中國IT 治理的混沌時期

申請免費試用、咨詢電話：400-8352-114

“IT治理？沒聽過。”當一位省級移動公司網絡負責人侃侃而談IT管理之后，在回答“是否聽說過IT 治理”時，卻給出了這樣的回答。這家移動公司正在提升IT 管理水平，以準備接受塞班斯法案的相關審計。沒想到管理著300余名IT 員工的網絡部負責人盡管參與了IT內控工作，卻對“IT治理”聞所未聞。這與一些業(yè)內人的預想相去甚遠。

孫強：IT治理與IT管理是一枚硬幣的兩面

為了驗證IT 治理在國內是否真的“雷聲大雨點小”，《I T 經理世界》在ceocio.com.cn網站上做了一次小型調查。調查結果再次驗證了這位移動公司IT 負責人對“IT 治理”的陌生并不是個別現象。在這次調查中，41%的人根本不知道IT 治理，比較了解IT 治理的受訪者不足20%；有60%的人不知道IT 治理和IT 管理之間的區(qū)別；僅有1%的調查者參與過IT 治理的實踐。

看來，“IT治理”在被IT廠商、咨詢機構頻頻提及的時候，它在CIO及企業(yè)管理者中的認知度遠沒有兜售理念的人以為得那么高。

管理？治理？       

在這次調查中，有22% 的人混淆了IT 治理與IT 管理的概念，覺得它們其實是一回事；僅有不足半數的人認為兩者之間存在差別。其實，能準確區(qū)分IT 治理和IT 管理之間區(qū)別的CIO 并不多。除了對兩個概念不甚了了外，不同的CIO對這兩個概念的內涵與外延也有著自己的理解和解釋。

中國中化集團公司是世界500 強企業(yè)，它的石油、化肥、化工等業(yè)務實現了全球化運作。在中化集團信息技術部總經理彭勁松看來，IT 治理決定了企業(yè)如何進行決策，屬于戰(zhàn)略層面；IT管理則是制定和執(zhí)行這些決策的戰(zhàn)術。

去年，在他完成的一個IT 治理實踐中，中化集團通過運用IT治理的理念進行決策，用項目管理的方法組織實施，運用IT審計指南進行了項目驗收，用ITIL指導方法制定了隨后的管理流程，使得企業(yè)最終完成了預定的系統災難恢復管理。現在，中化集團如果遇到災難，其IT系統最多在兩天之內就能恢復運行。此外，他們還實現了對網絡、系統監(jiān)控的管理，達到了企業(yè)系統綜合管理及系統資源優(yōu)化管理的目的，確保了IT 對全球業(yè)務的連續(xù)服務。

屈玉閣是中國網通（集團）公司河北省分公司企業(yè)信息化部高級工程師，他按照IT 治理的方法，組織撰寫了39.6 萬字的“中國網通信息化建設管理控制體系”。他對于IT治理和IT管理之間的區(qū)別有著更為直白的理解——“IT治理是從外部到內部的控制，如塞班斯法案就是要企業(yè)按照其要求，沒有商量余地。而IT管理則帶有很強的妥協性，IT部門與企業(yè)高層、業(yè)務部門間可以做很多妥協。”

其實，IT治理對組織的意義要大于IT管理，這并不是因為它管的是“決策”，而是因為IT 治理聚焦的是保持IT 與業(yè)務目標一致、推動業(yè)務發(fā)展、促使收益最大化。一份來自國外的調查報告顯示，IT治理出色的企業(yè)可以獲得比競爭對手高出40%的IT投資回報；IT治理處于平均水平的企業(yè)在采用相同業(yè)務戰(zhàn)略的情況下，能夠比IT治理效率低下的企業(yè)多獲得20%的利潤。

“IT 管理的著力點是信息及信息系統的運營，是一種確定IT目標及實現目標的行動；而IT治理是最高管理層利用它來監(jiān)督IT 戰(zhàn)略執(zhí)行的過程、機制和框架，以確保其處于正確的軌道之上。兩者是一枚硬幣的兩面。” ITGov 中國IT 治理研究中心主任孫強認為。在他看來，IT治理規(guī)定了整個組織IT運作的基本框架，IT管理則是在這個既定的框架下“駕馭”組織奔向目標。缺乏良好IT治理模式的組織，即使有“很好”的IT管理體系，也像一座地基不牢固的大廈；同樣，沒有暢通的IT管理體系，單純的治理模式也只能是一個美好的空中樓閣?，F在，不少CIO 將IT 治理和IT 管理混為一談，甚至對IT管理的內涵也不甚了了，這同國內組織仍處于大規(guī)模信息化建設階段有關。當一個組織處于應用系統建設階段時，CIO很容易將所有注意力和IT資源集中在“項目”上，因此IT管理被簡單地看成眼下尚不急需的一項長期工作。其實，即使是戰(zhàn)術層面的IT 治理對IT 建設也非常重要。在越來越被廣泛采用的IT管理框架——ITIL (Information TechnologyInfrastructure Library， IT 基礎架構庫)中，IT管理包含了IT戰(zhàn)略規(guī)劃、安全管理、成本管理、突發(fā)事件管理、配置管理、變更管理等眾多內容，這些管理是否到位都直接影響著IT 投資效果。

