IT治理 初級解惑——訪：AMT 鄧為民 博士

IT治理 初級解惑

——關于IT治理的基本概念和理解辨析

吳晗之：鄧博士，您好。我們知道，您近幾年一直在關注管理信息化中一個較新的概念：IT治理。從字面上，我們容易理解“IT治理”是指對企業(yè)IT服務和IT本身的結構、組織進行管理。但是更多人關心IT治理的具體理論，具體方法和具體價值在哪里。今天能否為我們就這些問題作一些解答？

我們就從“IT治理”概念的具體起源開始吧。

鄧為民 博士：好的。

信息管理以及相關信息技術的管理，對一個公司的生存與成功起到了關鍵性的重要作用。這種關鍵性的重要作用來自于：信息技術戲劇性地改變企業(yè)商務實踐、創(chuàng)造機遇、降低成本的潛能；組織對信息以及信息系統(tǒng)的依賴性的增強；信息安全問題日益突出；對信息和信息系統(tǒng)的現(xiàn)有投資與未來投資的規(guī)模擴大。在這種情況下，如何以較低的成本進行IT建設以及管理IT交付的功能，就成為多數(shù)企業(yè)面臨的重大問題。IT治理就是為了解決這個問題而提出的概念。

治理一詞是確實讓很多人感到困惑。治理的英文單詞是governance。這里的翻譯借用了公司治理（corporate governance）；公司治理是由所有權與經營權相分離引起的，在IT建設中，也有一個分離的問題：即IT建設維護與IT使用相分離，企業(yè)投資IT是希望為業(yè)務產生價值，這就存在如何管理IT，確保IT為業(yè)務創(chuàng)造價值的問題，這就是IT治理。在臺灣省的一些文獻中，直接稱之為IT管理。

IT治理是一個由關系和過程所構成的體系，用于指導和控制組織，通過平衡信息技術與過程的風險、增加價值來確保實現(xiàn)組織目標。

IT治理運用治理的概念來闡述業(yè)務于IT的關系，強調技術為業(yè)務服務，強調IT對業(yè)務的價值。簡要言之：IT治理就是如何管理IT以服務業(yè)務，創(chuàng)造價值，也可以稱之為IT管理。

我們知道，現(xiàn)在有財務管理，人力資源管理，在針對企業(yè)的各項管理職能的研究中，還缺少一門信息化管理的內容，IT治理就是研究這方面內容的。

吳晗之：和其他專門的管理學下級領域一樣，關于IT治理也有很多與之相關的專門術語。我們最?？吹降囊粋€，就是COBIT， COBIT是什么，他與IT治理的關系如何？

鄧為民 博士：COBIT是Controlled Objectives for Information and Related Technology的縮寫，即信息及相關技術的控制目標。COBIT是 ISACA（信息系統(tǒng)審計和控制聯(lián)合會）制訂的面向流程的信息系統(tǒng)審計和評價的標準。COBIT的核心是IT流程。目前COBIT已經更新到第三版。

COBIT提供了一個體系框架， 他把企業(yè)的IT治理分為4個領域，34個過程。這34個過程涵蓋了企業(yè)信息化建設的各個方面。針對每個IT治理過程，COBIT提供了管理目標、過程活動、關鍵成功要素、關鍵目標指標、關鍵績效指標等一系列的管理工具，提升IT治理水平，并通過成熟度模型來衡量IT治理水平。

COBIT是對全球各個優(yōu)秀企業(yè)的信息化建設與管理經驗的總結，是企業(yè)規(guī)范信息化管理的一個非常好的參考工具。

參考：COBIT IT治理過程體系圖解

吳晗之：領域的概念我們更容易理解，“過程”具體含義是什么呢？能不能舉個例子幫助我們理解？

鄧為民 博士：好的。前面介紹COBIT是以過程為核心，他把企業(yè)的IT治理劃分為34個過程，下面我們以管理變更（manage changes）流程（流程AI6）來談談COBIT 的價值。我們知道，企業(yè)總是處于不斷變化之中，而信息系統(tǒng)要求企業(yè)的業(yè)務具有相對的穩(wěn)定性，這就出現(xiàn)了變更管理的問題：如變更總體管理、變更審批、重新配置系統(tǒng)流程，改變原有信息系統(tǒng)的邏輯設計，變更后信息系統(tǒng)的發(fā)布、以及變更后系統(tǒng)與原有系統(tǒng)的數(shù)據(jù)整合、變更檔案管理以及變更后的使用維護人員培訓教育等。那么如何才能管理好變更問題呢，COBIT給我們提出了一個框架體系。

