关键词：2008年 it治理 it风险管理 关注

　　大家都说2008年是不平凡的一年，同样2008年的it治理与风险管理行业同样引人注目，不仅涉及到了相关组织的变迁与建立、制度的设立等管理层面的事件，也触及到了标准的出台、认证的出现等一些操作层面的事件。

　　1、国信办并入工业和信息化部

　　2008年3月，国务院信息化工作办公室(“国信办”)被并入新组建的工业和信息化部，其中与信息化相关的部门有三个：信息化推进司、信息安全协调司和软件服务业司，可以看出，主管it治理进展的信息化推进司得以保留，然而从2007年12月14日原信息产业部it治理标准研讨会召开之后， 2008年國家层面的it治理工作进展不大。为此，it治理工作随着大部制的合并，是否更加有力让人不得不产生了怀疑，让我们拭目以待2009年的进展。

　　2、北京大学数字中国研究院信息化治理研究中心成立

　　2008年12月，北京大学数字中国研究院信息化治理研究中心在工业和信息化部推进司和北京大学数字中国研究院的大力支持下正式成立，此中心的成立标志着学研机构开始正式将it治理作为研究内容，将为我国信息化治理的快速发展奠定基础。

　　3、iso/iec 38500正式发布

　　2008年4月，第一个it 治理国际标准——iso/iec 38500:2008正式发布，它的出台不仅标志着it 治理从概念模糊的探讨阶段进入了一个正确认识的发展阶段，而且也标志着信息化正式进入it 治理时代。这一标准将促使国内外一直争论不休的it治理理论得到统一(iso/iec 38500是真正意义上的it治理标准，cobit 作为it内部控制与风险管理的最佳实践)，也会促使我国在引导信息化科学方面发挥重要作用。

　　iso/iec 38500:2008可以用于任何规模的组织，包括公/私有性质的公司，政府机构以及非营利组织。这一标准提供了一个it治理的框架，以协助组织高层管理者理解并履行他们对于其组织it使用的既定职责，实现it治理的有效性、可用性及效率。

　　详细内容见《iso /iec 38500：2008 的前世今生》一文。

　　4、《证券期货经营机构信息技术治理工作指引(试行)》发布

　　2008年9月3日，中国证券业协会和中国期货业协会共同发布了《证券期货经营机构信息技术治理工作指引(试行)》(以下简称指引)。该《指引》的发布为加强证券期货经营机构信息技术管理、完善各机构的治理结构、提高证券期货行业it治理水平、保障信息系统安全运行起到了重要作用，得到了各经营机构的普遍认同。同时，该《指引》为国内第一个行业性质的指引，它的出台为其他行业推进it 治理理念提供了有益的借鉴。

　　5、国际第一个it治理认证cgeit

　　国际信息系统审计协会(isaca)于2008年设立了一项新的认可资格，名为「企业it治理认证(cgeittm)」。它是为担任与it管理相关的重要的管理、咨询或鉴证等职位，同时期望自己的it管理经验和知识被认可的专业人员而设计的。

　　cgeit的制定主要关注it治理的五个领域——战略联盟，资源管理，风险管理，绩效衡量和价值交付，此外还关注支持it管理的框架结构(例如，cobit和itil)。

　　cgeit认证申请人必须有五年以上从事企业信息技术管理的经验，而且需要通过cgeit考试。首次cgeit考试在2008年12月13日进行。同时推出的豁免计划，使it管理领域的资深人士不用参加考试就可以申请认证。可以预见该认证的出现，将为it治理的持续发展提供专业的人才。

　　6、《中央企业信息化水平评价暂行办法》发布

　　2008年7月4日，国务院国资委为加快推进中央企业信息化工作，提高信息化水平，根据国资委《关于加强中央企业信息化工作指导意见》(国资发〔2007〕8号)，特制定《中央企业信息化水平评价暂行办法》，it 治理作为其中的一个评分项，包括6个具体指标，该指标的设立，将进一步引导企业实施it治理，建立良好的生态环境，促进企业信息化发展更加科学。

　　7、itgrc 开始进入了it管理层的视野

　　2008年5月，it policy compliance group 2008 发布年度研究报告「it 治理、风险与法规遵循：增加企业获益和降低财务风险」(it governance, risk and compliance ╟ improving business results and mitigating financial risk)。指出it 管理、风险与规范遵循 (it grc) 可用来在企业获益和风险之间取得适当平衡，it grc 实务的成熟度与功能对组织的财务有直接的影响，这份报告汇集来自 2,600 多家全球企业意见的这份报告，对增进数据保护、法规遵循及 it 服务水平弹性会对企业获益有何影响进行了评估，范围包括客户满意度、客户维持率、收益、费用及利润。

　　如今grc有多热，看看各咨询公司的报告就一目了然。gartner2008年初发布的一份报告显示，在其调查的美国用户中，75%的企业表示对grc系统有需求，为了凸显grc的火热程度，gartner甚至将这份报告直接命名为it风险管理年(2008 - the year of it risk management)。然后受全球金融危机等诸多因素的影响2008年的grc市场不像预期的那样火爆，中国由于grc的理念还未得到全面的重视和认可，所以，市场相对较冷，预计2009年将是itgrc 整合框架构建受到全面重视的一年。

　　8、新的控制框架cobitil出现

　　目前，随着外部组织的监管日益严格，很多组织对cobit 和itil 的整合实施提出了新的需求，用itil 模块来丰富cobit 的交付与支持域，建立以不变应万变的风险管理框架。目前，国际上已经开始出现一些声音——cobitil，itgov 中国it 治理研究中心作为国内cobit 和itil 的专业研究机构，已经与国际接轨同步开展了相关研究工作。

　　9、it 风险管理开始重新思考

　　2008年由次贷引发的金融危机使得传统的风险理论面临巨大的挑战，“主观建构”理论再次受到关注，势必对未来风险管理的理论与实务产生深远影响。

　　“主观建构”理论认为现代社会使得“人”已经成为风险的重要因素，并改变传统的“客观性”。它强调风险是由人建构的，风险及其存在依赖人的认识、态度、行为、社会环境、文化伦理等，it风险也不例外。如何从人和利益相关者的角度识别风险、分析风险、动因分析、选择相应的控制措施，将是需要我们 it 管理人员重新思考的问题。itgov 中国it 治理研究中心已经开展了这方面的研究。2009年我们的成果将及时向社会公布。

　　10、内部审计具体准则第28 号—信息系统审计正式出台

　　信息系统审计作为一种新的审计类型，近年来逐渐升温，然而传统业务审计人员大都缺乏应有的信息系统知识和相应的审计经验，因此审计人员在审计判断中缺乏标准依据。

　　2008年中国内部审计协会正式发布《内部审计具体准则第28 号—信息系统审计》，此准则的出台，使it审计师在审计判断中具备了标准依据，同时，构建了审计师与被审计单位进行沟通的基础。

　　从2008年发展的情况看，2009年依然是一个充满变数的一年，金融海啸带来的危机将会逐渐显现，it治理与it风险管理如何发展，还需要各位行业朋友共同努力，变风险为机会，促进it治理与it 风险管理行业的可持续发展。