跨出IT治理第一步

发布时间：2006年09月14日点击数： 作者：ITGov 来源：本站原创

【字体：小 大】 【收藏】 【打印文章】 【查看评论( 0 )】

摘要:

“我感觉就像是当年的十月革命一声炮响，给中国带来了马列主义一样，国外IT治理、IT服务管理的理念与最佳实践必将给中国的信息化建设带来一场管理上的革命。我们终于找到了多年来一直探寻的电子政务建设中至关重要的正确的认识论和方法论。”，国家财政部信息网络中心赵晓光处长在2003年时第一次听到关于IT治理介绍时激动地说。在此之前，他搞信息化从来听的都是技术讲座，金财工程培训预算有上千万，以往全部为技术培训，并且作为国家级的信息化建设项目，全国财政系统的信息化人员在技术上积累了丰富的经验。但是财政信息化建设如何支撑和引领公共财政体制的改革与发展，正成为金财工程领导关注的焦点。在今天，成功的信息化建设，必须从转变思维方式开始，越来越多的CIO认识到，技术路线的思维范式正是产生上述问题的原因，要解决好这些问题，治理和管理是关键。此后赵处长迫切希望国家财务信息负责信息化的领导都能认识到IT治理的重要性，开始促成全国财政系统管理和治理的培训。三年来已举办五期全国性的信息化治理与IT领导力培训班，IT治理的工作也作为金财工程立项和可研报告中的重要内容，四川省财政厅和天津市财政局的IT治理推进已经取的可喜的成果。

    “推广IT治理理念，转变思维范式，统一思想认识，这需要一个渐进的过程”， ITGov中国IT治理研究中心主任孙强深有体会。三年前第一次举办全国财政系统IT治理培训班，反响强烈，并且上了金财工程简报，但也有部分省厅信息化领导认为意义重大，但IT治理是在金财工程建设完之后的工作。在今年的培训结束后，各省领导的思想认识前所未有的统一，以IT治理关注的领域之一信息化绩效评价为例，大家普遍认识到这不是传统意义上后评价的概念，而是过程中控制的理念。如果我们没有评价和监控信息化的框架，那么，治理、IT与业务战略的一致性、价值交付、风险管理以及资源的有效利用等都将无从谈起。在反馈建议上，多数信息中心领导留下了这样一句话，“能给我们分管信息化的领导讲讲就好了”，这正是孙强希望达成的效果，“IT治理是所有人的责任，但它首先是高管层的责任，信息化不再是一把手重视不重视的问题，它是一把手的责任”。

    孙强认为在产生“信息孤岛、与业务脱节、IT投资黑洞等问题的体系内是找不到出路的”，必须跳出来站在更高的层面找方向。因此，给高官层洗脑正是孙强近期推广IT治理工作的重点。从去年华立集团董事会“公司治理、IT治理与中国企业的国际竞争力”培训开始，孙强的团队开发了“中国IT治理及全面风险管理人才培养计划”和“中国IT治理智库系列丛书”，大规模成系列地开展IT治理推广活动。

    目前，虽然也有不少领导层称非常重视信息化，但另一个难题是，他们并不知道到底应该怎么去重视。领导层在各种会议上高谈信息化的重要性，号召全员要统统配合，任何人不得以任何理由阻碍信息化建设，但最终在执行中却没有落实责权，导致信息化建设的结果与规划和预想不符。因此我们看到很多CIO会说，我们这里领导也很重视，可是我搞起信息化来还是感觉到困难重重。

    “上无司令部，下无责任人”的困局在中国的信息化建设中越发凸现。IT治理正是要“为鼓励IT应用的期望行为而明确决策权归属和责任承担的框架”

