(一)什么是IT治理?
在信息化进程中,信息系统也已逐步渗透到商业和政府组织中,IT系统开始从传统的后台支持转变为新业务开展的直接驱动力,IT也日益成为企业的直接利润中心。各种组织对信息系统的依赖程度在不断增加,甚至有一些组织若没有IT将不复存在,但同时对于很多组织由于信息和信息技术意味着最重要的资产,这导致IT本身已经或潜在成为一个巨大的威胁,随IT而来的风险、利益和机会使得IT治理成为公司和政府治理中关键的一个方面。管理层需要确保IT与公司战略一致,而且公司战略也要很好地发挥IT的优势;政府需要发展电子政务来促动、实现政府职能的转变。但是在IT规划、建设和运营过程中面临诸多挑战和痛苦:
国资委在《关于加快推进国有企业数字化转型工作的通知》中,指出:“加快企业数字化治理模式、手段、方法升级,以企业架构为核心构建现代化IT治理体系,促进IT投资与业务变革发展持续适配。”由此可见IT治理在数字化转型中成为越来越重要的一环。那么到底什么是IT治理呢?其实IT治理并不是新的概念。ISACA在1996年推出的IT治理的概念,IBM最早将此理念引入我国。关于IT治理很多组织和协会给出定义:
- 美国IT治理协会给IT治理的定义是:“IT治理是一种引导和控制企业各种关系和流程的结构,这种结构安排,旨在通过平衡信息技术及其流程中的风险和收益,增加价值,以实现企业目标。”
- The Open Group提出:“IT治理为IT资源与企业战略之间的联系提供了框架和结构,为监督IT绩效指定了各种最佳实践,从而确保企业的IT资产对其业务目标的支持。”
- IBM定义:信息化治理用于描述企业或政府是否采用有效的机制(就是为鼓励IT应用的期望行为而明确决策权归属和责任承担的框架),使得IT的应用能够完成组织赋予它的使命,同时平衡信息技术与过程的风险、确保实现组织的战略目标。
- <<IT治理-一流绩效企业的IT治理之道>>定义:在IT应用过程中,为鼓励期望行为而明确的决策权归属和责任担当框架
综合来看,IT治理就是要明确有关IT决策权的归属机制和有关IT责任的承担机制,以联接战略目标、业务目标和IT目标,从而使企业从IT中获得最大的价值,它的主要使命是保持IT与业务目标的一致性,推动业务发展,合理利用IT资源,促使收益最大化,适当管理与IT相关的风险。
(二)IT治理的发展历程
IT治理的发展可划分为三个阶段:
1980年-1999年丨准备阶段:这一阶段诞生了许多相关的IT治理框架模型、但是并没有一个全面清晰的IT治理概念的提出,还停留在对IT管理和控制框架的摸索中;
1999年-2008年丨兴起阶段:1999年BIS的报告将IT管理和控制提高到了IT治理的层面,美国信息系统审计与控制协会也于1999年成立了IT治理研究所,专门研究IT治理。这个时候IT治理真正进入了起步阶段;2006年SOX404条款的生效,促使企业将IT治理提高到了一个前所未有的高度。
2008年开始丨标准化阶段:2008年第一个IT 治理国际标准——ISO/IEC 38500:2008正式发布,它的出台不仅标志着IT 治理从概念模糊的探讨阶段进入了一个正确认识的发展阶段,而且也标志着信息化正式进入IT 治理时代;同年国际信息系统审计协会(ISACA)设立了一项新的认可资格,名为「企业IT治理认证(CGEITTM)」。它是国际第一个IT治理认证。
而当人类进入数字化时代的今天,IT已经日益和DT概念融通。这种变化在许多场景被适用于“大IT”的概念。因数字化发展转型而日益重要的数据治理,多云治理,开源治理,甚至平台治理,AI治理等正在对经典IT治理进行“扩容扩编”,未来的大IT治理应当会有更多的实践创新与标准修订。
(三)IT治理与管理
IT治理实践过程中通常包括两个部分:IT治理和IT管理。IT治理关注为企业建立IT权责框架,制定IT政策和指导原则,建立适当的机制保障IT和业务战略相一致,制定有效的战略,建立有效率、有效益安全可靠的架构保证IT管理的正确方向。IT管理则关注与IT日常工作的开展与管理,在遵从IT标准和法规的前提下执行具体的管理活动,确保IT工作的效率和效果。IT治理解决的是“做什么,谁来做”的问题,明确业务保障。IT管理解决的是“如何做”的问题,明确IT保障。缺乏良好IT治理模式的公司,即使有“很好”的IT管理体系,就像一座地基不牢固的大厦;同样,没有公司IT管理体系的畅通,单纯的治理模式也只能是一个美好的蓝图,而缺乏实际的内容。
(四)IT治理的核心问题:五个决策
IT治理的一般定义五个关键决策:第一是基本原则,第二是架构,第三是基础设施,第四是商业应用需求,第五是投资。这五个决策是彼此相关的,有效的治理必须关注它们之间的关联性。一般来说,原则约束架构,架构决定基础设施,而基础设施又约束着业务需求,最后的IT投资必须为IT原则、整体架构、基础设施和应用需求所驱动。
1.决策1:IT原则
IT原则是什么?实际上就是企业的IT事业指导方针。也就是说你的公司想从IT里得到什么?对IT的期望值是什么?企业如何资助IT?
