爱华网相信圈子内的人都感觉到,IT复苏了,电信复苏了,互联网也复苏了,而与过去不一样的是,人们越来越分不清楚IT与电信的界限,我们现在更乐于用“通信”来代替“电信”,而传统的电信业本身,也在经历着IT技术的洗礼。ITGov中国IT治理研究中心主任孙强认为在这样的大背景下,我们要以科学的信息化发展观为指导,构建善治IT治理机制。 我们先一起回顾一下我们是怎么开始IT治理方面的研究推广工作的,因为在三年前我们即认为IT的问题不再是一个技术问题而是一个管理和治理的问题。在这种理念的指导下,我们放眼全球,发现在国际上出现了一些新的战略动向,从制度、动向、战略、规范的决度,看IT产业整个的定位、作用和价值。今天我们对IT的定位和作用有了一些基本的看法,我们认为IT是一个工具,但不是一个万能的工具,不是改变你管理流程、业务流程的万能工具,它仅仅是一个工具。我们说IT是业务战略的价值,IT的价值是可以提高效率、降低成本、扩大市场,现在重新看待它的功能,IT还可以给我们创造新的战略竞争机遇。我们看招商银行,有机会和四大国有银行平起平坐,其实是IT为他创造了一个新的战略竞争机遇。所以2002年我们提出了IT中国信息化治理的必由之路等一系列的核心理念。今年3月份在管理论坛上我们提出了科学信息化发展观的理念。身处IT行业的人都知道IT行业从来不缺少新概念和技术创新,但中国的信息化建设发展到这样一个阶段,我们需要的是管理创新、制度创新和技术创新并重以及对信息化的世界观的再认识。我们知道世界观决定方法论,决定人的思考模式。当前我国的信息产业正进入一个深化、整合、准型与创新的关键时刻,在这样一个关键时期是需要重新审视我们信息化的世界观的时候。因为我们在众多会议上发现行业用户的焦点问题是信息孤岛、投资效益不高等,在信息安全方面政府逐步重视,投资力度随之加大,安全技术持续飞速发展。可是今天我们越来越缺乏安全感,为什么会出现这样的情况?我们要调整我们的IT世界观。 所以我会从世界观谈到方法论(IT治理)再谈到辅助工具(关于IT治理的管理标准)。一些客户也跟我们谈到这点,他们做事情需要理论,有方法还需要有工具。在讲科学的信息化发展观之前我们都知道温家宝在省、部级干部培训班上提出要树立科学的发展观,我个人有一个看法,中国经济在近十五年的高速增长中,可能这种经济的发展是与社会的进步,能源的消耗、资源浪费为代价的,是与整个社会福利的让度为代价的。目前中国80%的人口看不起病,很多人的养老问题解决不了,这都是严重的社会问题,在十六大提出绿色GDP也是出于这种考虑。当年我们以GDP来树立的发展观今天看来也不是错的,但我们需要调整。因为以此发展下去,即使经济上去了,但换不回原本良好的环境。所以十六大提出要用科学的发展观,要用绿色GDP重新看待中国经济发展。信息化行业也是如此,信息化行业有一点可笑之处,几千万、几亿的项目也随处可见,这在思科这样的跨国公司也是少见的。思科从2000年到现在能影响整个全局的大项目一个都没有,他们都是拆成小项目,要在三个月内可以实施。科学的信息化发展观aihuau.com 我们从微观层面看,科学的信息化发展是以实现公司业务目标为中心、以高效益发展为前提,坚持协调发展与可持续发展,以促进人的全面发展为目的的信息化道路。这就要求企业在信息化过程中要正确处理信息化涉及的各利益方的关系、当前与长远、局部与全局、企业与成长环境的关系,以实现各方利益的最大化。 我们说科学的信息化发展观是关于信息化发展的本质、目的、内涵和要求的总体看法和根本观点。有什么样的信息化发展观,就会有什么样的信息化发展道路、发展模式和发展战略,就会对信息化发展的实践产生根本性、全局性的重大影响。 