IT治理的概念引入中國已經三年多了。雖然媒體、IT企業和壹些專家學者不斷呼籲IT治理的重要性,但很少聽說將IT治理從理論推向實踐的案例。其中壹個重要原因是組織缺乏IT治理的操作指南。
我們不能停止思考IT治理的概念。在某種程度上,IT治理的抽象和模糊定義影響了組織對IT治理的接受,並直接傷害了IT治理的實際可操作性。現在是時候為it治理尋找壹條可行的運營路徑了。
事實上,IT治理並沒有想象的那麽復雜和虛幻。我們不需要煞費苦心地從成百上千的IT治理模型中找到壹個合適的模型。埃森哲創建了IT治理模型,為組織建立有效的IT治理提供了路線圖。本文將對此模型進行介紹。
簡單來說,IT治理關註兩個方面,即IT治理的“什麽”和“誰”。IT治理的“什麽”指的是IT治理應該做出哪些決策,IT治理的“誰”指的是誰應該分別做出這些決策。
那麽,IT治理應該做出什麽決定呢?要找到這個問題的答案,首先要明白壹個問題,即組織需要它扮演什麽樣的角色?不要想當然的認為這是壹個可以簡單回答的問題。事實上,不同的組織對它有不同的需求。壹個組織需要它做什麽,很大程度上取決於它所處的商業環境。
業務特征決定了IT需求。
IT治理的第壹步是正確分析組織所處的業務環境。
埃森哲的IT治理模型通過兩個指標來分析組織的商業環境:變化的速度和競爭的基礎。
變化的速度。有些企業處於快速變化的行業,如半導體企業和電信企業。在這樣的行業中,消費者的需求和偏好經常變化,產業政策也經常推陳出新,不時出現的新技術會壹下子改變整個產業價值鏈;但其他行業發展相對穩定,不會變化那麽快,比如航空。在這個行業,消費者需求、競爭格局、政府監管、技術、供應商的變化都在慢慢發生。
競爭的基礎。在競爭的基礎上,企業可以分為兩類。壹類企業以經營效率為基礎進行競爭。對於這類組織來說,重點是降低成本,優化現有商業模式,以應對競爭;另壹類企業以產品和服務的差異作為競爭的基礎。這類企業努力在競爭對手之前提供新的業務能力,或創造新的業務模式以獲得競爭優勢。
根據以上兩個指標,組織可以分為四類。
A類機構處於快速變化的行業,他們的競爭是建立在運營效率上的。
B類組織處於快速變化的行業,競爭基於產品和服務的差異化;
C類組織處於快速變化的行業,他們的競爭是建立在運營效率上的。
D類組織處於快速變化的行業,競爭的基礎是產品和服務的差異化。
這四個不同的組織因其不同的業務特征而對IT有不同的需求。
A類機構發展的關鍵是嚴格控制成本,所以這類企業希望通過使用IT保持低成本,通過外包等節約成本的方式提供成熟的能力。
B類組織的管理層期望利用信息提高決策能力,開發新產品和服務,以高收入抵消不斷增加的IT支出。
C類組織根據優先級制定IT投資計劃和長期能力的路線圖。在有效管理成本的同時,他們利用IT來根據路線圖實現計劃的新功能,以滿足市場不斷變化的需求。
D類組織希望IT高度靈活,以滿足快速變化的業務戰略和需求。這類企業傾向於提供創新的IT解決方案來獲得先發優勢,因此他們的IT投資側重於創造新的能力。
IT治理的決策範圍
壹旦組織明確了對IT的需求,下壹步就是解決IT治理的決策問題,也就是上面提到的IT治理的“是什麽”。IT治理的決策範圍壹般包括以下五個方面。
組織模式:組織采用集中、分散還是混合模式?
投資:組織將投資什麽?多少錢?
架構:組織關註穩定性還是靈活性?兩者到什麽程度?應用系統是外部購買還是內部開發?是建立全面的ERP系統還是多種系統?
標準:組織需要標準化什麽技術,應該采用什麽標準?
資源:IT組織將使用什麽類型的資源?這些資源的來源是什麽?
