理论+实践解析“IT治理”之模式与原则

IT治理工做做为企业信息化建设的上层建筑，扮演着及其重要的角色。本文结合做者的学习及实践经验给出一些借鉴。

1、IT治理概述

1.1 何为IT治理

在企业信息化建设中的最大问题，每每不是技术问题，也不是资金问题，而是缺少科学的IT管理观念。IT领导者最大的问题不是缺乏经验和能力，而是缺少卓越的管理素质和管理方法。正由于如此，才引入了"IT治理"这个概念。从定义上讲，IT治理，是指设计并实施信息化过程当中，各方利益最大化的制度安排。其目的是实现组织的业务战略，促进管理创新，合理管控信息化过程的风险，创建信息化可持续发展的长效机制，最终实现IT商业价值。

1.2 IT治理目标

目标1 - IT与组织战略互动

经过研究组织的发展远景、内外部环境、业务策略和管理基础上，造成信息化的远景、信息系统的组成架构、信息系统各部分的逻辑关系，以支撑战略规划目标的达成。针对信息系统的支撑硬件、软件、技术等进行计划与安排。这其中的难点在于，须要理解组织的关键目标，才能制定IT战略目标，进而转化为IT治理有效行动。多变的组织战略是不利于IT战略的可持续发展。

目标2 - 有效利用信息资源

信息资源的开发和利用是信息化建设的核心任务，是信息化取得实效的关键，是衡量信息化水平的一个重要标志。经过IT治理能够对信息资源的管理职责进行有效的制度设计，保证投资的回收，并支持业务战略的发展。避免出现投资过大、效果不佳；信息孤岛、没法共享；工程超期、不知足需求等问题。

目标3 - 管理信息化风险

企业发展愈来愈依赖于信息化建设水平，于是IT风险是企业须要关注的。技术迭代愈来愈快，新的技术不断涌现，如何避免新技术带来的风险也是须要从管理角度加以关注的。此外，随着近些年国家对我的隐私、数据安全的关注，此类风险也是须要企业重点关注。经过制定信息资源的保护级别，强调关键的信息技术资源，有效实施监控，事故处理。

目标4 - 构建可持续发展机制

企业内信息化建设，须要有个可持续发展机制。不能简单依靠领导命令方式，而转换为一个长期的发展规划。辅助以绩效评估手段，才能够构建信息化可持续发展的长效机制。

1.3 IT治理、企业治理、IT管理的关系

这是三个很容易混淆的概念，只有理清三者关系，才能有效推进治理落地。

• 企业治理：主要关注利益相关者的权益和管理，包括一系列责任和条例，由最高管理层和执行管理层实施，目的是提供战略方向，保证目标可以实现，追求投资的最大产出比，风险适当管理并合理使用资源等。
• IT治理：主要关注企业的IT投资是否与战略目标相一致，从而构筑必要的核心竞争力。IT治理要能体现将来信息技术与将来企业组织的战略集成。既要尽量地保持开放性和长远性，以确保系统的稳定性和延续性。
• IT管理：是在既定的IT治理模式下，管理层为实现公司的目标而采起的行动。

• 企业治理侧重企业总体规划，IT治理侧重与企业中信息资源的有效利用和管理，提高企业信息化的核心价值。IT治理应该体现"以组织战略目标为中心"的思想，经过合理配置IT资源来创造价值。
• IT管理关注的是企业信息及信息系统的运营，肯定IT目标以及实现此目标所采起的行动；而IT治理是指最高管理层利用它来监督管理层在IT战略上的过程、结构和联系，以确保这种运营处于正确的轨道之上。二者互不可缺，单纯只有IT治理，目标没法落地；单纯有IT管理，则缺少方向性。

1.4 IT治理理论

COBIT，信息系统和技术控制目标

美国信息系统审计与控制协会-ISACA，于1996年推出了用于"IT审计"的知识体系COBIT。"IT审计"已经成为众多国家的政府部门、企业对IT的计划与组织、采购与实施、服务提供与服务支持、监督与控制等进行全面考核与承认的业界标准。做为IT治理的核心模型，COBIT包括34个信息技术过程控制，并归集为四个控制域:IT规划和组织、系统得到和实施、交付与支持以及信息系统运行性能监控。

ITIL，信息技术基础架构库

一套被普遍认可的用于有效IT服务管理的时间准则。1980年以来，英国提出和完善了一整套对IT服务的质量进行评估的方法体系，成为ITIL。2001年，英国标准协会在国际IT服务管理论坛上正式发布了以ITIL为核心的英国国家标准BS15000。ITIL是一套详细描述最佳IT服务管理的丛书。它是一种公共框架、最佳实践框架、服务质量是ITIL的核心。但ITIL只说明了要作什么，没有说明如何去作，企业应根据需求去参照ITIL框架进行IT服务管理的建设，而不该追求大而全；而且ITIL不是一个理论模型，而是一个最佳实践库。

