專題文章：IT治理，知多少？（AMT 劉宇 編譯）

申請免費試用、咨詢電話：400-8352-114

引言：在方興未艾的公司治理審查浪潮中，IT治理占據(jù)了非常高的顯著性。IT經(jīng)理在承擔全公司范圍的公司治理責任的同時，必須在企業(yè)的文化和流程中做出反映。IT和其他業(yè)務經(jīng)理應該關注IT和企業(yè)的責任，同時使用現(xiàn)有的模型來設計適當?shù)腎T治理框架。

最新觀點認為，IT管理中必須包含治理的概念。在方興未艾的公司治理審查浪潮中，IT治理占據(jù)了非常高的顯著性。IT經(jīng)理在承擔全公司范圍的公司治理責任的同時，必須在企業(yè)的文化和流程中做出反映。IT和其他業(yè)務經(jīng)理應該關注IT和企業(yè)的責任，同時使用現(xiàn)有的模型來設計適當?shù)腎T治理框架。

業(yè)務戰(zhàn)略意圖

（1）業(yè)務和IT治理曾經(jīng)被分開考慮，但現(xiàn)在已經(jīng)密切交纏。公司治理審查的日益關注直接或者間接的影響了IT和IT治理所采用的方向。IT經(jīng)理因此需要理解治理，理解影響各自企業(yè)的特定問題，以及IT實際上能夠提供什么。IT經(jīng)理應該與業(yè)務同事、公司治理實體、以及關鍵經(jīng)理和管理服務提供商們一起工作，才能最好地建立IT治理框架的方向。

（2）成功的IT治理模型中牢固的嵌入了企業(yè)文化、流程和價值。雖然它們是指導方針，現(xiàn)實經(jīng)濟形態(tài)中卻不存在“均碼”式的框架。IT經(jīng)理應該評估很多領域，包括業(yè)務調(diào)整、財政控制、開發(fā)方法和標準、管理可說明性、組織結構、外包選擇、采購標準和質量目標等要素，作為IT治理方法的元素。

（3）適當?shù)闹卫硇枰烧f明性和可測量性。另外，流程和程序必須足夠詳細和文檔化，以顯示IT有持續(xù)的方法解決公司內(nèi)部的問題。然而，這些路程和程序應該敏捷和可變，以適應法律以及技術等方面的變化。最后，治理是確保企業(yè)提供從IT投資中得到最大價值的關鍵。IT經(jīng)理應該將個人以及部門可說明性融合到IT治理框架中。

公司治理是全球公司和股東面對的關鍵問題。在美國，公司治理導向被反映在最新的立法中。立法并沒有討論技術問題本身，任何公司指令將對IT有強烈的影響。另外，在當今這樣技術作為業(yè)務關鍵因素的時代，排除了適當IT治理的公司治理是不完整的。

最近對公司治理問題的非常強烈的關注，在很大程度上，是由于企業(yè)倫理的問題。然而，IT治理的驅動卻有不同的動機。對IT而言，問題開始于業(yè)務調(diào)整，但是也會擴展到適當業(yè)務操作的問題。

IT治理是一種用來指導和控制企業(yè)的結構和流程，目標是通過增加價值，同時平衡IT機器流程的風險和回報，取得公司的目標。

業(yè)務和IT治理相關性

IT治理的關鍵是：不能將IT治理作為公司治理的事后想法，或者看做不是那么迫切；IT經(jīng)理以及CxO和業(yè)務線經(jīng)理應該在各自前線共同工作，以確保IT是公司治理完整計劃的一部分。這可以通過CIO或者其他IT經(jīng)理參與公司治理委員會、業(yè)務單元參與IT治理行為來實現(xiàn)。

在公司治理關系中，IT部門和個人與其他部門及個人互動。個人與承包商、合作伙伴和客戶互動。非IT個人和部門也進行同樣的活動。企業(yè)不是孤島——治理需要擴展到供應鏈上，同時擴展到客戶處。

圖1：公司和IT治理關系

來源：Robert Frances Group

成功的IT治理中，IT人員在技術方面努力教育其他人員是不夠的。IT外的人員需要承擔責任，更頻繁和清晰地與IT人員溝通。調(diào)整是雙向的過程。敏銳的CEO和董事會成員可以理解技術是業(yè)務成功的關鍵，因此也是適當公司治理的關鍵。因此，公司治理委員會應該解決技術治理問題，以提供完整的治理監(jiān)察機制。

