印克沙
(河南中道电子信息工程监理咨询有限公司,河南 郑州 450000)
基于IT治理的分析研究
印克沙
(河南中道电子信息工程监理咨询有限公司,河南 郑州 450000)
IT治理是信息系统建设快速发展的产物,同时IT治理也是信息化建设监管的重要手段。本文分析了IT治理的现状及必要性,并从对IT治理的认识出发,结合对IT治理的时间,对我国开展IT治理进行了初步探讨。
IT治理;管理研究;业务探讨
1.1 IT治理关键问题研究
IT的英文是Information Technology,即信息技术。IT业划分为IT生产业和IT使用业。IT行业划分为IT 生产业和IT使用业。IT生产业包括计算机硬件业、通信设备业、软件、计算机及通信服务业。至于IT使用业几乎涉及所有的行业,包括各类组织如企业、政府及相关服务业[1]。由此可见,IT行业不仅仅包括硬件和软件制造业,还包括几乎所有的使用及相关服务业。
美国IT治理协会给IT治理的定义是:“IT治理是一种引导和控制企业各种关系和流程的结构,这种结构安排,旨在通过平衡信息技术及其流程中的风险和收益,增加价值,以实现企业目标。”
国际信息系统审计与控制协会(ISACA)和IT治理研究所(ITGI)是这样定义的:“IT治理由高层管理机构负责,由领导、组织结构和过程构成,其目的在于确保IT能够支撑和扩展组织的战略和目标”[2]。
德勤事务所认为,“IT治理是一个含义广泛的术语,包括信息系统、技术、通讯、商业、所有利益相关者、合法性和其他问题,其主要任务是:保持IT与业务目标一致,推动业务发展,促使收益最大化,合理利用IT资源,IT相关风险的适当管理”。
中国有一种观点认为,IT治理是描述企业或政府是否采用有效的机制,使得IT的应用能够完成组织赋予它的使命,同时平衡信息化过程中的风险,确保实现组织的战略目标的过程。
我国制定的信息技术服务治理第一部分:通用要求术语中“信息技术治理information technology governance”:专注于信息技术及其绩效和风险管理的治理体系,由领导关系、组织结构和过程组成,以确保信息技术能够支撑组织的战略目标,具体如下:
IT治理包括信息系统的可行性研究、立项、设计、实施、测试、验收、后评价、运行维护直至淘汰全生命周期。
IT治理可分为三个阶段:前期(包括可研、立项、设计)、中期(实施、测试、验收)、后期(后评价、运行维护、淘汰)。
IT治理要借助现有的信息系统工程监管内容进行延伸和扩充,明确其内容。IT治理要在国外标准体系的框架下,结合我国信息化发展和企业的实际管理模式。IT治理要在公司治理的基础上,完善和发挥信息系统的功能和作用。IT治理要分层次、分阶段地进行治理和管理。
IT治理简单说就是使参与信息化过程的IT行业利益最大化的制度措施。IT治理关注两个方面的问题,即IT治理的“什么”和“谁”。
“什么”是指IT治理应该做出哪些决策。“谁”是指这些决策应该由谁来做出。
1.2 IT治理的必要性
IT治理是公司治理在信息时代的重要发展,用于描述企业或政府是否采用有效的机制,使IT的应用能够完成组织赋予它的使命,同时平衡信息技术与过程的风险、确保实现组织的战略目标。
IT治理在IT行业的发展中,具有如下意义:
第一,使企业发展战略在整体规划、标准化和规范化等在信息化工作、信息化建设和信息化服务与支持方面上的细化,是企业战略在IT层面的落地。
第二,使公司高层领导对企业信息化工作的极大重视和实质性的推动并监理良好沟通。
第三,促使企业的管理人员和IT从业人员站在全局化和大局观的角度去看待、评估企业的信息化现状和信息化工作的未来,以及IT工作与其他业务工作之间的关系使IT预算更完整。
第四,对企业IT建设工作形成长期性指导,使项目投资减少失误和提高投资回报。
第五,促进企业对现有问题和IT需求进行全方位的诊断与梳理加强了项目管理的控制手段。
第六,明确IT问题及事故的职责。
第七,完善后期运维及服务,发挥IT最大价值。
综上,IT治理的目的是使IT与组织业务有效融合,其出发点首先是组织的发展战略,以组织发展战略为起点,遵循组织的风险与内控体系,制定相应的IT建设运行的管理机制。IT治理的最终目标:价值提升与风险管控。
1.3 IT治理现状及实证调查
目前企业和政府实施IT项目时,很多只是意识到了业务需要,然后决定开始实施IT系统。但是管理者对于IT系统是否能带来好的绩效,实施IT系统有哪些潜在的风险?IT系统失败了会产生什么负面效果?怎样审核IT系统的绩效?怎样制定清晰的责任链?怎样制定IT决策等问题都缺乏全面认识。
