中國信通院楊玲玲：企業IT治理體系建設過程中的熱點問題 - 網安

企業IT治理從本質上來講，就是確保有效支持企業業務戰略，適配和承載業務及運營體系，確保合規管控和風險控制，賦能并助力業務成長，實現企業價值的提升的活動。具體來說，就是做好IT投資、搭好IT平臺、管好IT研發運營，在保證合規、安全的基礎上，應用IT實現企業業務價值的最大化。

不同階段的IT治理具體內容有差異，但是核心內容和目標不變。以數字化轉型階段的IT治理來看，IT投資的范圍從原有業務流程信息化發展到賦能業務、引領業務的智能化、生態化建設；IT平臺從傳統獨立的信息系統群、集中式存儲向組件化、微服務、平臺化、分布式發展；IT研發運營從傳統瀑布式、開發與運維隔離，演變為DevOps（敏捷研發運營模式）、開發運營一體化。

熱點一：IT治理是誰的事？

IT治理自上而下，縱向貫穿企業治理層、管理層、執行層，橫向覆蓋業務、科技、內控、風險、審計等。針對數字化轉型時期的IT治理，由于新技術引入、服務生態體系不斷擴大，法律合規問題日漸突出，法律合規部門在科技治理領域的職責和作用越來越大。同時，由于IT投資的戰略意義，企業高級管理層在原有核心業務管理委員會、風險管理委員會的基礎上，紛紛成立科技創新指導委員會、數字化轉型工作委員會等專項組織進行管理決策。

熱點二：IT治理走向何方？

企業IT治理的方向與企業信息科技的角色定位相關。在數字化發展階段，信息科技定位在戰略布局、創新發展、業務賦能、業務引領，對應的企業IT治理的方向也必然演變成以價值為導向，企業對科技的投資、對科技的管理直接目的是實現業務創新、創造企業價值、滿足企業戰略需求。舉例說明，數字化發展相對起步較早、發展較快的金融機構和電信行業，對于研發運營的管理，不僅是考慮如何敏捷，也開始探討如何在研發運營過程中有效引入產品化、價值化理念，由DevOps向BizDevOps演變。中國信息通信研究院在與中國銀行業協會聯合發起的銀行數字化轉型投入有效性研究課題得到了眾多銀行和產業側企業的響應和積極參與，與現階段銀行董事會、股東、高級管理層的相關要求不謀而合。

熱點三：IT治理的范疇很大，怎么落地？

自2010年財政部、證監會、審計署、銀監會、保監會（后兩者在2018年合并為銀保監會）聯合制定并發布企業內部控制配套指引以來，企業已經搭建了較為完善的IT治理體系。數字化背景下的IT治理工作是在現有治理體系的基礎上，對新的治理問題的應對和解決。具體的抓手是目前監管關注、影響范圍廣的領域，如數據安全、AI模型治理；落地的原則是一定要各職能部門協同、體系化建設，否則會出現內部管理不一致，管理效率低、管理失效、重復建設等問題。

在此，我列舉兩個相關實例。一是證監會科技監管局局長姚前在《加強算法監管以監管科技應對新型科技》的最新講話。其中，不僅強調了人工智能的潛在風險和危害，也對人工智能模型算法治理提出體系化要求，包括企業要建立有效的內部治理框架、內部控制機制和責任體系，重視算法執行使用過程中可能存在的偏見和漏洞、數據來源以及可能對個人和社會造成的潛在危害，確保算法系統的設計、測試運行表現及變動留有記錄，全程監測并可審計等。二是中國互聯網協會最新制定的《人工智能模型風險治理能力成熟度模型》標準。該標準基于20多家互聯網企業的最佳實踐，明確了人工智能模型治理的原則、目標，厘清了主體責任，從策略制度、組織架構、資源配置、技術手段等方面提出了切實有效的治理措施，在落地方面都有很強的指導作用。

中國信息通信研究院云計算與大數據研究所在2020年9月份成立了IT治理與審計部，專注于企業IT新治理領導力體系建設的研究和實踐，現已建立了科技風險治理、IT有效性治理以及研發運營治理三條核心業務線，并成立了企業級DevOps賦能（共促）計劃、互聯網IT風險治理工作委員會、FinOps產業推進方陣，推出了DevOps領域國際、國內標準和評估體系。