ISO/IEC17799，国际信息安全管理标准体系

2000年12月，国际标准化组织ISO正式发布了有关信息安全的国际标准ISO17799，这个标准包含信息系统安全管理和安全认证两大部分，是参照英国国家标准而来的。它是一个详细的安全标准，包括安全内容的全部准则，由十个独立的部分组成，每一节都覆盖了不一样的主题和区域。它以"计划、实施、检查、行动"模式，将管理体系规范导入机构或企业内，以达到"持续改进"目的。

PRINCE2

是一种对项目管理的某些特定方面提供支持的方法。PRINCE2描述了一个项目如何被切分红一些可供管理的阶段，以便高效地控制资源的使用和在整个项目周期执行常规的监督流程。PRINCE2的视野并不只仅限于对某个项目的管理，还覆盖了在组织范围对对项目的管理。

2、IT治理实践

2.1 前提条件

明确目标

IT治理活动与企业治理过程相结合，并有企业领导的参与。IT治理专一于企业目标和战略，使用技术提升业务水平，并知足业务需求的足够可用的资源和能力。

组织架构

成功的IT治理首先须要有一个明晰的IT治理组织架构，而且组织机构中的各个部门(包括人员)都有明确的角色和相关职责的定义。

治理流程

IT治理流程是保证企业的相关部门采用合理的步骤进行IT治理活动。制订相关流程和规范并有效实施。它应是根据企业需求出发并落实责任到人。

管理制度

IT制度是将平常的流程进行固化并造成对企业的规范，须要每一个员工都加以遵循的一种措施。同时提供必要的手段，进行监督管理，最终造成一种控制的环境或文化。

2.2 治理模式

目前主流的IT治理的组织模式有：专制管理模式、联邦型管理模式、分散管理模式三种。

专制管理模式

• 由IT部门或某强势业务部门管理项目投资、建设和维护。IT治理决策彻底由该部门负责。
• 其主要优点是成本导向型架构，能较好管理IT资产和系统，长期来看可以节约IT成本。
• 其主要问题是决策过程当中业务部门不参与，所以响应速度较慢，缺少创新。
• 适用于追求短时间利润的公司，所需的IT行为在追求低的业务成本上高度标准化。

分散管理模式

• 由各业务部门独立负责项目投资、建设和运营，IT治理的策略由部门自行决定。
• 其优点是业务部门开发能力，IT人员能理解业务流程并参与系统建设，对业务部门的需求响应更为及时，创新能力加强。
• 其主要问题是业务部门战略和整个企业战略可能出现不一致的状况，IT资产不能共享，长期来看会致使成本上升。
• 适用于新成立的公司或研发类的公司。他们是以收入增加做为成功的度量标准，所须要的治理机制也不多。

联邦型管理模式

• 由IT部门与业务部门联合进行IT管理，各自负有明确的职责。IT治理决策由多部门在衡量各类影响因素以后作出。
• 其主要优点是IT部门和业务部门共同进行IT决策，在必定程度上能够克服前两种模式的缺点。
• 其主要问题是对资源的管理和协调难度增长，须要很强的协调能力，并且不能彻底保证成功。
• 适用于致力于利润的持续增加与业务创新的公司。他们的IT准则是强调流程、系统、技术和数据模型等方面的共享和重用。他们引入联邦型治理机制，以处理全公司范围内的控制和局部控制之间的矛盾。

2.3 流程管理原则

IT治理流程的设计是为了可以在跨业务部门的流程中顺利完成IT业务的操做，是完整的、可见的，而且是可管理的。应遵循以下设计原则：

• 流程设计的目的是要创造价值的，因此必须剔除全部的无价值的环节。
• 高价值的流程是流程设计的重点，这样才能集中企业有限的管理资源产生最大的回报。
• 流程是持续的，须要不断创新的，而不是重复的整理历史。
• 只有明确的责任人，才能保障流程每一个环节的顺畅流转。

2.4 管理制度原则

• 制度的制定要职责清晰、流程明确，在事前可使员工对工做心中有数，事中可使工做流程顺畅，过后有问题能够追求责任。
• 应首先考虑在影响面大或涉及部门、员工多的工做中创建工做制度，逐步增长和完善，造成覆盖信息化工做的各个方面、各个阶段、各个环节的制度体系。
• 成熟规范的工做流程能够逐步转化为制度加以固化，成熟的制度可进一步上升为IT管理标准。

做者：韩锋

首发于公众号《韩锋频道》，欢迎关注。

来源：宜信技术学院