吳梅磊 于菲菲

（1.山東省計(jì)算中心（國(guó)家超級(jí)計(jì)算濟(jì)南中心），山東 濟(jì)南 250100；2.山東省農(nóng)業(yè)廳，山東 濟(jì)南 250100）

1 企業(yè)信息化建設(shè)過(guò)程中存在的問(wèn)題

企業(yè)身處信息時(shí)代， 信息已經(jīng)覆蓋了企業(yè)的方方面面，信息化已經(jīng)不是做不做的問(wèn)題，而是怎么做、如何做好的問(wèn)題。 但是縱觀國(guó)內(nèi)企業(yè)的信息化建設(shè)，總體來(lái)看，信息化建設(shè)效果差強(qiáng)人意，絕大多數(shù)項(xiàng)目難以達(dá)到預(yù)期目標(biāo)，信息孤島現(xiàn)象嚴(yán)重，信息安全意識(shí)不強(qiáng)，運(yùn)行故障頻繁出現(xiàn)。企業(yè)雖然在信息化上投入了不少， 但是并未顯現(xiàn)明顯的效果， 如何有效實(shí)現(xiàn)信息化的價(jià)值、規(guī)避信息化風(fēng)險(xiǎn)，成為每個(gè)企業(yè)信息化主管甚至企業(yè)決策層思考的問(wèn)題。

2 良好的IT 治理是企業(yè)信息化建設(shè)成功的保障

生產(chǎn)力決定生產(chǎn)關(guān)系，生產(chǎn)關(guān)系反作用于生產(chǎn)力，這是馬克思主義的一條基本原理。 在信息時(shí)代下，這一理論同樣適用。信息技術(shù)作為生產(chǎn)力會(huì)決定企業(yè)的生產(chǎn)關(guān)系， 進(jìn)而決定了企業(yè)的競(jìng)爭(zhēng)力；企業(yè)的生產(chǎn)關(guān)系反作用于信息技術(shù)這一生產(chǎn)力，進(jìn)而影響了企業(yè)信息化的效果。 國(guó)內(nèi)企業(yè)信息化建設(shè)存在的諸多問(wèn)題，在很大程度上是受到企業(yè)生產(chǎn)關(guān)系的制約，要搞好國(guó)內(nèi)企業(yè)的信息化建設(shè)，必須實(shí)現(xiàn)生產(chǎn)力與生產(chǎn)關(guān)系的匹配和平衡，這種生產(chǎn)關(guān)系在信息化過(guò)程中的具體體現(xiàn)就是IT 治理機(jī)制。

3 IT 治理概述

3.1 IT 治理定義

對(duì)于IT 治理（IT Governance），目前國(guó)際上并沒(méi)有統(tǒng)一的定義，IBM 首次將此理念引入我們的視線。 以下是目前主流的幾種定義。

MIT CISR 的彼得·維爾& 珍妮·羅斯認(rèn)為IT 治理就是在使用信息技術(shù)的過(guò)程中，確定決策權(quán)及責(zé)任框架，以鼓勵(lì)所希望的行為產(chǎn)生的過(guò)程。

國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（ISACA）定義如下：IT 治理是一個(gè)由關(guān)系和過(guò)程所構(gòu)成的體制，用于指導(dǎo)和控制企業(yè)，通過(guò)平衡信息技術(shù)與過(guò)程的風(fēng)險(xiǎn)、增加價(jià)值來(lái)確保實(shí)現(xiàn)企業(yè)的目標(biāo)。

綜合以上觀點(diǎn)，可以得出以下共同點(diǎn)：（1）IT 治理是一種針對(duì)IT 管理存在問(wèn)題的解決思路，用以形成IT 管理運(yùn)行的框架和機(jī)制；（2）IT 治理的核心是IT 決策問(wèn)題，包括決策的主體、決策的內(nèi)容、 決策的流程以及溝通過(guò)程等；（3）IT 治理的目的是實(shí)現(xiàn)IT 價(jià)值，同時(shí)在實(shí)現(xiàn)價(jià)值的過(guò)程中要管控風(fēng)險(xiǎn)和優(yōu)化資源利用；（4）IT 治理必須與組織戰(zhàn)略目標(biāo)一致，IT 對(duì)于組織非常關(guān)鍵，也是戰(zhàn)略規(guī)劃的組成， 影響戰(zhàn)略競(jìng)爭(zhēng)；（5）IT 治理和其它治理主體一樣，是管理執(zhí)行人員和利益相關(guān)者的責(zé)任（以董事會(huì)為代表）。

