CIO绩效考验：IT治理和IT管理,谁先谁后？

发布时间：2010年04月19日点击数： 作者：龙振新 来源：比特网

【字体：小 大】 【收藏】 【打印文章】 【查看评论( 0 )】

摘要:
据某权威IT机构在2010年第一季度调查显示，为了使企业更好的走向经济复苏，许多企业的CIO将会更专注于企业内部的IT优化。其中，在CIO选出的十大商业目标中，前三项都与企业内部营运有关，分别是业务流程改进、降低企业成本、改进人力效率。

据某权威IT机构在2010年第一季度调查显示，为了使企业更好的走向经济复苏，许多企业的CIO将会更专注于企业内部的IT优化。其中，在CIO选出的十大商业目标中，前三项都与企业内部营运有关，分别是业务流程改进、降低企业成本、改进人力效率。要实现这些目标，提高IT绩效是核心一步，而提高业绩成效就涉及到IT治理和IT管理这两大问题。

在上周，我参加了一个CIO研讨会，主题是“为了提高IT绩效，IT治理和IT管理，谁先谁后？”。在研讨会上，大家一致认为良好的IT治理和IT管理将有助于企业更好的步上经济复苏。因为目前IT应用的差异不是在于信息技术的先进性，而是由信息化管理水平的高低来决定的。也就是说，在经济复苏时期，企业IT建设迫切需要解决的不是技术的问题，而是要建立完善的IT治理结构。本文分享我对本次研讨会主题的一些思考和看法。

一.导致缺乏IT治理的主因

长期以来，人们对IT信息化的期望值普遍偏高，但是IT建设绩效却与期望差距很大，以致有人把IT描述为“IT黑洞”。这种期望与实际间不匹配情况的出现，究其原因很大程度是因为企业对IT投资、IT风险和IT绩效缺乏一个有效的监督和治理机制。例如，许多企业CIO的眼光仅仅着眼于技术先进性，而没有更多的放在IT治理和绩效上。使到IT建设缺乏有效的监控和治理，而缺乏有效治理的IT投资陷入绩效低下的泥潭就不可避免了。一般来说，以下两种情况是造成IT治理缺失的主因：

(1)高层对IT治理的重要性认识不足

企业高层对IT建设规划、风险控制缺乏参与是导致企业IT治理缺失的常见原因。不少高层认为IT只是技术部门或信息中心的事，离自己很远;而信息中心受限于决策层面只能充当运维中心的职能，使到IT建设经常缺乏长远规划，或使得IT运营往往脱离了企业实际需求的正确轨道。例如，IT管理部门有很大的权限购买和开发他们认为重要的IT系统，但却偏偏没有到考虑IT投资的效率和效果，结果是IT系统的应用并没有实现企业战略目标绩效，或即使IT系统很正常的运行也远远未能实现预期的战略目标。

(2)只进行软硬件建设，无暇顾及IT治理能力的提升

很常见的现象是部分IT项目建设成为了领导者的政绩工程，投资巨大但是却盲目建设，存在严重的技术高消费。虽然采购了先进的技术和设备，但在营运绩效方面却落后很多。在这种情况下，由于缺乏来自业务和管理层强有力的推动，项目范围和目标很快会失去控制，导致IT建设成为一种摆设。另外，IT项目评价缺乏可具体参照的标准也是导致IT治理缺乏的根源之一。

二、为什么IT治理是提高绩效的出路?

在经济复苏时期，将IT战略与企业发展战略相融合越来越受到重视，因此人们也越来越多的把目光聚焦在企业治理、IT治理、IT系统绩效审计等关键词上。那么，IT治理究竟有什么的作用呢?

(1)什么是IT治理?

