CIO关注：标准化是IT治理落地的关键因素

作者：龙振新 　 　来源：比特网

在不少的文章以及一些CIO的交流会上，我们会不时地听到一个关键词“IT治理标准化”。IT治理标准化的重要性和紧迫性是不容置疑的，那么如何进行IT治理标准化？

IT治理的完善与否，一直影响着许多企业信息化成熟度的高低。4月2日，一份由知名IT公司发布的《2010年中国企业信息化指数调研报告》引起了广泛关注。报告中指出中国企业IT治理普遍欠佳，其中IT规划、IT制度体系和IT评估缺失现象严重，在百分制中得分仅为26分，在各项信息化考核指标中垫底。暂且不去评论这份报告的科学性，但IT治理只是象浮云一样飘浮在空中，并没有真实的落在实处的现实再次引起了业界的关注。
据报告指出，大部分企业缺乏可执行性的IT治理措施是拉低企业信息化成熟度的主要因素。同时报告还表明，IT作为一项富有竞争力的战略资产越来越受到中国企业的关注，而IT资产价值的有效发挥和应用不仅仅取决于好的技术，还深受IT治理有效性的影响。因为企业信息化成熟度从低到高的发展，主要是随着IT治理的成熟度而变化的。但目前大部分中国企业的IT治理处于欠佳状态，IT规划、IT制度体系和IT评估缺失现象严重，就是拉低中国企业信息化应用成熟度的重要原因之一。我国企业自2003年引入IT治理以来，如今仍是困难重重，越往深处挖掘，IT治理实施的众多问题正慢慢浮出水面，亟待寻找解决的出路。
在不少的文章以及一些CIO的交流会上，我们会不时地听到一个关键词“IT治理标准化”。IT治理标准化的重要性和紧迫性是不容置疑的，那么如何进行IT治理标准化？IT治理标准化究竟该如何着手，IT治理标准化应该在什么层面上。这些问题的解答与实践经验的分享目前只有很少的案例或者仅仅以很少的篇幅提到，而这正是本文所想要具体探讨的内容。
一. IT建设狂潮之后，系统出现瓶颈现象
张力是公司的CIO，他的公司与行业内其他公司一样经历了一段近乎狂热的基础建设阶段，大笔的资金投入使公司在短短几年间建设了基于ERP系统、CRM系统和OA系统的IT基础架构体系。但大干快上的势头过后，叠加式应用部署的副作用很快显露出来。这些工具在一段时期内的确发挥了作用，但是由于缺少IT治理的理念，这些工具很快就淹没在不断涌现的新的管理需求之中。因此，伴随着业务模式的转变，公司IT系统快速逼近瓶颈。在轰轰烈烈的IT信息化建设狂潮后，企业如何才能找到切实可行的IT治理之道成为张力最为头痛的事情。
目前表现最为明显的是：一是缺乏IT建设整体规划、执行随意性较强，标准化和规范化等基础工作不到位，导致出现大量信息孤岛，使公司面临繁重的系统整合工作;二是业务部门与技术部门经常出现“两张皮”现象，使到沟通交流困难;三是IT事故责任不清，技术部门承担责任过大;四是一些IT系统建成后没人进行后续跟踪运维、推广和使用;五是IT预算缺乏完整性，计划外项目过多;六是项目投资出现失误或投资回报不高;七是项目管理缺乏控制手段，项目延期交付时有发生;八是缺少IT审计环节，不清楚IT价值何在，认为IT只是工具，缺乏约束机制。

