|
走出企业IT治理的困惑 文/江西中烟井冈山卷烟厂 罗余作 发表日期:2011.11.04 【摘要】过去,我们注重信息技术(IT)应用于网络架构和安全运维。在企业信息化应用早期,存在一个认识上的误区,即将企业信息化看成是企业现有业务工作和流程的计算机化,信息化应用主要建立面向功能的事务处理系统,开发实施的主要目的是提高企业事务的处理效率、降低事务处理成本。以这种指导思想开展企业信息化工作经常会导致信息化实施后效益不明显。主要原因是这种实施方法没有从整个企业业务流程优化的角度来配置和实施信息系统。由于经验不足以及缺乏有效的指导思想和方法,我们在这个问题了走了弯路。 【关健词】企业 IT治理 本文就如何正确理解IT治理的本质、理性地考虑企业信息化科学组织管理方向、信息安全防范及对策、效果评估和持续改善措施等方面做些探讨。 一、IT治理的本质和科学组织管理方向 IT是一项通用技术,即能让经济突破常规发展速度,使其获得飞跃的重大技术创新。这种技术需要配套措施才能发挥最大效能。IT治理是一个系统的过程。IT治理是控制、指导、协调组织战略目标和IT目标的系统,是IT治理主体、客体、IT治理结构、IT治理机制的总称,是内部IT治理、外部IT治理的融合,是IT治理方法、过程、目标与结果的统称,是为了实现IT治理目标所有制度安排与机制的集合。IT治理系统的目标是提供IT决策机制的科学化、决策过程的协调交互性和决策结果的创新性。研究IT治理,须将其放在组织背景中,将其看作是必须通过治理而产生人力、财务、实物、知识产权、IT、关系六种关键资产价值。 面对市场上琳琅满目的IT系统和应用程序,大多数管理者深感无法驾驭瞬息万变的IT形势,因为难以一一弄清它们的功能,更何况还要做出选择,以及思考怎样才能有效加以使用。事实上,他们必须参与技术的选择,推动员工使用技术,确保技术得到充分利用。他们还必须摒弃错误观念,把IT项目视为公司的组织变革,自己则承担起管理变革的职责。 在IT应用过程中,为鼓励期望行为而明确的决策权归属和责任担当框架。明晰的期望行为是有效治理的关键。IT治理应决定由谁来决策,与IT治理不同,管理是制定和执行这些决策的过程。有效的IT治理必须解决三个方面的问题:决策、激励、控制。为了保证有效地管理和使用IT,应当做出怎样的决策?谁来做出这些决策?如何做出这些决策以及如何监控这些决策?特别要提出的是如何协调内部和外部共同治理的利益。理性的企业关注于企业相互竞争的内部力量,在设计其治理结构时与其优势绩效测评指标(如成长率、资产回报率等)相结合,从而协调业务目标、治理途径、治理机制以及绩效目标和指标等。积极地采用各种手段包括寻找外部治理,从IT中找寻价值:一是明确业务战略以及IT在实现这些战略中地重要作用;二是衡量和管理对IT的所有支出以及由IT而获得的所有收益;三是依据组织变革的需要划分责任,以充分利用新的IT能力;四是从每次实践中学习,使自己更善于共享和重复利用IT资产;五是共同享受治理成果。 根据与配套措施的关系,IT可以分成三类。第一类是功能型。这是一些能够提高单独任务执行效率的技术,如文字处理软件和电子表格软件。企业在采用这类技术时,必须明确它们需要什么样的配套措施,并将这些措施开发出来,或者允许实际使用者去开发。第二类是网络型。它们给人们提供了相互沟通的手段,如电子邮件、即时消息、博客和群件。网络型IT让人们能够进行互动,但没有规定如何进行互动。它们会自带配套措施,但允许用户自由选用和修改这些措施。第三类是企业型。企业使用这类技术来重构员工群体之间或者公司与业务伙伴之间的互动方式。企业型IT完全是自上而下推行的,由企业高管层购买后,强制性地要求整个组织接受和使用。组织要采用企业型IT,就必须改变现有的依存关系、工作流程和决策权分配。 对于所有三类IT,企业高管都需要完成三个任务。第一,他们必须根据公司希望获得的组织能力,参与选择IT应用软件。第二,他们必须身先士卒,率先使用IT技术,推动配套措施的产生。第三,他们必须确保IT技术、组织能力和配套措施保持协调一致,让IT的作用得到充分的发挥。 公司应该采用由内而外的方法来选择IT。管理者应该着重考虑IT能够提供哪些能力,在弄清业务需求之后再去评估市场上的技术。一般来说,功能型IT可以提高生产率和促进优化,网络型IT可以增进协作,企业型IT则有助于实现工作的标准化,以及对工作进行监控。 接下来就是推动大家使用IT。管理者的主要职责是帮助建立配套措施,从而充分发挥IT的价值。就功能型IT而言,管理者必须设法弄清这些技术需要哪些配套措施。对于网络型IT,管理者要平衡好两个角色——首先必须带头使用,并且制定使用规范,推动大家使用群件、维基和博客等新技术,但一旦技术得到广泛使用,他们务必要避免过于频繁地干预或者管得太严。对于企业型IT的应用,由于大部分员工都不喜欢由一个软件来强加给他们新流程,因此会极力抵制企业型IT。所以,公司高管必须强力推动这些系统的使用。 最后要考虑的是如何充分发挥IT的作用。对于功能型IT,企业必须精心调整配套措施。至于网络型IT,需要领导者发挥作用的是博客、维基等新技术。他们必须引导使用者去维持和增加对配套措施的使用,从而不断提高IT技术的效用。