CIO应脱离纸面概念 深入实践应用
2009-05-13  作者:互联网 

  在过去两年中,无论是IT管理理论界,企业还是各类媒体,对IT治理(ITGovernance)的讨论已经呈现多角度和多层面。但这种讨论基本上都停留在书面和各种研讨会的层次,很少能够深入应用与实践中……

  1.纸上“治理”

  仔细分析,可以发现目前国内对IT治理的定义和解释基本上是围绕国际信息系统审计和控制协会(ISACA)的概念:一个指导和控制企业关系与过程的结构,它目的是增加企业价值、实现企业目标同时又平衡在IT与相关业务流程和组织流程中的风险。基于这个定义,国际信息系统审计和控制协会下属IT治理研究院提出了“信息及技术控制目标”(COBIT),将信息系统的管理划分为四个部分,从信息系统规划和组织、获取和实现、交付和支持到监控覆盖整个信息系统的生命周期。在此基础上,提出34个需要控制的IT管理流程和333个控制目标。这些具体控制目标为IT审计提供了一个框架,帮助企业建立企业内部IT控制体系和风险防范机制,防止投资、技术、流程、组织等各个方面由于IT嵌入而导致的企业业务失效,法律遵守等方面的问题。

  从目前中国企业的IT应用发展历程来说,从控制目标和审计的角度引入了IT治理的思想和概念,对拓展企业IT管理思维是非常有帮助的。COBIT本身覆盖了商业组织中IT生命周期中涉及的所有管理流程,但它的不足在于——基于COBIT的IT治理思想给出的是一个结果性、目标性的框架,而对于其中每个需要控制的流程,ISACA的IT治理概念中没有提供具体和可操作性的实施方法。这就直接导致企业一方面觉得IT治理是给了一些IT管理控制机制,具有启发性;另一方面又感觉到IT治理过于停留在概念层面,没有和企业具体的IT管理流程的实施结合起来。这是目前企业觉得IT治理远离自己的实际需求相距较远,无法有实质性的应用突破的根本原因。

  2.流程第一

  在信息系统依赖性特别强的业务部门,对信息系统的审计是非常必要的,但从IT治理的内容来看,中国企业目前需要的可能还是先建立符合行业特点的IT管理的基本流程,在此基础上COBIT的控制目标就有能够有的放矢了。在IT管理方面,国内的企业还处于饥饿向温饱转型,需要实在的管理流程来填补这个空白。

  笔者结合在银行和电信系统的咨询项目经验认为,IT治理本身可以有多种认识角度。ISACA提出IT治理是从审计的角度来分析,而对于企业本身,特别是中国IT管理偏“硬”轻“软”的特点,更加应该注重如何实现流程化的IT管理,也就是企业应该先去建立这些流程,形成IT管控的标准化和制度化,再通过COBIT来保证是否达到管理的要求。

  分析ISACA提出的COBIT模型中的四个控制域可以发现:规划和组织、获取与实现都属于系统真正产生价值以前,而交付和监督则是系统开始为业务服务的过程。

  我们如果换个角度,把前面两个部分看成IT服务的需求,后者看成供应。需求一端,企业需要建立IT投资决策管理流程、项目投资评估流程、IT资源投入的优先控制和资源分配流程。这些基本流程决定了企业是否能够对IT投资做出正确判断,这是确保在投资决策层面与企业的业务战略相一致的关键因素。

  在供应的这一端,它解决的问题是在获得正确投资决策后,如何确保在IT方面的投入能够真正为企业的业务部门产生价值或者提供增值服务。在这里需要强调,IT方面的投入不仅仅指项目投入,还包括系统上线后的运营和维护。

  Gamter研究表明,企业真正用在具体项目上的花费只占企业整个IT投入的20%,80%在于系统的运营和持续改进。显然,在供应这一端,企业需要更加完善的IT服务管理流程来确保IT投入真正转变为企业业务绩效改善。这一企业IT需求链和供应链的思路在银行IT管理建设中尤为突出。

  目前,国内银行的IT建设新系统、新项目一个接一个,已有的系统无法满足业务的增长,需要进一步改进与升级。许多银行的IT管理部门已经改造成面向业务部门的信息服务部门,但是面对业务部门不断提出的现有系统升级要求和未来银行业务发展所需要的新系统的建立,在投资决策、资源分配、项目管理和控制方面容易出现资源、时间上的冲突,缺乏投资评估的管理机制和流程。

 

  3.有的放矢

  基于具体的IT管理实现问题,企业注重基于COBITIT模型的控制目标固然重要,但它无法解决实际问题。在初步对银行IT管控流程实施经验总结的基础上,笔者认为,企业需要建立透明的,基于企业特点的绩效控制IT投资决策和实现流程。它针对的不仅仅是IT项目本身,包含整个IT系统的生命周期。在银行的IT管理中,一般都有比较强的技术力量,但是业务部门提出对现有的系统的改进升级往往缺乏有效的流程和指标去判断是否值得花钱去做,这就导致在资源分配、优先级别的确定方面存在很大的难度。由于这类需求一般都直接关系到现有业务的运行或者银行新业务的展开,导致IT部门或者管理层面在缺乏有效评估的情况下做出判断,IT资源无法得到有效利用,费用大量支出,业务部门的实际需求却并没有得到实现。

  显然,对于企业来说,现阶段IT治理的重点应放在如何在现有系统增效和新系统的大量应用过程中,实现IT投资的有效性。项目可视性是企业要关注的重点,特别是那些系统应用水平较高的行业,IT应用又处于由技术驱动转向业务驱动的一个转型时期,优化IT投资决策、实施、监控等各个环节更有实现意义。事实上,我们仔细研究ISACAIT治理的概念,可以发现治理的核心还是在关注IT投入是否为企业带来价值。虽然这里有平衡风险这个前提,但是风险对企业来说就是一个成本,所以我们还是可以理解为IT治理的目的是确保IT投资获得业务的最大增值。

  IT治理本身的概念并不重要,重要的是它是否在知道企业IT管理控制体系,特别在投资与项目过程监控、投资与业务需求的关联、绩效跟踪方面是否提供了很好的启发。从这个意义上来说,叫不叫IT治理似乎并不重要了。