IT治理( 三 ) _生活百科

文章插图
IT治理流程模式概括地说，公司治理和IT治理都是市场（含政府）他律的机制，是如何“管好管理者”的机制，其目标也是一致的：达到业务永续运营，并增加组织的长期获利机会。无论大环境是好是坏，最高管理层（董事会）均应以达成其目标为责任，而且管理阶层需有能力协助其达成目标，因此最高管理层（董事会）必须常常监督管理部门对决策判断与政策实施的绩效。“斯达模式”这一被誉为国企摆脱困境、改革发展的创新模式，正说明了公司治理和IT治理的重要性和互动关係。“黑纸”利用合资契机，对产权体制进行了改革，并按照现代企业制度要求，建立与市场竞争相适应的公司治理机制，明晰了企业产权，最佳化了生产要素配置，转变了职工观念，为斯达大力进行信息化改造创造了有力条件。反过来，信息化也促进了公司的现代化管理。解决方案Troux是惟一能提供有效的IT治理系统的企业，同时，它还能提供全面的可以连结业务和自动工作流，及自动化的策略管理系统。为了解决CIO们今天面临的最具挑战性的IT治理问题，Troux的解决方案提供了基础，并且横跨IT治理框架的三个领域。企业架构：使得企业建造师可以完全模仿符合未来需要的架构，并且提供创造和管理与架构相协调的标準和路线图的能力。投资合理化:为IT执行人员提供确保套用、基础设施、服务和项目投资与业务和成本最佳化相协调的可视度和工具。

文章插图
IT治理方案服务管理:使IT组织可以实现对业务服务的自动化定义和管理，并确保关键业务、遵从和业务连续性目标的一致。有了以上各种解决办法，Troux带来了帮助CIO和IT执行人员实现IT治理所需要的深入的专业知识、最佳实践和成熟的模式。正如IT治理已经位居CIO日程表的前列，经理人员们也已经发现，最佳实践和方法的标準还没有準确的定义—到这一状况才有所改变。Troux的技术为CIO和IT经理有效计画、构建和管理他们的IT运作，提供了所需要的最佳实践和方法。对比IT管理是公司的信息及信息系统的运营，确定IT目标以及实现此目标所採取的行动；而IT治理是指最高管理层（董事会）利用它来监督管理层在IT战略上的过程、结构和联繫，以确保这种运营处于正确的轨道之上。这是一个硬币的两面，谁也不能脱离谁而存在。可见，IT管理就是在既定的IT治理模式下，管理层为实现公司的目标而採取的行动。IT治理规定了整个企业IT运作的基本框架，IT管理则是在这个既定的框架下驾驭企业奔向目标。缺乏良好IT治理模式的公司，即使有“很好”的IT管理体系（而这实际上是不可能的），就像一座地基不牢固的大厦；同样，没有公司IT管理体系的畅通，单纯的治理模式也只能是一个美好的蓝图，而缺乏实际的内容。就中国信息化建设现状而言，无论是IT治理，还是IT管理都是所迫切需要解决的。

