千山暮雪续集7:走出金融危机-让我们从IT治理开始 - snowfox2008 - JavaEye技术网站

走出金融危机-让我们从IT治理开始

注：本篇文章已经发表在<<软件世界>>杂志第4期上，文：辛鹏，转载请联系本人。

一、 中国企业IT环境的现状

中国企业和政府的信息化建设已经取得了较大的成绩，例如现在在大多数的企业中已经有了财务管理系统、人事管理系统、CRM系统、SCM系统，还有其他的业务系统。中国企业的运营正在依靠着这些IT系统来支撑，但同时，在信息化建设和推进中也暴露出了一些深层次的问题，例如：这些IT系统之间比较孤立，虽然有的企业为了消除这些信息孤岛，在内部做了IT系统的集成，但是发挥的效用还不是很大，而且IT实施的成本也很高，没有取得期望的ROI；如何实现IT战略与企业战略的统一？如何保证IT投资的回报率？如何从治理的高度，为企业信息化的建设提供全生命周期的制度和规则？如何从战略投资、企业管理变革的角度，降低IT的风险？如何利用本国和欧美国家信息化的最佳实践和智力成果，加快政府和企业的信息化推进工作？

笔者做过很多的项目，项目的立项之初，领导都很重视，可能由一把手或二把手带队，他们在各种会议上大谈信息化的重要性，号召全员配合，任何人不得以任何理由阻碍信息化建设，但是在项目立项之初和上线之后运行的整个过程中，都缺乏相应的IT治理策略：怎样制定策略，由谁制定策略，IT系统是否和初期需求一致，IT系统和业务的契合度，IT系统是否为公司提高了绩效，怎样对IT系统申请需求变更，怎样得到快速有效的反馈等。因此最后的结果是，在政府中很多的项目成了政绩，面子工程，上线验收之后，便束之高阁了。在企业中可能情况稍好，毕竟是花的自己的钱?，但是同样也缺乏完整的策略制定、度量、反馈机制。使得IT系统不能持续改进，为企业创造卓越的绩效。

二、 治理的定义及与管理的区别

治理定义：在关于治理的各种定义中，全球治理委员会的定义具有最大的代表性和权威性。该委员会在《我们的全球之家》的研究报告中对治理做出了如下界定：治理是各种公共的或私人的个人和机构管理其共同事务的诸多方式的总和。它是使相互冲突的或不同的利益得以调和并且采取联合行动的持续的过程。它有四个特征：治理不是一整套规则，也不是一种活动，而是一个过程；治理过程的基础不是控制，而是协调；治理既涉及公共部门，也包括私人部门；治理不是一种正式的制度，而是持续的互动。

与管理的区别：

治理是一个过程，是持续的互动，治理过程的基础是协调，面向所有的参与人员，体现一种平等的协调，而管理的基础是控制和命令，强调的由上往下、命令的贯彻与服从；

治理确定谁负责制定决策，需要制定什么决策，以及使决策制定保持一致的决策。

治理规划需要制定什么决策，而管理是制定和实施决策的过程。

治理重在建立决策，而管理重在贯彻执行决策

在《IT治理》一书中，我们看到IT治理的定义是：在IT应用过程中，为鼓励期望行为而明确的决策权归属和责任担当框架。IT治理是决定谁来系统地制定、执行这些IT决策问题。通俗地说，IT治理就是关注IT到底要做什么，怎么做，谁来做决策，谁去参与决策，谁去实现这个决策的问题。IT治理实际上是要解决整个信息化的生产关系是什么样的。如果没有好的IT生产关系，生产出来的IT系统不可能是一个成功的系统。而IT管理则是则是制定和执行这些IT决策的过程。

从上述几个概念，我们也许可以看出其中的一些差别。IT治理更多地需要和组织的业务、战略、资产、人力等各个方面紧密结合，是一套组织架构和机制保证，而非少数一撮人的拍脑袋所为。今天在我国政府进行体制改革和组织变革的过程中，同时要进行信息化建设，IT治理的重要性也将日益凸显起来。

