2009年8月27-28日,e-works在合肥举行了首届制造业信息管理与安全研修班,中国IT治理研究中心孙强主任应邀就IT治理的理论与实践发表了精彩演讲。本文是孙强主任演讲内容的摘录。
制造企业应当从制度、战略、规范和标准的高度,重新看待IT的定位、作用和价值。以“IT治理”为核心,涵盖信息系统控制与审计、信息安全管理、IT服务管理及IT项目管理,着重研究IT发展与企业发展在治理结构、企业战略、企业运营管理、风险与价值、成本与控制、审计与监管、服务标准和规范等方面的新问题、新知识和新方法。
推动信息化建设,制度重于一切。建造一个信息系统是容易的,让这个系统有效地运转起来则是现实的难题。决定信息系统是否有效运转的因素不是信息技术,而是制度、组织结构、规则与标准,最终是人。因此,在这些因素之上,需要合理有效的制度安排。由此,我们认识到良好的制度安排对信息化建设成功的重要性,反之,没有良好的制度安排,信息化就像是建立在沙滩上的万丈高楼。
IT治理包括建立业务与信息化战略融合的机制,权责对等的责任担当框架和问责机制,资源配置的决策机制,组织保障机制,核心IT能力发展机制,绩效管理机制以及覆盖信息化全生命周期的风险管控机制。通过加强IT治理,可以实现组织的业务战略,促进管理创新,合理管控信息化过程的风险,建立信息化可持续发展的长效机制,最终实现IT商业价值。
国际公认的IT治理方法包括:COBIT、ITIL、PRINCE2、ISO20000和ISO/IEC27001。中国IT治理中心自主创新的IT治理方法包括:信息安全治理模型、IT外包治理模型、IT运维服务管理一体化体系、三位一体的信息化绩效评价框架、信息化绩效评价体系和IT领导力模型。
我国企业的信息化运维管理存在以下问题:
- 当前企业信息化已经进入建设与运维并重和以运维为主要特征的阶段,这也标志着延续多年的信息化推进方式要有根本性转变;
- 国家和行业市层面信息化管理规范缺失,同时在市场经济转型期潜规则较多,甲方信息化全流程管理能力薄弱;
- 信息化部门年复一年给业务部门做信息化,这样发展到当前阶段,信息化部门演变成一个较大的部门,或有很多的对支撑业务至关重要的系统要运维,以及很高价值的信息化资产要动态管理,这时信息中心自身也需要进行规范管理,也需要搞信息化。信息化全流程管理规范,其实就是信息化部门的一套规则、方法、工具及实践。
- 重建设,轻运维。建设阶段就是“花钱”,信息化只能通过科学运维来交付投资的效益;
- 重运维技术,轻运维管理。越来越多的领导干部开始认识到运维管理工作的重视性,但由于缺乏“运维管理规范”和“运维管理知识体系”,他们还是不了解如何管理运维工作。
信息化部门外包管理和风险控制能力有待提高:
- 建设阶段:突出特点是盲目追求建设的速度,以提前上线为业绩,片面追求在功能上满足业务的需要,忽视可用性互操作性、逻辑性等非功能需求,忽视控制和安全的需要;
- 建设转运维阶段:缺乏建设转运维的可回溯性控制流程;信息系统、信息资产与核心业务要素间的关系缺乏映射关联(决算报告);验收阶段运维方案和维保方案不够完善;工程建设项目档案管理不健全;建设转运维界限模糊等。
企业在信息化运维外包方面,还存在以下问题:
- 缺乏标准化、体系化、流程化的一体化运维管理体系。
- 运维人员和用户权限管理存在极大风险,开发人员或用户越权进入生产环境进行操作。
- 外包商准入资质和退出机制,特别是没有统一的运维人员的资质要求。
- 受利润少、开发商人员流动等因素影响,开发商无能力或不予支持系统后期的运行维护。
- “各自为政”式的建设导致信息化部门不得不面对多家外包商,但其管理协调较难。
- 缺少严格规范的外包合同,来明确双方权责,且没有相应的安全保障和重大事故处置机制,出现事故后的技术和管理责任判定没有规范的机制,临时被动应付。
- 缺少运维服务监控与绩效评价机制,不能及时发现问题,并采取措施。
- 信息化运维外包规范化管理问题不解决,将制约应用系统绩效的发挥,甚至会造成重大的损失。
