下面我们看一下IT治理和风险管理的挑战在哪里？

    挑战会有很多，在IT治理方面的压力和董事会的职责越来越凸显。在合规年代之前信息中心的负责人很少有机会和高管层对话，现在很多在美上市企业由于做合规的工作，可能一个月或者一个季度信息部的负责人都有机会向高层、董事长汇报IT控制体系有效性方面的工作。但是这个挑战其实是在于国内外，包括国际上对信息资产的监管尚无可遵循的标准。事实上，对信息资产的监管现在是没有标准的，但是我们对财务标准的监管是有标准的，国际上是有会计准则的，资本市场也有一系列的关于财务报告的要求，中国的财政部也有很多的关于财政管理的规章制度，也是有一些标准的。在信息资产的监管上现在全世界是没有标准的，由于其他的一些客观原因，董事会对IT是不进行监管的，因为它只是一个工具而已，它并没有变成影响到全局的东西，所以董事会当然不会去监管。但是在今天来说，对财务不进行审计是一件非常危险的事情。我们也会看到，我们与发达国家和先进企业的差距在于，这些企业大概在十年之前就开始了IT治理的征程，我们会看到我们与他们的差距不是在技术和设备的先进应用上面，我们可能用到的技术和设备比他们还要先进，是在治理的水平和管理的水平上面的差距。

　　挑战之二是监管我国的信息化正在进入以整合应用和加强IT运维服务管理为主要特征的运行维护阶段，比如我们现在所遵循的IT治理标准主要都是国际上的，在这方面中国整个信息化建设的制度安排基本上是健全的，比如建设阶段对厂商资质的管理、软件开发商的资质管理，有集成资质的认证，包括有做绩效评价的一些方法，还有监理的管理办法，这都是由中国政府部门颁布的。包括有验收的管理办法，整个的制度安排是比较健全的，但是现在在信息化生命周期最源头就是关于IT治理的标准，IT服务管理的标准有了一个非常好的全球的最佳的ITIL，这个东西对我们来说是非常好的，从最近几年的发展势头来看，大概是在IT服务领域已经处于垄断地位了，在这种情况下，中国的企业和中国的政府部门需要基于最佳时间发展出来有中国特色的符合企业特点的IT服务管理的知识体系和管理规范。

　　去年因为我们做了一些调查研究，有这样一些数据，就以北京市为例，所有的政府机构共有信息化工作人员789人，这些人员当中，90%以上的人员对运维的国际标准，ITIL和ISO20000表示未听说或者未了解。从事运维的人员基本上都没有国际公认的从事运维的上岗证书，就是ITIL的认证。71%的部门领导认为运维比建设更重要，但内部运维力量不足，一方面是人员不足，核心业务系统按370个来计算，假设所有人员参与运维，平均每个系统运维的人员仅有两个人，现在政府的应用系统可能是服务于上千万的我们的老百姓，但只有两个人员在运维。另外一方面懂运维的人非常少，全市的运维工作大多数是外部企业承担的，共有130多家，外包的能够提供运维工作的有130多家。提供安全管理工作的有30多家，在所有的运维服务企业中，仅有一家拥有ISO20000的证书。89%的企业集中提供简单的技术设备、网络和系统的运维，比如提供桌面的运维，只能提供一些简单的运维服务。这也是一个很大的挑战。

　　大家一方面越来越意识到运维工作的重要性，但是这件事情到底应该怎么去干，没有知识体系、没有管理规范去遵循，所以并不知道怎么去做。

　　挑战之三就是信息化管理的体制和机制层面的障碍导致了以下问题面临着极大的挑战：IT战略与业务战略的融合，IT能力与业务价值去协调，从而核心竞争力使IT投资获得最大的回报。为什么体制和机制层面的障碍会导致这些问题呢？因为我们讲IT要与业务融合，首先在治理层面就是IT与业务要融合。我们在前面看到的那些发达国家、先进企业，他们董事会里面不光有薪酬委员会、投资委员会、审计委员会等等，还会有一个IT委员会，这个委员会负责治理层面的IT和业务的融合工作，因为如果在治理层面失之毫厘，那在操作层面就会差之千里。在座的各位都是信息化部门的领导，如果在高层IT和业务失之毫厘，虽然在下面做了很多的IT业务的精细的管理工作，但它们还是不一致的，还是两张皮的，这个问题还是要从机制和体制问题解决它。

　　另外一块，我们讲到CIO所面临的新挑战就是要成为IT控制的专家，内部控制最早只是应用于财务管理的领域，在座的各位可能都是信息技术方面的专家，现在要求如何将IT与业务战略融合，IT的能力与业务的价值相匹配，然后将整个信息化的建设生命周期都置于严格的控制下，那样才能创造出最大的业务价值，所以其实是要我们成为一个控制的专家，这对于我们来说是非常大的挑战。首先从知识体系来说就是一个非常大的挑战，并且我们要把IT的控制和我们整个的企业的控制、企业层面的控制、业务流程层面的控制相融合，这又是一个非常大的挑战。所以基于前面讲到的现状、挑战，我们给出的对策就是实施IT治理，实施IT治理我们可以认为是信息的治理。曾经郑和信息治理做的非常好，中国信息治理做的好的例子太多了，中国的长城在秦朝的时候，来自周边地区少数民族的军事上的进攻非常多，又要守卫着这么大的疆土，所以在秦朝的时候修复了长城，它用来传递信息，在明朝的时候现在甚至把长城修到了海里，彻底阻断了倭寇进攻的路线，中国在唐朝的时代是世界上最发达的国家，军事实力也是最强大的，这表明在中国3000年历史中信息治理做的好的比比皆是。