2005-07-20 11:10
浅析埃森哲的IT治理模式
谈及IT治理,便容易联想到COBIT、ITIL、ISO/IEC17799及PRINCE2等标准体系,如果说企业提出IT治理的初衷是美好的,那么这些复杂的标准体系又为其实施设置了一道屏障,因为甄选并掌握其中任何一套标准体系都是有难度的,而到实践层面的问题又更加超乎想象。埃森哲IT治理模式的出现可谓恰到好处,它提出的IT治理路线虽然简单但更实用、更具操作性,那么先前的问题究竟出在哪里?埃森哲的IT治理模式有何特别之处?它又是如何解决这些问题呢?
一、 国内IT治理的误区
IT治理是用于描述企业或政府是否采用有效的机制,使得IT的应用能够完成组织赋予它的使命,同时平衡信息化过程中的风险,确保实现组织的战略目标。其主要使命是:保持IT与业务目标一致,推动业务发展,促使收益最大化,合理利用IT资源,适当管理与IT相关的风险。然而,按照目前国内的信息化水平,完全照搬国外IT治理的模式和标准是有风险的,因此国内的IT治理也存在一些误区:
生搬硬套IT治理标准。中国的IT治理应该直接应用国外相对成熟的标准,还是借鉴国外做法建立自己的标准?这是一个颇具争议的问题,一方面采用已定义标准的好处显而易见,如最佳实践库的建立花费了大量的时间,由全世界成百上千的专家和组织进行评估。模型中所反映的经年的经验累积不是单个组织可以负担的;而模型的架构提供了企业可以跟从的完美结构。但另一方面,这样做有可能导致国内企业的又一轮IT形象工程,最好的技术、最先进的标准成为企业追逐的对象,而企业生搬硬套这些标准之后,尽管有可能是最先进的,但也同样有可能放弃了最合适的。这里忽略了最关键一些问题,例如“我们需要什么?”、“我们为什么需要的是这些?”等等;
轻规划、重监控。这是一种对IT治理的望文生意的误解。以COBIT的基本架构为例,监控(Monitoring)仅仅是其中四大领域之一,其它还包括规划与组织(Planning and Organization,PO)、获得与实施(Acquisition and Implementation,AI)、交付与支持(Delivery and Support,DS)。尽管其他标准各有偏重,例如ITIL标准更关注方法和实施过程,视野相对COBIT来说狭窄,但总体上IT治理比IT监控的范围广泛许多;
“替猫挂上的铃铛”。IT治理的过程由谁来负责,又由谁来执行?这个问题如同老鼠想出给猫挂上铃铛的好办法,但最后却没有一只老鼠愿意铤而走险去这样做一样,IT治理的过程设计的再完美,如果没有明确各项标准执行的责任人,那充其量也只是一只设计精美的铃铛而已。
二、 埃森哲IT治理模式的独到之处
与其他IT治理模式不同,埃森哲的IT模式一开始就在思考“组织到底需要IT发挥什么样的作用”这样的问题,而不是先洋洋洒洒先制定又一个34个控制目标、11个流程或者10个管理要项等,这正是被IT治理冲晕头脑的企业需要的一剂镇静剂:IT只是工具,只有适应了企业发展需要它才成为IT战略,并持续释放其能量。因此,IT治理从这个问题开始,无疑迈出了扎实的第一步。
此外,按照埃森哲IT治理模式简要绘制如下路线图(图1),它主要关注两方面的问题,即IT治理的“什么”和“谁”。IT治理的“什么”是指IT治理应该作出哪些决策,IT治理的“谁”则是指这些决策分别应该由谁来作出,具体包括以下方面:
1、IT治理仍要“随需应变”。给前述错误2对症下药,埃森哲特别强调了企业需求对IT治理的重要性,即在IT治理前,企业要明确自身对IT的需求,并按照需求设计IT治理指标,这也说明IT的作用与企业需求应当相互匹配;
2、考虑外部环境的影响。埃森哲特别强调了IT治理的外部因素,即组织需要IT做什么,在很大程度上取决于它处于一个什么样的商业环境。首先埃森哲以“变化的速度和竞争的基础”两大要素对组织所处的商业环境进行分析,然后将不同商业环境下的组织分为四种IT需求不同的类型;
3、重头戏在“两手抓”。在明确IT需求之后,埃森哲总结了其“两手抓”的治理模式,即一方面要解决IT治理作哪些决策的问题,埃森哲总结为组织模式、投资、架构、标准和资源五大要素;另一方面还要明确组织的三方利益相关者,即公司高层管理者、业务部门经理和CIO,在进行IT治理决策时各承担什么样的责任。
图1 埃森哲的IT治理路线图
三、埃森哲的IT模式能否药到病除?
在国内企业还在对IT治理“雾里看花”时,埃森哲以简单明了的方式向我们诠释了IT治理,没有繁文缛节的条款,没有陈词滥调的鼓吹,它让管理者们冷静下来,考虑一些本源性的问题,辅助他们一步步找到解决办法。事实上,很难在它与其他IT治理模式间做非此即彼的优劣选择,他们之间存在的是互补关系。特别的是,埃森哲以独特的视角分析帮我们规避1中谈及的种种问题,这些“视角”包括:
1、 本与末。善治的IT治理架构是确保IT资源与公司战略目标保持一致的基础,同样也能确保IT服务满足组织对优质、可信和安全的信息需要。因此,埃森哲的IT治理模式强调必须从公司的战略需要出发,迷恋各种IT指标的选择和比较只会是本末倒置;
2、 鱼和渔。表面上看,细化而具体的IT治理指标似乎更据操作性,但与从战略的高度思考IT治理的方法相比,两者是鱼和渔的关系。埃森哲不仅给我们一条大鱼,更重要的是授人以渔;
3、 说和做。从可操作性上看,埃森哲的IT治理模式也是易于适用的,简单而深刻的阐述了IT治理的过程,并高效简洁的介绍了一般性方法,从IT治理概念的说到做,埃森哲跨越了一大步。
不过,埃森哲的IT治理模式也并非万能药,必须与其他IT治理模式结合起来,并不断从实践中完善。除此之外,国内IT治理中有待解决问题还可能有:
IT治理的四大工具COBIT、ITIL、ISO/IEC17799和PRINCE2,如何实现他们之间的整合?
国内企业应该按照什么顺序逐步导入这些标准?
在不完善的公司治理结构的基础上,国内企业能否以及如何做好IT治理?
国内IT治理如何得到政府部门的认可,如何从法律上制定相应的标准?
结束语
有业内人士认为,许多企业对IT治理的理解还停留在概念层面上,要么看上去很美,要么片面曲解,甚至又演变为一场新的乌托邦游戏。但埃森哲的IT模式让我们看到,IT治理需要所有企业管理者的思考和参与,它不应该是一场运动,而是一种治理的常态。