三、 治理的规范

1、 ITIL

ITIL框架起源于英国的中央计算机与电信局（现在为政府商务办公室），它向用户提供了一种可定制的实践框架，为内部用户提供高质量的服务，它涵盖了服务支持、软件支持、计算机操作以及安全管理等功能。2007年5月30日，ITILv3的各种语言版本面向全球正式发行并投入应用，旨在帮助用户通过ITIL的实施促进技术服务与业务需求的协同，提高IT运营效率的同时降低IT成本，从而最大化IT投资回报与价值。这套标准已经被全球的很多企业采用，现在全球已经有上万家知名的公司在参考其中的方法治理自己的IT系统。

“ITIL v3的推出反映了IT服务治理作为一项要害业务的日益成熟及其重要程度。” IBM ITSM专家、ITILv3《服务转换》一书作者Ivor Macfarlane介绍说，“ITILv3依据服务的生命周期理论将IT服务治理最佳实践进行重新组合，从服务战略、服务设计、服务转换、服务运维再到持续性的服务改进，使得IT服务治理脱离了线性、静态的实施而发展为多维的、注重反馈的动态实践系统，从而推动IT服务与业务发展相结合。可以说，这个新版本充分体现了过去七年来IT服务治理领域所取得的重大成就。”

2、 COBIT

COBIT是由美国IT治理协会提出的一个IT治理的开放性框架或标准，是基于组织的信息技术平台而设计的，并在IT治理实践中广泛使用，它包含了34个信息技术过程控制，并归集为四个控制域：IT规划和组织（Planning andOrganization）、系统获得和实施（Acquisition and Implementation）、交付与支持（Deliveryand Support）以及信息系统运行性能监控（Monitoring），COBIT 目前已成为国际上公认的IT管理与控制标准。 

3、 SOX

《萨班斯法案》（Sarbanes-OxleyAct，简称SOX法案），安然事件，美国国会和政府于2002年公布了《萨班斯法案》，其目的是加强公司责任，以保护公众公司投资者的利益免受公司高管及相关机构的侵害，正如法案的第一句话所说“遵守证券法律以提高公司披露的准确性和可靠性，从而保护投资者及其他目的。”

4、 COSO

COSO内部控制整体框架。COSO （the Committee of the Sponsoring Organizations ofthe TreadwayCommission）是专门研究内部控制和公司治理的非官方组织。1985年由AICPA、AAA、FEI、IIA、IMA等共同发起了“全国舞弊性财务报告委员会”。两年后，根据该会的建议，其赞助机构又成立了COSO委员会。1992年，COSO提出了著名的“内部控制的整体框架”的研究报告，1994年进行了增补。

5、 中国的SOX法案

2008年6月28日，有“中国萨班斯法案”之称的《企业内部控制基本规范》(以下简称“基本规范”)由财政部、证监会、审计署、银监会、保监会联合颁布。这是中国会计审计领域的又一重大改革举措。“基本规范”将自2009年7月1日起首先在上市公司范围内施行。

四、 如何在企业中应用治理

AMT咨询的管政先生在《IT治理，中国需要吗？》一文中认为谈IT治理“难度较大。也许现在只能停留在概念形成阶段，还远没有到应用和实施阶段”并给出了11个难点。应该说笔者也很同意他的看法，不过即便难度较大，但是企业为了发挥它现有IT基础设施的最大价值，取得IT的最佳ROI，就必须重视IT治理。众所周之，IT治理是在宏观层面的战略角度上，对IT的过程、结构和联系进行梳理和监控，确保IT能够支撑和扩展组织的战略和目标。作为组织发展战略管理层面的IT治理首要解决的问题不是基础设备、不是先进技术，而是确定IT决策模式、规范IT决策范围的问题。这也是为什么治理需要有一个CoE，需要明确地定义职责、分工、决策权，而这些恰恰是政府和企业最难解决的问题。当然国内的一些组织和企业已经意识到了这个问题，例如，国税总局将原来分权模式变为了集权模式，将包括信息中心在内的有关司局的信息化管理职能全部划入了征管和科技发展司，这个司拥有明确的决策权，负责整个IT治理的决策制定和资源管理协调。但是对于那些暂时还无法解决这个难题的企业和组织，我们可以先从细微着手，逐步推进：

