IT治理 初級(jí)解惑——訪：AMT 鄧為民 博士

IT治理 初級(jí)解惑

——關(guān)于IT治理的基本概念和理解辨析

吳晗之：鄧博士，您好。我們知道，您近幾年一直在關(guān)注管理信息化中一個(gè)較新的概念：IT治理。從字面上，我們?nèi)菀桌斫狻癐T治理”是指對(duì)企業(yè)IT服務(wù)和IT本身的結(jié)構(gòu)、組織進(jìn)行管理。但是更多人關(guān)心IT治理的具體理論，具體方法和具體價(jià)值在哪里。今天能否為我們就這些問(wèn)題作一些解答？

我們就從“IT治理”概念的具體起源開(kāi)始吧。

鄧為民 博士：好的。

信息管理以及相關(guān)信息技術(shù)的管理，對(duì)一個(gè)公司的生存與成功起到了關(guān)鍵性的重要作用。這種關(guān)鍵性的重要作用來(lái)自于：信息技術(shù)戲劇性地改變企業(yè)商務(wù)實(shí)踐、創(chuàng)造機(jī)遇、降低成本的潛能；組織對(duì)信息以及信息系統(tǒng)的依賴性的增強(qiáng)；信息安全問(wèn)題日益突出；對(duì)信息和信息系統(tǒng)的現(xiàn)有投資與未來(lái)投資的規(guī)模擴(kuò)大。在這種情況下，如何以較低的成本進(jìn)行IT建設(shè)以及管理IT交付的功能，就成為多數(shù)企業(yè)面臨的重大問(wèn)題。IT治理就是為了解決這個(gè)問(wèn)題而提出的概念。

治理一詞是確實(shí)讓很多人感到困惑。治理的英文單詞是governance。這里的翻譯借用了公司治理（corporate governance）；公司治理是由所有權(quán)與經(jīng)營(yíng)權(quán)相分離引起的，在IT建設(shè)中，也有一個(gè)分離的問(wèn)題：即IT建設(shè)維護(hù)與IT使用相分離，企業(yè)投資IT是希望為業(yè)務(wù)產(chǎn)生價(jià)值，這就存在如何管理IT，確保IT為業(yè)務(wù)創(chuàng)造價(jià)值的問(wèn)題，這就是IT治理。在臺(tái)灣省的一些文獻(xiàn)中，直接稱之為IT管理。

IT治理是一個(gè)由關(guān)系和過(guò)程所構(gòu)成的體系，用于指導(dǎo)和控制組織，通過(guò)平衡信息技術(shù)與過(guò)程的風(fēng)險(xiǎn)、增加價(jià)值來(lái)確保實(shí)現(xiàn)組織目標(biāo)。

IT治理運(yùn)用治理的概念來(lái)闡述業(yè)務(wù)于IT的關(guān)系，強(qiáng)調(diào)技術(shù)為業(yè)務(wù)服務(wù)，強(qiáng)調(diào)IT對(duì)業(yè)務(wù)的價(jià)值。簡(jiǎn)要言之：IT治理就是如何管理IT以服務(wù)業(yè)務(wù)，創(chuàng)造價(jià)值，也可以稱之為IT管理。

我們知道，現(xiàn)在有財(cái)務(wù)管理，人力資源管理，在針對(duì)企業(yè)的各項(xiàng)管理職能的研究中，還缺少一門(mén)信息化管理的內(nèi)容，IT治理就是研究這方面內(nèi)容的。

吳晗之：和其他專門(mén)的管理學(xué)下級(jí)領(lǐng)域一樣，關(guān)于IT治理也有很多與之相關(guān)的專門(mén)術(shù)語(yǔ)。我們最?？吹降囊粋€(gè)，就是COBIT， COBIT是什么，他與IT治理的關(guān)系如何？

鄧為民 博士：COBIT是Controlled Objectives for Information and Related Technology的縮寫(xiě)，即信息及相關(guān)技術(shù)的控制目標(biāo)。COBIT是 ISACA（信息系統(tǒng)審計(jì)和控制聯(lián)合會(huì)）制訂的面向流程的信息系統(tǒng)審計(jì)和評(píng)價(jià)的標(biāo)準(zhǔn)。COBIT的核心是IT流程。目前COBIT已經(jīng)更新到第三版。

