吳梅磊 于菲菲
(1.山東省計(jì)算中心(國(guó)家超級(jí)計(jì)算濟(jì)南中心),山東 濟(jì)南 250100;2.山東省農(nóng)業(yè)廳,山東 濟(jì)南 250100)
企業(yè)身處信息時(shí)代, 信息已經(jīng)覆蓋了企業(yè)的方方面面,信息化已經(jīng)不是做不做的問(wèn)題,而是怎么做、如何做好的問(wèn)題。 但是縱觀國(guó)內(nèi)企業(yè)的信息化建設(shè),總體來(lái)看,信息化建設(shè)效果差強(qiáng)人意,絕大多數(shù)項(xiàng)目難以達(dá)到預(yù)期目標(biāo),信息孤島現(xiàn)象嚴(yán)重,信息安全意識(shí)不強(qiáng),運(yùn)行故障頻繁出現(xiàn)。企業(yè)雖然在信息化上投入了不少, 但是并未顯現(xiàn)明顯的效果, 如何有效實(shí)現(xiàn)信息化的價(jià)值、規(guī)避信息化風(fēng)險(xiǎn),成為每個(gè)企業(yè)信息化主管甚至企業(yè)決策層思考的問(wèn)題。
生產(chǎn)力決定生產(chǎn)關(guān)系,生產(chǎn)關(guān)系反作用于生產(chǎn)力,這是馬克思主義的一條基本原理。 在信息時(shí)代下,這一理論同樣適用。信息技術(shù)作為生產(chǎn)力會(huì)決定企業(yè)的生產(chǎn)關(guān)系, 進(jìn)而決定了企業(yè)的競(jìng)爭(zhēng)力;企業(yè)的生產(chǎn)關(guān)系反作用于信息技術(shù)這一生產(chǎn)力,進(jìn)而影響了企業(yè)信息化的效果。 國(guó)內(nèi)企業(yè)信息化建設(shè)存在的諸多問(wèn)題,在很大程度上是受到企業(yè)生產(chǎn)關(guān)系的制約,要搞好國(guó)內(nèi)企業(yè)的信息化建設(shè),必須實(shí)現(xiàn)生產(chǎn)力與生產(chǎn)關(guān)系的匹配和平衡,這種生產(chǎn)關(guān)系在信息化過(guò)程中的具體體現(xiàn)就是IT 治理機(jī)制。
對(duì)于IT 治理(IT Governance),目前國(guó)際上并沒(méi)有統(tǒng)一的定義,IBM 首次將此理念引入我們的視線。 以下是目前主流的幾種定義。
MIT CISR 的彼得·維爾& 珍妮·羅斯認(rèn)為IT 治理就是在使用信息技術(shù)的過(guò)程中,確定決策權(quán)及責(zé)任框架,以鼓勵(lì)所希望的行為產(chǎn)生的過(guò)程。
國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)(ISACA)定義如下:IT 治理是一個(gè)由關(guān)系和過(guò)程所構(gòu)成的體制,用于指導(dǎo)和控制企業(yè),通過(guò)平衡信息技術(shù)與過(guò)程的風(fēng)險(xiǎn)、增加價(jià)值來(lái)確保實(shí)現(xiàn)企業(yè)的目標(biāo)。
綜合以上觀點(diǎn),可以得出以下共同點(diǎn):(1)IT 治理是一種針對(duì)IT 管理存在問(wèn)題的解決思路,用以形成IT 管理運(yùn)行的框架和機(jī)制;(2)IT 治理的核心是IT 決策問(wèn)題,包括決策的主體、決策的內(nèi)容、 決策的流程以及溝通過(guò)程等;(3)IT 治理的目的是實(shí)現(xiàn)IT 價(jià)值,同時(shí)在實(shí)現(xiàn)價(jià)值的過(guò)程中要管控風(fēng)險(xiǎn)和優(yōu)化資源利用;(4)IT 治理必須與組織戰(zhàn)略目標(biāo)一致,IT 對(duì)于組織非常關(guān)鍵,也是戰(zhàn)略規(guī)劃的組成, 影響戰(zhàn)略競(jìng)爭(zhēng);(5)IT 治理和其它治理主體一樣,是管理執(zhí)行人員和利益相關(guān)者的責(zé)任(以董事會(huì)為代表)。
