IT治理
管理领域术语
IT治理是IBM最早将此理念引入中国。IT治理是公司治理在信息时代的重要发展,使得IT的应用能够完成组织赋予它的使命,确保实现组织的战略目标。IT治理是公司治理的一部分,对于公司治理,1999年出版的《公司治理的基本原则》一书所下的定义为:为确定组织目标和确保目标实现的绩效监控所提供的治理结构。
定义
IT治理的简单定义就是使参与信息化过程的各方利益最大化的制度措施。
关于IT治理,中外学者给出了很多的定义,美国IT治理协会给IT治理的定义是:“IT治理是一种引导和控制企业各种关系和流程的结构,这种结构安排,旨在通过平衡信息技术及其流程中的风险和收益,增加价值,以实现企业目标。” 中国有一种观点认为,IT治理是描述企业或政府是否采用有效的机制,使得IT的应用能够完成组织赋予它的使命,同时平衡信息化过程中的风险,确保实现组织的战略目标的过程。它的使命是:保持IT与业务目标一致,推动业务发展,促使收益最大化,合理利用IT资源,适当管理与IT相关的风险。
美国麻省理工学院的学者彼得·维尔和珍妮·罗斯在其所撰写的《IT治理》一书中指出,IT治理就是为鼓励IT应用的期望行为,而明确的决策权归属和责任担当框架。他们认为是行为而不是战略创造价值,任何战略的实施都要落实到具体的行为上。
从IT中获得最大的价值,取决于在IT应用上产生期望的行为。期望行为是组织信念和文化的具体体现,它们的确定和颁布不仅基于战略,而且基于公司的价值纲要、使命纲要、业务规则、约定的行为习惯以及结构等。在每一家公司里,期望行为都各不相同。
综合这些定义,可以得出,IT治理就是要明确有关IT决策权的归属机制和有关IT责任的承担机制,以鼓励IT应用的期望行为的产生,以联接战略目标、业务目标和IT目标,从而使企业从IT中获得最大的价值。
IT治理框架
当前,我国信息化建设中的最大问题,不是技术问题,也不是资金问题,而是缺乏科学的IT管理观念;IT领导者最大的问题不是缺少经验和能力,而是缺乏管理素质和管理方法。对于IT治理来说,国际上已有许多成熟的方法和工具,形成了最佳业务实践,这些最佳业务实践是全球智慧的结晶,所以,对于我们来说,不是再去从头创新,而是需要根据国情和组织的实际情况,对最佳实践加以理解、掌握并有效运用,从而为组织战略目标服务。
图1为山东省软件评测中心总结的IT治理的总体框架,描述了IT治理的出发点、IT治理的关键要素、IT治理的对象、IT治理的最佳实践。
IT治理的目的是使IT与组织业务有效融合,其出发点首先是组织的发展战略,以组织发展战略为起点,遵循组织的风险与内控体系,制定相应的IT建设运行的管理机制。IT治理的关键要素涵盖IT组织、IT战略、IT架构、IT基础设施、业务需求、IT投资、信息安全等,主要确定这些要素或活动中“做什么决策?谁来决策?怎么来决策?如何监督和评价决策?”。围绕着IT建设全生命周期过程,构建持续的信息化建设长效机制,是IT治理的目标一致,因此,整个IT建设生命周期都是IT治理的对象,包括IT组织与规划、IT建设与交付、IT运行与维护、IT评估与优化。IT治理的国际最佳实践就是基于各个对象治理的成熟的方法论和工具,包括CobiT、ITIL、ISO27001Prince2等。
按照IT治理的对象,我们将IT治理的服务划分为五类,分别是:IT规划治理、IT建设治理、IT运维治理、IT绩效治理、IT风险治理。
三个支柱
一旦IT领导理解了IT治理框架的三个支柱,他们对于IT治理为什么如此重要,以及哪一种方法可以最好地帮助他们达成治理目标,就会有更好的理解。IT治理是很多人都在谈论的一个话题。确实,一些技术供应商和咨询顾问已经将IT治理纳入一个最新的热门的销售范畴。然而,以他们所销售的产品和服务的范围为基础,已经出现了IT治理的种种定义,这在一定程度上给市场带来了混乱。
