IT治理之3P模型:人员、投资组合和流程

日期: 2011-09-19 作者:Bop Sandrino-Arndt 来源:TechTarget中国 英文

  十年前,信息技术只是处于支撑的功能,是组织众多功能中分散开来的一支。今天,信息技术是很多公司的关键成功因素之一,同时在二十一世纪已经成为组织的核心。

  信息技术的管理功能,在许多组织内被视为一项挑战和复杂的任务之一。信息技术的功能总是要求迅速的改变,并且又有多样化的需求。组织的需求经常在改变,同时系统一但上线以后,还要维持适当的运作。信息技术的建立包括现有设备及未来技术的投资,这也就是信息技术不能被明确地预测结果的原因。

  因此,今天的企业不能再把信息技术当作是基础设施而已,而需要用系统化的方式专门管理信息技术,并且持续的制定决策以确保信息功能是符合需求的。另一方面,信息功能是独立于组织内其他的功能(如财务、会计),必须加以管理以便产生企业最佳的价值。

  除了这些来自内部的驱动,近期的一些立法行动,例如美国健康保险以及SOX等,都增加了企业内部法律遵循和风险管理的需求。尤其是在信息部门,这无疑是增加了信息部门主管的压力,需要制定业务规范以及管理机制,以便拥有较好的信息管理功能,然而该如何做呢?

  当IT治理被视为信息业务能够有效的达成企业目标的关键成功因素的同时,但对于很多企业而言,如何介绍并且建立IT治理仍然是一个很大的挑战。

  本篇文章将定义IT治理并解释IT治理与其他公司治理的关系,这个关联性将会影响IT治理的建立。我们将会利用3P的模型做为建立IT治理的参考。

  IT治理的定义

  IT治理最简单的定义,就是管理信息的功能,利用一套正式的规则及非正式的惯例来治理信息。这些规则和惯例决定信息投资是如何决定的、决策如何被执行以及监控、决策的结果是如何被衡量的,决策的能力如何被运用,以及做决策的人如何负起应负的责任。

  对于IT治理比较正式的定义,以下是一些参考:

  • IT治理是董事会及高阶主管的一种责任,包括了领导能力、组织架构和流程,以确保整个信息业务有符合组织的策略及目标。
  • IT治理是董事会、高阶主管用以控制信息策略,以确保企业和信息相结合的一种能力。
  • IT治理是组织有系统的指导并控制信息。IT治理描述在不同利害关系人间,信息决策的过程及责任。这些规则和程序协助制订及监控信息策略。

  虽然这些定义在某些方面不同,但是他们都强调将驱动建立模型的发展,以达到有效的IT治理实施的两个中心概念:谁能做出决定(决策权)和如何形成决策(流程/程序)。

  IT治理是整个企业治理的一部分

  IT治理的功能,就像企业其他的治理一样(如财务或人力资源),是直接且强而有力的連结整个企业的治理。因此,定义治理并且了解彼此间的关联性及依赖性,会是建立IT治理时重要的一环。

  Chartered Institute of Management Accountants(CIMA)参照 ISACF(Information Systems Audit and Control Foundation)(如今称为IT治理协会),定义企业治理为:董事会和高阶管理阶层用来提供策略决定、确保目标达成以及风险管理之一系列责任与实务运作,以确保企业的资源被合理使用。

  企业治理包含了整个组织的管理框架,主要有两个面向,分别是一致性及效能,这两者需要彼此间的平衡。

  • 一致性(也称为公司治理) – 包括的议题有治理架构和责任的分派,关注于确保法律和责任义务的一致性和控制。
  • 效能性(也称为业务治理) – 包括策略定义和价值创造,关注于协助董事会制定策略,并且了解组织承担风险的意愿及主要关键效能的驱动者。

  公司治理和业务治理包含了不同的功能(包括 IT),信息的功能既然也是整体公司治理的一部分,也就不能独立于企业的功能(如财务、人力资源、会计及市场)之外,因此IT治理在管理面和使用信息科技以达到组织的目标方面,必须反映出董事会企业治理的原则。

  设计IT治理的关键问题 

  IT治理可以被视为架构、流程和机制的整合使用。当为组织设计IT治理时,很重要的一件事必须要注意的,那就是IT治理必须要考量内部及外部等多种有时会冲突的因素,因此要达到IT治理的有效性,在整合前后关系和组织特性时,应该要平衡整个企业的治理。三个有关IT治理的问题必须要设计在IT治理的模型中。

  • 谁应该决定信息技术有关的投资(决策权和架构)?  
  • 如何决定主要的决策,决策过程如何执行监控并且衡量决策的结果(流程和机制)。
  • 什么样的信息资产需要被治理(信息投资组合) ?