IT治理是IT系统审计和控制领域中的一个概念。根据国际信息系统审计与控制协会ISACA的定义，IT治理用于描述企业是否采用有效的机制，使得IT的应用能够完成企业赋予它的使命，同时平衡实施过程的风险，以确保实现企业的战略目标。IT治理的目的是建立与IT决策相关联的责任和权利，建立用于度量和治理 IT 决策及其执行的机制。即IT 治理讨论的是关于谁负责 IT 部分中的什么，以及如何知道相应的人员履行了这些职责。

简单的说，IT治理是指企业在运用IT过程中，制定有关IT决策权分配和责任承担的框架。它明确有关IT决策权的归属机制和有关IT责任的承担机制，以达成战略目标、业务目标和IT目标的一致，从而使企业从IT决策中获得最大的价值。主要是从IT原则、IT架构、IT基础设施、IT应用和IT投入等五个方面制定相关制度，实现IT决策的责任和权力的有效分配与控制。

同时，IT治理还用于描述被委托治理实体的人员在监督、检查、控制和指导实体的过程中如何看待信息技术。因此，IT治理还包括：①IT资源投入和使用过程中应当做哪些决策，即决策的主要内容。②应该由谁来做出这些决策，即决策的主体。③相应的责任框架如何构建，即与决策权相应的责任。其次，IT治理概念中所提到的企业期望行为、企业绩效目标也是IT治理的目标。因此，不管是IT决策的内容还是IT治理的结构和机制，都是为了提高和实现企业绩效目标为最终目的。

(2)IT治理客体对象的需求和任务

目前，对许多企业来说IT不仅仅是一种技术，它更具有战略意义。因为IT战略对实现业务创新和管理提升具有重要意义，所以企业很有必要建立对IT的监督和控制机制，这种关键性使得企业关注IT治理成为必然。因此，董事会、高层经营者、CIO及IT管理者就成为IT治理的客体对象，但是三者的需求以及任务又是截然不同的。

董事会在IT治理中是被股东价值所驱动的，主要是采用IT治理的框架来关注IT与业务的匹配、IT价值贡献、IT风险管理，目的是为了衡量IT建设的绩效结果。高层经营者采用IT治理是为了要保证IT战略与业务发展目标的匹配。CIO及IT管理者则是为了提供IT基础结构以及创造和共享业务信息，关注重要的IT流程和核心的IT能力，以及IT绩效达成率。

(3)IT治理和IT管理的关系

一般来说，要使价值最大化，就要做到两件事情：一是做正确的事情，二是把事情做好。对于IT建设来说，做正确的事情就是指IT决策立项，而把事情做好是指一旦IT决策项目开始执行，就要最大化利用现有资源来分配人力、物力，以更高质量按期完成项目。同样道理，IT治理就正如前者，而IT管理则是后者。

要想了解IT治理，首先要知道什么是公司治理。公司治理 (Corporate Governance)是属于企业制度层面的内容，其核心在于企业通过权力制衡，监督管理者的绩效，保证股东和其它利益相关主体的权利。公司治理的目标是保证股东利益的最大化，防止经营者对所有者利益的侵蚀与背离。由此可见，公司治理是关于“公司控制权与组织租金优化配置”的一整套制度安排。而通常意义上的公司管理活动则是以“实现效率最大化”作为终极目的和基本出发点，这是“公司管理”与“公司治理”的本质区别所在。也就是说，“公司管理”是确保企业不断提高运作效率以实现经营成果最大化的活动;而“公司治理”则是确保企业经营成果(企业租金)在各个利益相关者之间有效分配的活动。把握不住这一点就容易将“公司管理”与“公司治理”混为一谈，进而很难准确把握“IT治理”和“IT管理”的本质。

在《IT治理》一书中，我们看到IT治理的定义是：IT治理是决定谁来系统地制定、执行这些IT决策问题。通俗地说，IT治理就是关注IT到底要做什么、怎么做、谁来做决策、谁去参与决策、谁去实现这个决策的问题。IT治理是指企业管理层利用它来监督管理层在IT战略上的过程、结构和联系，以确保这种运营处于正确的轨道之上;而IT管理则是制定和执行这些IT决策的过程，具体包括公司的IT技术、IT系统运营、确定IT目标以及实现此目标所采取的行动。

