基于IT治理的企业信息化建设之道

吴梅磊 于菲菲

（1.山东省计算中心（国家超级计算济南中心），山东 济南 250100；2.山东省农业厅，山东 济南 250100）

1 企业信息化建设过程中存在的问题

企业身处信息时代， 信息已经覆盖了企业的方方面面，信息化已经不是做不做的问题，而是怎么做、如何做好的问题。 但是纵观国内企业的信息化建设，总体来看，信息化建设效果差强人意，绝大多数项目难以达到预期目标，信息孤岛现象严重，信息安全意识不强，运行故障频繁出现。企业虽然在信息化上投入了不少， 但是并未显现明显的效果， 如何有效实现信息化的价值、规避信息化风险，成为每个企业信息化主管甚至企业决策层思考的问题。

2 良好的IT 治理是企业信息化建设成功的保障

生产力决定生产关系，生产关系反作用于生产力，这是马克思主义的一条基本原理。 在信息时代下，这一理论同样适用。信息技术作为生产力会决定企业的生产关系， 进而决定了企业的竞争力；企业的生产关系反作用于信息技术这一生产力，进而影响了企业信息化的效果。 国内企业信息化建设存在的诸多问题，在很大程度上是受到企业生产关系的制约，要搞好国内企业的信息化建设，必须实现生产力与生产关系的匹配和平衡，这种生产关系在信息化过程中的具体体现就是IT 治理机制。

3 IT 治理概述

3.1 IT 治理定义

对于IT 治理（IT Governance），目前国际上并没有统一的定义，IBM 首次将此理念引入我们的视线。 以下是目前主流的几种定义。

MIT CISR 的彼得·维尔& 珍妮·罗斯认为IT 治理就是在使用信息技术的过程中，确定决策权及责任框架，以鼓励所希望的行为产生的过程。

国际信息系统审计与控制协会（ISACA）定义如下：IT 治理是一个由关系和过程所构成的体制，用于指导和控制企业，通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。

综合以上观点，可以得出以下共同点：（1）IT 治理是一种针对IT 管理存在问题的解决思路，用以形成IT 管理运行的框架和机制；（2）IT 治理的核心是IT 决策问题，包括决策的主体、决策的内容、 决策的流程以及沟通过程等；（3）IT 治理的目的是实现IT 价值，同时在实现价值的过程中要管控风险和优化资源利用；（4）IT 治理必须与组织战略目标一致，IT 对于组织非常关键，也是战略规划的组成， 影响战略竞争；（5）IT 治理和其它治理主体一样，是管理执行人员和利益相关者的责任（以董事会为代表）。

3.2 IT 治理与IT 管理

IT 治理与IT 管理是相互联系的、密不可分的。IT 治理通过IT 管理来实现落地和执行，IT 治理也需要IT 管理反馈的信息来不断地调整优化；IT 管理受IT 治理的约束和指导，并为IT 治理提供支撑。

IT 治理与IT 管理又是严格区别的。 IT 治理负责评估内外部形势，设定目标和方针进行指导，并监督IT 管理的运行，属于决策层的责任， 责任主体为董事会；IT 管理负责在IT 治理的指导下，开展日常的规划、建设、运维和评价工作，属于执行层的责任，责任主体为管理层。

3.3 国际通用的IT 治理良好实践

（1）IS038500:2008。 这是目前唯一的IT 治理国际标准，目前正在新版修订中。 该标准提出了IT 治理的框架模型和六大指导原则，认为组织的IT 治理包含三个活动：评估（E）、指导（D）和监控（M）。 实践IT 治理需遵循六大指导性原则：建立清晰的IT决策的权责制；确保有良好的IT 战略规划以便支持组织的业务发展；保证IT 应用的可获得性；确保IT 系统的可用性；确保IT的合规性；尊重人性因素（以人为本）。

（2）COBIT （Control Objectives for Information and related Technology）。 该最佳实践是一个基于IT 治理概念的、面向IT 建设过程的IT 治理实施指南和审计标准， 目前的最新版本为COBIT5。 该模型提出了一个总体框架，提出了五大原则：满足利益相关方需求，覆盖企业端到端，应用单一集成框架，启用一个整体方法，治理和管理分离。

（3）ITIL（Information Technology Infrastructure Library）。 它为组织的IT 运维服务管理提供了一个客观、严谨、可量化的最佳实践平台，最新版本为V3 2011 版。 从结构上来讲，ITIL 拥有三个组件：核心组件、补充组件和网络组件。 核心组件包括服务战略、服务设计、服务转换、服务运营、持续性服务改进，涵盖了IT服务的生命周期，从业务所需到最优化服务；补充组件包括不同情况、行业、环境的详细内容和目标；网络组件提供共同所需的动态资料和典型材料。

（4）ISO27001:2013。 该系列标准从政策、技术、管理和人员四方面为组织治理信息安全提供了科学指导和相关的实施细则，为组织提供了一个通用的信息安全管理指南，包括14 个领域、113 个控制措施。

4 实施IT 治理

IT 治理的实施、导入与企业管理咨询导入过程类似，其核心是梳理企业与信息化相关的决策涉及的流程、角色和责权利，建立一种符合信息化建设一般规律的信息化顶层设计， 以实现生产关系与生产力相匹配，进而实现企业IT 价值最大化。

实施IT 治理一般遵循如下步骤：

（1）明确IT 治理的需求。通过明晰企业战略，分析实现企业战略的关键成功因素（Critical Success Factors，CSF），根据关键成功因素，识别组织IT 治理的能力需求，作为项目的出发点。

（2）定义IT 治理的目标。根据能力需求，并结合行业内优秀企业的最佳实践，制定企业的IT 目标。 并评估企业现状，对相关的IT 流程进行成熟度评估，与IT 目标进行对比分析，寻找差距和改进点。

（3）IT 治理规划与设计。 基于现状、流程成熟度、目标，结合COBIT5 等最佳实践， 规划企业的IT 治理框架， 明确治理的内容、流程和角色，梳理或重新设计支撑IT 目标的IT 治理和管理流程，明确流程中各个角色的责权利，通过流程进行固化，形成一套完整的制度文件和作业指导， 并将规划结果细化为一系列的改进任务。

（4）IT 治理实施与运行。通过培训、制度宣贯的方式开展IT治理体系的导入工作， 并根据试运行间的反馈进行相应的调整和完善。

（5）持续评估，不断改进。 建立IT 治理绩效评估制度，设计IT 流程成熟度评估指标，通过持续的绩效评估和成熟度评估，来发现改进机会，实现持续提升和完善。

5 结语

虽然大家对于治理这一名词并不陌生，但是如何开展IT 治理工作， 对于国内绝大多数企业来说还是新生事物。 国外的IT治理实践为我们提供了解决问题的思路和方法， 但要真正达到效果，还需要我们结合企业自身特点、信息化水平等因素，有针对性地合理裁剪，量体做衣。 这样才能真正发挥良好实践的指导作用，将其为我所用，指导企业自身的信息化建设，实现信息化与工业化的同步发展，保持信息化建设与企业战略的一致性。

[1]ISO/IEC，ISO/IEC 38500：Corporate governance of information technology，2008.

[2]ISACA，COBIT 5 A Business Framework for the Governance and Management of Enterprise IT，2012.

[3]OGC，Service Strategy，2010.

[4]彼得·维尔等.IT 治理：一流绩效企业的IT 治理之道[M].北京：商务印书馆，2005.