IT治理仅停留于技术层面、IT治理真正落于实处还有待加强，这是许多企业IT治理的发展现状。目前，虽有少数企业已经建立起类似IT管理委员会的决策机构，但是由于没有形成标准化的分工、职责明确的IT治理，有一些企业战略规划缺位;即使有战略规划，也未与业务战略协调一致。不少高管层对IT建设的认识程度和管控程度还不够，尤其需要改变的观念是，大部分机构还是把IT单纯看成技术手段。这导致IT方面重复建设、信息分割，缺乏信息的统一标准，管理滞后，系统很难整合。
二.为什么标准化是IT治理落地的关键？
(1)什么是IT治理?
何谓IT治理？根据国际信息系统审计与控制协会ISACA的定义，IT治理是一个由各种关系和活动过程组成的治理结构，用以指导和控制企业的IT活动，其目的是为了在平衡IT和IT活动所产生的风险与回报的过程中，通过增加商业价值来实现企业的目标。IT治理是信息系统审计和控制领域的概念，其核心是要求对信息化建设及相关管理做出治理结构和制度化的安排，指导企业合理利用IT技术，平衡IT技术与流程的风险、增加价值来确保实现企业的目标。IT治理为何重要，打个比方来说，列车行驶中“管理”仅仅是执行、是开火车，是怎么开快火车;而“治理”则是规定在哪里修铁路、谁来做决策、谁来和怎么来约束火车在轨道内安全行驶。因此，建立有效的IT治理机制是提高公司软实力的助力点，目前国际IT治理标准和最佳实践都提倡把精细化管理和标准化管理作为IT治理的落脚点。
(2)IT治理标准化的作用
事实上，我国信息化目前所处的阶段缺乏的并不是先进的技术与设备，而是IT管理理念和方法。“IT治理叫嚣多年，但是在一直落不了地，关键点是在标准化上没有达成共识。”一位IT治理专家如是说。他认为当各级业务领导人以及董事会在IT治理标准上达成一致后，剩下都是技术问题，并不难处理，包括流程、人员、投资等等这些东西都是顺理成章的事情，关键核心是在标准化方面需要达成共识。而且企业在进行IT治理标准化时，关键是找准切入点，因为每家企业的切入点会不一样。原因每个企业的状况各异，有些是问题是出在管理体制上，有些是业务部门和IT部门的沟通体制上。表面上看好像都和IT部门有关，是IT部门的事情，其实是管理体制以及流程的问题，需要从公司治理层面解决，这时的标准化制定就需要各个部门通力合作了。所以，IT治理要求IT制度要具备一定的方法，具体来说就是要建立标准的流程，还要建起一套监控机制。

目前，虽然每个人都越来越意识到IT治理工作的重要性，但是这件事情到底应该怎么去干，由于没有知识体系、没有管理规范去遵循，所以并不知道如何去做。因此，基于标准化的IT治理会使到我们的IT管理体系制度化、规范化。比如规范化的制度管理体系、标准流程的管理体系、标准的运维体系和标准化的技术体系等。通过标准化操作和标准化流程来布置信息基础架构，就能建立合理的IT治理结构和治理流程来指导和控制IT投资、收益及风险，改进IT服务质量，避免信息技术重复投入和开发，从而保护企业的利益相关者特别是股东的权益。因此，IT治理标准化不仅完善了企业对信息的内部控制，还在更深层面上解决体制和机制问题，减小信息化和透明化所导致的不一致利益冲突所造成的成本。另外，IT治理的执行机制是IT治理的核心环节，而IT治理执行是一个协作的过程，在这个过程中要与所有利益相关者进行沟通和互动，需要企业各个成员的配合。当企业IT治理建立了标准的协调机制，才能很好的协调好企业内各部门或各员工的利益，才能保障IT治理工作的贯彻执行和顺利实施。
(3) IT治理标准化可使管理透明化
IT治理标准化是IT治理的组成部分，通过规范、公开的操作流程进行IT预算、投资决策、系统规划、项目管理、运行维护等，可以使IT治理的风险透明化，便于及时调整策略、规避各种风险。从这个角度来看，建立标准化的IT治理流程规范制度是势在必行的。因为IT治理涉及法律、规章、行政管理及技术各个层面，当它从制度层面规范和标准化了信息技术的管理模式后，既保证了信息技术在法律、规章方面的依从性(compliance)，也促进了信息技术与业务的一致性(alignment)，同时规避信息化过程中的风险，确保实现企业的信息技术的战略目标。