COBIT提供了一個(gè)體系框架， 他把企業(yè)的IT治理分為4個(gè)領(lǐng)域，34個(gè)過(guò)程。這34個(gè)過(guò)程涵蓋了企業(yè)信息化建設(shè)的各個(gè)方面。針對(duì)每個(gè)IT治理過(guò)程，COBIT提供了管理目標(biāo)、過(guò)程活動(dòng)、關(guān)鍵成功要素、關(guān)鍵目標(biāo)指標(biāo)、關(guān)鍵績(jī)效指標(biāo)等一系列的管理工具，提升IT治理水平，并通過(guò)成熟度模型來(lái)衡量IT治理水平。

COBIT是對(duì)全球各個(gè)優(yōu)秀企業(yè)的信息化建設(shè)與管理經(jīng)驗(yàn)的總結(jié)，是企業(yè)規(guī)范信息化管理的一個(gè)非常好的參考工具。

參考：COBIT IT治理過(guò)程體系圖解

吳晗之：領(lǐng)域的概念我們更容易理解，“過(guò)程”具體含義是什么呢？能不能舉個(gè)例子幫助我們理解？

鄧為民 博士：好的。前面介紹COBIT是以過(guò)程為核心，他把企業(yè)的IT治理劃分為34個(gè)過(guò)程，下面我們以管理變更（manage changes）流程（流程AI6）來(lái)談?wù)凜OBIT 的價(jià)值。我們知道，企業(yè)總是處于不斷變化之中，而信息系統(tǒng)要求企業(yè)的業(yè)務(wù)具有相對(duì)的穩(wěn)定性，這就出現(xiàn)了變更管理的問(wèn)題：如變更總體管理、變更審批、重新配置系統(tǒng)流程，改變?cè)行畔⑾到y(tǒng)的邏輯設(shè)計(jì)，變更后信息系統(tǒng)的發(fā)布、以及變更后系統(tǒng)與原有系統(tǒng)的數(shù)據(jù)整合、變更檔案管理以及變更后的使用維護(hù)人員培訓(xùn)教育等。那么如何才能管理好變更問(wèn)題呢，COBIT給我們提出了一個(gè)框架體系。

變更控制的目標(biāo)：把可能的中斷、非授權(quán)的變更以及錯(cuò)誤減少到最小；

變更控制需要考慮的因素包括：變更的辨別和確認(rèn)、變更的分類優(yōu)先級(jí)、緊急變更處理過(guò)程、影響估計(jì)、變更授權(quán)、版本發(fā)放管理 、軟件分發(fā)、運(yùn)用自動(dòng)化管理工具、配置管理、流程再設(shè)計(jì)；

圖2 變更管理過(guò)程

變更控制過(guò)程：COBIT建立了變更控制過(guò)程，并針對(duì)過(guò)程中的每一個(gè)活動(dòng)建立了詳細(xì)控制目標(biāo)。變更過(guò)程如圖2 所示。如緊急變更的詳細(xì)控制目標(biāo)是：IT管理部門(mén)建立參數(shù)體系來(lái)區(qū)別緊急變更，建立過(guò)程來(lái)優(yōu)先控制這種變更，緊急變更應(yīng)被記錄并能夠被IT部門(mén)授權(quán)優(yōu)先處置。這樣，我們對(duì)如何管理緊急變更就有了一個(gè)明確的指導(dǎo)方針，至于如何判別緊急變更、緊急變更處理的具體制度，需要根據(jù)各個(gè)企業(yè)的具體情況來(lái)制訂。

變更管理成熟度：COBIT定義了五級(jí)成熟度模型，分別是：0不存在、1初始級(jí)、2可重復(fù)但是直覺(jué)型、3定義過(guò)程級(jí)、4可管理和衡量、5優(yōu)化級(jí)。對(duì)每一成熟度級(jí)別都有具體的界定，如變更管理水平要達(dá)到3定義過(guò)程級(jí)，需要做到：有正式定義的變更管理流程，包括分類、優(yōu)先級(jí)、突發(fā)事件處理過(guò)程、變更授權(quán)和發(fā)布管理。但是一致性沒(méi)有得到保證。定義的流程并不總是合適的和實(shí)用的，因此，經(jīng)常導(dǎo)致工作重復(fù)，流程不被執(zhí)行。系統(tǒng)錯(cuò)誤可能發(fā)生，非授權(quán)的變更偶爾會(huì)發(fā)生。IT變更對(duì)業(yè)務(wù)運(yùn)作的影響分析比較正式以支持新應(yīng)用和技術(shù)的推出。