董事会的新职责

    如果说过去企业投资IT是希望它能带来高效和低成本，以及创收或支持决策，那么在后萨班斯时代，《萨班斯法案》、国际财务报告准则、新巴塞尔协议以及新修订的《证券法》、《公司法》都在从不同程度加强公司上下对IT职能的期望，那就是信息安全、透明、可被审计监控，也让董事会开始承担新的职责。董事会必须关注内部控制和信息系统，因为它是履行其他责任必须依靠的机制。

     曾有一位金融行业高管直言不讳的说，“上级就看我们的业绩，今年业绩不行，立刻下台，我现在满脑子都是市场，哪有功夫抓什么IT治理。”处在转轨时期的中国企业家无一不抱着做大做强的梦想，火车跑得越快越好，用什么机制和体制保证火车在轨道上长期平稳的跑，而且不出轨却被高管们忽视。安然公司在管理、产品、电子商务等方面的创新举世闻名，就是这样一家管理卓越的500强企业却一夜之间倒闭了，因为它在治理上出轨了。恐龙又大又强，可是它却从这个地球上消失了，很多专家认为《萨班斯法案》是历史的分水岭，我们当务之急就是要适应环境的变化。

    “中国在美上市企业正在为此不得不付出高昂的学费，问题在于，付出如此昂贵的学费，我们能否进行理性决策和理性选择。”孙强指出，一些企业片面追求信息化建设的速度和效果，以10个月就能完成核心业务系统开发并在全国迅速上线为荣，问题是在这么短的时间内只能追求功能的完善，而几乎无法兼顾控制、风险管理和信息安全上的考量。那些在美上市公司现在暴露出很多这方面的问题，如现有应用系统没有进行分级加密设计，如要增加此项功能，则需要更新软件版本，需要投资和时间。应用系统开发、变更无测试环境。应用系统本身没有规范的密码设置、超时退出、帐户密码锁定等安全参数要求。现有应用系统的很多操作都需要在后台进行处理，如果采用授权机制，也不能完全满足内控的要求，审批的流程会增加大量的记录工作量，并且直接访问修改后台数据还会涉及到数据库管理员与应用管理员职责不能分离的情况。要想解决好以上看似简单的问题，在合规项目时间紧、任务重、范围大的情况下，必然困难重重。

    因此孙强提出，信息化建设的正三角（即上而下依次是董事会或高管层、执行经理层、IT团队，越往下的群体职责多）应该倒立过来，变为董事会或高管层处于职责最多的位置，高管层的作用越大，IT团队就越容易执行，信息化建设的成效就越显著。具体而言，高管层的职责是设计、实施、维护和监控内部控制和风险管理体系，尤其是对IT的控制，以确保所有的商业策略、规程和业务流程都在合法合规的轨道上运行。SOX 404 实际上就是要求高管层要对企业内部控制的有效性负法律责任。据最近的一项调查，自02年以来，已经有500起这样的案件，其中最高判刑有20年的，这些企业的高管们正在监狱里渡过他们的余生。

    ING集团是一家源自荷兰的全球金融服务机构，它为全球六千万家私营企业、集团和政府机构等客户提供银行、保险和资产管理服。这家十年前就开始实践IT治理、并被公认在IT治理方面做得最成功的企业董事会就鼓励董事会寻找下列问题的答案： IT是如何给业务增加价值？ 有多少IT项目失败，不能按时完成交付承诺？ 董事会是否对此有清晰的认识：与竞争对手相比，企业在IT上的投资有多少？ING的董事会成员还有责任确保采取了用于提供答案的机制。 同所有企业一样，有时答案读起来会令人不舒服，但是至少问了这些问题，还找到了答案。不知即为福总是非常短暂的！

