2008 IBM IT 治理和风险管理高峰论坛

51cto直播小组 : 自然灾害、市场变幻、政策调整、流量峰值、意外宕机、系统并构、网络攻击……各种突如其来的 IT 风险就像暗礁，伏击在企业周围，其中，大约三分之一的企业无法从事故中恢复元气。同时，企业成长要求交付出色的服务水平，加强服务可视性、可控性以及管理自动化。为业务运行保驾护航，您对 IT 治理和风险管理到位了吗？

　　在2008年3月11日在北京举办的 IT 治理与风险管理论坛上，IBM 邀请来自国内外 IT 治理领域的专家和知名学者，从改善服务管理水平，保障业务连续性和弹性，加强 IT 安全防护三点切入，结合各个行业和不同领域的实际应用进行深入讲解和案例分析，建立行之有效的“IT 治理和风险管理”策略，使 IT 部门真正成为企业业务的战略伙伴。 :

主持人 : 欢迎IBM大中华区软件集团副总裁Bete F. Demeke致辞

Bete F. Demeke : 大家上午好。欢迎大家、欢迎我们各位客户和商业合作伙伴，特别是来自媒体的朋友以及来自IBM的同事们，欢迎各位，感谢大家抽出时间参加这个活动。

实际上IBM IT治理与风险管理的高峰论坛是非常有意思的，今天我们会跟大家分享我们的一些战略、方法以及IBM的能力，来帮助你们减少你们的IT风险、加强你们的IT治理。
:

我们的话题是涉及到IT治理和风险管理的，首先想给大家讲一些风险方面的例子：风险无处不在，这里有最近的由于IT的失败给商业带来影响的例子。
:

首先举一个例子，有一个工程师给一个大的化工制造厂商工作，他被认定有罪，因为他偷了公司价值4亿美元的秘密，想给他新的雇主。他从公司的网上下载了大量的摘要以及16700多个文件，这是他们公司研究数据库里面下载的，大部分的数据跟他研究的内容是没有太大的关系。
:

这些是公司对于他的电脑进行例行检查的时候发现的，因为他在辞职之前要进行例行检查。从这个案例看出来要保护企业的关键数据和知识产权是多么重要。
:

另外一个案例是零售公司的例子，大量的信用卡、借记卡被个人所偷盗，主要是通过电脑的系统，他们直接在零售商的总部接入电脑就可以偷走，这样对公司和客户都会造成巨额的损失。
:

第三个例子，人们做了一个研究表明计算机宕机的时间在有些行业中可能会带来16%的损失，整个宕机时间会损失两亿两千两百亿美元，或者是每年的生产力的损失是一亿六千五百万，通过这个例子大家可以看出风险，实际上很多风险是可以控制住的，如果你有合适的风险管理和控制的方法的话。
:

问题就在于，为什么要关注IT的治理以及服务的管理呢？现在整个的业务环境变了，全球化越来越多，它有很多的风险，你的业务要应对这个风险。哈佛商学院说过，超越IT的治理，如果它遵循具体的战略它有更高20%的利润，而那些没有很好治理的公司就没有这么高的利润。 :

Bete F. Demeke : 我认为有四个驱动因素使得我们需要有更好的IT治理：首先就是越来越变化的环境。很明显现在的变化越来越大了，而且我们知道在亚太地区增加的全球和区域互相依赖性以及风险，这些环境都是有越来越多的变化。第二个驱动因素是现在对业务的干扰越来越大，比如系统宕机或者对数据的管理都会造成损失。有一个咨询公司说宕机的时间使得欧洲的业务每小时有30万英镑的损失。另外，CSI、SDI的调研表明，在美国每年内部安全的冲击对业务带来4亿美元的损失。第三个驱动因素是，越来越多、越来越复杂的规定、规则，这些主要是由于法律法规的标准或者行业标准的变化造成的，根据Gartner研究调查，用于处理规则的预算是越来越高了，现在可能是IT预算的两倍。最后对于资产越来越多的威胁，比如跟内部、外部安全造成的威胁是越来越大了。根据我们的估计，这可能在亚太地区会使得人们在支出方面会增加，我们估计大概支出会增加30%。看这个因素我们会得出这个结论，现在我们是在IT治理的时代。

Bete F. Demeke : 中国的企业快速增长，你们会面临着安全方面的问题、合规方面的问题以及系统可用性的问题还有业务可持续性的问题以及越来越多的问题，在IT治理的时代，IBM是战略治理和服务管理的服务伙伴，我们非常有幸能够跟你们在一起解决你们所面临的挑战和问题。为了能够有可持续的增长以及可持续的发展，中国的企业需要把IT的治理列在自己的议事日程之上。

Bete F. Demeke : 我在这儿想跟大家分享三个例子，这三个例子可以说明IT治理和风险管理可以在中国使用，并且可以在现在使用。现在我们看第一个例子，第一个例子是关于全球拓展，在中国我们有幸看到了全球化以及全球化每一天所带来的积极的影响，这里有一些数据，你可能对它是感兴趣的，有些数据是来自2006年的。事实上说明在2008年，这个数字是不断加大的，按照工商总局在2006年的数据表明，5000多的中国投资实体建立了一万多的公司，这些公司在国外的172个国家和地区建立起来的，在2006年在海外中国的银行、制造商以及其他的公司投资了210亿美元，因为他们不断地在国外运作加以拓展。所以对于这些中国的企业来说以及对于在座的各位来讲，你们属于中国企业，你们要规划在全球拓展过程中就会有很多治理方面的问题和风险管理方面的问题。在这里有一个例子，你们要符合一些新的规定和要求，在172个国家都要符合相关的规定和规则，你们也必须要有非常优越的客户的服务，因为你们在全球的扩展中需要提供这种优质的服务。同时你们还要设立一些拓展的非常好的基础架构以便管理你们的运作，不管你们是小企业还是大企业，不管你是小组织还是一个大组织，所有的这些要求就需要有非常优秀的治理和风险管理的做法。

Bete F. Demeke : 第二个例子，这个例子有关服务。要提供高质量的服务提供给市民，这个领域也是比较有挑战性的，主要是因为以下几个原因：首先，要建立一个非常坚固的服务基础架构为市民提供服务，在任何时间任何地点都可以介入到服务中，服务流程要标准化，在不断地改进人们对要求的反映同时，还要改进运营的效率和管理的成本。另外要解决各种各样的风险类别以便减少风险，所以在这里不管你是大企业还是小企业，不管你是大组织还是小组织。上述的要求都需要有卓越的治理和风险管理的做法。

Bete F. Demeke : 今天这个论坛就是要谈这样的问题，我们已经确定我们处在IT治理的时代，同时我们有必要、有要求治理，不管你是大企业还是小企业、不管你是大组织还是小组织。我们再花两分钟的时间把信息给大家传递得更清楚，我们要很快地看一下IBM怎么能够跟大家一起来帮助发展、部署以及继续的管理这些关键的服务，也就是说你们企业或者你们的组织所需要的关键服务。

Bete F. Demeke : IBM有非常非常丰富的解决方案组合，使我们在以下三方面有更好的IT治理：

第一，服务管理必须有可视性，要能够控制还要有自动化。也就是在整个的服务的生命周期都应该提供这样几个因素。这样，我们才能更好地管理自己的企业和组织。可视性能够使你的组织看到你们自己的业务，控制能够帮助组织管理好他们的业务，自动化能够使组织优化自己的业务。我们认为在这方面要做好服务管理。
:

第二，有关安全管理。安全性管理就是优化业务价值，同时减少风险，减少外部以及内部的威胁。因为这些威胁确实是存在的，在组织内部有同时这些风险在企业的外部也存在。
:

第三，业务的弹性，要不断地改进业务的连续性、规划、灾备或者是危机管理。 :

