如果一個(gè)企業(yè)的實(shí)踐經(jīng)驗(yàn),能夠成為全行業(yè)的指導(dǎo)規(guī)范,這勢(shì)必是值得分享的事情。
中化集團(tuán)實(shí)施的IT治理就是如此。作為中化集團(tuán)IT治理的主導(dǎo)者,信息技術(shù)部總經(jīng)理彭勁松告訴《中國(guó)經(jīng)濟(jì)和信息化》記者:過去幾年,中化集團(tuán)不斷通過IT審計(jì)完善企業(yè)內(nèi)部控制機(jī)制,在IT治理上逐漸摸索出了自己的經(jīng)驗(yàn),現(xiàn)在我們正配合審計(jì)署把這些經(jīng)驗(yàn)進(jìn)一步總結(jié)提煉。
2009年年底,審計(jì)署把中化集團(tuán)確定為企業(yè)IT審計(jì)的試點(diǎn)單位,通過把中化集團(tuán)在IT審計(jì)方面的成功經(jīng)驗(yàn)總結(jié)提煉,最終融入審計(jì)署的相關(guān)指導(dǎo)規(guī)范中。
其實(shí)早在2008年上半年,審計(jì)署曾組織中國(guó)煙草總公司、中國(guó)石油化工集團(tuán)、中化集團(tuán)開展了信息系統(tǒng)審計(jì)調(diào)查。2008年下半年,審計(jì)署又組織中化集團(tuán)及天津公司開展了信息系統(tǒng)審計(jì)項(xiàng)目,這是審計(jì)署第一次獨(dú)立組織的信息系統(tǒng)審計(jì)項(xiàng)目。如今,中化集團(tuán)憑借其信息系統(tǒng)審計(jì)實(shí)踐,成為審計(jì)署的典型案例之一。
救火?救火!
作為國(guó)內(nèi)最重要的國(guó)有骨干企業(yè)之一,中化集團(tuán)業(yè)務(wù)包括石油、化工、化肥、金融以及房地產(chǎn)等多元化業(yè)務(wù),下屬有超過100家各種類型的大小公司,在海外還有四大集團(tuán)。因?yàn)檫@樣,支撐其運(yùn)營(yíng)的IT系統(tǒng)變得異常復(fù)雜。為了確保IT系統(tǒng)安全運(yùn)行并使業(yè)務(wù)發(fā)展更加順暢,相應(yīng)的IT審計(jì)勢(shì)在必行。
目前,中化集團(tuán)已經(jīng)建立起一套完備的承擔(dān)全球各個(gè)公司業(yè)務(wù)的信息系統(tǒng),其中以ERP系統(tǒng)為核心,包括內(nèi)部辦公自動(dòng)化系統(tǒng)、分銷管理系統(tǒng)、內(nèi)部門戶等系統(tǒng)在內(nèi)的企業(yè)信息化平臺(tái),可以進(jìn)行有效的業(yè)務(wù)管理和流程控制。但是要監(jiān)控這些系統(tǒng)對(duì)信息技術(shù)部來說是一個(gè)極大的挑戰(zhàn)。
過去發(fā)生技術(shù)故障,彭勁松總是要等事故發(fā)生后才從業(yè)務(wù)人員的反饋中得到信息,而且涉及大量人員,要進(jìn)行電話逐一排查,不僅耗費(fèi)大量的工作時(shí)間,還給相關(guān)部門造成了很大的被動(dòng),就像救火隊(duì)員,火勢(shì)最終是可以撲滅的,但是其帶來的損失卻難以估量??陀^環(huán)境要求信息部門人員總是要守在電話旁邊,寸步也不能離開,因?yàn)椴恢朗裁磿r(shí)候業(yè)務(wù)人員或者財(cái)務(wù)人員就會(huì)打來電話。不管是業(yè)務(wù)人員下單發(fā)生問題,還是財(cái)務(wù)部報(bào)表生成不了,或者出現(xiàn)更嚴(yán)重的賬目問題,都有可能造成全集團(tuán)的重大損失。
用COBIT分析決策
在審計(jì)署計(jì)算機(jī)中心輔助審計(jì)處陳劍看來,企業(yè)實(shí)施IT審計(jì)的必要性通常來源于兩點(diǎn)。其一,信息化進(jìn)程的迅速推進(jìn),信息系統(tǒng)成為許多被審單位內(nèi)部管理與控制的關(guān)鍵工具,因此,信息系統(tǒng)的可靠性、安全性已經(jīng)直接影響審計(jì)工作的效率和質(zhì)量?!秾徲?jì)署2006至2010年審計(jì)工作發(fā)展規(guī)劃》提出逐步開展對(duì)關(guān)系國(guó)計(jì)民生的重大行業(yè)、部門的聯(lián)網(wǎng)審計(jì),全面提高計(jì)算機(jī)應(yīng)用水平的要求。
其二,信息技術(shù)作為企業(yè)發(fā)展的重要支撐,投資額度不斷加大,投資失敗的風(fēng)險(xiǎn)日漸成了企業(yè)難以承受之重。為了有效控制IT運(yùn)營(yíng)成本,更好地提升企業(yè)價(jià)值,勢(shì)必需要對(duì)相關(guān)IT活動(dòng)加以控制。