基于ITGI、正在形成的产业标准、客户最佳实践及思想领导者的工作,分析师都在强调IT治理框架的三个支柱的模式。这一框架强调确保IT在支持业务目标、优化商业技术投资及合理管理IT相关风险和机会中的重要性。
CIO和IT领导看来,由于可以为组织走出烦恼多时的没完没了的支出、扩展、补丁、再支出的循环提供一个清楚的路径,这三个支柱的模式和与之相应的IT治理成熟度模型正在迅速地获得动力。
有了IT治理这一框架,IT投资所带来的价值可以获得理解,实现技术投资和业务目标需求之间的联结也有了明确的方法。在来自管理层和董事会的压力越来越大的情况下,IT组织不能仅依靠理论—他们需要能发挥作用的治理。对于任何想抓住这种前瞻性的IT方法所带来的利益的组织而言,这一成形的IT治理框架都是适用的。这个框架包括三个主要的组成部分,具体表现为“计划/构造/管理”三个生命周期,通过一个不断进行的连结这三个要素的反馈环,使得IT变革成为可能。这三个支柱是:企业架构计划 、投资组合合理化、服务融合。
一旦IT领导理解了这三个支柱,他们对于IT治理为什么如此重要,以及哪一种方法可以最好地帮助他们达成治理目标,就会有更好的理解。例如,在项目投资管理和系统管理领域,一般的供应商只会致力于整个框架的一部分。对IT治理问题需要有一个全面的解决方案,这一需求已经越来越表现出来了。
研究分析
治理和管理是两个不同的概念,它们之间的区别就在于,治理是决定由谁来进行决策,管理则是制定和执行这些决策。 简单地讲,IT治理关注两个方面的问题,即IT治理的“什么”和“谁”。IT治理的“什么”是指IT治理应该作出哪些决策,IT治理的“谁”则是指这些决策分别应该由谁来作出。
那么,IT治理到底应该作出哪些决策呢?要找到这个问题的答案,必须先搞清楚一个问题,那就是组织到底需要IT发挥什么样的作用。不要想当然地以为这是一个可以简单回答的问题。实际上,不同的组织对于IT的需要是不一样的。组织到底需要IT做什么,在很大程度上取决于它处于一个什么样的商业环境。
IT需求
走向IT治理的第一步就是,要对组织处于什么样的商业环境进行正确的分析。
埃森哲公司的IT治理模式通过两个指标来对组织的商业环境进行分析:变化的速度和竞争的基础。
变化的速度。某些企业处在一个变化较快的行业,如半导体企业和电信企业。在这样的行业,消费者的需求和偏好经常改变,产业政策也时常推陈出新,时不时出现的新技术会一下子改变整个产业价值链;而另外一些行业的发展状态则相对稳定,不会有那么快的变化,如航空业。在这样的行业,消费者的需求、竞争格局、政府管制、技术及供应商等方面的变化都是缓慢发生的。
竞争的基础。从竞争的基础来看,企业可以分为两类。一类企业以运营效率为基础进行竞争。对于这类组织来说,重点在于降低成本,以及优化商业模式以应对竞争;另一类企业以产品和服务的差异性为竞争的基础。这类企业力求先于竞争对手提供新的商业能力,或者是开创新的商业模式,以此获得竞争优势。
决策范围
IT治理流程模式
一旦组织明确了自己对于IT的需求,那下一步就要解决IT治理作哪些决策的问题,也就是前文所说的IT治理的“什么”。IT治理的决策范围一般包括以下五个方面。 组织模式:组织是采取集权、分权还是混合的模式?
投资:组织将投资于什么?投多少?
架构:组织是着重于稳定性还是灵活性?这两者各到什么程度?应用系统是向外购买还是内部开发?是建立一个综合性的ERP系统还是多种系统?
标准:组织需要将什么技术标准化,采用什么标准?
资源:IT组织将利用什么类型的资源?这些资源的来源是什么?
