感受中国企业的IT治理之道

感受中国企业的IT治理之道――行业信息化读书报告（三）（2011年10月28日）江西中烟井冈山卷烟厂罗余作近年来，IT治理成为一个热门话题，但相关的理论研究却相对滞后，既没有完整的理论体系，更缺乏有效指导中国企业实践的框架。作为一本全面阐述IT治理理念与实践的图书，《中国企业的IT治理之道》从国际视野整合中国智慧指导信息化实践角度，构建了一套以企业架构（EA）为核心的IT治理框架，提出了IT治理的三大支柱：决策、激励、控制，并进一步梳理了IT治理的十大基本流程体系。《中国企业的IT治理之道》理论与实践俱备，方法与案例并重，在明晰理念的同时为IT治理在企业落地提供了切实的指导。我作为一名奋战在企业信息化一线的工作者，有幸读到《中国企业的IT治理之道》这本书，书中丰富的内容和精彩演绎的图表案例让我受益匪浅。在通读笔记、触类旁通加以思考后，完成了我的此篇读书报告。我的读书报告分两部分：第一部分是读书笔记；第二部分是读书心得体会；第三部分是读书附评；第二部分是读书参考书目。一、读书笔记1、书名：《中国企业的IT治理之道》2、作者：王仰富刘继承3、出版社：清华大学出版社4、出版时间：2010年3月5、内容概要：《中国企业的IT治理之道》以哲学家罗尔斯的“分粥理论”这样一个简单而寓意深刻的故事开篇，认为世间的问题，极复杂的事情都可以用极简单的事例来说明。IT治理也是如此，对于什么是IT治理，什么样的治理才是最优的，如何构建最适合企业的IT治理机构，作者在总结分析企业界开展的有益探索和产生的优秀成果基础上，针对我国的IT治理与IT管控的相关理论严重滞后，大家对IT治理概念的理解迥然不同，而目前政府部门、监管部门、学术界以及行业用户在内的各界又十分关注国内的理论研究需要一套完整、可行的IT治理理论体系以指导实践，这本书正是在这样的背景下应用而出。该书构建了一套以企业架构为核心的IT治理体系，认为IT治理有十大基本流程体系，这十大流程体系可以归纳为三大类：决策、激励、控制，这是IT治理的三大支柱。该书就围绕这三大支柱展开，全书共分为四篇13章。第一篇构建IT治理的基本框架，包括3章：其中第1章介绍IT治理的基本概念，为全书奠定一个理论基础；第2章介绍目前国际上主流的IT治理标准和最佳实践；第3章是本书的总括，整理了IT治理的整体框架。第二篇是决策，包括第4、5两章：第4章介绍了基于企业架构的IT决策体系；第5章介绍了IT投资决策的基本流程与制度。第三篇是激励，包括第6、7两章：第6章论述了IT部门的模式；第7章是IT绩效评估与IT人员的激励。第四篇是控制，包括8~13共6章，依次介绍IT内部控制、IT项目治理、IT运维治理、信息安全治理、IT供应商治理、信息系统审计等内容。这些内容共同构建了一个符合中国企业实际需求的IT治理框架和内容体系。6、阅读札记什么是IT治理，业界一直存在不同的理解。该书详细梳理了IT治理概念，从决策、激励与控制三个层面，对IT治理进行了全面阐述，并特别强调决策是IT治理的关键，对于我国企业IT治理体系设计与信息化实践具有很强的指导性。如何把国际IT治理相关标准与我国企业实际相结合，构建出符合我国实际、可执行的IT治理体系，是影响我国企业信息化进一步提升的关键问题之一，该书在这方面进行了系统的探索，并第一次建立了一个完整的框架。治理的目的是创造出一个符合组织发展的秩序，IT治理亦已经成为秩序之源。关于这个方面的实务探索，在这本书出版之前，我曾经在赛迪网和过去中国计算机用户杂志以及IT经理人俱乐部等媒体看到并参与讨论过零散的文章，现在好了，《中国企业的IT治理之道》这本书全面系统地阐述了IT治理的体系与方法，它的出版可以让更多的组织受益。IT治理：在IT应用过程中，为鼓励期望行为而明确的决策权归属和责任担当框架。明晰的期望行为是有效治理的关键。研究IT治理，须将其放在组织背景中，将其看作是必须通过治理而产生价值地六种关键资产（人力、财务、实物、知识产权、IT、关系）之一。