文/ Juan Garza & Joshua Kissee
一所公立研究型大学从传统IT治理的非正式范式转型到正式的IT治理结构,从而使IT治理结构达到和学校其他治理结构一样的稳健性,这项成果的迅速取得也让学校的IT决策与学校的整体战略目标有了更高的一致性。
得克萨斯农工大学(Texas A&M University,缩写为TAMU)是位于美国得克萨斯州大学城(College Station)的公立赠地大学,在校生人数大约为6.9万人,每年科研经费超过9亿美元。TAMU的IT组织结构包括一批属于学院和部门的非校级IT单位,以及两个提供校级服务的大型的IT部门。IT最高领导是主管IT的副校长兼CIO,向校长负责。由IT领导主持的信息技术部(Division of Information Technology)提供一系列常见公共产品和服务(网络、电子邮件、安全)和收费服务。
TAMU和许多其他大学一样拥有稳健的事业治理结构,其中有各种各样的委员会,如应对教授关切的教授评议会(Faculty Senate),应对学生问题的学生会(Student Government)和应对职员关切的大学职员理事会(University Staff Council)。不仅如此,TAMU的大学事业治理结构还由各种各样的领导委员会组成,如校长领导的校长理事会(President's Council),教务长领导的教学领导小组(Academic Leadership Team),院长系主任理事会(Dean's Council),预算审议委员会领导的财务和教学行政主管小组(Finance and Academic Executive Leaders),以及与设施相关的环境建设理事会(Council for Built Environment)。然而,TAMU还缺少一个有成文规定的IT治理(IT Government,缩写为ITG)结构,而且正如大多数的大型研究型大学那样,由于历史原因,学院和部门各自都有IT部门,有些还是独立运作的。
得克萨斯农工大学
TAMU全校的IT人员意识到:学校的IT决策和投资与整体战略方向缺乏一致性,因此开始就建立正式的IT治理结构展开了讨论。
前些年,学校在加强IT服务和提高全校IT部门之间的合作和相互依赖方面取得了显著进展。尽管合作水平的提升给学校带来了一些好处,然而要确保IT发展和学校使命保持一致,正规化的IT治理结构仍然是需要的。不仅如此,TAMU的非正式IT治理结构仅仅覆盖了很窄范围的相关主体,没有包括教师、学生和学校的关键职能单位。
因此,下列因素成为了构建新的正规化IT治理结构框架的驱动力:
(1)为了代表TAMU更广泛、多样化的成员群体;
(2)确保关于IT的讨论能与大学的研究、教学和服务三大支柱形成全面的联系。
此外,TAMU在2011~2016年实现了24.6%的快速增长(增加了13136名学生)。在这样的环境中进一步显现了IT开支和决策之间缺乏联系的特点。快速增长之中,下列需求随之凸显出来: IT人员之间的正式合作; IT资源配置与大学使命的一致;IT服务的更好部署;IT经费的更好利用。
这些因素中许多都强调了教师参与IT决策是极端重要的。在此期间, TAMU系统办公室(TAMU System Office)终于开始推动合作水平的提升和IT经费使用的改进。
这些因素汇聚而成的结果是,2016年秋季,主管IT的副校长和主管教学的副校长任命了一个教职员工工作组,研究和制定正规化的IT治理框架,有意地将这个工作组设置为很的小规模——只有四位成员(两位职员和两位教师)。
1.形成初始方案
工作组的两位职员负责使用内部资料来源的研究和制定工作,包括:信息技术咨询委员会(Information Technology Advisory Committee)以往的IT治理研究;基于德勤(Deloitte)治理框架的TAMU大学系统IT治理和合作框架;TAMU大学系统关于IT治理的内部审计建议。外部的资料来源包括:信息技术基础架构库(ITIL)第3版,信息系统和技术控制目标(COBIT)第5版,ISO38500国际标准,企业IT治理(GEIT)框架,Peter Weill和Jeanne Ross合著的一本关于IT治理的书 ,以及EDUCAUSE的IT治理、风险和合规项目。