對於A類組織,首選的組織模式應該是集中治理,IT負責預算和決策。加拿大郵政公司采用這種方法。該公司堅持簡化的組織模式,由壹個集中的部門對企業行為進行優先排序,並通過單壹的it資源來完成。
在標準決策方面,A級組織尋求在整個組織內加強架構、技術和供應商的標準化,只允許在壹些合理的例外情況下出現偏差。壹家大型法國保險公司就是壹個例子。該公司已經在集團內部實現了it架構的標準化,因此可以優化其核心IT流程、集成系統以支持其非壽險業務、遷移數據以及配置新系統以支持其健康保險業務。
在資源決策方面,A類組織善於利用內外部資源的組合,通常與少數首選的服務提供商達成服務協議。當壹家全球性的化工公司認為不是自己的核心業務時,就會將整個IT運營外包出去,包括其ERP系統的全球實施和支持。
IT治理
公司治理主要關註利益相關者和管理層的權益,包括壹系列責任和規定,由最高管理層(董事會)和執行管理層實施,目的是提供戰略方向,確保目標能夠實現,風險得到妥善管理,企業的資源得到合理利用。
公司治理,推動和調整IT治理。同時,它可以提供關鍵的投入,並形成戰略規劃的重要組成部分,這被認為是公司治理的重要職能——它影響著企業的戰略競爭機會。
信息技術治理與公司治理的關系圖
IT治理的壹個關鍵問題是公司的IT投資是否與戰略目標壹致,從而構建必要的核心競爭力。由於企業目標變化太快,很難保證IT和業務目標始終壹致,因此需要多方面的協調,以確保IT治理繼續沿著正確的方向發展,這也是IT投資者真正關心的問題。對於IT治理,應該體現未來信息技術與未來企業組織的戰略融合。要盡可能保持開放性和長期性,保證制度的穩定性和連續性;同時,由於規劃跟不上變化,很難保證長期規劃能跟上企業環境的變化。IT治理中壹個相對有效的方法是在規劃信息時仔細分析企業戰略與IT支持之間的影響,合理預測環境變化可能給企業戰略帶來的偏差,留出適當的規劃空間,從業務戰略到信息戰略,做務實牽引,不追求大而全。
IT治理有助於構建靈活且適應性強的企業。IT治理可以影響信息和指令:企業可以感知市場上正在發生的事情,使用知識資產並從中學習,創新新產品、服務、渠道和流程;快速變化,將創新引入市場並衡量績效。IT治理要體現“以組織戰略目標為中心”的思想,通過IT資源的合理配置創造價值。公司治理側重於企業的整體規劃,而IT治理側重於企業信息資源的有效利用和管理。
企業目標在於願景和商業模式,IT目標在於商業模式的實現。
企業目標和IT目標之間的關系如下圖所示:
IT治理主要涉及兩個方面:IT應該為企業交付價值,IT風險應該降低。前者由IT與企業的戰略壹致性驅動,後者由對企業責任和義務的落實驅動。兩者都需要衡量,比如使用平衡計分卡。可以看出,IT治理的四個核心領域都是由涉眾價值驅動的,其中兩個是結果:價值交付和風險降低,另外兩個是驅動力:戰略壹致性和績效度量。
綜上所述,公司治理和IT治理都是市場(包括政府)的他律機制,都是如何“管理管理者”,目標是壹致的:實現企業的可持續經營,增加組織的長期盈利機會。無論環境是好是壞,最高管理層(董事會)都應該對實現目標負責,管理層需要能夠幫助其實現目標。因此,最高管理層(董事會)必須時刻監督管理層在決策和政策執行中的表現。
被譽為國企脫困、改革、發展創新模式的“斯達模式”,恰恰說明了公司治理與IT治理的重要性和互動關系。《黑紙》利用合資的契機,進行了產權制度改革,按照現代企業制度的要求,建立了適應市場競爭的公司治理機制,明晰了企業的產權,優化了生產要素的配置,改變了員工的觀念,為斯達大力進行信息化改造創造了有力的條件。反過來,信息化又促進了公司的現代化管理。
IT治理和IT管理
IT管理是公司信息和信息系統的運行,IT目標的確定以及為實現這壹目標所采取的行動;而IT治理是指最高管理層(董事會)利用IT來監督IT戰略中管理層的流程、結構和連接,以確保這種運作在正確的軌道上。這是壹個硬幣的兩面,誰也不能離開誰而存在。可見,IT管理是在既定的IT治理模式下,管理層為實現公司目標而采取的行動。
IT治理規定了整個企業IT運營的基本框架,IT管理就是在這個既定的框架下,引導企業朝著目標前進。壹個缺乏良好IT治理模式的公司,即使擁有“好”的IT管理體系(這其實是不可能的),也如同壹座地基不牢的建築;同樣,沒有公司IT管理體系的暢通,簡單的治理模式也只能是美好的藍圖,缺乏實際內容。就我國信息化建設現狀而言,無論是IT治理還是IT管理都是亟待解決的問題。
IT治理框架的三大支柱分析
壹旦IT領導理解了IT治理框架的三個支柱,他們將更好地理解為什麽IT治理如此重要,以及哪種方法能夠最好地幫助他們實現他們的治理目標。
IT治理是目前很多人都在談論的話題。事實上,壹些技術供應商和顧問已經將IT治理納入了最新的熱門銷售類別。然而,基於他們銷售的產品和服務的範圍,出現了各種各樣的IT治理定義,這在壹定程度上給市場帶來了混亂。
那麽,商業和IT領導人從哪裏可以得到公司治理這個最熱門概念的單壹而全面的定義呢?