對(duì)于中化集團(tuán)這樣規(guī)模龐大的集團(tuán)企業(yè)而言,遍布全球的信息系統(tǒng)可能處處隱藏著一些盲點(diǎn),它們隨時(shí)都有可能成為企業(yè)的隱性漏洞而發(fā)生些許意外,如果發(fā)生大的意外,將可能造成無法挽回的損失。而企業(yè)的屬性又決定了業(yè)務(wù)不允許被中斷,并希望故障時(shí)間越短越好,越能提前預(yù)防越好。因此,如何在業(yè)務(wù)人員發(fā)現(xiàn)問題之前,對(duì)系統(tǒng)實(shí)施實(shí)時(shí)監(jiān)控并預(yù)先對(duì)事故進(jìn)行處理和解決,控制風(fēng)險(xiǎn)并治理好IT,是中化集團(tuán)需要解決的戰(zhàn)略問題。
IT治理的確有必要,它是一種完整的世界觀和思維范式,它引導(dǎo)了企業(yè)正確的IT決策。彭勁松說,IT治理如同ERP一樣是業(yè)界最佳實(shí)踐的結(jié)晶,當(dāng)然最終都需要落在具體的方法論和工具上,就像ERP最終會(huì)落在SAP/Oracle等廠商的系統(tǒng)產(chǎn)品上一樣。IT治理的落腳點(diǎn)是通過COBIT進(jìn)行表現(xiàn)與實(shí)施的。
作為一個(gè)全面的內(nèi)部控制框架,COBIT是一個(gè)在國(guó)際上公認(rèn)的先進(jìn)、權(quán)威的安全與信息技術(shù)管理和控制的標(biāo)準(zhǔn)。中化集團(tuán)CIO彭勁松在此方面無疑是走在前列的。彭勁松告訴記者,他是最早一批參加了由ITGov(中國(guó)IT治理研究中心)主辦的基于COBIT的IT治理培訓(xùn),并獲得由ISACA頒發(fā)的COBIT國(guó)際資格認(rèn)證的人。
正是基于這些對(duì)IT治理的認(rèn)識(shí),彭勁松對(duì)傳統(tǒng)信息化建設(shè)的思維范式也產(chǎn)生了突破性的轉(zhuǎn)變。用他的話說,就是擺脫選產(chǎn)品、詢價(jià)格、找解決方案的傳統(tǒng)信息化建設(shè)方法,避免被供應(yīng)商牽著鼻子走的局面,取而代之的是按照科學(xué)的方法,運(yùn)用COBIT工具進(jìn)行分析,來幫助中化集團(tuán)信息技術(shù)部做項(xiàng)目決策。
流程分解 井然有序
然而,當(dāng)彭勁松把COBIT引入中化集團(tuán)后,情況的確有了改觀?;贑OBIT標(biāo)準(zhǔn),中化集團(tuán)把IT目標(biāo)總共定義為24個(gè)流程,然后對(duì)照自身企業(yè)需要達(dá)到的效果,從中確定其中4個(gè)流程的管理為實(shí)現(xiàn)目標(biāo),即確保連續(xù)性服務(wù)、管理服務(wù)臺(tái)和事件、管理性能與容量、管理數(shù)據(jù)。
在整個(gè)分析和準(zhǔn)備的過程中,每一份調(diào)研文檔、每一次會(huì)議記錄、每一個(gè)工作流程都嚴(yán)格按照COBIT的方法備案或執(zhí)行。中化集團(tuán)經(jīng)過一段時(shí)間的自我診治,將以上4個(gè)流程的管理轉(zhuǎn)化成了中化集團(tuán)在IT系統(tǒng)管理方面最重要和緊迫的具體需求:其一是支持業(yè)務(wù)連續(xù)性的基本容災(zāi)能力;其二是應(yīng)對(duì)日益復(fù)雜IT環(huán)境的基本治理能力,其中包括可靠的數(shù)據(jù)備份與恢復(fù)能力,初步的網(wǎng)絡(luò)、系統(tǒng)和存儲(chǔ)監(jiān)控能力,初步的企業(yè)級(jí)IT綜合監(jiān)控臺(tái)。歸根結(jié)底是要保障中化集團(tuán)全球各個(gè)公司網(wǎng)絡(luò)系統(tǒng)基礎(chǔ)設(shè)施無障礙運(yùn)行。
曾經(jīng)新加坡合資公司通過中化國(guó)際的一個(gè)專網(wǎng)賬號(hào),登錄中化集團(tuán)的郵件系統(tǒng),隨即中化集團(tuán)北京總部監(jiān)控圖上立刻出現(xiàn)了一個(gè)紅點(diǎn)。工作人員隨即在監(jiān)控屏幕右側(cè)找到了發(fā)生異常的具體地點(diǎn),迅速將問題鎖定在新加坡公司,并確認(rèn)了異常信息的性質(zhì)。因?yàn)樵摴揪哂歇?dú)立的Internet出口,工作人員登錄后在中化集團(tuán)出現(xiàn)了一個(gè)新的登錄端口地址,所以系統(tǒng)即認(rèn)為是異常。換句話說,改善后的系統(tǒng)可以完整地處理突發(fā)的跟蹤流程,即感知、隔離、診斷、采取行動(dòng)、評(píng)估。
以前系統(tǒng)沒有統(tǒng)一管理,比如像九江斷網(wǎng)這樣的異常情況基本上不可能被發(fā)現(xiàn),一旦問題不能及時(shí)發(fā)現(xiàn),就很有可能變成一個(gè)網(wǎng)絡(luò)漏洞,進(jìn)一步甚至?xí)l(fā)生黑客攻擊等未知的事件。中化集團(tuán)的一位IT工程師感嘆道。
如今,彭勁松很少再有以前那樣四處救火的狀態(tài)。因?yàn)橐肓薈OBIT這個(gè)IT治理工具,同時(shí)又按照ITIL的指導(dǎo)建立起了IT服務(wù)流程,中化集團(tuán)的IT服務(wù)管理變得井然有序。
分享到微信 ×
打開微信,點(diǎn)擊底部的“發(fā)現(xiàn)”,
使用“掃一掃”即可將網(wǎng)頁分享至朋友圈。