VUCA時代領導思維的轉變

VUCA時代領導思維的轉變

---從IT審計視角看企業信息化

        我們正在迎來VUCA時代，這場革命將從根本上改變我們的生活、工作以及彼此之間相處的方式。從這場變革的規模、程度和復雜性來說，它將不像人類以往經歷的任何一場變革。

        我們尚不清楚這場革命將如何開始展開，但是有一件事顯而易見----必須要對這次革命作出應對，這種應對必須具備創新能力與領導能力，唯有新的能力將支撐我們應對改變我們的一切。

        VUCA是指組織將處于"不穩定"(Volatile)、"不確定"(Uncertain)、"復雜"(Complex)、和"模糊"(Ambiguous)狀態之中。

        讓我們首先來厘清VUCA的基本概念：

        V=Volatility（易變性）是變化的本質和動力，也是由變化驅使和催化產生的

        U=Uncertainty（不確定性）缺少預見性，缺乏對意外的預期和對事情的理解和意識

        C=Complexity（復雜性）企業為各種力量，各種因素，各種事情所困擾

        A=Ambiguity（模糊性）對現實的模糊，是誤解的根源，各種條件和因果關系的混雜

        VUCA的概念最早是美軍在20世紀90年代，引用來描述冷戰結束后的越發不穩定的、不確定的、復雜、模棱兩可和多邊的世界。在2001年9月11日恐怖襲擊發生之后，這一概念和首字母縮寫才真正被確定。隨后，“VUCA”被戰略性商業領袖用來描述已成為“新常態”的、混亂的和快速變化的商業環境。

        在我們給客戶提供IT審計服務的過程中，我們越來越深刻地體會到VUCA特征對企業信息化建設和應用的重大影響。企業為了應對這些變化，所投入的IT投資越來越大，系統升級換代的速度越來越快，反倒是我們企業領導的思維轉變相對滯后，尚未從思想上積極地應對上述變化，依然停留在重建設輕應用，重投資輕人才的層面。下面我用幾個我們項目中遇到的典型案例，說明一下VUCA時代對我們企業信息化的影響。

        以前，在對傳統的制造型企業進行ITGC一般性控制審計時，我們會關注客戶是否編制了與其公司戰略相匹配的信息化戰略規劃，是否定期進行滾動修編，是否有清晰的IT治理的組織保障，甚至關注在集團總部層面是否設立了信息化建設與管理委員會。但是，近些年來，由于客戶的商業環境呈現出更大的易變性、不確定性、復雜性和模糊性，客觀地造成企業信息化戰略規劃的滯后，尤其是客戶在發生主營業務變化的關鍵時點，矛盾表現得尤為突出。這些變化還突出表現在企業在應用架構、技術架構和數據架構的設計方面所帶來的巨大變化。不少企業把相對集中的，魯棒性較好的中央集中式的技術架構向相對分散的，邊界相對模糊的云架構上轉移。

        這一矛盾在互聯網公司、IT類公司表現的尤為突出。我們的顧問在做ITGC一般性控制的審計時，如果按照傳統企業的ITGC的底稿來問問題，往往會被客戶認為我們的顧問不了解互聯網行業的發展、不了解IT行業的突飛猛進的變化。這類公司業務和戰略都表現出更加明顯的易變性、不確定性、復雜性和模糊性，他們最愛說的一句話就是：你要是問我三年后我的核心業務是什么？未來三年我的戰略方向如何？我可以明確地告訴你我不知道，不僅我不知道，我的競爭對手也不知道，甚至我們所處的行業都不知道，你讓我如何知道IT戰略能否適應或支撐公司的業務戰略？我們的系統開發和迭代升級的速度是非常之快的，傳統行業的IT系統的升級和運維模式在我們這里根本就行不通。如此等等。

過去客戶在實施ERP或者其他信息系統時，傾向于選擇魯棒性強的主機服務器，而現在越來越傾向于選擇更加靈活的分布式服務器群，甚至直接上云端，把整個技術架構以購買PaaS服務的方式來實現，而把IT應用轉變成SaaS服務的模式。這樣，對我們傳統的ITGC一般性控制審計，提出了更高的技術要求。服務上云，客觀地造成了審計范圍或者邊界的不清晰和模糊性。

        這些技術層面的變化，又帶來了IT治理和IT管理的組織結構的巨大變化。IT的管理職能增強、IT服務管理能力的提升就成為我們ITGC審計的一個重點關注的領域。IT部門和信息中心由原來自己提供內部的技術支持服務，更多地轉變為購買外部的IT架構服務、IT運維服務等來實現對本企業核心業務的信息化的技術支撐。第三方IT外包服務的占比越來越大，對第三方IT外包服務商的管理也就成為ITGC的重點關注的領域。

        記得十多年前，我們在為一家大型國有企業實施ERP的試點項目時，由于客戶選擇的試點單位是一家上市公司，該上市公司的領導堅持自己的核心業務數據必須存儲于自己的獨立的服務器內，不允許業務數據存儲于集團層面的中央服務器中，做到物理隔離和物理可控。這樣，導致我們整個的ERP系統實施的技術架構和技術路線發生了根本性變化。由原來借鑒國際最佳實踐的按照事業部建立中央數據庫的方式，轉變為按照試點單位建立分散的數據庫的方式。這一方式的轉變，大大增加了服務器的硬件數量和IT投資，同時也增加了項目實施的難度，以及每家試點單位必須自建系統運維的團隊。整個項目從IT建設到IT應用以及后期的IT運維，都大大地增加了IT投資。十年之后，客戶根據自身業務發展的需要，又回歸到按照事業部方式建立中央數據庫的模式。這一案例充分說明企業領導對信息化建設和運維的認知很大層面上影響和決定著該企業的信息化建設的模式和效果。

