從非正式到正式：得克薩斯農(nóng)工大學通往IT治理之路

文/ Juan Garza & Joshua Kissee

一所公立研究型大學從傳統(tǒng)IT治理的非正式范式轉(zhuǎn)型到正式的IT治理結(jié)構(gòu)，從而使IT治理結(jié)構(gòu)達到和學校其他治理結(jié)構(gòu)一樣的穩(wěn)健性，這項成果的迅速取得也讓學校的IT決策與學校的整體戰(zhàn)略目標有了更高的一致性。

得克薩斯農(nóng)工大學（Texas A&M University，縮寫為TAMU）是位于美國得克薩斯州大學城（College Station）的公立贈地大學，在校生人數(shù)大約為6.9萬人，每年科研經(jīng)費超過9億美元。TAMU的IT組織結(jié)構(gòu)包括一批屬于學院和部門的非校級IT單位，以及兩個提供校級服務的大型的IT部門。IT最高領導是主管IT的副校長兼CIO，向校長負責。由IT領導主持的信息技術部（Division of Information Technology）提供一系列常見公共產(chǎn)品和服務（網(wǎng)絡、電子郵件、安全）和收費服務。

TAMU和許多其他大學一樣擁有穩(wěn)健的事業(yè)治理結(jié)構(gòu)，其中有各種各樣的委員會，如應對教授關切的教授評議會（Faculty Senate），應對學生問題的學生會（Student Government）和應對職員關切的大學職員理事會（University Staff Council）。不僅如此，TAMU的大學事業(yè)治理結(jié)構(gòu)還由各種各樣的領導委員會組成，如校長領導的校長理事會（President's Council），教務長領導的教學領導小組（Academic Leadership Team），院長系主任理事會（Dean's Council），預算審議委員會領導的財務和教學行政主管小組（Finance and Academic Executive Leaders），以及與設施相關的環(huán)境建設理事會（Council for Built Environment）。然而，TAMU還缺少一個有成文規(guī)定的IT治理（IT Government，縮寫為ITG）結(jié)構(gòu)，而且正如大多數(shù)的大型研究型大學那樣，由于歷史原因，學院和部門各自都有IT部門，有些還是獨立運作的。

得克薩斯農(nóng)工大學

變革的根源

TAMU全校的IT人員意識到：學校的IT決策和投資與整體戰(zhàn)略方向缺乏一致性，因此開始就建立正式的IT治理結(jié)構(gòu)展開了討論。

前些年，學校在加強IT服務和提高全校IT部門之間的合作和相互依賴方面取得了顯著進展。盡管合作水平的提升給學校帶來了一些好處，然而要確保IT發(fā)展和學校使命保持一致，正規(guī)化的IT治理結(jié)構(gòu)仍然是需要的。不僅如此，TAMU的非正式IT治理結(jié)構(gòu)僅僅覆蓋了很窄范圍的相關主體，沒有包括教師、學生和學校的關鍵職能單位。

因此，下列因素成為了構(gòu)建新的正規(guī)化IT治理結(jié)構(gòu)框架的驅(qū)動力：

（1）為了代表TAMU更廣泛、多樣化的成員群體；

（2）確保關于IT的討論能與大學的研究、教學和服務三大支柱形成全面的聯(lián)系。

此外，TAMU在2011～2016年實現(xiàn)了24.6%的快速增長（增加了13136名學生）。在這樣的環(huán)境中進一步顯現(xiàn)了IT開支和決策之間缺乏聯(lián)系的特點。快速增長之中，下列需求隨之凸顯出來： IT人員之間的正式合作； IT資源配置與大學使命的一致；IT服務的更好部署；IT經(jīng)費的更好利用。

這些因素中許多都強調(diào)了教師參與IT決策是極端重要的。在此期間， TAMU系統(tǒng)辦公室（TAMU System Office）終于開始推動合作水平的提升和IT經(jīng)費使用的改進。

