2007-06-01 11:48
“IT治理?没听过。”当一位省级移动公司网络负责人侃侃而谈IT管理之后,在回答“是否听说过IT 治理”时,却给出了这样的回答。这家移动公司正在提升IT 管理水平,以准备接受塞班斯法案的相关审计。没想到管理着300余名IT 员工的网络部负责人尽管参与了IT内控工作,却对“IT治理”闻所未闻。这与一些业内人的预想相去甚远。
孙强:IT治理与IT管理是一枚硬币的两面
为了验证IT 治理在国内是否真的“雷声大雨点小”,《I T 经理世界》在ceocio.com.cn网站上做了一次小型调查。调查结果再次验证了这位移动公司IT 负责人对“IT 治理”的陌生并不是个别现象。在这次调查中,41%的人根本不知道IT 治理,比较了解IT 治理的受访者不足20%;有60%的人不知道IT 治理和IT 管理之间的区别;仅有1%的调查者参与过IT 治理的实践。
看来,“IT治理”在被IT厂商、咨询机构频频提及的时候,它在CIO及企业管理者中的认知度远没有兜售理念的人以为得那么高。
管理?治理?
在这次调查中,有22% 的人混淆了IT 治理与IT 管理的概念,觉得它们其实是一回事;仅有不足半数的人认为两者之间存在差别。其实,能准确区分IT 治理和IT 管理之间区别的CIO 并不多。除了对两个概念不甚了了外,不同的CIO对这两个概念的内涵与外延也有着自己的理解和解释。
中国中化集团公司是世界500 强企业,它的石油、化肥、化工等业务实现了全球化运作。在中化集团信息技术部总经理彭劲松看来,IT 治理决定了企业如何进行决策,属于战略层面;IT管理则是制定和执行这些决策的战术。
去年,在他完成的一个IT 治理实践中,中化集团通过运用IT治理的理念进行决策,用项目管理的方法组织实施,运用IT审计指南进行了项目验收,用ITIL指导方法制定了随后的管理流程,使得企业最终完成了预定的系统灾难恢复管理。现在,中化集团如果遇到灾难,其IT系统最多在两天之内就能恢复运行。此外,他们还实现了对网络、系统监控的管理,达到了企业系统综合管理及系统资源优化管理的目的,确保了IT 对全球业务的连续服务。
屈玉阁是中国网通(集团)公司河北省分公司企业信息化部高级工程师,他按照IT 治理的方法,组织撰写了39.6 万字的“中国网通信息化建设管理控制体系”。他对于IT治理和IT管理之间的区别有着更为直白的理解——“IT治理是从外部到内部的控制,如塞班斯法案就是要企业按照其要求,没有商量余地。而IT管理则带有很强的妥协性,IT部门与企业高层、业务部门间可以做很多妥协。”
其实,IT治理对组织的意义要大于IT管理,这并不是因为它管的是“决策”,而是因为IT 治理聚焦的是保持IT 与业务目标一致、推动业务发展、促使收益最大化。一份来自国外的调查报告显示,IT治理出色的企业可以获得比竞争对手高出40%的IT投资回报;IT治理处于平均水平的企业在采用相同业务战略的情况下,能够比IT治理效率低下的企业多获得20%的利润。
“IT 管理的着力点是信息及信息系统的运营,是一种确定IT目标及实现目标的行动;而IT治理是最高管理层利用它来监督IT 战略执行的过程、机制和框架,以确保其处于正确的轨道之上。两者是一枚硬币的两面。” ITGov 中国IT 治理研究中心主任孙强认为。在他看来,IT治理规定了整个组织IT运作的基本框架,IT管理则是在这个既定的框架下“驾驭”组织奔向目标。缺乏良好IT治理模式的组织,即使有“很好”的IT管理体系,也像一座地基不牢固的大厦;同样,没有畅通的IT管理体系,单纯的治理模式也只能是一个美好的空中楼阁。现在,不少CIO 将IT 治理和IT 管理混为一谈,甚至对IT管理的内涵也不甚了了,这同国内组织仍处于大规模信息化建设阶段有关。当一个组织处于应用系统建设阶段时,CIO很容易将所有注意力和IT资源集中在“项目”上,因此IT管理被简单地看成眼下尚不急需的一项长期工作。其实,即使是战术层面的IT 治理对IT 建设也非常重要。在越来越被广泛采用的IT管理框架——ITIL (Information TechnologyInfrastructure Library, IT 基础架构库)中,IT管理包含了IT战略规划、安全管理、成本管理、突发事件管理、配置管理、变更管理等众多内容,这些管理是否到位都直接影响着IT 投资效果。
火候未到?
