ING、梅隆金融等已開發國家先進企業都是在董事會設立的IT治理委員會。當董事會和高管層需要做IT決策時,該委員會能夠提供支持,從而使投資巨大的IT項目處於可控狀態,並使企業獲得更大的競爭優勢。尤其對於轉型模式下的中國證券企業,董事會的監管至關重要。
ITGov中國IT治理研究中心認為:IT治理委員會和CIO制度的缺失,是當前我國信息化建設制度安排上的“致命性”缺陷。
既然,IT治理是公司治理的重要組成部門,IT能力是組織核心競爭能力之一,IT資產已經成為組織最為寶貴的戰略性資產,IT已經成為影響到組織全局性的角色,那就需要治理層面對IT的關注,就需要從組織保障上設立IT治理委員會,實現最高管理層(董事會)對IT的監管,董事會不對IT進行監管,好比公司不對財務進行審計,這是非常危險的
從另外一個角度來看,當前的信息化過程已經不是從前的在局部管理工作上變手工操作為自動化的過程,而是已經演變成為“流程的重組和利益的再分配”,勢必觸及到一些部門和個人的利益,勢必遭到他們的反對(並且是種種冠冕堂皇的理由的反對),這種情況下的指導和協調工作,已經遠遠超出信息化部門領導的職責和權力範圍,必須在治理層面建立IT治理的體制和機制,才能有效地推進信息化工作,規避IT風險,實現業務戰略目標。
在設立IT治理委員會時,我們要考慮三個問題,即IT治理委員會由誰擔任主席?由哪些部門的哪些人組成,委員會的章程是什麼?
IT治理委員會由組織的最高管理層(董事會)及管理執行層包括IT管理和業務管理有關部門負責人、管理技術人員組成,定期召開會議,就企業戰略與IT戰略的驅動與設定等議題進行討論並做出決策,為組織IT管理提供導向與支持,把IT治理的相關規範融入到組織的內部控制中。
ITGov中國IT治理研究中心認為IT治理委員會的職責包括但不限於:
遵守並貫徹執行國家有關信息化治理(管理)的法律、法規和技術標準,落實政府監管部門相關監管要求,負責開展信息化相關的合規工作。 審查批准信息化戰略,確保其與業務戰略和重大策略相一致。評估信息技術及其風險管理工作的總體效果和效率。 分析信息技術風險成因,掌握主要的信息技術風險,確定可接受的風險級別,確保相關風險能夠合理管理。 規範職業道德行為和廉潔標準,增強企業文化建設。 統一全體人員對信息化治理的思想、認識和意識養成。 設立一個由來自高級管理層、信息化部門和主要業務部門的代表組成的專門信息技術管理委員會,負責監督各項職責的落實,定期向董事會和高級管理層匯報信息化戰略規劃的執行、信息化預算和實際支出、信息化管理的整體狀況。 在建立良好的公司治理的基礎上進行信息化治理,形成分工合理、職責明確、相互制衡、報告關係清晰的信息化治理組織結構。加強信息化專業隊伍的建設,建立人才激勵機制。 確保內部審計部門進行獨立有效的信息技術風險管理審計,對審計報告進行確認並落實整改。 每年審閱並向政府監管部門報送信息化治理的年度報告。 確保信息化治理工作所需資金。 確保所有員工充分理解和遵守經其批准的信息化治理制度和流程,並安排相關培訓。 確保本法人機構涉及客戶信息、賬務信息以及產品信息等核心信息資產的安全。 及時向政府監管部門報告本機構發生的重大信息技術事故或突發事件,按相關預案快速回響。 配合政府監管部門做好信息科技風險監督檢查工作,並按照監管意見進行整改。 履行信息化治理其他相關工作。