对于A类组织,其首选的组织模式应该是集权式治理,IT对于预算和决策负有责任。加拿大邮政公司就采用这种方法,该公司坚持一种简单化的组织模式,有一个集权部门来对公司行为进行优先排序,并通过单一的IT资源来完成。
在标准的决策方面,A类组织谋求在全组织范围内加强架构、技术和供应商的标准化,只是在一些被证明是正当的例外的情况下才允许有所背离。一家大型的法国保险公司就是这方面的一个例子。该公司在集团范围内对IT架构实行了标准化,因此它可以优化其核心的IT流程,整合系统支持其非寿险业务,移植数据,配置新的系统以支持其健康险业务。
资源决策方面,A类组织善于利用内外部资源的组合,通常会与少量的几家优选的服务提供商达成服务协议。当某个全球性的化学品公司认为IT并非其核心业务时其,便将整个IT运作外包出去,包括其ERP系统全球范围内的实施和支持。
公司治理
公司治理主要关注利益相关者权益和管理,包括一系列责任和条例,由最高管理层(董事会)和执行管理层实施,目的是提供战略方向,保证目标能够实现,风险适当管理,企业的资源合理使用。公司治理,驱动和调整IT治理。同时,IT能够提供关键的输入,形成战略计划的一个重要组成部分,这被认为是公司治理的一个重要功能——IT影响企业的战略竞争机遇。
IT治理的一个关键性问题是:公司的IT投资是否与战略目标相一致,从而构筑必要的核心竞争力。因为企业目标变化太快,很难保证IT与商业目标始终保持一致,因此需要多方面的协调,保证IT治理继续沿着正确的方向走,这也是IT投资者真正关心的问题。对IT治理而言,要能体现未来信息技术与未来企业组织的战略集成。既要尽可能地保持开放性和长远性,以确保系统的稳定性和延续性;同时又因为规划赶不上变化,再长远的规划也难以保证能跟上企业环境的变化。IT 治理中一个相对有效的做法是,在信息化规划时,认真分析企业的战略与IT支撑之间的影响度,并合理预测环境变化可能给企业战略带来的偏移,在规划时留有适当的余地,从业务战略到信息战略,做务实的牵引,不要追求大而全。
IT治理有助于建立一个灵活的、具有适应性的企业。IT治理能够影响信息和指示:企业能够感知市场正在发生的事,使用知识资产并从中学习,创新新产品、服务、渠道、过程;迅速变化,将革新带入市场,衡量业绩。IT治理应该体现“以组织战略目标为中心”的思想,通过合理配置IT资源创造价值。企业治理侧重于企业整体规划,IT治理侧重于企业中信息资源的有效利用和管理。
企业目标在于远景和商业模式,IT目标在于商业模式的实施。
企业目标与IT目标之间的关系如图2所示:
IT治理主要涉及两个方面:IT要为企业交付价值,IT风险要降低。前者受IT与企业的战略一致性驱动,后者由责任义务落实到企业驱动。这两者都需要衡量,如使用平衡计分卡。这就可以看出IT治理的四个核心领域,都是由利益相关者价值驱动的,其中两个是成果:价值交付和风险降低,另外两个是驱动力:战略一致性和业绩衡量。
概括地说,公司治理和IT治理都是市场(含政府)他律的机制,是如何“管好管理者”的机制,其目标也是一致的:达到业务永续运营,并增加组织的长期获利机会。无论大环境是好是坏,最高管理层(董事会)均应以达成其目标为责任,而且管理阶层需有能力协助其达成目标,因此最高管理层(董事会)必须常常监督管理部门对决策判断与政策实施的绩效。 “斯达模式”这一被誉为国企摆脱困境、改革发展的创新模式,正说明了公司治理和IT治理的重要性和互动关系。“黑纸”利用合资契机,对产权体制进行了改革,并按照现代企业制度要求,建立与市场竞争相适应的公司治理机制,明晰了企业产权,优化了生产要素配置,转变了职工观念,为斯达大力进行信息化改造创造了有力条件。反过来,信息化也促进了公司的现代化管理
解决方案
Troux是惟一能提供有效的IT治理系统的企业,同时,它还能提供全面的可以连结业务和自动工作流,及自动化的策略管理系统。为了解决CIO们今天面临的最具挑战性的IT治理问题,Troux的解决方案提供了基础,并且横跨IT治理框架的三个领域。企业架构:使得企业建造师可以完全模仿符合未来需要的架构,并且提供创造和管理与架构相协调的标准和路线图的能力。投资合理化:为IT执行人员提供确保应用、基础设施、服务和项目投资与业务和成本优化相协调的可视度和工具。
服务管理:使IT组织可以实现对业务服务的自动化定义和管理,并确保关键业务、遵从和业务连续性目标的一致。
