ＩＴ治理：應始于“Ｉ”

企業董事會和CEO是否明確了“I”(信息)的基本原則，是否參與到治理的具體實踐過程中去，是IT治理執行得好壞的關鍵。只有在明確了“I”的基礎上，企業才能建立起與企業的戰略和業務相配套的、合理的IT治理構架。

通常人們看IT都是把“I(Informa-tion信息)”和“T(Technology技術)”放在一起，但實際上，那個“I”要大得多。管理層首先應當考慮的是信息怎么用，信息政策怎么去鋪開，以支撐業務的有效性和效率，然后才能談到用技術來幫助獲得信息并支撐信息的運用。管理思路本應如此，但現實生活中卻往往不是這樣，多數情況是IT部門在執行所謂的“治理”。

談到技術，董事會會說“這不是我們擅長的，應該由IT部門來做技術解決方案”。而很多情況下，IT部門因為對企業的商業模式了解有限，也難以進行相關的決策，如果硬要他們想出解決方案，他們首先想到的肯定是引用最先進的技術，而不是考慮企業當下是否需要。

此外，在IT部門怎么使用最先進的技術以支撐信息管理的問題上，也沒有人來銜接，這里面有一個較大的斷層。導致出現這種狀況的最主要的原因，是IT部門本身并不在董事會里面，不屬于最高管理層，所以真正涉及IT治理的話題，事實上是沒有人來討論和管理的。由于所謂的IT治理只能落實在IT運行這一層面，由此也造成了IT部門與公司其他業務部門之間少有對話、管理層也不清楚兩個部門未來的融合目標、資源誤配的情況時有發生等等問題。

如何在一個整體架構下來保障信息的統一性、安全性和流動性，IT部門怎么去支撐整套系統運營，這些都應該成為IT治理真正關注的話題。但通常的情況是，IT部門針對企業內部某一業務部門——比如原料、采購進貨或財務管理部——單獨為其開發解決數據問題的對應模塊，這樣導致的問題是不同的部門使用不同的技術、不同的模塊，而從整個公司角度看卻沒有一個完整的系統，信息沒辦法在各部門間流動和使用。

我們在對企業進行相關的IT治理認證時發現，如果不能在IT治理的層面與公司上層進行溝通，前期工作事實上是無效的，任何問題都解決不了。以安全管理為例，實質上它與企業的風險控制密切相關。所謂風險，是相對于企業的戰略和目標而言的，如果高層都沒辦法說清楚企業的戰略目標是什么，必然導致底下的IT安全管理的執行面是混亂的，最終會導致目標與結果的不平衡。所以，IT服務認證主要聚焦在企業是否有一個完整的系統來評價自我、平衡風險。考核指標的第一個就在于企業的戰略目標是否清楚，在此基礎上是否有配套完整的風險評估模型，以及這模型在運用時是否能兼顧到企業發展的目標。只有模型與目標之間保持了一致性，企業的風險控制才能平衡。

治理軟肋

在美國和歐洲，IT治理是一個很大的話題。不同的企業，IT治理執行得好壞，最大的區別就在于能否引起高層的關注，并從治理的角度制定出清晰的架構。高層是否承諾，是否參與到治理的具體實踐過程中是其中的關鍵。CEO最需要做的事，是明確企業對待信息利用的基本方針——是最大程度地開放信息，讓各事業部都能得到并加以利用，還是從某種程度上進行限制來保證信息的安全。基本方針的確定，往往能顯示出一個企業在戰略上的清晰度以及對待信息使用的立場。

國內在很多時候存在著一種本末倒置的情況。而越本末倒置，就越是由低層決定，越沒有一致性。現在很多企業都還沒有建立起CIO的職位，缺乏CIO這個角色來實現IT部門與董事會之間的溝通，基本上是董事會把建立IT系統的工作直接轉給IT部門來做。這其實是非常錯誤的一個想法。因為“I”是直接與商業模型相連的，不能把它推到“T”的技術層面去，IT部門掌握的僅僅是T，卻并不了解I該怎么用，企業把信息處理的責任推到技術部門去做，技術部門也挺冤枉。從他們現在的功能來講，他們一定要了解企業的商業目標是什么，如果不了解，想問題的方向肯定有差異。

我們對于企業對IT治理的態度的判斷是，首先這將是一個螺旋式上升的認識過程。開始時，客戶傾向于IT信息安全管理、IT服務，以解決具體運作中的問題；然后這些前期的工作，也會引發高層的思考，比如如何建立一個完整的體系，如何解決某些控制條款牽涉到高層的地方，再比如要進行風險控制生產首先得明確什么是企業的風險。對這些問題的深入思考，都需要業務思考的明確。因而這些具體運作能引發更高層的思考，使其不斷往上走。

其次，IT部門也需要一定的過程去理解商業流程究竟是什么，業務目標是什么。作為IT部門的負責人，CIO的另外一個挑戰是如何把好的IT模式推介給高層。對技術在這個過程中怎么去應用，他要有一個整體把握：他自己既是一個技術專家，同時也應與公司其他業務部門達成共識、互相協作。

再次是心態問題。前幾年，在制定IT認證標準的時候，有人曾說：“安全問題說起來重要，做起來次要，忙起來不要，出了事的時候才想到早該要。”直到現在，這種狀況還是比較普遍的，業務部門一方面會非常歡迎信息安全工作，但是忙起來時如果監控力度不夠，他們就會跳過安全控制措施，因為效率對他是最重要的。

IT安全與治理

通常情況下，信息安全包括可用性(Availability)、完整性(Integrity)、機密性(Confidentiality)三個方面。所以說IT安全不是只講保密性，而是需要在可用性和保密性之間做一個平衡，保密性越多的話，可用性就沒有了；可用性越多保密性就越低。因此，要從風險評估體系的角度出發來平衡這三個性能。

另外，在實施安全的時候，由于IT安全保密措施的嚴格執行，往往會給一線的業務造成比較明顯的效率下降。這個時候就特別需要高層的承諾以確保整個IT安全系統能夠在業務部門推行，并一如既往地發揮監控的作用。比如華為的CIO就非常強勢，“信息安全無小事”是任正非一直倡導的。華為的信息安全管理部門的權力是非常大的，雖然不見得層級特別高，但是CIO可以直接向CEO去匯報，而且企業在資金投入上也幾乎不計成本。

當然要達到可行性和保密性的平衡，IT治理的架構一定要考慮業務部門的需要，要有一個長遠的戰略，以及細分每個階段的可行性以保證整個企業的業績成長。從前景上來講，IT治理是不可回避的問題，其在公司里將越來越重要，在組織上的影響力也會上升到越來越高的位置。

而且，對于企業組織架構來說，IT治理也會產生很大的影響，傳統的管理、行政等將會在IT的指導下展開工作。在組織架構上，包括高層的IT治理委員會、信息產業委員會，上升到高層的比重會逐步增加。目前來看，IT安全服務和風險控制的話題，基本上已經引起了高層委員會的關注和討論，整體發展的方向是樂觀的。

過去，組織里很少有CIO的角色概念，基本等同于企業的信息中心主任。隨著企業對IT價值的重視、IT的應用在企業中扮演著越來越重要的角色，CIO的位置也越來越高。而IT部門也會在這個過程中逐漸轉換角色，從單純的技術支持，到進一步成為業務架構重組或管理的一部分。