        隨著企業經營環境的巨大變化，呈現出的易變性、不確定性、復雜性和模糊性，也客觀地催生了企業領導對核心業務數據敏感性保護的加密存儲需求。企業領導為了應對外部的變化，自然想到的是企業需要練好內功。核心業務數據作為企業的一項重要的無形資產，得到了更多企業領導層的關注與重視。通常一個企業的財務數據、客戶信息、銷售信息、供應商信息、采購信息、庫存信息、設備信息、生產信息、設備維護信息、質量安全環保標準、人力資源信息、薪酬信息等等，構成了一個企業的核心業務數據。這些核心業務數據的加密存儲與保護，就成為越來越多的企業領導的重點關注領域。這一需求也客觀上加大了企業在數據庫領域的投入，同時加密解密也加大了整個系統的運行負荷。企業需要篩選出哪些核心業務數據必須加密存儲，哪些可以按照以往的傳統方式進行存儲。企業需要做好投資性價比分析，而且需要在IT治理和管控層面加強工作。否則，再先進的加密和解密技術，依然無法規避核心業務數據泄密的風險。

        在我們審計過的一個客戶中，存在一個非常經典的案例說明敏感數據一旦泄密，會對企業的業務發展造成很大的傷害。在某客戶處我們發現該客戶的IT部門的人員流動發生了異常波動：100人規模的IT部門，在短短的半年內，IT人員流失了30%多，一度造成在建的IT系統實施項目的人員嚴重不足，造成相關的項目實施進度嚴重滯后，項目的實施質量也差強人意。深究其原因，我們發現是由于IT人員的薪酬工資這一敏感信息部分泄露，造成IT人員對薪酬的不滿，從而導致了一系列的連鎖反應。

        IT人員的AB崗制度的缺失也是在很多企業普遍存在的問題。一方面IT人員的工資相對于其他人員略高，另一方面合適的IT人員在市場上又很難找到，企業自身培養IT人員的周期又較長，所以，很多企業的IT人員的投入嚴重不足，經常出現IT崗位與職責不兼容的問題，具體表現為一個IT人員同時承擔多個相互不兼容的角色和工作；一旦出現IT人員的流失，就會加劇這一矛盾的突出。

        衡量一個企業的信息化建設和應用水平，有一個非常直觀的指標就是公司的管理層是否在自己的系統中做查詢，看管理報表。我們見過太多的企業花了億級的規模投資一個IT系統，但是管理層依然是只看紙質報表，從沒有在信息系統中進行過任何的操作。這就說明這家企業的領導重IT建設而輕IT應用。

        在我們開展ITGC的一般性控制的審計過程中，我們經常發現公司的高管把自己的郵箱、業務系統的ID以及密碼交給自己的秘書或者助理，由自己的秘書或者助理在系統中代為行使審批的職能。這一點在IT治理和IT風險控制領域是一個非常突出的問題，往往存在很多的IT風險，甚至為引發業務風險。

        衡量企業信息化建設和應用水平，還有一個非常重要的指標：我們稱之為核心業務的系統支持程度或者系統覆蓋度。如果所有與財務數據相關的業務均能夠在信息系統中得到很好地支持，沒有或者很少有人工的后期補錄的情況發生，那么這家企業的IT應用水平就相當不錯。但是，我們在進行IT審計的時候，很多傳統企業甚至是互聯網企業，它的系統覆蓋度不足，造成IT風險很大甚至無法支撐財務數據的真實、可靠、可信。

        例如，我們在對一家電商企業進行IT審計時，通常都需要進行GMV的數據分析。GMV通常是電商行業公認的一個關鍵績效指標，計算公式如下：

        GMV=實際銷售額+取消訂單金額+拒收訂單金額+退貨訂單金額

        但是這家電商平臺，除了實際銷售額和取消訂單金額可以真實地從其平臺系統上準確獲得之外，拒收訂單金額和退貨訂單金額由于不在該平臺上執行，其委托方并不是100%地在第三方軟件的系統進行拒收和退貨，因此無法獲取準確的拒收訂單金額和退貨訂單金額。而這兩項的金額占比卻達到了40%以上，不符合重要性原則的要求，所以，該電商平臺的GMV的數據無法信任。

        我們從IT審計的角度，反觀出企業在信息化建設和應用過程中所表現出來的問題，往往都和企業領導的思維意識有關，因為信息系統項目往往都是一把手工程。IT項目往往就是企業領導意志的體現。因此我們才認為，當今世界改變的速度已與過去不同，每當文明經歷一個顛覆性的技術革命，都給這個世界帶來了深刻的變化。過去數年很多遭受失敗的高科技公司給我們敲響了警鐘：它們現在面對著無法回避甚至無法預測的挑戰，但是缺乏適應這些挑戰所必需的領導、靈活性和想象力。

        VUCA時代的變化經常呈現跳躍性和震蕩性，會產生很多破壞性的現象，比如信息爆炸、突發事件頻繁、資源緊缺、員工投入度低等，給組織帶來更多的管控風險，很多組織不能及時調整方向，沒有及時適應新的環境，因為錯誤的假設而迷失，因為錯誤的航標而消失。

        當你身處領導崗位時，最關鍵的素質不是自己能做什么，而是你能讓各種專業的人才按照你的意圖或決策去做事情，并通過大家共同的努力最終達成目標。在達到目標的過程中，整個團隊表現出高效的組織效能。

        作為企業的管理者，必須清醒地認識到這一點，并在思想意識上實現上述轉變，更加重視IT應用，更加重視IT人才，才能創造性地應對VUCA時代的各種變化。