IT治理 初级解惑——访：AMT 邓为民 博士

IT治理 初级解惑

——关于IT治理的基本概念和理解辨析

吴晗之：邓博士，您好。我们知道，您近几年一直在关注管理信息化中一个较新的概念：IT治理。从字面上，我们容易理解“IT治理”是指对企业IT服务和IT本身的结构、组织进行管理。但是更多人关心IT治理的具体理论，具体方法和具体价值在哪里。今天能否为我们就这些问题作一些解答？

我们就从“IT治理”概念的具体起源开始吧。

邓为民 博士：好的。

信息管理以及相关信息技术的管理，对一个公司的生存与成功起到了关键性的重要作用。这种关键性的重要作用来自于：信息技术戏剧性地改变企业商务实践、创造机遇、降低成本的潜能；组织对信息以及信息系统的依赖性的增强；信息安全问题日益突出；对信息和信息系统的现有投资与未来投资的规模扩大。在这种情况下，如何以较低的成本进行IT建设以及管理IT交付的功能，就成为多数企业面临的重大问题。IT治理就是为了解决这个问题而提出的概念。

治理一词是确实让很多人感到困惑。治理的英文单词是governance。这里的翻译借用了公司治理（corporate governance）；公司治理是由所有权与经营权相分离引起的，在IT建设中，也有一个分离的问题：即IT建设维护与IT使用相分离，企业投资IT是希望为业务产生价值，这就存在如何管理IT，确保IT为业务创造价值的问题，这就是IT治理。在台湾省的一些文献中，直接称之为IT管理。

IT治理是一个由关系和过程所构成的体系，用于指导和控制组织，通过平衡信息技术与过程的风险、增加价值来确保实现组织目标。

IT治理运用治理的概念来阐述业务于IT的关系，强调技术为业务服务，强调IT对业务的价值。简要言之：IT治理就是如何管理IT以服务业务，创造价值，也可以称之为IT管理。

我们知道，现在有财务管理，人力资源管理，在针对企业的各项管理职能的研究中，还缺少一门信息化管理的内容，IT治理就是研究这方面内容的。

吴晗之：和其他专门的管理学下级领域一样，关于IT治理也有很多与之相关的专门术语。我们最常看到的一个，就是COBIT， COBIT是什么，他与IT治理的关系如何？

邓为民 博士：COBIT是Controlled Objectives for Information and Related Technology的缩写，即信息及相关技术的控制目标。COBIT是 ISACA（信息系统审计和控制联合会）制订的面向流程的信息系统审计和评价的标准。COBIT的核心是IT流程。目前COBIT已经更新到第三版。

COBIT提供了一个体系框架， 他把企业的IT治理分为4个领域，34个过程。这34个过程涵盖了企业信息化建设的各个方面。针对每个IT治理过程，COBIT提供了管理目标、过程活动、关键成功要素、关键目标指标、关键绩效指标等一系列的管理工具，提升IT治理水平，并通过成熟度模型来衡量IT治理水平。

COBIT是对全球各个优秀企业的信息化建设与管理经验的总结，是企业规范信息化管理的一个非常好的参考工具。

参考：COBIT IT治理过程体系图解

吴晗之：领域的概念我们更容易理解，“过程”具体含义是什么呢？能不能举个例子帮助我们理解？

邓为民 博士：好的。前面介绍COBIT是以过程为核心，他把企业的IT治理划分为34个过程，下面我们以管理变更（manage changes）流程（流程AI6）来谈谈COBIT 的价值。我们知道，企业总是处于不断变化之中，而信息系统要求企业的业务具有相对的稳定性，这就出现了变更管理的问题：如变更总体管理、变更审批、重新配置系统流程，改变原有信息系统的逻辑设计，变更后信息系统的发布、以及变更后系统与原有系统的数据整合、变更档案管理以及变更后的使用维护人员培训教育等。那么如何才能管理好变更问题呢，COBIT给我们提出了一个框架体系。

变更控制的目标：把可能的中断、非授权的变更以及错误减少到最小；

变更控制需要考虑的因素包括：变更的辨别和确认、变更的分类优先级、紧急变更处理过程、影响估计、变更授权、版本发放管理 、软件分发、运用自动化管理工具、配置管理、流程再设计；

图2 变更管理过程

变更控制过程：COBIT建立了变更控制过程，并针对过程中的每一个活动建立了详细控制目标。变更过程如图2 所示。如紧急变更的详细控制目标是：IT管理部门建立参数体系来区别紧急变更，建立过程来优先控制这种变更，紧急变更应被记录并能够被IT部门授权优先处置。这样，我们对如何管理紧急变更就有了一个明确的指导方针，至于如何判别紧急变更、紧急变更处理的具体制度，需要根据各个企业的具体情况来制订。

变更管理成熟度：COBIT定义了五级成熟度模型，分别是：0不存在、1初始级、2可重复但是直觉型、3定义过程级、4可管理和衡量、5优化级。对每一成熟度级别都有具体的界定，如变更管理水平要达到3定义过程级，需要做到：有正式定义的变更管理流程，包括分类、优先级、突发事件处理过程、变更授权和发布管理。但是一致性没有得到保证。定义的流程并不总是合适的和实用的，因此，经常导致工作重复，流程不被执行。系统错误可能发生，非授权的变更偶尔会发生。IT变更对业务运作的影响分析比较正式以支持新应用和技术的推出。