另外，風險管理是治理的驅動，同時也是公司治理的關鍵元素。適當?shù)闹卫頊p少了可能帶來潛在成本的風險暴、提供了信息化決策的信息庫、也提供了全面的卻可變的規(guī)劃框架。

IT帶來的業(yè)務調(diào)整是成功IT和業(yè)務治理的必需組成部分。

IT治理主要用來描述那些被賦予了實體治理任務的個人如何在其對實體的管理、監(jiān)督、控制和指導中考慮IT。IT如果在實體中應用將對實體能否實現(xiàn)其愿景、使命和戰(zhàn)略目標有非常重大的影響。

成功的IT治理模型

正如前文所述，成功的IT治理需要擴展到包含非IT管理部分。這些包含鼓勵了從業(yè)務角度對主要IT決策詳細審查。這樣的責任也使IT外部的經(jīng)理考慮與業(yè)務和IT目標有關的機會和挑戰(zhàn)。

另外一個關鍵需求是基于充分的信息，進行快速決策的能力。指定決策的方法應該在公司內(nèi)被深入理解，高層經(jīng)理應該分配權力，使關鍵決策點擁有充分的業(yè)務信息。然而，治理需要檢查信息的有效性，討論替代方案。很多組織在提高治理中的挑戰(zhàn)是避免由于總體謹慎的決策制定方法導致業(yè)務的減慢。IT經(jīng)理應該尋找決策制定程序中速度和精確度的平衡。

在設定優(yōu)先級、匹配業(yè)務目標的過程中，IT經(jīng)理人可以使用的一些方法。比如，平衡計分卡方法可以用來進行績效衡量，幫助IT高層經(jīng)理調(diào)整企業(yè)目標。

另外，對成功IT治理模型的回顧得出了最佳實踐的關鍵列表。這其中包括以下部分（當然不限于這些）：

1. 架構完整且可變
2. 集中的IT人員 VS 分散在業(yè)務線上的IT人員
3. 集中管理的基礎架構
4. 清晰的組織報告關系
5. 基于五年生命期成本估計項目成本，而不僅考慮開發(fā)成本
6. 異常人員保持和培訓
7. 調(diào)整來實現(xiàn)所需業(yè)務應用遞交的運作結構
8. 將項目作為資產(chǎn)管理
9. 持續(xù)實施的標準
10. 項目應用后，收益取得的確認

有一些公共可用的框架。其中一個是Control Objectives for Information and related Technology （CobiT）。CobiT實際上是文檔化的IT治理最佳實踐的集合，可以幫助審計者、管理層、和用戶處理業(yè)務風險、控制需要和技術問題之間的鴻溝。CobiT由IT Governance Institute開發(fā)，該機構是Information Systems Audit and Control Association （ISACA）的一部分， Cobit非常具有業(yè)務導向性。業(yè)務流程所有者和經(jīng)理、以及審計者和用戶，可以成功地應用Cobit這樣的指導方針。Cobit的擴展指導方針也有治理的安全考慮方面的價值。然而，框架需要修改和調(diào)整才能夠用于全面IT治理中的所有組件。Cobit可以免費從相關網(wǎng)站下載。

圖2：Control Objectives for Information and related Technology （CobiT）

來源：ISACA

IT治理包括IT操作的五類行為。

S——戰(zhàn)略

IT基于業(yè)務的調(diào)整包括很多行為，比如IT項目和規(guī)劃的測度與衡量標準。

P——政策、處理和程序

IT治理依賴于清晰表述的業(yè)務政策，這些業(yè)務政策可以翻譯為可靠的程序，程序又應用適當?shù)臋z查和平衡。IT流程應該映射到業(yè)務歷程中。

O——操作和組織

操作方面包括建立和保持IT應用和服務有效率和高效果實現(xiàn)的基礎架構。組織部分包括IT內(nèi)部人員的角色和責任，以及他們?nèi)绾斡成涞狡髽I(yè)的其他部分。

R——管制

很多垂直行業(yè)部門受到高度監(jiān)管，哪怕對有些企業(yè)的數(shù)據(jù)保護和記錄保持法律沒有明顯的司法管制。

T——技術

技術包括業(yè)務應用、工具和提供商的評估、選擇、購買和管理。

圖3：IT治理的S.P.O.R.T框架

來源：Robert Frances Group

詳細、文檔化的處理和程序是IT成為解決公司問題的持續(xù)方法的前提。例如，IT不能夠保存一個部門三年的電子郵件，而將另一個部門超過六個月的郵件都刪除。同樣的，如果非電子通訊手段可以保存六年，電子通訊手段也應該做出同樣標準的映射。

