构建 IT 治理架构,提升企业信息化的核心价值
信息化已经成为烟草行业发展最重要的推动力,在烟草企业内部信息的重要
性已被广泛认同,信息系统也已逐步渗透到每个业务部门中,IT 系统开始从传
统的后台支持转变为新业务开展的直接驱动力,IT 也日益成为未来烟草企业的
直接利润中心。但是在另一方面,由于信息和信息技术已经成为烟草企业最重要
的资产之一,这就导致 IT 本身可能成为一个威胁,随 IT 而来的风险、利益和机
会使得 IT 治理成为企业治理中很关键的一个方面。管理层需要确保 IT 与未来烟
草企业战略一致,而且企业战略也要很好地利用 IT 的优势。因此随着烟草企业
对信息系统依赖性的增加,IT 治理对于企业的成功是至关重要的。
一、企业为什么需要有 IT 治理架构
什么是 IT 治理
根据国际信息系统审计和控制协会下的 IT 治理研究所的定义,IT 治理是一个
由关系和过程所组成的机制,用于指导和控制企业,通过平衡信息技术与过程的
风险、增加价值来确保实现企业的目标。通过这种机制和架构,IT 的决策、实
施、服务、监督等流程,IT 的各类资源、信息与企业战略和目标紧密地关联在
一起。同时 IT 治理把在 IT 各个方面的最佳实践从企业战略的角度加以有机的融
合,从而使企业能够最大化地获得 IT 在企业中的价值,并能够抓住 IT 赋予的机
遇和竞争优势。
一个成功的 IT 治理模式可以帮助企业达到以下目标:
与业务目标一致
IT 治理必须与企业战略目标一致,IT 对于企业非常关键,也是企业战略规
划的重要组成部分。因此 IT 治理要从组织目标和信息化战略中抽取信息需求和
功能需求,形成总体的 IT 治理框架和系统整体模型,为进一步的系统设计和实
施奠定基础,保证信息技术跟上持续变化的业务目标。
降低企业风险
IT 治理强调风险管理,通过制定信息资源的保护级别,强调关键的信息技
术资源,有效地进行实施监控和事故处理。此外它还能保护利益相关者的权益,
使风险透明化,指导和控制 IT 投资、机遇、利益、风险。
有效利用信息资源
IT 治理可以合理利用与协调企业的信息资源,并进行有效管理,确保 IT 及
时按照目标交付,有合适的功能和期望的收益,另一方面尽量避免信息化工程超
期、IT 客户的需求没有满足、IT 平台不支持业务应用等问题的发生。
IT 治理和企业治理及 IT 管理之间的关系
企业治理(公司治理)主要关注利益相关者的权益和管理,包括一系列责任
和条例,由最高管理层和执行管理层实施,目的是提供战略方向,保证目标能够
实现,追求投资的最大产出比,风险适当管理并合理使用资源等
而 IT 治理主要关注企业的 IT 投资是否与战略目标相一致,从而构筑必要的
核心竞争力。IT 治理要能体现未来信息技术与未来企业组织的战略集成。既要
尽可能地保持开放性和长远性,以确保系统的稳定性和延续性。由于 IT 规划往
往赶不上变化,再长远的规划也难以保证能跟上企业环境的变化,因此 IT 治理
中有一个相对有效的做法,就是在 IT 规划时认真分析企业的战略与 IT 支撑之间
的影响度,并合理预测环境变化可能给企业战略带来的偏移,在规划时留有适当
的余地,从业务战略到信息战略,做务实的牵引,不要追求大而全。
IT 治理有助于建立一个灵活的、具有适应性的企业。IT 治理能够影响信息
和指示:企业能够感知市场正在发生的事,使用知识资产并从中学习,创新新产
品、服务、渠道、过程;使企业能迅速变化,将革新带入市场,提升业绩。IT
治理应该体现“以组织战略目标为中心”的思想,通过合理配置 IT 资源来创造价
值。企业治理侧重于企业整体规划,IT 治理侧重于企业中信息资源的有效利用
和管理,提升企业信息化的核心价值。
IT 管理关注的是企业信息及信息系统的运营,确定 IT 目标以及实现此目标
所采取的行动;而 IT 治理是指最高管理层利用它来监督管理层在 IT 战略上的过
程、结构和联系,以确保这种运营处于正确的轨道之上。两者之间的关系好比硬
币的两面,谁也不能脱离谁而存在。IT 管理就是在既定的 IT 治理模式下,管理
层为实现公司的目标而采取的行动。
IT 治理规定了整个企业 IT 运作的基本框架,IT 管理则是在这个既定的框架
下驾驭企业奔向目标。缺乏良好 IT 治理模式的公司,即使有“很好”的 IT 管理体