有意思的是,员工通常会积极去发掘企业型IT的价值,因此管理者只需考虑如何充分利用已经标准化的数据和工作流程。 软件本身并不稀罕,但是一个成功实施的IT系统却是难以复制的。如果企业能够成功应用一项IT技术,并因此获得宝贵的能力,那么IT就会成为一项宝贵的资源,大大提高企业的竞争力。 二、信息安全防范及对策 信息化管理的对象是计算机网络和相关硬件系统以及在此系统上构架应用的软件和信息系统的决策规划、效能应用、系统安全、网络监察、个人上网等一切网络管理行为。而信息安全防范和IT治理及监管是信息主管部门的一个重要职责。为实现综合利用各操作系统底层驱动、强加密、隐藏、认证、鉴别、访问控制、审计等技术手段,以及管理规范和措施构建高效、安全、综合管理系统目标,为此,必须建立信息安全防范和IT治理长效机制,以确保目标能够顺利实现。 1、信息安全防范工作。一是要建立行业内外各层次上下联动的完备组织责任机构和人员队伍,明确其信息安全责任,组织好各项目协调、实施、推广应用与培训等工作,确保信息化项目的实施成效,促进规划和整合应用上的安全,实现组织和人力上的安全保证;二是要健全和统一行业数字基础代码,建立物理防火墙、网络其它设备和安全软件、数据备份、应急预案运行机制,实现技术上的统一安全作业。通过建立信息化标准与评价考核体系和系统的监管、现场检查清理,促进网络现场管理规范,营造一个整洁、规范、安全、高效的网络和信息系统环境,实现环境上的安全保证。三是要组织建立和健全各项信息安全制度,规范日常信息化管理和检查制度。包括:软件管理、硬件管理、机房管理、系统运行和维护管理、网络管理等,提出并实施网络系统标准化设置,便于安全的维护和巩固,逐步纳入行业标准化工作体系,实现制度和基础管理上的信息化建设安全平稳发展。四是除采用相应的物理防火墙和安全软件外,做好应急预案,确保万无一失,定期组织开展信息网络安全和系统应用效果检查评估活动,促进系统持续改进,实现技术上的安全保证; 2、IT项目治理与管控。公司治理是以治理结构和治理机制为核心的一套现代公司制度的设置和安排。这种制度安排能够有效地解决现代公司制度下由于所有权与经营权分离所带来的委托代理问题。规避经营者的自利行为和道德风险,最大限度地保障和实现股东、债权人、员工、顾客和社区等利益相关者的最大权益。IT项目作为一个利益主体,也存在着两种利益主体的冲突,即内部利益相关者(包括公司或项目投资人、项目经理、项目成员、IT用户等)和外部利益相关者(包括供应商、咨询机构、监理单位等)之间的利益冲突,还存在着项目的所有者与项目管理者之间的监督与制衡问题、激励与约束问题。如何设计一套合理的IT项目的治理结构和治理机制,有效地调动项目管理者的积极性,提高IT项目的效率是一个十分重要的问题。 3、IT运维治理与管控。随着信息化的深入,IT服务对业务的作用越来越关键。这种关键性表现在公司的各项业务对于IT服务的依赖性不断增强,表现为IT技术已逐渐改变着公司业务创新模式,创造着新的业务品种和业务机会,并有效降低业务成本,提高业务效率。IT与业务的融合对IT服务的规范性和科学性提出了更高的要求,IT服务管理的理念和实践成为公司信息化的一个热点。建立IT服务管理的机制是IT治理的重要内容,我国企业应参照国际上成熟的ITSM(IT服务管理系统)实践标准——ITIL(信息技术基础设施库),结合我国企业的IT管理特色,从IT战略与业务战略的高度,坚持“以用户为中心”服务意识,制定ITSM的制度、流程和绩效考核体系,实现IT管理水平的不断提升。 4、信息安全治理与管控。信息安全是指信息的保密性(confidentiality)、完整性(integrity)和可用性(availability)的保持。构建信息安全保障体系必须从安全的各个方面进行综合考虑,将技术、管理、策略、工程过程等方面紧密结合,尤其是调动高级管理人员的积极性,协调业务部门和IT部门的关系,建立合理的信息安全治理结构与流程。所谓信息安全治理是指最高管理层用来监督管理层在信息安全战略上的过程、架构及与业务的关系,以确保信息安全战略与组织的业务目标一致。它不同于信息安全管理。信息安全管理是提供管理程序、技术和保证措施,使业务管理者确信业务交易的可信性:确保信息技术服务的可用性,能适当地防御不正当操作、蓄意攻击或者自然灾害,并从这些故障中尽快恢复;确保拒绝未经授权的访问。 进入“十·二五规划”和下一轮信息化工作,今后更要体现行业信息化支撑业务和新的要求,结合推进行业信息化协调和融合的特点,紧紧抓住规划引入,应用推进,集成整合,解决信息化定位、落地和发展的问题。按照战略主导,需求驱动,应用推进的要求,做好行业与公司间的协调;做好业务部门与信息部门之间的协调;做好自身工作与IT合作伙伴之间的协调。为此,要在三个方面下功夫:规划水平上,加大集成上,突出应用上。以此不断提高公司数字化应用水平。 参考文献 1、《IT治理及其辅助手段研究情况汇报》 孙强 赛迪培训中心 赛迪顾问股份有限公司2003年8月14日。 2、《IT治理》作者:彼得·维尔和珍妮·罗斯 美国麻省理工学院。 3、《信息化管理战略与方法》 作者:范玉顺 清华大学出版社 出版日期:2008-12。 |
|
|