    在国外一些较早开展IT治理的企业，如ING集团、摩托罗拉公司、联邦快递等也通过在内部建立IT战略委员会（或IT治理委员会）的方法来解决董事会参与IT治理中“上无司令部”的问题。 通常IT治理委员会由组织的最高管理层（董事会）及管理执行层的重要成员组成，定期召开会议，就企业战略与IT战略的驱动与设置等议题进行讨论并做出决策，为组织IT管理提供导向与支持，把IT治理的相关机制融入到企业治理中。正是凭借着善治的公司治理和IT治理，摩托罗拉成功地从二十世纪末全球通讯业的大萧条中恢复过来。孙强认为，与之形成强烈反差的是尽管我国很多企业和政府部门也有信息化建设领导小组，但他们普遍不是治理而是管理层面的，缺乏正式的运作机制保障，治理层面的业务战略与IT在大方向上就脱节，在这种情况下，CIO在那里整合业务与IT也是南辕北辙。单就产品和服务而言，我国有些企业是超越竞争对手的，但公司治理和IT治理的缺失，使得我们的企业在国际市场上竞争时，就先输了一步棋。

   
“IT治理和管理要取得成功，企业必须从管理层面来考虑，而不能仅仅从IT建设的层面。在海关IT管理项目中，就是由海关信息中心的司长亲自推动的”，中国海关总署高级IT工程师王睿武深有感触的说。现在，国内一些较早接受“治理”思想的企业家或政府高管已经开始直到一把手关注信息化应该如何下手。如何建立推动北京电子政务建设的长效机制，对此北京市长王岐山就深谙IT治理的要义。王岐山市长亲自批示““市府各委、办、局信息化工作均应配合加强基础工作的步伐，为最终实现电子政务铺平道路，信息化水平应列入年终委、办、局考核的单项指标。”。作为北京市电子政务绩效评价咨询项目的整体负责人，ITGov中国IT治理研究中心孟秀转博士深有感触，由于电子政务建设同绩效考核直接挂了钩，北京市61个委办局的重视程度一下提高一大截，很多委办局开领导班子会议研究电子政务工作，绩效评价的“指挥棒”解决了多年存在的很多大问题。

   

划清组织职责

    当一个企业的IT建设有了由最高管理层参与并承担责任的IT治理委员会后，接下来亟需明确IT管理过程中各岗位的责任，扫除“下无责任人”的障碍。

    “应该说不管什么管理问题，本质上是责权利要明确的问题，现在的问题是职责不明确，尤其是治理层面的职责不明确。很多企业在人财物的管理机制上都很健全，但就是信息化建设，无论大问题还是小问题，出了问题不知道该打谁的板子”孙强根据多年经验果断地说。在他看来，影响信息化建设的原因很多，如思想认识问题、体制机制问题、专业技术队伍问题、资金问题等等。这些问题都很重要，哪一个问题解决不好都会严重制约信息化工作的推进。但是，最重要、最关键的问题还是领导重视问题，并且一定要落实领导责任制。因为领导重视必然会在体制和机制上有所体现。最高管理层应确保对管理层、部门、运维人员职责进行规定并形成书面文件。

    划清了职责，信息化建设中很多时候都会出现的互相推诿现象就会大大减少，只要此人签了字就对此事负有责任，IT建设出了问题，就知道该打谁的板子，然后解决问题。否则大家都没责任，就老出事，老出问题，信息化建设没法成功。我们不是经常听到CIO抱怨，IT实践结果和规划相差甚远，多半原因出在执行不力上，再往深追究则是IT管理过程中的职责不明。