科学的信息化发展观的基本要求: IT治理是管理学的新概念,用于表述是否可以使政府采取有效的机制。昨天在中国铁通CTO的演讲中,提到中国关于电信行业的监管没有采取一种有效的机制。我大上周去安徽调研的时候,安徽省信息产业厅贺厅长也是这样说,他说现在我们信息产业厅不管通信行业,专门有通信管理局,所以整个全国开会的时候,各省厅长站一边,各通信管理局局长站一边。到地、市级又没有相应的机构的设置,所以在IT治理结构上是一种缺陷。再往上看,我国缺少一个高层领导机构,国信办只有协调职能,没有行政职能。所以用于描述企业或政府是否采用有效的机制,使得IT的应用能够完成组织赋予它的使命,同时平衡信息技术与过程的风险、确保实现组织的战略目标。信息风险在国内是被忽视的,其实信息化,由于信息化失败和内部疏漏导致企业倒闭的风险现在已上升为知道的风险。所以我们说信息化的风险是非常大的,所以我们也呼吁搞信息化的领导一定要对信息化的风险有一个正确的认识,风险不可能为零,永远存在,但我们要有一个正确的风险管理方法去管理。 IT治理的使命是保持IT与业务目标一致,推动业务发展、促使收益最大化,合理利用IT资源,适当管理与IT相关的风险。我们说IT治理可以驱动公司治理改善和定位的提升。我们从基础设施方面开始看,在刚刚结束的国资委召开的相关信息会议上,我们全部的主题都集中在信息化和创新上,我们很少谈到技术和基础设施。但我在做重点评论的时候,特别提了一下我们的那些MMS、OSS这些在管理层面的信息化应用一定要有一个从优秀到卓越的信息系统的基础设施做支撑。我们现在不在于技术问题,而是能源和基础设施的问题。我本人初期是在非常落后的基础设施上工作,但在人员、流程方面做得比较好,这套基础设施担负着整个华北的信息工程,大家想象一下光是北京一个机场的信息有多大?更何况还延伸到内蒙。包括国庆阅兵,在阅兵上,飞机飞到天安门广场上连1秒钟都没有差。就是这样一个八十年代建的系统在2000年还在用,2000年用的报幕系统是长城0520,就是这样一个系统保证了这样一个关键的任务,而且做得非常好。我当时为这种老的设备感到苦恼,那么如果我问各位你们愿意建一个新系统还是在由有老系统上做持续优化,搞技术的人都希望可以建一个新系统,厂商也在一直引领着我们向前看。国资委提出我们不是要一个多么大多么好的系统,我就是要现在能满足我的需求的系统,当然这是在长远框架中做。现在我们看到客户有了一些理智的需求。 总体来说现在运营商非常重视管理信息系统的建设向纵深层面发展,我们认为这是好事。但是像网通国际要开展国际业务必须要有一个世界级的业务做系统支撑,否则再先进的系统都会成为空中楼阁。有厂家认为IT体现在业务能力上,我们希望IT能在创新突破领域扮演一个角色。所以IT如果从黄色区域、蓝色区域进入白色区域是IT第二次革命性的演进,因为IT从第二层管理工具的手段,演变为影响全局的角色。IT可以给你创造新的战略机遇,这已有了一些案例。第二IT在公司管理层面上到底要发挥什么样的价值?安然事件之后纳斯达克和纽约证券交易所要求所有上市公司必须要透明自己的信息,网通也要上市,我给他们建议IT在透明监管具有一些优势,作为网通的CIO,你上市后要给所有的投资者提供一个什么样的IT工具?因为全球的投资者希望这个公司发展,但他需要一个IT工具使得他便于理解IT在网通业务中的作用,这里IT治理有一个非常重要的作用。
