吳梅磊 于菲菲
(1.山東省計算中心(國家超級計算濟南中心),山東 濟南 250100;2.山東省農業(yè)廳,山東 濟南 250100)
企業(yè)身處信息時代, 信息已經覆蓋了企業(yè)的方方面面,信息化已經不是做不做的問題,而是怎么做、如何做好的問題。 但是縱觀國內企業(yè)的信息化建設,總體來看,信息化建設效果差強人意,絕大多數(shù)項目難以達到預期目標,信息孤島現(xiàn)象嚴重,信息安全意識不強,運行故障頻繁出現(xiàn)。企業(yè)雖然在信息化上投入了不少, 但是并未顯現(xiàn)明顯的效果, 如何有效實現(xiàn)信息化的價值、規(guī)避信息化風險,成為每個企業(yè)信息化主管甚至企業(yè)決策層思考的問題。
生產力決定生產關系,生產關系反作用于生產力,這是馬克思主義的一條基本原理。 在信息時代下,這一理論同樣適用。信息技術作為生產力會決定企業(yè)的生產關系, 進而決定了企業(yè)的競爭力;企業(yè)的生產關系反作用于信息技術這一生產力,進而影響了企業(yè)信息化的效果。 國內企業(yè)信息化建設存在的諸多問題,在很大程度上是受到企業(yè)生產關系的制約,要搞好國內企業(yè)的信息化建設,必須實現(xiàn)生產力與生產關系的匹配和平衡,這種生產關系在信息化過程中的具體體現(xiàn)就是IT 治理機制。
對于IT 治理(IT Governance),目前國際上并沒有統(tǒng)一的定義,IBM 首次將此理念引入我們的視線。 以下是目前主流的幾種定義。
MIT CISR 的彼得·維爾& 珍妮·羅斯認為IT 治理就是在使用信息技術的過程中,確定決策權及責任框架,以鼓勵所希望的行為產生的過程。
國際信息系統(tǒng)審計與控制協(xié)會(ISACA)定義如下:IT 治理是一個由關系和過程所構成的體制,用于指導和控制企業(yè),通過平衡信息技術與過程的風險、增加價值來確保實現(xiàn)企業(yè)的目標。
綜合以上觀點,可以得出以下共同點:(1)IT 治理是一種針對IT 管理存在問題的解決思路,用以形成IT 管理運行的框架和機制;(2)IT 治理的核心是IT 決策問題,包括決策的主體、決策的內容、 決策的流程以及溝通過程等;(3)IT 治理的目的是實現(xiàn)IT 價值,同時在實現(xiàn)價值的過程中要管控風險和優(yōu)化資源利用;(4)IT 治理必須與組織戰(zhàn)略目標一致,IT 對于組織非常關鍵,也是戰(zhàn)略規(guī)劃的組成, 影響戰(zhàn)略競爭;(5)IT 治理和其它治理主體一樣,是管理執(zhí)行人員和利益相關者的責任(以董事會為代表)。
IT 治理與IT 管理是相互聯(lián)系的、密不可分的。IT 治理通過IT 管理來實現(xiàn)落地和執(zhí)行,IT 治理也需要IT 管理反饋的信息來不斷地調整優(yōu)化;IT 管理受IT 治理的約束和指導,并為IT 治理提供支撐。
IT 治理與IT 管理又是嚴格區(qū)別的。 IT 治理負責評估內外部形勢,設定目標和方針進行指導,并監(jiān)督IT 管理的運行,屬于決策層的責任, 責任主體為董事會;IT 管理負責在IT 治理的指導下,開展日常的規(guī)劃、建設、運維和評價工作,屬于執(zhí)行層的責任,責任主體為管理層。
(1)IS038500:2008。 這是目前唯一的IT 治理國際標準,目前正在新版修訂中。 該標準提出了IT 治理的框架模型和六大指導原則,認為組織的IT 治理包含三個活動:評估(E)、指導(D)和監(jiān)控(M)。 實踐IT 治理需遵循六大指導性原則:建立清晰的IT決策的權責制;確保有良好的IT 戰(zhàn)略規(guī)劃以便支持組織的業(yè)務發(fā)展;保證IT 應用的可獲得性;確保IT 系統(tǒng)的可用性;確保IT的合規(guī)性;尊重人性因素(以人為本)。