国外一些研究表明IT治理有助于企业获取高IT投资回报,好的IT治理模式可为企业增加20%以上的利润。
但是国内企业IT治理普遍欠佳。尤其IT规划、IT制度体系和IT评估缺失现象严重。
IT治理是信息系统审计和控制领域中的一个理念。2006年原信息产业部信息化推进司开始推动IT治理工作,还有一些机构、高校都在推动这项工作。近年来,IT治理的国家标准也在制定过程中。
2.1 IT治理的内容
IT治理不同于IT管理。从工作内容看,IT管理一般是从具体的操作层面出发,针对信息系统具体目标的实现所采取的行动。而IT治理则是在宏观层面的战略角度上,对IT战略上的过程、结构和联系进行梳理和监控,以确保组织信息系统的运营管理能够始终沿着正确的方向进行。具体如下:
战略一致(Strategic Alignment)。是如何在IT计划与组织整体规划和业务计划之间建立关联、如何合理的描述并确认IT价值,以及如何使IT运作与组织的业务运作相一致。
价值交付(Value Delivery)。如何确保信息系统能够按照战略要求,实现组织提供承诺的价值,通过降低组织成本、提高业务效率等方式使组织受益。
资源管理(Resource Management)。如何对支持IT运作的关键资源进行最优化投资和最佳管理。对于一个组织的IT运作而言,这些关键资源包括四方面内容:应用系统、信息、技术架构和人力资源。
风险管理(Risk Management)。要求组织的高层管理者必须具备足够的风险意识,能够充分理解组织面临的主要风险,将风险作为组织管理工作的重点考虑问题,并在组织结构设计中划分和明确指派风险责任。
绩效度量(Performance Measurement)。如何运用平衡计分卡等科学地对IT运作的战略目标实现程度、IT资源的使用情况、IT过程的执行情况以及IT服务的交付效果进行跟踪和监控。
2.2 IT治理的本质
通过一套包括正式及非正式的制度来协调公司与所有利益相关者之间的利益关系,以保证公司决策的科学化,从而最终维护公司各方面的利益。
从IT中获得最大的价值,取决于在IT应用上产生期望的行为。期望行为是组织信念和文化的具体体现,它们的确定和颁布不仅基于战略,而且基于公司的价值纲要、使命纲要、业务规则、约定的行为习惯以及结构等。在每一家公司里,期望行为都各不相同。
IT治理属于公司治理的组成部分,是指导和控制IT资源的结构,关系和过程,通过平衡风险和回报获取IT价值,以实现企业目标。价值实现,风险控制是IT治理的两个核心。
“管理”和“治理”是硬币的两面,但是治理却更具统筹效应。IT治理,不是解决如何信息化的问题,而是解决如何管理、监控IT的问题;业务和IT战略整合是IT治理的关键。IT治理为IT决策、风险控制、监控和绩效提升提供了指南和标准。
2.3 IT治理的关键要素
IT原则:企业期望的运行模式是什么。IT如何支持期望的运行模式。如何资助IT。
IT架构:哪些数据必须整合。哪些技术性能应当在企业范围内得到标准化。哪些行为应当在企业范围内标准化以支持数据整合。
IT基础设施:哪些共享可以提供服务。基础设施服务定位在哪个层次。如何为服务定价。什么时候应更新服务。
IT商业应有需求:新业务的应用市场和业务流程机会是什么。如何评估业务应用成功与否。如何保证必需的资源以实现项目或业务的目标。
IT投资和先后次序:对IT投资多少。如何分配IT投资。如何协调IT投资与战略优先顺序。
综上,IT治理的关键要素,涵盖IT组织、IT战略、IT架构、IT基础设施、业务需求、IT投资、信息安全等。主要确定这些要素或活动中“做什么决策?谁来决策?怎么来决策?如何监督和评价决策?”。
围绕着IT建设全生命周期过程,构建持续的信息化建设长效机制,是IT治理的目标。因此,整个IT建设生命周期都是IT治理的对象,包括IT组织与规划、IT建设与交付、IT运行与维护、IT评估与优化。IT治理的最佳实践就是基于各个对象治理的成熟的方法论和工具,包括CobiT、ITIL、ISO27001、Prince2等。
3.1 国外IT治理框架