  从信息功能的观点来看企业治理,当前面两个问题包含责任及价值创造时,第三个问题所强调的内容就和IT治理有关,包含了辨别信息资产(如 架构、应用系统、专桉),如此一来便会将焦点放在IT治理上面。

  如同前面所描述,决定架构、流程和机制的正确组合是复杂的。在这方面,IT治理的参考模型能提供极大的帮助,以便在建立组织内部IT治理相关业务时,能设定一个框架。 

  参考模型的主要目的,在于提供一个一般性的方法,来处理建立IT治理时的主要问题,如图2所示。更进一步,则提供了选择及定义组织全面性治理的基础及要素。如图三所示的3P模型,就是这样一个参考模型。

  对于前面所提到影响IT治理建立的3个问题(谁、如何、什么)来说,这个模型提供了特定内容的要素。依赖从三个不同的面向(人员、投资组合和流程),模型提供了核心元件(流程、架构、关注领域)设定的一般性治理框架。

  人员观点 

  在试图设计一套治理框架中,第一步就要确定谁做了决定以及谁应该对这些决定加以负责。从这方面,就必须要去探讨信息组织的架构,目的在于定义IT治理的主体时,必须要平衡现有的信息架构。进一步而言,是要确保与主要的利害关系人及参与的团体持续有效的沟通。因此从人员的观点,必须要整合现有的沟通机制,以及决策制定的程序。

  关键的成功因素在于透过信息的功能,明确并且整合现有决策制定的过程。一但信息组织被定义了,接下来就是参考图 所标示的,选取其中的一种方式,以便决定信息投资的决策过程。

  企业决策-这一类的决策过程,是将决策过程集中在一个信息组织,资深的高阶管理阶层或是一组的高阶管理人员,包括信息技术长,都是委员会或信息投资委员会的成员,它们决定所有与企业中和信息有关的各项决策。

  信息决策-在信息决策中,与信息有关的决策是独立出来的,有一个专门的信息高阶主管或是有信息决策委员会(没有业务代表)。信息决策大部分是考量信息架构或基础建设的决定,最常使用建立信息决策做为治理架构的,就是信息决策小组或是架构覆核委员会。

  联邦制-所谓联邦制就是把信息架构包含在执行阶层及业务代表内,并且运作信息部门有关的决策。

  信息垄断-这是由信息的高阶主管,以及业务代表为成员,进而决定与信息有关的议题,通常是由IT治理委员会及信息策略委员会所组成。

  无政府状态-这种是最分散的架构,每一个别的使用者,或是小单位各自依照需求来做成决议。这种模式是当个别的客户有快速变动时才会需要。

  投资组合观点 

  一旦有适当的组织架构以便与信息投资有关决策能被制定,一家公司就必须关注于信息资产的治理。因为这个目的,所以从投资组合的观点,参考的模型将会有以下的步骤:

  1.鉴别IT治理的内容-第一步要做的,就是清楚的定义并且明确会影响IT治理组合管理的元素(包括应用系统、架构、服务以及专桉)。因此所有信息资产可以逐步的开始进入IT治理的范围内。有些资产会比以往更加重视,端赖进入到IT治理的内容。举例而言,改进信息技术对企业价值的贡献,如此将会关注在专桉的有效性。当专桉开始有成效之后,将会减少现有应用系统操作的成本。

  2.架构信息资产投资组合-实务业务上,订立IT治理所关注的目标是最具有挑战性的,这是导因于信息资产分类的成熟度很低。从这样的角度,组合是要平衡现有信息资产的财务内容,这将使信息资产更佳关注于IT治理上。

  流程观点 

  从人员和投资组合的观点,设定谁有权能做出决策,以及哪些领域是需要治理的。从流程的观点,则是如何设计治理的流程,以便能让信息技术的使用,可以达到理想状态,同时确保能将结果持续在组织内沟通。虽然从人员和投资组合的观点,参考使用的模型是强烈的依赖组织内部的文化上,但是从流程的角度,仍然有六个关键步骤,藉此用来设计IT治理的流程:成熟度评估-在设计IT治理流程时的第一步,就是衡量现行组织实际现况,和业务流程的成熟度,也就是利用成熟度模型。无论是使用IT治理协会或是Luftmann 的信息成熟度模型,都可以来探究现行组织成熟度的状态,发现目前状态与理想状态间的差异,就可以往理想状态迈进。这些是后续设计IT治理模型的基础。

