首席信息官（CIO）角色不再是一個簡單的IT管理人員，現(xiàn)在負責對所有與企業(yè)相關的信息進行可持續(xù)管理。因此，CIO必須提供處理信息的方法，保證相關服務的連續(xù)性，確保信息的安全，遵守適用的法律法規(guī)，并監(jiān)督所有這些活動，確保這些活動與企業(yè)目標相一致。實際上，CIO角色已經(jīng)發(fā)生了變化。CIO現(xiàn)在是負責公平處理所有業(yè)務相關信息的主要人員，而不僅僅是負責控制技術成本的人員。

如果CIO角色僅限于遵守技術目標和成本控制，那么有些業(yè)務期望將得不到適當或充分的滿足。治理、風險和合規(guī)(GRC)實踐要求CIO具備將信息處理技術與該信息對企業(yè)的價值聯(lián)系起來的技能。主動并集成到內部流程中的治理角色允許通過有效且高效地將組織需求與業(yè)務的運營方面聯(lián)系起來，從而為企業(yè)創(chuàng)造價值。只關注經(jīng)濟節(jié)約或技術目標的CIO不具備正確解釋業(yè)務需求演變所需的技能。

在公司治理中，經(jīng)典的組織結構認為CIO是面向信息技術治理的高級管理職位，具有分析成本和收益的能力，并有權處置運營資源。然而，CIO也有直接與其他高級管理人員互動的特權，并積極參與治理組織風險的更廣泛過程。這無疑是一個優(yōu)勢，因為這些責權允許CIO在完全符合企業(yè)目標的情況下，以對信息的價值和作用完美理解的方式管理信息和技術(I&T)。

為了給這個角色增加新的和公認的價值，CIO必須從簡單的業(yè)務戰(zhàn)略觀察者轉變?yōu)橐庾R到他們的決策對整個組織績效的影響。CIO必須在運營過程的技術知識與組織技能之間取得平衡，從而能夠理解和維護企業(yè)資產(chǎn)的價值。CIO必須能夠保證通過確保對信息的適當處理，從而保持信息價值，保證信息的可用性符合業(yè)務需要，并保證信息的持續(xù)保護的能力。

保證對信息的適當處理

CIO必須能夠在提供足夠的技術基礎設施、應用程序和服務以及提出和提供合適的解決方案以支持企業(yè)目標方面滿足業(yè)務期望。IT職能必須基于業(yè)務流程的整體視圖，包括設計、發(fā)布和管理運營流程；以可接受的成本分配必要的資源；以及監(jiān)測運營。以業(yè)務目標為指導，首先有必要了解企業(yè)的信息處理需求，即制定適當實施、交付和控制所需服務的關鍵需求。

對于CIO，要提出并確保交付符合業(yè)務目標的技術解決方案，就必須充分了解規(guī)劃和控制方法、可用技術、運營流程管理以及市場提供的服務。這些知識不一定是專家級別的，但必須足以讓CIO考慮并有意識地決定適當?shù)慕鉀Q方案。CIO必須能夠掌握為企業(yè)創(chuàng)造價值的元素，并識別那些導致不可接受的風險場景的元素。CIO應該在規(guī)劃和運營事務方面得到技術管理者的支持。

保證信息的可用性

必須根據(jù)企業(yè)定義的服務要求提供信息，例如需要信息的時間和持續(xù)時間，以符合通過持續(xù)監(jiān)測預先確定的質量水平。業(yè)務需求決不能僅僅是強加給信息技術服務的，而應該是業(yè)務流程、內部控制和技術服務相結合的結果。

作為創(chuàng)造價值的行動推動者，CIO需要參與風險分析評估決策，例如全面評估技術變革的關鍵需求和投入適當?shù)馁Y源。

信息可用性的一個有趣的方面是流程外包。外包信息技術服務的管理有時被認為是一種簡單的節(jié)省開支的手段；然而，這種模式需要扭轉。在做出任何外包決定之前，必須通過風險分析評估違反數(shù)據(jù)保密性、完整性或可用性的后果。在這方面，CIO應該得到專門滿足業(yè)務流程需求的特定IT經(jīng)理和其他運營專家的支持。

保證對信息的持續(xù)保護

對信息的訪問必須以符合相應數(shù)據(jù)安全分類的方式控制。信息保護在很大程度上是IT部門的職責，盡管IT部門可能并不擁有數(shù)據(jù)。在這種情況下，根據(jù)其組織地位，CIO應掌握與信息價值相關的必要知識，并應采取行動評估安全戰(zhàn)略的有效性，驗證運營計劃并促進改進。

這種對CIO角色的看法包含了首席信息安全官（CISO）的一些典型特征，CIO在組織中的地位證明了這一點。CIO負責實現(xiàn)I&T流程目標，有權分配必要的資源，并且是最高管理層的成員。該職位集中了所有決策和驗證流程，提供了最佳的整體業(yè)務愿景，并確保該人員有機會理解和應對問題。相比之下，CISO只是垂直地關注安全問題，不像CIO那樣有大局觀。CIO必須不斷平衡I&T目標與組織、運營和控制問題，這使CIO能夠以更大的批判性意識面對風險場景。CIO應在運營事務上得到CISO的支持。

與業(yè)務目標保持一致

應定期評估構成I&T流程的活動，確保其與業(yè)務目標一致。為了從全球業(yè)務角度驗證I&T流程管理的結果，需要掌握GRC相關技能。CIO必須處理的問題各不相同，但I&T治理是必要的。信息代表著需要保護的價值，而技術則是保護價值的手段。