治理与管理的差别：治理是决定由谁来决策；管理是制定和执行这些决策的过程。有效的IT治理必须解决3个方面的问题：为了保证有效地管理和使用IT，应当做出怎样的决策？谁来做出这些决策？如何做出这些决策以及如何监控这些决策？一流业绩企业关注于企业相互竞争的内部力量，在设计其治理结构时与其优势绩效测评指标（如成长率、资产回报率等）相结合，从而协调业务目标、治理途径、治理机制以及绩效目标和指标等。积极地采用各种手段从IT中找寻价值：一是明确业务战略以及IT在实现这些战略中地重要作用；二是衡量和管理对IT的所有支出以及由IT而获得的所有收益；三是依据组织变革的需要划分责任，以充分利用新的IT能力；四是从每次实践中学习，使自己更善于共享和重复利用IT资产。二、读书心得体会读完《中国企业的IT治理之道》这本书后，我对企业的IT治理之道有了更进一步的理解，感受当中，也滋生了我的一些感想和体会。1、分粥效应得到的启示。分粥理论告诉我们：制度至关重要，制度是人选择的，是交易的结果。制度不同，结果大相径庭。制度是什么？经济学家诺斯认为，制度是一个社会的游戏规则。或者更规范地说，制度是构建人类相互行为的人为设定的约束。大到整个社会，小到一个企业之中，人们追求自身利益的行为常常是相互牵制乃至相互冲突的。如果只有行为主体的功利性计算，就会出现好事没人做，坏事人人争先的结局。为了协调人们之间的利益冲突，维持集体的生存和社会的秩序，人们无时不需要用制度去规范个体的行为。那么，究竟什么样的制度才是好制度？好制度的标准又是什么？从上面的分粥过程来看，第五种分粥制度是好制度，其原因是它与前四个制度相比，显得既公平又有效。而前四个制度，要么是如第一和第三个制度，有效率而无公平；要么是如第四个制度，有公平而无效率；要么是如第二个制度，既无公平又无效率。由此可知，有效、公平就是好制度应具备的两个基本特征。那么好的制度由何而来？故事中，7个人组成的小团体，在尝试了制度一、制度二、制度三、制度四之后，终于找到了一种好的制度五。一个重要前提，在于这是一个民主团体，他们对分粥中的不公平能够议论、表达不满，且对于如何改进能够发表意见、民主协商。试设想在一个权力集中的组织中，一个专权跋扈的领导者把握了绝对的权力，分粥者由他指定，不管粥分得多么不公平（当然决不会亏待有权者）也不准提意见，谁胆敢提意见就会遭到打击报复。这样，富有激励作用且公平高效的机制就永远不会产生，组织也可能长期锁定在一种无效率的状态中，忍受低效率和停滞。更根本、更基础的制约因素是体制。好的体制是好的机制产生的前提。实际上，在有缺陷的体制下，即使仿效先进体制建立好的机制，也往往不能得到有效遵循而在执行中走样。在企业中，这种体制主要表现为公司治理结构。公司治理是指有关公司控制权或剩余索取权分配的一整套法律、文化和制度性安排，这些安排决定公司的目标，谁拥有公司，如何控制公司，风险和收益如何在公司的一系列组成人员，包括股东、债权人、职工、用户、供应商以及公司所有的部门之间分配等一系列问题。这些安排决定了公司的目标、行为，决定了在公司利益相关者中在什么状态下由谁来实施控制，如何控制，风险和收益如何分配等有关公司生存和发展的一系列重大问题。它是公司具体管理、分配机制形成的背景平台。具体到信息化建设来说，制度也是决定成败的重要因素。目前，不少单位拥有与其国际竞争对手一样的系统、软件，甚至技术和设备强于对方，所以单从技术的成熟性和先进性而言，整体应用水平不低，但是为什么就没有对方做得好呢?其实原因很简单，IT仅仅是个工具，并且这个工具并不是改善管理、业务流程、商业实践的万能工具，和其他工具一样，必须通过有效的应用才能体现价值。而要想让IT得到有效应用，并让IT系统绩效最优，最根本的不取决于信息技术和设备的先进与否，而是由制度安排的优劣、治理水平的高低决定的。这就引出一个IT治理的话题。2、书本知识触动的思考。企业IT治理必须建立IT治理机制，建立IT治理机制是一个动态的过程。