IT治理的混沌时期

发布时间：2020-06-30 20:17:24 阅读：次来源：导轨厂家

摘要：IT治理在CIO中的认知度与其越来越高的曝光度不成比例。

关键词：IT治理

“IT治理？没听过。”当一位省级移动公司网络负责人侃侃而谈IT管理之后，在回答“是否听说过IT治理”时，却给出了这样的回答。这家移动公司正在提升IT管理水平，以准备接受遵从塞班斯法案的相关审计。没想到管理着300余名IT员工的网络部负责人尽管参与了IT内控工作，却对“IT治理”闻所未闻。这与一些业内人的预想相去甚远。

为了验证IT治理在国内是否真的“雷声大雨点小”，《IT经理世界》在网站上做了一次小型调查。调查结果再次验证了这位移动公司IT负责人对“IT治理”的陌生并不是个别现象。在这次调查中，41%的人根本不知道IT治理，比较了解IT治理的受访者不足20%；有 60%的人不知道IT治理和IT管理之间的区别；仅有1%的调查者参与过IT治理的实践。

看来，“IT治理”在被IT厂商、咨询机构频频提及的时候，它在CIO及企业管理者中的认知度远没有兜售理念的人以为得那么高。

管理？治理？

在这次调查中，有22%的人混淆了IT治理与IT管理的概念，觉得它们其实是一回事；仅有不足半数的人认为两者之间存在差别。其实，能准确区分 IT治理和IT管理之间区别的CIO并不多。除了对两个概念不甚了了外，不同的CIO对这两个概念的内涵与外延也有着自己的理解和解释。

中国中化集团公司是世界500强企业，它的石油、化肥、化工等业务实现了全球化运作。在中化集团信息技术部总经理彭劲松看来，IT治理决定了企业如何进行决策，属于战略层面；IT管理则是制定和执行这些决策的战术。

去年，在他完成的一个IT治理实践中，中化集团通过运用IT治理的理念进行决策，用项目管理的方法组织实施，运用IT审计指南进行了项目验收，用ITIL指导方法制定了随后的管理流程，使得企业最终完成了预定的系统灾难恢复管理。现在，中化集团如果遇到灾难，其IT系统最多在两天之内就能恢复运行。此外，他们还实现了对网络、系统监控的管理，达到了企业系统综合管理及系统资源优化管理的目的，确保了IT对全球业务的连续服务。

屈玉阁是中国网通(集团)公司河北省分公司企业

信息部高级工程师，他按照IT治理的方法，组织撰写了39.6万字的“中国网通信息化建设管理控制体系”。他对于IT治理和IT管理之间的区别有着更为直白的理解——“IT治理是从外部到内部的控制，如塞班斯法案就是要企业按照其要求，没有商量余地。而IT管理则带有很强的妥协性，IT部门与企业高层、业务部门间可以做很多妥协。”

其实，IT治理对组织的意义要大于IT管理，这并不是因为它管的是“决策”，而是因为IT治理聚焦的是保持IT与业务目标一致、推动业务发展、促使收益最大化。一份来自国外的调查报告显示，IT治理出色的企业可以获得比竞争对手高出40%的IT投资回报；IT治理处于平均水平的企业在采用相同业务战略的情况下，能够比IT治理效率低下的企业多获得20%的利润。

“IT管理的着力点是信息及信息系统的运营，是一种确定IT目标及实现目标的行动；而IT治理是最高管理层利用它来监督IT战略执行的过程、机制和框架，以确保其处于正确的轨道之上。两者是一枚硬币的两面。” ITGov中国IT治理研究中心主任孙强认为。在他看来，IT治理规定了整个组织IT运作的基本框架，IT管理则是在这个既定的框架下“驾驭”组织奔向目标。缺乏良好IT治理模式的组织，即使有“很好”的IT管理体系，也像一座地基不牢固的大厦；同样，没有畅通的IT管理体系，单纯的治理模式也只能是一个美好的空中楼阁。[page]

现在，不少CIO将IT治理和IT管理混为一谈，甚至对IT管理的内涵也不甚了了，这同国内组织仍处于大规模信息化建设阶段有关。当一个组织处于应用系统建设阶段时，CIO很容易将所有注意力和IT资源集中在“项目”上，因此IT管理被简单地看成眼下尚不急需的一项长期工作。其实，即使是战术层面的IT治理对IT建设也非常重要。在越来越被广泛采用的IT管理框架——ITIL (Information Technology Infrastructure Library， IT基础架构库)中，IT管理包含了IT战略规划、安全管理、成本管理、突发事件管理、配置管理、变更管理等众多内容，这些管理是否到位都直接影响着IT 投资效果。