IT运维管理体系包括以下三个层次:
- 组织模式层:确定和规范IT 服务管理体系运行的管理方式和与之相配套的机构设置、人员岗责安排,将IT 服务相关的全部活动进行统一决策与规划,形成集中统一的IT 运维管理体制。
- 制度规范层:分别从管理与操作方面建立IT 服务管理过程中各个参与要素(人、流程、工具)的行为准则与工作程序,从IT 服务管理体系运行机制、流程执行和岗位职责三个层次建立考核评价体系,确定运维费用的构成与计算方式,实现IT 服务管理的量化管理。
- 技术支撑层:建立面向业务客户的IT 服务请求响应窗口和面向技术支持人员的体系运行管理窗口,建立负责IT 服务管理流程运行的流程管理平台和负责IT 基础设施和业务应用系统运行监控的集中监控管理平台,根据不同类型IT基础设施和业务应用系统的管理职能,建立技术管理子系统,建立知识库、配置库、报表及日常操作等共享支持子系统和为业务管理提供服务的业务服务管理子系统。
当前,我国信息化建设中最大的问题,不是技术问题,也不是资金问题,而是缺乏科学的IT管理理念;我国IT领导者最大的问题不是缺少经验和能力,而是缺乏卓越的管理素质和管理方法。IT领导力包括以下九个方面:IT组织架构设计与管理、IT人力资源管理、IT成本与预算管理、IT项目管理、IT风险管理、供应商管理、IT资源管理、IT运营管理和IT绩效管理。
信息化绩效评价框架根据不同管理层所关注的重点不同,划分成三类:即分别从战略层面、流程管控层面、项目或系统层面对信息化过程的绩效进行评价,从而形成一套综合完整的绩效管理评估模型体系。
信息化审计体系应当覆盖信息化全生命周期,企业应当从国家法律和法规、公司政策、审计标准、审计指南、审计工具、审计方案四个视角来定义企业信息系统风险审计标准体系,以建立标准化、规范化、主动式的信息系统审计体系。
要实现善治的IT治理,就必须对IT全生命周期进行规范化、精细化和主动式的严格管理与控制,IT风险管理控制流程正是实现上述目的的、覆盖信息化全生命周期的一组管控流程。规划并实施IT风险管理控制流程,可以:
- 通过组织管控手段,保障系统、流程、数据均衡发展;
- 明确企业信息化部门和业务部门之间的关系和责任;
- 清晰定义分工界面和管控流程;
- 正确划分信息系统的所有者、建设者和管理者;
- 加强对流程执行的管理,明确流程交接的边界和流程的负责者;
- 充分发挥企业信息化建设工作的价值,确保信息化战略和业务战略相吻合,从而实现善治的IT治理。
IT治理是公司治理的一个重要方面,核心是IT治理机制的建立及IT对业务一致性的支持,因此IT治理绩效主要表现在对IT与业务运营绩效及治理机制的贡献上。绩效评价指标可以选取客观的经营状况描述指标,也可以选取企业经营相关者的主观描述指标。客观指标易于反映综合效果,便于样本之间进行比较,但是难以判断局部业务活动的贡献,主观指标易于获得,便于衡量局部业务活动对整体绩效的贡献,但是不适合进行样本之间的分析比较。所以从治理利益相关者的主观评价角度出发,从IT治理活动对中国企业的IT与业务的运营与战略效率、财务绩效、治理模式、治理意识构建IT治理绩效评价的四个评价维度。
IT本身不会直接创造价值,IT与企业绩效之间有个中间变量,充当调用和部署企业IT资源从而获得长期竞争优势的调节器,使IT资源转换成产出,并在这个过程中增值,这个变量就是核心IT能力,核心IT能力是确保巨大的IT投资转化为企业绩效的关键要素。
企业能否从IT投资中获得价值,主要有五个要素决定:企业战略与IT战略整合能力、业务流程整合能力、信息系统整合能力、组织结构整合能力以及企业文化与IT文化整合能力。
发表于:
2009-08-31 07:56 黄培 阅读(2366)
评论(2) 收藏 好文推荐
本博客所有内容,若无特殊声明,皆为博主原创作品,未经博主授权,任何人不得复制、转载、摘编等任何方式进行使用和传播。
作者该类其他博文: