深蓝海域KMPRO

IT治理:中国信息化的必由之道(一)

2017-02-23 11:05

IT治理:中国信息化的必由之道(一)

孙强 郝亚斌 郝晓玲 孟秀转

信息化已经成为中国经济与社会发展最重要的推动力,大力推动全社会的信息化,以信息化带动工业化,这一战略已经取得了可喜的成果。当前,在加入WTO后的中国经济环境中,信息的重要性已被广为认同,信息系统也已逐步渗透到商业和政府组织中,IT系统开始从传统的后台支持转变为新业务开展的直接驱动力,IT也日益成为企业的直接利润中心。各种组织对信息系统的依赖程度在不断增加,更有一些组织甚至若没有IT将不复存在,但同时对于很多组织由于信息和信息技术意味着最重要的资产,这导致IT本身已经或潜在成为一个巨大的威胁,随IT而来的风险、利益和机会使得IT治理成为公司和政府治理中很关键的一个方面。管理层需要确保IT与公司战略一致而且公司战略也很好地利用了IT的优势,政府需要发展电子政务来促动、实现转变政府职能的转变。因此,随着对信息系统依赖性的增加,IT治理对于组织的成功是至关重要的。这篇文章将探究当前关于IT治理的思想,为什么IT治理框架对于组织的持续成功是至关重要的,然后描述它与公司治理之间的关系,最后简单介绍了一个IT治理的自动化工具COBIT。后续文章将主要集中在IT治理机制的实现上,IT治理应该采用国际上最好的实践标准,包括COBIT和ISO/IEC 17799,讨论如何实施它以改善整个组织的运作。

IT治理缺失的九大症状

首先,各自为政。缺乏统一、全局的IT战略规划,由于没有统筹规划,目标不明确,标准不统一,一些地方处在混乱无序的状态,形成了很多信息孤岛,缺乏共享的、网络化的信息资源,中关村科技软件公司总裁朱希铎曾对媒体呼吁,我国要警惕形成世界上规模最大的信息孤岛。如目前国内已建成的众多CA中心,除了在采用X.509证书标准上一致外,其它的共同标准规范很少,中国各CA中心发放的证书基本不能相互兼容,CFCA作为中国金融业的统一认证中心,其证书甚至不能与国际权威的CA认证接轨。对于企业而言,面对业务重组、裁员、外包、充分授权、扁平化组织和分布式处理等如此复杂多变的商业环境,在IT战略规划修订时,如何精确保证IT战略规划和企业战略目标的一致,普遍缺少科学方法论的指导。

其次,信息化建设领导者错位,IT应用方案和企业业务需求之间逻辑错位。过去的信息化工程是技术专家或技术厂商主导下进行的,而不是经济专家或管理专家主导,技术专家或技术厂商从技术的视角去关注信息技术和设备的先进性等,较少聚焦在IT战略和组织战略目标的互动上,较少考虑信息技术如何形成企业核心竞争力,如何避免风险,如何创造新的业务和市场,和管理层沟通缺少通用的语言(非IT专业术语),因而不可避免地和企业的经营环境、经营目的脱节,而随着设备更新的加快,许多早期的工程只剩下一推摆设,管理层看不到在IT上的投资回报,这又导致信息技术得不到应有的重视,形成恶性循环。目前,总结经验和教训,各方普遍认识到中国的信息化建设问题从总体上来说不是技术问题。以热火朝天的ERP为例,ERP的实施不仅仅是软件的事,更重要的是一场管理革命。从这个意义上讲,ERP只是一张皮,深层次的是企业内部变革,所以管理变革若以ERP为助推器,则ERP的实施将水到渠成;若以ERP项目为导火线,试图在公司内部发动管理变革,则往往会面临重重障碍而搁浅,最终不了了之,甚至还可能导致公司被IT拖垮。