IT治理框架的制定流程

這些因素匯聚而成的結(jié)果是，2016年秋季，主管IT的副校長和主管教學的副校長任命了一個教職員工工作組，研究和制定正規(guī)化的IT治理框架,有意地將這個工作組設置為很的小規(guī)模——只有四位成員（兩位職員和兩位教師）。

1.形成初始方案

工作組的兩位職員負責使用內(nèi)部資料來源的研究和制定工作，包括：信息技術咨詢委員會（Information Technology Advisory Committee）以往的IT治理研究；基于德勤（Deloitte）治理框架的TAMU大學系統(tǒng)IT治理和合作框架；TAMU大學系統(tǒng)關于IT治理的內(nèi)部審計建議。外部的資料來源包括：信息技術基礎架構(gòu)庫（ITIL）第3版，信息系統(tǒng)和技術控制目標（COBIT）第5版，ISO38500國際標準，企業(yè)IT治理（GEIT）框架，Peter Weill和Jeanne Ross合著的一本關于IT治理的書 ，以及EDUCAUSE的IT治理、風險和合規(guī)項目。

工作組的兩位職員還選擇了“2020愿景（Vision 2020）”項目中的三所伙伴學校：得克薩斯大學奧斯汀分校（University of Texas at Austin）、加利福尼亞大學伯克利分校（University of California, Berkeley）和華盛頓大學（University of Washington）作為對標對象。他們和每所大學召開電話會議，檢驗框架結(jié)構(gòu)的設計、吸取教訓、研究已有框架結(jié)構(gòu)的改進方案。他們利用這些信息設計了第一版的IT治理框架，然后提交給工作組的教師成員進行評審。

工作組的教師成員認真分析了提交的框架并提供大量的改進教師參與的建議。他們也提供了額外的研究資源，并提出使文件變得更加學術性的改正建議。工作組職員隨后將這些新增的研究成果和建議納入進來，從而對框架進行改進。

2.相關者的參與

工作組將改進后的框架向項目的推動者——主管IT的副校長和主管教學的副校長進行了展示匯報。在匯報中，他們強調(diào)了教師的建議，讓副校長們了解教師們的觀點，形成了IT治理代表多元化的深刻洞察。副校長們對框架做出了進一步的修改建議，由工作組職員納入框架之中。

下一步，工作組正式邀請了在全校范圍內(nèi)有關鍵地位的教師、職工領導和學生領袖參加三個小時的工作坊，對框架進行了詳細審議。在這個活動中，參與者們分配了特定的委員會予以審議，并討論了相應委員會的授權、成員、輸入來源、決策權限和會議頻率。工作組職員收集所有參與者的反饋，匯總到一個文件中并消除重復內(nèi)容。

從這項活動中得到一個教訓是，應當使用輸入-決策表來突出每個委員會的特定領域。文件中概要描述了在特定主題上哪些人應當有決策權，其中有些還存在爭議，吸引了一些參與者的高度關注。當然，參與者對文件提出反饋意見是符合期望的，然而過度聚焦于特定主題卻限制了參與者對整個結(jié)構(gòu)的審視，因而也就限制了他們的反饋內(nèi)容。工作組意識到，更好的做法是在活動最后時以輸入-決策表的單獨進行展示，或者換一種適合進行更全面審議的形式。

和工作坊并行，工作組職員面向全校教職工和學生發(fā)布了一項調(diào)查，詢問對于新的IT治理框架的建議。這項調(diào)查收到了200份回復，從回復文本中提取出的每項建議都被匯總到一份文件中。工作坊中獲得的建議和調(diào)查中獲得的建議隨后進行了合并，并刪除了重復內(nèi)容。調(diào)查反饋形成了47條無重復的框架修改建議。工作組職員在內(nèi)部的工作會議上向副校長們匯報了這些建議。每項與這些建議有關的決定都進行了記錄用于公開審議。