    拿中国网通（集团）有限公司河北省分公司来说，在2005年之前，仅由于业务需求管理中责任不明这一项就给企业信息化建设带来不小的麻烦。他们当时只是抽取了部分市公司一线操作人员的需求，由于这样的后果是信息系统不能满足公司整体的需求，经常是刚刚开发完成的系统就需要大量修改，任何项目的工期至少半年延长，影响了企业的发展。因此在2004底通过与ITGov中国IT治理研究中心合作，借鉴IT治理思想完成设计的一套信息化管理控制体系中，他们专门将业务需求分析管理作为切入点。整个过程，不仅流程清晰，其中的责权关系也被划分的十分清楚：企业信息化部负责业务需求开发，支撑共享中心负责需求维护，这样从省公司层面两个部门分工明确，提高了需求管理的工作效率。企业信息化部对新建信息系统的需求开发过程中，将业务需求的汇总渠道分为三个层面，在专业层面，信息系统的业务需求提出者是公司市场、运行维护、计划建设、综合管理等所有部门；在组织层面，省公司本部、省公司直属单位、市分公司、县分公司都属业务需求提出者；在人员层面，公司高级管理者、中层管理者和生产一线的员工为业务需求提出者。同时省公司各业务主管部门要根据业务策略，将汇总的业务需求进行梳理，并转化为业务流程。然后，企业信息化部将其分析优化，得出信息化的流程，理出与人工流程的接口，完成信息需求规格说明书，交付开发商，并对开发商的工作过程进行监控。

    据了解，在河北网通按照新出台的IT管理控制体系运作后，一个市级共享中心的主任，要签字的表单多达将近300多份，IT管理变得有序多了。

   
    图：ITGov中国IT治理研究中心 孙强

      孙强将IT治理总结为这样一个等式：IT治理=领导力+治理流程+组织架构，将信息化总结为这样一个等式：信息化=信息化建设+管控体系。多年的IT治理和信息化管理咨询工作让他越发觉得信息中心存在近十年的规划、建设和运营的内部职能划分已经不能适应当前业务发展的需要，合理改进组织架构非常重要。“一个企业有了管控体系之后，没有人负责控制，是一件非常要命的事”。毛主席的精辟语录——政治路线确定以后，干部就是我们的生命线，在此非常适用。网通过去也没有专门的IT管控岗位，在管理体系建好后，孙强多次与集团信息化部门领导沟通，他们最终设立了管理处，专人负责IT管控工作。在上海贝尔阿尔卡特、华为3COM等国内信息化建设优秀的公司，也专门设有“CIO办公室”这样一个职能部门。上海贝尔阿尔卡特的CIO办公室就设有IT治理经理。另外，CIO向谁汇报在IT治理中也变得越发重要，是决定信息化成败的一个非常重要的因素。我国企业在这方面迫切需要借鉴国际上的一些最佳实践。

    不只是IT治理需要制定划清组织责任，要想保证任何信息化项目的成功，此项条件在任何时候任何部门，包括IT部门内部也不可少，IT治理首先要杜绝“IT灯下黑”的现象。“像大多数其他部门一样，IT部门也基于部门划分的（silo-based）而不是面向流程的管理方式。每一流程都应指定一位流程负责人。该负责人应当关注流程的结构及流向而不是人员安排和其它部门性事务。” BMC 公司Deming博士根据ITIL的思想提醒CIO。

灵魂深处闹革命

    “别把IT治理想得神乎其神，它就是一种新的世界观和思维范式。”常听一些实践过IT治理的CIO这样讲。事实上，从IT治理、IT管控、信息系统审计这些名词上可以看出，就是要将IT拉下高科技神秘化的神坛，而至于业务的控制之下。技术仅仅是满足我们我们管理控制措施的一种手段而已。因此准备跨出IT治理第一步的企业，除了让领导重视，花费至少几个月的时间落实领导责任制外，何不先从改变每个人思维方式做起。

    四年前，ITGov中国IT治理研究中心就旗帜鲜明地指出，当前我国信息化建设中最大的问题，不是技术问题，也不是资金问题，而是缺乏科学的IT管理理念；我国IT领导者最大的问题不是缺少经验和能力，而是缺乏卓越的管理素质和管理方法。

