基于IT治理的企業信息化建設之道

吳梅磊 于菲菲

（1.山東省計算中心（國家超級計算濟南中心），山東 濟南 250100；2.山東省農業廳，山東 濟南 250100）

1 企業信息化建設過程中存在的問題

企業身處信息時代， 信息已經覆蓋了企業的方方面面，信息化已經不是做不做的問題，而是怎么做、如何做好的問題。 但是縱觀國內企業的信息化建設，總體來看，信息化建設效果差強人意，絕大多數項目難以達到預期目標，信息孤島現象嚴重，信息安全意識不強，運行故障頻繁出現。企業雖然在信息化上投入了不少， 但是并未顯現明顯的效果， 如何有效實現信息化的價值、規避信息化風險，成為每個企業信息化主管甚至企業決策層思考的問題。

2 良好的IT 治理是企業信息化建設成功的保障

生產力決定生產關系，生產關系反作用于生產力，這是馬克思主義的一條基本原理。 在信息時代下，這一理論同樣適用。信息技術作為生產力會決定企業的生產關系， 進而決定了企業的競爭力；企業的生產關系反作用于信息技術這一生產力，進而影響了企業信息化的效果。 國內企業信息化建設存在的諸多問題，在很大程度上是受到企業生產關系的制約，要搞好國內企業的信息化建設，必須實現生產力與生產關系的匹配和平衡，這種生產關系在信息化過程中的具體體現就是IT 治理機制。

3 IT 治理概述

3.1 IT 治理定義

對于IT 治理（IT Governance），目前國際上并沒有統一的定義，IBM 首次將此理念引入我們的視線。 以下是目前主流的幾種定義。

MIT CISR 的彼得·維爾& 珍妮·羅斯認為IT 治理就是在使用信息技術的過程中，確定決策權及責任框架，以鼓勵所希望的行為產生的過程。

國際信息系統審計與控制協會（ISACA）定義如下：IT 治理是一個由關系和過程所構成的體制，用于指導和控制企業，通過平衡信息技術與過程的風險、增加價值來確保實現企業的目標。

綜合以上觀點，可以得出以下共同點：（1）IT 治理是一種針對IT 管理存在問題的解決思路，用以形成IT 管理運行的框架和機制；（2）IT 治理的核心是IT 決策問題，包括決策的主體、決策的內容、 決策的流程以及溝通過程等；（3）IT 治理的目的是實現IT 價值，同時在實現價值的過程中要管控風險和優化資源利用；（4）IT 治理必須與組織戰略目標一致，IT 對于組織非常關鍵，也是戰略規劃的組成， 影響戰略競爭；（5）IT 治理和其它治理主體一樣，是管理執行人員和利益相關者的責任（以董事會為代表）。

3.2 IT 治理與IT 管理

IT 治理與IT 管理是相互聯系的、密不可分的。IT 治理通過IT 管理來實現落地和執行，IT 治理也需要IT 管理反饋的信息來不斷地調整優化；IT 管理受IT 治理的約束和指導，并為IT 治理提供支撐。

IT 治理與IT 管理又是嚴格區別的。 IT 治理負責評估內外部形勢，設定目標和方針進行指導，并監督IT 管理的運行，屬于決策層的責任， 責任主體為董事會；IT 管理負責在IT 治理的指導下，開展日常的規劃、建設、運維和評價工作，屬于執行層的責任，責任主體為管理層。

3.3 國際通用的IT 治理良好實踐

（1）IS038500:2008。 這是目前唯一的IT 治理國際標準，目前正在新版修訂中。 該標準提出了IT 治理的框架模型和六大指導原則，認為組織的IT 治理包含三個活動：評估（E）、指導（D）和監控（M）。 實踐IT 治理需遵循六大指導性原則：建立清晰的IT決策的權責制；確保有良好的IT 戰略規劃以便支持組織的業務發展；保證IT 應用的可獲得性；確保IT 系統的可用性；確保IT的合規性；尊重人性因素（以人為本）。

