构建全面IT治理体系.docx
《构建全面IT治理体系.docx》由会员分享,可在线阅读,更多相关《构建全面IT治理体系.docx(11页珍藏版)》请在冰豆网上搜索。
构建全面IT治理体系
构建全面的IT治理体系
IT治理概念
构建全面的IT治理体系,第一要弄清楚IT治理是什么,它的起源和进展历史,这对咱们理解IT治理十分必要。
治理与管理的区别
治理和管理分属不同层面,打个例如来讲:
火车行驶中管理仅仅是执行,是开火车,解决如何让火车跑得更快的问题;而治理则是谁来做决策,在哪修轨道,约束火车必需在轨道上行驶的问题。
但同时治理和管理又是一个硬币的两面,缺了谁也不行。
简单的说管理解决的是如何把情形做好,治理决定的是要做哪些事,谁来做这些事,和决策机制如何成立、监控的问题。
公司治理与IT治理
IT治理的提出,一方面是因为信息已经成为咱们企业最为宝贵的资产,IT在组织中已经扮演一个影响到组织全局、影响到治理层面的角色,另外一方面与全世界注视的核心难题——公司治理亦有着深刻的渊源。
那么IT治理和公司治理究竟是什么关系呢?
众所周知,公司治理问题一直是企业制度与组织的核心问题。
最近几年来,因上市公司几回“惊曝黑幕”,“公司治理”成为全世界性的问题。
从美国的安然、世通、施乐等粉饰业绩乃至致使企业崩溃的案件,到日本雪印食物公司舞弊案件,都使得公司治理正在成为企业议事日程中最重要和最迫切的任务。
公司治理是一种对公司管理和运营进行监督和控制的体系。
它的核心是在所有权和经营权分离的条件下,解决好所有者和经营者的利益不一致而产生的委托—代理关系。
其目标是降低代理本钱,使所有者不干与公司的日常经营,同时又保证领导层保护股东的利益,实现公司价值和利益的最大化。
IT治理就是公司治理的一部份。
来自国际信息系统审计与控制协会(ISACA)对IT治理的概念:
IT治理是一个由关系和进程所组成的体制,用于指导和控制企业,通过平衡信息技术与进程的风险、增加价值来确保实现企业的目标。
IT治理必需与企业战略目标一致。
IT治理和其它治理主体一样,是管理执行人员和利益相关者的责任。
研究IT治理,须将其放在组织背景中,将其看做是必需通过治理而产生价值地六种关键资产(人力、财务、实物、知识产权、IT、关系)之一。
在公司治理的大框架下,有许多和IT治理相关的概念。
图1清楚地说明了公司治理、IT治理、IT内控、IT审计之间的关系。
图1公司治理、IT治理、IT控制、IT审计之关系
IT治理和IT管理
提到IT治理,很多人难以区别IT治理和IT管理。
IT管理是公司的信息及信息系统的运营,肯定IT目标和实现此目标所采取的行动;而IT治理是指最高管理层(董事会)利用它来监督管理层在IT战略上的进程、结构和联系,以确保这种运营处于正确的轨道之上。
可见,IT管理就是在既定的IT治理模式下,管理层为实现公司的目标而采取的行动。
IT治理规定了整个企业IT运作的大体框架,IT管理则是在那个既定的框架下驾驭企业奔向目标。
缺乏良好IT治理模式的公司,即便有“专门好”的IT管理体系(而这实际上是不可能的),就像一座地基不牢固的大厦;一样,没有公司IT管理体系的畅通,单纯的治理模式也只能是一个美好的蓝图,而缺乏实际的内容。
IT治理的起源、进展历程
为了更好理解IT治理的内涵,需要追溯IT治理的起源,弄清楚IT治理的进展历程。
咱们将IT治理的进展划分为三个阶段(见图2),从1980年-1999年咱们称为预备阶段,这一阶段诞生了许多相关的IT治理框架模型、可是并无一个全面清楚的IT治理概念的提出,还停留在对IT管理和控制框架的试探中;1999年BIS的报告将IT管理和控制提高到了IT治理的层面,那个时候IT治理真正进入了起步阶段;2006年SOX404条款的生效,促使企业将IT治理提高到了一个前所未有的高度。
最后用一句话来归纳IT治理的进展历程:
企业管理的信息化和亟待改善的公司治理状况一路促成了IT治理的诞生、融合和进展。
为何要做IT治理?
为何要做IT治理,为何IT治理对于组织的持续成功相当重要?
