面对风险怎么办?
面对这么多风险,我们到底怎么办?我认为,第一是要建立一套IT制度,改变过去靠人治的方式。
从公司最高层面来说要把IT治理环境建立起来。然后基础层面的网络、数据库、安全以及应用系统,都需要获取可靠的授权,然后,要通过一个一个的标准,进行战术性的IT治理流程。这些都建好了之后,关键要把它变成一个PTC的风险控制体系。
在战略层面把IT的治理结构完善之后,就要进行公司业务层面的梳理。梳理完业务流程后,我们可以按生命周期把IT分为计划、组织、获取、实施,交付、支持和监控等几个方面。比如IT规划到底有几个步骤,到底应该怎么做,建立一个框架式的东西。
同时还要考虑资源协调。为了建设统一的平台,我们可以引入一些国际上标准化的非常好的实践,比如说信息安全管理和IT服务管理。最后,我认为应该形成一个审计制度,引入一套控制理念。
实际上,治理就是一种制度的安排。这个制度要解决什么问题呢?首先解决的是决策问题。决策不能靠人治的领导拍板,技术人员说了算也不对。一种好的治理架构应该在不同的方面有不同的决策模式,有的需要坐在一起谈,有的需要技术人员说了算,有的必须由领导拍板。
进行IT治理也需要有几个阶段。第一步,我认为比较重要的就是要进行规划和架构的设计。第二步就是要完善IT功能治理,达到初步的控制。到了第三个阶段,让IT实现跟业务融合,实现业务信息的安全。