1、 在小范围内规划IT系统的关联关系，实施农村包围城市的局部治理模式

我们知道IT治理实际上是要解决整个信息化的生产关系是什么样的，在此我们可以在局部上来解决IT系统的生产关系，例如，笔者的公司曾经实施过这样一个案例：该公司是一个视频会议设备的综合服务商，扩展很迅速，他们为客户提供视频会议设备的销售、安装、维护等全方位的服务，在第一次与该公司的IT主管交流时，他提出了这样的一个困惑，公司内部已经有一个成熟的销售系统，但是还没有售后服务系统，例如负责安装，维护的工单派发，因此需要一个工单系统，可以将安装工单的任务自动推送到员工桌面，但是他们的员工变动很快，新招聘的员工不一定能及时培训到位，而安装任务又很多，怎样让新员工能很快投入工作，怎样让老员工的经验得以保留？怎样将销售系统中的某一个具体的合同自动转到售后系统？

从这个案例中我们可以规划出三个系统：

一个已经存在的销售系统

需要新建的工单系统

需要新建的知识库系统

在与这个IT主管交流时，针对于他的困惑，我们给出了基于局部“IT治理”的规划建设思路：首先理清三个系统之间的关系，在销售系统中签订的合同，在合同流程结束后，需要为项目经理自动创建待派发工单，项目经理派发工单给安装员工，安装员工需要当前型号的视频会议设备的安装要领和注意事项。具体流程关系图如下：

从上图我们可以看出，按照IT治理的思路，我们理清并解决了三个IT系统之间的生产关系，并且解决了那位IT主管的困惑。如果在建设工单系统时，不做这个规划，则三个系统还是互相孤立，也解决不了新员工必须培训，而培训又不能很及时，从而造成的新员工没有安装经验与工单多没人能安装的矛盾。

2、 将局部治理产生的价值呈现给领导，让星星之火逐步燎原

笔者公司实施的这个项目获得了很大的成功，也同时得到了公司高层领导的认可和赞许。通过项目的上线运行，这个公司的运作效率得到了极大的提高，成本也得到了降低（最直接的降低就是不在需要对新入职的员工组织一次又一次的安装培训了）。而这时，我们根据这个公司的实际业务的现状又向这位IT主管和他的领导提出了，在整个公司内部全面实施IT治理的建议，将公司核心业务中的人力资源管理、绩效管理、财务管理、客户关系管理全部纳入到治理体系中来，形成一个整个公司的全局的IT治理图：

因为在一期的局部治理中，公司决策层看到了治理产生的价值，因此很快同意了我们的全局IT治理方案，目前此项目的二期正在实施过程中。

3、 开始全局战略规划，基于ITIL、COBIT等规范实践IT治理

IT治理是一个非常复杂且长期的过程，在这个过程中，几乎涉及到公司的所有资源，因此没有一个具体的实施规范和最佳实践来指导这个过程，是很难成功的。而ITIL则是这样的一个最佳实践库，ITIL V3定义了服务生命周期的5个阶段：服务战略(ServiceStrategies)、服务设计(Service Design)、服务转化(Service Transition)、服务运营(ServiceOperation)、持续改进(Continual ServiceImprovement)，这包含了生命周期内管理服务需要的流程。上海翰纬信息管理咨询有限公司的刘颋给出了ITIL v2与v3的差异图：

在上图中，我们可以看出,ITIL经过三个版本的变化，已经很全面了。它是一个经过了很多验证的最佳实践库。国外的实践证明，基于这样的最佳实践库来指导我们的企业IT治理怎样一步一步的去做，我们就有了一个导向灯，而在实践的过程中，再结合COBIT来对每一个过程的关键目标指示、关键绩效指标等作出明确指示和审计，COBIT重在IT控制和IT度量，而ITIL重在IT过程管理，强调IT支持和IT交付，两者结合必然会使中国企业和公共组织的IT治理进入真正的应用和实施阶段。