对于IT治理的重要性,通过大量企业的调研归纳总结出7个原因:
1.良好的IT治理得大于失
对于咱们研究的盈利企业而言,从3年期的行业调整资产回报率来看,那些有着高于IT治理绩效平均水平的企业在实施特定战略(例如:
客户至上或卓越运营等)时会取得更丰厚的利润。
实际结果因公司采取的具体战略不同而有所不同,但这些治理水平超出平均水平的企业的资产回报率,比那些采取相同战略但治理薄弱的企业要高出20个百分点。
2.IT是昂贵的
目前,企业在IT方面的平均投资已经超过了营业额的%,而且还在不断上升。
如此的投资力度致使了许多企业的IT投资额占企业年度总投资额的一半还要多。
鉴于IT已经变得加倍重要和普遍,如何管理和控制IT以确保其为企业创造价值,是高层管理团队面临的日趋严峻的挑战。
3.IT无处不在
在很多企业,集中管理IT既不可能,也没必要要。
以前IT支出的要求仅仅来自于IT团队。
可是今天,IT方面的支出可能产生于企业的任何一个部份。
一些估算显示,IT预算只占IT相关支出的20%,而余下的部份则包括在业务流程预算、产品开发预算,和其他各类各样的预算当中。
良好计划的IT治理安排会将IT决策制订的权利分派给那些对结果承担责任的人员。
4.新的信息技术将为企业提供大量新的业务机缘
不断涌现的新技术,包括基于网络的服务、移动技术和企业系统,使企业同时面临战略要挟和机缘。
比如大规模定制化服务的出现和“一对一”营销的兴起,而这源于咱们能够以更具本钱效益的、实时的方式获取客户信息的技术能力。
5.在组织理解IT价值进程中,IT治理相当重要
企业力求理解IT相关活动的价值,因为这种价值难以通过传统的现金流折算分析说清楚。
价值的产生不仅源于流程的不断完善,而且也源于企业应对竞争压力能力的增强。
有效的治理创造出一系列机制,企业能够利用这些机制更好的探讨本公司潜在的价值是什么,并使组织学习正规化。
6.IT价值不单单取决于好的技术
最近几年来有一些令人震惊的大型IT投资的失败案例——大型企业资源计划系统(ERP),构思错误和执行乏力的e-business项目,和能取得大量数据却几乎不能带来任何价值的数据挖掘实验,等等。
有人估算,IT项目的失败率在70%以上。
虽然有些项目的失败是由于技术方面的问题,但绝大多数失败都是因为组织无力采用新的流程,以有效应用新技术而造成的。
由于IT的实施不断地推动业务流程的标准化和一体化,技术专家和业务领导作用的彼此交叉也愈来愈紧密。
IT决策必需成为联合的决策。
当高层主管人员轻忽了决定IT成功的IT实施责任时,庞大的灾难往往会接踵而来。
成功的企业不仅有着更好的IT决策,也有着更好的IT决策流程。
7.高层管理层的有限管理幅度
一个大型企业的高级主管人员,不能考虑所有有关IT投资的请求,更不用说参与其他很多与IT相关的决策了。
若是高级主管人员试图事无巨细地亲自处置,那么他们就会成为瓶颈。
可是那些与企业整体进展相关的决策,则必需与高级主管人员所肯定的组织进展方向一致。
审慎计划的IT治理,能够提供一个清楚透明的IT决策制订流程。
如此在增强组织每一个成员创造力的同时,也能保证其行为与高级主管人员计划的组织愿景相一致。
IT治理能够解决哪些问题
IT治理如此重要,那么它到底能够解决哪些问题呢?