Bete F. Demeke : 今天我们花一些时间和各位一起讨论上述的三个领域，服务的管理、安全性的管理和业务的连续性、弹性以及抗灾的能力。刚才我们跟各位分享了这些方面的秘密，我们相信能够把最好的解决方案带给你们的企业，这是你们所需要的，同时独立的企业家、分析师也认为IBM可以带来最佳、最有活力最完整的解决方案，并为你们提供服务。因此在这里我跟大家分享一下，我们大家都知道Gartner，他们在全球IT运营管理方面排名第一，另外也给我们排在了全球IT管理的第一，而且是连续六年给我们排在第一位了。他们也给我们排在配置管理的第一位、网络管理也是第一位，而且对于工作管理、排序我们是第二位。一些行业的专家把我们可用性的管理排第一，服务的调试也是第一，在存储管理方面排名第一，还有身份管理给我们排名第一。为企业资产管理方面也是给我们排第一位的。

Bete F. Demeke : IBM公司获得了以上这些荣誉是因为我们在这方面工作非常努力，并且在这方面有大量的投资。我们世界各地有2000多名业务合作伙伴，我们有7000多名相关的员工专门关注这个领域方面的工作。事实上，IBM规模最大的软件开发实验室就在北京，而且这也是世界上IBM规模最大的软件实验室，现在就在北京。这当中有大部分团队的成员他们也在负责开发、测试、交付，在此过程中，我们最先进的技术也在不断地支持服务管理、安全管理和业务的连续性。

Bete F. Demeke : 我在开场白中给大家介绍了我们所关心的领域也是您应该关心的领域，在今天后面的讲座中大家也会发现这些都是非常重要的领域，你应该注意这些领域中的工作，我们利用这样的机会和在座的各位努力地合作，随着大家逐步地建立起业务的模、服务管理的环境，IBM能够给你提供更大的价值，非常感谢大家，也希望大家今天能够获得更多的信息，谢谢大家。

主持人 : 下面有请ITGov 中国 IT 治理研究中心主任兼首席专家孙强为大家做题为：中国IT治理和风险管理的现状、挑战和对策的演讲

孙强 : 各位领导、各位嘉宾，女士们、先生们上午好。很高兴有这样一个机会就IT治理与风险管理我们在这些方面的研究成果与各位交流。

孙强 : 刚才会议一开始我们首先看了一部大片，这部大片不禁使我想起了六百年前我们伟大的先人郑和曾经七下西洋，率领着上千艘的舰队以及上万人组成的庞大规模的舰队。据现在的研究发现，他可能是历史上最早到达南极的人。在他之后60年，四艘小船随风飘荡很幸运地发现了印度大陆。在十七世纪的时候风险最大是在海洋上面。我们至今都没有搞明白在这样一个由数百艘、数万人组成的庞大的舰队里面，又没有今天的通讯手段，他们用什么方法达成郑和的业务目标的，这件事情至今我们没有想明白。但是至少表明了在六百年前郑和七下西洋的壮举，彰显了中国卓越的风险管理与控制的能力，作为一位中国人，今天我非常有信心与各位探讨一下驾驭IT风险、护航业务创新这样的话题。

孙强 : 这个话题我想主要从三方面展开，我们主要去看我们今天所面临的现状，我们的问题和挑战在哪里？针对这样的问题和挑战我们给出的对策是什么？在这样一个环境中，现状、挑战和问题都是一一对应的。

现状之一就是政府和监管机构正在不遗余力地出台大量合规的要求，所以在2001年的时候，我们可以认为在信息产业的发展上以及人类的历史上出现了一个分水岭，此后的年代我们称之为合规的年代。在这样的背景下，所有各方都是在治理和内部控制方面寻找更大的保障。另外一个现状是我们会看到在法规的遵从上不存在折衷与妥协，比如我们的企业要上一套ERP系统，高管层基于业务需求各方面的判断有可能同意有可能不同意，但是在外部的法律法规问题上没有讨价还价的余地，这成了非常大的时代特征。我们会看到有一些上市公司，包括中国最早去美国上市的，也是基于合规成本太高昂等等一些原因就从美国资本市场上摘牌了。除了国外中国的政府和监管机构出台了一系列在合规方面的法律法规的要求。 :

孙强 : 现状之二是我们会看到在中国的政府部门和企业的信息化建设正在大规模地进行，进入到整合应用和加强IT运维服务管理为主要特征的运行维护阶段，也就是在10多年大规模建设的阶段正在从建设阶段向建设与应用并重以及与应用和运行维护主要特征这样一个阶段转型。第二个现状就是治理型的运维管控体系成为IT服务管理的发展趋势，这点我们看的很明显。治理型的IT服务管理，至少有以下几个特征：

孙强 : 第一个特征就是高层一定要参与进来，高层要意识到它要对业务的可持续，IT如何为业务交付价值负责任。第二个特征是我们再去做像IT服务管理的项目，不会像此前那样上一套软件设计一套管理流程，现在变成一种新的模式，这种模式就是首先我们要决定我们IT治理的模式，基于IT治理模式决定我们管理的模式，比如这种管理模式有可能是集中的运维的管理模式。基于这种管理模式会决定我们的管理体系，比如流程的管理体系、规章制度的管理体系、绩效的管理体系、运维费用的管理体系、技术体系等等。在确定了管理体系之后，才会确定我们的技术体系，也就是说把以前第一步就做的工作现在放到最后一步。因为我们确定技术选型的方案再确定我们选用哪一家公司的软件产品。这是IT服务管理在这个时代的显著的特征。

孙强 : 在去年北京市电子政务的发展阶段有这样一个调查，这个调查表明北京市的电子政务的发展总体已经进入到深化应用和加强IT运维服务管理为主要特征的运行维护阶段，这里有一些数据，从2001年2007年上半年投到运维上的资金始终保持高速增长，运维费比2006年同比增加了10%、2007年同比增加20%，2008年初步预算增长约46%，并且在这张图上我们可以看到，我们用蓝色表示的是建设资金，蓝色在2007年的时候建设资金在持续攀升之后终于出现下降的趋势。

孙强 : 现在越来越多的采用外包，信息化的建设在2000年之前有很多还是由甲方自行地开发。2007年去看的时候，基本上100%的建设、开发全部是外包的，这是由社会专业服务机构来提供的，运行维护这块，我们看一下这块的比例，大概也有超过59%是由社会外包来承担的。

孙强 : IT治理的五大领域成为关注焦点：第一，IT与业务战略的融合，这是非常大的挑战。应该说这是一个系统的问题，系统的问题按照中国文化来讲就是要用系统的方法来解决。第二，价值交付。第三，资源管理。第四，风险管理。第五，绩效管理。所有的这些都是为了统一的目标，就是提升我们的竞争优势，构筑我们中国企业的核心竞争力。现在突然出现了很多新的概念，很多的企业就搞不明白，他们会问：IT治理跟风险管理、跟内部控制、跟信息安全跟内部审计、外部审计是什么关系？是不是IT治理的工作就要由高管层去做，包括利益相关者？风险管理部门有风险管理的部门，内控有内控的部门，审计有审计的部门。因为这些东西在历史上的起源是各不相同的，它经历了不同的发展历程，但是在进入到信息社会之后，我们的企业在信息社会的条件下，这些概念开始融合了，比如风险管理方面，风险方面在原始社会，当时的人为了规避自然的灾害雷电、风雨，他们躲到洞里面就视为风险管理的起源。其实风险管理在70年代的时候只用于保险行业，在出现了大规模的分布式、网络化的信息技术条件下这些概念开始融合了。