  策略结合- 基本上来说,IT治理的目的就是要将信息的功能与企业相連接,所以就必须要结合企业策略。最佳实务就是利用平衡计分卡,藉以设计IT治理的业务流程,另外也可以使用投资核准流程或是 COBIT 对应目标来执行。

  服务管理-服务管理的机制强调信息技术与客户之间的关系,主要包括信息服务提供和信息需求管理。信息服务管理包括定义服务水准协议(Service Level Management),或是服务水准协议(Service Level Agreement)的制订,目的是要将信息服务定义出双方都可以接受,同时可以追踪的量化指标,ITIL(Information Technology Infrastructure Library)是一个设计框架很好的工具。

  风险管理-如果没有适当的风险管理,策略就不能有效的结合,策略结合的机制强调价值的建立,而风险管理则是强调保护现有价值。由于越来越多的组织,是把价值建构在信息技术上,因此风险与信息技术必须要成功的整合,相对组织而言也较越加的成功,依据风险等级定义出风险管理框架,以及业务风险管理框架。

  绩效管理- 在谈绩效管理之前,一定要谈到测量。在这方面,持续的衡量IT治理的决策和执行是一件很重要的事。透过绩效管理的机制,就可以明确所参考的模型中,所强调的流程远景结果,以便在整个组织交流的过程中,进行监控与测量的重要性,最经常使用到的就是 Val IT的架构。  

  沟通/ 关系机制-在大型企业中,造成IT治理最大的绊脚石,就是缺乏明确决策制定的过程是如何制订的?那些流程需要被定义?又有那些是想要达到的状态。进一步来说,企业内有些小的信息需求,但这却和利害关系人间有着巨大的关系,这时就必须要透过IT治理才可以得到效益。企业与信息人员之间,藉由双向的沟通以及良好的观察,以便能发挥更大的效果。要注意这不是一步就可以达成的,需要透过前面三个观点所参考的模型做为基础。沟通和关系的机制是为了平衡需求管理、人员轮调、交叉训练,以及 CIO及IT治理办公室间定期的沟通。

  当大型组织中,已经不再强调哪些人和如何去做IT治理时,那么流程就已经变成关键的项目之一。尤其是对流程成熟度较低的企业,同时 3P模型也提供了一个替代性的纲要。因此3P模式藉由3种不同的观点,很容易被选为IT治理建立时的核心元件。

  结论 

  IT治理在企业治理中如果要能成为主要的成功因素,取决于IT治理能否有效的建立,并且了解IT治理和企业治理间的关联性是有必要的。同时,在设计IT治理的框架时,须将关键问题在建立时一并考虑。有越来越多建立IT治理框架的最佳实务经验被提出来供大家参考,如何针对企业所需要特定的IT治理而加以建立,这样的经验还是相对较为缺乏。3P模型可以通过四个主要步骤来缩短之间的差异:

·针对现有治理的架构,辨别IT治理主要驱动的项目,并且辨别成熟度。

·当建立IT治理有关的委员会时,需要平衡一下现行其他的委员会。

·将IT治理的驱动因素,放在IT治理主要关注的区域。

·在关键的地方选择适当的机制。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • 影子IT攻坚战 CIO还要学会更多

    企业高层们正在努力研究如何应对影子IT时代,IT转型领导者PA咨询公司精益生产专家Derek Lonsdale认为,为了减少影子技术的使用,尽量缩小由此造成的扰动,集中式IT部门有三项主要任务。找出这些任务,并收听解决这些问题的建议。  

  • 专家:有多少云计算风险可以避免?

    IT服务供应商CDW公司的云技术专家Stephen Braat,日前分享了他对于云计算风险管理的看法。

  • CIO如何构建云服务管理框架?

    云风险管理最重要的不在于云服务提供商本身,而是大企业缺乏一种针对云计算的统一框架。诸如数据隐私和安全等技术相关的云计算风险本身就处于快速的变化中,即使技术本身也因服务或提供商的不同而存在显著区别。

  • 不能忽视的工作场合隐私保护

    一个机构又该如何平衡保护个人隐私与满足某种调查目的而需要查看个人隐私之间的关系呢?TechTarget 执行编辑Linda Tucci将为我们带来她的见解。