3.最終批準和啟用

副校長們將最終形成的框架提交給TAMU校長；經(jīng)過校長的審議流程，新的IT治理框架于2017年6月得到批準并發(fā)布。工作組在學校網(wǎng)站上發(fā)布了對文件的建議以及相應的決定，并進行了三個月的公示，同時也在全校范圍內(nèi)進行了相關改革的溝通。這實現(xiàn)了IT治理框架改革的采納過程中的透明性，向全校展示出領導層真正重視大家的意見、考慮各種建議，并以理性、一致的方法采納了提出的建議。

IT治理框架

新的IT治理框架對IT治理定義是：“使IT產(chǎn)出與大學成功實現(xiàn)使命要求相一致的保障。它確保了適當?shù)臎Q策活動（確定重點和經(jīng)費）與大學的戰(zhàn)略重點相協(xié)調(diào)，同時將廣泛的相關者的意見考慮在內(nèi)。”

這個框架定義了各種各樣的治理主體，有工作組、相關者指導委員會、實踐社群、委員會和理事會。這些定義認可了全校現(xiàn)有的IT治理主體并強調(diào)了它們在新IT治理框架中的角色。這向全校表明，新的IT治理框架是對現(xiàn)有治理結(jié)構(gòu)的補足，并彌補了現(xiàn)有輸入-決策流程中在正式性上的缺陷。

IT治理框架包括五個基礎委員會：

建筑和基礎設施委員會（Architecture& Infrastructure Committee，AIC）；

企業(yè)級應用委員會（Enterprise Applications Committee，EAC）；

信息風險、政策和安全委員會（Information Risk, Policy, & Security Committee，IRPSC）；

研究與創(chuàng)新技術委員會（Research& Innovative Technologies Committee，RITC）；

教學和學習技術轉(zhuǎn)型委員會（Teaching and Transformational Learning Technologies Committee，TTLTC）。

每個委員會的代表都是多元化的，同時也尊重領域中的主題專家。例如，研究與創(chuàng)新技術委員會（RITC）由教師中的研究人員組成；教學和學習技術轉(zhuǎn)型委員會（TTLTC）由教師組成；企業(yè)級應用委員會（EAC）由行政領導和IT領導組成等。每個基礎委員會都向IT戰(zhàn)略委員會（SITC）負責。IT戰(zhàn)略委員會（SITC）由院長、副校長和教授領袖組成，規(guī)定各個委員會的總體方向。最高治理主體是IT行政理事會（Executive IT Council），由大學校長、教務長、首席財務官、主管IT副校長或CIO、主管教學副校長組成。

1.使命、目標和責任

IT治理框架包括以下陳述。

使命陳述：確保IT資源和服務的整體一致性從而支撐學校的使命實現(xiàn)，同時在分散化的組織結(jié)構(gòu)中更加有效和高效地將精力和時間聚焦于共同的重點活動上。

目的陳述：靈活敏捷和積極響應是得克薩斯農(nóng)工大學共享的IT愿景，而IT治理是其必備基礎。基于共同的目標，整個大學的信息技術社群聯(lián)合起來，為大學、得克薩斯州和得克薩斯市民們服務。

責任陳述：得克薩斯農(nóng)工大學的所有的客戶、決策者和IT管理者都為共同IT愿景的實現(xiàn)承擔責任。此共同責任體現(xiàn)在IT治理框架中，目的是促進對大學社群整體需求的共同深入思考。IT治理框架所管理的，正是對教學、管理、研究和技術領域中IT項目進行總體治理的共同責任。

2.框架的價值觀

框架有三項核心目標：對多元視角持開放態(tài)度，承認TAMU的行政領導對IT總體效能的推動，以及尊重大學組織文化的獨特性。

我們通過五點價值觀來實現(xiàn)這些目標：透明、問責、合作、管理和敏捷，這些價值觀推動了IT治理的信心。

價值觀1：我們重視透明性，向所有相關者提供IT決策的相關信息，提供關于經(jīng)費和決策流程的清晰信息，在大學內(nèi)各個層級上與適當?shù)睦嫦嚓P者舉行戰(zhàn)略對話。

