IT治理似乎已经不是一个新名词了,至少在广泛流行的IT专业媒体上。但是到目前为止,又有多少企业在真正进行IT治理呢?而对于管理方法和体制都非企业化的政府部门,他们是否又需要IT治理呢?
IT治理带来的变化
IT治理并不是什么新概念。在美国对上市公司宣布塞班斯法案的时候,上市公司都开始纷纷重视IT治理来。而IT治理这个理念,现在对于我们的现状来说,也是有非常大的帮助意义的。在采访庄丽娟的时候,她结合自己多年的经验,从一个专家的角度提出了建议:“如果想做IT治理,一个很重要的前提条件,是通过明确的专业化分工和合作,比如一种流程化的方法去做这个工作。”
这种专业化分工和合作,就意味者组织从工作职责和工作内容上都会发生变化。庄丽娟认为IT治理主要会带来三个方面的变化。这些变化的首先表现,也是最关键的部分就是职权分离。通过职责和权力的分离来有效遏制,比如权利的过度集中,腐败等情况。而在进行职权分离之前,还需要做的工作就是对岗位职责进行定义,然后用流程的方式将这些岗位进行串联。对政府部门而言,面对这样的变化,原来条块分割的行政体制会受到很大挑战。
第二个变化表现在财务方面。因为在流程化和岗位职责被严格定义的前提下,内部的任何一种工作都需要时间、财力和资源。这些投入就是对财务方面的影响。庄丽娟举了一些国外上市企业在面对塞班斯法案进行IT治理时的财务投入,这些企业的平均投入是3000万美元。中国有一个庞大的人口基数,中国的大型企业和机关的规模令全世界惊叹,这就决定了中国的企业和政府机关进行IT治理的财务投入应该不是小数。
第三个变化,庄丽娟认为是管理本身。管理方面存在效率和安全的平衡问题。在没有控制、没有流程的情况下,可能效率会很高,但这也会带来高的管理风险。IT治理在将一些流程和管理职责清晰化以后,伴随而来的就是一段时间内,特别是刚开始的时候,效率很可能会降低,但却有效地控制了风险。庄丽娟表示在政府的一些直属部门,需要直接对全国31个省、市、自治区以及计划单列市进行管理,其对安全性的追求将远远超过效率本身。这就需要通过效率和安全的平衡去带动管理上的提升。
IT治理的挑战
虽然IT治理这个概念已经有很长时间了,但任何组织,尤其是政府部门要实行IT治理,挑战很大。庄丽娟认为,“第一个最大的挑战就是来自理论体系上的挑战。到底什么是IT治理?这里面应该包含哪些东西?”
IT治理首先要知道目标,因为IT战略目标是和业务相结合的。如果业务发展方向上没有这样的要求,也就没有了控制的必要。目标和流程一定是要进行对应和匹配的。然后才是根据这样的流程去分配组织内部的人、财、物,以及其他相关资源,定义相关的职责,明确决策人。庄丽娟举例说,国内的IT采购过程中,一般会采取价低者中标的策略,但IT本身是以技术为基础的,这样的策略难免会产生下面的结果:IT成本似乎被有效控制了,但价低者中标导致项目从采购环节就已经决定了项目定义的深度和广度,这种情况下项目延期或者超预算就也没什么奇怪的了。
“第二个挑战就是经验问题。”庄丽娟认为并不是在别人那里好用的东西就一定适合自己,毕竟每个组织都有自己的成长背景和现状。但“他山之石,可以攻玉”,有些东西是需要以往的经验来总结的,帮助组织避免走弯路,同时也帮助判断哪些是需要重点考虑的,比较IT治理是一个庞大的体系。这是经验方面的挑战。
庄丽娟认为IT治理的第三个挑战来自现有的组织机构和职责的定义。事实上,这也是中国政府部门遇到的比较大的挑战。机关的文化、习惯和思维模式将对IT治理的权利分配带来巨大的阻力。庄丽娟表示目前中国政府和企业内部还没有建立起明确的CIO机制,这是一个导致IT治理难以进行的非常关键的原因。IT治理成功要素
事实上,IT治理无论在政府还是企业中实施,都不是一朝一夕的过程。庄丽娟结合自己的体会,认为进行IT治理成功的关键是需要有法必依。在进行IT治理的时候,庄丽娟建议第一要抓住重点。因为IT治理的体系庞大,不可能在短时间内彻底理解和吸收,那么就需要专业人士和客户一起分析判断,知道目前的IT治理是在技术层面还是管理层面?庄丽娟特别强调即使是一样的重点,但在不同的节点,不同组织也会有差异。在管理层面上,常常遇到的情形是虽然有了合理的管理制度,但却不能遵照执行,尤其是领导不带头遵照执行。此外在管理层面上,庄丽娟特别指出了“IT阴影”的现象,就是组织中一些有钱的部门愿意脱离IT的整体框架控制,这样就需要强有力的领导推进。
对于IT成功的第二个关键,庄丽娟总结为持续改进。随着时代的进步,人们对一种事物的认识越来越丰富,以及不同事物之间的关联性越来越大,IT治理也需要与时俱进。比如,新的业务模式出现,对以往的管理和支撑模式都会带来冲击,这也就意味着IT治理需要有改进。
IT治理缺位的风险
随着现在电子政务项目的规模越来越大,关联的部门和资源越来越多,如果组织内部没有IT治理的架构和意识,庄丽娟认为将会带来直接风险和间接风险。直接风险的表现多在项目的延期上。这样的延期所带来的直接后果不仅是财务方面的更多投入,还有就是项目的质量大打折扣。
间接风险比如表现在管理方面的风险。如果在设计的时候,设计方没有告诉委托方,那委托方就不会清楚怎么去控制,以及需要控制哪些方面。失去控制以后,管理风险无疑加大。此外还有一些安全防范的事件,比如员工离职以后,如何控制已经离职员工的避免恶意访问等。
随着政府部门对安全方面的要求越来越高,对管理控制的要求也在逐步提高。这些也是推动组织内部进行IT治理的管理需求。
庄丽娟认为HP多年的经验已经在IT治理上积累了一些方法论和经验,也有很多与IT相关的基础架构的框架。在和客户充分交流以后,也会客户在IT治理方面进行评估,帮助客户一起找到IT治理的突破口。庄丽娟感觉目前政府部门在IT治理方面,在技术层面的治理比较容易,而涉及到管理层面,由于文化的问题,会有一些阻力。在管理层面采用渐进式的改革,也许是政府部门实现IT治理风险最低的方法。