IT治理的核心问题首先IT战略目标必须与企业战略目标保持一致。第二是IT治理包括治理委员会、治理结构、治理流程和onmouseover=displayAd(3);onmouseout=hideAd(); onclick=linkClick(3);>企业文化等。这些治理流程正是像COBIT、ITIL这些流程体现出来的,IT治理可以使风险透明化,从而保证所有利益相关者的权益。 我们举一个善治的企业文化例子,要以客户为中心,透明、公开交流,伙伴关系。我们认为伙伴关系有两层含义,第一是IT部门和业务部门是伙伴关系,第二是IT和业务之间是伙伴关系。这也是IT与业务融合的下一个境界。授权与信任,流动的团队合作,增强的领导力,承担风险与责任,制度化与流程化。那么我们如何理解制度化?是让员工自己感觉我要这样去做,如果做不到这点,信息安全上的问题多出于这里,因为员工没有信息安全的文化和意识。IT治理的相关管理标准主要有COBIT、IT服务管理ISO/IEC17799、IT项目管理、信息系统工程监理。 在讲标准之前看IT部门是否能够从成本中心转变成利润中心,不超出预算并按时交付项目等等,即什么是实现商业价值所需要的IT资源,IT人员如何才能理解商业价值。其实这是现在在各行业普遍存在的问题,业务部门和IT部门间充满尖锐矛盾,IT人员不能够理解业务,业务部门快速变化业务,而IT人员不理解这种需求。信息系统审计是指根据公认的标准其指导规范对信息系统及其业务应用的效能、效率、安全性进行检测、评估和控制的过程,以完成组织的战略目标,同时最经济地使用。我们看信息系统审计与IT治理定义紧密相关,它们的目标都是完成组织战略目标。我们看信息系统审计的对象就可以理解,像数据中心维护、网络管理、变革管理都是审计的对象。 信息系统审计的使命是独立、客观地向高级管理层和董事会下审计委员会体工队公司内部控制环境的评价。我们曾指导过一家深圳的上市公司,去年证监会检查他们的工作,提出你们的信息系统开发工作内审部门是否审计过?内审部门不知道怎么审计,证监会要求他们整顿,今年上半年他们一直在整顿。证监会希望他的内审部门可以在信息化软件开发上对内部控制可以提供一些有价值的建议。 COBIT目前已成为国际上公认的IT管理与控制标准。该标准为IT的治理、安全与控制提供了一个一般适用的公认的标准,以辅助管理层进行IT治理。该标准体系已在世界一百多个国家的重要组织与企业中运用,指导这些组织有效利用信息资源,有效地管理与信息相关的风险。组织的战略目标在快速变化,IT本身也在快速发展,如果在两个快速发展中做精确标准是一个难题。COBIT标准每一个目标,都是面向你的业务目标,所以我们搞信息化做规划、做开发的过程往往很容易迷失方向。那么你有没有一套指标进行全程指导?COBIT恰好就是这样一个标准。这是COBIT四个域之间的关系,我们看从规划到开发到运营维护这恰好是一个信息系统的生命周期,在这个周期里监控是覆盖全部的,这是它与信息监理工程的区别,因为监理只是在IT开发阶段。 我们再看一下ITIL,它是IT服务管理事实上的国际标准,这套标准有望将来成为ISO体系的标准。ITIL作为一种以流程为基础、以客户为导向的IT服务管理指导框架,它摆脱了传统IT管理以技术管管理为焦点的弊端,实现了从技术管理到流程管理,再到服务管理的转化。我们一直说业务部门和技术部门有一道鸿沟,那么如何填平这个鸿沟?这里有七个模块,这来自美国商务部,把部委的应用总结出来形成了七本书。 ITIL的战术标准是让IT人员了解业务需求,让业务人员在做一个套餐的时候理解IT能力能否实现。我们看一下ITIL在战略层面的目标,我们分成四个项限,第一是技术超越业务、第二种情况是业务超越技术第三种情况是技术和业务未校准。我们希望达到技术与业务精确校准。这四种情况在IT业可能都是存在的。 我们看一下ISO/IEC17799标准,这是ISO历史上最快通过的一项标准,由此可以看出全球对信息安全的重视程度,这套标准目前在全球已发放了5000,目前中国有六个企业获得了这样的认证,但可以预计其认证速度会快餐提升,达到ISO9000那样的发展。 