孙强 : 在未来我们可以看到，这些东西会变成一回事，因为它本质上都是服务于企业这一相同的目标，比如企业合规的目标，企业运营管理的效果和效率目标。现在我们不能把它看成IT治理就是基于高管层负责，风险管理由风险部门负责，企业里面还有信息安全的部门，他们觉得风险管理跟我没关系，我是做信息安全的，如果有这样的认识偏差会导致我们实际工作中无所适从。

现状之三就是信息化管理机制问题成为制约信息化快速发展的主要障碍之一。应该看到，现在我们国家的信息化建设要做的工作不是信息技术和设备的升级再造，现在它变成了业务流程的重组和利益的再分配，它变成了不是一个纯技术的事情了。这相当于我们国家的行政体制改革一样，它已经进入到深水区，涉及到体制和利益的调整，制约了一些部门和岗位的自由载量权，有些部门推进的积极性不高，造成业务与IT两张皮，使得地区间、部门间发展不均衡，影响了跨部门、跨地区应用的开展。现在电子政务的提法会在国内某些地区引起误区，我们应该提电子政务的提法，如果要提电子政务的话，每个部门就势必会想我要为我的业务做出一套系统出来，这样的话就会派生出很多的应用系统出来，事实上我们现在要建设的是服务型政府，包括企业也一样，最终是要为客户交付价值。我们去看CIO的缺失应该是缺乏IT治理的概念，在中国只有极少数的企业里面设立了CIO的制度。CIO不是在中国可以随随便便就可以开展的工作，但是我们还有一些创新的做法，比如在一些企业里面，并没有进入到高层的或者进入到常委、党组成员这样层级的CIO里面，但是它可以做覆盖信息化生命周期管控流程，通过明确这些管控流程，负责人巧妙地解决CIO如何协调各个职能部门处理跨部门的业务流程整合与创新的问题。这样会给我们一个思路，我们可以用创新的方法去破解关键之坎、制度之坎和体制之坎。 :

孙强 : 刚才我们谈的是我国IT治理和风险管理的现状。下面我们看一下挑战在哪里？挑战会有很多，在IT治理方面的压力和董事会的职责越来越凸显。在合规年代之前信息中心的负责人很少有机会和高管层对话，现在很多在美上市企业由于做合规的工作，可能一个月或者一个季度信息部的负责人都有机会向高层、董事长汇报IT控制体系有效性方面的工作。但是这个挑战其实是在于国内外，包括国际上对信息资产的监管尚无可遵循的标准。事实上，对信息资产的监管现在是没有标准的，但是我们对财务标准的监管是有标准的，国际上是有会计准则的，资本市场也有一系列的关于财务报告的要求，中国的财政部也有很多的关于财政管理的规章制度，也是有一些标准的。在信息资产的监管上现在全世界是没有标准的，由于其他的一些客观原因，董事会对IT是不进行监管的，因为它只是一个工具而已，它并没有变成影响到全局的东西，所以董事会当然不会去监管。但是在今天来说，对财务不进行审计是一件非常危险的事情。我们也会看到，我们与发达国家和先进企业的差距在于，这些企业大概在十年之前就开始了IT治理的征程，我们会看到我们与他们的差距不是在技术和设备的先进应用上面，我们可能用到的技术和设备比他们还要先进，是在治理的水平和管理的水平上面的差距。

孙强 : 挑战之二是监管我国的信息化正在进入以整合应用和加强IT运维服务管理为主要特征的运行维护阶段，比如我们现在所遵循的IT治理标准主要都是国际上的，在这方面中国整个信息化建设的制度安排基本上是健全的，比如建设阶段对厂商资质的管理、软件开发商的资质管理，有集成资质的认证，包括有做绩效评价的一些方法，还有监理的管理办法，这都是由中国政府部门颁布的。包括有验收的管理办法，整个的制度安排是比较健全的，但是现在在信息化生命周期最源头就是关于IT治理的标准，IT服务管理的标准有了一个非常好的全球的最佳的ITIL，这个东西对我们来说是非常好的，从最近几年的发展势头来看，大概是在IT服务领域已经处于垄断地位了，在这种情况下，中国的企业和中国的政府部门需要基于最佳时间发展出来有中国特色的符合企业特点的IT服务管理的知识体系和管理规范。

孙强 : 去年因为我们做了一些调查研究，有这样一些数据，就以北京市为例，所有的政府机构共有信息化工作人员789人，这些人员当中，90%以上的人员对运维的国际标准，ITIL和ISO20000表示未听说或者未了解。从事运维的人员基本上都没有国际公认的从事运维的上岗证书，就是ITIL的认证。71%的部门领导认为运维比建设更重要，但内部运维力量不足，一方面是人员不足，核心业务系统按370个来计算，假设所有人员参与运维，平均每个系统运维的人员仅有两个人，现在政府的应用系统可能是服务于上千万的我们的老百姓，但只有两个人员在运维。另外一方面懂运维的人非常少，全市的运维工作大多数是外部企业承担的，共有130多家，外包的能够提供运维工作的有130多家。提供安全管理工作的有30多家，在所有的运维服务企业中，仅有一家拥有ISO20000的证书。89%的企业集中提供简单的技术设备、网络和系统的运维，比如提供桌面的运维，只能提供一些简单的运维服务。这也是一个很大的挑战。

孙强 : 大家一方面越来越意识到运维工作的重要性，但是这件事情到底应该怎么去干，没有知识体系、没有管理规范去遵循，所以并不知道怎么去做。

孙强 : 挑战之三就是信息化管理的体制和机制层面的障碍导致了以下问题面临着极大的挑战：IT战略与业务战略的融合，IT能力与业务价值去协调，从而核心竞争力使IT投资获得最大的回报。为什么体制和机制层面的障碍会导致这些问题呢？因为我们讲IT要与业务融合，首先在治理层面就是IT与业务要融合。我们在前面看到的那些发达国家、先进企业，他们董事会里面不光有薪酬委员会、投资委员会、审计委员会等等，还会有一个IT委员会，这个委员会负责治理层面的IT和业务的融合工作，因为如果在治理层面失之毫厘，那在操作层面就会差之千里。在座的各位都是信息化部门的领导，如果在高层IT和业务失之毫厘，虽然在下面做了很多的IT业务的精细的管理工作，但它们还是不一致的，还是两张皮的，这个问题还是要从机制和体制问题解决它。

孙强 : 另外一块，我们讲到CIO所面临的新挑战就是要成为IT控制的专家，内部控制最早只是应用于财务管理的领域，在座的各位可能都是信息技术方面的专家，现在要求如何将IT与业务战略融合，IT的能力与业务的价值相匹配，然后将整个信息化的建设生命周期都置于严格的控制下，那样才能创造出最大的业务价值，所以其实是要我们成为一个控制的专家，这对于我们来说是非常大的挑战。首先从知识体系来说就是一个非常大的挑战，并且我们要把IT的控制和我们整个的企业的控制、企业层面的控制、业务流程层面的控制相融合，这又是一个非常大的挑战。所以基于前面讲到的现状、挑战，我们给出的对策就是实施IT治理，实施IT治理我们可以认为是信息的治理。曾经郑和信息治理做的非常好，中国信息治理做的好的例子太多了，中国的长城在秦朝的时候，来自周边地区少数民族的军事上的进攻非常多，又要守卫着这么大的疆土，所以在秦朝的时候修复了长城，它用来传递信息，在明朝的时候现在甚至把长城修到了海里，彻底阻断了倭寇进攻的路线，中国在唐朝的时代是世界上最发达的国家，军事实力也是最强大的，这表明在中国3000年历史中信息治理做的好的比比皆是。

孙强 : 今天我们在IT风险上面临着几大挑战，必由之路就是要去实施IT治理，这里面我们有很多的观点，由于时间关系，只能给出一个基本的思路：

第一步，我们需要建立IT治理与风险管理的机制和框架。也就是第一步需要我们把蓝图做出来，我们现在在哪里，要到哪里去，中间这块怎么才能做得到。
:

第二步，需要找一位有IT领导力的领导者，他统管IT治理与风险管理的机制和架构。这不管在国外还是中国企业都是这样，有领导力的领导者太重要了。
:

第三步，企业需要通过事先设计的组合管理方法来综合性地应对IT风险。最重要的是要指出风险管理的本质与最终目标是要塑造具备良好风险管理意识的企业文化，这才是一个具有优秀信息技术能力的、创新型与学习型的企业所要具备的基本特征。我们曾经要做一些IT治理和IT管理的顾问工作，一开始做这个顾问工作的时候，甲方觉得这么大的工作量都由我一个人来负责，这怎么能行呢？我们跟他讲你要把IT治理和IT管理所遵循的国际标准，去严格地实施IT管理所遵循的流程，逐步地把它形成一种文化。大概是在十天之前，我们再去这个客户那里做调研的时候，他们告诉我们，在昨天我们配置管理流程的经理主动地发起一次讨论，他基于平台上搜集来的信息、基于他的观察和其他人的建议，召集大家主动地做这个流程。这需要变成一种文化，变成不是有规章制度要求他做这件事情，而是大家觉得我要做这件事情，这就是文化。它本质上确实是一个文化的问题。 :

孙强 : 最后，我们去看看IT治理实施的路线图，这个实施路线图的遵循应该是从世界观到方法论再到具体的操作实践的思路展开。我们做这件事情，IT治理仅仅是一个方法论的东西，首先要确定我们要建设高效可持续发展的信息化，把这个作为我们的世界观，当然这个具体内容我们有一系列的文章，什么是科学的信息化发展观？这在互联网上大家都可以搜索到。确定了世界观之后，我们就需要从体制和机制、制度安排的层面做一些设想、设计，这就是IT治理的工作，我们要设计这个框架是什么样的、机制是什么样的，谁来治理、治理什么？治理的内容是什么？如何去评价这样一个治理？去设计这样一些工作。

在打好了这样体制机制制度安排的基础上，我们就可以逐项进行IT风险管理工作。为什么叫IT的风险管理不叫IT的管理呢？因为我们有这样一个研究，我们发现现在所有的管理都是风险管理，所有的管理都是绩效管理，所有的管理也都是流程管理，其实它是一回事，所以我们以后把IT的管理就叫做IT的风险管理，不再是以前的投入产出的问题，而是风险与收益的问题。 :

孙强 : 首先，IT治理和风险管理是需要长期制度化的方法来实现的工作，它不是一蹴而就的东西，需要我们要以一个平常心来看待它。因为很多企业试图让我们用半天的时间告诉他IT治理是什么，到底是什么工作，这不可能做到。

第二，我们一定要以全球最佳时间为出发点，例如ITIL等。当然我们应该站在巨人的肩膀上。如果我们的企业都遵循这样一种控制流程，这个控制流程的目的就是用来改善企业的内部控制系统，进而达成合法合规这样一个目标，就会给我们企业带来一个持久的收益。 :

孙强 : 一旦中国的企业形成了与企业文化相适应的良好治理结构和治理机制，这就会成为中国企业国际竞争力的核心源泉。今天我要给大家报告的内容就到这里，谢谢各位。

主持人 : 下面有请Mitchell Young，IBM 亚太区软件部 Tivoli 品牌总监，他的演讲题目是：向更完善的 IT 治理转型

Mitchell Young : 大家上午好。我热烈地欢迎大家参加我们今天的IBM IT治理和风险管理的高峰论坛，对孙强的发言我非常感兴趣，你们也知道IBM怎么能够帮助你们站在巨人的肩膀之上，以便能够达到最佳的做法，也就是在治理方面和风险管理方面做的最好。

Mitchell Young : 今天上午我想接着要强调我们已经所提到的一些相关的主题，也就是第一位发言人和孙先生都强调了这一点，为什么IT治理与风险管理对于中国的企业和组织来讲这么关键。然后我再跟大家分享一下IBM以及我们的客户他们怎么利用经验取得IT治理和风险管理方面的成功，使得他们在三个领域里面加以关注：一个是服务管理、安全管理以及不断改进的业务的连续性。

Mitchell Young : 作为一个中国的组织，你们会面临着史无前例的机会，这个机会就是在中国本地市场和全球市场都有所作为，当然你们也知道这个机会也是和挑战并存的。在我之后的一个发言人会谈到这些挑战，我想这些挑战也是你们非常熟悉的。我在这里主要给大家强调三点：

Mitchell Young : 第一，我们现在企业的人员流动性越来越强。我们IBM有大量的生产效率的提高，我们给客户提供更好的服务，但是怎么做到这一点呢？是因为我们有大量的技术人员在流动，是上门给客户服务并支持客户各种各样的需求。但是作为一家企业，我们必须要平衡好人员流动性和风险上升之间的关系，我们要做好这样的平衡，因为很多的流动工作人员拿着IBM安全信息或者客户的保密信息，数据就可能面临着风险，在这个过程中，我们需要去做一个决定，怎么样来控制风险。

Mitchell Young : 第二，我们在和合作伙伴和供应商进行合作的时候，我们怎么样优化跟他们的合作？你们应该和他们共享什么信息？哪些信息需要共享？这需要我们做一些决定。IBM在这方面做了很多的工作，我们经常问自己这样的问题，作为IBM公司我们应该设定什么样的标准？制定什么样的政策？而供应商应该如何遵循我们的标准和政策？作为我们的合作方必须遵循IBM方面的标准。这就是IT和业务要结合在一起的重要的方面。因此，IT治理不仅仅是IT的技术问题，而更多的是IT治理和业务治理相结合的这样一种情况。所以我们在这个过程中要不断地推进IT的治理。

Mitchell Young : 前面一位发言人给我们提出了一系列的变化和发展的趋势和挑战，中国的商业环境在不断地发生变化。有很多应用，还有很多以服务为导向的架构，比如SOA等等这些都是我们所处的新的环境，我们有很多以前的IT的孤岛现在都连接在一起了，已经没有一个孤立的服务器和孤立的应用在那边运转了。我们把IT很多组建整合在一起形成一个网络，在这个过程中就使得我们的环境越来越复杂，从可用性和安全角度来讲也提出了更大的挑战。

Mitchell Young : 另外我们还有很多史无前例的变化的速度和变化的水平，我们和亚洲地区很多客户交流的时候，我们看到有很多非常关键的商业服务，成百上千，每个月都要进行变化的领域，环境在变化，你的服务也在变化，这使得我们的环境更加复杂、变化的速度更加快。

Mitchell Young : 我们从很多的客户那儿听到，一旦业务发生中断，一旦宕机，一旦不能向我们的客户提供服务，不管是什么原因，是外部的威胁或者是攻击，或者是因为我们一开始IT组织提出的服务无法实现，或者是我们服务的中断，这些都会造成大规模恶劣的影响和后果。

去年我们就有一个例子，有一家公司制造黑莓手机，为能够上网、接收电子邮件的手机做生产，他们其中有一个设备可以储存E-Mail信息，这样的变化对于北美地区很多的黑莓的用户来说出了一个问题有八个小时他们没有办法接收他们的E-Mail，这就造成了业务中断，给顾客的满意度带来了负面的影响。另外，我们看到在中国以及全球的范围内，刚才孙先生介绍了监管法规越来越复杂，萨班斯法案是其中的一个例子，美国的证券交易所提出了很多新的监管的要求，新的巴塞尔协定有新的规定，我们有越来越复杂的法规环境，作为IT行业的领袖工作越来越艰巨，因为他要不断地处理合规的问题，要遵从这种法律法规。 :