在探讨IT治理能够解决哪些问题之前,咱们先就身旁发生的事件看一下IT治理失灵的例子:
南京火车站电脑售票系统突然发生死机故障,整个车站售票处于瘫痪状态,车站售票大厅内人满为患,众多旅客不能不改乘其它交通工具离开南京。
车站领导和运算机技术人员告知记者是由于电脑升级换代,调试时线路发生故障,才引发了这次系统瘫痪的。
某银行在信息系统技术升级时,IT人员只注重保证系统在技术上的光滑过渡,而轻忽了升级给客户带来的不便,致使客户流失,这些都表明当IT发生改变时会对业务目标产生冲击,而以上发生的问题都是通过IT治理机制能够合理避免的。
咱们以为IT治理对商业目标而言有着战略意义,IT治理状况直接影响到企业实现目标的可能性,良好的IT治理有助于增强企业的灵活性和学习能力,巧妙管理风险,辨别进展机缘。
对于最高管理层(董事会)而言,IT治理能够解决以下几个方面问题:
1.发觉信息技术本身的问题。
例如IT项目未能实现期望价值的概率;终端用户是不是满意IT服务的质量;是不是有足够的IT资源、基础设施、竞争力来知足战略目标;信息技术平均操作失误的原因;IT没有推动业务改善却阻碍业务的次数。
2.帮忙管理者处置IT问题。
例如,IT和组织战略目标的一致性程度怎么样;如何衡量IT的交付价值;执行管理人员采取什么样的战略动机来管理IT;与企业的运营与成长管理相关的问题;企业是不是清楚其商业目标与技术的关系:
领先、跟从者仍是滞后者;企业对风险(风险规避和风险承担)是不是清楚;有无最新的企业关于IT风险的清单,采取哪些行动处置这些风险。
3.自我评估IT管理的效果。
例如,是不是常常向最高管理层(董事会)按期汇报IT风险;IT是不是是最高管理层(董事会)议程中的一个常常利用的术语,它是不是以结构化形式表达;最高管理层(董事会)是不是就商业目标与信息技术一致性进行阐明和沟通;最高管理层(董事会)对主要IT投资是不是有清楚的观点,包括风险和回报;最高管理层(董事会)是不是按期取得主要IT进程的报告;最高管理层(董事会)在获取IT目标和限制IT风险时是不是取得独立的保证。
IT治理的目标与领域
IT治理的最终目标是什么?
关注企业的哪些领域?
IT治理的三大目标:
1.与业务目标一致
IT治理要从组织目标和信息化战略中抽取信息需求和功能需求,形成整体的IT治理框架和系统整体模型,为进一步系统设计和实施奠定基础,保证信息技术跟上持续转变的业务目标。
2.有效利用信息资源
目前信息工程超期、IT客户的需求没有知足、IT平台不支持业务应用等问题较为突出,通过IT治理能够对信息资源的管理职责进行有效管理,保证投资的回收,并支持决策。
3.风险管理
由于企业愈来愈依赖于信息技术和网络,新的风险不断涌现,例如,新出现的技术没有管理,不符合现有法律和规章制度、没有识别对IT服务的要挟等。
IT治理强调风险管理,通过制定信息资源的保护级别,强调关键的信息技术资源,有效实施监控,事故处置。
IT治理适应企业外部环境转变,为企业内部实现对业务流程中资源的有效利用,从而达到改善管理效率和水平的重要手腕。
IT治理的目标将帮忙管理层成立以组织战略为导向,之外界环境为依据,以业务与IT整合为重心的观念,正肯定位IT部门在整个组织的作用。
最终能够针对不同业务进展要求,整合信息资源,制定并执行推动组织进展的IT战略。
按照IT治理的目标,IT治理应该关注的领域(图2):
图2IT治理应该关注的领域
IT治理的核心思想
为了达到IT治理的三大目标,IT治理需要处置哪些问题,IT治理的核心思想是什么?
IT治理的核心思想,就是有效的IT治理必需解决的三个问题:
1.为了保证有效地管理和利用IT,应当做出如何的决策?
2.由谁做出如此的决策?
3.如何做出这些决策和如何监控这些决策?
上期内容回顾():
IT治理概念,为何要作IT治理,IT治理能够解决哪些问题?
IT治理的目标和领域。
IT治理的核心思想
为了达到IT治理的三大目标,IT治理需要处置哪些问题,IT治理的核心思想是什么?
IT治理的核心思想,就是有效的IT治理必需解决的三个问题:
1.为了保证有效地管理和利用IT,应当做出如何的决策?
2.由谁做出如此的决策?
3.如何做出这些决策和如何监控这些决策?