IT 治理與IT 管理是相互聯(lián)系的、密不可分的。IT 治理通過(guò)IT 管理來(lái)實(shí)現(xiàn)落地和執(zhí)行,IT 治理也需要IT 管理反饋的信息來(lái)不斷地調(diào)整優(yōu)化;IT 管理受IT 治理的約束和指導(dǎo),并為IT 治理提供支撐。
IT 治理與IT 管理又是嚴(yán)格區(qū)別的。 IT 治理負(fù)責(zé)評(píng)估內(nèi)外部形勢(shì),設(shè)定目標(biāo)和方針進(jìn)行指導(dǎo),并監(jiān)督IT 管理的運(yùn)行,屬于決策層的責(zé)任, 責(zé)任主體為董事會(huì);IT 管理負(fù)責(zé)在IT 治理的指導(dǎo)下,開(kāi)展日常的規(guī)劃、建設(shè)、運(yùn)維和評(píng)價(jià)工作,屬于執(zhí)行層的責(zé)任,責(zé)任主體為管理層。
(1)IS038500:2008。 這是目前唯一的IT 治理國(guó)際標(biāo)準(zhǔn),目前正在新版修訂中。 該標(biāo)準(zhǔn)提出了IT 治理的框架模型和六大指導(dǎo)原則,認(rèn)為組織的IT 治理包含三個(gè)活動(dòng):評(píng)估(E)、指導(dǎo)(D)和監(jiān)控(M)。 實(shí)踐IT 治理需遵循六大指導(dǎo)性原則:建立清晰的IT決策的權(quán)責(zé)制;確保有良好的IT 戰(zhàn)略規(guī)劃以便支持組織的業(yè)務(wù)發(fā)展;保證IT 應(yīng)用的可獲得性;確保IT 系統(tǒng)的可用性;確保IT的合規(guī)性;尊重人性因素(以人為本)。
(2)COBIT (Control Objectives for Information and related Technology)。 該最佳實(shí)踐是一個(gè)基于IT 治理概念的、面向IT 建設(shè)過(guò)程的IT 治理實(shí)施指南和審計(jì)標(biāo)準(zhǔn), 目前的最新版本為COBIT5。 該模型提出了一個(gè)總體框架,提出了五大原則:滿足利益相關(guān)方需求,覆蓋企業(yè)端到端,應(yīng)用單一集成框架,啟用一個(gè)整體方法,治理和管理分離。
(3)ITIL(Information Technology Infrastructure Library)。 它為組織的IT 運(yùn)維服務(wù)管理提供了一個(gè)客觀、嚴(yán)謹(jǐn)、可量化的最佳實(shí)踐平臺(tái),最新版本為V3 2011 版。 從結(jié)構(gòu)上來(lái)講,ITIL 擁有三個(gè)組件:核心組件、補(bǔ)充組件和網(wǎng)絡(luò)組件。 核心組件包括服務(wù)戰(zhàn)略、服務(wù)設(shè)計(jì)、服務(wù)轉(zhuǎn)換、服務(wù)運(yùn)營(yíng)、持續(xù)性服務(wù)改進(jìn),涵蓋了IT服務(wù)的生命周期,從業(yè)務(wù)所需到最優(yōu)化服務(wù);補(bǔ)充組件包括不同情況、行業(yè)、環(huán)境的詳細(xì)內(nèi)容和目標(biāo);網(wǎng)絡(luò)組件提供共同所需的動(dòng)態(tài)資料和典型材料。
(4)ISO27001:2013。 該系列標(biāo)準(zhǔn)從政策、技術(shù)、管理和人員四方面為組織治理信息安全提供了科學(xué)指導(dǎo)和相關(guān)的實(shí)施細(xì)則,為組織提供了一個(gè)通用的信息安全管理指南,包括14 個(gè)領(lǐng)域、113 個(gè)控制措施。