基於ITGI、新興行業標準、客戶最佳實踐和思想領袖的工作,壹流分析師現在強調IT治理框架的三支柱模型。該框架強調確保信息技術支持業務目標、優化業務技術投資和合理管理信息技術相關風險和機遇的重要性。
在CIO和IT領導的眼中,這三個支柱模型和相應的IT治理成熟度模型正在迅速獲得動力,因為它們可以為組織提供壹條清晰的路徑,以擺脫支出、擴展、修補和重新支出的無盡循環。
有了IT治理的框架,IT投資帶來的價值才能被理解,技術投資與業務目標需求的銜接也有了明確的實現方法。在來自管理層和董事會越來越大的壓力下,IT組織不能僅僅依靠理論——他們需要有效的治理。
IT治理框架的三大支柱
對於任何想要抓住這種前瞻性IT方法帶來的好處的組織來說,這種形成的IT治理框架是適用的。這個框架由三個主要部分組成,體現在“規劃/建設/管理”三個生命周期中。通過連接這三個要素的持續反饋循環,IT改革是可能的。這三大支柱是:
企業架構計劃,包括:
企業架構建模和管理
戰略性IT計劃和路線圖
標準管理
投資組合合理化,包括:
應用系統和基礎設施的合理化
項目投資分析
並購業務的整合
服務融合,包括:
服務提供管理
商業關系管理
供應商和外包商的管理
IT財務管理IT
薩班斯-奧克斯利法案和其他法規遵從性問題
業務連續性計劃
壹旦IT領導者理解了這三個支柱,他們將會更好地理解為什麽IT治理如此重要,以及哪種方法能夠最好地幫助他們實現他們的治理目標。比如在項目投資管理和系統管理領域,壹般供應商只會致力於整個框架的壹部分。對IT治理問題的綜合解決方案的需求變得越來越明顯。
IT治理解決方案
Troux是唯壹能夠提供有效IT治理系統的企業。同時,它還可以提供壹個全面的策略管理系統,可以將業務與自動工作流和自動化聯系起來。為了解決當今首席信息官面臨的最具挑戰性的IT治理問題,Troux的解決方案提供了基礎,並跨越了IT治理框架的三個領域。
企業架構:使企業構建者能夠完全模仿滿足未來需求的架構,並提供創建和管理與架構相協調的標準和路線圖的能力。
投資合理化:為IT管理人員提供可見性和工具,以確保對應用程序、基礎架構、服務和項目的投資與業務和成本優化相協調。
服務管理:使IT組織能夠自動定義和管理業務服務,並確保關鍵業務、合規性和業務連續性目標的壹致性。
憑借上述解決方案,Troux帶來了幫助首席信息官和IT高管實現IT治理所需的深入專業知識、最佳實踐和成熟模型。
結論
正如IT治理壹直處於首席信息官議程的首位壹樣,經理們也發現最佳實踐和方法的標準並沒有被準確地定義——這種情況直到現在才改變。
Troux technology為首席信息官和IT經理提供了有效規劃、構建和管理IT運營所需的最佳實踐和方法。
互連
如何看待IT治理的作用
“對於首席信息官來說,信息技術治理意味著組織結構、決策過程和加強企業內部控制的信息基礎。”斯坦福Meta Group分析師瓦爾·斯裏巴爾(Val Sribar)說。
走向IT治理的最重要的壹步是“開發壹個可以自信地做出關鍵資產、財務和法規遵從性決策的信息庫。”Sribar補充道:“業務和技術架構的可見性對於企業管理和發展至關重要。”
幸運的是,IT經理可以獲得幫助來實現治理目標。“像Troux這樣的供應商已經出現,填補了治理流程和IT運營之間的空白。”斯裏巴爾說
IT治理的標準
目前,有四個國際IT治理標準:ITIL、COBIT、ISO/IEC17799和PRINCE2。
(1)ITIL
