IT治理相关法律法规

1.1  绪论
        2006年5月份，中国政府发表《2006一2020年国家信息化发展战略》。该份文件明确指出：”信息化是当今世界发展的大趋势，是推动经济社会变革的重要力量。大力推进信息化，是覆盖我国现代化建设全局的战略举措，是贯彻落实科学发展观、全面建设小康社会、构建社会主义和谐社会和建设创新型国家的迫切需要和必然选择“。国家信息化发展战略中明确提出：”加强信息资源的开发利用，要建立和完善信息资源开发利用体系，加强全社会信息资源管理，促进信息资源的优化配置，实现信息资源的深度开发，满足经济社会发展优先领域的信息需求“。文件还提出：”要大力发展以数字化、网络化为主要特征的现代信息服务业，促进信息资源的开发利用。充分发挥信息资源开发利用对节约资源、能源和提高效益的作用，发挥信息流对人员流、物质流和资金流的引导作用，促进经济增长方式的转变和资源节约型社会的建设“。
        在2006年1月20日”2006政府、行业应用工作会议“上，72位部委、主管行业信息化建设的专家共同对目前的信息化建设成就和”十一五“期间的发展方向等进行了探讨。从总体来看，展望”十一五“期间，业务需求成为信息化驱动力，我国政府、行业的信息化建设将全面进入主流业务的信息化建设阶段，实现从技术驱动到业务驱动的跨越，从独立建设到协同共享建设的跨越，从缺乏统一指导和规划到有制度化保障的跨越。协同与共享成为信息化建设主基调，按照向服务型政府转型的要求，行政审批等服务行为得到强化，而这些项目都是需要多个部门之间的有效协同工作，因此在下一阶段的信息化建设中，与其他部门实现信息共享和协同工作成为许多部委的建设目标之一。
        随着信息化作用的逐步展现，各部委、行业相关领导对信息化的认识和重视程度有了显着的提高，并开始着手将信息化落实成为一项日常工作，从而逐步形成制度。在大部分行业，由于其信息化建设主体是各个企业，信息化应用更是与其经营效益紧密联系，这也促使他们自发地把实施IT建设当成一项常备企业策略，并应用到日常工作中。而从行业指导部门来看，也将在”十一五“期间制定更多地可行业推广的信息化实施制度体系。
1.2 企业信息化建设引入IT治理的重要性
        2006年6月国资委公布《中央企业全面风险管理指引》，指引提出具备条件的企业在董事会设风险管理委员会，企业总经理就全面风险管理工作的有效性向董事会负责。  
        《指引》包括中央企业开展全面风险管理工作的总体原则、基本流程等内容，并提出风险管理的目标，包括确保将风险控制在与总体目标相适应并可承受的范围内；确保内外部，尤其是企业与股东之间实现真实、可靠的信息沟通。   
        其中第八章明确提出了建立风险管理信息系统的要求，”已建立或基本建立企业管理信息系统的企业，应补充、调整、更新已有的管理流程和管理程序，建立完善的风险管理信息系统；尚未建立企业管理信息系统的，应将风险管理与企业各项管理业务流程、管理软件统一规划、统一设计、统一实施、同步运行“。
        此外，确保企业遵守有关法律法规；确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行，保障经营管理的有效性；确保企业建立针对各项重大风险发生后的危机处理计划，保护企业不因灾害性风险或人为失误而遭受重大损失。 
        《指引》借鉴了发达国家有关企业风险管理的法律法规、国外先进的大公司在风险管理方面的通行做法，以及国内有关内控机制建设方面的规定，对于中央企业建立健全风险管理长效机制，促进企业稳步发展，防止国有资产流失，保护投资者利益，都具有一定的意义。
        在”2007大型企业风险管理高层论坛“上国务院国资委副主任邵宁表示，国资委将研究企业全面风险管理评价标准、范围和方法，把对企业风险管理的评价与企业领导层的绩效考核结合，将风险管理作为考核企业领导层的重要内容。加强中央企业全面风险管理是国资委履行出资人职责的一项重要工作，要逐步将风险管理作为考核企业领导人员的重要内容。
        邵宁同时表示，还要加强责任追究制度，对于没有按照去年6月颁发的《中央企业全面风险管理指引》的要求，重视和开展风险管理的中央企业，再出现重大风险损失事件，要严格追究企业领导人员的责任。要把风险管理工作与董事会试点工作紧密结合。企业管理层至少每年要向董事会提交一份完整的”企业全面风险管理年度工作报告“。国资委在听取董事会工作情况时，要把这一报告作为关注的重点内容。
        2007年2月国务院信息化工作办公室发布《关于加强中央企业信息化工作的指导意见》（《意见》）的文件。《意见》要求，到2010年中央企业信息化要基本实现向整个企业集成、共享、协同转变，建成集团企业统一集成的信息系统。《意见》还明确指出，有条件的中央企业须设由企业领导成员担任的总信息师（cio）岗位，并加强对基础信息网络和重要信息系统的安全考核，将信息化建设纳入企业考核体系。
        现在IT治理正在成为企业议事日程中Zui重要和Zui迫切的任务。由于企业内外环境都发生极大变化；企业管理信息化，信息技术与信息系统对企业组织形态、治理结构、管理机制、运作流程和商业模式的影响日益深化，原有的治理控制机制已不适应，企业面临新的挑战。
        IT与信息化应用己步入了深化、整合、转型和创新的关键时期，信息系统的安全、审计、管理、风险与控制日益成为突出问题。IT与组织的融合是未来发展的核心。信息技术与信息系统对企业组织形态、治理结构、管理体制、运作流程和业务模式的影响日益深化。
        IT治理对企业目标而言起着战略意义，IT治理状况直接影响到企业实现目标的可能性，良好的IT治理有助于增强企业的灵活性和学习能力，巧妙管理风险，辨别发展机遇。
        建立IT治理机制是一个动态的过程。IT治理是机制的集合，更是治理主体间互动的过程。IT治理提供了信息化制度建设的一套思维范式。在企业信息化建设中引入IT治理机制，开展信息系统绩效评估，借鉴COBIT的IT治理思想和框架，科学、系统地对信息系统及信息技术进行控制管理，逐步建立IT治理机制，对提升企业信息化建设水平有着重大意义。