火候未到？       

“我們雖然在2003 年就開始進行IT管理，并于2004 年引入了ITIL，開始進行SOX 內控項目，但我仍然覺得我們還沒有到達IT治理的層次。” 中海油集團信息技術中心主任王若訊說。有不少CIO與王若訊持同樣的看法。在神州數碼信息管理部總經理鄭小維看來，中國信息化的發(fā)展程度還沒有到達IT 治理的層面。她認為，企業(yè)首先要先完成應用系統的搭建，然后再進行規(guī)范的IT 管理，最后才能水到渠成地進入IT 治理這個層次。

如今，神州數碼已經過了大規(guī)模的IT 系統建設階段，IT 管理工作成為鄭小維3年多來的工作重點。雖然她已經取得了COBIT（IT治理的一個開放性標準，由美國IT治理研究院開發(fā)與推廣）認證，但她并沒有在企業(yè)內部依照COBIT的方法論，逐條逐項、大張旗鼓地做IT治理。她覺得，神州數碼的IT管理工作還未完成。按照她的計劃，神州數碼準備今年通過ISO20000（國際標準組織ISO 關于IT 服務管理領域的國際標準）認證。不過，她在IT管理中已經融入了不少IT治理的實踐方法，如建立高層及業(yè)務部門多方參與的虛擬IT 團隊、制定規(guī)范IT 運作機制的IT 管理大綱等。

目前，大多數明確表示正在進行IT治理的企業(yè)，都將其與公司治理密切聯系，目的是為了讓投資者信任企業(yè)。比如為了應對美國的塞班斯法案，在美國上市的企業(yè)就必須保證所披露信息的真實與準確，保證信息處理與傳遞的效率。法規(guī)遵從成為許多企業(yè)展開IT 治理的最主要動力。我國電信、金融、化工等大型企業(yè)幾乎不約而同地于2004 年后開始進行IT 內控、IT 治理，與塞班斯法案的要求直接相關。“中國網通（集團）公司的部分資產已經在美國和香港上市，投資者不但需要上市公司有良好的業(yè)績，還需要上市公司有嚴格的內部控制管理規(guī)范。因此我們必須按照企業(yè)發(fā)展戰(zhàn)略的總體要求，對信息化建設過程進行統一規(guī)劃、統一管理，以滿足企業(yè)提高核心競爭力的要求。”屈玉閣道出了他們進行IT治理的直接緣由。

盡管不少企業(yè)進行IT 治理是為了應對塞班斯法案，但不少正在從事IT 治理的CIO 并不認為符合塞班斯的內控要求就算取得了IT治理的勝利，“有針對性的治理工作僅是IT 治理很小的一部分”。

COBIT 被認為是實施IT 治理的最佳實務。據說塞班斯法案對IT部分的審計就依據了COBIT 的標準。它包括規(guī)劃與組織、采集與實施、交付與支持、監(jiān)控等4個域、34 個流程、318 個控制目標。河北網通按照COBIT、ITIL 等IT 治理與管理方法，用了半年多時間才撰寫出IT治理規(guī)劃。如果按照COBIT 的34 個流程一一實踐IT 治理，至少需要2～3 年。因此準確理解IT治理內涵的CIO一致認為，良好的IT治理不可能一夕之間完成，時間和持續(xù)優(yōu)化是其必不可少的要素。這些要素決定了IT治理必然是一個漫長和動態(tài)的過程，是組織與所有利益相關者的互動過程，包括在制定長遠IT 發(fā)展戰(zhàn)略等決策上的互動。另外，組織所處內外部環(huán)境的動態(tài)性也決定了IT治理的動態(tài)性。IT治理本身的難度和我國信息化發(fā)展階段決定了它曲高
和寡的現狀，也是其“外熱內冷”、陷入混沌狀態(tài)的主要原因。

ITGov 中國IT 治理研究中心是一個在IT 治理領域推動中國與國際同步發(fā)展的資源平臺。其創(chuàng)始人孫強帶領研究人員從2002 年開始進行COBIT 的認證培訓，至今共幫助中國近百名學員獲得COBIT 認證。但仔細觀察這些學員的組成不難發(fā)現，CIO或IT 經理不足1/3，大部分學員來自正在從事IT治理和IT管理咨詢及服務的廠商、咨詢機構。不過，4年來的推動還是讓孫強看到了進步。“2002年，我們向別人介紹IT治理時，基本上大家都不能理解也聽不懂。”現在，主動找他們做IT 治理咨詢和指導的組織逐漸多了起來，“但如何構建完善的IT治理沒有模式可以照搬，本質上要以組織的戰(zhàn)略和文化為出發(fā)點”。

不只是在國內，在全球其他地區(qū)，IT治理也是陽春白雪。普華永道的2006 年全球IT 治理報告顯示，只有10%的IT 人員正在使用COBIT，這一數字并不算高。Forrest 研究機構報告表明，90%的美國企業(yè)已經或多或少建立了 IT 管理和治理架構，但是做的好的并不多。不過，這些數字對IT 廠商和咨詢機構而言，卻意味著巨大的市場機會。IDC 預測，今后4年內，IT 管理和治理市場每年會增長15%。這也是COBIT、ITIL、SLA（Service-LevelAgreement 服務等級協議）等名詞被IT廠商和咨詢公司頻頻提起的原因。

來源：IT經理世界