一、前言
随着企业(泛指企业、政府和其他组织机构等)信息化浪潮在国内的兴起,越来越多的企业实施信息化系统,通过IT技术来提高企业的核心竞争力。由于信息化建设的复杂性,而且企业与服务供应商在信息化项目的建设中存在着严重的信息不对称,监理机制被提到信息化建设的日程上来。目前的监理机制还处于探索和初期应用阶段,基本上采用建筑工程的监理方式。信息化项目与建筑工程项目差异很大,复杂性程度也更高,信息化项目监理可以从项目的角度对项目的各个方面进行全面的监理。
二、信息系统监理现状
1.国内监理的历史和IT监理现状
1988年7月建设部发布了《关于开展建设监理工作的通知》,同年11月印发了《关于开展建设监理试点问题的若干意见》,标志着工程建设行业开始实施监理制度。实践表明,建设监理既保证了工程建设的进度,又确保了工程的建设质量,实现了进度与效益、数量与质量的有机结合;监理工作也逐渐进入了制度化、规范化、科学化的良性运作轨道。
国内IT业也逐渐认识到了第三方监控的重要性,正在引入各种监控机制来规避信息系统工程的风险。
国内信息系统审计在信息安全审计领域应用很广泛,信息安全专业人员可以通过(CISP)认证,取得相关证书来对信息系统的绩效和安全性能进行评估。
2002年9月,北京市地方标准《信息系统工程监理规范》正式实施。信息系统监理规范中的监理职能包括质量控制、进度控制、投资控制、知识产权控制、信息安全控制、合同管理、信息管理以及工程协调。在推荐性国家标准的征求意见稿《信息化工程监理规范:征求意见稿》中,监理的内容包括质量控制、进度控制、投资控制、合同管理,信息管理以及工程协调,正式的国家标准还没有发布和实施。
2.国外信息系统审计简介
在西方发达国家通过信息系统审计(IS Auditing)来降低信息系统工程的风险,“收集并评估证据以决定一个计算机系统(信息系统)是否能有效做到保护资产、维护数据完整、完成组织目标,同时最经济的使用资源”,对信息系统进行绩效评估和控制,并提出相应的意见和建议。西方的信息系统审计方法论都有完整的体系,有规范的标准体系、宣贯和应用实施的组织机构、成熟的实施流程。应用比较广泛的主要有ISACA的Cobit体系,OGC的ITSM体系,以及ISO 17799/BS 7799信息安全管理体系。
国际上的信息系统审计与控制协会(ISACA)是一个为信息管理、控制、安全和审计专业设定规范的全球性组织。其信息系统审计和信息系统控制标准为全球执业者所遵从。它的研究工作针对那些挑战其重要原则的疑难专业事务,焦点集中于信息系统保障、控制、安全和信息技术管理专业的技术与管理内容。
ITSM是一种基于ITIL标准的信息化建设的国际管理规范,它是一套帮助企业对信息化系统的规划、研发、实施和运营进行有效管理的高质量方法。它通过标准流程监控信息化服务的运行状况,用来提升信息化服务的效率及改善信息化服务部门间的横向沟通,是帮助企业对信息化系统的规划、研发、实施和运营进行有效管理的高质量方法,能大幅提高信息化系统与传统业务系统的有机联系程度、信息化各子系统的整合程度和信息化整合传统资源的有机化程度等等。
ISO 17799/BS 7799主要提供了有效地实施IT安全管理的建议,介绍了安全管理的方法和程序。用户可以参照这个完整的标准制订出自己的安全管理计划和实施步骤,进行有效的信息安全风险管理,确保商务可持续性发展,为公司发展、实施和估量有效的安全管理实践提供参考依据。
三、项目监理机制
1.企业信息化建设与信息系统工程化
企业信息化建设帮助企业通过实施信息系统提高企业各部门生产效率,整合企业现有业务流程,提高企业管理水平和决策分析能力,增强为客户服务的能力,降低企业运作成本,以提高企业经济效益和增强企业核心竞争力。信息化建设是企业实施IT战略而做出的努力,IT战略是企业战略的重要组成部分。
随着信息技术的发展,信息系统越来越复杂,参与的人员也越来越多,计算机软件开始朝着工程化、系统化的方向发展。信息技术行业开始借鉴建设行业的工程化管理方式,来保证实现信息化工程的预期目标。项目管理机制就是借鉴建设行业的项目运作机制,通过对项目的范围、质量、进度、成本、风险、人力资源、采购和沟通等知识领域的管理,来确保工程项目达到预期目标。
企业信息化建设是一项投资大、周期长、知识密集、高风险的系统工程,信息化项目就是为达到IT战略目标而提供的信息系统实施服务。一般来说,现代企业都采用信息技术来提高工作效率,提升管理水平。企业的日常运作会产生许多新的数据,使用新的技术设施,采用新的标准,出现使用维护这些数据和应用系统的人员,同时也会产生新的信息化问题,业务需求产生新的IT资源。针对企业产生的这些新的IT资源和问题,需要不断地进行信息化建设来对其进行完善和解决,所以信息化建设是一项需要持续运作的闭环系统,如图1所示。
2.信息化项目的特点
信息化建设项目复杂程度高,信息化项目牵涉的人员多、部门广、知识领域多、知识含量高、知识密集、投资额大、创新度高、风险高、项目范围易变动、外包(Outsourcing)方便,而且信息系统具有抽象性、非物质性和易复制性等特点,信息化项目的监理也应该体现这些方面。