IT治理是机制的集合，更是治理主体间互动的过程，全球治理委员会的定义指出：“治理不是一整套规则，也不是一种活动，而是一个过程”，所以IT治理是一个“过程”，是公司与所有利益相关者的互动过程，包括在制定公司长远IT发展战略决策中这些“规则”上的互动，另外，环境的动态性也决定了IT治理的动态性。IT治理是一个系统的过程。IT治理是控制、指导、协调组织战略目标和IT目标的系统，是IT治理主体、客体、IT治理结构、IT治理机制的总称，是内部IT治理、外部IT治理的融合，是IT治理方法、过程、目标与结果的统称，是为了实现IT治理目标所有制度安排与机制的集合。IT治理系统的目标是提供IT决策机制的科学化、决策过程的协调交互性和决策结果的创新性。首先需要转变观念。拿着IT这样的现代武器，管理者却依旧是满脑袋的传统观念，结果可想而知，因此首先需要转变观念。在最高管理层（董事会）树立和维护IT战略地位的思想认识，建立企业战略与IT战略的互动观念，阐明IT应担当的角色，从业务的视角创造信息技术指导原则，如信息化规划本质上可以定位成从业务战略到信息战略的实现。从组织的战略出发而不是从系统的需求出发，可以避免脱离目标而进行建设的困境。从业务的变革出发而不是从技术的变革出发，有利于充分利用组织的现有资源来满足关键需求，从而避免建设的信息系统无法有效地支持组织的决策。又如利用电子商务消除时间和空间得特性，发展与全球客户的关系，能够引导巩固客户数据库和订单处理过程。改善外部环境。目前我国外部市场监控机制尚不健全，公司治理结构中的监控职能被严重削弱，并使董事会失去监督。另一方面，风险管理意识淡薄，安全上采用纯粹技术手段解决。可想而知，缺乏优良公司治理和IT治理机制是一些国内企业与金融机构无法抵御全球经济低靡和无法适应市场环境快速变化的重要原因之一。因此，加强IT治理实质上是一个政府和企业机构必须携手面对的问题。政府必须扮演一个重要的推动角色，并且尤其需要强调的是政府制定规则比较合理的方法是通过听证会或知情会上下协商、交互式地制定规则（非自上而下制定规则的方法，新制式车牌的暂停发放就是没有善治的案例），这样才能解决规则的充分合法性、可执行性问题，“治理不是一种正式的制度，而是持续的互动”（《我们的全球伙伴关系》）；鉴于全球化和信息技术得无国界性，尽管在公司治理模式上有英美模式、德日模式、东亚和东南亚模式，但在IT治理上有更大趋同性的发展趋势，因此，从治理（Governance）的角度企业应该采用合乎国际标准的IT治理方法，以促进公司治理、IT治理和经营管理的协调发展。值得一提的是：组织采行优良IT治理机制的行动，将减轻政府部门在制订国民经济和社会信息化中所扮演的角色责任。逐步试行建立IT治理委员会。IT治理委员会与IT审计师是IT治理最重要得环节。IT治理委员会由组织的最高管理层（董事会）及管理执行层包括IT管理和业务管理有关部门负责人、管理技术人员组成，定期召开会议，就企业战略与IT战略的驱动与设置等议题进行讨论并做出决策，为组织IT管理提供导向与支持，把IT治理的相关规范融入到组织的内部控制中。对于规模较大的组织，一项IT（如安全）控制活动需要多个部门的共同参与才能得以实现，为能迅速解决控制过程出现的问题，防止内部互相推诿的现象发生，提高工作效率，需组成一个跨部门的IT治理委员会，加强全局的管理与流程执行的纪律，解决诸如信息安全事故的调查与处理等一些实际的问题，这是进行IT管理内部协调的很好的办法。最近，美国联邦政府公布了由关键基础设施委员会（CIPB）制订的保障网络安全计划——《国家保障网络安全策略》。根据该计划，美国政府将在网络安全中发挥主导作用，同时会要求所有用户采取措施，其中该文件要求上市公司发布经过独立审计的安全报告，建议公司成立公司安全委员会等。由此可见，美国的IT治理机制已深入发展到建立安全治理机制领域。明确规定IT管理过程的责任。职责缺乏或界定不清，最终导致控制得不到有效得实施，形成管理风