吳晗之：聽(tīng)上去就像我們的顧問(wèn)成熟度模型。

鄧為民 博士：對(duì)，這就是成熟度模型的基本特征。

COBIT的一個(gè)特色是把管理落到實(shí)處。針對(duì)紛繁復(fù)雜的變更問(wèn)題，COBIT提出了管理目標(biāo)、管理方法，管理成熟度的判定、績(jī)效考核指標(biāo)等工具，使得變更管理能夠真正落到實(shí)處，并能夠指引前進(jìn)的方向，向更高的管理水平邁進(jìn)。這就是COBIT的價(jià)值所在。從對(duì)變更管理的詳細(xì)介紹中，我們看到，COBIT是一個(gè)實(shí)實(shí)在在的能夠?yàn)槠髽I(yè)帶來(lái)價(jià)值，提升企業(yè)信息化管理水平降低信息化風(fēng)險(xiǎn)的管理工具。

吳晗之：我們前面介紹了IT治理在理論上誕生的背景，那么什么樣的現(xiàn)實(shí)特征，尤其是在中國(guó)當(dāng)前的什么階段特征，使得它從一個(gè)概念變成一個(gè)可以時(shí)間可以操作并且比較重要的管理重點(diǎn)？

鄧為民 博士：IT治理受到越來(lái)越多的關(guān)注，應(yīng)該是信息化的在企業(yè)和組織的深入應(yīng)用的結(jié)果。這種應(yīng)用的深入體現(xiàn)在兩個(gè)方面：一是信息系統(tǒng)本身復(fù)雜度增減，業(yè)務(wù)對(duì)系統(tǒng)的依賴性增強(qiáng)，信息系統(tǒng)的風(fēng)險(xiǎn)增大，另外一個(gè)方面是信息部門(mén)規(guī)模的增加，如何合理的配備人員，對(duì)人員進(jìn)行有效組織、控制、激勵(lì)等日益復(fù)雜。這兩方面要求企業(yè)在信息化方面加強(qiáng)治理，以降低風(fēng)險(xiǎn)，創(chuàng)造價(jià)值。

在中國(guó)，IT治理是一個(gè)全新的概念，是最近一兩年出現(xiàn)的新的熱點(diǎn)。 AMT是較早開(kāi)展IT治理應(yīng)用研究的單位，目前，AMT已經(jīng)在多家企業(yè)進(jìn)行IT治理實(shí)踐。如幫助某事業(yè)單位進(jìn)行需求管理流程的梳理，對(duì)某客戶進(jìn)行的IT資源配置調(diào)整、對(duì)某客戶進(jìn)行的IT人力資源建設(shè)建議等。從整體上說(shuō)，IT治理需要與企業(yè)的實(shí)踐相結(jié)合，需要對(duì)企業(yè)具有可操作性才能產(chǎn)生價(jià)值。

吳晗之：經(jīng)過(guò)上面的了解，我感覺(jué)IT治理的范圍非常廣泛，這是不是意味著它也有很多交叉領(lǐng)域？IT治理的成功是不是也涉及方方面面？

鄧為民 博士：從COBIT34個(gè)過(guò)程就可以看出，IT治理涉及的范圍非常廣泛。對(duì)企業(yè)的信息化建設(shè)本身，涉及了從論證、規(guī)劃、建設(shè)、評(píng)估等各個(gè)階段。從橫向關(guān)系來(lái)看，IT治理涉及到財(cái)務(wù)管理、人力資源建設(shè)等內(nèi)容。這是一個(gè)體系，是企業(yè)IT治理的總的目標(biāo)，在不用的階段，企業(yè)可以選擇IT治理的重點(diǎn)。我們?cè)诤芏嗟胤娇吹降某晒Π咐际蔷劢乖谝粋€(gè)特定的范圍內(nèi)的。

就AMT已經(jīng)在國(guó)內(nèi)開(kāi)展的大量IT治理咨詢工作看，也是這樣。IT 治理咨詢業(yè)務(wù)包括企業(yè)的IT流程 組織結(jié)構(gòu)設(shè)計(jì)、IT人力資源建設(shè)，績(jī)效考核體系等。通常IT治理咨詢工作伴隨者IT規(guī)劃項(xiàng)目進(jìn)行，IT規(guī)劃是規(guī)劃信息系統(tǒng)對(duì)企業(yè)的商業(yè)價(jià)值，而IT治理則是運(yùn)用各種IT資源實(shí)現(xiàn)IT商業(yè)價(jià)值的過(guò)程。AMT在IT治理方面的案例，可以在IT治理前沿論叢?？?，以及AMT公共網(wǎng)站上找到。