而且，IT治理标准化后可将管理流程落实到细节处。因为对于每个业务流程，IT规划委员会要做的事情就是将其一一梳理清楚，再把与IT接口的部分抽出来，制定一套完善的IT标准来管理这些流程，做到有章可循。流程标准化可以带来可预测性和效率，就像麦当劳做汉堡的流程一样。目前在这一领域已经有多种成熟的标准化标准及最佳实践，比如ITIL(信息技术标准库)是个值得采纳的系统。总之，制定IT治理规范化和标准化，是提供了一种新范式，它使到IT治理实施不再是纸上谈兵了。
三.实现标准化IT治理的方法和策略
IT治理是一个较新的概念。IT治理不同于IT管理，治理是规则、制度、机制、责权利的确定，管理是制度的执行。多年来，IT治理人员不断地进行探索和总结，积累了大量的系统规划、建设和运行管理经验。这些成果为进一步推行IT 治理标准化工作奠定了重要基础，促使企业不仅从技术上控制IT治理风险，更要从机制上来控制IT治理效果。这里提供建立标准化IT治理的几点经验总结：
(1) 组建IT治理标准化推行委员会
这是从组织上保障是成功进行IT治理标准化的关键。IT治理委员会可由公司的最高管理层及管理执行层包括IT管理和业务管理有关部门负责人、管理技术人员组成。IT治理标准化推行委员会的主要职责是：全面负责制定IT治理标准化工作，确定IT治理标准化的原则，组织制定IT治理架构，审定IT战略规划，加强全局的管理与流程执行的纪律，把IT治理标准化的相关规范融入到公司的内部控制中，最后还要组织IT标准化审计、绩效评估工作。
(2) 确定IT治理标准化的原则
IT治理标准化的原则是主导IT治理标准化工作的指导思想，由公司IT治理标准化委员会最终确定。可从以下几个方面考虑：首先是要统一认识，要解决决策层、管理层、业务等相关部门对IT标准化价值的认识问题;二是要提高全体员工的IT素质，全员参与IT治理标准化工作来，因为全员参与是解决业务与技术“两张皮”的关键。三是把IT标准化、规范化作为IT治理的一项长期工作来看待，要充分利用、共享国内外成熟的经验，要对国际标准和最佳实践结合公司的实际情况进行裁减;最后是制定由易到难分步实施的原则，持续改进。

(3)构建标准化的IT治理架构，明确标准化的范围
构建标准化的IT治理架构是推行IT治理标准化的核心工作。需要对IT建设的全过程进行认真梳理，主要包括以下过程：一是制定IT战略规划的标准化流程;二是按标准流程和IT规划进行信息系统建设;三是标准化系统安全运维流程。简单的说，就是要针对上述过程进行标准化的监督、管控。如制定标准化的IT战略规划、IT预算、IT决策、IT基础设施建设、核心系统建设、IT安全运维管理、风险管理、外包管理等的治理流程。同时，还要明确IT治理流程中各角色的责任、权利和义务。
(4)建立IT治理标准化的激励机制和约束机制
推行IT治理标准化活动的另一个重要问题是人才培养和团队建设问题。由于IT工作的繁杂和工作量大，加之安全责任的压力过大，容易迫使一些优秀的IT人才流失。没有稳定的人才队伍，对IT治理和系统运营十分不利，存在很大的安全隐患。而解决人的问题，短时间也许可以靠个人的责任心、敬业精神和企业文化吸引，但最终还要靠科学的机制实现。作为完整的标准化制度，也必须制订对IT治理人员的激励机制、约束机制或惩罚制度。另外，针对非IT部门的人员(如管理层、业务部门的人员)在IT治理体系中承担的责任也要制定相应的激励机制和约束机制。
</P

占位编辑

为毛老子总也抢不到沙发？！！

发发呆，回回帖，工作结束~

跟大家交流一个ITIL的概念吧：ITIL培训课程是ITIL知识传播的重要途径，是企业以及个人掌握ITIL指南的必由之路。目前国内非常多的培训机构不定期开设了ITIL的培训课程进行ITIL指南的推广。ITIL先锋论坛通过整合培训机构的相关资源、建立ITILXF论坛，每周四开设ITIL的网络讲堂，极大的培养了一批ITIL的忠实拥护者，同时ITIL先锋论坛不定期在全国各大城市为广大网友提供ITIL认证课程、ITIL实施落地课程。