3.2 IT 治理與IT 管理

IT 治理與IT 管理是相互聯(lián)系的、密不可分的。IT 治理通過(guò)IT 管理來(lái)實(shí)現(xiàn)落地和執(zhí)行，IT 治理也需要IT 管理反饋的信息來(lái)不斷地調(diào)整優(yōu)化；IT 管理受IT 治理的約束和指導(dǎo)，并為IT 治理提供支撐。

IT 治理與IT 管理又是嚴(yán)格區(qū)別的。 IT 治理負(fù)責(zé)評(píng)估內(nèi)外部形勢(shì)，設(shè)定目標(biāo)和方針進(jìn)行指導(dǎo)，并監(jiān)督IT 管理的運(yùn)行，屬于決策層的責(zé)任， 責(zé)任主體為董事會(huì)；IT 管理負(fù)責(zé)在IT 治理的指導(dǎo)下，開(kāi)展日常的規(guī)劃、建設(shè)、運(yùn)維和評(píng)價(jià)工作，屬于執(zhí)行層的責(zé)任，責(zé)任主體為管理層。

3.3 國(guó)際通用的IT 治理良好實(shí)踐

（1）IS038500:2008。 這是目前唯一的IT 治理國(guó)際標(biāo)準(zhǔn)，目前正在新版修訂中。 該標(biāo)準(zhǔn)提出了IT 治理的框架模型和六大指導(dǎo)原則，認(rèn)為組織的IT 治理包含三個(gè)活動(dòng)：評(píng)估（E）、指導(dǎo)（D）和監(jiān)控（M）。 實(shí)踐IT 治理需遵循六大指導(dǎo)性原則：建立清晰的IT決策的權(quán)責(zé)制；確保有良好的IT 戰(zhàn)略規(guī)劃以便支持組織的業(yè)務(wù)發(fā)展；保證IT 應(yīng)用的可獲得性；確保IT 系統(tǒng)的可用性；確保IT的合規(guī)性；尊重人性因素（以人為本）。

（2）COBIT （Control Objectives for Information and related Technology）。 該最佳實(shí)踐是一個(gè)基于IT 治理概念的、面向IT 建設(shè)過(guò)程的IT 治理實(shí)施指南和審計(jì)標(biāo)準(zhǔn)， 目前的最新版本為COBIT5。 該模型提出了一個(gè)總體框架，提出了五大原則：滿足利益相關(guān)方需求，覆蓋企業(yè)端到端，應(yīng)用單一集成框架，啟用一個(gè)整體方法，治理和管理分離。

（3）ITIL（Information Technology Infrastructure Library）。 它為組織的IT 運(yùn)維服務(wù)管理提供了一個(gè)客觀、嚴(yán)謹(jǐn)、可量化的最佳實(shí)踐平臺(tái)，最新版本為V3 2011 版。 從結(jié)構(gòu)上來(lái)講，ITIL 擁有三個(gè)組件：核心組件、補(bǔ)充組件和網(wǎng)絡(luò)組件。 核心組件包括服務(wù)戰(zhàn)略、服務(wù)設(shè)計(jì)、服務(wù)轉(zhuǎn)換、服務(wù)運(yùn)營(yíng)、持續(xù)性服務(wù)改進(jìn)，涵蓋了IT服務(wù)的生命周期，從業(yè)務(wù)所需到最優(yōu)化服務(wù)；補(bǔ)充組件包括不同情況、行業(yè)、環(huán)境的詳細(xì)內(nèi)容和目標(biāo)；網(wǎng)絡(luò)組件提供共同所需的動(dòng)態(tài)資料和典型材料。

（4）ISO27001:2013。 該系列標(biāo)準(zhǔn)從政策、技術(shù)、管理和人員四方面為組織治理信息安全提供了科學(xué)指導(dǎo)和相關(guān)的實(shí)施細(xì)則，為組織提供了一個(gè)通用的信息安全管理指南，包括14 個(gè)領(lǐng)域、113 個(gè)控制措施。

