大家都对IT治理在概念上有不同的定义,实际上从理论界来说,IT治理来源于公司治理,公司治理是企业通过权利制衡,监督管理者绩效,保证股东和投资主体权利,体现绩效监督和风险控制,IT治理和公司治理的组成部分,无论是制度的安排还是相应的考核、服务管理体系都是为了有监督好IT,达到自主操作主体的基本目标。从运营商IT治理的角度要解决两方面的问题,集团对分子公司怎么管控,这治理结构是一种制度性的安排,需要很好的考虑,集团如何监督自身管理部门服务部门,IT管理和IT服务部门之间有什么关系,IT服务部门如何监督好外包的厂商,这是运营商要解决的问题。这些问题是运营商在转型服务商角色给用户提供服务的时候角色定位的问题。
IT治理制度性的安排,集团对分子公司如何管控?集团通过政策性、制度性方式实现对分公司的IT管理。包括战略、架构、流程、标准、制度管理等。 集团怎么监督好底下分子公司的执行呢?通过外部的监督和审计进行,分子公司做好IT建设和运行维护,内部控制、自我调优、自我管理。在集团内部,IT决策层管理层、基本原则,管理者履行监督管理职能,服务者履行建设的职责。内保外包要有效管理,外面请供应商要有外面供应商的办法,这里面有一些基本的安排。它的基本目标是什么呢?基本目标使得投资主体的价值能够体现在对业务战略有效的执行和落实上,规划IT战略,IT战略落实是通过IT绩效评估控制的,最重要通过反馈的机制把IT绩效考核出来,最终实现股东价值的实现。
在这过程中涉及哪些利益相关者呢?制定IT投资决策人,决定需求的人,使用IT服务的人。内部相关者,提供IT服务的人员,管理层,运维层,服务层,这些人员都要感受到IT治理的力度。从外部来说,外部审计者,如果几大运营商到海外上市,必然受到海外法律法规的要求,比如SOX等,我们要从法律法规遵从的角度,以及部里面对我们基本要求,和国资委基本的要求,都会涉及IT治理的基本要求。
基本的方法,国际上有标准的方法进行IT治理,大家知道COBIT,通过对有效性、效率、经济性、安全性、复合性、完整性等几方面的设定,对IT内部流程目标进行控制。COBIT包括一些关键的部分,如何转化成IT关键目标指标和关键绩效指标,考核IT流程实现整个目标。
在具体落实过程中,整个IT管理要抓好一件事情就是IT战略规划,以及IT战略重新的规划,通过IT的战略,一定是支持和适应业务发展的战略,一定是通过IT的架构,IT的流程来实现业务的流程,业务的模式进行支撑,真正体现一个良性互动的结构,是IT战略重要的内容。这有一些关于基本IT战略目标的定义,通过业务的目标,IT目标,财务客户学习,20个指标,落实IT指标是28个目标,相互之间有一个匹配。比如实现市场份额的增长,销售份额的增长通过哪样指标落实呢?通过25、28,IT代表成本效益,服务质量不断提高,这样的指标来满足扩大市场份额的指标。这是业内非常有名业务目标和IT目标与信息准则对应的关系,这是我们参照的一个基本指标。
第二方面在IT战略落实过程中体现IT管理与服务的价值贡献,如何体现价值要有效管理,提高效率降低成本,整个IT管理与服务的价值就会体现出来。这里面没有参照的标准,ITIL3.0有ISO20000的认证。中海油去年通过ISO20000的认证。运营商内部,IT运维管理形成一些体系,现在有系统弥补IT管理上不足。这也涉及多项目管理,在企业内部不仅谈项目管理,还要多项目的管理,用投资组合的概念,比如买股票多只股票融合,达到最大投资效果,多个项目如何达到最大的建设目标,这是一个基本的项目投资组合管理的理念,通过多项目管理达到意义最大化的目标。
整个过程中要对IT风险监控,对各种风险的类型,大家都知道IT审计,无论内审还是外审,是聘请审计事务所还是内部审计,都要通过这些角度来进行分析。COBIT更多的是对绩效的管控,从信息系统各个方面,软硬件、服务、灾备等方面,把好IT内控的各个环节。对风险控制来源于信息安全,从这个角度来说,如何落实到对物理层、网络层、系统层、应用层、用户层、各方面的安全保障,从人、组织、技术、流程几个方面把信息安全体系落实好,这也是需要重点考虑的方面。信息安全管理体系,建设得还是比较完善的,但是从流程方面也是运营商在信息安全管理方面比较缺憾的方面。
\在这样几个步骤之后,下面对IT绩效评估,这样的评估一定有一个标准,通过标准看我们差距在哪里,目标是哪里,通过这样一个绩效的考核来提高和改进IT服务和IT管理的水平。这里面可以参照COBIT绩效考核的工具。IT平衡计分卡,业务指标按照平衡计分卡设计的,同样业务从客户,从运营效率从价值贡献,从面向学习和未来发展,这样几个角度对业务考核体系,同样会落实IT平衡计分卡考核IT部门在对发展客户,在价值贡献,在面向未来发展等方面整个的均衡考虑。这方面有比较多的成功应用案例,我们在中国船舶燃油总公司IT绩效评估是按照这个指标体系做的。在电力行业有关于电力企业信息化评价指标体系,是按照这样一套指标对电力企业进行评价。在电信行业正在研究开发一套类似的评价体系,对电信运营商IT绩效进行综合的评价。从评价角度绩效是一方面,它的成熟度到什么程度也有评价的指标体系,成熟度的模型,从初级、可重复、可定义,可管理、可优化,中国企业包括运营商是在二到三级,能不能把流程定义清楚是比较大的挑战,下一步才知道是管理还是继续优化的问题,这是一个不断提高的问题。通过IT治理结构的树立,通过IT水平管理规范和水平的提升,使得中国运营商,中国企业IT绩效水平达到逐步优化的级别。
