IT治理工作作為企業資訊化建設的上層建築，扮演著及其重要的角色。本文結合作者的學習及實踐經驗給出一些借鑑。

一、IT治理概述

1.1 何為IT治理

在企業資訊化建設中的最大問題，往往不是技術問題，也不是資金問題，而是缺乏科學的IT管理觀念。IT領導者最大的問題不是缺少經驗和能力，而是缺乏卓越的管理素質和管理方法。正因為如此，才引入了"IT治理"這個概念。從定義上講，IT治理，是指設計並實施資訊化過程中，各方利益最大化的制度安排。其目的是實現組織的業務戰略，促進管理創新，合理管控資訊化過程的風險，建立資訊化可持續發展的長效機制，最終實現IT商業價值。

1.2 IT治理目標

目標1 - IT與組織戰略互動

通過研究組織的發展遠景、內外部環境、業務策略和管理基礎上，形成資訊化的遠景、資訊系統的組成架構、資訊系統各部分的邏輯關係，以支撐戰略規劃目標的達成。針對資訊系統的支撐硬體、軟體、技術等進行計劃與安排。這其中的難點在於，需要理解組織的關鍵目標，才能制定IT戰略目標，進而轉化為IT治理有效行動。多變的組織戰略是不利於IT戰略的可持續發展。

目標2 - 有效利用資訊資源

資訊資源的開發和利用是資訊化建設的核心任務，是資訊化取得實效的關鍵，是衡量資訊化水平的一個重要標誌。通過IT治理可以對資訊資源的管理職責進行有效的制度設計，保證投資的回收，並支援業務戰略的發展。避免出現投資過大、效果不佳；資訊孤島、無法共享；工程超期、不滿足需求等問題。

目標3 - 管理資訊化風險

企業發展越來越依賴於資訊化建設水平，因而IT風險是企業需要關注的。技術迭代越來越快，新的技術不斷湧現，如何避免新技術帶來的風險也是需要從管理角度加以關注的。此外，隨著近些年國家對個人隱私、資料安全的關注，此類風險也是需要企業重點關注。通過制定資訊資源的保護級別，強調關鍵的資訊科技資源，有效實施監控，事故處理。

目標4 - 構建可持續發展機制

企業內資訊化建設，需要有個可持續發展機制。不能簡單依靠領導命令方式，而轉換為一個長期的發展規劃。輔助以績效評估手段，才可以構建資訊化可持續發展的長效機制。

1.3 IT治理、企業治理、IT管理的關係

這是三個很容易混淆的概念，只有理清三者關係，才能有效推動治理落地。

• 企業治理：主要關注利益相關者的權益和管理，包括一系列責任和條例，由最高管理層和執行管理層實施，目的是提供戰略方向，保證目標能夠實現，追求投資的最大產出比，風險適當管理併合理使用資源等。
• IT治理：主要關注企業的IT投資是否與戰略目標相一致，從而構築必要的核心競爭力。IT治理要能體現未來資訊科技與未來企業組織的戰略整合。既要儘可能地保持開放性和長遠性，以確保系統的穩定性和延續性。
• IT管理：是在既定的IT治理模式下，管理層為實現公司的目標而採取的行動。

• 企業治理側重企業整體規劃，IT治理側重與企業中資訊資源的有效利用和管理，提升企業資訊化的核心價值。IT治理應該體現"以組織戰略目標為中心"的思想，通過合理配置IT資源來創造價值。
• IT管理關注的是企業資訊及資訊系統的運營，確定IT目標以及實現此目標所採取的行動；而IT治理是指最高管理層利用它來監督管理層在IT戰略上的過程、結構和聯絡，以確保這種運營處於正確的軌道之上。兩者互不可缺，單純只有IT治理，目標無法落地；單純有IT管理，則缺乏方向性。

1.4 IT治理理論

COBIT，資訊系統和技術控制目標

美國資訊系統審計與控制協會-ISACA，於1996年推出了用於"IT審計"的知識體系COBIT。"IT審計"已經成為眾多國家的政府部門、企業對IT的計劃與組織、採購與實施、服務提供與服務支援、監督與控制等進行全面考核與認可的業界標準。作為IT治理的核心模型，COBIT包括34個資訊科技過程控制，並歸集為四個控制域:IT規劃和組織、系統獲得和實施、交付與支援以及資訊系統執行效能監控。

ITIL，資訊科技基礎架構庫

一套被廣泛承認的用於有效IT服務管理的時間準則。1980年以來，英國提出和完善了一整套對IT服務的質量進行評估的方法體系，成為ITIL。2001年，英國標準協會在國際IT服務管理論壇上正式釋出了以ITIL為核心的英國國家標準BS15000。ITIL是一套詳細描述最佳IT服務管理的叢書。它是一種公共框架、最佳實踐框架、服務質量是ITIL的核心。但ITIL只說明瞭要做什麼，沒有說明如何去做，企業應根據需求去參照ITIL框架進行IT服務管理的建設，而不應追求大而全；並且ITIL不是一個理論模型，而是一個最佳實踐庫。

