基于IT治理的企業(yè)信息化建設(shè)之道

吳梅磊 于菲菲

（1.山東省計算中心（國家超級計算濟(jì)南中心），山東 濟(jì)南 250100；2.山東省農(nóng)業(yè)廳，山東 濟(jì)南 250100）

1 企業(yè)信息化建設(shè)過程中存在的問題

企業(yè)身處信息時代， 信息已經(jīng)覆蓋了企業(yè)的方方面面，信息化已經(jīng)不是做不做的問題，而是怎么做、如何做好的問題。 但是縱觀國內(nèi)企業(yè)的信息化建設(shè)，總體來看，信息化建設(shè)效果差強(qiáng)人意，絕大多數(shù)項目難以達(dá)到預(yù)期目標(biāo)，信息孤島現(xiàn)象嚴(yán)重，信息安全意識不強(qiáng)，運(yùn)行故障頻繁出現(xiàn)。企業(yè)雖然在信息化上投入了不少， 但是并未顯現(xiàn)明顯的效果， 如何有效實現(xiàn)信息化的價值、規(guī)避信息化風(fēng)險，成為每個企業(yè)信息化主管甚至企業(yè)決策層思考的問題。

2 良好的IT 治理是企業(yè)信息化建設(shè)成功的保障

生產(chǎn)力決定生產(chǎn)關(guān)系，生產(chǎn)關(guān)系反作用于生產(chǎn)力，這是馬克思主義的一條基本原理。 在信息時代下，這一理論同樣適用。信息技術(shù)作為生產(chǎn)力會決定企業(yè)的生產(chǎn)關(guān)系， 進(jìn)而決定了企業(yè)的競爭力；企業(yè)的生產(chǎn)關(guān)系反作用于信息技術(shù)這一生產(chǎn)力，進(jìn)而影響了企業(yè)信息化的效果。 國內(nèi)企業(yè)信息化建設(shè)存在的諸多問題，在很大程度上是受到企業(yè)生產(chǎn)關(guān)系的制約，要搞好國內(nèi)企業(yè)的信息化建設(shè)，必須實現(xiàn)生產(chǎn)力與生產(chǎn)關(guān)系的匹配和平衡，這種生產(chǎn)關(guān)系在信息化過程中的具體體現(xiàn)就是IT 治理機(jī)制。

3 IT 治理概述

3.1 IT 治理定義

對于IT 治理（IT Governance），目前國際上并沒有統(tǒng)一的定義，IBM 首次將此理念引入我們的視線。 以下是目前主流的幾種定義。

MIT CISR 的彼得·維爾& 珍妮·羅斯認(rèn)為IT 治理就是在使用信息技術(shù)的過程中，確定決策權(quán)及責(zé)任框架，以鼓勵所希望的行為產(chǎn)生的過程。

國際信息系統(tǒng)審計與控制協(xié)會（ISACA）定義如下：IT 治理是一個由關(guān)系和過程所構(gòu)成的體制，用于指導(dǎo)和控制企業(yè)，通過平衡信息技術(shù)與過程的風(fēng)險、增加價值來確保實現(xiàn)企業(yè)的目標(biāo)。

綜合以上觀點，可以得出以下共同點：（1）IT 治理是一種針對IT 管理存在問題的解決思路，用以形成IT 管理運(yùn)行的框架和機(jī)制；（2）IT 治理的核心是IT 決策問題，包括決策的主體、決策的內(nèi)容、 決策的流程以及溝通過程等；（3）IT 治理的目的是實現(xiàn)IT 價值，同時在實現(xiàn)價值的過程中要管控風(fēng)險和優(yōu)化資源利用；（4）IT 治理必須與組織戰(zhàn)略目標(biāo)一致，IT 對于組織非常關(guān)鍵，也是戰(zhàn)略規(guī)劃的組成， 影響戰(zhàn)略競爭；（5）IT 治理和其它治理主體一樣，是管理執(zhí)行人員和利益相關(guān)者的責(zé)任（以董事會為代表）。

3.2 IT 治理與IT 管理

IT 治理與IT 管理是相互聯(lián)系的、密不可分的。IT 治理通過IT 管理來實現(xiàn)落地和執(zhí)行，IT 治理也需要IT 管理反饋的信息來不斷地調(diào)整優(yōu)化；IT 管理受IT 治理的約束和指導(dǎo)，并為IT 治理提供支撐。

IT 治理與IT 管理又是嚴(yán)格區(qū)別的。 IT 治理負(fù)責(zé)評估內(nèi)外部形勢，設(shè)定目標(biāo)和方針進(jìn)行指導(dǎo)，并監(jiān)督IT 管理的運(yùn)行，屬于決策層的責(zé)任， 責(zé)任主體為董事會；IT 管理負(fù)責(zé)在IT 治理的指導(dǎo)下，開展日常的規(guī)劃、建設(shè)、運(yùn)維和評價工作，屬于執(zhí)行層的責(zé)任，責(zé)任主體為管理層。

3.3 國際通用的IT 治理良好實踐

（1）IS038500:2008。 這是目前唯一的IT 治理國際標(biāo)準(zhǔn)，目前正在新版修訂中。 該標(biāo)準(zhǔn)提出了IT 治理的框架模型和六大指導(dǎo)原則，認(rèn)為組織的IT 治理包含三個活動：評估（E）、指導(dǎo)（D）和監(jiān)控（M）。 實踐IT 治理需遵循六大指導(dǎo)性原則：建立清晰的IT決策的權(quán)責(zé)制；確保有良好的IT 戰(zhàn)略規(guī)劃以便支持組織的業(yè)務(wù)發(fā)展；保證IT 應(yīng)用的可獲得性；確保IT 系統(tǒng)的可用性；確保IT的合規(guī)性；尊重人性因素（以人為本）。