有了以上各种解决办法,Troux带来了帮助CIO和IT执行人员实现IT治理所需要的深入的专业知识、最佳实践和成熟的模式。
正如IT治理已经位居CIO日程表的前列,经理人员们也已经发现,最佳实践和方法的标准还没有准确的定义—到这一状况才有所改变。
Troux的技术为CIO和IT经理有效计划、构建和管理他们的IT运作,提供了所需要的最佳实践和方法。
对比
IT管理是公司的信息及信息系统的运营,确定IT目标以及实现此目标所采取的行动;而IT治理是指最高管理层(董事会)利用它来监督管理层在IT战略上的过程、结构和联系,以确保这种运营处于正确的轨道之上。这是一个硬币的两面,谁也不能脱离谁而存在。可见,IT管理就是在既定的IT治理模式下,管理层为实现公司的目标而采取的行动。IT治理规定了整个企业IT运作的基本框架,IT管理则是在这个既定的框架下驾驭企业奔向目标。缺乏良好IT治理模式的公司,即使有“很好”的IT管理体系(而这实际上是不可能的),就像一座地基不牢固的大厦;同样,没有公司IT管理体系的畅通,单纯的治理模式也只能是一个美好的蓝图,而缺乏实际的内容。就中国信息化建设现状而言,无论是IT治理,还是IT管理都是所迫切需要解决的。
委员会
ITGov中国IT治理研究中心认为:IT治理委员会CIO制度的缺失,是当前我国信息化建设制度安排上的“致命性”缺陷。
治理层面对IT的关注,需要从组织保障上设立IT治理委员会,实现最高管理层(董事会)对IT的监管。ING、梅隆金融等发达国家先进企业都是在董事会设立的IT治理委员会。
当董事会和高管层需要做IT决策时,该委员会能够提供支持,从而使投资巨大的IT项目处于可控状态,并使企业获得更大的竞争优势。尤其对于转型模式下的中国证券企业,董事会的监管至关重要。
从另外一个角度来看,当前的信息化过程已经演变成为“流程的重组和利益的再分配”,势必触及到一些部门和个人的利益,势必遭到他们的反对(并且是种种冠冕堂皇的理由的反对),这种情况下的指导和协调工作,已经远远超出信息化部门领导的职责和权力范围,必须在治理层面建立IT治理的体制和机制,才能有效地推进信息化工作,规避IT风险,实现业务战略目标。
在设立IT治理委员会时,我们要考虑三个问题
构成
IT治理委员会由组织的最高管理层(董事会)及管理执行层包括IT管理和业务管理有关部门负责人、管理技术人员组成,定期召开会议,就企业战略与IT战略的驱动与设置等议题进行讨论并做出决策,为组织IT管理提供导向与支持,把IT治理的相关规范融入到组织的内部控制中
职责
根据ITGov中国IT治理研究中心的研究成果,IT治理委员会的职责包括但不限于:
n 遵守并贯彻执行国家有关信息化治理(管理)的法律、法规和技术标准,落实政府监管部门相关监管要求,负责开展信息化相关的合规工作。
n 审查批准信息化战略,确保其与业务战略和重大策略相一致。评估信息技术及其风险管理工作的总体效果和效率。
n 分析信息技术风险成因,掌握主要的信息技术风险,确定可接受的风险级别,确保相关风险能够合理管理。
n 规范职业道德行为和廉洁标准,增强组织文化建设
n 统一全体人员对信息化治理的思想、认识和意识养成。
n 设立一个由来自高级管理层、信息化部门和主要业务部门的代表组成的专门信息技术管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息化战略规划的执行、信息化预算和实际支出、信息化管理的整体状况。
n 在建立良好的公司治理的基础上进行信息化治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息化治理组织结构。加强信息化专业队伍的建设,建立人才激励机制。
n 确保内部审计部门进行独立有效的信息技术风险管理审计,对审计报告进行确认并落实整改。
n 每年审阅并向政府监管部门报送信息化治理的年度报告
n 确保信息化治理工作所需资金。
n 确保所有员工充分理解和遵守经其批准的信息化治理制度和流程,并安排相关培训。
n 确保本法人机构涉及客户信息、账务信息以及产品信息等核心信息资产的安全。
n 及时向政府监管部门报告本机构发生的重大信息技术事故或突发事件,按相关预案快速响应
n 配合政府监管部门做好信息科技风险监督检查工作,并按照监管意见进行整改。
履行信息化治理其他相关工作。
模式机制
比较流行的词汇,如IT治理结构、IT治理模型、 IT治理标准等,其概念定义、内涵和外延均比较混乱,这不利于IT治理的传播、推动与发展。
