管與制衡 。

  ·在戰(zhàn)術(shù)面上，為保護IT業(yè)務(wù)目標一致，有限利用IT資源，提高績效，降低風(fēng)險與控制成本，需按照國際普遍接受的企業(yè)內(nèi)部控制標準。

  ·采用國際上得到普遍認可的IT控制標準（例如，COBIT、ITIL、ISO27001）及行業(yè)最佳實踐，為信息化管理提供規(guī)范和標準。

  ·識別組織中的重要IT過程，確定其目標、功能與職責(zé)。梳理出縱向上的技術(shù)管理過程和橫向上的客戶服務(wù)過程，推行過程管理的思想。

  ·通過PDCD的過程，即計劃、實施、調(diào)整、改進循環(huán)，使信息化保持在可持續(xù)發(fā)展的軌道上，階段性地進行信息系統(tǒng)審計，以發(fā)現(xiàn)存在的偏離，及時調(diào)整到信息化的最終目標上來。

  ·持續(xù)地評估IT績效，可以從整體信息化績效、IT項目績效及IT人員績效等多方面進行評估，以了解當前IT狀況，為及時的調(diào)整與改進提供依據(jù)。