CIA之间就是机密性、可用性、完整性的平衡。在我们实际的使用中可能更多地重视了可用性、完整性。17799有十方面,包括安全方针、安全组织、资产分类与控制等等。我们讲这些是希望他们可以会集发达国家先进实务的基础上,以高点作为出发点,开始我们信息化的征程。 PRINCE2是企业级的管理方法,现在很多用户部门把需求提到了一把手那里,一把手签字,最后导致IT五部门很多项目要上,但是如何看这些项目的优先级?怎么样从企业战略业务目标的高度上衡量这件事?就是说有没有一个项目管理的方法是面向于企业业务战略目标的?所以我们所熟悉的关于PM项目管理的支持体系面向的都是技术层面的项目管理工程师。PRINCE2现在我们和管理层进行沟通的语言。 信息系统工程监理在信息系统工程监理方面比较受到认可。总结起来就是三控(质量、进度、投资控制)两管(合同、信息)一协调(全面协调)通用。 我们看一下COBIT,从分析&设计到开发&实施到运营、维护。我们看分析&设计,重点目标是IT与业务的需求,根据业务目标细化IT战略,确定待开放的IT系统,进行相应的系统分析和设计。我们应该注意到在分析与设计这样一个流程范围中,比我们传统所说的信息系统的分析与设计要宽广得多,它强调的是IT的战略要符合业务的战略,任何信息系统的开发都应该与业务战略保持精确的校准。从业务战略的高度来分析和设计信息系统。提供这个阶段主要是考察组织的需求,同时根据这些需求设计合理的资源组合,设立合理的服务级别、目标,提供满足客户需求的IT服务。这个阶段对IT应用已上升到IT服务管理的阶段。主要解决下面的问题,为满足客户的需要提供哪些资源,这些资源之间的成本是多少,如何在服务成本和服务的效益间达到一个恰当的平衡点。在支持这个层面,主要是如何满足客户提出的IT需求,以支持服务的需求。我们看COBIT上层是对IT运行进行外部控制和内部审计,以确保IT与业务实现精确校准,同时实现对IT应用持续不断的应用和改进。COBIT覆盖整个信息系统的全部生命周期,其视野是最为开阔的。17799这套管理确保IT应用过程的信息安全。信息系统工程监理也是在开发和实施阶段,ITIL这套标准优势是在运营维护阶段。可能会和COBIT、17799一起整合实施。 讲到这里我们看关于信息化建设是否会有新的道路?这条道路首先通过世界上IT管理的最佳实践设计我们的远景目标,然后进行测评与自我评估,看IT与业务融合状况进行一致性评估再设计符合信息化的方案。再下一步是进行onmouseover=displayAd(1);onmouseout=hideAd(); onclick=linkClick(1);>绩效度量,看是否已达到我们的目标了。我们现在在很多时候除非只有一些大的行业用户在做愿景,很多时候我们的计划是在方案开始的,并且没有度量这样的工作。我们从IT治理的视角对企业信息化提一些整体建议。跟网通的老总在聊的时候,他说在摩托罗拉用了五、六年的东西拿到现在国有企业去看还感觉太先进了,所以我们要转变观念。管理难于技术,业务重于IT,不要为信息化而信息化,要结合战略、支持管理创新和流程变革。用户现在也能越来越理性地看待信息化。 我们对信息化整体的看法是以前的问题把目光聚焦在IT上,现在我们希望通过公司的变革和组织流程的再造,把信息化放在这样的过程中实施信息化,这样我们的焦点就在于如何进行公司的核心,如何进行流程再造。可能需要我们的管理层给出一些配套的措施、制度和相应的政策。我想这可能是信息化建设的好的思路。 (本文根据IT与电信发展高峰论坛中ITGov中国IT治理研究中心主任孙强的讲话整理而成)