ITIL(信息技術基礎設施庫):信息技術基礎設施庫,壹套被廣泛認可的有效IT服務管理的實用指南。從1980開始,英國政府商務辦公室(GOC,前身為政府計算機與通信中心)逐漸提出並完善了壹套評估IT服務質量的方法,稱為ITIL。2001年,英國標準協會在國際IT服務管理論壇(itSMF)上正式發布了以ITIL為核心的英國國家標準BS15000。這已經成為IT服務管理領域的歷史性事件。
(2)COBIT
Cobit(信息和相關技術的控制目標):即信息系統和技術控制目標。美國信息系統審計與控制協會ISACA成立於1969,於1996推出了IT審計的知識體系COBIT。“it審計”已成為許多國家政府部門和企業全面評估和認可IT規劃和組織、采購和實施、服務提供和服務支持、監督和控制的行業標準。相應地,“註冊信息系統審計師”(CISA)日益成為世界各國在信息化進程中爭相發展的壹個新的職業和領域。作為IT治理的核心模型,COBIT包括34個信息技術過程控制,這些控制分為四個控制域:IT規劃和組織、系統獲取和實施、交付和支持以及信息系統性能監控。COBIT已經成為國際公認的IT管理和控制標準。
(3)英國標準7799
BS7799(ISO/IEC17799):國際信息安全管理標準體系。2000年2月,國際標準化組織ISO正式發布了信息安全國際標準ISO17799。該標準包括信息系統安全管理和安全認證兩部分,基於英國國家標準BS 7799。它是壹個詳細的安全標準,包括安全內容的所有標準,由十個獨立的部分組成,每個部分涵蓋不同的主題和領域。
英國標準協會(BSI)編制的信息安全管理體系標準BS 7799-Part 1(ISO 17799)和BS 7799-Part 2為各類機構和企業的信息安全管理提供了完整的管理框架。這套‘姐妹對’標準指導機構和企業建立完整的信息安全管理體系,從分析機構和企業面臨的安全風險的角度,動態、全面、有效、持續地改善企業的信息安全風險,強調信息安全管理的目的是保持機構和企業的連續性不被信息安全事件破壞。需要從機構或企業現有的資源和管理基礎上建立信息安全管理體系(ISMS),不斷提高信息安全管理水平,使機構或企業的信息安全以最小的成本達到所需的水平。保護信息安全,建立信息安全管理體系是機構或企業運營中的重要工作之壹,尤其是BS 7799-2: 2002,是目前最完整的參考。它以“計劃、實施、檢查、行動”的方式將管理體系規範引入機構或企業,以達到“持續改進”的目的。
PRINCE2
Prince 2(受控環境中的項目)是壹種支持項目管理某些特定方面的方法。PRINCE2描述了如何將項目劃分為可管理的階段,以便有效地控制資源的使用,並在整個項目周期中執行定期監督流程。PRINCE2的視野並不局限於具體項目的管理,還涵蓋了組織內部的項目管理。
在這裏,我們重點關註COBIT:
COBIT的全稱是“信息及相關技術的控制目標”,由IT治理協會於20世紀90年代初提出,至今已是第三版(2005)。COBIT現已成為國際公認的IT管控框架,在全球100多個國家的重要組織和企業中得到應用,指導這些組織有效利用信息資源,有效管理信息相關風險。
COBIT有六個組成部分:
-執行摘要
-管理指南
-框架
-控制目標
-實施工具集
-審計準則
COBIT類型是企業戰略目標和信息技術戰略目標之間的橋梁,實現了信息技術目標和企業戰略目標之間的互動。
該框架的意義在於:COBIT實現了企業目標和IT治理目標之間的橋梁功能。
首先,COBIT考慮企業自身的戰略規劃,對企業的經營環境和整體經營戰略進行分析和定位,將戰略規劃產生的目標、政策和行動計劃作為信息技術的關鍵環境,並由此確定IT標準。