第三,决策的技术经济论证不足。信息化建设项目具有投资大、风险大的特点。英国Kalido于英国时间2001年12月12日公布了有关企业信息管理的调查结果。调查显示,96%的企业对于本公司的信息管理系统感到不满。关于目前正在使用的信息系统,认为"所制作的报告缺乏一贯性"或者是"核对信息花费了太多时间"的企业约占70%。回答目前的信息系统不能灵活因应变化的企业约占60%,对于数据的精度表示担心的企业约占60%,60%以上的企业正在策划有关数据及信息的整合计划。特别引人深思的是该调查是由美国Harte-Hanks以全球500强企业以及财富1000企业中的171家公司为对象通过问卷方式实施的。事实告诉我们,系统规模越大、与管理联系越密切、集成度越高的系统,风险也越大,失败概率越高,其中最明显的例子就是ERP,信息化建设项目的高风险和高失败率就要求企业在信息化建设决策之前,要进行充分的技术经济论证,综合论证项目技术上的先进性和可行性,财务上的实施可能性,经济上的合理性和有效性。朱镕基总理在国家信息化领导小组第二次会议中特别强调:加快信息化建设,必须以规划为指导,加强统筹协调,突出发展重点,务必注重实效。由于我国信息化建设项目开展时间不长,缺乏项目决策论证经验,同时,信息化建设项目除直接效益外还产生大量外部效益,对外部效益的量化也是一个难点。因此,许多企业和政府在进行信息化建设时缺乏科学的定性、定量相结合的技术经济论证。 另据分析,2002年,中央政府预计对电子政务建设的投资规模将达到350亿元,如此巨大的投资,一旦由于技术经济论证不足而导致决策失误的话,将给国家造成多么巨大的损失!
第四,信息资源的合理应用一直是我国信息化的薄弱环节。信息资源的开发和利用是国家信息化建设的核心任务,是国家信息化取得实效的关键。信息资源的开发和利用是衡量国家信息化水平的一个重要标志,将信息资源开发和利用放在核心地位是我国推进信息化的一大特点。在信息化建设中,我们普遍存在着信息处理环境建设滞后于物理环境建设,许多单位的数据库混乱状况与其先进的计算机环境和网络环境极不相称,使信息化建设无法取得实效,造成极大浪费。以电子政务为例,美国电子政务提出的口号是让人们点击3次鼠标就能办完事。而我国一个电子政务系统往往有工商、税务、计委、环保、社保等几十个甚至是上百个系统,要跨部门办一个申报审批的事情,不知道要点击多少次。与此同时,我们认为这也将给中国IT企业带来极大的商机。

第五,利益冲突和信息的不透明。由于任何企业的任务环境要考虑和关系的利益非常广泛,在任何一个IT战略决策中,都会不可避免发生利益相关者包括部门利益之间的利益冲突。所以,即使管理层要努力承担责任,企业任何时候的任何决策都会招致某个或多个群体的不满。一些管理层在做出IT战略决策之前,没有仔细考虑每一个方案会影响到哪些重要的利益相关者。那些开始看起来能为公司带来最大利益的最佳方案,也许会为公司带来最严重的后果。因此管理者必须懂得信息系统给组织所带来的各种影响。相关领导需要仔细地考虑,当引进信息系统并产生效益的同时,还可能给企业带来什么新的问题?信息系统是否能够给组织各级领导的工作带来影响?组织的工作流程是否需要变化?会不会引起新的人员下岗?等等。

信息的不透明表现在诸多方面,如政府信息化专项贴息贷款,那些贷款果真专款专用了吗?上市公司针对IT项目的配股增发,又有几例不是冲着圈钱去的?!某些厂商利用信息不对称,极力鼓吹客户要采购先进的技术和设备,致使这些客户的信息系统甚至比发达国家的同行还要先进,但在营运绩效方面却落后很多。还有某些厂商和咨询公司在合同签订前故弄玄虚,以及在多方利益博弈后的项目验收,这些缺少量化模型的项目验收和绩效评估,在各方利益得到均衡满足后,一路绿灯通行。

第六,IT安全治理和风险管理缺位。目前大多数组织的最高管理层都已树立不同程度的安全和风险意识,但对信息资产所面临的严重性认识不足仅局限于IT方面的安全,突出表现为重视安全技术,轻视安全管理,没有形成合理的信息安全方针来指导组织的信息安全管理工作,在安全规划、风险管理、应急计划、安全教育培训、安全系统的评估等多方面总是出现了问题才去想补救的办法,是一种就事论事、静态的管理,不是建立在安全治理基础上的动态的全局管理方法。国内的信息化“就应用系统而言,几乎所有企业的信息系统都存在隐患”。

第七,非技术性的障碍。IT技术的快速发展使得许多人产生了一种错误的思维定势:如果采用了最新的技术,就能够(或容易)取得信息系统的成功。换言之,如果信息系统建设不成功,多半是因为没有采用最新的技术。但是,我们不断地看到这样的案例:一些企业尽管不断地试图采用最新开发技术,然而它们的信息系统仍然没有逃脱失败的命运。

很多人在推崇信息技术的同时忘记了一个基本的前提:信息技术仅仅是一种工具。虽然信息技术对于信息系统的开发效率产生重要的影响,但工具本身却不是信息系统成败的根本原因。通常在信息系统开发时,开发商采用的往往是比较成熟的技术,因为这些成熟技术的有效性是已经被实践所证明了的。但是,采用成熟的技术并不能保证信息系统开发的成功。这说明,一些非技术性的问题往往是导致企业信息化不成功的根源。这些问题——我们姑且统称为企业信息化的非技术性的障碍——目前十分缺乏理论上的研究。有许多文章都在谈论这些因素,有人说是中国的管理水平低,有人认为是员工的观念跟不上。但是,大多数文章都仅仅议论了一些现象,而缺乏深入全面的研究。更可怕的是这些问题并未引起一些主管人员重视,他们认为对非技术性问题的探讨是空谈,只有掌握某种开发技术才能有真正的应用前景。这种错误的认识导致了许多单位和部门的信息系统的失败,而这些失败又常常被崭新的计算机设备和许多忙碌而不产生价值的工作所掩盖,像冰山潜藏在水面下一样无人知晓。

