“IT治理?没听过。”当一位省级移动公司网络负责人侃侃而谈IT管理之后,在回答“是否听说过IT 治理”时,却给出了这样的回答。这家移动公司正在提升IT 管理水平,以准备接受塞班斯法案的相关审计。没想到管理着300余名IT 员工的网络部负责人尽管参与了IT内控工作,却对“IT治理”闻所未闻。这与一些业内人的预想相去甚远。
为了验证IT 治理在国内是否真的“雷声大雨点小”,某媒体在其网站上做了一次小型调查。调查结果再次验证了这位移动公司IT 负责人对“IT 治理”的陌生并不是个别现象。在这次调查中,41%的人根本不知道IT 治理,比较了解IT 治理的受访者不足20%;有60%的人不知道IT 治理和IT 管理之间的区别;仅有1%的调查者参与过IT 治理的实践。看来,“IT治理”在被IT厂商、咨询机构频频提及的时候,它在CIO及企业管理者中的认知度远没有兜售理念的人以为得那么高。
管理?治理?
在这次调查中,有22% 的人混淆了IT 治理与IT 管理的概念,觉得它们其实是一回事;仅有不足半数的人认为两者之间存在差别。其实,能准确区分IT 治理和IT 管理之间区别的CIO 并不多。除了对两个概念不甚了解外,不同的CIO对这两个概念的内涵与外延也有着自己的理解和解释。
其实,IT治理对组织的意义要大于IT管理,这并不是因为它管的是“决策”,而是因为IT 治理聚焦的是保持IT 与业务目标一致、推动业务发展、促使收益最大化。一份来自国外的调查报告显示,IT治理出色的企业可以获得比竞争对手高出40%的IT投资回报;IT治理处于平均水平的企业在采用相同业务战略的情况下,能够比IT治理效率低下的企业多获得20%的利润。
IT 管理的着力点是信息及信息系统的运营,是一种确定IT目标及实现目标的行动;而IT治理是最高管理层利用它来监督IT 战略执行的过程、机制和框架,以确保其处于正确的轨道之上。两者是一枚硬币的两面。IT治理规定了整个组织IT运作的基本框架,IT管理则是在这个既定的框架下“驾驭”组织奔向目标。缺乏良好IT治理模式的组织,即使有“很好”的IT管理体系,也像一座地基不牢固的大厦;同样,没有畅通的IT管理体系,单纯的治理模式也只能是一个美好的空中楼阁。现在,不少CIO 将IT 治理和IT 管理混为一谈,甚至对IT管理的内涵也不甚了了,这同国内组织仍处于大规模信息化建设阶段有关。当一个组织处于应用系统建设阶段时,CIO很容易将所有注意力和IT资源集中在“项目”上,因此IT管理被简单地看成眼下尚不急需的一项长期工作。其实,即使是战术层面的IT 治理对IT 建设也非常重要。在越来越被广泛采用的IT管理框架——ITIL中,IT管理包含了IT战略规划、安全管理、成本管理、突发事件管理、配置管理、变更管理等众多内容,这些管理是否到位都直接影响着IT 投资效果。
火候未到?
目前,大多数明确表示正在进行IT治理的企业,都将其与公司治理密切联系,目的是为了让投资者信任企业。比如为了应对美国的塞班斯法案,在美国上市的企业就必须保证所披露信息的真实与准确,保证信息处理与传递的效率。法规遵从成为许多企业展开IT 治理的最主要动力。我国电信、金融、化工等大型企业几乎不约而同地于2004 年后开始进行IT 内控、IT 治理,与塞班斯法案的要求直接相关。
尽管不少企业进行IT 治理是为了应对塞班斯法案,但不少正在从事IT 治理的CIO 并不认为符合塞班斯的内控要求就算取得了IT治理的胜利,“有针对性的治理工作仅是IT 治理很小的一部分”。
不只是在国内,在全球其他地区,IT治理也是阳春白雪。PWC的2006 年全球IT 治理报告显示,只有10%的IT 人员正在使用COBIT,这一数字并不算高。Forrest 研究机构报告表明,90%的美国企业已经或多或少建立了 IT 管理和治理架构,但是做的好的并不多。不过,这些数字对IT 厂商和咨询机构而言,却意味着巨大的市场机会。
