您的位置:首页 > 公司治理与IT治理 > IT治理的7种视角
IT治理的7种视角
作者:汤大马 来源:中国计算机用户时间:2008-09-18
Hits: 606
    在这里,我们试图提出一种基于不同视角、不同治理力度之上的IT治理模型。
 
    IT治理不是个新鲜事物,很多企业都已经采用多种不同的方式实施了IT治理。在某些情况下,IT治理同IT战略、IT政策或者IT管理实践等等这些以前使用的概念没有什么明显的不同。虽然有企业声称已经实施了IT治理,但从方法论上说,其实都是基于不同的角度,各有侧重,也各有弱点。在这里,我们试图提出一种基于不同视角、不同治理力度之上的IT治理模型。

  公司治理视角

  当今的公司治理是以责任为焦点的、自上而下的一种治理结构。监管当局有责任保证股票市场的透明运作。出于对公共资产(和公众资产)审慎保护的目的,监管当局已经加快了对现行的上市规则的扩充和修改。披露及政策方面的要求也使董事会承担着越来越重的压力和责任。作为保护股东权益的责任主体,董事会首先要保证企业所承担的所有业务风险都能获得相应的利益回报。

  如果企业不能积极参与并提供董事会作出决策所必需的信息的话,那么指望获得很好的风险回报的努力也是注定要失败的。但在传统上,信息只会在企业内部的IT部门之间流动,董事会获取信息的能力有限。

  总经理是股东指定的企业掌舵人。他除了需要履行一系列的职责之外,还要公开地表明必须满足不同类型的利益相关人的期望。用信息技术术语来说,总经理一个关键角色职责是要确保公司具有一个完善的内控系统。近年来,尽管很多总经理个人对信息技术的使用都很适应,但是他们很少具备管理信息技术方面的经验。

  一旦IT风险降临,在掌舵人和水手之间产生的“误解的旋涡”就可能会造成非常不幸的后果。在湍急的水流中—正如IT界经常发生一样—这种情况是非常危险的。

  令人遗憾的是,在很多公司,以前的多次信息技术失败已经造成很深的误解。IT经理和服务交付队伍今天做出的承诺可能会招来重重疑虑,承诺会被某种担心的情绪所覆盖。这也促使IT人员更加谨小慎微,说话也会慢慢含糊起来。

  走出这种困境的唯一可行的办法是要求那些对信息技术内行的经理们能够做些改变,运用明确的语言,高超的表达技巧,把IT对业务的完整含义准确表达出来。总经理们也需要学习新的知识和技能,使他们提出来的问题更有智慧,同时也能让独立顾问们设法提升他们的知识和技能,从而在信息技术重重迷雾中找出问题的真相。

  接下来,更重要一步是要求总经理们能够在董事会及其附属的委员会中的议事日程中把IT治理的优先级提高到更恰当的位置,花更多一点的时间使企业的IT工作走在正确的道路上。

  投资者视角

  全世界的投资者都希望能选择并管理一个好的投资组合以获得合理的回报,条件是较长时期内不会因为风险造成资金损失。在同样的规则下,IT该如何管理呢?

  商业上可能会把IT活动看成一项投资,期望在其整个的投资周期里都能获利。确实,在一项IT投资的整个周期里,与IT相关的风险特性会发生改变。而采用一套IT相关风险管理的综合性方法可以在某些方面保持开发费用与开发风险之间的微妙平衡,同时也可以使运作成本与其他风险之间取得平衡。

  已列入计划的或者正在开发的项目一般都会从风险和回报这两个角度去作出评估。如果项目能够在预定的时间内、以不高于当初计划的费用成本、确定的交付质量实施交付的话,那么这个项目就会较容易地克服投资资金方面的障碍。如果在对项目评估过程中,就将项目的最终产品的整个使用期都看成是IT资产的运用,那么通过对这些资产的有效配置和高效率利用,可以肯定从这个项目中我们将能获得较好的回报。

  由于在整个开发和实施周期内都需要资金的投入,因此很多的IT资产都始于负回报周期,如图2-1所示。只有在项目实施完成之后才进入商业价值释放期。在后续较长的时期,目标是保持累计的回报处在正的区域—即,使累计的回报大于初期的投入加上运营和维护IT资产的费用成本支出。

  合规性视角

  合规性管理者总是试图让机构做正确的事情。机构并不是盲目地遵循规则,而是灵活地使用这些规则,使结果达到最优。

  所谓合规,最重要的是了解外部的法律环境和监管要求,确定怎样才能完全满足它们的要求。一旦规则明确了,那么合规角色的任务应该集中在:

  ◆ 帮助其他人员理解政策。

  ◆ 部署能够获得足够证据的过程和系统,以保证合规性。

  ◆ 有目的地披露合规性问题。

  不合规的问题也需要加以解决。

  在很多机构,合规管理部门会尽量避免让人感觉自己置身事外,只会指指点点,要求别人“你要如何如何”这样的印象。合规经理常常会找出并鼓励采用“最佳的”或者“领先的”实践,参照外部的参考模型或标准,制订超前性的内部政策和具有“自我约束性”的规章。

  一个合规经理通常要达到的目标包括:

  ◆ 倡导坚持规章和程序—尽管对业务而言,“零违规”会导致过高的费用开销,是过于理想化的,也不恰当的一种追求。

  ◆ 说明识别和管理合规风险,防止出现不合规的行为的必要性。

  ◆ 提出具体的要求和清晰的指引,避免给违规行为制造机会。

  ◆用最大努力,制止违规现象发生。

  ◆灵活地处置当前的和将来的合规风险,其中的一些合规风险是未知的、不可预测的。

  ◆ 保障合规与其他业务行为之间的协调性,包括同风险管理活动的联系和结合。

  对IT管理而言,合规同遵从标准、获得认证的过程类似。多年来,为了证明IT服务供应商的能力,很多机构要求IT服务供应商在某种程度上遵守并维持同一系列的标准之间、某些时髦技术之间以及某些流行技术之间的一致性。例如,印度的软件业者在20世纪90年代就致力于获得高级SEI能力成熟模型 认证。

  近些年来,同IT的合规、认证有关的活动显著增多了,其中包括IT内部操作的合规和认证。同其他领域一样,要求合规的主要好处有的时候仅仅在于“被人看成是合规的”。这种行为其实是站在“实用主义”的立场,其成果注定是零零碎碎的、暂时的和有局限性的,最终是无法取得协调一致的效果的。合规和标准化认证的成果未必能直接反映在取得某些实际利益上,也未必必然带来风险的明显降低。但在很多时候,这个过程却可以促使IT自身更广泛地结合业务需求和目标,去做正确的事。