（2）COBIT （Control Objectives for Information and related Technology）。 該最佳實踐是一個基于IT 治理概念的、面向IT 建設(shè)過程的IT 治理實施指南和審計標(biāo)準(zhǔn)， 目前的最新版本為COBIT5。 該模型提出了一個總體框架，提出了五大原則：滿足利益相關(guān)方需求，覆蓋企業(yè)端到端，應(yīng)用單一集成框架，啟用一個整體方法，治理和管理分離。

（3）ITIL（Information Technology Infrastructure Library）。 它為組織的IT 運(yùn)維服務(wù)管理提供了一個客觀、嚴(yán)謹(jǐn)、可量化的最佳實踐平臺，最新版本為V3 2011 版。 從結(jié)構(gòu)上來講，ITIL 擁有三個組件：核心組件、補(bǔ)充組件和網(wǎng)絡(luò)組件。 核心組件包括服務(wù)戰(zhàn)略、服務(wù)設(shè)計、服務(wù)轉(zhuǎn)換、服務(wù)運(yùn)營、持續(xù)性服務(wù)改進(jìn)，涵蓋了IT服務(wù)的生命周期，從業(yè)務(wù)所需到最優(yōu)化服務(wù)；補(bǔ)充組件包括不同情況、行業(yè)、環(huán)境的詳細(xì)內(nèi)容和目標(biāo)；網(wǎng)絡(luò)組件提供共同所需的動態(tài)資料和典型材料。

（4）ISO27001:2013。 該系列標(biāo)準(zhǔn)從政策、技術(shù)、管理和人員四方面為組織治理信息安全提供了科學(xué)指導(dǎo)和相關(guān)的實施細(xì)則，為組織提供了一個通用的信息安全管理指南，包括14 個領(lǐng)域、113 個控制措施。

4 實施IT 治理

IT 治理的實施、導(dǎo)入與企業(yè)管理咨詢導(dǎo)入過程類似，其核心是梳理企業(yè)與信息化相關(guān)的決策涉及的流程、角色和責(zé)權(quán)利，建立一種符合信息化建設(shè)一般規(guī)律的信息化頂層設(shè)計， 以實現(xiàn)生產(chǎn)關(guān)系與生產(chǎn)力相匹配，進(jìn)而實現(xiàn)企業(yè)IT 價值最大化。

實施IT 治理一般遵循如下步驟：

（1）明確IT 治理的需求。通過明晰企業(yè)戰(zhàn)略，分析實現(xiàn)企業(yè)戰(zhàn)略的關(guān)鍵成功因素（Critical Success Factors，CSF），根據(jù)關(guān)鍵成功因素，識別組織IT 治理的能力需求，作為項目的出發(fā)點。

（2）定義IT 治理的目標(biāo)。根據(jù)能力需求，并結(jié)合行業(yè)內(nèi)優(yōu)秀企業(yè)的最佳實踐，制定企業(yè)的IT 目標(biāo)。 并評估企業(yè)現(xiàn)狀，對相關(guān)的IT 流程進(jìn)行成熟度評估，與IT 目標(biāo)進(jìn)行對比分析，尋找差距和改進(jìn)點。

（3）IT 治理規(guī)劃與設(shè)計。 基于現(xiàn)狀、流程成熟度、目標(biāo)，結(jié)合COBIT5 等最佳實踐， 規(guī)劃企業(yè)的IT 治理框架， 明確治理的內(nèi)容、流程和角色，梳理或重新設(shè)計支撐IT 目標(biāo)的IT 治理和管理流程，明確流程中各個角色的責(zé)權(quán)利，通過流程進(jìn)行固化，形成一套完整的制度文件和作業(yè)指導(dǎo)， 并將規(guī)劃結(jié)果細(xì)化為一系列的改進(jìn)任務(wù)。

（4）IT 治理實施與運(yùn)行。通過培訓(xùn)、制度宣貫的方式開展IT治理體系的導(dǎo)入工作， 并根據(jù)試運(yùn)行間的反饋進(jìn)行相應(yīng)的調(diào)整和完善。

（5）持續(xù)評估，不斷改進(jìn)。 建立IT 治理績效評估制度，設(shè)計IT 流程成熟度評估指標(biāo)，通過持續(xù)的績效評估和成熟度評估，來發(fā)現(xiàn)改進(jìn)機(jī)會，實現(xiàn)持續(xù)提升和完善。

5 結(jié)語

雖然大家對于治理這一名詞并不陌生，但是如何開展IT 治理工作， 對于國內(nèi)絕大多數(shù)企業(yè)來說還是新生事物。 國外的IT治理實踐為我們提供了解決問題的思路和方法， 但要真正達(dá)到效果，還需要我們結(jié)合企業(yè)自身特點、信息化水平等因素，有針對性地合理裁剪，量體做衣。 這樣才能真正發(fā)揮良好實踐的指導(dǎo)作用，將其為我所用，指導(dǎo)企業(yè)自身的信息化建設(shè)，實現(xiàn)信息化與工業(yè)化的同步發(fā)展，保持信息化建設(shè)與企業(yè)戰(zhàn)略的一致性。

[1]ISO/IEC，ISO/IEC 38500：Corporate governance of information technology，2008.

[2]ISACA，COBIT 5 A Business Framework for the Governance and Management of Enterprise IT，2012.

[3]OGC，Service Strategy，2010.

[4]彼得·維爾等.IT 治理：一流績效企業(yè)的IT 治理之道[M].北京：商務(wù)印書館，2005.