深蓝海域KMPRO

专题文章:IT治理,知多少?(AMT 刘宇 编译)

2017-03-07 10:02

引言:在方兴未艾的公司治理审查浪潮中,IT治理占据了非常高的显著性。IT经理在承担全公司范围的公司治理责任的同时,必须在企业的文化和流程中做出反映。IT和其他业务经理应该关注IT和企业的责任,同时使用现有的模型来设计适当的IT治理框架。

最新观点认为,IT管理中必须包含治理的概念。在方兴未艾的公司治理审查浪潮中,IT治理占据了非常高的显著性。IT经理在承担全公司范围的公司治理责任的同时,必须在企业的文化和流程中做出反映。IT和其他业务经理应该关注IT和企业的责任,同时使用现有的模型来设计适当的IT治理框架。

业务战略意图

(1)业务和IT治理曾经被分开考虑,但现在已经密切交缠。公司治理审查的日益关注直接或者间接的影响了IT和IT治理所采用的方向。IT经理因此需要理解治理,理解影响各自企业的特定问题,以及IT实际上能够提供什么。IT经理应该与业务同事、公司治理实体、以及关键经理和管理服务提供商们一起工作,才能最好地建立IT治理框架的方向。

(2)成功的IT治理模型中牢固的嵌入了企业文化、流程和价值。虽然它们是指导方针,现实经济形态中却不存在“均码”式的框架。IT经理应该评估很多领域,包括业务调整、财政控制、开发方法和标准、管理可说明性、组织结构、外包选择、采购标准和质量目标等要素,作为IT治理方法的元素。

(3)适当的治理需要可说明性和可测量性。另外,流程和程序必须足够详细和文档化,以显示IT有持续的方法解决公司内部的问题。然而,这些路程和程序应该敏捷和可变,以适应法律以及技术等方面的变化。最后,治理是确保企业提供从IT投资中得到最大价值的关键。IT经理应该将个人以及部门可说明性融合到IT治理框架中。

公司治理是全球公司和股东面对的关键问题。在美国,公司治理导向被反映在最新的立法中。立法并没有讨论技术问题本身,任何公司指令将对IT有强烈的影响。另外,在当今这样技术作为业务关键因素的时代,排除了适当IT治理的公司治理是不完整的。

最近对公司治理问题的非常强烈的关注,在很大程度上,是由于企业伦理的问题。然而,IT治理的驱动却有不同的动机。对IT而言,问题开始于业务调整,但是也会扩展到适当业务操作的问题。

IT治理是一种用来指导和控制企业的结构和流程,目标是通过增加价值,同时平衡IT机器流程的风险和回报,取得公司的目标。

业务和IT治理相关性

IT治理的关键是:不能将IT治理作为公司治理的事后想法,或者看做不是那么迫切;IT经理以及CxO和业务线经理应该在各自前线共同工作,以确保IT是公司治理完整计划的一部分。这可以通过CIO或者其他IT经理参与公司治理委员会、业务单元参与IT治理行为来实现。

在公司治理关系中,IT部门和个人与其他部门及个人互动。个人与承包商、合作伙伴和客户互动。非IT个人和部门也进行同样的活动。企业不是孤岛——治理需要扩展到供应链上,同时扩展到客户处。

 

图1:公司和IT治理关系

来源:Robert Frances Group

成功的IT治理中,IT人员在技术方面努力教育其他人员是不够的。IT外的人员需要承担责任,更频繁和清晰地与IT人员沟通。调整是双向的过程。敏锐的CEO和董事会成员可以理解技术是业务成功的关键,因此也是适当公司治理的关键。因此,公司治理委员会应该解决技术治理问题,以提供完整的治理监察机制。

另外,风险管理是治理的驱动,同时也是公司治理的关键元素。适当的治理减少了可能带来潜在成本的风险暴、提供了信息化决策的信息库、也提供了全面的却可变的规划框架。

IT带来的业务调整是成功IT和业务治理的必需组成部分。

IT治理主要用来描述那些被赋予了实体治理任务的个人如何在其对实体的管理、监督、控制和指导中考虑IT。IT如果在实体中应用将对实体能否实现其愿景、使命和战略目标有非常重大的影响。

成功的IT治理模型

正如前文所述,成功的IT治理需要扩展到包含非IT管理部分。这些包含鼓励了从业务角度对主要IT决策详细审查。这样的责任也使IT外部的经理考虑与业务和IT目标有关的机会和挑战。

另外一个关键需求是基于充分的信息,进行快速决策的能力。指定决策的方法应该在公司内被深入理解,高层经理应该分配权力,使关键决策点拥有充分的业务信息。然而,治理需要检查信息的有效性,讨论替代方案。很多组织在提高治理中的挑战是避免由于总体谨慎的决策制定方法导致业务的减慢。IT经理应该寻找决策制定程序中速度和精确度的平衡。

在设定优先级、匹配业务目标的过程中,IT经理人可以使用的一些方法。比如,平衡计分卡方法可以用来进行绩效衡量,帮助IT高层经理调整企业目标。

另外,对成功IT治理模型的回顾得出了最佳实践的关键列表。这其中包括以下部分(当然不限于这些):

  1. 架构完整且可变
  2. 集中的IT人员 VS 分散在业务线上的IT人员
  3. 集中管理的基础架构
  4. 清晰的组织报告关系
  5. 基于五年生命期成本估计项目成本,而不仅考虑开发成本
  6. 异常人员保持和培训
  7. 调整来实现所需业务应用递交的运作结构
  8. 将项目作为资产管理
  9. 持续实施的标准
  10. 项目应用后,收益取得的确认