吴晗之：听上去就像我们的顾问成熟度模型。

邓为民 博士：对，这就是成熟度模型的基本特征。

COBIT的一个特色是把管理落到实处。针对纷繁复杂的变更问题，COBIT提出了管理目标、管理方法，管理成熟度的判定、绩效考核指标等工具，使得变更管理能够真正落到实处，并能够指引前进的方向，向更高的管理水平迈进。这就是COBIT的价值所在。从对变更管理的详细介绍中，我们看到，COBIT是一个实实在在的能够为企业带来价值，提升企业信息化管理水平降低信息化风险的管理工具。

吴晗之：我们前面介绍了IT治理在理论上诞生的背景，那么什么样的现实特征，尤其是在中国当前的什么阶段特征，使得它从一个概念变成一个可以时间可以操作并且比较重要的管理重点？

邓为民 博士：IT治理受到越来越多的关注，应该是信息化的在企业和组织的深入应用的结果。这种应用的深入体现在两个方面：一是信息系统本身复杂度增减，业务对系统的依赖性增强，信息系统的风险增大，另外一个方面是信息部门规模的增加，如何合理的配备人员，对人员进行有效组织、控制、激励等日益复杂。这两方面要求企业在信息化方面加强治理，以降低风险，创造价值。

在中国，IT治理是一个全新的概念，是最近一两年出现的新的热点。 AMT是较早开展IT治理应用研究的单位，目前，AMT已经在多家企业进行IT治理实践。如帮助某事业单位进行需求管理流程的梳理，对某客户进行的IT资源配置调整、对某客户进行的IT人力资源建设建议等。从整体上说，IT治理需要与企业的实践相结合，需要对企业具有可操作性才能产生价值。

吴晗之：经过上面的了解，我感觉IT治理的范围非常广泛，这是不是意味着它也有很多交叉领域？IT治理的成功是不是也涉及方方面面？

邓为民 博士：从COBIT34个过程就可以看出，IT治理涉及的范围非常广泛。对企业的信息化建设本身，涉及了从论证、规划、建设、评估等各个阶段。从横向关系来看，IT治理涉及到财务管理、人力资源建设等内容。这是一个体系，是企业IT治理的总的目标，在不用的阶段，企业可以选择IT治理的重点。我们在很多地方看到的成功案例，都是聚焦在一个特定的范围内的。

就AMT已经在国内开展的大量IT治理咨询工作看，也是这样。IT 治理咨询业务包括企业的IT流程 组织结构设计、IT人力资源建设，绩效考核体系等。通常IT治理咨询工作伴随者IT规划项目进行，IT规划是规划信息系统对企业的商业价值，而IT治理则是运用各种IT资源实现IT商业价值的过程。AMT在IT治理方面的案例，可以在IT治理前沿论丛专刊，以及AMT公共网站上找到。

吴晗之：我们所观察到的，需要关注IT治理的企业具有哪些特征？

邓为民 博士：只要企业想要进行信息化建设，想要通过信息化来提高企业的竞争力，就必须关注IT治理。只是由于规模的原因，IT治理问题在规模较小的企业中并不突出，主要是通过优秀的个人来保证信息化对企业的价值，这为企业埋下了风险。这里的规模包括了企业自身的规模以及信息化建设的规模。我们认为具有以下特征的企业尤其需要关注IT治理：业务时效性强，中断影响大，如银行；系统数量多，版本复杂，如具有较多自主开发或者二次开发的企业；系统用户多地域分布广；整个IT投资规模大等等。我们正在做一个快速消费品行业IT规划项目，国外快速消费品行业对IT的年投资水平大约占销售额的1.7%。按照这个比例，对于一个年销售额仅6亿的快速消费品企业的来说，一年的IT投资额大约要1000万。这么大的投资额，需要对IT进行有效管理，使投资产生价值。

吴晗之：在进行IT治理时需要做的短期工作和长期工作分别是什么？公司在选择自治和寻求外部咨询的时候主要会从哪些方面考虑？如何取舍？

邓为民 博士：IT治理从短期上说，就是做好企业信息部门的管理工作，以及协调好信息部门与其他业务部门的关系，如IT人力资源配备、IT部门组织流程设计、IT应用培训，IT服务等。从长远来说，IT治理工作需要与企业的IT规划相适应，并做为IT规划的一部分。IT治理长期的工作就是定义IT人力资源的规模，企业IT应用水平、IT服务所要达到的水平的规划。

企业可以通过内部的不断变革提升企业的IT治理工作，但是这种改变是自发的，无方向的，有一些经验是有效的，而其他的则是无效的。如通过企业内部政治的方式解决信息化需求问题，单纯通过增加薪酬来解决IT人力资源发展问题等；专业的咨询公司了解国内外IT治理最新的进展，熟悉企业IT治理过程中的重点、难点和特点。同时，专业公司通过对不同的企业服务，能够综合不同企业IT治理的有效经验，如果把这些国外的先进标准、有效管理经验与企业的实际结合起来，就能够很好地提高企业的IT治理水平。

吴晗之：最后，可能CIO们会问，既然他们平时也是做IT管理工作，IT治理这个概念究竟对他们的价值是什么？

邓为民 博士：如何管理好信息化，让IT为业务创造价值，这是每一个CIO的首要任务；IT治理为CIO的管理工作提供了一个很好的框架。通过这个框架，使CIO对信息化管理的内容、目标、流程 组织 绩效指标以及成熟度评估等有总体把握，能够指导CIO的管理工作。

附：COBIT IT治理过程体系图解

图1 COBIT IT治理过程体系