數(shù)據(jù)遵循相同的路徑。忽略法律不是可以接收的借口。測試必須更嚴格以保證潛在毀壞數(shù)據(jù)精確性和完整性的bug不會被引入編碼，無論是偶然的還是有意的。隨著Web服務和外包的繁衍，這一點越來越復雜。IT經(jīng)理應該需要供應商確認軟件編碼已經(jīng)通過了內(nèi)部質量測試，并且是穩(wěn)定的。供應商也應該需要確認軟件不包含任何已知的錯誤，這些錯誤可能導致應用不可使用或者不能實現(xiàn)功能。IT經(jīng)理人也應該堅持供應商同意對軟件編碼錯誤負責任。這些編碼錯誤可能直接造成停工或者中斷業(yè)務的失敗。IT經(jīng)理應該回顧測試方案和程序，確認使用的任何IT治理模型都包括了嚴格的測試行為。

適當?shù)腎T治理也取決于今天業(yè)務對IT的觀點。正如圖4所顯示，社區(qū)服務提供商和戰(zhàn)略合作伙伴的各自方法之間有顯著的差異。然而，這不是一個“二選一”的比較。所有的IT部門都停留在兩個極端之間的連續(xù)區(qū)間的某個點。IT治理問題比如組織結構、報告機制、和價值等式都在這個區(qū)間上做出映射。IT經(jīng)理應該決定其部門在總體企業(yè)中的關系，然后調(diào)整治理行為，以不僅反映今天的情況，而且將IT推向希望的方向。

圖4：“IT－業(yè)務”關系

經(jīng)驗顯示，在某些行業(yè)，業(yè)務線（LOB）經(jīng)理人圍繞IT治理流程來驅動他們自身的項目。這樣的LOB經(jīng)理人也常常推動IT經(jīng)理增加一些未同意的、缺乏資金的項目到未來隊列中，要求增加屬性，或者加速以通過項目的實施。IT經(jīng)理應該使用治理過程來保持LOB經(jīng)理在適當范圍以內(nèi)，不會對抗性地支持缺乏授權的變動或者項目，以致造成失敗。做到這一點的一個方法是IT審計。

IT治理模型案例

一個大的技術公司，考慮了其IT和業(yè)務調(diào)整的先進性，該公司可以作為IT治理的工作模型。這家公司模型的關鍵屬性包括如下要點：

1. 會計處理——最小的IT配置和會計處理的全球一致性
2. 應用開發(fā)——運行中項目管理的生命周期方法
3. 財政控制——IT花費的增長與公司的增長成比例
4. 對持續(xù)改善的關注
5. 初始和進行中測量——衡量所有IT行為的價值和持續(xù)改善
6. LOB決策制定者為IT項目提供資金——LOB經(jīng)理進行權衡決策，而不是IT人員
7. 管理可說明性——每季度操作性回顧上季度及下季度目標、關鍵項目報告的優(yōu)先狀態(tài)、命令參與、供應商管理和重要測量標準。
8. 無“巨型”項目——客戶滿意度循環(huán)的階段化方法
9. 績效測量標準和決定收益取得的產(chǎn)量分析
10. 基礎架構牢固，管理良好，以加速應用實踐。
11. 技術標準——關注減少市場時間、減少成本、簡化信息整合
12. 按照季度跟蹤客戶滿意

另一個有趣的例子是位于舊金山的加州大學The University of California。加州大學的“UCSF IT Governance Structure”在網(wǎng)上發(fā)布。UCSF機構顯示不同的委員會的角色描述、相關文檔連接、成員信息。

這些公共可用的架構能夠成為特定企業(yè)IT治理模型的起始點。任何IT治理結構應該定時調(diào)整，以包括業(yè)務和技術的變化。

結論

IT治理是復雜但卻關鍵性的問題，需要完全投入以及與業(yè)務的整合。公司治理架構和他們的行為必須包括，但是不能從IT中分離。IT經(jīng)理可能提升他們的合作概念，董事會和最高層公司管理應該將IT治理作為公司治理的關鍵組成部分。IT經(jīng)理應該基于自身的特定企業(yè)需求，使用公共可用的模型作為設計IT治理框架、實踐、程序和修改的指導。IT經(jīng)理應該對IT和企業(yè)責任保持情形，并在治理行為的指導中體現(xiàn)這些責任。

請參見Amteam.org文章：

《IT治理：中國信息化的必由之道》

《標準IT治理架構對企業(yè)戰(zhàn)略實現(xiàn)有何影響？（by AMT 劉宇編譯）》

作者聯(lián)系方式：arthur.liu@amteam.org