ISO/IEC17799，國際資訊保安管理標準體系

2000年12月，國際標準化組織ISO正式釋出了有關資訊保安的國際標準ISO17799，這個標準包含資訊系統安全管理和安全認證兩大部分，是參照英國國家標準而來的。它是一個詳細的安全標準，包括安全內容的所有準則，由十個獨立的部分組成，每一節都覆蓋了不同的主題和區域。它以"計劃、實施、檢查、行動"模式，將管理體系規範匯入機構或企業內，以達到"持續改進"目的。

PRINCE2

是一種對專案管理的某些特定方面提供支援的方法。PRINCE2描述了一個專案如何被切分成一些可供管理的階段，以便高效地控制資源的使用和在整個專案週期執行常規的監督流程。PRINCE2的視野並不僅僅限於對某個專案的管理，還覆蓋了在組織範圍對對專案的管理。

二、IT治理實踐

2.1 前提條件

明確目標

IT治理活動與企業治理過程相結合，並有企業領導的參與。IT治理專注於企業目標和戰略，使用技術提高業務水平，並滿足業務需求的足夠可用的資源和能力。

組織架構

成功的IT治理首先需要有一個明晰的IT治理組織架構，並且組織機構中的各個部門(包括人員)都有明確的角色和相關職責的定義。

治理流程

IT治理流程是保證企業的相關部門採用合理的步驟進行IT治理活動。制訂相關流程和規範並有效實施。它應是根據企業需求出發並落實責任到人。

管理制度

IT制度是將日常的流程進行固化並形成對企業的規範，需要每個員工都加以遵循的一種措施。同時提供必要的手段，進行監督管理，最終形成一種控制的環境或文化。

2.2 治理模式

目前主流的IT治理的組織模式有：專制管理模式、聯邦型管理模式、分散管理模式三種。

專制管理模式

• 由IT部門或某強勢業務部門管理專案投資、建設和維護。IT治理決策完全由該部門負責。
• 其主要優勢是成本導向型架構，能較好管理IT資產和系統，長期來看能夠節約IT成本。
• 其主要問題是決策過程中業務部門不參與，因此響應速度較慢，缺乏創新。
• 適用於追求短期利潤的公司，所需的IT行為在追求低的業務成本上高度標準化。

分散管理模式

• 由各業務部門獨立負責專案投資、建設和運營，IT治理的策略由部門自行決定。
• 其優勢是業務部門開發能力，IT人員能理解業務流程並參與系統建設，對業務部門的需求響應更為及時，創新能力增強。
• 其主要問題是業務部門戰略和整個企業戰略可能出現不一致的情況，IT資產不能共享，長期來看會導致成本上升。
• 適用於新成立的公司或研發類的公司。他們是以收入增長作為成功的度量標準，所需要的治理機制也很少。

聯邦型管理模式

• 由IT部門與業務部門聯合進行IT管理，各自負有明確的職責。IT治理決策由多部門在衡量各種影響因素之後做出。
• 其主要優勢是IT部門和業務部門共同進行IT決策，在一定程度上可以克服前兩種模式的缺點。
• 其主要問題是對資源的管理和協調難度增加，需要很強的協調能力，而且不能完全保證成功。
• 適用於致力於利潤的持續增長與業務創新的公司。他們的IT準則是強調流程、系統、技術和資料模型等方面的共享和重用。他們引入聯邦型治理機制，以處理全公司範圍內的控制和區域性控制之間的矛盾。

2.3 流程管理原則

IT治理流程的設計是為了能夠在跨業務部門的流程中順利完成IT業務的操作，是完整的、可見的，並且是可管理的。應遵循如下設計原則：

• 流程設計的目的是要創造價值的，所以必須剔除所有的無價值的環節。
• 高價值的流程是流程設計的重點，這樣才能集中企業有限的管理資源產生最大的回報。
• 流程是持續的，需要不斷創新的，而不是重複的整理歷史。
• 只有明確的責任人，才能保障流程每個環節的順暢流轉。

2.4 管理制度原則

• 制度的制定要職責清晰、流程明確，在事前可以使員工對工作心中有數，事中可以使工作流程順暢，事後有問題可以追求責任。
• 應首先考慮在影響面大或涉及部門、員工多的工作中建立工作制度，逐步增加和完善，形成覆蓋資訊化工作的各個方面、各個階段、各個環節的制度體系。
• 成熟規範的工作流程可以逐步轉化為制度加以固化，成熟的制度可進一步上升為IT管理標準。

作者：韓鋒

首發於公眾號《韓鋒頻道》，歡迎關注。

來源：宜信技術學院

來自 “ ITPUB部落格 ” ，連結：http://blog.itpub.net/69918724/viewspace-2649517/，如需轉載，請註明出處，否則將追究法律責任。