賴茂生：CIO的職責、素質和培訓

　　第九屆北大CIO班開學典禮于2009年9月17日在北京大學舉行，北大信息管理系教授賴茂生受邀發表《CIO的職責、素質和培訓》的演講，本文根據演講整理而成。

　　很高興跟新一屆的CIO在這里交流信息化相關的話題，我今天和大家交流一下CIO職責、素質與培訓相關的內容，希望對大家有所啟發。

　　CIO作為一個職位，起源于美國，美國《商業周刊》1986.10.13出版的一期文章，題目叫《經營管理的最新明星》，這篇文章開篇就指出，一種新型的經理人員在公司的經理群中脫穎而出，這一職務就是首席信息官。因為當時許多總經理開始理解信息對他們企業的重要性，他們正在尋覓負責信息資源管理的人才，并委以重任。所以當時新涌現出了一批杰出信息管理人才，一些人擔任著高級副總經理、負責信息服務的副總經理或信息資源經理等要職。

　　首席信息官決不僅僅是為新技術叫好的拉拉隊隊長，他們還要探索如何利用新的信息技術來降低成本、提高生產率、創造新產品和改進銷售，并幫助確定公司的戰略方向。這種職務要求他們具有淵博的知識，能跨越董事會里的非技術人員與下面負責信息處理和信息系統的經理之間的鴻溝。

　　早在1995年美國國會通過的《信息技術管理改革法》就明確授權在政府部門設立負責信息技術的CIO。該法還授權在聯邦行政管理與預算局（OMB）下設立 一個美國CIO辦公室，其主任由總統任命。1996年，美國國會又通過了《信息技術管理改革法修正案》，明確規定每個聯邦機構都要設立CIO職位，負責本部門或本地區的政府信息資源管理、信息化項目監督和評估、信息系統運行維護等工作。該修正案還要求建立一個CIO委員會，以便定期地指導和協調行政機構中 與IT和信息資源管理有關的活動。

　　此外，美國各州政府也都相應有CIO，一般由該州第一副手擔任，并由該州州長任命。發達國家的經驗表明，CIO在組織推進信息資源管理和信息化的過程中起 到了重要的作用 。近年來，我國一些建立了現代企業制度的企業，尤其是實行了CEO制度的企業，也在試行建立自己的CIO制度，并取得了積極的效果。在我國政府部 門，CIO的職位設立和相應制度的建立尚處于政策呼吁階段。為了全面推進電子政務建設和政府信息公開，迫切要求在政府部門加快推行CIO制度或CIO理 念。

　　那么CIO應該承擔什么樣的職能呢？

　　從國外經驗來看大多數CIO執行著三種基本職能：（1）為公司制定信息化戰略和規劃。（2）審查、評估、管理和維護公司的所有技術設施和系統。（3）協助本機構的首腦建立公司內良好的溝通機制和信息共享網絡。

　　政府部門CIO的基本職責是：實現信息技術、信息資源與政府管理和公共服務過程的整合；通過優化政府部門的業務流程，實現政府部門信息資源的有效利用和廣 泛共享。具體職責包括：參與制定政府機構信息化發展戰略；組織制定政府部門電子政務規劃和實施方案；提出政府部門電子政務建設投資建議，參與電子政務項目 投資決策，負責硬件設備、軟件系統的采購工作；負責政府信息資源管理；負責政府部門信息技術人才招聘和公務員信息技術應用技能培訓；負責政府IT部門的日 常管理；負責政府部門電子政務建設項目的全程管理。

　　企業CIO的基本職責與政府略有差異，包括：實現信息技術、信息資源與公司業務的整合；通過優化企業的業務流程 ，實現企業內外部信息資源的有效開發利用和共享。具體職責包括：參與制定企業信息化發展戰略；組織制定企業信息化和電子商務的規劃和實施方案；提出企業信 息化建設的投資建議，參與信息化項目投資決策，負責硬件設備、軟件系統的采購工作；負責企業信息資源管理；負責信息技術人才招聘和員工信息技術應用技能培 訓；負責企業IT部門的日常管理；負責企業信息化建設項目的全程管理。

　　那么對CIO素質上有什么要求呢？

　　CIO應該是熟悉本機構業務，通曉信息技術和現代管理，善于應用系統工程的思想方法將信息化規劃與本機構的業務規劃緊密結合在一起的專家。一個合格的 CIO，必須能夠規劃好本機構的信息結構；能夠深刻理解技術手段、管理方法和制度誘變的內在聯系，既務實又有創新精神；善于溝通和項目管理；能洞悉、判 斷、追蹤IT發展對業務的影響，善于把IT很好地應用到本機構的業務中。

　　來自美國CIO雜志的一個影響CIO成功的個人能力排序及問卷調查，把影響CIO成功的個人能力按重要程度來進行排序，排在第一的是有效溝通能力；第二種是戰略思考和規劃的能力；第三是理解業務流程和業務運作；第四種是影響力和說服力；第五種是IT技能等。

