理論+實踐解析「IT治理」之模式與原則

IT治理工做做爲企業信息化建設的上層建築，扮演着及其重要的角色。本文結合做者的學習及實踐經驗給出一些借鑑。

1、IT治理概述

1.1 何爲IT治理

在企業信息化建設中的最大問題，每每不是技術問題，也不是資金問題，而是缺少科學的IT管理觀念。IT領導者最大的問題不是缺乏經驗和能力，而是缺少卓越的管理素質和管理方法。正由於如此，才引入了"IT治理"這個概念。從定義上講，IT治理，是指設計並實施信息化過程當中，各方利益最大化的制度安排。其目的是實現組織的業務戰略，促進管理創新，合理管控信息化過程的風險，創建信息化可持續發展的長效機制，最終實現IT商業價值。

1.2 IT治理目標

目標1 - IT與組織戰略互動

經過研究組織的發展遠景、內外部環境、業務策略和管理基礎上，造成信息化的遠景、信息系統的組成架構、信息系統各部分的邏輯關係，以支撐戰略規劃目標的達成。針對信息系統的支撐硬件、軟件、技術等進行計劃與安排。這其中的難點在於，須要理解組織的關鍵目標，才能制定IT戰略目標，進而轉化爲IT治理有效行動。多變的組織戰略是不利於IT戰略的可持續發展。

目標2 - 有效利用信息資源

信息資源的開發和利用是信息化建設的核心任務，是信息化取得實效的關鍵，是衡量信息化水平的一個重要標誌。經過IT治理能夠對信息資源的管理職責進行有效的制度設計，保證投資的回收，並支持業務戰略的發展。避免出現投資過大、效果不佳；信息孤島、沒法共享；工程超期、不知足需求等問題。

目標3 - 管理信息化風險

企業發展愈來愈依賴於信息化建設水平，於是IT風險是企業須要關注的。技術迭代愈來愈快，新的技術不斷涌現，如何避免新技術帶來的風險也是須要從管理角度加以關注的。此外，隨着近些年國家對我的隱私、數據安全的關注，此類風險也是須要企業重點關注。經過制定信息資源的保護級別，強調關鍵的信息技術資源，有效實施監控，事故處理。

目標4 - 構建可持續發展機制

企業內信息化建設，須要有個可持續發展機制。不能簡單依靠領導命令方式，而轉換爲一個長期的發展規劃。輔助以績效評估手段，才能夠構建信息化可持續發展的長效機制。

1.3 IT治理、企業治理、IT管理的關係

這是三個很容易混淆的概念，只有理清三者關係，纔能有效推進治理落地。

• 企業治理：主要關注利益相關者的權益和管理，包括一系列責任和條例，由最高管理層和執行管理層實施，目的是提供戰略方向，保證目標可以實現，追求投資的最大產出比，風險適當管理併合理使用資源等。
• IT治理：主要關注企業的IT投資是否與戰略目標相一致，從而構築必要的核心競爭力。IT治理要能體現將來信息技術與將來企業組織的戰略集成。既要儘量地保持開放性和長遠性，以確保系統的穩定性和延續性。
• IT管理：是在既定的IT治理模式下，管理層爲實現公司的目標而採起的行動。

• 企業治理側重企業總體規劃，IT治理側重與企業中信息資源的有效利用和管理，提高企業信息化的核心價值。IT治理應該體現"以組織戰略目標爲中心"的思想，經過合理配置IT資源來創造價值。
• IT管理關注的是企業信息及信息系統的運營，肯定IT目標以及實現此目標所採起的行動；而IT治理是指最高管理層利用它來監督管理層在IT戰略上的過程、結構和聯繫，以確保這種運營處於正確的軌道之上。二者互不可缺，單純只有IT治理，目標沒法落地；單純有IT管理，則缺少方向性。

1.4 IT治理理論

COBIT，信息系統和技術控制目標

美國信息系統審計與控制協會-ISACA，於1996年推出了用於"IT審計"的知識體系COBIT。"IT審計"已經成爲衆多國家的政府部門、企業對IT的計劃與組織、採購與實施、服務提供與服務支持、監督與控制等進行全面考覈與承認的業界標準。做爲IT治理的核心模型，COBIT包括34個信息技術過程控制，並歸集爲四個控制域:IT規劃和組織、系統得到和實施、交付與支持以及信息系統運行性能監控。

ITIL，信息技術基礎架構庫

一套被普遍認可的用於有效IT服務管理的時間準則。1980年以來，英國提出和完善了一整套對IT服務的質量進行評估的方法體系，成爲ITIL。2001年，英國標準協會在國際IT服務管理論壇上正式發佈了以ITIL爲核心的英國國家標準BS15000。ITIL是一套詳細描述最佳IT服務管理的叢書。它是一種公共框架、最佳實踐框架、服務質量是ITIL的核心。但ITIL只說明瞭要作什麼，沒有說明如何去作，企業應根據需求去參照ITIL框架進行IT服務管理的建設，而不該追求大而全；而且ITIL不是一個理論模型，而是一個最佳實踐庫。

