IT治理在组织中的应用指南

IT治理在组织中的应用是在管理指南的指导下完成的。管理指南通过关键成功因素、成熟度模型、关键目标指标、关键绩效指标四个方面的有机作用，使企业中的信息资源得到有效的管理。管理指南的特点是：面向应用，具有通用性、一般性，不能提供针对某一具体测定方法，组织应根据自身环境修改这个一般性的指导方针，以满足实际的应用需要。下面具体介绍管理指南的各个部分在应用中所起的具体作用。

关键成功因素

关键成功因素为管理部门控制信息技术及其处理过程提供了实施指南。它们是信息技术处理过程中的最关键的要素，是战略性的、技术性的过程或活动，勾画出了IT的控制轮廓。关键成功因素可以从标准控制模型和IT管理框架的目标与审计指南中获取。这些标准要求：信息技术要与企业的运营情况相符；信息技术使营运业务可行，并使其收益最大化；合理使用信息技术资源；适当管理IT的有关风险。关键成功因素平衡所有的IT资源，它由关键绩效指标评价。

下表为从标准控制模型与管理构架中归纳出用于多数信息技术处理过程的关键成功因素，以供参考。

关键成功因素

关键成功因素是为提高处理过程的成功可能性所做的最重要的事，通常与组织的目标保持一致，是组织和处理过程的可观察可测量的特征，分布于企业的战略层、战术层、应用层及组织的各个方面，可以通过目标分解与识别的方法选择关键成功因素。

关键目标指标

关键目标指标是指通过创建和维护一套处理和控制适当业务绩效的系统，来指导并监督IT传递的商业价值。关键目标指标通过识别测定处理结果，营运过程的输出，在平衡记分卡上测定。

关键目标指标体现的是处理过程的目标，指出哪些是必须做的。它是处理过程实现其目标的可测指标，并且通常定义为需要实现的目标。平衡记分卡主要关注以下几个方面的经营情况：

(1) 财务，包括预算与超支等状况，反映股东的利益。
(2) 客户，包括客户满意度，交货是否及时，服务价值等，反映客户的利益。
(3) 内部处理过程，包括处理的质量与效果等，反映内部人员的利益。
(4) 学习与创新，包括雇员受教育程度及技能基础等，反映企业的发展潜力。

下表为普遍适用的关键目标指标。

关键目标指标是处理目标的一种表达，明确要取得什么目标，并描绘处理的结果，进行事后评判，直接体现处理过程的完成成功与否，间接体现处理带给经营活动的价值。

关键绩效指标

关键绩效指标对关键成功因素进行评价，通过监测某IT处理过程的执行情况，告诉管理层该处理是否满足其经营需求。关键绩效指标是IT处理过程的性能指标，表现为IT的实际业绩。通过有效性、保密性、完整性、可用性、一致性、可靠性等指标来测定IT的绩效。下表列出对企业具有普遍性意义的关键绩效指标。

关键绩效指标是处理过程执行程度的测定，预期将来成败的可能性，是先导性目标，面向处理过程，但驱动信息技术，关注处理过程和平衡记分卡的学习单位，关注对于处理过程至关重要的资源。

关键绩效指标指出处理过程要完成到怎样的程度。两者之间的相互关系可以用平衡记分的概念来理解，如图所示。平衡记分卡测量企业的经营目标的执行情况，信息技术作为商业的使能器也有自己的记分卡。它的测量标准是绩效指标。比如：使能器要执行到怎样的程度才能表明经营目标已经实现。关键绩效指标主要通过信息系统与信息服务的有效性，信息的机密与完整性，处理过程和操作的成本，信息的可信度、可靠性等来评价信息技术的绩效。关键目标指标是驱动经营活动，而关键性能指标面向处理过程，并将经常体现处理过程和组织对所需资源的平衡与管理程度，测定其是否真正达到预期处理目标，是否有助于管理者改进处理。