IT治理=IT治理思想+IT治理模式+IT治理体制+IT治理机制(ITGov中国IT治理研究中心,2008)
IT治理思想
IT治理思想即科学的信息化发展观,尽管在广义的IT治理模式中涉及IT治理思想,但考虑到IT治理思想的重要性,我们还是把它独立出来加以强调;
IT治理模式
IT治理模式解决有关管理思想、管理方式方法层面的问题,是具有方向性、框架性的高度概括,其涉及的内容,
第一是组织在IT治理工作中所遵循的治理思想或坚守的治理理念(治理观念)是什么;
第二是治理的结构问题,其中包括根据组织发展目标确定的IT治理定位(采用什么样的治理方式和治理途径)、治理运行的要求、治理关系的原则等三个方面;
第三是治理的运行机制,即涉及IT治理流程及制度体系、组织的价值观、IT文化及沟通机制、IT绩效管理与激励约束机制等。
同时,为保障治理模式行之有效,需要建立IT治理自身的绩效评估、持续改进提高的良性循环机制。ITGov中国IT治理研究中心通常只把治理思想理念和治理结构及方式纳入治理模式的研究范畴,而把治理流程层面的内容纳入治理运行机制的范畴;
IT治理体制
IT治理体制表达的是治理的组织架构。治理体制是界定组织中各相关主体在各自方面的治理范围、责权利及其相互关系的准则,它的核心是治理机构(如IT治理委员会等)的设置和权限的划分。各治理机构职权的分配以及各机构间的相互协调,它的强弱直接影响到治理的效率和效能,对IT治理效率起着决定性的作用。一个组织选择不同的治理体制,将决定其设置不同的组织机构和运行规则,相应地将会有不同的运行效果。确定现代化的治理体制是建立高效管理组织的基本条件。选择符合组织发展需要的治理体制,必须是在对组织所处行业领域、行业地位、行业特点、竞争状况、资本结构、产权结构、组织结构、人员结构、发展战略或阶段目标、政策环境和内外部资源条件等方面进行详细调查分析,并系统归纳组织的优势与劣势和现有管理体制存在问题的基础上进行。组织的治理体制,往往根据其所从事的事业来划分为集权治理体制、分权治理体制和联邦民主式治理体制。
IT治理机制
治理机制的涵义,是指治理体系结构及其运行机理,治理机制又细分为运行机制、动力机制、约束机制。运行机制是指组织IT相关基本职能的活动方式和运行关系;动力机制是指推动信息化可持续发展的内生动力产生与运作的机理;约束机制是指对IT治理行为进行约束与纠正的功能与机理。通过细分的运行机制、动力机制和约束机制,就比较容易理解什么是治理机制了。ITGov中国IT治理研究中心根据当前的国情和信息化发展所处的阶段,强调把建立完善信息化全生命周期风险管理控制体系作为构建落地的运行机制的主要内容,把信息化绩效评估作为信息化可持续发展的内在动力机制,把信息化风险管控体系和绩效问责共同作为约束机制
总之,在治理思想治理模式、治理体制、治理机制四个概念中,治理思想回答的是方向性问题,治理模式侧重于具有代表性、稳定性治理方式、治理路径,治理体制倾向于解决各相关主体的治理范围、责权利及其相互关系的准则等问题;治理机制所要解决的是运行机理、动力和约束问题。IT治理思想决定IT治理模式,IT治理模式决定IT治理体制和IT治理机制,可以说有什么样的IT治理思想,就会有什么样的治理模式,有什么样的IT治理模式,就会有什么样的IT治理体制和机制。
依据上述思路,ITGov中国IT治理研究中心自主创新了符合中国国情的“中国企业IT治理框架”,该框架有七要素组成:科学的信息化发展观、IT商业价值、IT治理方法、IT治理绩效、IT治理决策模式IT风险管理控制体系、核心IT能力。(ITGov中国IT治理研究中心,2008)
IT建设运行的管理机制。IT治理的关键要素涵盖IT组织、IT战略、IT架构、IT基础设施、业务需求、IT投资、信息安全等,主要确定这些要素或活动中“做什么决策?谁来决策?怎么来决策?如何监督和评价决策?”。围绕着IT建设全生命周期过程,构建持续的信息化建设长效机制,是IT治理的目标一致,因此,整个IT建设生命周期都是IT治理的对象,包括IT组织与规划、IT建设与交付、IT运行与维护、IT评估与优化。IT治理的国际最佳实践就是基于各个对象治理的成熟的方法论和工具,包括CobiT、ITIL、ISO27001Prince2等。
参考资料
最新修订时间:2024-01-04 11:52
目录
概述
定义
参考资料