工作组的两位职员还选择了“2020愿景(Vision 2020)”项目中的三所伙伴学校:得克萨斯大学奥斯汀分校(University of Texas at Austin)、加利福尼亚大学伯克利分校(University of California, Berkeley)和华盛顿大学(University of Washington)作为对标对象。他们和每所大学召开电话会议,检验框架结构的设计、吸取教训、研究已有框架结构的改进方案。他们利用这些信息设计了第一版的IT治理框架,然后提交给工作组的教师成员进行评审。
工作组的教师成员认真分析了提交的框架并提供大量的改进教师参与的建议。他们也提供了额外的研究资源,并提出使文件变得更加学术性的改正建议。工作组职员随后将这些新增的研究成果和建议纳入进来,从而对框架进行改进。
2.相关者的参与
工作组将改进后的框架向项目的推动者——主管IT的副校长和主管教学的副校长进行了展示汇报。在汇报中,他们强调了教师的建议,让副校长们了解教师们的观点,形成了IT治理代表多元化的深刻洞察。副校长们对框架做出了进一步的修改建议,由工作组职员纳入框架之中。
下一步,工作组正式邀请了在全校范围内有关键地位的教师、职工领导和学生领袖参加三个小时的工作坊,对框架进行了详细审议。在这个活动中,参与者们分配了特定的委员会予以审议,并讨论了相应委员会的授权、成员、输入来源、决策权限和会议频率。工作组职员收集所有参与者的反馈,汇总到一个文件中并消除重复内容。
从这项活动中得到一个教训是,应当使用输入-决策表来突出每个委员会的特定领域。文件中概要描述了在特定主题上哪些人应当有决策权,其中有些还存在争议,吸引了一些参与者的高度关注。当然,参与者对文件提出反馈意见是符合期望的,然而过度聚焦于特定主题却限制了参与者对整个结构的审视,因而也就限制了他们的反馈内容。工作组意识到,更好的做法是在活动最后时以输入-决策表的单独进行展示,或者换一种适合进行更全面审议的形式。
和工作坊并行,工作组职员面向全校教职工和学生发布了一项调查,询问对于新的IT治理框架的建议。这项调查收到了200份回复,从回复文本中提取出的每项建议都被汇总到一份文件中。工作坊中获得的建议和调查中获得的建议随后进行了合并,并删除了重复内容。调查反馈形成了47条无重复的框架修改建议。工作组职员在内部的工作会议上向副校长们汇报了这些建议。每项与这些建议有关的决定都进行了记录用于公开审议。
3.最终批准和启用
副校长们将最终形成的框架提交给TAMU校长;经过校长的审议流程,新的IT治理框架于2017年6月得到批准并发布。工作组在学校网站上发布了对文件的建议以及相应的决定,并进行了三个月的公示,同时也在全校范围内进行了相关改革的沟通。这实现了IT治理框架改革的采纳过程中的透明性,向全校展示出领导层真正重视大家的意见、考虑各种建议,并以理性、一致的方法采纳了提出的建议。
新的IT治理框架对IT治理定义是:“使IT产出与大学成功实现使命要求相一致的保障。它确保了适当的决策活动(确定重点和经费)与大学的战略重点相协调,同时将广泛的相关者的意见考虑在内。”
这个框架定义了各种各样的治理主体,有工作组、相关者指导委员会、实践社群、委员会和理事会。这些定义认可了全校现有的IT治理主体并强调了它们在新IT治理框架中的角色。这向全校表明,新的IT治理框架是对现有治理结构的补足,并弥补了现有输入-决策流程中在正式性上的缺陷。
IT治理框架包括五个基础委员会:
建筑和基础设施委员会(Architecture& Infrastructure Committee,AIC);
企业级应用委员会(Enterprise Applications Committee,EAC);
信息风险、政策和安全委员会(Information Risk, Policy, & Security Committee,IRPSC);