價值觀2：我們重視問責制，承認從領導團隊做出IT決策的角度而言，IT是可問責的，而且IT促進決策及時實施和執(zhí)行?？蓡栘熜赃€進一步體現(xiàn)為向所有相關者提供關于IT治理產(chǎn)出的反饋、更新和報告。

價值觀3：我們重視管理，向利益相關方保證IT領導者會有效和負責任地使用IT資源，以符合大學、相關者和廣泛的TAMU大學社群成員的最佳利益。

價值觀4：我們重視對話和決策中的合作，確保IT的決定來自于多元視角。我們同樣強調(diào)團隊合作，實施跨部門的項目使之實現(xiàn)更大影響和得到更好利用。

價值觀5：我們重視敏捷性，持續(xù)改進IT治理框架，改造和調(diào)整服務，從而在迅速變化、雄心勃勃和動態(tài)的高等教育環(huán)境中獲得持續(xù)成功。

IT治理項目的啟動

建立IT治理項目的復雜性不亞于研制治理框架。在對標分析過程中，工作組意識到要確保委員會的良好運作和有效產(chǎn)出，必須要委任高質(zhì)量的成員。為了實現(xiàn)這一點，主管IT的副校長尋求委任那些在全校范圍內(nèi)有關鍵地位的領導，如教務長、主管教學的副校長，以及諸如教授評議會、職員理事會和學生會等各種各樣治理主體的領導。

確定委任候選人、征求對他們的委任以及等待他們接受委任花費了六周的時間。主管IT的副校長親自請求委任可以提高參與的可能性，這對于建立IT治理項目而言非常重要。

為了促進IT治理文化的適應進程，我們在2017年9月計劃了一個大型的啟動活動，將所有委任的成員召集起來，啟動各個治理主體。這個活動中有校外團體的嘉賓發(fā)言，有主管IT的副校長的致辭，也有工作組研究成果的報告。整個活動舉辦的非常正式和專業(yè)，并且通過電視向TAMU各個校區(qū)進行廣播。這個活動的正規(guī)性和顯而易見的重要性為IT治理的成員們及其今后若干年的工作定下了基調(diào)。

活動舉辦后的一個月內(nèi)，所有的IT治理委員會都開始舉行會議。主管IT的副校長參加了每個委員會的首次會議，在會上使委任成員熟悉情況并解釋了每個委員會的目標和對他們的期望。隨后每個委員會開始對相應領域問題的現(xiàn)狀分析，啟動戰(zhàn)略規(guī)劃。每個委員會都采用名義群體法（nominal group technique）來選擇他們第一年工作的目標和重點；此時，委員會算是正式成立了。

經(jīng)驗和教訓

在TAMU建立IT治理的過程積累了大量的經(jīng)驗和教訓，可以為其他尋求發(fā)起IT治理項目的院校提供幫助。

政策制定

學校越大，IT治理項目的范圍越廣，委員會的數(shù)量越多，IT治理項目的管理就越復雜。

信息風險、政策和安全委員會（IRPSC）被賦予了審議和建議IT標準管理流程、安全控制和規(guī)則的職責。然而，我們沒有支持這一職責的流程，并且建立這個流程需要整合和改革某個校級IT部門中政策制定小組管理的現(xiàn)有流程、某個現(xiàn)有IT委員會的政策制定流程、首席信息官（CIO）和首席信息安全官（CISO）的決策流程。

然而，盡管IRPSC已經(jīng)存在且擁有職權，在沒有付出這份努力之前，政策制定仍然是發(fā)生在該委員會之外。因此我們不得不開展詳細的流程分析，與受到影響的團隊以及CIO和CISO進行討論，然后設計出一個整合的流程。結(jié)果，IRPSC的政策審議一直拖延到了IT治理啟動十個月以后。