4 實(shí)施IT 治理

IT 治理的實(shí)施、導(dǎo)入與企業(yè)管理咨詢導(dǎo)入過(guò)程類似，其核心是梳理企業(yè)與信息化相關(guān)的決策涉及的流程、角色和責(zé)權(quán)利，建立一種符合信息化建設(shè)一般規(guī)律的信息化頂層設(shè)計(jì)， 以實(shí)現(xiàn)生產(chǎn)關(guān)系與生產(chǎn)力相匹配，進(jìn)而實(shí)現(xiàn)企業(yè)IT 價(jià)值最大化。

實(shí)施IT 治理一般遵循如下步驟：

（1）明確IT 治理的需求。通過(guò)明晰企業(yè)戰(zhàn)略，分析實(shí)現(xiàn)企業(yè)戰(zhàn)略的關(guān)鍵成功因素（Critical Success Factors，CSF），根據(jù)關(guān)鍵成功因素，識(shí)別組織IT 治理的能力需求，作為項(xiàng)目的出發(fā)點(diǎn)。

（2）定義IT 治理的目標(biāo)。根據(jù)能力需求，并結(jié)合行業(yè)內(nèi)優(yōu)秀企業(yè)的最佳實(shí)踐，制定企業(yè)的IT 目標(biāo)。 并評(píng)估企業(yè)現(xiàn)狀，對(duì)相關(guān)的IT 流程進(jìn)行成熟度評(píng)估，與IT 目標(biāo)進(jìn)行對(duì)比分析，尋找差距和改進(jìn)點(diǎn)。

（3）IT 治理規(guī)劃與設(shè)計(jì)。 基于現(xiàn)狀、流程成熟度、目標(biāo)，結(jié)合COBIT5 等最佳實(shí)踐， 規(guī)劃企業(yè)的IT 治理框架， 明確治理的內(nèi)容、流程和角色，梳理或重新設(shè)計(jì)支撐IT 目標(biāo)的IT 治理和管理流程，明確流程中各個(gè)角色的責(zé)權(quán)利，通過(guò)流程進(jìn)行固化，形成一套完整的制度文件和作業(yè)指導(dǎo)， 并將規(guī)劃結(jié)果細(xì)化為一系列的改進(jìn)任務(wù)。

（4）IT 治理實(shí)施與運(yùn)行。通過(guò)培訓(xùn)、制度宣貫的方式開(kāi)展IT治理體系的導(dǎo)入工作， 并根據(jù)試運(yùn)行間的反饋進(jìn)行相應(yīng)的調(diào)整和完善。

（5）持續(xù)評(píng)估，不斷改進(jìn)。 建立IT 治理績(jī)效評(píng)估制度，設(shè)計(jì)IT 流程成熟度評(píng)估指標(biāo)，通過(guò)持續(xù)的績(jī)效評(píng)估和成熟度評(píng)估，來(lái)發(fā)現(xiàn)改進(jìn)機(jī)會(huì)，實(shí)現(xiàn)持續(xù)提升和完善。

5 結(jié)語(yǔ)

雖然大家對(duì)于治理這一名詞并不陌生，但是如何開(kāi)展IT 治理工作， 對(duì)于國(guó)內(nèi)絕大多數(shù)企業(yè)來(lái)說(shuō)還是新生事物。 國(guó)外的IT治理實(shí)踐為我們提供了解決問(wèn)題的思路和方法， 但要真正達(dá)到效果，還需要我們結(jié)合企業(yè)自身特點(diǎn)、信息化水平等因素，有針對(duì)性地合理裁剪，量體做衣。 這樣才能真正發(fā)揮良好實(shí)踐的指導(dǎo)作用，將其為我所用，指導(dǎo)企業(yè)自身的信息化建設(shè)，實(shí)現(xiàn)信息化與工業(yè)化的同步發(fā)展，保持信息化建設(shè)與企業(yè)戰(zhàn)略的一致性。

[1]ISO/IEC，ISO/IEC 38500：Corporate governance of information technology，2008.

[2]ISACA，COBIT 5 A Business Framework for the Governance and Management of Enterprise IT，2012.

[3]OGC，Service Strategy，2010.

[4]彼得·維爾等.IT 治理：一流績(jī)效企業(yè)的IT 治理之道[M].北京：商務(wù)印書(shū)館，2005.