IT治理概述

　　1、何為IT治理

　　在企業(yè)信息化建設中的最大問題，往往不是技術問題，也不是資金問題，而是缺乏科學的IT管理觀念。IT領導者最大的問題不是缺少經驗和能力，而是缺乏卓越的管理素質和管理方法。正因為如此，才引入了"IT治理"這個概念。從定義上講，IT治理，是指設計并實施信息化過程中，各方利益最大化的制度安排。其目的是實現組織的業(yè)務戰(zhàn)略，促進管理創(chuàng)新，合理管控信息化過程的風險，建立信息化可持續(xù)發(fā)展的長效機制，最終實現IT商業(yè)價值。

　　2、IT治理目標

　　目標1 - IT與組織戰(zhàn)略互動

　　通過研究組織的發(fā)展遠景、內外部環(huán)境、業(yè)務策略和管理基礎上，形成信息化的遠景、信息系統(tǒng)的組成架構、信息系統(tǒng)各部分的邏輯關系，以支撐戰(zhàn)略規(guī)劃目標的達成。針對信息系統(tǒng)的支撐硬件、軟件、技術等進行計劃與安排。這其中的難點在于，需要理解組織的關鍵目標，才能制定IT戰(zhàn)略目標，進而轉化為IT治理有效行動。多變的組織戰(zhàn)略是不利于IT戰(zhàn)略的可持續(xù)發(fā)展。

　　目標2 - 有效利用信息資源

　　信息資源的開發(fā)和利用是信息化建設的核心任務，是信息化取得實效的關鍵，是衡量信息化水平的一個重要標志。通過IT治理可以對信息資源的管理職責進行有效的制度設計，保證投資的回收，并支持業(yè)務戰(zhàn)略的發(fā)展。避免出現投資過大、效果不佳；信息孤島、無法共享；工程超期、不滿足需求等問題。

　　目標3 - 管理信息化風險

　　企業(yè)發(fā)展越來越依賴于信息化建設水平，因而IT風險是企業(yè)需要關注的。技術迭代越來越快，新的技術不斷涌現，如何避免新技術帶來的風險也是需要從管理角度加以關注的。此外，隨著近些年國家對個人隱私、數據安全的關注，此類風險也是需要企業(yè)重點關注。通過制定信息資源的保護級別，強調關鍵的信息技術資源，有效實施監(jiān)控，事故處理。

　　目標4 - 構建可持續(xù)發(fā)展機制

　　企業(yè)內信息化建設，需要有個可持續(xù)發(fā)展機制。不能簡單依靠領導命令方式，而轉換為一個長期的發(fā)展規(guī)劃。輔助以績效評估手段，才可以構建信息化可持續(xù)發(fā)展的長效機制。

　　3、IT治理、企業(yè)治理、IT管理的關系

　　這是三個很容易混淆的概念，只有理清三者關系，才能有效推動治理落地。

　　【企業(yè)治理】

　　企業(yè)治理，主要關注利益相關者的權益和管理，包括一系列責任和條例，由最高管理層和執(zhí)行管理層實施，目的是提供戰(zhàn)略方向，保證目標能夠實現，追求投資的最大產出比，風險適當管理并合理使用資源等。

　　【IT治理】

　　IT治理，主要關注企業(yè)的IT投資是否與戰(zhàn)略目標相一致，從而構筑必要的核心競爭力。IT治理要能體現未來信息技術與未來企業(yè)組織的戰(zhàn)略集成。既要盡可能地保持開放性和長遠性，以確保系統(tǒng)的穩(wěn)定性和延續(xù)性。

　　【IT管理】

　　IT管理，是在既定的IT治理模式下，管理層為實現公司的目標而采取的行動。

　　企業(yè)治理側重企業(yè)整體規(guī)劃，IT治理側重與企業(yè)中信息資源的有效利用和管理，提升企業(yè)信息化的核心價值。IT治理應該體現"以組織戰(zhàn)略目標為中心"的思想，通過合理配置IT資源來創(chuàng)造價值。

　　IT管理關注的是企業(yè)信息及信息系統(tǒng)的運營，確定IT目標以及實現此目標所采取的行動；而IT治理是指最高管理層利用它來監(jiān)督管理層在IT戰(zhàn)略上的過程、結構和聯系，以確保這種運營處于正確的軌道之上。兩者互不可缺，單純只有IT治理，目標無法落地；單純有IT管理，則缺乏方向性。

　　4、IT治理理論

　　COBIT，信息系統(tǒng)和技術控制目標

　　美國信息系統(tǒng)審計與控制協(xié)會-ISACA，于1996年推出了用于"IT審計"的知識體系COBIT。"IT審計"已經成為眾多國家的政府部門、企業(yè)對IT的計劃與組織、采購與實施、服務提供與服務支持、監(jiān)督與控制等進行全面考核與認可的業(yè)界標準。作為IT治理的核心模型，COBIT包括34個信息技術過程控制，并歸集為四個控制域:IT規(guī)劃和組織、系統(tǒng)獲得和實施、交付與支持以及信息系統(tǒng)運行性能監(jiān)控。

　　ITIL，信息技術基礎架構庫

　　一套被廣泛承認的用于有效IT服務管理的時間準則。1980年以來，英國提出和完善了一整套對IT服務的質量進行評估的方法體系，成為ITIL。2001年，英國標準協(xié)會在國際IT服務管理論壇上正式發(fā)布了以ITIL為核心的英國國家標準BS15000。ITIL是一套詳細描述最佳IT服務管理的叢書。它是一種公共框架、最佳實踐框架、服務質量是ITIL的核心。但ITIL只說明了要做什么，沒有說明如何去做，企業(yè)應根據需求去參照ITIL框架進行IT服務管理的建設，而不應追求大而全；并且ITIL不是一個理論模型，而是一個最佳實踐庫。

