中国信通院杨玲玲：企业IT治理体系建设过程中的热点问题 - 网安

企业IT治理从本质上来讲，就是确保有效支持企业业务战略，适配和承载业务及运营体系，确保合规管控和风险控制，赋能并助力业务成长，实现企业价值的提升的活动。具体来说，就是做好IT投资、搭好IT平台、管好IT研发运营，在保证合规、安全的基础上，应用IT实现企业业务价值的最大化。

不同阶段的IT治理具体内容有差异，但是核心内容和目标不变。以数字化转型阶段的IT治理来看，IT投资的范围从原有业务流程信息化发展到赋能业务、引领业务的智能化、生态化建设；IT平台从传统独立的信息系统群、集中式存储向组件化、微服务、平台化、分布式发展；IT研发运营从传统瀑布式、开发与运维隔离，演变为DevOps（敏捷研发运营模式）、开发运营一体化。

热点一：IT治理是谁的事？

IT治理自上而下，纵向贯穿企业治理层、管理层、执行层，横向覆盖业务、科技、内控、风险、审计等。针对数字化转型时期的IT治理，由于新技术引入、服务生态体系不断扩大，法律合规问题日渐突出，法律合规部门在科技治理领域的职责和作用越来越大。同时，由于IT投资的战略意义，企业高级管理层在原有核心业务管理委员会、风险管理委员会的基础上，纷纷成立科技创新指导委员会、数字化转型工作委员会等专项组织进行管理决策。

热点二：IT治理走向何方？

企业IT治理的方向与企业信息科技的角色定位相关。在数字化发展阶段，信息科技定位在战略布局、创新发展、业务赋能、业务引领，对应的企业IT治理的方向也必然演变成以价值为导向，企业对科技的投资、对科技的管理直接目的是实现业务创新、创造企业价值、满足企业战略需求。举例说明，数字化发展相对起步较早、发展较快的金融机构和电信行业，对于研发运营的管理，不仅是考虑如何敏捷，也开始探讨如何在研发运营过程中有效引入产品化、价值化理念，由DevOps向BizDevOps演变。中国信息通信研究院在与中国银行业协会联合发起的银行数字化转型投入有效性研究课题得到了众多银行和产业侧企业的响应和积极参与，与现阶段银行董事会、股东、高级管理层的相关要求不谋而合。

热点三：IT治理的范畴很大，怎么落地？

自2010年财政部、证监会、审计署、银监会、保监会（后两者在2018年合并为银保监会）联合制定并发布企业内部控制配套指引以来，企业已经搭建了较为完善的IT治理体系。数字化背景下的IT治理工作是在现有治理体系的基础上，对新的治理问题的应对和解决。具体的抓手是目前监管关注、影响范围广的领域，如数据安全、AI模型治理；落地的原则是一定要各职能部门协同、体系化建设，否则会出现内部管理不一致，管理效率低、管理失效、重复建设等问题。

在此，我列举两个相关实例。一是证监会科技监管局局长姚前在《加强算法监管以监管科技应对新型科技》的最新讲话。其中，不仅强调了人工智能的潜在风险和危害，也对人工智能模型算法治理提出体系化要求，包括企业要建立有效的内部治理框架、内部控制机制和责任体系，重视算法执行使用过程中可能存在的偏见和漏洞、数据来源以及可能对个人和社会造成的潜在危害，确保算法系统的设计、测试运行表现及变动留有记录，全程监测并可审计等。二是中国互联网协会最新制定的《人工智能模型风险治理能力成熟度模型》标准。该标准基于20多家互联网企业的最佳实践，明确了人工智能模型治理的原则、目标，厘清了主体责任，从策略制度、组织架构、资源配置、技术手段等方面提出了切实有效的治理措施，在落地方面都有很强的指导作用。

中国信息通信研究院云计算与大数据研究所在2020年9月份成立了IT治理与审计部，专注于企业IT新治理领导力体系建设的研究和实践，现已建立了科技风险治理、IT有效性治理以及研发运营治理三条核心业务线，并成立了企业级DevOps赋能（共促）计划、互联网IT风险治理工作委员会、FinOps产业推进方阵，推出了DevOps领域国际、国内标准和评估体系。