关于IT治理的框架规范最著名的就是:ITIL(IT基础架构库)和COBIT(信息及相关技术的控制目标)了。ITIL框架起源于英国的中央计算机与电信局(现在为政府商务办公室),它向用户提供了一种可定制的实践框架,为内部用户提供高质量的服务,涵盖了服务支持、软件支持、计算机操作以及安全管理等功能。COBIT是由美国IT治理协会提出的一个IT治理的开放性框架或标准,是基于组织的信息技术平台而设计的,并在IT治理实践中广泛使用,它包含了34个信息技术过程控制,并归集为四个控制域:IT规划和组织(Planning and Organization)、系 统 获得和实施(Acquisition and Implementation)、交付与支持(Delivery and Support)以及信息系统运行性能监控(Monitoring),COBIT目前已成为国际上公认的IT管理与控制标准。
3.2 国内IT治理框架
结合国际IT治理框架,根据我国实际情况,国内对于IT治理模型大概包括了三方面内容即标准体系、管理体系、治理体系。
标准体系:参照已有的国际标准如信息安全标准、质量管理标准等;以及我国正在制定的IT治理标准。
管理体系:组织的架构分类,分级别。
治理体系:对于信息系统来说按三个大阶段划分,前期以咨询、评估为主要手段;中期以监理、评测、评价、审计(控制和管理)为主要手段;后期以后评价、审计(控制和管理)、治理为主要手段。
3.3 IT治理框架的三个支柱
企业架构计划。企业架构造型和管理、战略性的IT计划和路线图、标准管理等。
投资组合合理化。应用系统和基础设施的合理化、项目-投资分析、合并和收购运营整合。
服务融合。服务提供管理、业务关系管理、供应商和外包商管理、IT财务管理。
4.1 IT治理业务分析
IT治理业务是覆盖信息系统全生命周期,按活动阶段划分IT治理业务:信息系统前期主要包括,可研、立项、设计;信息系统中期主要包括,实施、测试、验收,信息系统后期主要包括,后评价、运行维护、淘汰等。
按控制手段划分IT治理业务:第三方系统评估、系统评价、系统测试、IT审计等。
按组织管理工作划分IT治理业务:IT组织、IT战略、IT架构、IT基础设施、业务需求、IT投资、信息安全等。
4.2 IT治理业务开展问题研究
谁来做,哪个组织实体在IT治理过程中起作用?业务单位、公司、架构服务。
做什么,IT治理流程、决策、角色和职责是什么?资源分配、初始的优先级、IT预算。
如何做,IT治理如何被执行?框架定义、试点、实施、指导。
综上,IT治理就是保证IT系统能够处于正确的轨道之上,IT系统能够和业务系统有效地契合,并为企业创造持续的卓越绩效。开展IT治理就要确定谁来做,认定做什么,决定如何做,最后按照整体规划,分步实施,关注试点,持续优化的方式来实施。而且,随着IT建设的一些问题逐渐的暴露出来,作为企业的管理者已经亲身体验了这样或那样的问题,实施IT治理非常重要。
[1]孟秀转,郝晓玲,于秀艳,孙强.IT治理:标准、框架与案例分析[M].北京:清华大学出版社,2011.
[2]韩玲,郭宗文.基于IT治理的信息系统内部控制对策研究[R].第十届全国会计信息化年会论文集,2011.
Analysisand Research on IT governance
Yin Kesha
(Henan Zhongdao Electronic Information Engineering SupervisionConsulting Co.,Ltd.,Zhengzhou Henan 450000)
ITgovernance is the productof the rapid developmentof information system construction,and IT governance is also an importantmeans of information construction supervision.This paper analyzes the current situation and the necessity of IT governance,and from the understanding of IT governance,combined with the timeof ITgovernance,carriesoutapreliminary discussion on the developmentof ITgovernance in china.
ITgovernance;ManagementResearch;BusinessDiscussion
D630
A
1671-0037(2015)12-70-3
2015-10-16
印克沙(1953.3-),男,本科,高级工程师,研究方向:信息工程管理。
·信息资源管理·