首席信息官(CIO)角色不再是一个简单的IT管理人员,现在负责对所有与企业相关的信息进行可持续管理。因此,CIO必须提供处理信息的方法,保证相关服务的连续性,确保信息的安全,遵守适用的法律法规,并监督所有这些活动,确保这些活动与企业目标相一致。实际上,CIO角色已经发生了变化。CIO现在是负责公平处理所有业务相关信息的主要人员,而不仅仅是负责控制技术成本的人员。
如果CIO角色仅限于遵守技术目标和成本控制,那么有些业务期望将得不到适当或充分的满足。治理、风险和合规(GRC)实践要求CIO具备将信息处理技术与该信息对企业的价值联系起来的技能。主动并集成到内部流程中的治理角色允许通过有效且高效地将组织需求与业务的运营方面联系起来,从而为企业创造价值。只关注经济节约或技术目标的CIO不具备正确解释业务需求演变所需的技能。
在公司治理中,经典的组织结构认为CIO是面向信息技术治理的高级管理职位,具有分析成本和收益的能力,并有权处置运营资源。然而,CIO也有直接与其他高级管理人员互动的特权,并积极参与治理组织风险的更广泛过程。这无疑是一个优势,因为这些责权允许CIO在完全符合企业目标的情况下,以对信息的价值和作用完美理解的方式管理信息和技术(I&T)。
为了给这个角色增加新的和公认的价值,CIO必须从简单的业务战略观察者转变为意识到他们的决策对整个组织绩效的影响。CIO必须在运营过程的技术知识与组织技能之间取得平衡,从而能够理解和维护企业资产的价值。CIO必须能够保证通过确保对信息的适当处理,从而保持信息价值,保证信息的可用性符合业务需要,并保证信息的持续保护的能力。
保证对信息的适当处理
CIO必须能够在提供足够的技术基础设施、应用程序和服务以及提出和提供合适的解决方案以支持企业目标方面满足业务期望。IT职能必须基于业务流程的整体视图,包括设计、发布和管理运营流程;以可接受的成本分配必要的资源;以及监测运营。以业务目标为指导,首先有必要了解企业的信息处理需求,即制定适当实施、交付和控制所需服务的关键需求。
对于CIO,要提出并确保交付符合业务目标的技术解决方案,就必须充分了解规划和控制方法、可用技术、运营流程管理以及市场提供的服务。这些知识不一定是专家级别的,但必须足以让CIO考虑并有意识地决定适当的解决方案。CIO必须能够掌握为企业创造价值的元素,并识别那些导致不可接受的风险场景的元素。CIO应该在规划和运营事务方面得到技术管理者的支持。
保证信息的可用性
必须根据企业定义的服务要求提供信息,例如需要信息的时间和持续时间,以符合通过持续监测预先确定的质量水平。业务需求决不能仅仅是强加给信息技术服务的,而应该是业务流程、内部控制和技术服务相结合的结果。
作为创造价值的行动推动者,CIO需要参与风险分析评估决策,例如全面评估技术变革的关键需求和投入适当的资源。
信息可用性的一个有趣的方面是流程外包。外包信息技术服务的管理有时被认为是一种简单的节省开支的手段;然而,这种模式需要扭转。在做出任何外包决定之前,必须通过风险分析评估违反数据保密性、完整性或可用性的后果。在这方面,CIO应该得到专门满足业务流程需求的特定IT经理和其他运营专家的支持。
保证对信息的持续保护
对信息的访问必须以符合相应数据安全分类的方式控制。信息保护在很大程度上是IT部门的职责,尽管IT部门可能并不拥有数据。在这种情况下,根据其组织地位,CIO应掌握与信息价值相关的必要知识,并应采取行动评估安全战略的有效性,验证运营计划并促进改进。
这种对CIO角色的看法包含了首席信息安全官(CISO)的一些典型特征,CIO在组织中的地位证明了这一点。CIO负责实现I&T流程目标,有权分配必要的资源,并且是最高管理层的成员。该职位集中了所有决策和验证流程,提供了最佳的整体业务愿景,并确保该人员有机会理解和应对问题。相比之下,CISO只是垂直地关注安全问题,不像CIO那样有大局观。CIO必须不断平衡I&T目标与组织、运营和控制问题,这使CIO能够以更大的批判性意识面对风险场景。CIO应在运营事务上得到CISO的支持。
与业务目标保持一致
应定期评估构成I&T流程的活动,确保其与业务目标一致。为了从全球业务角度验证I&T流程管理的结果,需要掌握GRC相关技能。CIO必须处理的问题各不相同,但I&T治理是必要的。信息代表着需要保护的价值,而技术则是保护价值的手段。