关键目标指标与关键性能指标的区别主要体现在以下几个方面：

1. 评估时序不同。关键目标指标是处理目标的一种表达，明确要取得什么目标，并描绘处理的结果，是"滞后性"指标，只能在事后测量。关键绩效指标是处理过程执行程度的测定，预期将来成败的可能性，是先导性目标，可以事先给出成功的预示。

2. 关注目标不同。关键目标指标提供了业务平衡计分卡中财务与客户方面的评估标准。关键绩效指标强调了平衡计分卡中的另外两个方面，即内部处理与创新。财务成果与客户满意度是企业经营目标是否达到的一个事后评判标准。而处理执行的好坏与学习创新是组织运行情况好坏的一个指标，并且事先指出了企业经营取得成功的可能性。

3．驱动力不同。关键目标指标是由企业的经营业务所驱动的，关注企业业务的执行结果，关键绩效指标是企业的信息技术所驱动的，关注与信息技术相关的资源。

IT治理成熟度模型

IT成熟度模型制定了一个基准，组织可能根据上面的指标确定自己的等级，从而了解自身目前的境界。在此基础上确定组织的关键成功因素，通过关键绩效指标进行监控，并衡量组织是否能达到关键目标指标中所设定的目标。成熟度模型从一般的质量模型开始，在各个层次以递增的方式增加了以下方面的惯例与原则：对风险和控制问题的理解与认识；适用于该问题的交流与培训；加工处理和实施的惯例；使过程更有效、更高效的技术与自动控制；与政策与法规的一致程度；专业技能的范围与类型。

平衡风险和收益后的IT治理和IT增值流程治理成熟度级别如下：

1. 不存在。完全不存在可辨识的信息治理流程。组织并没认识到这一问题，因此关于此问题并无交流。
2. 初始级 初始的混乱的。有证据表明，组织已意识到存在IT治理问题并需要研究，尚无标准流程，但有些个人或在有些具体情况下进行了尝试。治理方法混乱，但对于问题和研究方法有零星的、不一致的交流。也可能意识到需要以产出为导向，在相关企业流程中追求IT的价值。没有标准的评价过程，只在组织中发生某些事件带来损失或不利时，IT治理才得以应用。
3. 可重复级 重复的但模糊的。人们普遍对IT治理问题有所了解，IT治理行为和效果处于未发展阶段，包括IT计划、交付和监控流程。其部分结果是，由于高层管理者积极的关注和参与，在组织改变管理流程时运用IT治理行为。选定的IT流程，因提高及控制企业核心流程，并且作为一种投资得到有效的治理，进而形成明确的IT架构。管理者认可基本的IT治理方法、评价技术，但整个组织并未采纳IT治理流程，组织中不存在与管理标准相关的正规培训和交流，仅凭个人反应。个人在不同的IT项目和流程中推行管理流程，他们选择并运用有限的管理工具收集相应信息，但由于缺乏专业知识，可能不能充分发挥IT治理的功能。
4. 已定义级 已定义流程。人们理解并接受IT治理。建立了一套基本的IT治理评价指标，绩效测量与绩效驱动之间的联系也得以确立、形成规范文档并贯穿到战略和运作计划以及管理流程中。流程被标准化、形成文档和实施，管理与标准流程相一致，开始了非正式的培训，对全部IT治理行为的表现进行记录、跟踪，促进企业整体提高。可以测定的流程并不复杂，却仅仅是现行实践的正规化。工具得以标准化，也采用现存技术。整个组织认同IT与商业利益平衡的观念。然而，只是个人接受培训、执行标准，只是偶尔分析问题的根本原因，大部分流程还是根据基本准则进行管理，出现的偏离很少被管理者发现，因为这些偏离主要由于个人原因造成。尽管存在一些问题，可以清楚地评价关键流程的绩效，并根据关键绩效指标对有关人员进行奖罚。
5. 已管理级 已管理和可测量的。通过正规培训，各个层次全面理解了IT治理。人们清楚地知道谁是顾客，而且通过服务水平协议，来定义和监督相应的责任。责任清楚，也落实到流程中的具体人员。IT流程与业务密切相关，与IT战略密切相关。IT流程的进步主要建立在定量的理解基础之上，监督、评测规程和流程的情况是可能的。所有流程参与者了解风险，也了解IT的重要性和IT提供的机会。管理者明确必须对哪些无效的流程采取行动。必要时改进流程，并强制执行最佳内部实践（准则）；标准化根本原因分析程序；确定持续改进措施；以成熟的技术和强制性的标准工具为基础，有限制地、有策略地使用新技术；有所需要的各个方面的内部专家；IT治理发展成公司范围级流程；IT治理活动正与公司治理过程相结合。
6. 优化级 对IT治理问题和解决方案有前瞻性的理解，并做好有关准备；利用先进的思想和技术进行培训和交流；通过持续改进，与其它组织的成熟度比较，业务流程已超越公司外的最佳实践；实施的这些政策已使组织，人和流程快速适应并全面满足IT治理的要求。深入分析所有问题和偏差的根本原因，并能方便地确定和启动有效的行动；以广泛的、集成的和得到优化的方式使用IT自动化工作流，并提供工具提高质量和效果；定义和平衡IT流程的风险和收益，并传达给整个公司；重视外部专家的作用，使用标杆指导IT流程；在组织内监督、自我评价和交流对IT治理的期望，并使用最优的技术支持评测、分析、沟通和培训；公司治理和IT治理战略相关，平衡技术、人和资金以增强企业的竞争优势。