系(而这实际上是不可能的),就像一座地基不牢固的大厦;同样,没有公司 IT
管理体系的畅通,单纯的治理模式也只能是一个美好的蓝图,而缺乏实际的内容。
IT 治理的成熟度
IT 治理的成熟度决定了企业的 IT 能力高低和实现业务价值的多少,如图 2
所示,IT 治理的成熟度越高,IT 能力就越高,实现的业务价值就越大。
IT 治理的模式
IT 治理的使命是保持 IT 与业务目标一致,推动业务发展,促使收益最大化,
合理利用 IT 资源,适当管理与 IT 相关的风险。IT 治理的目标是帮助管理层建立
以组织战略为导向,以外界环境为依据,以业务与 IT 整合为中心的观念,正确
定位 IT 部门在整个组织中的作用。这些 IT 治理的使命和目标的实现需要通过 IT
治理标准来实现,目前国际上通行的标准主要有四个:COBIT、ITIL、
ISO/IEC17799 和 PRINCE2。
1. COBIT
COBIT(Control Objectives for Information and related Technology):即信息系
统和技术控制目标。成立于 1969 年的美国信息系统审计与控制协会 ISACA,于
1996 推出了用于“IT 审计”的知识体系 COBIT。“IT 审计”已经成为众多国家的政
府部门、企业对 IT 的计划与组织、采购与实施、服务提供与服务支持、监督与
控制等进行全面考核与认可的业界标准。作为 IT 治理的核心模型, COBIT 包
含 34 个信息技术过程控制,并归集为四个控制域:IT 规划和组织(Planning and
Organization)、系统获得和实施(Acquisition and Implementation)、交付与支持
(Delivery and Support)以及信息系统运行性能监控(Monitoring)。
ITIL
ITIL(Information Technology Infrastructure Library):即信息技术基础构架
库,一套被广泛承认的用于有效 IT 服务管理的实践准则。1980 年以来,英国政
府商务办公室(GOC)为解决“IT 服务质量不佳”的问题,逐步提出和完善了一
整套对 IT 服务的质量进行评估的方法体系,叫做 ITIL。2001 年,英国标准协会
在国际 IT 服务管理论坛(itSMF)上正式发布了以 ITIL 为核心的英国国家标准
BS15000。这成为 IT 服务管理领域具有历史意义的重大事件。
ITIL 是一套详细描述最佳 IT 服务管理的丛书。它是一种公共框架、最佳实
践框架,服务质量是 ITIL 的核心。但 ITIL 只说明了要做什么(What),没有说
明如何去做(How),企业应根据需求去参照 ITIL 框架进行 IT 服务管理的建设,
而不应追求大而全;并且 ITIL 不是一个理论模型,而是一个最佳实践库。
BS 7799
BS 7799(ISO/IEC17799):即国际信息安全管理标准体系,2000 年 12 月,国
际标准化组织 ISO 正式发布了有关信息安全的国际标准 ISO17799,这个标准包
括信息系统安全管理和安全认证两大部分,是参照英国国家标准 BS7799 而来的。
它是一个详细的安全标准,包括安全内容的所有准则,由十个独立的部分组成,
每一节都覆盖了不同的主题和区域。它以“计划(Plan)、实施(Do)、检查
(Check)、行动(Action)”模式,将管理体系规范导入机构或企业内,以达到
“持续改进”的目的。
PRINCE2
PRINCE2(Projects In Controlled Environments)是一种对项目管理的某些特
定方面提供支持的方法。PRINCE2 描述了一个项目如何被切分成一些可供管理
的阶段,以便高效地控制资源的使用和在整个项目周期执行常规的监督流程。
PRINCE2 的视野并不仅仅限于对具体项目的管理,还盖了在组织范围对项目的
管理。
烟草企业 IT 治理的目标和架构
烟草企业 IT 治理的关键目标指标和关键成功因素
根据业界的最佳实践并结合烟草企业的情况,未来烟草企业在 IT 治理方面
应该主要达到以下关键目标:
各业务部门和信息中心明确各自的责任和义务,固化相关的流程和制度;
提高 IT 投资的回报并提高响应市场速度;