文章插图
IT治理项目流程委员会ITGov中国IT治理研究中心认为：IT治理委员会和CIO制度的缺失，是当前我国信息化建设制度安排上的“致命性”缺陷。治理层面对IT的关注，需要从组织保障上设立IT治理委员会，实现最高管理层（董事会）对IT的监管。ING、梅隆金融等已开发国家先进企业都是在董事会设立的IT治理委员会。当董事会和高管层需要做IT决策时，该委员会能够提供支持，从而使投资巨大的IT项目处于可控状态，并使企业获得更大的竞争优势。尤其对于转型模式下的中国证券企业，董事会的监管至关重要。从另外一个角度来看，当前的信息化过程已经演变成为“流程的重组和利益的再分配”，势必触及到一些部门和个人的利益，势必遭到他们的反对（并且是种种冠冕堂皇的理由的反对），这种情况下的指导和协调工作，已经远远超出信息化部门领导的职责和权力範围，必须在治理层面建立IT治理的体制和机制，才能有效地推进信息化工作，规避IT风险，实现业务战略目标。在设立IT治理委员会时，我们要考虑三个问题构成IT治理委员会由组织的最高管理层（董事会）及管理执行层包括IT管理和业务管理有关部门负责人、管理技术人员组成，定期召开会议，就企业战略与IT战略的驱动与设定等议题进行讨论并做出决策，为组织IT管理提供导向与支持，把IT治理的相关规範融入到组织的内部控制中职责根据ITGov中国IT治理研究中心的研究成果，IT治理委员会的职责包括但不限于：n 遵守并贯彻执行国家有关信息化治理（管理）的法律、法规和技术标準，落实政府监管部门相关监管要求，负责开展信息化相关的合规工作。n 审查批准信息化战略，确保其与业务战略和重大策略相一致。评估信息技术及其风险管理工作的总体效果和效率。n 分析信息技术风险成因，掌握主要的信息技术风险，确定可接受的风险级别，确保相关风险能够合理管理。n 规範职业道德行为和廉洁标準，增强企业文化建设。n 统一全体人员对信息化治理的思想、认识和意识养成。n 设立一个由来自高级管理层、信息化部门和主要业务部门的代表组成的专门信息技术管理委员会，负责监督各项职责的落实，定期向董事会和高级管理层汇报信息化战略规划的执行、信息化预算和实际支出、信息化管理的整体状况。n 在建立良好的公司治理的基础上进行信息化治理，形成分工合理、职责明确、相互制衡、报告关係清晰的信息化治理组织结构。加强信息化专业队伍的建设，建立人才激励机制。n 确保内部审计部门进行独立有效的信息技术风险管理审计，对审计报告进行确认并落实整改。n 每年审阅并向政府监管部门报送信息化治理的年度报告。n 确保信息化治理工作所需资金。n 确保所有员工充分理解和遵守经其批准的信息化治理制度和流程，并安排相关培训。n 确保本法人机构涉及客户信息、账务信息以及产品信息等核心信息资产的安全。n 及时向政府监管部门报告本机构发生的重大信息技术事故或突发事件，按相关预案快速回响。n 配合政府监管部门做好信息科技风险监督检查工作，并按照监管意见进行整改。履行信息化治理其他相关工作。模式机制目前，比较流行的辞彙，如IT治理结构、IT治理模型、 IT治理标準等，其概念定义、内涵和外延均比较混乱，这不利于IT治理的传播、推动与发展。根据权威的ITGov中国IT治理研究中心界定：IT治理=IT治理思想+IT治理模式+IT治理体制+IT治理机制（ITGov中国IT治理研究中心，2008）IT治理思想IT治理思想即科学的信息化发展观，儘管在广义的IT治理模式中涉及IT治理思想，但考虑到IT治理思想的重要性，我们还是把它独立出来加以强调；IT治理模式IT治理模式解决有关管理思想、管理方式方法层面的问题，是具有方向性、框架性的高度概括，其涉及的内容，第一是组织在IT治理工作中所遵循的治理思想或坚守的治理理念（治理观念）是什幺；第二是治理的结构问题，其中包括根据组织发展目标确定的IT治理定位（採用什幺样的治理方式和治理途径）、治理运行的要求、治理关係的原则等三个方面；第三是治理的运行机制，即涉及IT治理流程及制度体系、组织的价值观、IT文化及沟通机制、IT绩效管理与激励约束机制等。同时，为保障治理模式行之有效，需要建立IT治理自身的绩效评估、持续改进提高的良性循环机制。ITGov中国IT治理研究中心通常只把治理思想理念和治理结构及方式纳入治理模式的研究範畴，而把治理流程层面的内容纳入治理运行机制的範畴；IT治理体制IT治理体制表达的是治理的组织架构。治理体制是界定组织中各相关主体在各自方面的治理範围、责权利及其相互关係的準则，它的核心是治理机构（如IT治理委员会等）的设定和许可权的划分。各治理机构职权的分配以及各机构间的相互协调，它的强弱直接影响到治理的效率和效能，对IT治理效率起着决定性的作用。一个组织选择不同的治理体制，将决定其设定不同的组织机构和运行规则，相应地将会有不同的运行效果。确定现代化的治理体制是建立高效管理组织的基本条件。选择符合组织发展需要的治理体制，必须是在对组织所处行业领域、行业地位、行业特点、竞争状况、资本结构、产权结构、组织结构、人员结构、发展战略或阶段目标、政策环境和内外部资源条件等方面进行详细调查分析，并系统归纳组织的优势与劣势和现有管理体制存在问题的基础上进行。组织的治理体制，往往根据其所从事的事业来划分为集权治理体制、分权治理体制和联邦民主式治理体制。IT治理机制治理机制的涵义，是指治理体系结构及其运行机理，治理机制又细分为运行机制、动力机制、约束机制。运行机制是指组织IT相关基本职能的活动方式和运行关係；动力机制是指推动信息化可持续发展的内生动力产生与运作的机理；约束机制是指对IT治理行为进行约束与纠正的功能与机理。通过细分的运行机制、动力机制和约束机制，就比较容易理解什幺是治理机制了。ITGov中国IT治理研究中心根据当前的国情和信息化发展所处的阶段，强调把建立完善信息化全生命周期风险管理控制体系作为构建落地的运行机制的主要内容，把信息化绩效评估作为信息化可持续发展的内在动力机制，把信息化风险管控体系和绩效问责共同作为约束机制。总之，在治理思想治理模式、治理体制、治理机制四个概念中，治理思想回答的是方向性问题，治理模式侧重于具有代表性、稳定性治理方式、治理路径，治理体制倾向于解决各相关主体的治理範围、责权利及其相互关係的準则等问题；治理机制所要解决的是运行机理、动力和约束问题。IT治理思想决定IT治理模式，IT治理模式决定IT治理体制和IT治理机制，可以说有什幺样的IT治理思想，就会有什幺样的治理模式，有什幺样的IT治理模式，就会有什幺样的IT治理体制和机制。依据上述思路，ITGov中国IT治理研究中心自主创新了符合中国国情的“中国企业IT治理框架”，该框架有七要素组成：科学的信息化发展观、IT商业价值、IT治理方法、IT治理绩效、IT治理决策模式、IT风险管理控制体系、核心IT能力。（ITGov中国IT治理研究中心，2008）IT建设运行的管理机制。IT治理的关键要素涵盖IT组织、IT战略、IT架构、IT基础设施、业务需求、IT投资、信息安全等，主要确定这些要素或活动中“做什幺决策？谁来决策？怎幺来决策？如何监督和评价决策？” 。围绕着IT建设全生命周期过程，构建持续的信息化建设长效机制，是IT治理的目标一致，因此，整个IT建设生命周期都是IT治理的对象，包括IT组织与规划、IT建设与交付、IT运行与维护、IT评估与最佳化。IT治理的国际最佳实践就是基于各个对象治理的成熟的方法论和工具，包括CobiT、ITIL、ISO27001、Prince2等。