（2）COBIT （Control Objectives for Information and related Technology）。 該最佳實踐是一個基于IT 治理概念的、面向IT 建設過程的IT 治理實施指南和審計標準， 目前的最新版本為COBIT5。 該模型提出了一個總體框架，提出了五大原則：滿足利益相關方需求，覆蓋企業端到端，應用單一集成框架，啟用一個整體方法，治理和管理分離。

（3）ITIL（Information Technology Infrastructure Library）。 它為組織的IT 運維服務管理提供了一個客觀、嚴謹、可量化的最佳實踐平臺，最新版本為V3 2011 版。 從結構上來講，ITIL 擁有三個組件：核心組件、補充組件和網絡組件。 核心組件包括服務戰略、服務設計、服務轉換、服務運營、持續性服務改進，涵蓋了IT服務的生命周期，從業務所需到最優化服務；補充組件包括不同情況、行業、環境的詳細內容和目標；網絡組件提供共同所需的動態資料和典型材料。

（4）ISO27001:2013。 該系列標準從政策、技術、管理和人員四方面為組織治理信息安全提供了科學指導和相關的實施細則，為組織提供了一個通用的信息安全管理指南，包括14 個領域、113 個控制措施。

4 實施IT 治理

IT 治理的實施、導入與企業管理咨詢導入過程類似，其核心是梳理企業與信息化相關的決策涉及的流程、角色和責權利，建立一種符合信息化建設一般規律的信息化頂層設計， 以實現生產關系與生產力相匹配，進而實現企業IT 價值最大化。

實施IT 治理一般遵循如下步驟：

（1）明確IT 治理的需求。通過明晰企業戰略，分析實現企業戰略的關鍵成功因素（Critical Success Factors，CSF），根據關鍵成功因素，識別組織IT 治理的能力需求，作為項目的出發點。

（2）定義IT 治理的目標。根據能力需求，并結合行業內優秀企業的最佳實踐，制定企業的IT 目標。 并評估企業現狀，對相關的IT 流程進行成熟度評估，與IT 目標進行對比分析，尋找差距和改進點。

（3）IT 治理規劃與設計。 基于現狀、流程成熟度、目標，結合COBIT5 等最佳實踐， 規劃企業的IT 治理框架， 明確治理的內容、流程和角色，梳理或重新設計支撐IT 目標的IT 治理和管理流程，明確流程中各個角色的責權利，通過流程進行固化，形成一套完整的制度文件和作業指導， 并將規劃結果細化為一系列的改進任務。

（4）IT 治理實施與運行。通過培訓、制度宣貫的方式開展IT治理體系的導入工作， 并根據試運行間的反饋進行相應的調整和完善。

（5）持續評估，不斷改進。 建立IT 治理績效評估制度，設計IT 流程成熟度評估指標，通過持續的績效評估和成熟度評估，來發現改進機會，實現持續提升和完善。

5 結語

雖然大家對于治理這一名詞并不陌生，但是如何開展IT 治理工作， 對于國內絕大多數企業來說還是新生事物。 國外的IT治理實踐為我們提供了解決問題的思路和方法， 但要真正達到效果，還需要我們結合企業自身特點、信息化水平等因素，有針對性地合理裁剪，量體做衣。 這樣才能真正發揮良好實踐的指導作用，將其為我所用，指導企業自身的信息化建設，實現信息化與工業化的同步發展，保持信息化建設與企業戰略的一致性。

[1]ISO/IEC，ISO/IEC 38500：Corporate governance of information technology，2008.

[2]ISACA，COBIT 5 A Business Framework for the Governance and Management of Enterprise IT，2012.

[3]OGC，Service Strategy，2010.

[4]彼得·維爾等.IT 治理：一流績效企業的IT 治理之道[M].北京：商務印書館，2005.