从IT治理,IT服务管理,信息系统审计、信息与相关技术控制目标到信息安全治理,这些全新的管理思路正是一直以来企业所企盼的。惊喜过后,全新的管理思路却让企业有些茫然:如何将这些新理念与企业自身的现实问题结合起来,进而提高业务的效益和效率。
企业需求的不断变化,使得管理思想创新和实用化进程都在大幅度地加快。但是,万变不离其宗,IT应用管理中的“效率”与“效益”仍是永远的主题,企业也只有抓住这个核心,才能在管理思想层出不穷的今天实现形式和内容的完美结合。
IT治理:催生IT与业务全面融合
IT治理(IT Governance)是去年首先出现的一个IT管理词汇,把对IT的管理提高到了企业董事会的高度,强调在确保IT投资与IT风险平衡的同时,确保实现企业的业务目标,从而实现股东利益的最大化。
可以看出,决定企业IT成功的因素不是简单的技术问题,投资的效益和效率以及IT应用的风险都可能影响企业业务目标的实现。从投资、风险、业务目标三个关键词可以发现,它们都与IT的效率和效益紧密相连。在企业中,信息系统的实施与应用,通常都会经历需求提出、系统选型、实施、交付与运行等过程。
作为IT治理的核心,国际信息系统审计与控制协会(COBIT)提出的“信息及信息相关技术控制目标”,从组织与规划、信息系统的获得、实施与交付、信息系统的监控四个方面来寻求在风险平衡的前提下,实现业务型企业基于IT应用的业务目标。COBIT三维体系模型如图所示。虽然,COBIT的目的是为了更好地对信息系统审计提出一套控制目标,而对于现实中的企业,又该如何来利用它的一些思想呢?
目前的企业普遍存在着这样一个问题:信息系统的建设、应用,都缺乏有效的控制机制,缺乏每个环节上的控制目标,导致信息化建设失败。这个失败,很多情况下并非技术本身的原因,而是信息系统没有满足业务要求,或者在使用中由于缺乏有效手段,而导致使用效率低,这些直接影响业务的正常运作,这种现象犹如在患者就医过程中遇到的“手术成功,病人死亡”的问题。IT治理提出的实际意义在于,它全面、系统地给出了企业IT应用的整个控制机制,对于IT应用密集型或者是业务本身是以IT为基础的企业来说,的确需要把IT治理的核心,COBIT运用到企业IT管理过程中去。但是这个过程并非只是照搬,而是企业首先应根据对业务的贡献程度对信息系统进行风险评估,确定最薄弱的环节,然后导入相应的COBIT控制流程。例如,对于证券基金公司,其交易系统是最重要的业务系统,任何系统服务过程中的失效将直接导致客户交易的失败。显然,从获取系统最大效益的角度上来看,对于“交付与支持”过程的控制是确保系统稳定运行的关键。
对于生产型的企业,IT只是作为管理辅助手段,关注点在于数据的准确性和及时性,这个时候,数据以及与数据相关的技术是控制的关键。例如,制造型的企业目前普遍采用ERP系统来管理企业内部的物流和资金流,数据的准确性是确保企业各个业务部门做出正确决定的关键,这个时候,对于关键数据的生成过程就需要给予控制,这可以优先考虑导入COBIT 控制目标和流程,确保数据的真实性。