我們的建議是在框架制定時就將關鍵流程設計到框架之中，而不是等到框架啟動應用以后。如果做不到這一點，那么各個委員會就將IT治理項目的最初3～6個月用于建立關鍵流程，而不是開始戰(zhàn)略規(guī)劃。

1.關鍵術語的定義

在企業(yè)級應用委員會（EAC）中，我們沒有對服務的“企業(yè)級”（Enterprise）進行定義。這是一個關鍵的術語，隱含了委員會的權限涉及哪些服務而不涉及其他服務，因此委員會花費了幾個月的時間開會爭論“企業(yè)級”的含義。

從這里得到的教訓是要為每個委員會提供一組清晰的案例來幫助成員理解他們的職責范圍和權限。在這個案例中，我們應當在進行與伙伴院校的最初對標討論時，對企業(yè)級應用和通用應用進行對比。

2.人員考慮

學校越大，IT治理項目的范圍越廣，委員會的數(shù)量越多，IT治理項目的管理就越復雜。最開始，只有一位全時人員的部分時間貢獻給了IT治理項目。隨著時間推移，越來越明確的一點是：我們需要至少一位全時人員來管理這個項目，從各個委員會的主席那里匯總各種議題和需求。各個委員會還需要在研究、分析和編寫報告中得到重大支持，在管理工作組和分委員會方面也是如此。

在此得到的經(jīng)驗是：要確保IT治理項目有專門的人員配備和基本的工具，用于滿足管理日程、投票、文檔、合作活動、研究、分析、調(diào)研等事務的需要。

走向成熟

與IT治理框架有關的組織變革是最困難的部分，而且需要更多的時間來實現(xiàn)。通過治理框架記錄一些事情是一回事；通過組織實踐和文化適應將其實現(xiàn)是另一回事。

1.戰(zhàn)略性IT預算

在IT治理項目實施的第二年，我們將要建立一個新的流程和分委員會來提高IT預算流程的一致性。盡管IT戰(zhàn)略委員會的章程中提到了此事，不過我們還是需要建立起實際的流程。預期成果是減少重復的IT開銷，在與TAMU使命相關的服務和項目上提升IT部門之間的協(xié)作，為IT行政理事會的領導們提供必要的數(shù)據(jù)和研究來支持他們的預算決策流程。

2.企業(yè)級服務的定義和服務分類

正如此前在經(jīng)驗和教訓中提到的，企業(yè)級應用委員會（EAC）將會對“企業(yè)級”服務進行定義并對這些服務進行分類，從而明確他們的職責。因此而形成的流程將用于對經(jīng)費需求、企業(yè)級服務變革、企業(yè)級服務退出以及新企業(yè)級服務的獲取進行概要描述。

3.組織行為

要符合IT治理的定義，IT治理項目應當將真正實現(xiàn)IT發(fā)展和TAMU使命的一致性作為一項核心目標。無論是在分散的還是集中的IT部門中，都需要減少管理中的投機取巧，從而確保IT部門在共享服務和企業(yè)級項目中更加緊密的合作，以及更好地遵從大學和大學系統(tǒng)的授權。

我們的目標是改進IT治理委員會的流程，從而使問題在IT治理項目中具有高效的解決途徑，從而實現(xiàn)對IT快速節(jié)奏的積極響應。要想讓IT治理項目長期保持有效，TAMU大學社群成員必須能看到IT治理產(chǎn)生的經(jīng)費、決策、政策和組織上的變革。

次要目標是讓IT治理成員和相關者認識到，改革IT治理的方式可以產(chǎn)生價值。這些價值包括有效的經(jīng)費使用模式，清晰的決策活動和透明的政策制定；也包括了未來可能的組織變革，從而確保項目的長期功效。最終，IT治理項目實現(xiàn)了學校長期戰(zhàn)略發(fā)展對IT治理文化的適應，也有助于引導IT治理項目的發(fā)展，促使其成熟并適應TAMU不斷變化的需求。