第八,重硬件购买,轻软件和咨询服务。目前,我国信息化建设缺少专业分工,基本是自建、自用、自我服务,不愿花钱买专业化咨询、专业化软件开发、专业化服务,从而造成信息化建设效率低下。而发达国家的大型应用系统不但花钱买这三项专业化的建设服务,而且还买运营服务。相关统计显示:我国在信息化投入中,软硬比例失调,软件加服务的投入与硬件投入的比例为二八开,其中集成与安装的比例约8—10%;软件开发的投入约10—12%;80%的资金是用于硬件购买。而据世界银行的统计,发达城市信息化投入一般为七三开,70%用于软件和服务,购买硬件为30%。

第九,信息化建设找不到重心。一些信息化工程和ERP项目的失败,致使许多人认为,我国的企业尚不匹配国际上那些先进的管理模式,搞信息化为时尚早。那么,信息化到底是什么?我们究竟应该走多远?有没有一个测量标准用于判断何时肯定会出现错误?企业在最普通而又最关键的部分进行计算机管理就不是信息化吗?IT成本与利润比例多少算是合适?关键成功要素是什么?不能达到我们目标的风险是什么?有没有可以贯通业务风险、控制需要和技术问题这三者之间的桥梁?其他的组织在做什么?我们应该怎样进行测量与比较?

这些问题归根结底是公司治理的失灵和IT治理的缺位。目前公司治理已成为政策重点,我国80%的企业已完成股份制改造,初步建立起符合现代企业制度的公司治理机制,但是我们的治理机制还很不完善。一个治理机制不完善的企业很难对外部竞争有积极的反应,从而很难有十分高的经营效率;相反,市场竞争的效率也来自于企业治理机制的完善,如果市场中的企业治理机制普遍不完善,企业之间就不可能进行充分有效的市场竞争。市场竞争最终要通过企业自身治理机制的改善才能使企业经营效率提高,如果一个企业自身的治理机制并不完善,而且面对市场竞争并不能持续有效地改善治理机制,最终可能在市场竞争中被淘汰。因此要实现“优胜劣汰”的市场竞争,引入与市场竞争相适应的治理机制,我们依然有许多工作要做。在IT治理方面,目前我国的政府和企业在这方面基本上处于初始阶段。据了解,在一些大企业中,已出现CIO的权利范围不只是领导其信息部门,还负责事业部门的人、财、物的资源配置和利益均衡,我们认为这是具有中国特色的IT治理机制的尝试。

IT治理的定义

IT治理是信息系统审计和控制领域中一个相当新的概念,IBM首次将此理念引入我们的视线,在其2002年度论坛中推出了给中国银行业的“汇聚了全球金融行业的智慧与经验”的白皮书,该白皮书在其“推动业务管理与IT的全面集成整合”部分给银行业务与管理的建议是:大力推动银行流程化与流程标准化的管理,建立全行级的跨部门的IT治理决策机构来决定IT项目实施的顺序,加强全行的管理与流程执行的纪律,与IT行业的供应商结成战略联盟,将战略伙伴的价值并入到价值链。作为全球IT行业领跑者的IBM,其一举一动往往预示着整个行业的发展方向。

我们在对IT治理广泛研究和分析的基础上,关于其定义汇集了以下三种主要观点:

Robert s. Roussey (美国南加州大学教授)认为:IT治理用于描述被委托治理实体的人员在监督、检查、控制和指导实体的过程中如何看待信息技术。IT的应用对于组织能否达到它的远景、使命、战略目标至关重要。

德勤定义如下: IT治理是一个含义广泛的术语,包括信息系统、技术、通讯、商业、所有利益相关者、合法性和其他问题。其主要任务是:保持IT与业务目标一致,推动业务发展,促使收益最大化,合理利用IT资源,IT相关风险的适当管理。

国际信息系统审计与控制协会 (ISACA)定义如下:IT治理是一个由关系和过程所构成的体制,用于指导和控制企业,通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。

通过上述定义可以总结出以下共同点:

IT治理必须与企业战略目标一致,IT对于企业非常关键,也是战略规划的组成,影响战略竞争。

IT治理和其它治理主体一样,是管理执行人员和利益相关者的责任(以董事会为代表)。

IT治理保护利益相关者的权益,使风险透明化,指导和控制IT投资、机遇、利益、风险。

信息技术治理包括管理层、组织结构、过程,以确保IT维持和拓展组织战略目标。

应该合理利用企业的信息资源,有效地集成与协调。

确保IT及时按照目标交付,有合适的功能和期望的收益,是一个一致性和价值传递的基本构建模块,有明确的期望值和衡量手段。

引导IT战略平衡系统的投资,支持企业, 变革企业,或者创建一个信息基础架构,保证业务增长,并在一个新的领域竞争。

对于核心IT资源做出合理的决策,进入新的市场,驱动竞争策略,创造总的收入增长,改善客户满意度,维系客户关系。

未完待续

浏览:IT治理:中国信息化的必由之道(二)

IT治理:中国信息化的必由之道(三)

IT治理:中国信息化的必由之道(四)

IT治理:中国信息化的必由之道(五)

相关推荐