注:本篇文章已經(jīng)發(fā)表在<<軟件世界>>雜志第4期上��,文:辛鵬����,轉(zhuǎn)載請(qǐng)聯(lián)系本人����。
一、
中國(guó)企業(yè)IT環(huán)境的現(xiàn)狀
中國(guó)企業(yè)和政府的信息化建設(shè)已經(jīng)取得了較大的成績(jī)�,例如現(xiàn)在在大多數(shù)的企業(yè)中已經(jīng)有了財(cái)務(wù)管理系統(tǒng)、人事管理系統(tǒng)����、CRM系統(tǒng)��、SCM系統(tǒng)�,還有其
他的業(yè)務(wù)系統(tǒng)����。中國(guó)企業(yè)的運(yùn)營(yíng)正在依靠著這些IT系統(tǒng)來(lái)支撐,但同時(shí)��,在信息化建設(shè)和推進(jìn)中也暴露出了一些深層次的問(wèn)題���,例如:這些IT系統(tǒng)之間比較孤
立���,雖然有的企業(yè)為了消除這些信息孤島,在內(nèi)部做了IT系統(tǒng)的集成�,但是發(fā)揮的效用還不是很大,而且IT實(shí)施的成本也很高���,沒(méi)有取得期望的ROI���;如何實(shí)
現(xiàn)IT戰(zhàn)略與企業(yè)戰(zhàn)略的統(tǒng)一?如何保證IT投資的回報(bào)率�?如何從治理的高度,為企業(yè)信息化的建設(shè)提供全生命周期的制度和規(guī)則�����?如何從戰(zhàn)略投資���、企業(yè)管理變
革的角度�,降低IT的風(fēng)險(xiǎn)��?如何利用本國(guó)和歐美國(guó)家信息化的最佳實(shí)踐和智力成果����,加快政府和企業(yè)的信息化推進(jìn)工作?
筆者做過(guò)很多的項(xiàng)目�����,項(xiàng)目的立項(xiàng)之初���,領(lǐng)導(dǎo)都很重視����,可能由一把手或二把手帶隊(duì)����,他們?cè)诟鞣N會(huì)議上大談信息化的重要性����,號(hào)召全員配合���,任何人不得以
任何理由阻礙信息化建設(shè)����,但是在項(xiàng)目立項(xiàng)之初和上線之后運(yùn)行的整個(gè)過(guò)程中�,都缺乏相應(yīng)的IT治理策略:怎樣制定策略,由誰(shuí)制定策略���,IT系統(tǒng)是否和初期需
求一致���,IT系統(tǒng)和業(yè)務(wù)的契合度,IT系統(tǒng)是否為公司提高了績(jī)效�,怎樣對(duì)IT系統(tǒng)申請(qǐng)需求變更,怎樣得到快速有效的反饋等�����。因此最后的結(jié)果是���,在政府中很
多的項(xiàng)目成了政績(jī)�����,面子工程��,上線驗(yàn)收之后����,便束之高閣了���。在企業(yè)中可能情況稍好��,畢竟是花的自己的錢?�����,但是同樣也缺乏完整的策略制定�、度量��、反饋機(jī)
制����。使得IT系統(tǒng)不能持續(xù)改進(jìn),為企業(yè)創(chuàng)造卓越的績(jī)效�。
二���、
治理的定義及與管理的區(qū)別
治理定義:在關(guān)于治理的各種定義中,全球治理委員會(huì)的定義具有最大的代表性和權(quán)威性���。該委員會(huì)在《我們的全球之家》的研究報(bào)告中對(duì)治理做出了如下界
定:治理是各種公共的或私人的個(gè)人和機(jī)構(gòu)管理其共同事務(wù)的諸多方式的總和���。它是使相互沖突的或不同的利益得以調(diào)和并且采取聯(lián)合行動(dòng)的持續(xù)的過(guò)程。它有四個(gè)