“我们虽然在2003 年就开始进行IT管理,并于2004 年引入了ITIL,开始进行SOX 内控项目,但我仍然觉得我们还没有到达IT治理的层次。” 中海油集团信息技术中心主任王若讯说。有不少CIO与王若讯持同样的看法。在神州数码信息管理部总经理郑小维看来,中国信息化的发展程度还没有到达IT 治理的层面。她认为,企业首先要先完成应用系统的搭建,然后再进行规范的IT 管理,最后才能水到渠成地进入IT 治理这个层次。
如今,神州数码已经过了大规模的IT 系统建设阶段,IT 管理工作成为郑小维3年多来的工作重点。虽然她已经取得了COBIT(IT治理的一个开放性标准,由美国IT治理研究院开发与推广)认证,但她并没有在企业内部依照COBIT的方法论,逐条逐项、大张旗鼓地做IT治理。她觉得,神州数码的IT管理工作还未完成。按照她的计划,神州数码准备今年通过ISO20000(国际标准组织ISO 关于IT 服务管理领域的国际标准)认证。不过,她在IT管理中已经融入了不少IT治理的实践方法,如建立高层及业务部门多方参与的虚拟IT 团队、制定规范IT 运作机制的IT 管理大纲等。
目前,大多数明确表示正在进行IT治理的企业,都将其与公司治理密切联系,目的是为了让投资者信任企业。比如为了应对美国的塞班斯法案,在美国上市的企业就必须保证所披露信息的真实与准确,保证信息处理与传递的效率。法规遵从成为许多企业展开IT 治理的最主要动力。我国电信、金融、化工等大型企业几乎不约而同地于2004 年后开始进行IT 内控、IT 治理,与塞班斯法案的要求直接相关。“中国网通(集团)公司的部分资产已经在美国和香港上市,投资者不但需要上市公司有良好的业绩,还需要上市公司有严格的内部控制管理规范。因此我们必须按照企业发展战略的总体要求,对信息化建设过程进行统一规划、统一管理,以满足企业提高核心竞争力的要求。”屈玉阁道出了他们进行IT治理的直接缘由。
尽管不少企业进行IT 治理是为了应对塞班斯法案,但不少正在从事IT 治理的CIO 并不认为符合塞班斯的内控要求就算取得了IT治理的胜利,“有针对性的治理工作仅是IT 治理很小的一部分”。
COBIT 被认为是实施IT 治理的最佳实务。据说塞班斯法案对IT部分的审计就依据了COBIT 的标准。它包括规划与组织、采集与实施、交付与支持、监控等4个域、34 个流程、318 个控制目标。河北网通按照COBIT、ITIL 等IT 治理与管理方法,用了半年多时间才撰写出IT治理规划。如果按照COBIT 的34 个流程一一实践IT 治理,至少需要2~3 年。因此准确理解IT治理内涵的CIO一致认为,良好的IT治理不可能一夕之间完成,时间和持续优化是其必不可少的要素。这些要素决定了IT治理必然是一个漫长和动态的过程,是组织与所有利益相关者的互动过程,包括在制定长远IT 发展战略等决策上的互动。另外,组织所处内外部环境的动态性也决定了IT治理的动态性。IT治理本身的难度和我国信息化发展阶段决定了它曲高
和寡的现状,也是其“外热内冷”、陷入混沌状态的主要原因。
ITGov 中国IT 治理研究中心是一个在IT 治理领域推动中国与国际同步发展的资源平台。其创始人孙强带领研究人员从2002 年开始进行COBIT 的认证培训,至今共帮助中国近百名学员获得COBIT 认证。但仔细观察这些学员的组成不难发现,CIO或IT 经理不足1/3,大部分学员来自正在从事IT治理和IT管理咨询及服务的厂商、咨询机构。不过,4年来的推动还是让孙强看到了进步。“2002年,我们向别人介绍IT治理时,基本上大家都不能理解也听不懂。”现在,主动找他们做IT 治理咨询和指导的组织逐渐多了起来,“但如何构建完善的IT治理没有模式可以照搬,本质上要以组织的战略和文化为出发点”。
不只是在国内,在全球其他地区,IT治理也是阳春白雪。普华永道的2006 年全球IT 治理报告显示,只有10%的IT 人员正在使用COBIT,这一数字并不算高。Forrest 研究机构报告表明,90%的美国企业已经或多或少建立了 IT 管理和治理架构,但是做的好的并不多。不过,这些数字对IT 厂商和咨询机构而言,却意味着巨大的市场机会。IDC 预测,今后4年内,IT 管理和治理市场每年会增长15%。这也是COBIT、ITIL、SLA(Service-LevelAgreement 服务等级协议)等名词被IT厂商和咨询公司频频提起的原因。
来源:IT经理世界