變更控制的目標：把可能的中斷、非授權的變更以及錯誤減少到最小；

變更控制需要考慮的因素包括：變更的辨別和確認、變更的分類優(yōu)先級、緊急變更處理過程、影響估計、變更授權、版本發(fā)放管理 、軟件分發(fā)、運用自動化管理工具、配置管理、流程再設計；

圖2 變更管理過程

變更控制過程：COBIT建立了變更控制過程，并針對過程中的每一個活動建立了詳細控制目標。變更過程如圖2 所示。如緊急變更的詳細控制目標是：IT管理部門建立參數(shù)體系來區(qū)別緊急變更，建立過程來優(yōu)先控制這種變更，緊急變更應被記錄并能夠被IT部門授權優(yōu)先處置。這樣，我們對如何管理緊急變更就有了一個明確的指導方針，至于如何判別緊急變更、緊急變更處理的具體制度，需要根據(jù)各個企業(yè)的具體情況來制訂。

變更管理成熟度：COBIT定義了五級成熟度模型，分別是：0不存在、1初始級、2可重復但是直覺型、3定義過程級、4可管理和衡量、5優(yōu)化級。對每一成熟度級別都有具體的界定，如變更管理水平要達到3定義過程級，需要做到：有正式定義的變更管理流程，包括分類、優(yōu)先級、突發(fā)事件處理過程、變更授權和發(fā)布管理。但是一致性沒有得到保證。定義的流程并不總是合適的和實用的，因此，經常導致工作重復，流程不被執(zhí)行。系統(tǒng)錯誤可能發(fā)生，非授權的變更偶爾會發(fā)生。IT變更對業(yè)務運作的影響分析比較正式以支持新應用和技術的推出。

吳晗之：聽上去就像我們的顧問成熟度模型。

鄧為民 博士：對，這就是成熟度模型的基本特征。

COBIT的一個特色是把管理落到實處。針對紛繁復雜的變更問題，COBIT提出了管理目標、管理方法，管理成熟度的判定、績效考核指標等工具，使得變更管理能夠真正落到實處，并能夠指引前進的方向，向更高的管理水平邁進。這就是COBIT的價值所在。從對變更管理的詳細介紹中，我們看到，COBIT是一個實實在在的能夠為企業(yè)帶來價值，提升企業(yè)信息化管理水平降低信息化風險的管理工具。

吳晗之：我們前面介紹了IT治理在理論上誕生的背景，那么什么樣的現(xiàn)實特征，尤其是在中國當前的什么階段特征，使得它從一個概念變成一個可以時間可以操作并且比較重要的管理重點？

鄧為民 博士：IT治理受到越來越多的關注，應該是信息化的在企業(yè)和組織的深入應用的結果。這種應用的深入體現(xiàn)在兩個方面：一是信息系統(tǒng)本身復雜度增減，業(yè)務對系統(tǒng)的依賴性增強，信息系統(tǒng)的風險增大，另外一個方面是信息部門規(guī)模的增加，如何合理的配備人員，對人員進行有效組織、控制、激勵等日益復雜。這兩方面要求企業(yè)在信息化方面加強治理，以降低風險，創(chuàng)造價值。

在中國，IT治理是一個全新的概念，是最近一兩年出現(xiàn)的新的熱點。 AMT是較早開展IT治理應用研究的單位，目前，AMT已經在多家企業(yè)進行IT治理實踐。如幫助某事業(yè)單位進行需求管理流程的梳理，對某客戶進行的IT資源配置調整、對某客戶進行的IT人力資源建設建議等。從整體上說，IT治理需要與企業(yè)的實踐相結合，需要對企業(yè)具有可操作性才能產生價值。

吳晗之：經過上面的了解，我感覺IT治理的范圍非常廣泛，這是不是意味著它也有很多交叉領域？IT治理的成功是不是也涉及方方面面？

鄧為民 博士：從COBIT34個過程就可以看出，IT治理涉及的范圍非常廣泛。對企業(yè)的信息化建設本身，涉及了從論證、規(guī)劃、建設、評估等各個階段。從橫向關系來看，IT治理涉及到財務管理、人力資源建設等內容。這是一個體系，是企業(yè)IT治理的總的目標，在不用的階段，企業(yè)可以選擇IT治理的重點。我們在很多地方看到的成功案例，都是聚焦在一個特定的范圍內的。