特征:治理不是一整套規(guī)則�����,也不是一種活動(dòng)����,而是一個(gè)過(guò)程;治理過(guò)程的基礎(chǔ)不是控制��,而是協(xié)調(diào)���;治理既涉及公共部門�����,也包括私人部門���;治理不是一種正式的
制度����,而是持續(xù)的互動(dòng)��。
與管理的區(qū)別:
治理是一個(gè)過(guò)程����,是持續(xù)的互動(dòng)�,治理過(guò)程的基礎(chǔ)是協(xié)調(diào),面向所有的參與人員�����,體現(xiàn)一種平等的協(xié)調(diào)����,而管理的基礎(chǔ)是控制和命令,強(qiáng)調(diào)的由上往下�����、命令的貫徹與服從���;
治理確定誰(shuí)負(fù)責(zé)制定決策����,需要制定什么決策,以及使決策制定保持一致的決策��。
治理規(guī)劃需要制定什么決策�����,而管理是制定和實(shí)施決策的過(guò)程����。
治理重在建立決策,而管理重在貫徹執(zhí)行決策
在《IT治理》一書(shū)中����,我們看到IT治理的定義是:在IT應(yīng)用過(guò)程中,為鼓勵(lì)期望行為而明確的決策權(quán)歸屬和責(zé)任擔(dān)當(dāng)框架�����。IT治理是決定誰(shuí)來(lái)系統(tǒng)地
制定����、執(zhí)行這些IT決策問(wèn)題����。通俗地說(shuō)����,IT治理就是關(guān)注IT到底要做什么,怎么做��,誰(shuí)來(lái)做決策�����,誰(shuí)去參與決策��,誰(shuí)去實(shí)現(xiàn)這個(gè)決策的問(wèn)題。IT治理實(shí)際上
是要解決整個(gè)信息化的生產(chǎn)關(guān)系是什么樣的。如果沒(méi)有好的IT生產(chǎn)關(guān)系��,生產(chǎn)出來(lái)的IT系統(tǒng)不可能是一個(gè)成功的系統(tǒng)�����。而IT管理則是則是制定和執(zhí)行這些IT
決策的過(guò)程����。
從上述幾個(gè)概念����,我們也許可以看出其中的一些差別�。IT治理更多地需要和組織的業(yè)務(wù)、戰(zhàn)略��、資產(chǎn)����、人力等各個(gè)方面緊密結(jié)合,是一套組織架構(gòu)和機(jī)制保
證��,而非少數(shù)一撮人的拍腦袋所為�。今天在我國(guó)政府進(jìn)行體制改革和組織變革的過(guò)程中,同時(shí)要進(jìn)行信息化建設(shè)�,IT治理的重要性也將日益凸顯起來(lái)。
三����、
治理的規(guī)范
1、
ITIL
ITIL框架起源于英國(guó)的中央計(jì)算機(jī)與電信局(現(xiàn)在為政府商務(wù)辦公室)���,它向用戶提供了一種可定制的實(shí)踐框架����,為內(nèi)部用戶提供高質(zhì)量的服務(wù),它涵蓋
了服務(wù)支持����、軟件支持、計(jì)算機(jī)操作以及安全管理等功能��。2007年5月30日����,ITIL
v3的各種語(yǔ)言版本面向全球正式發(fā)行并投入應(yīng)用,旨在幫助用戶通過(guò)ITIL的實(shí)施促進(jìn)技術(shù)服務(wù)與業(yè)務(wù)需求的協(xié)同���,提高IT運(yùn)營(yíng)效率的同時(shí)降低IT成本�����,從
而最大化IT投資回報(bào)與價(jià)值。這套標(biāo)準(zhǔn)已經(jīng)被全球的很多企業(yè)采用��,現(xiàn)在全球已經(jīng)有上萬(wàn)家知名的公司在參考其中的方法治理自己的IT系統(tǒng)����。
“ITIL v3的推出反映了IT服務(wù)治理作為一項(xiàng)要害業(yè)務(wù)的日益成熟及其重要程度�。” IBM ITSM專家�����、ITIL