Mitchell Young : 我们看到环境中的威胁越来越多，内部的威胁是重要的，需要考虑。外部的威胁也是越来越强。这些威胁不光是病毒或者是恶意的攻击，有时候我们会出现一些有组织的网络犯罪，他们的手段越来越高明。我们听到Bete F. Demeke的开场白中讲到，大量美国、瑞典信用卡的数据失窃，因为一个零售商IT系统出现问题导致大量客户信用卡的数据被盗窃，这是有组织的网络犯罪。这需要我们应对一系列的问题和挑战，这些风险都是可以通过IT的治理和良好的风险管理的框架来解决的。

Mitchell Young : IBM在这方面有非常丰富的经验，我们采用这样一种先在自己公司内部进行试用、积累经验，然后处理问题的方法。我们提供给大家的服务和产品都是在IBM公司内部进行处理、进行实验，经过调整和处理最终能够提高公司业务的性能、提高公司业务的连续性以及加强风险管理，提高监管合规方面的性能。刚才我们已经强调了，风险管理已经越来越多的和IT治理和商业上的公司治理结合在一起，我们已经不像以前那样非常孤立地来看这些问题，已把这些东西越来越多地整合到IT治理的平台或者框架里面来了。所以在我们做IT风险管理的时候，做IT治理的时候，我们需要有一个一体化的过程，我们在做IT治理和风险管理的时候，需要把政策转变成为一个具体的实践，主要是通过流程的再造和设计，把政策转变成为实践。

Mitchell Young : 我们要真正地实现问责制，在政策变成实践的过程中，通过流程能够找得到最后谁应该负责，哪个环节出了问题由谁负责。你可以站在巨人的肩膀上实现这一点，孙先生刚才讲过，ITIL已经推出了最新第三版的IT治理和风险管理的流程。对于IT风险管理来说是一个最新的产品，当然还有很多其他的流程，IBM会告诉你应该会采用什么样的标准，怎么样才能实现更好的IT治理与风险管理。通过流程的方法，我们能够实现更好的效果，我们可以把业务方面的一些需求通过IT治理和风险管理的框架，通过把业务需求和战略性的IT项目结合起来，而这些战略性的IT的项目是直接能够产生商业结果和业务结果的。所以通过我们这样一个平台，能够把IT业务的需求通过IT的项目转变成为真正业务成绩和结果。

Mitchell Young : 而我们这些框架和产品能够帮助你实现这样的一种排序，告诉你哪些事情应该做，哪些事情是最重要的。做正确的事是我们首先要明确的，这是我们政策性、原则性的问题。还有就是以正确的方式做这些事情、以高效的方式做这些事情，还有实践的问题，怎么样把我们的政策真正的制定和落实，这就需要我们通过流程来解决这个问题。前一位嘉宾给我们介绍了流程的重要性、强调了流程的重要性。我们一些行业中领先的流程模型还有我们自己的一些流程模型，今天下午大家会更加详细地听到流程模型具体的详细内容。我们鼓励大家和IT治理和风险管理比较好的企业合作，在这个模型的基础上建立起适合于您所在企业的这些蓝图。

Mitchell Young : 当然，我们不仅仅是一个IT项目，我们讲IT治理不是要进行重起炉灶，或者是大规模推倒过去的到一个全新的完整的系统，不是这么一个事情。比如你是管IT公司的副总裁，有时候你是可以在现有的框架、现有的IT系统基础之上，通过一些战略性的IT项目实现刚才提到的目的的。很多时候我们在进行风险管理的时候，可能我们就会处理这三个问题：第一，服务管理，怎么样建立起组织服务的管理能力。第二，是安全，安全的要求在不断提高。第三，要提供我们业务的弹性和业务的容灾性。

Mitchell Young : 这三个非常关键的要点是我们IT战略的切入点，通过这些战略的IT项目，通过三个切入点来实现我们所看到的商业的业绩，使得我们的企业和组织能够在IT治理和风险管理方面有一个质的飞跃。有一家印度的制造商，去年我们和他们进行合作，那个组织有两个IT项目，一个是IT项目，一个是商业项目，这两个项目在他们的环境中是平行落实和部署的。其中IT项目是一个安全项目，是来提高身份认定的，这是IT部门提出来的要求，他们要改善他们企业的生产力，比如说新的用户还有密码的管理，还有整个安全政策方面，他们提出了一些新的要求，这其实是一个战略性的IT项目来提高用户的生产效率来提高安全性。在印度的客户还有另外一个项目是财务部门提出来的商业的项目、业务的项目，这个项目就是要来提高他们在订单管理过程中保证信息的安全，他们要防止不同的人在相关信息的过程中对有些信息进行的不当的使用，财务部门才提出了这样的要求。财务部和IT部提出的两个项目的目标是完全相同的，所以我们可以把两个项目合并在一起，来提高产品推出市场的时间，从而提高商业利润和成绩。

Mitchell Young : 所以我们完全可以看现在公司里面有哪些商业方面的项目，有哪些业务方面的要求，从广泛、全面的角度看把业务方面的要求，是不是能够有一些IT的战略性的项目帮助我们解决业务方面的问题。在中国很多的客户，包括亚太区很多的客户希望能够充分地利用三个重要的优势：第一，怎么样更快地抓住市场的机会，我们看到现在市场当中的机会稍纵即逝，而那些反应更快的公司可以抓住机会。第二，在亚太地区和中国的企业希望进一步改善服务产品的质量来降低风险。第三，大家都知道，我们有降低成本的要求，同时我们也要加快速度，IT怎么样以更快地速度、更低的成本来支持我们的业务。这三个是我们IBM服务管理能够实现的目标。

Mitchell Young : 什么叫IBM服务管理呢？IBM服务管理的定义就在这张图的最下面（见图），我们能够在你所需要的时候以你所界定的时间和预算成本来实现具体业务的目标，提供具体业务的成绩。另外我们可以把服务管理分解成三个领域满足您的需求：

Mitchell Young : 第一，可视性。所谓的可视性就是你能够看到业务的状况，你作为一个IT的领袖或者是商业的领袖，有时候你要问自己，我的业务到底怎么样？我的网络、我的数据库到底在我的环境里面运行的怎么样了？

Mitchell Young : 我们需要了解这些资产究竟在哪里？我们在部署一个数据库、要装一个服务器或者一个网络应用程序，这时候来运行我的制造系统和我的人力资源管理系统，或者来管理我的支票管理系统，这些时候我们今天的组织已经是在从一个架构的角度综合地管理所有的这些系统，在这个过程中你需要有一个上下游综合一体化的基础设施网络。我们还在不断地往越来越复杂的网络里面加一些新的软件和硬件，这时候我们就需要非常快速地了解我的资产究竟在哪里，现在这些架构变得怎么样了？而更加关键的是所有的这些资产结合起来综合运转的时候是怎么样的状况，这是需要我们提出可视性的。所以，提高这种可视性或者可见性就需要有我们一目了然的仪表板，让它帮助我们了解状况。

Mitchell Young : 比如银行有很多的住房按揭贷款的业务，你需要通过一目了然的仪表板、图表来了解今天产生了多少笔新的按揭贷款。比如我是一家银行负责安全的高级官员，我一定要了解安全政策在我的环境中执行的怎么样。最后如果我是负责运营的管理人员，我一定要了解我现在的网络、我的数据库互相之间和业务体系整合的怎么样，现在运行的怎么样。IBM就能够给你提供这样一个高可视性和可建的仪表板，让你一目了然的业务和资源。