对于这三个问题咱们一一做出探讨。
IT治理要做出哪些决策
咱们给出IT治理的5大决策方向(见下图):
图1IT治理的5大决策方向
这五个决策是彼此相关的,有效的治理必需关注它们之间的关联性。
举例来讲,IT原则驱动着整体架构的形成,而整体架构又决定了基础设施。
这种基础设施所肯定的能力又决定着基于业务需求(通常由业务流程的管理者肯定)的应用的构建。
最后,IT投资必需为IT原则、整体架构、基础设施和应用需求所驱动。
IT治理需要肯定每一个决策该由谁来负责输入,和由谁来负责做出决策。
由谁做出如此的决策
能够通过治理设计框架来解决(见下图):
在此咱们给出的是IT治理设计框架最大体的架构,能够在任何一个企业进行实施。
那个架构勾画出了企业的战略和组织、IT治理安排和业务实施目标的协调一致性(水平箭头)。
战略和组织、IT治理安排和业务实施目标这三者别离通过IT组织和期望行为、治理机制、和气宇指标得以肯定。
那个框架也同时阐明了IT治理与其他关键资产治理维持协调一致的重要性。
图2IT治理设计框架
如何监控和评估这些决策
能够通过关键成功因素、成熟度模型、关键目标指标、关键绩效指标四个方面的有机作用,确保决策及IT治理的成功。
∙关键成功因素
关键成功因素为管理部门控制信息技术及其处置进程提供了实施指南。
它们是信息技术处置进程中的最关键的要素,是战略性的、技术性的进程或活动,勾画出了IT的控制轮廓。
关键成功因素是为提高处置进程的成功可能性所做的最重要的事,通常与组织的目标维持一致,是组织和处置进程的可观察可测量的特征,散布于企业的战略层、战术层、应用层及组织的方方面面,能够通过目标分解与识别的方式选择关键成功因素。
∙关键目标指标
关键目标指标是指通过创建和保护一套处置和控制适当业务绩效的系统,来指导并监督IT传递的商业价值。
关键目标指标是处置目标的一种表达,明确要取得什么目标,并描画处置的结果,进行事后评判,直接表现处置进程的完成成功与否,间接表现处置带给经营活动的价值。
∙关键绩效指标
关键绩效指标对关键成功因素进行评价,通过监测某IT处置进程的执行情形,告知管理层该处置是不是知足其经营需求。
关键绩效指标是IT处置进程的性能指标,表现为IT的实际业绩。
通过有效性、保密性、完整性、可用性、一致性、靠得住性等指标来测定IT的绩效。
下表列出对企业具有普遍性意义的关键绩效指标。
∙成熟度模型
IT成熟度模型制定了一个基准,组织可能按照上面的指标肯定自己的品级,从而了解自身目前的境界。
对于监控和评估决策,在COBIT体系中,有着较为清楚明确的最佳实践。
1.构建全面的IT治理体系
.IT治理体系、模型介绍
IT治理领域存在一些先进的最佳实践与国际标准,这些标准反映了大量企业的经验结晶,并有专业监管实体保护。
采用标准的IT治理架构能够给企业带来诸多收益。
如美国堪萨斯州把COBIT标准作为虚拟政府策略的一部份,结果降低了运营本钱,并为它的客户和委托人提供了很高质量的服务。
Proctor&Gamble在采用ITIL标准的四年里,节省超过5亿美金的预算。
同时Procter&Gamble内部财务和IT部门的调查显示,其运作费用降低6%~8%,而技术人员的人数减少15%~20%。
ISO/IEC17799是成为国际标准最快的一个标准,ISO/IEC17799的前身BS7799是卖出拷贝最多的管理标准,目前已有二十多个国家引用BS7799-2作为国标,各大信息安全公司也都以BS7799为指导向客户提供信息安全咨询服务。
下面咱们就几个通用的IT治理体系架构和标准进行介绍:
(1)COBIT
TheControlObjectivesforInformationandrelatedTechnology(COBIT),最新标准是版。
由InformationSystemsAuditandControlAssociation(ISACA)出版,最先在1996年发布。
COBIT架构由34个高层控制目标和318个细节控制目标组成,通过概念这些目标,能够帮忙保护企业业务对IT的有效控制。
该标准比较完善,所有的COBIT文档集合能够在线取得,包括executivesummary、架构、控制目标、审计指引、管理指引和实现指引。
(2)ISO17799
InternationalOrganizationforStandardization国际标准组织的ISO-17799,目前最新的版本是ISO-27001,全称为“信息技术——信息安全管理实践代码”,该标准第一于2000年12月由ISO发布。
该标准基于英国标准7799,英国标准曾有很多版本,开始于1995年。
ISO17799的目的是关注于安全,而且辅助企业创造有效的IT安全计划。
该标准有以下的高层次内容:
安全政策、组织安全、资产分散和控制、个人安全、物理和环境安全、通信和操作管理、进入控制、系统开发和保护、业务持续性管理和适应性。
(3)ITIL
InformationTechnologyInfrastructureLibrary(ITIL)由UnitedKingdom'sOfficeofGovernmentCommerce(OGC)保护,二十世纪八十年代末按照很多组织的输入开发。
该标准为IT服务管理的最佳实践。
主要关注10个流程:
服务级别管理、IT服务财务管理、能力管理、IT服务持续性管理、可用性管理、事件管理、问题管理、变更管理、发布管理、配置管理。
什么标准最好?