IT 治理的實(shí)施、導(dǎo)入與企業(yè)管理咨詢導(dǎo)入過(guò)程類似,其核心是梳理企業(yè)與信息化相關(guān)的決策涉及的流程、角色和責(zé)權(quán)利,建立一種符合信息化建設(shè)一般規(guī)律的信息化頂層設(shè)計(jì), 以實(shí)現(xiàn)生產(chǎn)關(guān)系與生產(chǎn)力相匹配,進(jìn)而實(shí)現(xiàn)企業(yè)IT 價(jià)值最大化。
實(shí)施IT 治理一般遵循如下步驟:
(1)明確IT 治理的需求。通過(guò)明晰企業(yè)戰(zhàn)略,分析實(shí)現(xiàn)企業(yè)戰(zhàn)略的關(guān)鍵成功因素(Critical Success Factors,CSF),根據(jù)關(guān)鍵成功因素,識(shí)別組織IT 治理的能力需求,作為項(xiàng)目的出發(fā)點(diǎn)。
(2)定義IT 治理的目標(biāo)。根據(jù)能力需求,并結(jié)合行業(yè)內(nèi)優(yōu)秀企業(yè)的最佳實(shí)踐,制定企業(yè)的IT 目標(biāo)。 并評(píng)估企業(yè)現(xiàn)狀,對(duì)相關(guān)的IT 流程進(jìn)行成熟度評(píng)估,與IT 目標(biāo)進(jìn)行對(duì)比分析,尋找差距和改進(jìn)點(diǎn)。
(3)IT 治理規(guī)劃與設(shè)計(jì)。 基于現(xiàn)狀、流程成熟度、目標(biāo),結(jié)合COBIT5 等最佳實(shí)踐, 規(guī)劃企業(yè)的IT 治理框架, 明確治理的內(nèi)容、流程和角色,梳理或重新設(shè)計(jì)支撐IT 目標(biāo)的IT 治理和管理流程,明確流程中各個(gè)角色的責(zé)權(quán)利,通過(guò)流程進(jìn)行固化,形成一套完整的制度文件和作業(yè)指導(dǎo), 并將規(guī)劃結(jié)果細(xì)化為一系列的改進(jìn)任務(wù)。
(4)IT 治理實(shí)施與運(yùn)行。通過(guò)培訓(xùn)、制度宣貫的方式開(kāi)展IT治理體系的導(dǎo)入工作, 并根據(jù)試運(yùn)行間的反饋進(jìn)行相應(yīng)的調(diào)整和完善。
(5)持續(xù)評(píng)估,不斷改進(jìn)。 建立IT 治理績(jī)效評(píng)估制度,設(shè)計(jì)IT 流程成熟度評(píng)估指標(biāo),通過(guò)持續(xù)的績(jī)效評(píng)估和成熟度評(píng)估,來(lái)發(fā)現(xiàn)改進(jìn)機(jī)會(huì),實(shí)現(xiàn)持續(xù)提升和完善。
雖然大家對(duì)于治理這一名詞并不陌生,但是如何開(kāi)展IT 治理工作, 對(duì)于國(guó)內(nèi)絕大多數(shù)企業(yè)來(lái)說(shuō)還是新生事物。 國(guó)外的IT治理實(shí)踐為我們提供了解決問(wèn)題的思路和方法, 但要真正達(dá)到效果,還需要我們結(jié)合企業(yè)自身特點(diǎn)、信息化水平等因素,有針對(duì)性地合理裁剪,量體做衣。 這樣才能真正發(fā)揮良好實(shí)踐的指導(dǎo)作用,將其為我所用,指導(dǎo)企業(yè)自身的信息化建設(shè),實(shí)現(xiàn)信息化與工業(yè)化的同步發(fā)展,保持信息化建設(shè)與企業(yè)戰(zhàn)略的一致性。
[1]ISO/IEC,ISO/IEC 38500:Corporate governance of information technology,2008.
[2]ISACA,COBIT 5 A Business Framework for the Governance and Management of Enterprise IT,2012.
[3]OGC,Service Strategy,2010.
[4]彼得·維爾等.IT 治理:一流績(jī)效企業(yè)的IT 治理之道[M].北京:商務(wù)印書(shū)館,2005.