因此，IT治理与IT管理最大的区别在于IT管理的目标是为了实现IT运营效率的最大化，主要解决的是效率问题，侧重于技术的应用。而IT治理的目标是为了实现IT决策利益的均衡，其解决的不只是效率问题，而更加关注利益问题，不只是技术的简单应用。因此，二者在IT技术决策的内容方面有所不同。IT治理是回答哪些事情必须要做，IT管理是决定这些事情怎么做。这是一个硬币的两面，谁也不能脱离谁而存在。

三、建立有效IT治理的策略和方法

如何借助IT治理来提高IT绩效，一直是困扰企业CIO的难题之一。因此，有效的构建一个既满足企业的业务需要，又能够符合国际标准的IT治理体系，是很多CIO思考的问题。这里根据研讨会的发言总结，提出一些建立有效IT治理的方法供大家参考：

(1)建立企业战略与IT战略互动的IT治理机制

首先，在最高管理层中树立和强化IT战略地位，建立企业战略与IT战略的互动观念，阐明IT治理应担当的角色。例如，从业务的视角建立IT治理指导原则;IT治理的组织结构应从企业组织的战略出发而不是从系统的需求出发，避免脱离企业战略目标而进行IT建设的困境;IT治理的需求应从业务的变革出发而不是从技术的变革出发，要充分利用现有的资源来满足关键需求，从而避免IT建设无法有效地支持组织的决策。

(2)明确IT治理角色，建立责任矩阵图

IT治理有效的企业是因为有许多的高层管理者参与其中。因此，成功的IT治理不但CIO必须参与，其它的高层经理也必须参与到流程批准和绩效评估的工作之中。实际上，许多高层也乐意于参与到IT治理之中，但对于自己应当如何为之作出贡献却没有多大把握。所以，对于CIO及其IT团队而言，画一张IT治理责任矩阵图是有帮助的。有了责任矩阵图，大家就可以方便地讨论每位高层经理的角色和他们关心的任何问题。因此，有效的IT治理首要解决的问题不是基础设备，也不是先进技术，而是要确定IT决策模式，明确定义职责、分工和决策权范围。

(3)识别IT治理相关需求，制定有效的路线图

IT治理并没有想象中那样复杂和虚无缥缈，实现IT治理的核心一步是要对企业处于什么样的商业环境进行正确的分析。首先是要对企业IT治理能力的现状进行评估，例如运用各种手段从各个层面广泛收集IT方面存在的问题、缺陷及不满意状况。其次是自我分析与诊断，充分借鉴和学习其它IT治理先行企业的成功经验与失败教训，结合自身实际情况统一规划、设计并建立与IT决策相关的各种制度、IT战略、IT原则、IT标准、IT架构、IT管理政策，以及各项具体任务等，即制定一张有效IT 治理的“路线图”。由于各企业IT治理的起点和目标范围各不相同，整个过程的复杂度及所需要的时间也不尽相同。

(4)根据路线图规划，建立基于ITIL、COBIT的IT治理规范

IT治理是一个非常复杂且长期的过程，在这个过程中几乎涉及到公司的所有资源，因此如果没有一个具体的实施规范和最佳实践来指导这个过程是很难成功的。目前国际上通行的IT治理标准主要有四个：ITIL 、COBIT、ISO/IEC17799和PRINCE2。ITIL是信息技术基础构架库，是一套被广泛用于有效IT服务管理的实践准则;COBIT是信息系统和技术控制目标，COBIT框架的意义在于实现了企业目标与IT治理目标之间的桥梁作用;BS7799(ISO/IEC17799)是国际信息安全管理标准体系，它以计划、实施、检查、行动为模式，将管理体系规范导入机构或企业内，以达到持续改进的目的;PRINCE2是一种对项目管理的某些特定方面提供支持的方法。这几种最佳实践各有优点，企业可根据具体需求择优选用。

总而言之，企业要想提高IT绩效并获得长期成功，只有从IT管理上升到IT治理，从信息技术构建上升到系统运行机制的构建，从重视技术构建上升到重视制度建设才能真正实现企业信息化。也就是说，企业亟需建立一套制度来保证IT技术在企业的有效应用，而IT治理就是实现这一系列制度有效的方法之一。