　　我們國內有些機構也做了些調查，對CIO應該具備什么樣的知識結構、應具備的能力以及大型企業的CIO做了分析，這張圖顯示了CIO的知識結構。

[page]

　　這張圖顯示了 CIO應具備的能力

　　從這兩張圖可以看出來，對CIO的知識和能力要求都是很高的。

　　下面我再談一下相關法律知識和法律遵從問題。2002年7月30日，美國總統布什簽署了《2002薩斑斯-奧克斯利法》（Sarbanes-Oxley Act of 2002），目的是加強企業報告和審計工作，要求上市公司把所有有關財務聲明的工作文件、來往信件及所交流的信息保留7年。該法有一個條款（ Sec.404內控報告的提供）在2004年生效：要求IT部門要支持公司高管、財務和內外部審計人員的需求，確保影響財務報表的業務流程、應用和信息基 礎設施的完整性、可用性和可審計性，保證內控報告和內控程序的完備性，并能夠對外部審計需求做出積極響應，CIO們要證明其公司的IT內部控制系統的有效 性。

　　SOX法案明確規定，外部審計人員必須檢查和證實一個公司的內部財務控制的有效性。SOX法案所規定的IT一般性控制，主要包括：信息系統開發流程的控 制、程序變更管理控制、計算機運行管理控制、程序與數據訪問控制、信息系統安全的控制，還有IT計劃等。除一般性控制之外，還有應用系統的控制，大致包括 應用系統中設置的有關業務流程的輸入、數據處理和輸出控制。這個法律改變了CIO們的管理方式。在404條規定下，作為本職工作的最低要求，CIO們必須 獲得外部審計師對其IT控制的肯定評估。不遵守規定，忘記最終期限，或者內部控制存在重大控制弱點，都會理所當然地損害到公司股東的利益和業務關系，當然 也會有損于執行官的職業生涯。Gartner的調查顯示，在該法頒布前，各公司對紙質記錄雖然已有比較充分的控制，但是對電子文件的控制卻不充分。

　　研究表明，隨著IT在現代組織中戰略價值的提升，IT人員的知識和技能變得非常重要，對企業的IS基礎設施和競爭優勢有重要影響。IT人員的知識和技能的 分類：（1）技術管理技能：在何處和如何有效地利用IT，為公司的商業戰略目標服務；（2）商業業務知識：了解公司內部各種不同的商業功能，理解整個商業 環境；（3）技術性技能：對操作系統、編程語言、DBMS、網絡、電信等技術領域掌握的廣度和深度。研究它與其他戰略要素之間關系的很少。1994 年，Boynton等人曾經調查過IT管理知識對IT應用的影響。在研究中：IT管理知識被界定為：IT管理者、業務部門或生產線的管理者所擁有及在他們 之間交換的、與IT相關和與業務相關的知識集合體；IT應用則被界定為：IT在降低成本、支持管理、戰略規劃以及縱深應用等應用形式。他們發現，在一個組 織中，較高水平的的IT管理知識與IT應用的程度是直接相關和正相關的。

　　最后說一下CIO的相關資格認證和培訓問題。在美國CIO的任命必須經過資格認證，要求CIO具有在管理（包括信息資源管理）方面的知識、技能和經驗，能夠有效地履行其職責。其任職資格應從多方面考慮，包括與信息資源管理有關的教育、工作經驗以及專業活動等。

　　良好的培訓可以使經理成為合格的CIO。CIO教育培訓內容應包括：管理（公共管理或企業管理）、電子政務或電子商務、項目管理、相關技術等方面。CIO培訓的必要性及培訓的內容有關機構做了一下調查培訓的必要性占95.51%。

　　目前國內外有幾套CIO培訓體系。美國CIO大學是一個虛擬組織，他們是開展CIO培訓最早的，他們的培訓體系是這樣的：（1）政策與組織；（2）領導力 與管理能力；（3）流程與變革管理；（4）信息資源戰略與規劃；（5）IT績效評估：模型和方法；（6）項目/群項目管理；（7）資本計劃與投資評估； （8）采購；（9）電子政務/電子業務/電子商務；（10）IT安全/信息保障；（11）企事業架構；（12）技術。

　　卡耐基？梅隆大學CIO認證培訓體系包括這樣幾門核心課程：（1）領導力；（2）流程與績效管理；（3）戰略與規劃；（4）IT采購與復合項目管；（5）IT管理；（6）信息保障；（7）電子商務與電子政務；（8）關鍵技術。

　　我們北大在國內首創了CIO培訓，我們的培訓體系共分四大部分：戰略與管理、業務與流程、技術與架構、案例與績效，共20多門課，基本覆蓋了信息化的整體內容。