吳晗之：我們所觀察到的，需要關(guān)注IT治理的企業(yè)具有哪些特征？

鄧為民 博士：只要企業(yè)想要進(jìn)行信息化建設(shè)，想要通過(guò)信息化來(lái)提高企業(yè)的競(jìng)爭(zhēng)力，就必須關(guān)注IT治理。只是由于規(guī)模的原因，IT治理問(wèn)題在規(guī)模較小的企業(yè)中并不突出，主要是通過(guò)優(yōu)秀的個(gè)人來(lái)保證信息化對(duì)企業(yè)的價(jià)值，這為企業(yè)埋下了風(fēng)險(xiǎn)。這里的規(guī)模包括了企業(yè)自身的規(guī)模以及信息化建設(shè)的規(guī)模。我們認(rèn)為具有以下特征的企業(yè)尤其需要關(guān)注IT治理：業(yè)務(wù)時(shí)效性強(qiáng)，中斷影響大，如銀行；系統(tǒng)數(shù)量多，版本復(fù)雜，如具有較多自主開(kāi)發(fā)或者二次開(kāi)發(fā)的企業(yè)；系統(tǒng)用戶多地域分布廣；整個(gè)IT投資規(guī)模大等等。我們正在做一個(gè)快速消費(fèi)品行業(yè)IT規(guī)劃項(xiàng)目，國(guó)外快速消費(fèi)品行業(yè)對(duì)IT的年投資水平大約占銷售額的1.7%。按照這個(gè)比例，對(duì)于一個(gè)年銷售額僅6億的快速消費(fèi)品企業(yè)的來(lái)說(shuō)，一年的IT投資額大約要1000萬(wàn)。這么大的投資額，需要對(duì)IT進(jìn)行有效管理，使投資產(chǎn)生價(jià)值。

吳晗之：在進(jìn)行IT治理時(shí)需要做的短期工作和長(zhǎng)期工作分別是什么？公司在選擇自治和尋求外部咨詢的時(shí)候主要會(huì)從哪些方面考慮？如何取舍？

鄧為民 博士：IT治理從短期上說(shuō)，就是做好企業(yè)信息部門(mén)的管理工作，以及協(xié)調(diào)好信息部門(mén)與其他業(yè)務(wù)部門(mén)的關(guān)系，如IT人力資源配備、IT部門(mén)組織流程設(shè)計(jì)、IT應(yīng)用培訓(xùn)，IT服務(wù)等。從長(zhǎng)遠(yuǎn)來(lái)說(shuō)，IT治理工作需要與企業(yè)的IT規(guī)劃相適應(yīng)，并做為IT規(guī)劃的一部分。IT治理長(zhǎng)期的工作就是定義IT人力資源的規(guī)模，企業(yè)IT應(yīng)用水平、IT服務(wù)所要達(dá)到的水平的規(guī)劃。

企業(yè)可以通過(guò)內(nèi)部的不斷變革提升企業(yè)的IT治理工作，但是這種改變是自發(fā)的，無(wú)方向的，有一些經(jīng)驗(yàn)是有效的，而其他的則是無(wú)效的。如通過(guò)企業(yè)內(nèi)部政治的方式解決信息化需求問(wèn)題，單純通過(guò)增加薪酬來(lái)解決IT人力資源發(fā)展問(wèn)題等；專業(yè)的咨詢公司了解國(guó)內(nèi)外IT治理最新的進(jìn)展，熟悉企業(yè)IT治理過(guò)程中的重點(diǎn)、難點(diǎn)和特點(diǎn)。同時(shí)，專業(yè)公司通過(guò)對(duì)不同的企業(yè)服務(wù)，能夠綜合不同企業(yè)IT治理的有效經(jīng)驗(yàn)，如果把這些國(guó)外的先進(jìn)標(biāo)準(zhǔn)、有效管理經(jīng)驗(yàn)與企業(yè)的實(shí)際結(jié)合起來(lái)，就能夠很好地提高企業(yè)的IT治理水平。

吳晗之：最后，可能CIO們會(huì)問(wèn)，既然他們平時(shí)也是做IT管理工作，IT治理這個(gè)概念究竟對(duì)他們的價(jià)值是什么？

鄧為民 博士：如何管理好信息化，讓IT為業(yè)務(wù)創(chuàng)造價(jià)值，這是每一個(gè)CIO的首要任務(wù)；IT治理為CIO的管理工作提供了一個(gè)很好的框架。通過(guò)這個(gè)框架，使CIO對(duì)信息化管理的內(nèi)容、目標(biāo)、流程 組織 績(jī)效指標(biāo)以及成熟度評(píng)估等有總體把握，能夠指導(dǎo)CIO的管理工作。

附：COBIT IT治理過(guò)程體系圖解

圖1 COBIT IT治理過(guò)程體系