風險

為了管理與信息相關的風險，必須讓那些對基礎設施、系統(tǒng)、服務和信息技術負有整體責任的人員而不僅僅是安全人員積極參與。CIO的角色應允許了解所處理信息的價值、管理信息的技術的關鍵性質以及所做決策的后果。通過這種方式，I&T流程的管理將以基于風險意識的系統(tǒng)方法為指導。

技術

CIO不執(zhí)行任何與I&T流程相關的運營任務，但僅在管理和控制層面發(fā)揮作用。即便如此，他們必須保持和更新技術技能，以便能夠以一種可理解的方式評價和解釋對最高管理層的相對優(yōu)勢和劣勢，從而指導決策過程。專業(yè)知識可以委托給企業(yè)中的運營角色。

連續(xù)性

對業(yè)務至關重要的流程必須滿足企業(yè)設置的運營參數(shù)。因此，必須根據(jù)場景的具體性、控制設計的一致性和分配資源的充分性驗證連續(xù)性計劃、業(yè)務影響分析（BIA）和事件管理程序。CIO應發(fā)揮監(jiān)督作用，改進連續(xù)性流程，使其更有彈性，即所有行動都是根據(jù)業(yè)務目標規(guī)劃和執(zhí)行的，不會扭曲預算。

安全

保護機密信息的使用和訪問不是CIO的直接責任。然而，基于對此類信息關鍵性的了解，CIO可以充當監(jiān)督者，并提供糾正現(xiàn)有措施和尋找資源所需的適當關注。首席信息官還可以作為職責分離（SoD）和用戶重新驗證流程的推動者。

隱私

企業(yè)對個人數(shù)據(jù)的處理在很大程度上屬于信息安全范疇，即使這些責任分配給了其他人。雖然這個主題與CIO沒有直接關系，但CIO應該對關鍵流程和法律合規(guī)要求有廣泛的了解。因此，在法律允許的情況下，CIO有很大的潛力擔任數(shù)據(jù)保護官或類似崗位。從這個意義上說，由于CIO不是數(shù)據(jù)所有者，但對數(shù)據(jù)處理過程有一個完整的視圖，因此可以有效地支持數(shù)據(jù)控制者的保護和意識行動，并實施必要的控制措施，使該過程符合法律要求。

合規(guī)

內部審計職能部門通常負責驗證對內外部規(guī)則的合規(guī)性。盡管CIO沒有直接參與驗證過程，但仍有責任確保所有IT行動都按照運營計劃實施，并定期實施控制。CIO應參與風險處理計劃和審計補救計劃的起草。盡管這兩個計劃有不同的起源，但都旨在改進業(yè)務流程，也包括IT領域。

評估CIO的績效

CIO的績效評估應基于以下四個主要目標：

1. 安全性——該評估考慮了導致信息泄露的事件的數(shù)量和嚴重程度，以及審計結果和所有與安全性相關的報告。

2. 連續(xù)性——該指標考慮了事件、未遂事件和發(fā)現(xiàn)的異常情況的數(shù)量。嚴重性用作歸一化均值的權重。

3. 質量——這是一種滿足預定需求的能力，符合所要求的服務級別，包括發(fā)布和補救時間表。這個值是與各自目標值相比，達到的滿意程度的平均百分比、發(fā)現(xiàn)的異常數(shù)量、累積的延遲和使用的額外預算。

4. 效率——這是指僅用預算資源提供所需服務的能力，可能會將經(jīng)濟成分限制在最小值。這種評價考慮到預算中分配的資源的價值和最后結余中的實際承付額。

評估計劃活動和項目的結果需要通過衡量標準比較四個目標中每一個個的成熟度。例如，圖1描述了每個目標在0到1的范圍內實現(xiàn)的成熟度水平。這顯然突出了沒有實現(xiàn)目標的情況。

圖片

以這種方式評估CIO可以確保在技術知識和治理能力之間，以及在提供戰(zhàn)略指導和驗證監(jiān)管合規(guī)之間取得平衡。如果CIO只關注技術問題或降低成本，就幾乎沒有什么價值。業(yè)務的整體遠景是理解組織目標的所有重要方面和對潛在后果做出明智決策的基礎。

結論

為了使I&T管理更加有效，必須擴大CIO的作用，這意味著在GRC領域獲得更多的技能和責任，并從業(yè)務角度適當?shù)仃P注控制而不是純粹基于技術績效。CIO必須是一個C級職位，即制定總體目標并擁有為實現(xiàn)這些目標而分配必要資源的權力的管理層。

CIO的職責是提供實施指南并評估結果的實現(xiàn)情況，確保根據(jù)實際業(yè)務需求處理信息，確保信息以所需的方式和時間可用，并保護信息不被未經(jīng)授權的使用或訪問。為了實現(xiàn)這一點，CIO必須具備必要的技能理解業(yè)務請求，并將這些需求與可用的技術聯(lián)系起來，以正確的角色和職責組織活動，監(jiān)督控制的執(zhí)行，并評估I&T流程的當前狀態(tài)。

CIO的角色已不再那么注重技術和財務，而是更加注重GRC了。這需要具備組織過程中的橫向能力，包括風險分析、合規(guī)評估和溝通技能。與此同時，CISO的角色也被部分重新定義以避免重疊，例如與安全相關的更大的技術和方法垂直化，CISO直接向CIO報告。