　　ISO/IEC17799，國際信息安全管理標準體系

　　2000年12月，國際標準化組織ISO正式發(fā)布了有關信息安全的國際標準ISO17799，這個標準包含信息系統(tǒng)安全管理和安全認證兩大部分，是參照英國國家標準而來的。它是一個詳細的安全標準，包括安全內容的所有準則，由十個獨立的部分組成，每一節(jié)都覆蓋了不同的主題和區(qū)域。它以"計劃、實施、檢查、行動"模式，將管理體系規(guī)范導入機構或企業(yè)內，以達到"持續(xù)改進"目的。

　　PRINCE2

　　是一種對項目管理的某些特定方面提供支持的方法。PRINCE2描述了一個項目如何被切分成一些可供管理的階段，以便高效地控制資源的使用和在整個項目周期執(zhí)行常規(guī)的監(jiān)督流程。PRINCE2的視野并不僅僅限于對某個項目的管理，還覆蓋了在組織范圍對對項目的管理。

　　5、IT治理實踐

　　1）前提條件

　　明確目標

　　IT治理活動與企業(yè)治理過程相結合，并有企業(yè)領導的參與。IT治理專注于企業(yè)目標和戰(zhàn)略，使用技術提高業(yè)務水平，并滿足業(yè)務需求的足夠可用的資源和能力。

　　組織架構

　　成功的IT治理首先需要有一個明晰的IT治理組織架構，并且組織機構中的各個部門(包括人員)都有明確的角色和相關職責的定義。

　　治理流程

　　IT治理流程是保證企業(yè)的相關部門采用合理的步驟進行IT治理活動。制訂相關流程和規(guī)范并有效實施。它應是根據企業(yè)需求出發(fā)并落實責任到人。

　　管理制度

　　IT制度是將日常的流程進行固化并形成對企業(yè)的規(guī)范，需要每個員工都加以遵循的一種措施。同時提供必要的手段，進行監(jiān)督管理，最終形成一種控制的環(huán)境或文化。

　　2）治理模式

　　目前主流的IT治理的組織模式有：專制管理模式、聯邦型管理模式、分散管理模式三種。

　　專制管理模式

　　由IT部門或某強勢業(yè)務部門管理項目投資、建設和維護。IT治理決策完全由該部門負責。

　　其主要優(yōu)勢是成本導向型架構，能較好管理IT資產和系統(tǒng)，長期來看能夠節(jié)約IT成本。

　　其主要問題是決策過程中業(yè)務部門不參與，因此響應速度較慢，缺乏創(chuàng)新。

　　適用于追求短期利潤的公司，所需的IT行為在追求低的業(yè)務成本上高度標準化。

　　分散管理模式

　　由各業(yè)務部門獨立負責項目投資、建設和運營，IT治理的策略由部門自行決定。

　　其優(yōu)勢是業(yè)務部門開發(fā)能力，IT人員能理解業(yè)務流程并參與系統(tǒng)建設，對業(yè)務部門的需求響應更為及時，創(chuàng)新能力增強。

　　其主要問題是業(yè)務部門戰(zhàn)略和整個企業(yè)戰(zhàn)略可能出現不一致的情況，IT資產不能共享，長期來看會導致成本上升。

　　適用于新成立的公司或研發(fā)類的公司。他們是以收入增長作為成功的度量標準，所需要的治理機制也很少。

　　聯邦型管理模式

　　由IT部門與業(yè)務部門聯合進行IT管理，各自負有明確的職責。IT治理決策由多部門在衡量各種影響因素之后做出。

　　其主要優(yōu)勢是IT部門和業(yè)務部門共同進行IT決策，在一定程度上可以克服前兩種模式的缺點。

　　其主要問題是對資源的管理和協(xié)調難度增加，需要很強的協(xié)調能力，而且不能完全保證成功。

　　適用于致力于利潤的持續(xù)增長與業(yè)務創(chuàng)新的公司。他們的IT準則是強調流程、系統(tǒng)、技術和數據模型等方面的共享和重用。他們引入聯邦型治理機制，以處理全公司范圍內的控制和局部控制之間的矛盾。

　　3）流程管理原則

　　IT治理流程的設計是為了能夠在跨業(yè)務部門的流程中順利完成IT業(yè)務的操作，是完整的、可見的，并且是可管理的。應遵循如下設計原則：

　　流程設計的目的是要創(chuàng)造價值的，所以必須剔除所有的無價值的環(huán)節(jié)。

　　高價值的流程是流程設計的重點，這樣才能集中企業(yè)有限的管理資源產生最大的回報。

　　流程是持續(xù)的，需要不斷創(chuàng)新的，而不是重復的整理歷史。

　　只有明確的責任人，才能保障流程每個環(huán)節(jié)的順暢流轉。

　　4）管理制度原則

　　制度的制定要職責清晰、流程明確，在事前可以使員工對工作心中有數，事中可以使工作流程順暢，事后有問題可以追求責任。

　　應首先考慮在影響面大或涉及部門、員工多的工作中建立工作制度，逐步增加和完善，形成覆蓋信息化工作的各個方面、各個階段、各個環(huán)節(jié)的制度體系。

　　成熟規(guī)范的工作流程可以逐步轉化為制度加以固化，成熟的制度可進一步上升為IT管理標準。