ISO/IEC17799，國際信息安全管理標準體系

2000年12月，國際標準化組織ISO正式發佈了有關信息安全的國際標準ISO17799，這個標準包含信息系統安全管理和安全認證兩大部分，是參照英國國家標準而來的。它是一個詳細的安全標準，包括安全內容的全部準則，由十個獨立的部分組成，每一節都覆蓋了不一樣的主題和區域。它以"計劃、實施、檢查、行動"模式，將管理體系規範導入機構或企業內，以達到"持續改進"目的。

PRINCE2

是一種對項目管理的某些特定方面提供支持的方法。PRINCE2描述了一個項目如何被切分紅一些可供管理的階段，以便高效地控制資源的使用和在整個項目週期執行常規的監督流程。PRINCE2的視野並不只僅限於對某個項目的管理，還覆蓋了在組織範圍對對項目的管理。

2、IT治理實踐

2.1 前提條件

明確目標

IT治理活動與企業治理過程相結合，並有企業領導的參與。IT治理專一於企業目標和戰略，使用技術提升業務水平，並知足業務需求的足夠可用的資源和能力。

組織架構

成功的IT治理首先須要有一個明晰的IT治理組織架構，而且組織機構中的各個部門(包括人員)都有明確的角色和相關職責的定義。

治理流程

IT治理流程是保證企業的相關部門採用合理的步驟進行IT治理活動。制訂相關流程和規範並有效實施。它應是根據企業需求出發並落實責任到人。

管理制度

IT制度是將平常的流程進行固化並造成對企業的規範，須要每一個員工都加以遵循的一種措施。同時提供必要的手段，進行監督管理，最終造成一種控制的環境或文化。

2.2 治理模式

目前主流的IT治理的組織模式有：專制管理模式、聯邦型管理模式、分散管理模式三種。

專制管理模式

• 由IT部門或某強勢業務部門管理項目投資、建設和維護。IT治理決策徹底由該部門負責。
• 其主要優點是成本導向型架構，能較好管理IT資產和系統，長期來看可以節約IT成本。
• 其主要問題是決策過程當中業務部門不參與，所以響應速度較慢，缺少創新。
• 適用於追求短時間利潤的公司，所需的IT行爲在追求低的業務成本上高度標準化。

分散管理模式

• 由各業務部門獨立負責項目投資、建設和運營，IT治理的策略由部門自行決定。
• 其優點是業務部門開發能力，IT人員能理解業務流程並參與系統建設，對業務部門的需求響應更爲及時，創新能力加強。
• 其主要問題是業務部門戰略和整個企業戰略可能出現不一致的狀況，IT資產不能共享，長期來看會致使成本上升。
• 適用於新成立的公司或研發類的公司。他們是以收入增加做爲成功的度量標準，所須要的治理機制也不多。

聯邦型管理模式

• 由IT部門與業務部門聯合進行IT管理，各自負有明確的職責。IT治理決策由多部門在衡量各類影響因素以後作出。
• 其主要優點是IT部門和業務部門共同進行IT決策，在必定程度上能夠克服前兩種模式的缺點。
• 其主要問題是對資源的管理和協調難度增長，須要很強的協調能力，並且不能徹底保證成功。
• 適用於致力於利潤的持續增加與業務創新的公司。他們的IT準則是強調流程、系統、技術和數據模型等方面的共享和重用。他們引入聯邦型治理機制，以處理全公司範圍內的控制和局部控制之間的矛盾。

2.3 流程管理原則

IT治理流程的設計是爲了可以在跨業務部門的流程中順利完成IT業務的操做，是完整的、可見的，而且是可管理的。應遵循以下設計原則：

• 流程設計的目的是要創造價值的，因此必須剔除全部的無價值的環節。
• 高價值的流程是流程設計的重點，這樣才能集中企業有限的管理資源產生最大的回報。
• 流程是持續的，須要不斷創新的，而不是重複的整理歷史。
• 只有明確的責任人，才能保障流程每一個環節的順暢流轉。

2.4 管理制度原則

• 制度的制定要職責清晰、流程明確，在事前可使員工對工做心中有數，事中可使工做流程順暢，過後有問題能夠追求責任。
• 應首先考慮在影響面大或涉及部門、員工多的工做中創建工做制度，逐步增長和完善，造成覆蓋信息化工做的各個方面、各個階段、各個環節的制度體系。
• 成熟規範的工做流程能夠逐步轉化爲制度加以固化，成熟的制度可進一步上升爲IT管理標準。

做者：韓鋒

首發於公衆號《韓鋒頻道》，歡迎關注。

來源：宜信技術學院