v3《服務(wù)轉(zhuǎn)換》一書(shū)作者Ivor Macfarlane介紹說(shuō)�����,“ITIL
v3依據(jù)服務(wù)的生命周期理論將IT服務(wù)治理最佳實(shí)踐進(jìn)行重新組合��,從服務(wù)戰(zhàn)略����、服務(wù)設(shè)計(jì)、服務(wù)轉(zhuǎn)換�、服務(wù)運(yùn)維再到持續(xù)性的服務(wù)改進(jìn),使得IT服務(wù)治理脫離
了線性�、靜態(tài)的實(shí)施而發(fā)展為多維的、注重反饋的動(dòng)態(tài)實(shí)踐系統(tǒng)�,從而推動(dòng)IT服務(wù)與業(yè)務(wù)發(fā)展相結(jié)合?����?梢哉f(shuō)�����,這個(gè)新版本充分體現(xiàn)了過(guò)去七年來(lái)IT服務(wù)治理領(lǐng)
域所取得的重大成就。”
2����、
COBIT
COBIT是由美國(guó)IT治理協(xié)會(huì)提出的一個(gè)IT治理的開(kāi)放性框架或標(biāo)準(zhǔn),是基于組織的信息技術(shù)平臺(tái)而設(shè)計(jì)的��,并在IT治理實(shí)踐中廣泛使用�,它包含了
34個(gè)信息技術(shù)過(guò)程控制,并歸集為四個(gè)控制域:IT規(guī)劃和組織(Planning and
Organization)�����、系統(tǒng)獲得和實(shí)施(Acquisition and Implementation)���、交付與支持(Delivery
and Support)以及信息系統(tǒng)運(yùn)行性能監(jiān)控(Monitoring)����,COBIT 目前已成為國(guó)際上公認(rèn)的IT管理與控制標(biāo)準(zhǔn)��。
3����、
SOX
《薩班斯法案》(Sarbanes-Oxley
Act,簡(jiǎn)稱SOX法案)�����,安然事件����,美國(guó)國(guó)會(huì)和政府于2002年公布了《薩班斯法案》,其目的是加強(qiáng)公司責(zé)任�����,以保護(hù)公眾公司投資者的利益免受公司高管
及相關(guān)機(jī)構(gòu)的侵害�����,正如法案的第一句話所說(shuō)“遵守證券法律以提高公司披露的準(zhǔn)確性和可靠性�����,從而保護(hù)投資者及其他目的�����。”
4�����、
COSO
COSO內(nèi)部控制整體框架。COSO (the Committee of the Sponsoring Organizations of
the Treadway
Commission)是專門研究?jī)?nèi)部控制和公司治理的非官方組織����。1985年由AICPA、AAA���、FEI�����、IIA����、IMA等共同發(fā)起了“全國(guó)舞弊性財(cái)
務(wù)報(bào)告委員會(huì)”�����。兩年后����,根據(jù)該會(huì)的建議,其贊助機(jī)構(gòu)又成立了COSO委員會(huì)。1992年���,COSO提出了著名的“內(nèi)部控制的整體框架”的研究報(bào)
告,1994年進(jìn)行了增補(bǔ)�����。
5����、
中國(guó)的SOX法案
2008年6月28日,有“中國(guó)薩班斯法案”之稱的《企業(yè)內(nèi)部控制基本規(guī)范》(以下簡(jiǎn)稱“基本規(guī)范”)由財(cái)政部�、證監(jiān)會(huì)、審計(jì)署��、銀監(jiān)會(huì)��、保監(jiān)會(huì)聯(lián)合頒布�。這是中國(guó)會(huì)計(jì)審計(jì)領(lǐng)域的又一重大改革舉措。“基本規(guī)范”將自2009年7月1日起首先在上市公司范圍內(nèi)施行����。
