4 信息系统治理
4.1 IT治理基础
IT治理是描述组织采用有效的机制,对信息技术和数据资源开发利用,平衡信息化发展和数字化转型过程中的风险,确保实现组织的战略目标的过程。
IT治理的驱动因素
制定IT资源统一规划存在的问题:
- 信息系统应用已有相当的基础,但多年来分散开发或引进的信息系统形成了许多“信息孤岛”,缺乏共享的、网络化的信息资源,系统集成难题一直无法解决
- 信息资源整合目标空泛,没有整合“信息孤岛”的措施,数据中心建设和数据集中管理等规划缺乏可操作性,尤其是缺少数据标准化建设方面的规划
驱动组织开展高质量IT治理的因素包括:
- 良好的IT治理能够确保组织IT投资的有效性
- IT属于知识高度密集型领域,其价值发挥的弹性较大
- IT已经融入组织管理、运行、生产和交付等领域,成为各领域高质量发展的重要基础
- 信息技术的发展演进以及新兴信息技术的引入,可为组织提供大量新的发展空间和业务机会等
- IT治理能够推动组织充分理解IT价值,从而促进IT价值挖掘和融合利用
- IT价值不仅仅取决于好的技术,也需要良好的价值管理,及场景化的业务融合应用
- 高级管理层的管理幅度有限,无法深入IT每项管理中,需要采用明确责权和清晰管理的方式确保IT价值
- 成熟度较高的组织以不同的方式治理IT,获得了领域或行业领先的业务发展效果
IT治理的内涵主要体现在5个方面:
- IT治理作为组织上层管理的有机组成部分,由组织治理层或高级管理层负责,从组织全局的高度对组织信息化与数字化转型做出制度安排,体现了治理层和高级管理层对信息相关活动的关注
- IT治理强调数字目标与组织战略目标保持一致,通过对IT的综合开发利用,为组织战略规划提供技术或控制方面的支持,以保证相关建设能够真正落实并贯彻组织业务战略和目标
- IT治理保护利益相关者的权益,对风险进行有效管理,合理利用IT资源,平衡成本和收益,确保信息系统应用有效、及时地满足需求,并获得期望的收益,增强组织的核心竞争力
- IT治理是一种制度和机制,主要涉及管理和制衡信息系统与业务战略匹配、信息系统建设投资、信息系统安全和信息系统绩效评价等方面的内容
- IT治理的组成部分包括管理层、组织结构、制度、流程、人员、技术等多个方面,共同构建完善的IT治理架构,以实现数字战略和支持组织的目标
IT治理的目标价值
组织实施IT治理的使命通常包括:保持IT与业务目标一致,推动业务发展,促使收益最大化,合理利用IT资源,恰当理清与IT相关的风险等
IT治理的主要目标包括:与业务目标保持一致、有效利用信息与数据资源、风险管理。
IT治理的管理层次
- 最高管理层
- 执行管理层
- 业务与服务执行层
4.2 IT治理体系
IT治理的核心关注IT定位和信息化建设与数字化转型的责权划分。
IT治理体系的构成:
- IT定位:IT应用的期望行为与业务目标一致
- IT组织架构:业务和IT在治理委员会中的构成、组织IT与各分支机构的IT权责边界等
- IT治理内容:决策、投资、风险、绩效和管理等
- IT治理流程:统筹、评估、指导、监督
- IT治理效果:内外评价
IT治理关键决策
- IT原则
- IT架构
- IT基础设施
- 业务应用需求
- IT投资和优先顺序
IT治理体系框架
- IT战略目标
- IT治理组织
- IT治理机制
- IT治理域
- IT治理标准
- IT绩效目标
IT治理核心内容
- 组织职责
- 战略匹配
- 资源管理
- 价值交付
- 风险管理
- 绩效管理
IT治理本质上关心:
- 实现IT的业务价值
- IT风险的规避
IT治理机制相关经验
建立IT治理机制的原则包括:
- 简单
- 透明
- 适合
IT治理可以从众多最佳实践中学习的经验主要包括:
- IT指导委员会要吸纳有才干的业务经理,使之负责组织范围的IT治理决策,并在IT原则中加入严格的成本控制
- 谨慎管理组织的IT架构和业务架构,以降低业务成本
- 设计严格的架构例外处理流程,使昂贵的例外最小化,并可以从中不断学习
- 建立集中化的IT团队,用以管理基础设施、架构和共享服务
- 应用连接IT投资和业务需求的流程,既可以增加透明度,又可以权衡中心和各运营部门或团队的需求
- 设计需要对IT投资进行集中协作和核准的IT投资流程
- 设计简单的费用分摊和服务级别协议机制,以明确分配IT开支
4.3 IT治理任务
组织的IT治理活动定义为统筹、评估、指导和监督
组织开展IT治理活动的主要任务聚焦在如下5个方面:
- 全局统筹
- 价值导向
- 机制保障
- 创新发展
- 文化助推
4.4 IT治理方法与标准
ITSS(Information Technology Service Standard):信息技术服务标准
GB/T 34960
GB/T 34960.1《信息技术服务治理 第1部分:通用要求》规定了IT治理的模型和框架、实施IT治理的原则,以及开展IT顶层设计、管理体系和资源的治理要求。
GB/T 34960.1标准可用于:
- 建立组织的IT治理体系,并实施自我评价
- 开展信息技术审计
- 研发、选择和评价IT治理相关的软件或解决方案
- 第三方对组织的IT治理能力进行评价
GB/T 34960.2 《信息技术服务治理 第2部分:实施指南》提出了IT治理通用要求的实施指南,分析了实施IT治理的环境因素,规定了IT治理的实施框架、实施环境和实施过程,并明确顶层设计治理、管理体系治理和资源治理的实施要求。
GB/T 34960.2标准适用于:
- 建立组织的IT治理实施框架,明确实施方法和过程
- 组织内部开展IT治理的实施
- IT治理相关软件或解决方案实施落地的指导
- 第三方开展IT治理评价的指导
IT治理实施框架包括治理的实施环境、实施过程和治理域。
COBIT:信息和技术治理框架
COBIT是面向整个组织的信息和技术治理及管理框架,由成立于1969年的国际信息系统审计协会(ISACA)组织设计并编制。
COBIT对治理和管理进行了明确区分,具体区别为:
- 治理确保对利益干系人的需求、条件和选择方案进行评估,以确定全面均衡、达成共识的组织目标;通过确定优先等级和制定决策来设定方向;根据议定的方向和目标监控绩效与合规性。
- 管理是指按治理设定的方向计划、构建、运行和监控活动,以实现组织目标。
在COBIT中,治理目标被列入评估、指导和监控(EDM)域,在这个领域,治理组织将评估战略方案、指导高级管理层执行所选的战略方案并监督战略的实施。管理目标分为4个领域:1)调整、规划和组织(APO)领域针对IT的整体组织、战略和支持活动;2)内部构建、外部采购和实施(BAI)领域针对IT解决方案的定义、采购和实施以及它们到业务流程的整合;3)交付、服务和支持(DSS)领域针对IT服务的运营交付和支持,包括安全;4)监控、评价和评估(MEA)领域针对IT的性能监控及其与内部性能目标、内部控制目标和外部要求的一致程度。
治理流程通常由重事会和执行管理层负责,而管理流程则在高级和中级管理层的职责范围内。
为满足治理和管理目标,每个组织都需要建立、定制和维护由多个组件构成的治理系统,治理系统的组件包括:
- 流程
- 组织结构
- 原则、政策和程序
- 信息
- 文化、道德和行为
- 人员、技能和胜任能力
- 服务、基础设施和应用程序
COBIT定义的IT治理系统设计因素包括组织战略、组织目标、风险概况、IT相关问题、威胁环境、合规性要求、IT角色、IT采购模式、IT实施方法、技术采用战略、组织规模和未来因素。
组织开展治理系统设计通过流程化的方式进行,COBIT给出了建议设计流程:
- 了解组织环境和战略
- 确定治理系统的初步范围
- 优化治理系统范围
- 最终确定治理系统的设计
ISO/IEC 38500:IT治理国际标准
2008年4月,ISO/IEC正式发布IT治理标准ISO/IEC 38500,它的出台不仅标志着IT治理从概念模糊的探讨阶段进入了一个正确认识的发展阶段,而且也标志着信息化正式进入IT治理时代。
ISO/IEC 38500标准提供的高效使用IT的指导原则包括:
- 责任:职责分工
- 战略:IT支持组织发展
- 收购:可获得性
- 性能:可用性
- 一致性:合规性
- 人的行为:以人为本
4.5 IT治理的EDM
治理组织可以通过评估(Evaluate)、指导(Direct)、监视(Monitor)三个方面来治理IT,简称EDM。
- EDM的具体过程如下:
- 评估现在和将来对IT的利用情况
- 对策略和方针的相关准备事项和实施进行指导,以保证IT的使用是符合业务目标的
- 监视方针的符合性,以及对应计划的实际绩效
4.6 IT治理关键域
IT治理框架包含信息技术三个治理关键域,分别是顶层设计、管理体系和资源。
4.6.1 顶层设计
围绕组织IT整体与统筹部分,相关治理包括信息技术的战略,以及支撑战略的组织和架构。
战略