研究与创新技术委员会(Research& Innovative Technologies Committee,RITC);
教学和学习技术转型委员会(Teaching and Transformational Learning Technologies Committee,TTLTC)。
每个委员会的代表都是多元化的,同时也尊重领域中的主题专家。例如,研究与创新技术委员会(RITC)由教师中的研究人员组成;教学和学习技术转型委员会(TTLTC)由教师组成;企业级应用委员会(EAC)由行政领导和IT领导组成等。每个基础委员会都向IT战略委员会(SITC)负责。IT战略委员会(SITC)由院长、副校长和教授领袖组成,规定各个委员会的总体方向。最高治理主体是IT行政理事会(Executive IT Council),由大学校长、教务长、首席财务官、主管IT副校长或CIO、主管教学副校长组成。
1.使命、目标和责任
IT治理框架包括以下陈述。
使命陈述:确保IT资源和服务的整体一致性从而支撑学校的使命实现,同时在分散化的组织结构中更加有效和高效地将精力和时间聚焦于共同的重点活动上。
目的陈述:灵活敏捷和积极响应是得克萨斯农工大学共享的IT愿景,而IT治理是其必备基础。基于共同的目标,整个大学的信息技术社群联合起来,为大学、得克萨斯州和得克萨斯市民们服务。
责任陈述:得克萨斯农工大学的所有的客户、决策者和IT管理者都为共同IT愿景的实现承担责任。此共同责任体现在IT治理框架中,目的是促进对大学社群整体需求的共同深入思考。IT治理框架所管理的,正是对教学、管理、研究和技术领域中IT项目进行总体治理的共同责任。
2.框架的价值观
框架有三项核心目标:对多元视角持开放态度,承认TAMU的行政领导对IT总体效能的推动,以及尊重大学组织文化的独特性。
我们通过五点价值观来实现这些目标:透明、问责、合作、管理和敏捷,这些价值观推动了IT治理的信心。
价值观1:我们重视透明性,向所有相关者提供IT决策的相关信息,提供关于经费和决策流程的清晰信息,在大学内各个层级上与适当的利益相关者举行战略对话。
价值观2:我们重视问责制,承认从领导团队做出IT决策的角度而言,IT是可问责的,而且IT促进决策及时实施和执行。可问责性还进一步体现为向所有相关者提供关于IT治理产出的反馈、更新和报告。
价值观3:我们重视管理,向利益相关方保证IT领导者会有效和负责任地使用IT资源,以符合大学、相关者和广泛的TAMU大学社群成员的最佳利益。
价值观4:我们重视对话和决策中的合作,确保IT的决定来自于多元视角。我们同样强调团队合作,实施跨部门的项目使之实现更大影响和得到更好利用。
价值观5:我们重视敏捷性,持续改进IT治理框架,改造和调整服务,从而在迅速变化、雄心勃勃和动态的高等教育环境中获得持续成功。
建立IT治理项目的复杂性不亚于研制治理框架。在对标分析过程中,工作组意识到要确保委员会的良好运作和有效产出,必须要委任高质量的成员。为了实现这一点,主管IT的副校长寻求委任那些在全校范围内有关键地位的领导,如教务长、主管教学的副校长,以及诸如教授评议会、职员理事会和学生会等各种各样治理主体的领导。
确定委任候选人、征求对他们的委任以及等待他们接受委任花费了六周的时间。主管IT的副校长亲自请求委任可以提高参与的可能性,这对于建立IT治理项目而言非常重要。
为了促进IT治理文化的适应进程,我们在2017年9月计划了一个大型的启动活动,将所有委任的成员召集起来,启动各个治理主体。这个活动中有校外团体的嘉宾发言,有主管IT的副校长的致辞,也有工作组研究成果的报告。整个活动举办的非常正式和专业,并且通过电视向TAMU各个校区进行广播。这个活动的正规性和显而易见的重要性为IT治理的成员们及其今后若干年的工作定下了基调。
活动举办后的一个月内,所有的IT治理委员会都开始举行会议。主管IT的副校长参加了每个委员会的首次会议,在会上使委任成员熟悉情况并解释了每个委员会的目标和对他们的期望。随后每个委员会开始对相应领域问题的现状分析,启动战略规划。每个委员会都采用名义群体法(nominal group technique)来选择他们第一年工作的目标和重点;此时,委员会算是正式成立了。