火候未到？

“我们虽然在2003年就开始进行IT管理，并于2004年引入了ITIL，开始进行SOX内控项目，但我仍然觉得我们还没有到达IT治理的层次。” 中海油集团信息技术中心主任王若讯说。有不少CIO与王若讯持同样的看法。在神州数码信息管理部总经理郑小维看来，中国信息化的发展程度还没有到达IT治理的层面。她认为，企业首先要先完成应用系统的搭建，然后再进行规范的IT管理，最后才能水到渠成地进入IT治理这个层次。

如今，神州数码已经过了大规模的IT系统建设阶段，IT管理工作成为郑小维3年多来的工作重点。虽然她已经取得了COBIT(IT治理的一个开放性标准，由美国IT治理研究院开发与推广)认证，但她并没有在企业内部依照COBIT的方法论，逐条逐项、大张旗鼓地做IT治理。她觉得，神州数码的 IT管理工作还未完成。按照她的计划，神州数码准备今年通过ISO20000(国际标准组织ISO关于IT服务管理领域的国际标准)认证。不过，她在IT 管理中已经融入了不少IT治理的实践方法，如建立高层及业务部门多方参与的虚拟IT团队、制定规范IT运作机制的IT管理大纲等。

目前，大多数明确表示正在进行IT治理的企业，都将其与公司治理密切联系，目的是为了让投资者信任企业。比如为了应对美国的塞班斯法案，在美国上市的企业就必须保证所披露信息的真实与准确，保证信息处理与传递的效率。法规遵从成为许多企业展开IT治理的最主要动力。我国电信、金融、化工等大型企业几乎不约而同地于2004年后开始进行IT内控、IT治理，与塞班斯法案的要求直接相关。“中国网通(集团)公司的部分资产已经在美国和香港上市，投资者不但需要上市公司有良好的业绩，还需要上市公司有严格的内部控制管理规范。因此我们必须按照企业发展战略的总体要求，对信息化建设过程进行统一规划、统一管理，以满足企业提高核心

竞争力的要求。”屈玉阁道出了他们进行IT治理的直接缘由。

尽管不少企业进行IT治理是为了应对塞班斯法案，但不少正在从事IT治理的CIO并不认为符合塞班斯的内控要求就算取得了IT治理的胜利，“有针对性的治理工作仅是IT治理很小的一部分”。

COBIT被认为是实施IT治理的最佳实务。据说塞班斯法案对IT部分的审计就依据了COBIT的标准。它包括规划与组织、采集与实施、交付与支持、监控等4个域、34个流程、318个控制目标。河北网通按照COBIT、ITIL等IT治理与管理方法，用了半年多时间才撰写出IT治理规划。如果按照COBIT的34个流程一一实践IT治理，至少需要2～3年。因此准确理解IT治理内涵的CIO一致认为，良好的IT治理不可能一夕之间完成，时间和持续优化是其必不可少的要素。这些要素决定了IT治理必然是一个漫长和动态的过程，是组织与所有利益相关者的互动过程，包括在制定长远IT发展战略等决策上的互动。另外，组织所处内外部环境的动态性也决定了IT治理的动态性。IT治理本身的难度和我国信息化发展阶段决定了它曲高和寡的现状，也是其“外热内冷”、陷入混沌状态的主要原因。

ITGov中国IT治理研究中心是一个在IT治理领域推动中国与国际同步发展的资源平台。其创始人孙强带领研究人员从2002年开始进行 COBIT的认证培训，至今共帮助中国近百名学员获得COBIT认证。但仔细观察这些学员的组成不难发现，CIO或IT经理不足1/3，大部分学员来自正在从事IT治理和IT管理咨询及服务的厂商、咨询机构。不过，4年来的推动还是让孙强看到了进步。“2002年，我们向别人介绍IT治理时，基本上大家都不能理解也听不懂。”现在，主动找他们做IT治理咨询和指导的组织逐渐多了起来，“但如何构建完善的IT治理没有模式可以照搬，本质上要以组织的战略和文化为出发点”。

不只是在国内，在全球其他地区，IT治理也是阳春白雪。普华永道的2006年全球IT治理报告显示，只有10%的IT人员正在使用COBIT，这一数字并不算高。Forrest 研究机构报告表明，90%的美国企业已经或多或少建立了 IT 管理和治理架构，但是做的好的并不多。不过，这些数字对IT厂商和咨询机构而言，却意味着巨大的市场机会。IDC 预测，今后4年内，IT 管理和治理市场每年会增长15%。这也是COBIT、ITIL、SLA(Service-Level Agreement 服务等级协议)等名词被IT厂商和咨询公司频频提起的原因。

责编：Lui