實施IT治理方法論近幾年來,“IT治理”在各個行業(yè)的IT管理層交流中被廣泛提及和探討。很多公司和機構投入了大量人力、物力和財力進行IT治理的相關項目。行業(yè)監(jiān)管部門也對此高度關注，并推出種種措施推動行業(yè)的IT治理規(guī)范。然而，在推行IT治理的過程中，仍存在一系列有待解決的問題，如在一些公司出現(xiàn)IT治理制度設計不合理、實施困難、工作效率降低、缺乏實施監(jiān)督和衡量機制等問題，甚至導致了資源的浪費以及大家對IT治理的懷疑和不信任。針對出現(xiàn)這種情況，我們建議IT管理層應當重新認識IT治理的整體概念。按照畢馬威對IT治理的理解，IT治理應當在充分考慮公司外部驅動力、內部考慮因素、以及對公司IT戰(zhàn)略的充分理解和符合的基礎上，建立IT治理框架制度。再從IT治理框架制度出發(fā)，導出各項IT治理的措施或具體流程，從而達到提升IT價值，降低IT風險的基本目標。我們認為"外部驅動力、內在考慮因素以及對IT戰(zhàn)略的理解"這三個部分，雖然沒有直接談到IT治理本身，但對于理解IT治理在公司環(huán)境中的運用是十分有幫助的。其中，外部驅動力指外部環(huán)境中可能對企業(yè)產(chǎn)生整體影響的力量，例如：法律法規(guī)要求,競爭對手，行業(yè)標準等。內在考慮因素指企業(yè)內部需要考慮的關鍵要素，例如：企業(yè)發(fā)展戰(zhàn)略規(guī)劃，企業(yè)組織架構,風險控制，企業(yè)文化等。外部驅動力和內在考慮因素共同構成了IT的公司環(huán)境。而對IT戰(zhàn)略的理解則決定了應當采取何種IT治理框架，來支持公司的戰(zhàn)略目標。公司管理層不僅需要了解IT治理的環(huán)境因素，還應明確IT治理的目標，并在后續(xù)的工作階段中不斷審視這些目標的實現(xiàn)程度。在理解IT治理的整體概念并明確IT治理目標之后，公司應通過一套行之有效的方法，對自身的IT治理狀況作出評估，并設定可行的IT治理目標，作為進一步制定IT治理具體框架和措施的基礎。評估IT治理的流程包括明確評估的IT治理流程范圍、評估IT治理流程的成熟度，以及制定各個IT流程的目標成熟度。1.IT治理評估的范圍IT治理的評估是基于風險、自上而下的。公司必須事先了解信息科技風險管理的環(huán)境，并在信息科技風險管理的框架下定義評估的范圍。IT治理評估的范圍通常包括以下圖2中的十四個流程，即：組織框架、戰(zhàn)略規(guī)劃、管理結構、規(guī)章制度、系統(tǒng)開發(fā)、項目管理、安全管理、可靠性管理、服務及外包管理、預算管理、運營管理、IT內部稽核、運維支持和變更管理。由于各個公司的業(yè)務經(jīng)營方式和內部操作各有不同，公司應該依照外部驅動力、內部要素及IT戰(zhàn)略的要求，判斷評估范圍的合理性。評估IT治理流程的成熟度評估IT治理現(xiàn)狀可使用流程成熟度模型作為基準。成熟度模型是企業(yè)流程成熟與否的簡單反映。它通過若干特征，展示一個流程分別處于成熟度級別之中的哪一級。隨著流程成熟度的不斷提高，流程的效率將隨之增加，在流程中暴露出的風險則相應減少。在圖3所示的成熟度模型中，每一個成熟等級都是在前一個等級的基礎上，增加了更高級的能力。因此，流程成熟度模型可以被視作流程進化的不同階段。對于IT治理而言，這是企業(yè)通過自身流程的正規(guī)化、實施、衡量和管理后所體現(xiàn)出來的IT治理狀況的改變。決定IT治理目標成熟度目標成熟度是公司期望達到的流程成熟度等級。在實際中，并非所有的公司都以第五級（優(yōu)化級）成熟度為目標。對大部分公司來說，第三和第四級（定義級/管理級）應該是合適的。而公司最終期望達到哪一級別的考慮因素很多，包括發(fā)展目標、組織架構、文化和對信息系統(tǒng)的依賴度等都是參考因素的組成部分。公司需要通過對IT治理目標成熟度和現(xiàn)狀成熟度的差異分析，形成公司需要改進的地方。圖4為完成目標成熟度設定后，將當前與目標成熟度進行對比的例子。實施IT治理的一些建議我們認為一個有效的IT治理不是一日之間形成的，制度和人文的積累必不可少，所以說治理方案需要與企業(yè)架構、文化和整體戰(zhàn)略相呼應，才能起到最大的效果。選擇有效的IT組織架構依據(jù)我們的行業(yè)經(jīng)驗,有效的IT治理必須基于有效的IT組織架構。IT組織架構通常有三類，分別是：集中、分散、聯(lián)邦。每一種組織架構對于實施IT治理來說也有各自面臨的挑戰(zhàn)。集中式：在集中式的IT組織架構中，所有IT決策的制定和IT投資的預算都在一個部門，這樣很容易管理并且組織起來不需要花費很多功夫。CIO可以作為發(fā)展治理流程的領導者，并直接與高級管理層人員一起工作。集中式組織架構的挑戰(zhàn)是能否確保業(yè)務部門與經(jīng)營集團對IT方面的見解得到關注。分散式：即IT部門分散于各個業(yè)務線中。每一個分散的IT部門都有他們自己的IT治理流程，但是他們沒有橫跨業(yè)務部門的統(tǒng)一流程。IT的投資決定可能在業(yè)務層得到優(yōu)化，但對于整個企業(yè)來說可能并無效果。這種架構經(jīng)常導致基礎設施和應用系統(tǒng)的重復建設以及很少的系統(tǒng)共享。分散式組織架構的挑戰(zhàn)是需要一個企業(yè)級的IT治理流程來幫助企業(yè)在某些時候能夠正確地做出折中的決定。聯(lián)邦式：這是一種既包含了集中又包含了分散的組織架構。在公司層面的IT部門負責基礎設施和企業(yè)范圍內的應用軟件，在各業(yè)務部門則保留了對一些特殊應用軟件和開發(fā)資源的控制。這種方式試圖為了降低成本而將部分IT資源集中管理，而把一些應用和開發(fā)留給業(yè)務條線，使得他們對某些情況能更快地做出響應。聯(lián)邦式組織架構的挑戰(zhàn)是需要平衡業(yè)務部門對基礎設施投資的需求，以及如何要求不同的業(yè)務部門都遵循企業(yè)整體的架構體系和標準。獲得公司高層的支持IT決策者決定設計和實施一個好的IT治理框架后，首先應獲得公司管理層和董事們的支持。因為IT治理是企業(yè)治理的一部分，很多IT治理框架的需求來自于公司管理層和董事們的討論。設立IT關系經(jīng)理我們建議在IT組織結構中設立一個重要的職位——IT關系經(jīng)理。IT關系經(jīng)理是IT和業(yè)務部門的中間人，起著溝通大使的角色。這在業(yè)務需求反饋給IT部門的時候，顯得尤為重要。如何把IT治理的收益轉化為業(yè)務上顯而易見的效果，或者如何證明在公司困難的時候，IT治理為企業(yè)帶來了價值，都是這個職位的責任之一。簽訂IT服務水平協(xié)議IT服務水平協(xié)議包含了IT可能提供的服務，IT質量等級和IT的成本費用。一旦IT用這種方式公開了服務水平等級和成本，公司就經(jīng)常會引入外包服務商進行競爭。一般而言這種競爭機制會形成更有效的IT服務。另一方面，通過公開IT成本，業(yè)務部門可以更好地評估他們對IT服務要求的必要性。實施IT收費機制IT收費機制的目的是要收回對業(yè)務部門提供的IT共享服務的成本。當IT對成本這個概念有了更深