Mitchell Young : 第二，可控性，我们要去管理和控制我们的投资，我们的投资回报的怎么样，我们的资本支出运营支出控制的怎么样，有一个更加完善的控制就可以降低成本和支出，能够对环境有更好的了解。我们都希望有更好的财务控制，我们都知道我们能够获得最优化的投资报告，这是我们需要控制的。IBM服务管理能够帮助我们的客户、我们的企业、我们的组织有一个更加可以预见的商业的结果。而且可以由一个表现前后非常一致的执行，能够有更高的业绩的同时降低风险。

Mitchell Young : 有统计表明，只有40%的资产是管理的非常好的，换句话说有60%的资产是管理得非常不好的，在你的环境中60%的资产根本不知道它在哪里，管理得不好，或者根本无法对他进行描述。另外在这些方面，我们经常讲投资回报率，如果这些资产你都不知道在哪里的话，你怎么样提高你的投资回报率。所以这些资产，你的商业服务怎么样把它结合起来，充分地利用你的资产提供更好的服务。我们看到还有很多服务方面的问题，你的宕机、你的服务、你的客户不满意，其中85%的原因是由于变革管理控制得不好。有的新的东西可能没有解决问题倒是给你带来问题，控制就是要更好地对你的资产进行控制、更安全。

Mitchell Young : 第三，自动化，有关服务管理，我们有了可视性和可控性，组织就可以更多地关注自动化的情况，自动化也是非常关键的，它能够给你节省成本，同时也可以给你带来更高质量的服务。还要利用可预测的分析等等，这样有些问题可以很快地发现，或者避免这个问题的出现，省得影响你们服务的质量。孙先生谈到了很大一部分的IT预算，事实上Gartner会说70%的IT人员是运营维护上面的，这是很高的IT人员的成本。因此，服务的管理、可视性、可控性和自动化，就是要提供业务的流程和业务的系统给IT，这样我们可以减少成本和IT的人员，以便使得这些有价值的人员来做一些新的业务的创新或者是推动你们组织所需要的其他的目标的实现。

Mitchell Young : 第二个关键的作用就是有关治理和风险管理的时候，在我们跟亚太地区组织交谈的时候，我们会谈这是一个很好的出发点，也就是一个是安全性的问题，安全性也超越了以前的概念，就是最基本的病毒、防火墙或者是最基本的一种抗侵扰的问题，实际上我们觉得它有更多的东西是要求安全的能力，也就是说要管理信息、管理身份、介入身份等等，同时也是要管理数据和数据的加密。所有的这些东西，这是业务发展的趋势，也就是说你要整合地来看待安全。

Mitchell Young : 整合的方法能够给你带来合适的人、介入合适的信息，而且它原因是正当的。同时我们可以证明他合适的人、合适的权限、适当的合适的理由。有了这种体验型的做法、流程性的做法之后，我们就有了最佳的涉及到信息和安全管理的东西，能帮你评估一下有关现在的风险的信息，能够使你规划身份、数据、信息等等，来实施并且管理它，也就是在流程中生命周期性的东西，也就是说不断地有反馈、不断地有改进，跟其他IT的项目是不一样的。一般来讲，它就是一个目标，朝着那个目标走。最佳的做法在信息风险管理有一个反馈，也就是说我们是不是达到了预计的目标，我们是不是要把计划做一些改变。IBM的方法就涉及到安全性的时候，一方面以流程为中心也以评估和服务为基准的，这些是得到了我们最佳、最完整的行业的应用能力。我们可以看到不同的层面，比如说物理方面的还有应用安全管理一直到用户方面，另外我们有这样的能力在所有的领域中都有这样的能力给你提供安全的合规性，可以确保你是符合法律法规规定的。或者能够给你提供安全性的监测和管理。特别是对于超级使用者来讲。

Mitchell Young : 我给你举一个例子，在超级合规产品里面，可以决定你是用户还是超级管理员，也就是说你只能按照你的身份做工作，如果超级使用者滥用了职权的范围，他获取了客户信息的信息，他不应该这样做，所以合规的管理很重要，刚才我们也听到了美国化学公司偷取信息的问题，有了这个流程以后，你就可以知道什么人在什么时候威胁了你的信息。还有身份访问的管理，这样人员身份和应用流程，我们还有应用的安全管理。这里面有很好的例子，就是Tivoli存储管理能够跟IBM一起加密，把这个东西送到外面以后，可以担保没人可以获取信息，除非有钥匙来解密。我们还有应用安全的管理，我们可以看一下相关的应用安全的监督和认证等等。最后还有基础架构的层面上，我们有一个有关服务的安全架构，有关咨询的技术，包括网络的安全ISS，IBM技术的团队能够实施基础架构的服务和解决方案。

我们刚才谈到了服务管理、安全性，现在我们来看一下业务的连续性。在这个图表中我们可以看到有纵轴和横轴，纵轴就是白色箭头所示的，我们谈到了信息和可用性使成本日趋攀升，随着时间的推移，我们有了更多的在线的系统，有更多的业务流程在线，可用性的成本就急剧上升，同时在红色箭头所示，如果我们考虑一下提供一个抗灾性的业务系统，随着时间的推移，这种部件的应用和把技术连在一起、和数据中心连在一起或者跟客户连在一起或者是跟供应商连在一起，或者在全球范围内把他们连在一起，这种复杂性越来越大，这就给你带来了极大的空缺，这个空缺就是怎么提供可抗灾的流程来支持我业务的发展。 :

Mitchell Young : IBM的方法就是要帮助客户理解这个平衡对于企业成功的至关重要性，一般就是正常方面的成本和停机方面成本的平衡。这里有一个例子，这个公司投资了数以千万人民币或者数以千万美元来做一个业务持续性的解决方案，对于公司来讲并不是最关键的一块，我们来看一下这个公司没有业务抗灾性的，但是这个业务对于公司的收入和利润是至关重要的，这之间要达到平衡，关键性的业务需要你有投资的水平。这些方法论是我们IBM的，能够帮助你关注三个方面的因素，特别是宕机时间的，一个是频率，也就是多少次你会有这样的停机次数，或者是系统服务器崩溃了等等，这种事情多长时间发生一次。再有一个方面，一旦有了停机，持续时间是多长时间？是按分钟计算？按小时计算还是按天来计算停机的时间？最后需要考虑影响范围是什么，是影响到整个用户，还是影响到所有的客户，还是只是影响到一小部分的运营环境呢？

Mitchell Young : IBM在利用最佳的做法在这个流程中、在这个评估中以便帮助你界定一个合适的方法，使得你有业务连续性的战略，企业有哪些类型的风险，对业务的经济影响如何？哪些领域存在薄弱环节？一个是涉及到业务数据或者是围绕着事件的。我希望大家通过简单的介绍能够看到IBM有这样的能力，能力的范围也是很宽的，也就是有风险的管理，有安全性以及业务的连续性，也就是容灾性，这样能够取得最终的更好的治理和风险管理的目标。IBM的能力不光是从软件部门，不光是我们这方面提供，也不光是服务器和存储技术能提供这方面的东西，也不光是广泛的服务能力方面提供的，更多的是我们所有IBM的东西都是在一起的，以便能够有最佳的实力、最佳的方法、最佳的流程和服务，我们利用的是平台和架构，也就是针对有更好的服务管理的，提供整合的解决方案。为什么我们对于治理和风险管理肯定是有好处的呢？因为在IBM里面我们已经体验到了整合的IT治理和风险方法带来的好处，正如任何的组织一样，IBM要关注的就是把我们有价值的资源和投资在运营方面，使业务运营，把这些资源解放出来，使得我们能够让它推动一些战略性的关键的东西。