它為企業戰略提供基於技術的解決方案,以及滿足業務戰略需求的技術和工具。在IT標準的指導下,利用控制目標模型,從計劃與組織、獲取與實施、交付與支持、監控等過程對信息資源進行控制和管理。在it管理的同時,引入審計準則,以確保IT資源管理的安全性、可靠性和有效性。
COBIT可以實現可追溯的性能測量。通過平衡記分卡,它可以在財務(企業資源管理)、客戶(客戶關系管理)、流程(內部網、工作流工具)和學習(知識管理)方面保持平衡,評估企業目標和IT績效的實現情況,並調整業務目標和IT戰略以進行持續的IT管理。
COBIT采用成熟度模型,可以定位自身企業的IT管理目前在行業中的位置以及未來努力的方向。通俗地說,就是給it管理“打分”。
COBIT還提供了最佳案例和關鍵成功因素(CSF)供企業和組織借鑒。
從內容上看,COBIT涵蓋了從分析設計到開發實施到運維的全過程。對於分析和設計,主要目標是IT和業務需求。根據業務目標,細化IT策略,確定要開放的IT系統,並進行相應的系統分析和設計。在分析和設計過程中,它比傳統的信息系統分析和設計要廣泛得多。它強調It策略應該符合業務策略,任何信息系統開發都應該與業務策略精確地校準。從經營戰略的高度分析和設計信息系統。提供這個階段主要是考察組織的需求,同時根據這些需求設計合理的資源組合,設定合理的服務水平和目標,提供滿足客戶需求的IT服務。在這個階段,IT的應用已經上升到了IT服務管理的階段。主要解決以下問題,提供哪些資源來滿足客戶的需求,這些資源之間的成本是多少,如何在服務成本和服務效益之間達到壹個適當的平衡。在支持層面,主要是如何滿足客戶提出的IT需求來支持服務需求。COBit的上層是對IT運營進行外部控制和內部審計,從而保證IT和業務的準確校準,同時實現IT應用的持續應用和改進。COBIT覆蓋了整個信息系統的全生命周期,視野最為開闊。
總而言之,COBIT的主要優勢如下:
COBIT是壹個非常有用的工具,也非常容易理解和實現。它可以幫助企業在管理、IT和審計之間架起壹座橋梁,並為相互之間的交流提供壹種共同的語言。幾乎每個組織都可以從COBit中受益,根據它們支持的IT流程和業務功能來決定合理的控制。當我們知道這些業務功能是什麽,以及它們在多大程度上影響企業時,我們就可以很好地對這些事件進行分類。所有信息系統審計、控制和安全專業人員都應考慮采用COBIT原則。
通過實施COBIT,增加了管理層對控制的感知和支持。COBIT幫助管理層了解如何控制影響和業務功能。COBIT提供的實施工具集包括優秀的案例資料(提供模板業務流程,以便優秀的案例可以快速移植),有助於向管理層表達IT管理理念。管理層根據最佳控制實踐做出正確決策的能力也得到了提高。
COBIT使IT管理變得簡單、量化,降低了管理復雜信息系統的難度。對於那些沒有廣泛IT知識的人來說,這是壹個識別信息技術的有價值的工具。還能讓信息系統審計人員擁有和IT專業人員壹樣的專業廣度,可以提出與IT工程相關的問題。
COBIT提供了國際通用的IT管理和問題解決方案,普遍適用於各種業務項目和審計,不僅包含了當前的情況,還提供了未來可能使用的指南。
COBIT有助於提高信息系統審計人員的影響力,由COBIT出具的信息系統審計報告更容易得到管理層的肯定。
COBIT框架可以幫助確定流程責任和改進IT治理。通過將該框架應用於職責分析,我們可以實現基於角色的IT管理,定義過程度量,並確保客戶的利益。
總之,COBIT模型實現了企業戰略與IT戰略的互動,形成了持續改進的良性循環機制,為企業提供了具有壹定參考價值的解決方案。因此,針對我國信息化存在的問題,借鑒COBIT的IT治理思想和框架,科學系統地管理信息及相關技術,逐步嘗試建立IT治理機制,促進我國信息技術的發展和應用,具有重要的現實意義。