就AMT已經在國內開展的大量IT治理咨詢工作看，也是這樣。IT 治理咨詢業(yè)務包括企業(yè)的IT流程 組織結構設計、IT人力資源建設，績效考核體系等。通常IT治理咨詢工作伴隨者IT規(guī)劃項目進行，IT規(guī)劃是規(guī)劃信息系統(tǒng)對企業(yè)的商業(yè)價值，而IT治理則是運用各種IT資源實現(xiàn)IT商業(yè)價值的過程。AMT在IT治理方面的案例，可以在IT治理前沿論叢?？?，以及AMT公共網(wǎng)站上找到。

吳晗之：我們所觀察到的，需要關注IT治理的企業(yè)具有哪些特征？

鄧為民 博士：只要企業(yè)想要進行信息化建設，想要通過信息化來提高企業(yè)的競爭力，就必須關注IT治理。只是由于規(guī)模的原因，IT治理問題在規(guī)模較小的企業(yè)中并不突出，主要是通過優(yōu)秀的個人來保證信息化對企業(yè)的價值，這為企業(yè)埋下了風險。這里的規(guī)模包括了企業(yè)自身的規(guī)模以及信息化建設的規(guī)模。我們認為具有以下特征的企業(yè)尤其需要關注IT治理：業(yè)務時效性強，中斷影響大，如銀行；系統(tǒng)數(shù)量多，版本復雜，如具有較多自主開發(fā)或者二次開發(fā)的企業(yè)；系統(tǒng)用戶多地域分布廣；整個IT投資規(guī)模大等等。我們正在做一個快速消費品行業(yè)IT規(guī)劃項目，國外快速消費品行業(yè)對IT的年投資水平大約占銷售額的1.7%。按照這個比例，對于一個年銷售額僅6億的快速消費品企業(yè)的來說，一年的IT投資額大約要1000萬。這么大的投資額，需要對IT進行有效管理，使投資產生價值。

吳晗之：在進行IT治理時需要做的短期工作和長期工作分別是什么？公司在選擇自治和尋求外部咨詢的時候主要會從哪些方面考慮？如何取舍？

鄧為民 博士：IT治理從短期上說，就是做好企業(yè)信息部門的管理工作，以及協(xié)調好信息部門與其他業(yè)務部門的關系，如IT人力資源配備、IT部門組織流程設計、IT應用培訓，IT服務等。從長遠來說，IT治理工作需要與企業(yè)的IT規(guī)劃相適應，并做為IT規(guī)劃的一部分。IT治理長期的工作就是定義IT人力資源的規(guī)模，企業(yè)IT應用水平、IT服務所要達到的水平的規(guī)劃。

企業(yè)可以通過內部的不斷變革提升企業(yè)的IT治理工作，但是這種改變是自發(fā)的，無方向的，有一些經驗是有效的，而其他的則是無效的。如通過企業(yè)內部政治的方式解決信息化需求問題，單純通過增加薪酬來解決IT人力資源發(fā)展問題等；專業(yè)的咨詢公司了解國內外IT治理最新的進展，熟悉企業(yè)IT治理過程中的重點、難點和特點。同時，專業(yè)公司通過對不同的企業(yè)服務，能夠綜合不同企業(yè)IT治理的有效經驗，如果把這些國外的先進標準、有效管理經驗與企業(yè)的實際結合起來，就能夠很好地提高企業(yè)的IT治理水平。

吳晗之：最后，可能CIO們會問，既然他們平時也是做IT管理工作，IT治理這個概念究竟對他們的價值是什么？

鄧為民 博士：如何管理好信息化，讓IT為業(yè)務創(chuàng)造價值，這是每一個CIO的首要任務；IT治理為CIO的管理工作提供了一個很好的框架。通過這個框架，使CIO對信息化管理的內容、目標、流程 組織 績效指標以及成熟度評估等有總體把握，能夠指導CIO的管理工作。

附：COBIT IT治理過程體系圖解

圖1 COBIT IT治理過程體系