组织战略是指组织针对其发展进行的全局性、长远性、纲领性目标的策划和选择,即组织为适应当前和未来的环境变化,对业务部署、运行管理和高质量发展做出的全局性、长远性、纲领性目标的策划和选择。
战略目标是组织在一定的战略期内总体发展的总水平和总任务。
常见的组织总体战略类型主要包括:
- 发展型战略
- 稳定型战略
- 紧缩型战略
- 其他类型战略
组织战略通常具备的特性包括:
- 全局性
- 长远性
- 纲领性
- 指导性
- 竞争性
- 风险性
- 相对稳定性
分析和回顾战略实施过程中进行创新和改进的要素主要包括:
- 内外部发展环境对战略规划的影响,包括客户和用户需求、技术或监管环境等
- 在业务增长、发展趋势等方面的预测及其与实际的差异
- 提升业务增长和盈利的措施
- 竞争优势和发展水平分析及改进措施
- 风险分析及改进措施
- 战略绩效管理体系和人力资源系统的整合优化
组织
组织需要建立IT治理实施的机制和机构,确保治理团队、机构和人员能力满足IT治理的需求。
- IT治理机制包括授权机制、决策机制和沟通机制
- IT治理机构包括信息技术战略委员会、信息技术管理和服务机构、业务部门、风险管理部门、审计监督部门等。
所谓业务单元定位战略,是指组织或组织的分支机构在决定进入某行业和领域、生产什么产品或提供何种服务方面所做出的长远性的谋划与方略。
组织愿景是在汇集组织每个员工个人心愿的基础上形成的全体员工共同心愿的美好愿景,描述了组织发展的目的和对如何到达那里的理性认知。
愿景的制定和传达需要注意:
- 明确说明组织的定位,清晰地表达组织目标,避免笼统宽泛的陈述
- 表述应尽量鲜明和形象化,使其可靠且易于传达
组织使命是管理者为组织确定的较长时期的业务发展的总方向、总目的、总特征和总的指 导思想,描述了组织所处的社会价值范畴、当前的业务和宗旨。
组织使命陈述通常涵盖的要素包括:
- 产品或服务
- 客户和服务对象
- 行业或领域
- 公众形象
- 自我认知
组织文化是组织发展过程中凸显的精神特质与内涵,是组织区别于其他组织的关键因素。
组织文化有两个基本特征:
- 组织文化具有浓厚的文化属性和良好的执行性
- 组织文化提出了组织发展涉及的制度、行为等措施,如员工管理方法、员工互动方式、激励机制等,为日常工作提供了具体的实践方法。
架构
一般认为IT规划分为三个层面,即IT战略、组织架构与IT项目,三部分是相互依托、相互促进的,其中架构是核心。
- IT治理组织应指导、评估和监督信息技术架构,以确保支撑信息技术战略目标的实现。具
体包括:
- 指导信息技术架构的建立,并对规划、设计、实施、服务等过程进行评估和监督
- 评估信息技术发展内外部环境的变化,并对信息技术架构进行持续改进
- 建立与信息技木架构相适应的管理体系,并进行评估和持续改进
4.6.2 管理体系
管理体系要素中主要包括:
- 质量管理
- 项目管理
- 投资管理
- 服务管理
- 业务连续性管理
- 信息安全管理
- 风险管理
- 供方管理
- 资产管理
- 其他管理
质量管理
- 质量是产品、服务或成果的一系列内在特征满足需求的程度。
服务管理
IT服务管理是通过主动管理和流程的持续改进来确保IT服务交付有效且高效的一组活动。
IT服务管理由若干不同的活动组成:服务台、事件管理、问题管理、变更管理、配置管理、发布管理、服务级别管理、财务管理、容量管理、服务连续性管理和可用性管理。
业务连续性管理
- 服务连续性管理包括业务连续性管理框架、应急管理与灾难恢复。
信息安全管理
信息安全是指信息的保密性、完整性和可用性的保持。
所谓信息安全治理,是指最高管理层用来监督管理层在信息安全战略上的过程、架构及业务的关系,以确保信息安全战略与组织的业务目标一致。
风险管理
很多组织及其管理者似乎总是缺少适当方法来应对信息技术风险。首先,是没有广泛地考虑风险;其次,没有工具去发现风险;第三,缺乏一套恰当的流程指引来处置风险;第四,未定义清晰风险生命周期及风险层级;第五,缺乏风险识别的氛围、意识及能力。
对于风险,要认清以下几点:
- 你只有认识它,才能打败它
- 没有风险,就没有收获
- 没有痛苦,就没有财富
- 风险的另一面是机会
资产管理
- 所谓信息资产,是指一种在资产负债表之外,经过逐渐积累的,可以被用来提升机构竞争优势的信息。
4.6.3 资源
资源管理的主要功能是确保用户对组织的应用系统和基础设施都有良好的理解和应用,优化IT投资、IT资源(人、应用系统、信息、基础设施)的分配,做好人员的培训、发展计划,以满足组织的业务需求。