Mitchell Young : 我们也要改进我们的服务质量和生产力，提供给我们潜在的客户，同时我们还要减少成本。为了能够达到这个目标，我们有一个企业架构的做法，它最终是依赖于IT治理和风险管理的，同时我们也简化了结构，包括数据中心的演变，使得我们有绿色数据中心的技术。我们还利用了SOA服务为导向的架构，以便驱动新的灵活的业务流程的出现，效果如何呢？IBM是非常大的公司，节省对你们来讲是非常重要的，也就是四亿五千万美元的维护费用用于策略性的计划、推动创新，带来新的产品和新的服务以及新的做事情的方法，我们也减少了将平均的伙伴订购流程周期降低了90%，也就是提高了效率。同时我们有电子的互动和合作伙伴，同时我们也知道分享信息的层面是什么，而且我们知道同时我们能够很好地管理风险，我们也整合了我们的基础架构。有一个例子是将客户数据库从65个降低到2个，这些都涉及到有价值的客户的信息，通过这些做法，我们同时也将销售人员的生产力提高了，我们知道这种方法是行之有效的，我们也和大家在一起分享我们的体验，我们的客户和我们在一起也使得治理风险管理方面获得成功。我们可以看到一些分析家以及行业分析家对于IBM Tivoli，比如Forrester就说根据我们的评估在技术开发和系统集成服务评测中IBM获得了最高的平分。或者在企业管理方面，谈到了IBM如何能够理解而且我们有能力帮助各种大小的业务，不管你是大公司还是小公司，不管你是大的政府部门还是中国最大的金融机构或者是小的制造商，都要在全球范围内进行竞争，IT治理与风险管理以及IBM的能力都能够适用于你们。

Mitchell Young : 我们在服务管理、安全和业务的容灾性方面都有新的产品和组合，我们在这里需要介绍一下，比如从服务安全来讲，有服务的流程，这是基于下一代的提供服务要求方面的产品，还有Tivoli Change电话配置和数据库管理，这样我们可以很快地支持业务。在安全领域方面，有一个所谓的Rational AppScan的技术，这样在应用方面有比较好的好处。还有一个Tivoli Sectrity行业方面的等等，这能够提高生产力包括对安全的认证和批准方面，同时在这方面还有容灾方面的产品使得全球的客户能够有更好业务的连续性。

如果是主机方面的客户，可以看到在两周之前IBM有有关新的z10主机计算的平台发布，在这个平台上我们还有一些关键的服务管理中心，涉及到主机和z的，这个组织可以利用主机把它作为中心的控制点控制所有服务方面的要求，改进你主机的环境以及其他的一些分布式的计算性的环境，服务管理中心包括了所有的相关的能力，管理可视性、控制以及自动化等等，它是针对所有平台、所有流程来优化你的数据中心，因为这是你的业务流程的方式，能够管理分开的业务。 :

Mitchell Young : 今天是一个很好的起点，我们可以很好地理解服务的管理怎么帮助您和您的公司，以及IT治理和风险管理怎么帮助你们公司。在今天下午我们有分组论坛，我们有机会能够深入地探讨一下每个领域中的细节。比如有服务管理和容灾性等等，我也鼓励我们的合作伙伴和我们的客户更好地利用接下来的活动，也是行业中IBM Pulse2008全球顶级服务管理盛会在5月份的佛罗里达召开，我们会给大家一些机会，能够跟亚太地区的同事了解这方面的情况。

Mitchell Young : 更加重要的是，我想强调在这次活动中，我们有100多名客户，他们会上台演讲，给你们介绍他们怎么执行IBM服务管理的技术，他们会现身介绍一下他们在用IBM服务管理的系统过程中的体会。如果你在非常关键性的教育培训的盛会当中做一点投资的话，肯定会在服务管理方面有一个非常大的收益。我非常期待在美国加州做主人来招待在座的各位，IBM本地的工作人员也会具体地向各位发出邀请函，邀请大家在今年5月份去美国参加这次盛会。

Mitchell Young : 下面我总结一下，一开始我们提出了一些实际的建议：第一，IBM基于业内最佳实践和客户经验，提倡流程化方法，从而实现IT无致力于风险管理目标。第二，选择一种IT动议并加以实现-无需全面采用IT致力于风险管理，只需关注适合于您的特定计划即可。第三，IBM有着深入的行业专门技术；经过验证的方法学和最佳实践，业内领先的技术、解决方案以及最广泛的生态系统和合作伙伴网络。所有的这些都能够帮助实现IT治理和风险管理的目标，所有的起点采用了以流程为基础的模型。非常感谢大家参加今天的会议，今天下午我们会有更加详细分组介绍，希望大家能够利用今天能够获得的所有资源，最后再次感谢大家参加我们今天的会议和大家的耐心。谢谢。

主持人 : 有请李雅弼，IBM 全球信息科技服务部、大中华区资信咨询服业务经理做题为：实现 IT 治理的有效途径的演讲。

李雅弼 : 尊敬的来宾领导，早上好。今天很荣幸跟大家分享IT治理这个题目，IT治理有不同的意义：IT治理是企业的目标吗？还是企业的文化？或者是我们必须要遵从的？IT治理是哪个部门的呢？种种的问号下，我们有一个很好的IT治理方法是看不见的，有IT治理的公司不一定赚很多钱，就像项目管理一样，如果没有项目管理项目一定会失败，所以我们探讨这个题目。

李雅弼 : 第一，主动支持不断发展和变化的业务需求。第二，衡量IT对业务支持的程度和绩效。IT治理越来越重要，IT治理的目标就是怎么样有效地利用IT继续支持一直在变更的商业的需求。我们用这个方法来评估IT做的好不好。第三，优化组织架构设计和资源使用，在有限的资源和预算下，为公司提供IT服务。IT持续衡量和体现IT的价值，提供服务，IT的架构怎么组织，提供服务。CIO在受到很多方面压力之下，越来越多地依靠治理的手段来整合来自各方面的需求，怎么样用IT资源提升公司整体资源的利用，怎么样在IT的控制下提供业务流程的监控等等。

李雅弼 : 从组织视野：IT治理是通过人员组织来推动流程、技术等不同变革以实现IT对业务战略的服务和价值，其中包括对人们行为模式的改变。建立成治理的框架：做何决策？框架谁有决策权？如何对结果负责？谁该负起IT治理的责任？信息化三要要素：1.人 2.流程 3.技术，也就是来体现IT的价值。

李雅弼 : IT治理是有模板的，企业不断发展，全球各企业有不同的产品线，最基本的组织以推动协同和中央汇报，以前做决定是“三不管”，但是推行整个IT的有效性就需要有多个组织，我们有多个专家及专业人士进行协调。另外，企业越做的大，不单是IT费用增加，而是IT费用/营收的增加比例。如果本地公司花在IT方面的钱是1%，但是你是几十亿、几百亿的企业，你的投入比远远超出1%，因为你发展到全球其他地区就发展第二语言，还要支持第二个时间区。大家要考虑组织的架构，基本有三种不同的架构：本土制IT（自己做决定）；联邦协同IT；中央主导IT。在这方面可以和大家分享一下我的观点，因为一个企业要做大做强，最后还是走到中央主导IT的结构，这是我的观点。这方面有很多可以共享的方法。

