排序二叉树 《IT治理:标准、框架与案例分析》 序二



     感谢ITGov研究团队的孟秀转、于秀艳、郝晓玲及孙强4位专家又写了一本关于IT治理的好书,在这本书中开创性地提出了产生于中国经济社会环境的G3框架:基于中国文化的文化治理、组织治理和信息治理。

IT的快速发展是近20年的事情。由于发展速度快,IT选用、实施、管理的规律还不能更好地把握,IT在带来效率的同时也带来了风险,于是IT治理迅速成为政府和企业共同关注和研究的一个重要课题。我理解的IT治理是平衡信息化项目建设风险必不可少的方法之一,是中国信息化建设的必修课程。

也正是由于IT的快速发展是近20年的事情,从事IT项目管理的信息主管大多数是半路出家。对于信息主管来讲,把一个IT项目建设好是件困难的事情,像是“十月怀胎”;而要把一个IT项目管理好、运维好则更加困难,不亚于“百年树人”。我认为,IT治理是信息主管掌控信息化项目前期建设及后期管理必不可少的方法之一,是信息主管后续教育的必修课程。

在接受IT治理理念、实施IT治理的过程中,我们也有困惑:为正确目标而设计的IT治理理论能否带领中国的信息化项目决策者及其重要的辅佐者—— 信息主管到达预想的彼岸而不至于中途搁浅?一套复杂的甚至读起来都晦涩的理论如何在中国得以贯彻落实?

其实对我很有启发的是中国信息系统审计的发展经历。作为审计署的信息主管,比同僚稍微见长的是我更多地接触到了信息系统审计。IT治理与信息系统审计是有交叉内容的,作用的范围都是IT规划与组织、获得与实施、交付与支持、监控与评价。前者是从全过程进行控制,使信息化项目不偏离组织目标,后者是事后对全过程进行检查评价,指出信息化项目的不足,提出完善的意见,亡羊而补牢,未为迟也。中国审计机关在实施信息系统审计时,也经历了一个从引进理论概念到植根中国文化的消化吸收过程。

国外信息系统审计的内容先按一般控制审计、应用控制审计划分为两大类,然后再把一般控制审计细分为总体IT控制环境审计、基础设施控制审计、信息系统生命周期控制审计、信息安全控制审计、信息系统运营维护控制审计、其他一般控制审计等6类;应用控制审计再细分为业务流程控制审计、数据控制审计、接口控制审计、系统外控制审计、其他应用控制审计等5类。信息系统审计主要依据是信息系统审计与控制协会制定的COBIT、英国国家计算机和电信局(现已并入英国商务部)制定的ITIL,尽管它们都是一个用于指导信息系统建设和应用的管理标准,中国审计人员还是善意地将其理解为检查、判断信息系统的得失成败的判断依据。虽然理解能够做得到,但是实践难以行得通。中国审计机关经过消化吸收,成功地将信息系统审计收敛为“检查三性”。一是检查网络、设备、操作系统、数据库、环境等系统要素的“安全性”;二是检查规范管理、提高效率、共享信息、数据准确等功能要素的“有效性”;三是检查组织目标实现、投资收益、性价比、利用覆盖率等项目要素的“经济性”。“检查三性”所实现的审计目标是:揭示由于信息系统缺陷而导致的信息安全风险、经济安全风险,促进被审计单位加强信息化条件下的内部管理和控制,提高信息化建设项目的效益,同时保证审计所需数据的可靠性和可用性,降低审计风险,充分发挥审计保障国家经济社会健康运行的“免疫系统”功能。

所以,我非常赞赏ITGov同仁们的勇气,敢于把“IT治理”这样一个傲视全球信息化的理论和方法用中国文化进行改造。也正是因为这种改造,将进一步使IT治理的理念在中国得以推广并形成强大的生产力。中华民族的伟大复兴要从各个方面做起,要敢于用中国视角直面IT,我希望当广大的读者朋友们看到这本书时,能有同样一份情感。

王智玉

审计署计算机技术中心主任

享受国务院特殊津贴专家

2011年10月30日于国防大学

  

爱华网本文地址 » http://www.aihuau.com/a/9101032201/63475.html

更多阅读

声明:《排序二叉树 《IT治理:标准、框架与案例分析》 序二》为网友风与水的痕迹分享!如侵犯到您的合法权益请联系我们删除