存在如此多的IT治理的体系和标准,那么哪一种标准最好?
咱们说没有最好,只有最适合。
COBIT在IT控制和量度指标方面最强。
ISO17799覆盖IT安全,而ITIL重点在于流程,尤其是IT服务相关的部份。
组织不该该仅仅选择一个,而应该对三个标准进行整体阅读,然后计划一个方式,通过该方式混合每种标准中最好和最适合本企业部份。
比如,客户或监管实体可能需要组织采用ISO17799,结果是至少能够将该标准作为初始切入点,但从久远来看,一样的公司最终也能够在远景中包括其他标准。
下图为各类标准比对:
图3IT治理标准比较
.构建全面的IT治理体系理论模型
IT治理体系保证整体战略目标能够从上而下贯彻执行。
IT治理和其它治理活动一样,集中在最高管理层(董事会)和执行管理层。
但是,由于IT治理的复杂性和专业性,治理层必需强烈依赖企业的基层来提供决策和评估活动所需要的信息。
为保证有效的IT治理,基层应用要和企业整体目标采用相同的原则,提供评估业绩的衡量方式。
因此,好的IT治理实践需要在企业全数范围内推行。
构建全面的IT治理模型第一要解决董事会、执行管理层、业务及服务部门三者的任务和使命,弄清其中的关系。
图4董事会执行管理层业务及服务部门三者任务及关系
IT治理使得最高管理层(董事会)和执行领导的一系列活动成为可能。
这些活动主要包括:
IT的目标,新技术的机缘和风险,关键进程与核心竞争力。
如指导信息技术的职能和对企业的影响,分派责任,概念操作,衡量业绩,管理风险和取得保证的约束等。
IT治理体系理论模型
明确了企业各个层面在IT治理体系中的任务和使命的基础上,咱们提出了IT治理体系的理论模型。
那个理论模型是基于对现行的各类IT治理体系结构和国际标准的基础上成立的。
企业IT面临的转变和问题,体此刻IT体系的核心三要素技术、人员、流程上,通过成立全面的IT治理体系能够解决企业IT面临的所有问题。
图5构建全面的IT治理体系
全面的IT治理体系分为三层,底层有ISO/IEC27001支撑的IT基础架构、IT安全,负责IT架构管理、统一的监控与性能管理、安全管理、端到端的应用管理。
中层由ISO/IEC20000为支撑的IT服务管理,关注IT服务,运营层面,包括服务设计及管理、服务交付保障、实施测试与发布、服务运维管理。
顶层是由ISO/IEC38500支撑的治理结构,其三大核心职能指导、评价、监控。
确保企业的IT战略与企业战略一致,IT通过明确的期望和衡量手腕交付、指导IT战略、平衡支持企业成长的投资、指导信息资源的分派。
整个IT治理理论体系框架,能够借助COBIT的管理指南(最佳实践的决策事项,和决策人RACI图,来成立决策体系,进程KPI和目标来成立监控和评估指标,成熟度模型来衡量企业IT治理的水平,详细控制目标能够做为IT审计和IT内控的目标。
ITIL服务支持和服务提供流程,做为企业IT服务管理的流程的最佳实践,联系企业的业务需求与IT服务的提供(包括内部和外部IT供给商),借助统一的IT服务平台管理企业所有的IT服务。
ISO/IEC27001做为企业IT架构安全管理的标准。
综合应用诸多的IT治理体系框架和国际标准,才能打造最完备的IT治理体系。
通过成立全面的IT治理体系统一IT技术、IT人员、IT流程,除能够知足SOX合规要求之外,真正的使企业的IT和业务维持一致,发挥出IT的最大价值,管理好企业的IT体系。
.AMTIT治理方式论介绍
从IT治理的理论体系框架到企业的具体应用,需要大量的工具手腕,AMT在IT治理领域积累了大量的理论和实践经验,对于如何将IT治理体系真正运用到企业当中有一整套的方式论支撑(见下图)。
通过AMTIT治理咨询服务方式论,能够将IT治理的理论模型真正运用到企业的实践,成立起符合企业本身特点的IT治理体系。
IT治理和企业持续性进展息息相关,从IT治理理论体系到具体的企业实践必将是一个长期的、不断深切的进程,笔者愿意与各方一路为IT治理在中国企业的应用做出尽力。
升级会员 