风险
为了管理与信息相关的风险,必须让那些对基础设施、系统、服务和信息技术负有整体责任的人员而不仅仅是安全人员积极参与。CIO的角色应允许了解所处理信息的价值、管理信息的技术的关键性质以及所做决策的后果。通过这种方式,I&T流程的管理将以基于风险意识的系统方法为指导。
技术
CIO不执行任何与I&T流程相关的运营任务,但仅在管理和控制层面发挥作用。即便如此,他们必须保持和更新技术技能,以便能够以一种可理解的方式评价和解释对最高管理层的相对优势和劣势,从而指导决策过程。专业知识可以委托给企业中的运营角色。
连续性
对业务至关重要的流程必须满足企业设置的运营参数。因此,必须根据场景的具体性、控制设计的一致性和分配资源的充分性验证连续性计划、业务影响分析(BIA)和事件管理程序。CIO应发挥监督作用,改进连续性流程,使其更有弹性,即所有行动都是根据业务目标规划和执行的,不会扭曲预算。
安全
保护机密信息的使用和访问不是CIO的直接责任。然而,基于对此类信息关键性的了解,CIO可以充当监督者,并提供纠正现有措施和寻找资源所需的适当关注。首席信息官还可以作为职责分离(SoD)和用户重新验证流程的推动者。
隐私
企业对个人数据的处理在很大程度上属于信息安全范畴,即使这些责任分配给了其他人。虽然这个主题与CIO没有直接关系,但CIO应该对关键流程和法律合规要求有广泛的了解。因此,在法律允许的情况下,CIO有很大的潜力担任数据保护官或类似岗位。从这个意义上说,由于CIO不是数据所有者,但对数据处理过程有一个完整的视图,因此可以有效地支持数据控制者的保护和意识行动,并实施必要的控制措施,使该过程符合法律要求。
合规
内部审计职能部门通常负责验证对内外部规则的合规性。尽管CIO没有直接参与验证过程,但仍有责任确保所有IT行动都按照运营计划实施,并定期实施控制。CIO应参与风险处理计划和审计补救计划的起草。尽管这两个计划有不同的起源,但都旨在改进业务流程,也包括IT领域。
评估CIO的绩效
CIO的绩效评估应基于以下四个主要目标:
1. 安全性——该评估考虑了导致信息泄露的事件的数量和严重程度,以及审计结果和所有与安全性相关的报告。
2. 连续性——该指标考虑了事件、未遂事件和发现的异常情况的数量。严重性用作归一化均值的权重。
3. 质量——这是一种满足预定需求的能力,符合所要求的服务级别,包括发布和补救时间表。这个值是与各自目标值相比,达到的满意程度的平均百分比、发现的异常数量、累积的延迟和使用的额外预算。
4. 效率——这是指仅用预算资源提供所需服务的能力,可能会将经济成分限制在最小值。这种评价考虑到预算中分配的资源的价值和最后结余中的实际承付额。
评估计划活动和项目的结果需要通过衡量标准比较四个目标中每一个个的成熟度。例如,图1描述了每个目标在0到1的范围内实现的成熟度水平。这显然突出了没有实现目标的情况。
图片
以这种方式评估CIO可以确保在技术知识和治理能力之间,以及在提供战略指导和验证监管合规之间取得平衡。如果CIO只关注技术问题或降低成本,就几乎没有什么价值。业务的整体远景是理解组织目标的所有重要方面和对潜在后果做出明智决策的基础。
结论
为了使I&T管理更加有效,必须扩大CIO的作用,这意味着在GRC领域获得更多的技能和责任,并从业务角度适当地关注控制而不是纯粹基于技术绩效。CIO必须是一个C级职位,即制定总体目标并拥有为实现这些目标而分配必要资源的权力的管理层。
CIO的职责是提供实施指南并评估结果的实现情况,确保根据实际业务需求处理信息,确保信息以所需的方式和时间可用,并保护信息不被未经授权的使用或访问。为了实现这一点,CIO必须具备必要的技能理解业务请求,并将这些需求与可用的技术联系起来,以正确的角色和职责组织活动,监督控制的执行,并评估I&T流程的当前状态。
CIO的角色已不再那么注重技术和财务,而是更加注重GRC了。这需要具备组织过程中的横向能力,包括风险分析、合规评估和沟通技能。与此同时,CISO的角色也被部分重新定义以避免重叠,例如与安全相关的更大的技术和方法垂直化,CISO直接向CIO报告。