前幾日,滬深大盤發(fā)生異常大跳水,7分鐘內(nèi)上證指數(shù)跌去近20點。業(yè)內(nèi)分析人士認為,上證指數(shù)的風云突變可能與下午上證所IT系統(tǒng)的故障有關。

  據(jù)悉,在當日下午,剛上市的招行認沽權(quán)證由于成交量巨大,導致其行情顯示時總成交量字段溢出,致使其總成交量顯示異常,并使招行權(quán)證價格在股票分析軟件上成為一條不再波動的直線。這種現(xiàn)象直接導致市場波動,帶動股指發(fā)生了兩波快速下跌。今年全球由于IT系統(tǒng)故障導致金融市場大動蕩的現(xiàn)象已經(jīng)有多起發(fā)生。去年末,在短短的40天內(nèi),東京證交所由于交易系統(tǒng)軟件升級出現(xiàn)問題而導致了兩起重大事故。

  IT系統(tǒng)建設的目標是為了支撐業(yè)務更好地發(fā)展,但是IT系統(tǒng)故障卻直接影響了上證和東京證交所的業(yè)務正常進行,IT系統(tǒng)背叛了業(yè)務目標。

  “各種組織對信息系統(tǒng)的依賴程度在不斷增加,更有一些組織若沒有IT支撐將不復存在,這導致IT本身已經(jīng)或潛在成為一個巨大的威脅。”中國IT治理研究中心首席專家孫強說,“隨IT而來的風險、利益和機會使得IT治理成為公司和政府治理中很關鍵的一個方面?!?/p>

  IT治理重在事前控制

  北京信息空間文化經(jīng)濟研究院首席顧問蘇彤老師在去年的中國公司治理暨IT治理年會上講過這樣一個故事。

  魏文王問名醫(yī)扁鵲說:“你們家兄弟三人,都精于醫(yī)術,到底哪一位醫(yī)術最好呢?”

  扁鵲回答說:“大哥最好,二哥次之,我最差。”

  文王再問:“那么為什么你最出名呢?”

  扁鵲答說:“我大哥治病,是治病于病情發(fā)作之前。由于一般人不知道他事先能鏟除病因,所以他的名氣無法傳出去,只有我們家里的人才知道。我二哥治病,是治病于病情剛剛發(fā)作之時。一般人以為他只能治輕微的小病,所以他只在我們的村子里才小有名氣。而我扁鵲治病,是治病于病情嚴重之時。一般人看見的都是我在經(jīng)脈上穿針管來放血、在皮膚上敷藥等大手術,所以他們以為我的醫(yī)術最高明,因此名氣響遍全國?!?/p>

  “這個為人熟知的故事講了一個很淺顯的道理——事后控制不如事中控制,事中控制不如事前控制??上Т蠖鄶?shù)的事業(yè)經(jīng)營者均未能體會到這一點,等到錯誤的決策造成了重大的損失才尋求彌補。彌補得好,當然是聲名鵲起,但更多的時候是亡羊補牢,為時已晚?!碧K彤評論說,“這正是IT治理意味深長的地方!”

  根據(jù)美國IT治理協(xié)會的定義,IT治理是“一種引導和控制企業(yè)各種關系和流程的結(jié)構(gòu),這種結(jié)構(gòu)安排旨在通過平衡信息技術及其流程中的風險和收益,增加價值以實現(xiàn)企業(yè)目標。”中國IT治理研究中心在綜合研究的基礎上提出如下定義:IT治理用于描述企業(yè)或政府是否采用有效的機制(就是為鼓勵IT應用的期望行為而明確決策權(quán)歸屬和責任承擔的框架),使得IT的應用能夠完成組織賦予它的使命,同時平衡信息技術與過程的風險、確保實現(xiàn)組織的戰(zhàn)略目標?!爸卫砗凸芾淼膮^(qū)別就在于:治理是決定由誰來進行決策,管理則是制定和執(zhí)行這些決策。”孫強說,“這是一個硬幣的兩面,誰也不能脫離誰而存在?!盜T管理是公司的信息及信息系統(tǒng)的運營,確定IT目標以及實現(xiàn)此目標所采取的行動;而IT治理是指最高管理層(董事會)利用它來監(jiān)督管理層在IT戰(zhàn)略上的過程、結(jié)果和聯(lián)系,以確保這種運營處于正確的軌道之上。

  薩班斯法案需要善治型CIO

  在美國安然公司的財務丑聞發(fā)生之后,美國政府頒布了薩班斯法案,這部法案也被稱為自羅斯福以來美國商業(yè)界影響最為深遠的改革法案。這個法案對整個公司管理層對內(nèi)控體系和信息披露提出了嚴格的要求。并且針對要求提出了監(jiān)管和懲罰的措施。總體來說,薩班斯法案是從公司會計的流程角度出發(fā)的,為什么會涉及到信息系統(tǒng)呢?畢博管理咨詢(大中國區(qū)) 總經(jīng)理遲邦勞指出,目前越來越多的企業(yè)依靠信息系統(tǒng)支撐業(yè)務運作,而信息系統(tǒng)里面存在相應的風險,所以就要建立一個信息系統(tǒng)的控制體系。薩班斯法案就是要求財務報表的準確性,財務報表靠業(yè)務流程,而業(yè)務流程又是由信息系統(tǒng)支撐的。信息系統(tǒng)總體控制是針對信息系統(tǒng)共性的內(nèi)容,比如說所有的信息系統(tǒng)都要有相應的數(shù)據(jù)庫和服務器。對這些總體控制是不是能夠達到相關要求,也需要對信息系統(tǒng)做一些相關的控制。

  法案中對企業(yè)影響最大的是302和404兩個條款。302條款主要是要求企業(yè)的高管簽署對企業(yè)重要事情不存在遺留。404條款要求企業(yè)管理層對企業(yè)必須建立一個有效的內(nèi)控體系,并且對內(nèi)控體系要進行評估。評估內(nèi)容包括:

  公司數(shù)據(jù)的完整性受到公司IT控制的充分性影響;

  公司交易從交易開始、記錄、處理到報告全程應用IT;

  加快并支持財務報告的IT控制;

  IT控制有效性記錄與評價的要求;

  IT一般控制與應用控制;

  利用IT自動記錄并監(jiān)控控制制度的執(zhí)行。

  孫強指出:“薩班斯法案要求CIO必須成為管理控制專家,不僅要參與到公司治理領,以使IT與業(yè)務戰(zhàn)略從治理到管理再到執(zhí)行層面始終保持精確校準,還要在完善內(nèi)部控制和全面風險管理體系中發(fā)揮作用?!保ùm(xù))

    

責任編輯:admin