四、
如何在企業(yè)中應(yīng)用治理
AMT咨詢的管政先生在《IT治理����,中國(guó)需要嗎��?》一文中認(rèn)為談IT治理“難度較大��。也許現(xiàn)在只能停留在概念形成階段����,還遠(yuǎn)沒(méi)有到應(yīng)用和實(shí)施階段”
并給出了11個(gè)難點(diǎn)����。應(yīng)該說(shuō)筆者也很同意他的看法,不過(guò)即便難度較大����,但是企業(yè)為了發(fā)揮它現(xiàn)有IT基礎(chǔ)設(shè)施的最大價(jià)值,取得IT的最佳ROI����,就必須重視
IT治理。眾所周之����,IT治理是在宏觀層面的戰(zhàn)略角度上,對(duì)IT的過(guò)程�、結(jié)構(gòu)和聯(lián)系進(jìn)行梳理和監(jiān)控,確保IT能夠支撐和擴(kuò)展組織的戰(zhàn)略和目標(biāo)。作為組織發(fā)
展戰(zhàn)略管理層面的IT治理首要解決的問(wèn)題不是基礎(chǔ)設(shè)備�、不是先進(jìn)技術(shù),而是確定IT決策模式���、規(guī)范IT決策范圍的問(wèn)題�����。這也是為什么治理需要有一個(gè)
CoE,需要明確地定義職責(zé)��、分工�����、決策權(quán)��,而這些恰恰是政府和企業(yè)最難解決的問(wèn)題�。當(dāng)然國(guó)內(nèi)的一些組織和企業(yè)已經(jīng)意識(shí)到了這個(gè)問(wèn)題,例如���,國(guó)稅總局將原
來(lái)分權(quán)模式變?yōu)榱思瘷?quán)模式�����,將包括信息中心在內(nèi)的有關(guān)司局的信息化管理職能全部劃入了征管和科技發(fā)展司����,這個(gè)司擁有明確的決策權(quán),負(fù)責(zé)整個(gè)IT治理的決策
制定和資源管理協(xié)調(diào)����。但是對(duì)于那些暫時(shí)還無(wú)法解決這個(gè)難題的企業(yè)和組織,我們可以先從細(xì)微著手��,逐步推進(jìn):
1�、
在小范圍內(nèi)規(guī)劃IT系統(tǒng)的關(guān)聯(lián)關(guān)系,實(shí)施農(nóng)村包圍城市的局部治理模式
我們知道IT治理實(shí)際上是要解決整個(gè)信息化的生產(chǎn)關(guān)系是什么樣的���,在此我們可以在局部上來(lái)解決IT系統(tǒng)的生產(chǎn)關(guān)系���,例如,筆者的公司曾經(jīng)實(shí)施過(guò)這樣
一個(gè)案例:該公司是一個(gè)視頻會(huì)議設(shè)備的綜合服務(wù)商����,擴(kuò)展很迅速,他們?yōu)榭蛻籼峁┮曨l會(huì)議設(shè)備的銷售���、安裝�、維護(hù)等全方位的服務(wù),在第一次與該公司的IT主
管交流時(shí)��,他提出了這樣的一個(gè)困惑����,公司內(nèi)部已經(jīng)有一個(gè)成熟的銷售系統(tǒng),但是還沒(méi)有售后服務(wù)系統(tǒng)�,例如負(fù)責(zé)安裝,維護(hù)的工單派發(fā)����,因此需要一個(gè)工單系統(tǒng)�����,
可以將安裝工單的任務(wù)自動(dòng)推送到員工桌面��,但是他們的員工變動(dòng)很快�,新招聘的員工不一定能及時(shí)培訓(xùn)到位,而安裝任務(wù)又很多�����,怎樣讓新員工能很快投入工作��,
怎樣讓老員工的經(jīng)驗(yàn)得以保留?怎樣將銷售系統(tǒng)中的某一個(gè)具體的合同自動(dòng)轉(zhuǎn)到售后系統(tǒng)�?