概述起来，IT治理成熟度模型方法的优点与作用在于以下几个方面：

• IT治理成熟度模型涉及经营需求的各个方面，是一种进行实用性比较的等级制，能以简单方式测定差异，有助于确定有关信息技术管理、安全性。
• 使管理部门相对容易地依据等级制对自己定位，通俗地将是给IT管理打分，并找出需要改善管理的地方。组织对自身进行差距分析以确定需要做哪些工作来达到所选级别。0-5等级是基于一个简单的成熟性量度，体现出一个处理如何从不存在级发展到优化级的管理过程，增加成熟度意味着增强风险管理与提高管理效率。
• IT治理成熟度是测量管理处理发展程度的一种方法，应该发展到什么程度取决于以上所提的经营需求。这些等级正是一个给定的管理处理的惯例，体现各个成熟层次的典型模式，有助于企业将主要精力投入到关键的管理方面。
• IT治理成熟度模型等级有助于专业人员向管理层解释IT管理存在的缺陷，并把他们组织的控制惯例与最佳惯例对照起来，从而确定组织的发展目标。

我们认为IT治理成熟度模型将有助于解决以下在IT部门中普遍存在的问题：

• 在竞争如此激烈的市场环境中，您的公司或部门在IT应用中处于什么水平？
• 如果您认为有差距，究竟差在哪里？如何去改进？
• 如果您觉得运作良好，那么您能说出好在哪里？好到何种程度？
• 如何对IT管理进行绩效评估？

对于上述问题，如果您觉得有必要拿出一个量化的答案，以助于提升企业的IT应用，那么本文所介绍的IT管理评估工具也许对您能有所启发。

（本文由孙  强 郝亚斌 郝晓玲 孟秀转共同完成）

    （作者孙强，赛迪顾问业务拓展总监，中国信息化推进联盟IT治理专业委员会副主任。美国注册信息系统审计师，国际信息系统审计与控制协会会员，中国信息系统审计与控制专业委员会（筹）发起人。发表多篇关于IT治理、信息系统审计和监理的文章。参与《信息系统工程监理》培训教材编写，主编《IT审计：理论与实务》、《IT服务管理：发展、理解与实施》等。欢迎您与作者孙强探讨您的观点和看法，联系电话：010-88559017电子邮件：sun6869@tom.com ）