在TAMU建立IT治理的过程积累了大量的经验和教训,可以为其他寻求发起IT治理项目的院校提供帮助。
学校越大,IT治理项目的范围越广,委员会的数量越多,IT治理项目的管理就越复杂。
信息风险、政策和安全委员会(IRPSC)被赋予了审议和建议IT标准管理流程、安全控制和规则的职责。然而,我们没有支持这一职责的流程,并且建立这个流程需要整合和改革某个校级IT部门中政策制定小组管理的现有流程、某个现有IT委员会的政策制定流程、首席信息官(CIO)和首席信息安全官(CISO)的决策流程。
然而,尽管IRPSC已经存在且拥有职权,在没有付出这份努力之前,政策制定仍然是发生在该委员会之外。因此我们不得不开展详细的流程分析,与受到影响的团队以及CIO和CISO进行讨论,然后设计出一个整合的流程。结果,IRPSC的政策审议一直拖延到了IT治理启动十个月以后。
我们的建议是在框架制定时就将关键流程设计到框架之中,而不是等到框架启动应用以后。如果做不到这一点,那么各个委员会就将IT治理项目的最初3~6个月用于建立关键流程,而不是开始战略规划。
1.关键术语的定义
在企业级应用委员会(EAC)中,我们没有对服务的“企业级”(Enterprise)进行定义。这是一个关键的术语,隐含了委员会的权限涉及哪些服务而不涉及其他服务,因此委员会花费了几个月的时间开会争论“企业级”的含义。
从这里得到的教训是要为每个委员会提供一组清晰的案例来帮助成员理解他们的职责范围和权限。在这个案例中,我们应当在进行与伙伴院校的最初对标讨论时,对企业级应用和通用应用进行对比。
2.人员考虑
学校越大,IT治理项目的范围越广,委员会的数量越多,IT治理项目的管理就越复杂。最开始,只有一位全时人员的部分时间贡献给了IT治理项目。随着时间推移,越来越明确的一点是:我们需要至少一位全时人员来管理这个项目,从各个委员会的主席那里汇总各种议题和需求。各个委员会还需要在研究、分析和编写报告中得到重大支持,在管理工作组和分委员会方面也是如此。
在此得到的经验是:要确保IT治理项目有专门的人员配备和基本的工具,用于满足管理日程、投票、文档、合作活动、研究、分析、调研等事务的需要。
与IT治理框架有关的组织变革是最困难的部分,而且需要更多的时间来实现。通过治理框架记录一些事情是一回事;通过组织实践和文化适应将其实现是另一回事。
1.战略性IT预算
在IT治理项目实施的第二年,我们将要建立一个新的流程和分委员会来提高IT预算流程的一致性。尽管IT战略委员会的章程中提到了此事,不过我们还是需要建立起实际的流程。预期成果是减少重复的IT开销,在与TAMU使命相关的服务和项目上提升IT部门之间的协作,为IT行政理事会的领导们提供必要的数据和研究来支持他们的预算决策流程。
2.企业级服务的定义和服务分类
正如此前在经验和教训中提到的,企业级应用委员会(EAC)将会对“企业级”服务进行定义并对这些服务进行分类,从而明确他们的职责。因此而形成的流程将用于对经费需求、企业级服务变革、企业级服务退出以及新企业级服务的获取进行概要描述。
3.组织行为
要符合IT治理的定义,IT治理项目应当将真正实现IT发展和TAMU使命的一致性作为一项核心目标。无论是在分散的还是集中的IT部门中,都需要减少管理中的投机取巧,从而确保IT部门在共享服务和企业级项目中更加紧密的合作,以及更好地遵从大学和大学系统的授权。
我们的目标是改进IT治理委员会的流程,从而使问题在IT治理项目中具有高效的解决途径,从而实现对IT快速节奏的积极响应。要想让IT治理项目长期保持有效,TAMU大学社群成员必须能看到IT治理产生的经费、决策、政策和组织上的变革。
次要目标是让IT治理成员和相关者认识到,改革IT治理的方式可以产生价值。这些价值包括有效的经费使用模式,清晰的决策活动和透明的政策制定;也包括了未来可能的组织变革,从而确保项目的长期功效。最终,IT治理项目实现了学校长期战略发展对IT治理文化的适应,也有助于引导IT治理项目的发展,促使其成熟并适应TAMU不断变化的需求。