從這個(gè)案例中我們可以規(guī)劃出三個(gè)系統(tǒng):
一個(gè)已經(jīng)存在的銷售系統(tǒng)
需要新建的工單系統(tǒng)
需要新建的知識(shí)庫(kù)系統(tǒng)
在與這個(gè)IT主管交流時(shí),針對(duì)于他的困惑��,我們給出了基于局部“IT治理”的規(guī)劃建設(shè)思路:首先理清三個(gè)系統(tǒng)之間的關(guān)系���,在銷售系統(tǒng)中簽訂的合同���,
在合同流程結(jié)束后,需要為項(xiàng)目經(jīng)理自動(dòng)創(chuàng)建待派發(fā)工單�,項(xiàng)目經(jīng)理派發(fā)工單給安裝員工,安裝員工需要當(dāng)前型號(hào)的視頻會(huì)議設(shè)備的安裝要領(lǐng)和注意事項(xiàng)��。具體流程
關(guān)系圖如下:
從上圖我們可以看出�����,按照IT治理的思路��,我們理清并解決了三個(gè)IT系統(tǒng)之間的生產(chǎn)關(guān)系�,并且解決了那位IT主管的困惑。如果在建設(shè)工單系統(tǒng)時(shí)����,不
做這個(gè)規(guī)劃��,則三個(gè)系統(tǒng)還是互相孤立��,也解決不了新員工必須培訓(xùn)����,而培訓(xùn)又不能很及時(shí)�����,從而造成的新員工沒(méi)有安裝經(jīng)驗(yàn)與工單多沒(méi)人能安裝的矛盾����。
2、
將局部治理產(chǎn)生的價(jià)值呈現(xiàn)給領(lǐng)導(dǎo)���,讓星星之火逐步燎原
筆者公司實(shí)施的這個(gè)項(xiàng)目獲得了很大的成功,也同時(shí)得到了公司高層領(lǐng)導(dǎo)的認(rèn)可和贊許�����。通過(guò)項(xiàng)目的上線運(yùn)行�����,這個(gè)公司的運(yùn)作效率得到了極大的提高,成本
也得到了降低(最直接的降低就是不在需要對(duì)新入職的員工組織一次又一次的安裝培訓(xùn)了)����。而這時(shí),我們根據(jù)這個(gè)公司的實(shí)際業(yè)務(wù)的現(xiàn)狀又向這位IT主管和他的
領(lǐng)導(dǎo)提出了��,在整個(gè)公司內(nèi)部全面實(shí)施IT治理的建議�����,將公司核心業(yè)務(wù)中的人力資源管理�、績(jī)效管理、財(cái)務(wù)管理���、客戶關(guān)系管理全部納入到治理體系中來(lái)�����,形成一
個(gè)整個(gè)公司的全局的IT治理圖:
因?yàn)樵谝黄诘木植恐卫碇?,公司決策層看到了治理產(chǎn)生的價(jià)值�����,因此很快同意了我們的全局IT治理方案����,目前此項(xiàng)目的二期正在實(shí)施過(guò)程中����。
3���、
開(kāi)始全局戰(zhàn)略規(guī)劃����,基于ITIL����、COBIT等規(guī)范實(shí)踐IT治理
IT治理是一個(gè)非常復(fù)雜且長(zhǎng)期的過(guò)程,在這個(gè)過(guò)程中�,幾乎涉及到公司的所有資源,因此沒(méi)有一個(gè)具體的實(shí)施規(guī)范和最佳實(shí)踐來(lái)指導(dǎo)這個(gè)過(guò)程���,是很難成功
的。而ITIL則是這樣的一個(gè)最佳實(shí)踐庫(kù)��,ITIL V3定義了服務(wù)生命周期的5個(gè)階段:服務(wù)戰(zhàn)略(Service
Strategies)��、服務(wù)設(shè)計(jì)(Service Design)�、服務(wù)轉(zhuǎn)化(Service Transition)���、服務(wù)運(yùn)營(yíng)(Service
Operation)、持續(xù)改進(jìn)(Continual Service
Improvement)���,這包含了生命周期內(nèi)管理服務(wù)需要的流程�����。上海翰緯信息管理咨詢有限公司的劉颋給出了ITIL v2與v3的差異圖:
在上圖中���,我們可以看出,ITIL經(jīng)過(guò)三個(gè)版本的變化,已經(jīng)很全面了����。它是一個(gè)經(jīng)過(guò)了很多驗(yàn)證的最佳實(shí)踐庫(kù)。國(guó)外的實(shí)踐證明�����,基于這樣的最佳實(shí)踐庫(kù)
來(lái)指導(dǎo)我們的企業(yè)IT治理怎樣一步一步的去做��,我們就有了一個(gè)導(dǎo)向燈��,而在實(shí)踐的過(guò)程中,再結(jié)合COBIT來(lái)對(duì)每一個(gè)過(guò)程的關(guān)鍵目標(biāo)指示����、關(guān)鍵績(jī)效指標(biāo)等
作出明確指示和審計(jì),COBIT重在IT控制和IT度量��,而ITIL重在IT過(guò)程管理�,強(qiáng)調(diào)IT支持和IT交付,兩者結(jié)合必然會(huì)使中國(guó)企業(yè)和公共組織的
IT治理進(jìn)入真正的應(yīng)用和實(shí)施階段��。