    对于在我国较早尝试进行IT治理实践的中国中化集团公司信息技术部总经理彭劲松来说，IT治理带给他的首先是一种思维方式、做事方式的改变。他利用IT治理的思想和工具，首先解决从业务战略目标怎么样细分成IT战略目标，再从IT的战略目标怎么样细分到流程目标问题，从流程目标再细分到任务和活动的绩效目标，然后通过购买新的软硬件来得以实现，最终他发现，流程目标和业务战略对应上了，并且通过流程管理，任务和活动的绩效目标流程目标、IT战略目标、业务战略目标都得到了实现。其实这是一种精细化管理的思想，这也是西方式管理的优势。现在，他的整个IT团队的思维方式都已经发生变化，技术人员考虑的不再仅仅是技术，IT一定要与企业战略、业务挂钩已烙印在他们心中。

    再比如，技术路线思维范式的CIO看到数据挖掘、千兆防火墙等新技术非常不错，理所应当的认为有了他们一定比没有时信息化做得更好。但是他们并没有从上述科学的角度分析，买了这个系统是否增强的恰恰是企业那块最短的木板，木桶原理人人会背，但是是否能够用好就另当别论了。按照IT治理的思想，CIO需要回答这样一些问题，为什么要建这个系统，如何从业务战略一步步细分下来，如何在一步步在返回去进行绩效考评，如何持续改进管理工作。

    治理还强调上下互动和协调。过去信息化建设者经常会说到“牵头”这个词，一方牵头多方配合，从治理的角度看，这是一种错误的思维范式，因为牵头方是必站在自己的利益上，往往背离民主科学决策 ，但是“协调”的平等性和互动性就要强很多。IT部门在推行IT项目时就需要抱着“协调”的态度，这样更容易得到业务部门的合作，也往往能够事倍功半。

行IT治理之实

    目前IT治理已经在中国企业有了越来越多的实践探索。IT治理体现在IT治理机制、IT治理流程和IT领导力等方面，归根到底是责任担当机制，目的是实现IT与业务的融合，完善公司治理和实践科学的信息化发展观。中国IT管理咨询的一个现实是，头疼医头，脚疼医脚，瞎子摸象，各报一角，难以做到有效的整合，让咨询发挥合力，IT治理的出现，提供了一次机会，那就是建立一个综合的框架，让企业在各方面所作的咨询工作围绕着业务战略发挥合力。

    上期“IT治理的混沌期”一文中神州数码的郑小维女士带领下的IT管理团队在IT治理上面就进行了很多有价值的实践，如IT治理机制，神州数码构建了“非常6＋1”的IT治理机制，业务和IT构建“联邦制”的决策机制，共同作出IT投资和其他重大决策，实现了“IT与业务的统一，管理与服务的统一”；在责任担当机制上，通过服务级别协议（SLA）、服务目录和各种管理规范做到了责任明晰；在IT治理流程上借鉴了ITIL，从服务的视角实现了IT管理流程。

    ITGov中国IT治理研究中心孟庆麟先生主持了华为、中兴等一大批企业的IT治理和信息安全管理体系建制工作，孟庆麟先生认为构建基于国际最佳实践的IT治理机制和信息安全管理体系，就是中国企业走向国际的通行证。ITGov中国IT治理研究中心通过调研发现很多企业已经将IT治理的理念，有意识或无意识地应用到了组织中。简单概括就是“行IT治理之实”。至于是否接受“IT治理”这个新概念，孙强认为到无关紧要。IT治理已经融入了组织管理的方方面面。同时根据调研我们发现，国内企业在IT治理方面的实践，更多地体现为自发性，同时缺少系统性和规范性。所以IT治理理念的推动和成功的实践还需要官产学媒体等各方的共同努力。

    最后，孙强告诉记者：值得引起重视的是，国内很多组织对IT治理理念依旧存在部分误区，认为“IT治理＝CobiT”、“IT治理＝SOX”，“我们是传统行业或小企业，不需要IT治理”以及“IT治理离我的组织很遥远，我们还忙于建设”等。所以IT治理领域的推动任重道远，需要媒体、研究机构、企事业单位大家共同的努力。目前我们通过出版、认证培训在理念的宣传上已经取得了不错的效果，我们也将持续将该推动工作进行下去。