李雅弼 : 从流程视野：IT治理是将治理的目标涵盖到所有的IT活动。以监管、确定、验证的手段将治理的漏洞呈现出来，予以改善。

下面举例说明：这是软件工程开发的流程图，有定义、设计与分析、编程与子程序测试、一直到验收与发布。在流程上面有一个质量认证Q&A，Q&A的控制点放在流程上面，我们有很多Q&A质量保证。工程流程：需求管理，配置管理，变更管理，文档管理，测试管理，编码审核流程，软件发布流程等等。工程标准：编码框架图书馆，编程守规，各语言使用守规，报表及屏幕标准，数据库及中间件，命名守则，安全标准等。这是治理的要求，怎么样确定业务的流程能真正变成系统的流程，要遵守所有的软件工程标准，要独立地开发测试和运营的环境，我们怎么样衡量目标有没有达到？是以每个系统，开的功能有多少被接受。我们怎么将这些控制点加入到流程中？我们怎么监控和审核？Cobit2.3特别强调了监控和审批的过程，强调了高端设计反映业务需求。在这个过程中，我们看到要不断地引进开拓功能。如何完整和无误地达到治理目标，这个框架就体现出治理的要求。举个例子，我们为零售业开发了一个软件，它是内控方面的，从治理的角度确定系统和功能是不能随便篡改，篡改的话要有纪录。不单从现金流控制、物流控制到底有没有误差，这是很关键的体现充分的业务管理。我们不光是看功能，要确定功能能不能达到业务的目标，特别是业务内控的目标。例如实施SAP需要有很多的控制点，我们有了最佳的典范，我们才能知道怎么利用软件来监控、内控，这也是中国面临的挑战。 :

李雅弼 : 从风险管理视野：IT治理是从规划，监控，运营层面来防御IT运营服务管理，资信安全和业务连续性的风险。IBM风险管理的模型：从四个角度全方位的阐释所面临的信息风险。IT风险管理：IT合规内控体系、IT流程管理、IT资产管理。IT服务管理：IT服务现状、IT服务实现等等。安全：安全威胁、安全弱点、安全管理等。以及业务连续性。

我们从风险方面，对不同的系统、不同的用户我们处在怎么样的服务水平。关于业务连续性和系统架构的问题，大部分就是运营处理问题不当。举例：在某某机场，去年机械人员无心地更改一个码，造成10几小时的机场瘫痪，这是系统小小的问题，但是要反映怎么修改的过程，会造成很大的灾害。从运营方面也有很多的风险，我们有问题怎么反映，这些数据怎么保证等等，这是从运营的层面来看治理。举例一些常见的风险，没有问题很好，但是一旦有问题，全部是红灯，3000个红灯，大家互相影响，怎么办？这是一个风险，我们怎么解决这个问题。这是业界的一个方向，大家以前花很多钱买防火墙，买安全设备防御黑客。现在要看能不能用监控手段确保我的网站、我的系统不会被攻击。 :

李雅弼 : 实施治理另外一个办法就是看风险点，就是自下而上的方法。IT治理的精义是怎样贯彻治理的目标到整个企业上的，我们可以透过架构推动IT的治理，现在都是以人为本，我们可以透过一些技术的平台，提供很好的工具，这些平台落实IT治理，提升IT的绩效。我们也可以从流程优化，看到流程看到很多漏洞，从这三方面来看治理。重点就是我们要确定标准，我们要做什么事情，这些事是不是有具体性？另外要找到控制点。

李雅弼 : 如果我们做到治理的推行，我们就可以达到最近在中国政府大力推行的一些政策要求：例如国务院办公厅的《进一步开展安全生产隐患排查治理工作》的要求，发现这些隐患，由被动反应到主动发掘。还有在各行各业中都有很多来自对业务的监控、对业务的内控的要求，这些东西我们怎么样用IT的内控、IT的治理来实现？

IBM针对每种IT治理的手段，IBM开发了被证实可行的，经过实践验证的方法论。它的大道理可以从绩效管理，谈到目标，IBM采取了业界的领导定出来的标准，不是空谈的加班、做好人，而是在每一个流程上面提供空间目标，首先有34个IT流程，每个流程的目标是什么，定了7个信息标准。可以看到，IT流程分四大领域：第一，监控和评估；第二，计划和组织；第三，交付和支持；第四，获得和实施。计划和组织、监控和评估、获得和实施、交付和支持都有目标。 :

李雅弼 : 总的来讲，我们追求的是透过治理落实IBM IT管理服务选择ITIL作为基础架构来描述和决定全面的IT管理服务，同时融合IBM在业界和自身的实践经验PRM-IT。Cobit是在此基础对流程和管理的最终目标。CobiT-IT流程控制框架是最终目标。

第二个案例：先以数据中心武力整合解决IT组织架构问题，落实Cobit在IT流程，组织及的目标。背景是中国消费电子企业，透过并购与策略联盟，接管了在美国、欧洲、亚太的有品牌的销售网络及在泰国、墨西哥、东欧等地的工厂和研究所。 :

挑战：1.老旧和不整合的IT系统；2.支付高昂的IT支持费用给出售方的集团IT服务公司。3.一些系统面临淘汰。4.组织抗拒IT系统的整合，不支持转移到全球ERP系统具体功能及与下游客户的借面说不清楚，许多故有系统也是“黑盒子”操作。 :

解决方案：1：首先整合非业务功能性（如电邮）的系统及支持。2，非功能性更改的物理迁移所有的硬件及系统到1-2个数据中中心。3：集中在在1-2地点提供应系统的支持/升级。4、把握到功能需求与介面关系时，在数据中心进行功能整合。 :

李雅弼 : 对IT治理的绩效：1.简化IT组织；2.实现资源共享。

IT治理实践案例3：IBM Tivoli安全解决方案助上海电信构筑简约、实用的安全防线。 :

IT治理实践案例4：IBM为某企业信息化总部，提供信息服务集中监控管理，通过这个平台将各地的状况主动监控和反映。我们可以透过推行来体现刚刚提到很关键的让这些问题都变成可见的Visible，让问题呈现出来，变成可控的Control，还有自动化Automate，用自动化来代替人员，自动化的目标是避免人为的错误。 :

李雅弼 : 对IT治理的绩效：1.简化IT组织；2.实现资源共享。

IT治理实践案例3：IBM Tivoli安全解决方案助上海电信构筑简约、实用的安全防线。 :

李雅弼 : 刚刚已经讲的很清楚了，IBM有很多很好的工具，全面的解决方案，从顾问方面我们要提出几个服务，IBM IT内控与合规咨询服务通过全面的IT内控方法规划设计企业IT内控体系架构。风险评估服务以及IT治理咨询服务。大的框架怎么样落实，很重要的一点是今天在不断发展的过程，使我想起来10年前很流行一个词：业务流程再造，现在基本上没有人提起了。因为我自己做过很多业务流程再造的观点，第一要给客户描绘美好的将来，客户很高兴。第二要落实。大家拿甲骨文、SAP的平台，那边已经有行业的最佳典范，有最好的流程，跟行业的模块，同样在服务管理，我们很高兴IBM可以实现同样的方法，我们拿一套业务平台，IBM资信服务管理平台能满足阁下的需求，资信服务管理平台设计服务能帮助你：1、透过设计成熟性分析，订定服务需求。2、订定服务管理的治理，和服务流程与管理模式。3、以ISO/IEC 20000和COBIT的指引进行设计原则讨论。将平台上的设计流程体现出来。

李雅弼 : IBM提供整合的“资信服务平台”是可见的可控的整合平台，换句话说是组织、流程、科技、资信的结合，有很多自动化的系统在里面。希望大家在落实治理和服务管理不要走冤枉路，站在巨人的肩膀上。

接下来是我的结语，易经：“临”元，亨，利，贞。至于八月有凶。 :

注释：临：治理，指君王治理人民。 :

李雅弼 : 2、卦像是兑下坤上，兑为泽，坤为地，是一大片土地面临着一个湖泊，以高临下，比喻君王对人民的治理是要有指导性的。

3、下兑是说人民如何对待君王治理，蛊卦讲贤臣能去掉厉王错误。 :

李雅弼 : 希望IBM提供的IT治理途径可以让各个企业找到元、亨、利、贞，元就是创新，亨就是亨通，利就是得利，贞就是诚信。谢谢大家给我这个机会在这里演讲，跟我分享这个题目。我就讲到这里，谢谢。