(2)COBIT (Control Objectives for Information and related Technology)。 該最佳實踐是一個基于IT 治理概念的、面向IT 建設過程的IT 治理實施指南和審計標準, 目前的最新版本為COBIT5。 該模型提出了一個總體框架,提出了五大原則:滿足利益相關方需求,覆蓋企業(yè)端到端,應用單一集成框架,啟用一個整體方法,治理和管理分離。
(3)ITIL(Information Technology Infrastructure Library)。 它為組織的IT 運維服務管理提供了一個客觀、嚴謹、可量化的最佳實踐平臺,最新版本為V3 2011 版。 從結構上來講,ITIL 擁有三個組件:核心組件、補充組件和網絡組件。 核心組件包括服務戰(zhàn)略、服務設計、服務轉換、服務運營、持續(xù)性服務改進,涵蓋了IT服務的生命周期,從業(yè)務所需到最優(yōu)化服務;補充組件包括不同情況、行業(yè)、環(huán)境的詳細內容和目標;網絡組件提供共同所需的動態(tài)資料和典型材料。
(4)ISO27001:2013。 該系列標準從政策、技術、管理和人員四方面為組織治理信息安全提供了科學指導和相關的實施細則,為組織提供了一個通用的信息安全管理指南,包括14 個領域、113 個控制措施。
IT 治理的實施、導入與企業(yè)管理咨詢導入過程類似,其核心是梳理企業(yè)與信息化相關的決策涉及的流程、角色和責權利,建立一種符合信息化建設一般規(guī)律的信息化頂層設計, 以實現(xiàn)生產關系與生產力相匹配,進而實現(xiàn)企業(yè)IT 價值最大化。
實施IT 治理一般遵循如下步驟:
(1)明確IT 治理的需求。通過明晰企業(yè)戰(zhàn)略,分析實現(xiàn)企業(yè)戰(zhàn)略的關鍵成功因素(Critical Success Factors,CSF),根據(jù)關鍵成功因素,識別組織IT 治理的能力需求,作為項目的出發(fā)點。
(2)定義IT 治理的目標。根據(jù)能力需求,并結合行業(yè)內優(yōu)秀企業(yè)的最佳實踐,制定企業(yè)的IT 目標。 并評估企業(yè)現(xiàn)狀,對相關的IT 流程進行成熟度評估,與IT 目標進行對比分析,尋找差距和改進點。
(3)IT 治理規(guī)劃與設計。 基于現(xiàn)狀、流程成熟度、目標,結合COBIT5 等最佳實踐, 規(guī)劃企業(yè)的IT 治理框架, 明確治理的內容、流程和角色,梳理或重新設計支撐IT 目標的IT 治理和管理流程,明確流程中各個角色的責權利,通過流程進行固化,形成一套完整的制度文件和作業(yè)指導, 并將規(guī)劃結果細化為一系列的改進任務。
(4)IT 治理實施與運行。通過培訓、制度宣貫的方式開展IT治理體系的導入工作, 并根據(jù)試運行間的反饋進行相應的調整和完善。
(5)持續(xù)評估,不斷改進。 建立IT 治理績效評估制度,設計IT 流程成熟度評估指標,通過持續(xù)的績效評估和成熟度評估,來發(fā)現(xiàn)改進機會,實現(xiàn)持續(xù)提升和完善。
雖然大家對于治理這一名詞并不陌生,但是如何開展IT 治理工作, 對于國內絕大多數(shù)企業(yè)來說還是新生事物。 國外的IT治理實踐為我們提供了解決問題的思路和方法, 但要真正達到效果,還需要我們結合企業(yè)自身特點、信息化水平等因素,有針對性地合理裁剪,量體做衣。 這樣才能真正發(fā)揮良好實踐的指導作用,將其為我所用,指導企業(yè)自身的信息化建設,實現(xiàn)信息化與工業(yè)化的同步發(fā)展,保持信息化建設與企業(yè)戰(zhàn)略的一致性。
[1]ISO/IEC,ISO/IEC 38500:Corporate governance of information technology,2008.
[2]ISACA,COBIT 5 A Business Framework for the Governance and Management of Enterprise IT,2012.
[3]OGC,Service Strategy,2010.
[4]彼得·維爾等.IT 治理:一流績效企業(yè)的IT 治理之道[M].北京:商務印書館,2005.