有一些公共可用的框架。其中一个是Control Objectives for Information and related Technology (CobiT)。CobiT实际上是文档化的IT治理最佳实践的集合,可以帮助审计者、管理层、和用户处理业务风险、控制需要和技术问题之间的鸿沟。CobiT由IT Governance Institute开发,该机构是Information Systems Audit and Control Association (ISACA)的一部分, Cobit非常具有业务导向性。业务流程所有者和经理、以及审计者和用户,可以成功地应用Cobit这样的指导方针。Cobit的扩展指导方针也有治理的安全考虑方面的价值。然而,框架需要修改和调整才能够用于全面IT治理中的所有组件。Cobit可以免费从相关网站下载。

图2:Control Objectives for Information and related Technology (CobiT)

来源:ISACA

IT治理包括IT操作的五类行为。

S——战略

IT基于业务的调整包括很多行为,比如IT项目和规划的测度与衡量标准。

P——政策、处理和程序

IT治理依赖于清晰表述的业务政策,这些业务政策可以翻译为可靠的程序,程序又应用适当的检查和平衡。IT流程应该映射到业务历程中。

O——操作和组织

操作方面包括建立和保持IT应用和服务有效率和高效果实现的基础架构。组织部分包括IT内部人员的角色和责任,以及他们如何映射到企业的其他部分。

R——管制

很多垂直行业部门受到高度监管,哪怕对有些企业的数据保护和记录保持法律没有明显的司法管制。

T——技术

技术包括业务应用、工具和提供商的评估、选择、购买和管理。

图3:IT治理的S.P.O.R.T框架

来源:Robert Frances Group

详细、文档化的处理和程序是IT成为解决公司问题的持续方法的前提。例如,IT不能够保存一个部门三年的电子邮件,而将另一个部门超过六个月的邮件都删除。同样的,如果非电子通讯手段可以保存六年,电子通讯手段也应该做出同样标准的映射。

数据遵循相同的路径。忽略法律不是可以接收的借口。测试必须更严格以保证潜在毁坏数据精确性和完整性的bug不会被引入编码,无论是偶然的还是有意的。随着Web服务和外包的繁衍,这一点越来越复杂。IT经理应该需要供应商确认软件编码已经通过了内部质量测试,并且是稳定的。供应商也应该需要确认软件不包含任何已知的错误,这些错误可能导致应用不可使用或者不能实现功能。IT经理人也应该坚持供应商同意对软件编码错误负责任。这些编码错误可能直接造成停工或者中断业务的失败。IT经理应该回顾测试方案和程序,确认使用的任何IT治理模型都包括了严格的测试行为。

适当的IT治理也取决于今天业务对IT的观点。正如图4所显示,社区服务提供商和战略合作伙伴的各自方法之间有显著的差异。然而,这不是一个“二选一”的比较。所有的IT部门都停留在两个极端之间的连续区间的某个点。IT治理问题比如组织结构、报告机制、和价值等式都在这个区间上做出映射。IT经理应该决定其部门在总体企业中的关系,然后调整治理行为,以不仅反映今天的情况,而且将IT推向希望的方向。

图4:“IT-业务”关系

经验显示,在某些行业,业务线(LOB)经理人围绕IT治理流程来驱动他们自身的项目。这样的LOB经理人也常常推动IT经理增加一些未同意的、缺乏资金的项目到未来队列中,要求增加属性,或者加速以通过项目的实施。IT经理应该使用治理过程来保持LOB经理在适当范围以内,不会对抗性地支持缺乏授权的变动或者项目,以致造成失败。做到这一点的一个方法是IT审计。

IT治理模型案例

一个大的技术公司,考虑了其IT和业务调整的先进性,该公司可以作为IT治理的工作模型。这家公司模型的关键属性包括如下要点:

  1. 会计处理——最小的IT配置和会计处理的全球一致性
  2. 应用开发——运行中项目管理的生命周期方法
  3. 财政控制——IT花费的增长与公司的增长成比例
  4. 对持续改善的关注
  5. 初始和进行中测量——衡量所有IT行为的价值和持续改善
  6. LOB决策制定者为IT项目提供资金——LOB经理进行权衡决策,而不是IT人员
  7. 管理可说明性——每季度操作性回顾上季度及下季度目标、关键项目报告的优先状态、命令参与、供应商管理和重要测量标准。
  8. 无“巨型”项目——客户满意度循环的阶段化方法
  9. 绩效测量标准和决定收益取得的产量分析
  10. 基础架构牢固,管理良好,以加速应用实践。
  11. 技术标准——关注减少市场时间、减少成本、简化信息整合
  12. 按照季度跟踪客户满意

另一个有趣的例子是位于旧金山的加州大学The University of California。加州大学的“UCSF IT Governance Structure”在网上发布。UCSF机构显示不同的委员会的角色描述、相关文档连接、成员信息。

这些公共可用的架构能够成为特定企业IT治理模型的起始点。任何IT治理结构应该定时调整,以包括业务和技术的变化。

结论

IT治理是复杂但却关键性的问题,需要完全投入以及与业务的整合。公司治理架构和他们的行为必须包括,但是不能从IT中分离。IT经理可能提升他们的合作概念,董事会和最高层公司管理应该将IT治理作为公司治理的关键组成部分。IT经理应该基于自身的特定企业需求,使用公共可用的模型作为设计IT治理框架、实践、程序和修改的指导。IT经理应该对IT和企业责任保持情形,并在治理行为的指导中体现这些责任。

请参见Amteam.org文章:

《IT治理:中国信息化的必由之道》

标准IT治理架构对企业战略实现有何影响?(by AMT 刘宇编译)》

作者联系方式:arthur.liu@amteam.org

 

 

相关推荐