IT治理——一种治理的常态（AMT 陈琦）

申请免费试用、咨询电话：400-8352-114

浅析埃森哲的IT治理模式

谈及IT治理，便容易联想到COBIT、ITIL、ISO/IEC17799及PRINCE2等标准体系，如果说企业提出IT治理的初衷是美好的，那么这些复杂的标准体系又为其实施设置了一道屏障，因为甄选并掌握其中任何一套标准体系都是有难度的，而到实践层面的问题又更加超乎想象。埃森哲IT治理模式的出现可谓恰到好处，它提出的IT治理路线虽然简单但更实用、更具操作性，那么先前的问题究竟出在哪里？埃森哲的IT治理模式有何特别之处？它又是如何解决这些问题呢？

一、  国内IT治理的误区

IT治理是用于描述企业或政府是否采用有效的机制，使得IT的应用能够完成组织赋予它的使命，同时平衡信息化过程中的风险，确保实现组织的战略目标。其主要使命是：保持IT与业务目标一致，推动业务发展，促使收益最大化，合理利用IT资源，适当管理与IT相关的风险。然而，按照目前国内的信息化水平，完全照搬国外IT治理的模式和标准是有风险的，因此国内的IT治理也存在一些误区：

生搬硬套IT治理标准。中国的IT治理应该直接应用国外相对成熟的标准，还是借鉴国外做法建立自己的标准？这是一个颇具争议的问题，一方面采用已定义标准的好处显而易见，如最佳实践库的建立花费了大量的时间，由全世界成百上千的专家和组织进行评估。模型中所反映的经年的经验累积不是单个组织可以负担的；而模型的架构提供了企业可以跟从的完美结构。但另一方面，这样做有可能导致国内企业的又一轮IT形象工程，最好的技术、最先进的标准成为企业追逐的对象，而企业生搬硬套这些标准之后，尽管有可能是最先进的，但也同样有可能放弃了最合适的。这里忽略了最关键一些问题，例如“我们需要什么？”、“我们为什么需要的是这些？”等等；

轻规划、重监控。这是一种对IT治理的望文生意的误解。以COBIT的基本架构为例，监控（Monitoring）仅仅是其中四大领域之一，其它还包括规划与组织（Planning and Organization,PO）、获得与实施（Acquisition and Implementation,AI）、交付与支持（Delivery and Support,DS）。尽管其他标准各有偏重，例如ITIL标准更关注方法和实施过程,视野相对COBIT来说狭窄，但总体上IT治理比IT监控的范围广泛许多；

“替猫挂上的铃铛”。IT治理的过程由谁来负责，又由谁来执行？这个问题如同老鼠想出给猫挂上铃铛的好办法，但最后却没有一只老鼠愿意铤而走险去这样做一样，IT治理的过程设计的再完美，如果没有明确各项标准执行的责任人，那充其量也只是一只设计精美的铃铛而已。

二、 埃森哲IT治理模式的独到之处

与其他IT治理模式不同，埃森哲的IT模式一开始就在思考“组织到底需要IT发挥什么样的作用”这样的问题，而不是先洋洋洒洒先制定又一个34个控制目标、11个流程或者10个管理要项等，这正是被IT治理冲晕头脑的企业需要的一剂镇静剂：IT只是工具，只有适应了企业发展需要它才成为IT战略，并持续释放其能量。因此，IT治理从这个问题开始，无疑迈出了扎实的第一步。

此外，按照埃森哲IT治理模式简要绘制如下路线图（图1），它主要关注两方面的问题，即IT治理的“什么”和“谁”。IT治理的“什么”是指IT治理应该作出哪些决策，IT治理的“谁”则是指这些决策分别应该由谁来作出，具体包括以下方面：

1、IT治理仍要“随需应变”。给前述错误2对症下药，埃森哲特别强调了企业需求对IT治理的重要性，即在IT治理前，企业要明确自身对IT的需求，并按照需求设计IT治理指标，这也说明IT的作用与企业需求应当相互匹配；

2、考虑外部环境的影响。埃森哲特别强调了IT治理的外部因素，即组织需要IT做什么，在很大程度上取决于它处于一个什么样的商业环境。首先埃森哲以“变化的速度和竞争的基础”两大要素对组织所处的商业环境进行分析，然后将不同商业环境下的组织分为四种IT需求不同的类型；

3、重头戏在“两手抓”。在明确IT需求之后，埃森哲总结了其“两手抓”的治理模式，即一方面要解决IT治理作哪些决策的问题，埃森哲总结为组织模式、投资、架构、标准和资源五大要素；另一方面还要明确组织的三方利益相关者，即公司高层管理者、业务部门经理和CIO，在进行IT治理决策时各承担什么样的责任。

图1 埃森哲的IT治理路线图

三、埃森哲的IT模式能否药到病除？

在国内企业还在对IT治理“雾里看花”时，埃森哲以简单明了的方式向我们诠释了IT治理，没有繁文缛节的条款，没有陈词滥调的鼓吹，它让管理者们冷静下来，考虑一些本源性的问题，辅助他们一步步找到解决办法。事实上，很难在它与其他IT治理模式间做非此即彼的优劣选择，他们之间存在的是互补关系。特别的是，埃森哲以独特的视角分析帮我们规避1中谈及的种种问题，这些“视角”包括：

1、  本与末。善治的IT治理架构是确保IT资源与公司战略目标保持一致的基础，同样也能确保IT服务满足组织对优质、可信和安全的信息需要。因此，埃森哲的IT治理模式强调必须从公司的战略需要出发，迷恋各种IT指标的选择和比较只会是本末倒置；

2、 鱼和渔。表面上看，细化而具体的IT治理指标似乎更据操作性，但与从战略的高度思考IT治理的方法相比，两者是鱼和渔的关系。埃森哲不仅给我们一条大鱼，更重要的是授人以渔；

3、 说和做。从可操作性上看，埃森哲的IT治理模式也是易于适用的，简单而深刻的阐述了IT治理的过程，并高效简洁的介绍了一般性方法，从IT治理概念的说到做，埃森哲跨越了一大步。

不过，埃森哲的IT治理模式也并非万能药，必须与其他IT治理模式结合起来，并不断从实践中完善。除此之外，国内IT治理中有待解决问题还可能有：

IT治理的四大工具COBIT、ITIL、ISO/IEC17799和PRINCE2，如何实现他们之间的整合？

国内企业应该按照什么顺序逐步导入这些标准？

在不完善的公司治理结构的基础上，国内企业能否以及如何做好IT治理？

国内IT治理如何得到政府部门的认可，如何从法律上制定相应的标准？

结束语

有业内人士认为，许多企业对IT治理的理解还停留在概念层面上，要么看上去很美，要么片面曲解，甚至又演变为一场新的乌托邦游戏。但埃森哲的IT模式让我们看到，IT治理需要所有企业管理者的思考和参与,它不应该是一场运动，而是一种治理的常态。