【IT168 技术文章】
伴随着信息化建设的深入开展,信息化战略定位、信息化绩效评估、信息化项目管理、信息化投资风险管理、IT服务管理等成为中国信息化的热点问题,而IT治理作为一个全新的概念,更成为上述所有热点问题的交汇点。
不是概念是制度
了解IT治理,首先要知道什么是公司治理。公司治理 (Corporate Governance)是属于企业制度层面的内容,其核心在于企业通过权力制衡,监督管理者的绩效,保证股东和其他利益相关主体的权利。那么,从公司治理的含义,能不能望文生义地说“IT治理(IT Governance)是股东对IT经营者的一种监督与制衡机制”呢?最早提出IT治理概念的国际信息系统审计与控制联合会(ISACA)对IT治理做出了如下的定义:“IT治理是公司治理的一个有机组成部分,它包含领导力、组织结构和流程等制度和机制,其确保IT维续和扩展组织的战略和目标。”
于是,IT治理就包含了以下几层含义。首先,IT治理是公司治理的一个有机组成部分。信息化建设中,一个共识已经达成,即企业信息化是企业经营管理的一个有机组成部分,目前,信息部门已经是企业的一个重要部门,CIO是企业管理层的重要成员,信息化服务和管理流程也逐步融合到了企业的业务管理流程中。但在进一步推进信息化建设过程中,我们还必须达成另一个共识,即IT治理是公司治理的一个有机组成部分,它体现了股东、董事会和管理层对信息化建设的关注。其次,IT治理是一种制度和机制,包含了管理和制衡IT与业务匹配、IT投资价值、IT风险和IT绩效的领导力、组织结构和流程。再次,IT治理的目标是实现股东和其他利益相关主体对信息化建设的监督与制衡,以保证信息化建设能够真正落实和贯彻组织业务战略和目标。
作为公司治理的一个有机组成部分,股东是IT治理的核心主体,但IT治理的主体不仅局限于股东,而是包括股东、债权人、雇员、顾客、供应商、政府、社区等在内的广大公司利益相关者。不同主体对IT治理的关注点是不同的。股东和管理层比较关注低成本、高收益、并有助于增加公司的市场份额;客户关注的是更为快速、低成本、易于使用地享受更多的服务;而政府部门则对如何方便服务、引导和监督比较看重。
因此,董事会、经营者、IT管理者就成为IT治理的客体对象。但是三者的需求以及任务又是截然不同的。董事会在IT治理中应当被股东价值所驱动;采用IT治理的框架,关注IT与业务的匹配、IT价值贡献、IT风险管理;认真衡量信息化建设结果。经营者在IT治理中要保证IT战略与业务发展目标的匹配;把IT战略和目标分解到组织,建立有助于IT战略实施的组织结构;采用一个控制和治理结构;提供IT基础结构以创造和共享业务信息,在组织中明确风险管理的责任;关注于重要的IT流程和核心的IT能力,以及IT绩效管理。
监督与制衡
目前,对企业来说,IT已经不仅仅是技术,它更具有战略意义。IT战略是企业战略的有机组成部分,它对实现业务创新和管理提升具有重要意义,因此股东和董事会有必要建立对IT的监督和控制机制。随着企业信息化建设的深入,IT对业务的作用越来越关键。这种关键性来自于各项业务对于信息系统、信息资源和通信网络不断增强的依赖性;IT技术的潜力急剧改变了企业和业务实践,创造了新的机会并降低了成本;在一个互联的世界中,从事业务经营的风险也在不断加大;IT项目的失败不断影响IT声誉和企业的价值;借助IT实现知识管理对保证企业业务的发展十分关键等方面。这种关键性使得股东和董事会更多关注IT治理成为必然。但长期以来,人们对信息化的期望值普遍偏高,但是信息化建设状况却与期望差距很大,以致有人把IT描述为“IT黑洞”。这种期望与实际间不匹配情况的出现,在很大程度上是因为对IT项目的投资、风险和绩效等缺乏一个有效的监督和制衡机制,因此,IT治理十分必要。
而对于绝大多数人来说,IT是一门纯粹的技术,业务人员以及一些管理人员还仅仅是把它当作一种工具和手段,IT一直没有得到它应该得到的重视。这主要是因为信息技术日新月异,与其他学科相比,需要具备更好的专业技术基础,才能很好理解IT与业务、风险和机会的关系。因此,有必要从治理的高度提升企业对IT的重视。
此外,IT涉及巨大的投资和极大的风险。随着网络和Internet技术的发展,企业对IT的投资动辄上亿,例如中国工商银行近几年的数据大集中项目涉及全国几十家省级分行,投资已经达到几十个亿。随着IT投资增大,IT的风险也逐步加大。IT治理能够有效保护IT投资,规避IT风险。
持续的循环过程
中国企业信息化建设已经经历了从无到有,从单机到联网,从简单的“应用电子化”到复杂的“管理信息化”的发展过程,IT管理理念也经历了从IT应用、IT服务、IT管理到IT治理的完善阶段。那么,企业究竟应该在信息化建设的哪一个阶段引入IT治理机制呢?赛迪顾问认为,对企业来说,IT治理是一个持续的循环过程,有IT流程就应该有IT治理。在信息化发展的初始阶段,组织并没有体会到它的重要意义,往往忽略了IT治理,于是,信息化建设与业务的不匹配、信息孤岛、信息投资黑洞的产生等信息化建设初期IT治理缺失所造成的恶果便频繁出现,因此从信息化建设的初始阶段就应加强IT治理机制的建立。同时,IT治理是股东或市场(含政府)他律的机制,因此治理通常被理解为一种事后的监督机制。但是,为了实现与信息化建设的互动,需要建立从事前、事中到事后的监督和控制机制。
为了成功地实现IT治理,企业必须拥有较为完善的公司治理结构和治理环境,这是IT治理的基础环境。以国有商业银行为例,由于四大国有商业银行还没有改造为股份公司,没有建立完善的现代企业制度,更谈不上形成合理的公司治理结构。国有商业银行公司治理结构的缺陷也使IT治理的机制不健全,因此对国有商业银行IT治理环境的建立是首要解决的问题。同时,IT治理的基础条件是企业已经把IT看作企业经营管理的一个有机组成部分,企业股东和相关利益者充分理解IT的价值和意义,从企业员工到企业最高管理层对IT有基本的认同。由于IT治理的复杂性和专业性,治理层必须强烈依赖企业的下层来提供决策和评估活动所需要的信息。为保证有效的IT治理,下层应用要和企业总体目标采用相同的原则,提供评估业绩的衡量方法。因此,好的IT治理实践需要在企业全部范围内推行。
此外,IT治理应遵循一定的方法论。即在业务目标的驱动下,制定IT战略,并保证IT战略与业务战略目标的匹配 ;挖掘业务需求,完善信息系统建设,使IT真正为业务提升、管理创新贡献价值;实施IT项目管理与风险管理;进行IT绩效评估。这是一个循序渐进的往复循环的过程,通过这个过程,IT治理将逐步实现股东的利益。
在IT治理过程中,需要一个核心的控制框架。COBIT(“信息和相关技术的控制目标”)是ISACA提出的IT治理的控制框架,它包括以下几个方面:把被控制的IT流程分为四个领域,即系统规划、系统获取和实施、系统交付和维护、系统监控,每个领域中包含多个IT流程,共34个IT流程;对每个流程设定一个高层次的控制目标,从7个信息准则上去监控;针对管理层和IT参与者共300个详细的控制目标;建立在这些控制目标上的大量IT流程的审计指南、实施指南和管理指南。