IT治理委員會
① IT治理的委員會
ITGov中國IT治理研究中心認為:IT治理委員會和CIO制度的缺失,是當前我國信息化建設制度安排上的「致命性」缺陷。
治理層面對IT的關注,需要從組織保障上設立IT治理委員會,實現最高管理層(董事會)對IT的監管。ING、梅隆金融等發達國家先進企業都是在董事會設立的IT治理委員會。
當董事會和高管層需要做IT決策時,該委員會能夠提供支持,從而使投資巨大的IT項目處於可控狀態,並使企業獲得更大的競爭優勢。尤其對於轉型模式下的中國證券企業,董事會的監管至關重要。
從另外一個角度來看,當前的信息化過程已經演變成為「流程的重組和利益的再分配」,勢必觸及到一些部門和個人的利益,勢必遭到他們的反對(並且是種種冠冕堂皇的理由的反對),這種情況下的指導和協調工作,已經遠遠超出信息化部門領導的職責和權力范圍,必須在治理層面建立IT治理的體制和機制,才能有效地推進信息化工作,規避IT風險,實現業務戰略目標。
在設立IT治理委員會時,我們要考慮三個問題 根據ITGov中國IT治理研究中心的研究成果,IT治理委員會的職責包括但不限於:
n 遵守並貫徹執行國家有關信息化治理(管理)的法律、法規和技術標准,落實政府監管部門相關監管要求,負責開展信息化相關的合規工作。
n 審查批准信息化戰略,確保其與業務戰略和重大策略相一致。評估信息技術及其風險管理工作的總體效果和效率。
n 分析信息技術風險成因,掌握主要的信息技術風險,確定可接受的風險級別,確保相關風險能夠合理管理。
n 規范職業道德行為和廉潔標准,增強組織文化建設。
n 統一全體人員對信息化治理的思想、認識和意識養成。
n 設立一個由來自高級管理層、信息化部門和主要業務部門的代表組成的專門信息技術管理委員會,負責監督各項職責的落實,定期向董事會和高級管理層匯報信息化戰略規劃的執行、信息化預算和實際支出、信息化管理的整體狀況。
n 在建立良好的公司治理的基礎上進行信息化治理,形成分工合理、職責明確、相互制衡、報告關系清晰的信息化治理組織結構。加強信息化專業隊伍的建設,建立人才激勵機制。
n 確保內部審計部門進行獨立有效的信息技術風險管理審計,對審計報告進行確認並落實整改。
n 每年審閱並向政府監管部門報送信息化治理的年度報告。
n 確保信息化治理工作所需資金。
n 確保所有員工充分理解和遵守經其批準的信息化治理制度和流程,並安排相關培訓。
n 確保本法人機構涉及客戶信息、賬務信息以及產品信息等核心信息資產的安全。
n 及時向政府監管部門報告本機構發生的重大信息技術事故或突發事件,按相關預案快速響應。
n 配合政府監管部門做好信息科技風險監督檢查工作,並按照監管意見進行整改。
履行信息化治理其他相關工作。