2.决策2:IT架构
IT架构则是要通过一系列的规则来达到业务流程、数据格式、IT运行的标准化和一体化,以期为基础设施、业务应用、IT投资提供指导方针。因此架构决策对于有效的IT治理而言,至关重要,往往是决定公司IT能力的一个关键。有的公司宁愿牺牲一些其他方面的东西,也要保证架构的完整。
3.决策3:IT基础设施
IT基础设施是企业信息化运营的基础,也是所有业务规划实现能力的衡量基础。它应该是可靠、可共享和可扩展的。有远见的基础设施规划不仅可以对企业业务的良好发展起到积极的推动作用,而且会节约成本,相反则会导致资源浪费、工期延误以及客户的流失
4.决策4:业务应用需求
尽管五种IT决策都涉及到IT的商业价值,但只有满足特定的商业需求才能实现其价值。在确认业务应用需求时,通常有两点是不能忽视的。一是要协调创造力和纪律性的矛盾,二是要关注业务与技术之间的互动性关系。创造力是指确定新的、更有效的通过IT传递客户价值的方法,包括开发或引入能够支持战略目标并推动业务实践的应用软件。而纪律性是关于架构完整性—即确保应用可以促进、扩展企业的架构而不是破坏它。纪律性同时也包括承诺提供必须资源以实现业务目标,否则IT存在的必要性就没有了。
5.决策5:IT投资
IT投资决策需要处理三个令人头痛的问题:(1)花多少钱?(2)把钱化在什么上面?(3)如何协调不同投资者的需求?IT投资流程必须确定要在IT上花多少钱?由于投资回报上的不确定性,很多决策者都会怀疑自己是不是投入太多了—或者太少了(虽然很少人会这样)。一般会参考一个行业内同行的投资标准,但这只能是一个参考标杆。因为,不同的企业对于IT的战略期望不尽相同,有远见的企业高管应该把注意力集中在IT的战略角色上。从而建立起对应的投资标准。
(五)企业IT治理的价值何在?
企业IT治理的方向与企业信息科技的角色定位相关。在数字化发展阶段, 信息科技定位在战略布局、创新发展、业务赋能、业务引领,对应的企业IT治理的方向也必然演变成以价值为导向,企业对科技的投资、对科技的管理直接目的是实现业务创新、创造企业价值、满足企业战略需求。企业实施IT治理的价值主要体现在如下五个方面:
1.IT与业务战略目标协同
IT对于企业非常关键,是企业战略的组成部分,有效的IT治理能够保持IT与企业战略目标和业务的一致性。通过IT战略优化IT建设投资组合,支持企业转型,通过信息基础架构为业务增长提供保障,为公司在地域和业务上的扩张提供支撑。在充分、深入研究组织的发展远景、内外部环境、业务策略和管理基础上,形成数字化的远景、信息系统的组成架构、信息系统各部分的逻辑关系,以支撑战略规划目标的达成.依据战略规划对各信息系统的支撑硬件、软件、技术等进行计划与安排。
2.实现IT价值传递
IT的价值实现逐渐受到企业高管的关注,要通过IT治理体现公司的价值主张,彰显IT对企业的价值。目前,宏观层面数字化投资规模大、绩效不佳是不争的事实;微观层面上信息孤岛、数字化工程超期、业务需求得不到满足、IT平台不支持业务发展等问题较为突出。IT资源的开发和利用是数字化建设的核心任务,是数字化取得实效的关键,是衡量数字化水平的一个重要标志。通过IT治理可以对各类IT资源的管理职责进行有效的制度设计,保证投资的回收,并支持业务战略的发展。
3.提升IT资源管理效能
IT治理能够优化利用企业的信息资源,有效地集成与协调。IT治理通过对核心IT资源做出合理的决策,降低成本,提升IT运维质量,确保有适当的能力来执行战略计划并提供充足、适当、有效的资源。资源优化可确保企业提供经济高效的综合IT 基础设施,根据业务需求引入新技术,以及更新或替换过时的系统。除了硬件和软件之外,它还重视人员的重要性,因此,它很注重提供培训、提高保留率以及确保关键IT 人员的能力。
4.加强IT技术的风险管控
由于企业越来越依赖于信息技术和网络,新的风险不断涌现,例如,新出现的技术缺乏适当管理、不符合现有法律和规章制度、没有识别对IT资产的威胁等。IT治理强调IT和业务遵守外部相关法律与法规、基础架构与应用的安全性、IT灾难恢复、风险承担机制,使风险透明化,指导和控制IT投资,避免相关风险,保障对业务的连续支撑。
5.构建持续发展的长效机制
当前,我国的数字化发展主要依靠合规的强制要求、上级领导部门和“一把手”的重视,缺乏内生的动力机制。充分发挥好数字化绩效评估的“指挥棒”作用,就可以构建数字化可持续发展的长效机制。即在IT治理框架和数字化全流程风险管理控制体系的基础上,通过严格的绩效评估和评估结果的透明披露,靠“问责”的制度化来实现数字化可持续发展的长效机制。
文章来源:杨杨洒洒说微信公众号