3.项目监理的运作模式
前文提到的项目监理机制引入的背景之一是源于企业和服务供应商的信息不对称。监理机构在项目启动阶段,需要为企业提供信息化建设咨询服务。监理机构对企业的企业运作现状进行调研,分析现存的问题,并结合企业对未来信息系统模型的需求,为企业未来的IT战略提供咨询,并协助企业进行信息系统规划。对信息化建设项目的范围、成本、进度、质量、信息安全以及项目的风险等方面提供咨询,并在信息系统选型以及招标、选择服务供应商方面提供监理意见。
信息化建设是服务供应商帮助企业完成其企业战略中的IT战略所做的努力,通过服务供应商实施信息系统来满足其业务流程上的需求,监理机构需要对这一信息系统实施过程进行监控,如图1所示。
在图1中,IT资源包括信息系统、数据、硬件设备、IT基础设施和人员等用于系统实施所需的基本要素。服务供应商和企业将所要实施的信息系统和企业内部的IT资源进行整合集成,对企业的业务流程进行标准化和重组。监理机构是独立于服务供应商和企业的第三方机构,为信息化建设提供咨询监理服务,为服务供应商和企业进行协调沟通;质监站是一个政府机构,为电子政务系统提供监理服务,并对监理机构进行监督和绩效评审,并受企业、服务供应商以及监理机构的监督。
监理机构秉承独立的原则,意味着在监理执行的过程中保持独立,不偏袒于甲乙双方中的任何一方,遵守国家发布的法律法规;公正,客观公正的提出监理意见;科学,监理是不断发展完善的管理科学,要按照科学的管理思想和方法进行工作。监理过程依据的是合同,包括甲乙双方的合同以及甲方和丙方(监理方)的合同,法规、各种技术标准,实施过程中的技术文件,如实施方案、实施计划等。监理机构对信息化的过程进行监控,保证信息化在预定的时间内,在成本预算的范围内达到预期的IT战略目标。
监理的运作过程包括四个阶段,即计划阶段、执行阶段、汇报阶段和更正阶段。在监理的初期准备阶段,需要专人负责制定详细的监理规划,用来指导监理机构全面开展监理工作。监理实施是监理工作的主体,对于监理工作质量影响也最大,监理人员在实施监理时,应根据技术法规、合同、技术标准和监理规划等的规定,严格遵循监理程序进行工作;当监理工程师发现系统实施过程中的问题时,应该及时以监理通知的形式向服务供应商提出监理意见,并限期整改。监理机构应该在监理实施的过程中提供阶段性汇报,如月报或周报等书面报告,反映现阶段项目实施情况;在项目实施结束之后,向企业提交项目监理总结报告。更正阶段,服务供应商在收到监理通知之后,及时接受监理机构的意见,限期更正错误,监理机构再进行复查。服务供应商如果对监理意见持有异议,可以向政府的“监理质监站”提出。
四、信息化项目的监理职能
如前文所述,目前信息系统的监理职能是三控制(或五控制)、二管理、一协调,采用的是建筑工程监理的职能。信息化建设项目有其明确的特点,信息化项目的监理应该反映这些特点。
监理机构在信息化项目的运作过程中,通过监控信息化项目的范围、实施进度、投资以及成本、质量、信息安全、知识产权、软硬件的采购,管理合同、各种技术资料和文档,以及沟通协调企业和服务供应商,来保证信息化项目完成预期目标。
对于上述的监理职能,提到了范围控制和风险控制,这是以前的监理机制中所未曾涉及到的。众所周知,信息化项目的范围是经常变动的,一般来说会不断扩展,如何有效地控制范围,避免企业或服务供应商随意做较大的变动,也是保证项目按预定目标完成的关键。对范围的控制,更要保持监理机构独立的第三方性质,完全不隶属于哪一方,在监理过程中不偏袒任何一方,坚守独立、公正的原则。
在信息系统实施的过程中,监理机制的引入就是降低风险的一种措施。在信息系统实施过程中,会遇到各种风险,如果处理不当,会导致项目实施失败。对这些风险的识别,让企业了解认识到风险的存在,并监督服务供应商实施风险管理计划。评估消减风险的效果,也是监理机构的重要工作内容。
由于信息化项目涉及的范围广,许多软硬件资源需要采购或者外包,这些外部资源的采购需要监理机构进行监控,以保证企业的经费用到合理的地方。
信息化项目实施的质量目前还没有一项正式的国家标准,信息化项目的质量应该通过一个绩效评估体系来确保,并通过类似于ISO 9000的一系列标准确定的质量评估体系来保证,对信息化项目建设也应该朝着实施ISO 9000模式的方向来发展。
五、结束语
由于信息化工程是一项复杂的系统工程,涉及的业务面广,知识领域多,复杂性和风险高,对信息化项目的监理也需要一整套的国家法规、政策,以及相应的组织机构和对应的规范标准体系等外部环境的建立。IT监理有不同的监理对象和应用领域,本文从信息化项目的特点和IT监理的实际需求出发,从PMI项目的角度研究了信息化建设项目的监理模式以及监理职能,对信息化建设项目、信息系统实施具有很强的针对性和实用性。
本文作者:岳高峰 来源:网络
CIO之家 www.ciozj.com 微信公众号:imciow