IT治理的十全九美 问题、误区与最佳实践的漫谈.pdfVIP

IT 治理的十全九美：问题、误区与最佳实践的漫谈 IT 治理的十全九美：问题、误区与最佳实践的漫谈 中国惠普公司企业计算与服务集团 IT治理与管理资深咨询顾问 赵成栋 （未经授权，请勿发布） 近年来国内信息化应用的深入，使得大量IT 深层次的问题逐渐凸显出来，例如：  IT 究竟为何而存在？  IT 真的有用吗（Does IT Matter）？应该投入多少钱？巨额的IT 投资收益何在？  谁对于IT 事务具有决策权并承担相应责任？  IT 的引入同时也是风险的引入，如何进行有效管理？对应的组织框架又是怎样的？  „„ 这些原本看似答案清楚，或者不用关注的问题，今天已然成为企业高级管理层、CIO、信 息技术主管甚至行业监管部门不得不思考和解决的首要难题。传统的IT 管理控制框架不能回 应这些问题，于是 “IT 治理”的概念应运而生，越来越多的企业开始希望通过IT 治理解决IT 应用的深层次问题。笔者在帮助企业进行IT 治理咨询优化过程中，发现很多关于IT 治理的疑 惑、困扰，并因此导致企业走入误区，不能有效的解决IT 治理相关问题，带来新的、更大的 企业经营风险。本文中，笔者通过针对一些常见的IT 治理相关的问题，分享自己的一孔之 见；这些内容目标不是提供一个完整的IT 治理框架（相关的书籍和文章已经汗牛充栋了）， 而是试图希望通过辨析和最佳实践的说明，为IT 治理的落地实施提供务实参考意见。 问题一：我是一家企业的IT 经理，我的老板（CIO）刚参加了一个IT 治理研讨会 回来，让我准备一个IT 治理的项目需求申请预算。我想问一下什么是IT 治理？IT 治理的项目应该包括什么内容？当然，清楚与否无所谓，根据我以往的经验，这应 该又是一个厂商炒作的概念，不会有什么真正用处。 我的看法：我建议这个问题最好还是直接去问你的老板。因为就 IT治理的内涵（定义）和外 延（内容）来说，真是“一千个人中有一千个哈姆雷特”，面前学术界和产业界都没有达成一 致的看法，甚至被学界老外称作“IT治理术语丛林”。我建议你可以着重了解以下3 个： （1）IT治理协会（ITGI），美国信息系统审计与控制协会 ISACA下属的一个机构，对于 IT 治理的定义为： “IT治理是一种引导和控制企业各种关系和流程的结构，这种结构安排，旨 在通过平衡信息技术及其流程中的风险和收益，增加价值，以实现企业目标。” 基于这个定义，ITGI开发了COBIT 和Val- IT，前者定义了34 个流程，覆盖计划和组 织、获取和实施、交付和支持、监控4 个管理域；后者通过定义价值治理、投资组合管理和投 资管理流程试图解决 IT价值管理问题。 1 / 8 IT 治理的十全九美：问题、误区与最佳实践的漫谈 图1. COBIT4.1 的模型和流程 其中左图COBIT 的立方体模型，右图COBIT4 管理域的关联关系 在笔者看来，COBIT 由于SOX 灯监管压力开始在世界范围内推广开来，使用主体是 IT 系 统审计人员，是 IT风险控制的参考框架，其中计划和组织域定义了 IT决策的相关流程。 （2）MIT Sloan 管理学院，特别是Peter Weill 和Jeane W. Ross，对于 IT治理的定义为： “IT治理是企业在 IT应用过程中，为鼓励期望行为而明确的决策权归属和责任担当框架。” 图2. MIT 模型的五个决策域和决策内容 2 / 8 IT 治理的十全九美：问题、误区与最佳实践的漫谈 基于这个定义，他们认为核心的 IT治理框架应该定义针对 IT原则、IT架构、IT基础设 施、IT应用和 IT投资的决策流程和参与角色。一个有效的IT治理应解决3 个基本问题：a) 为了有效的管理和使用