在预算范围内及时满足客户的需求和期望;提高用户(包括业务人员和零售
户、工业企业)的满意程度;
增加质量、创新和风险管理,加强绩效和成本管理;
适当集成并标准化业务和管理流程。
为了确保以上目标能够达成,以下几个要素是保障目标实现的关键因素:
IT 治理活动与企业治理过程相结合,并有企业领导的参与;
IT 治理专注于企业目标和战略,使用技术提高业务水平,及满足业务需求
的足够可用的资源和能力;
IT 治理活动应该目标明确,制订相关流程和规范并有效实施,它应是根据
企业需要出发并落实责任到人;
实施最佳实践以提高资源的有效使用,提高 IT 过程的监管效率;
建立组织准则以充分监督,形成一种控制的环境或文化。
未来烟草企业 IT 治理的架构
根据以上 IT 治理的目标并参考了目前主流的 IT 治理的模式,结合目前烟草
企业的实际情况,可以设计出如图 3 所示的 IT 治理架构:
图 3 烟草企业的 IT 治理架构
整个架构分成三个主要部分:
IT 组织:一个成功的 IT 治理首先需要有一个清晰的 IT 治理组织架构,并且组
织架构中的各个部门(包括人 员)都有
明确的角色和相关职责的定义;
IT 治理流程:IT 治理流程是保证烟草企业的相关部门采用合理的步骤进行 IT
治理活动,本部分的流程可分为了项目管理流程(属于不定期流程)和日常维护
流程两大类进行描述;
IT 制度:IT 制度是将日常的流程进行固化并形成针对烟草企业的规范,需要
每个员工都加以遵循的一种措施。
下面以一个烟草企业为例,介绍如何通过设计 IT 组织架构、IT 治理流程、IT
管理制度,构建企业的 IT 治理架构。
IT 组织
目前主流的 IT 治理的组织模式分析
目前主流的 IT 治理的组织模式有专制管理模式、联邦型管理模式、分散管
理模式等三种,
其各自的特点见图 4:
图 4 专制管理模式、分散管理模式和联邦型管理模式的比较
专制管理模式
专制管理模式是由 IT 部门或某一个强势业务部门统一管理所有的 IT 项目的
投资、建设和维护。IT 治理相关的业务决策由完全由该部门负责。
专制管理模式的主要优势是成本导向型架构,能够较好地管理当前的 IT 资产
和系统,并且随着企业经营规模的扩大能够节约 IT 成本。
专制管理模式的主要问题是在整个 IT 系统决策过程中业务部门基本上不参与,
业务部门对系统的开发无所有权,IT 设计和开发由 IT 部门独立完成,对于业务
部门的决定 IT 部门可以完全不以采纳,因此响应速度较慢,缺乏创新。
专制管理模式适用于追求短期利润的公司。这些公司的战略强调了有效的业
务运作,这些运作常常集中于业务流程成本和利润率的度量上。与此相应,所
需的 IT 行为在追求低的业务成本上高度标准化。
分散管理模式
分散管理模式是由各个业务部门独立负责各自业务范围内的 IT 项目的投资、
建设和运营, IT 治理的决策由业务部门自行决定并且仅局限于本部门的范围。
分散管理模式的优势是业务部门拥有系统开发能力,业务人员和 IT 人员都能
理解业务流程并参与系统建设,对业务部门的需求响应更为及时,创新能力增强。
分散管理模式的主要问题是每个业务部门的战略和整个企业战略可能出现不
一致的情况,带来跨部门之间的应用难以部署,应用集成难度增加,信息化建设
可能导致重复劳动,IT 资产不能在整个企业范围内共享,随着企业发展会导致
成本迅速上升。
分散管理模式适用于一些新成立的公司或研发类的公司。他们是以收入增长
作为成功的度量标准。这些公司很少甚至不开发企业级的技术和业务流程标准,
从而使公司在创新和业务单元自动化上受到的约束达到最小化。与此对应,他们
所需要的治理机制也很少,而往往是只依赖于一个投资流程来识别高度优先的战
略项目并管理风险。
联邦型管理模式
联邦型管理模式是由 IT 部门与业务部门联合进行 IT 管理,各自负有明确的
职责。IT 治理的决策由业务部门和 IT 部门在全面衡量各种影响因素之后做出。
联邦型管理模式的主要优势是 IT 部门和业务部门共同进行 IT 决策,在一定
程度上可以克服 IT 专制管理模式和分散管理模式的缺点。
联邦型管理模式的主要问题是对资源的管理和协调难度增加,需要很强的协
调能力,而且不能完全保证成功。
联邦型管理模式适用于致力于利润的持续增长与业务创新的公司。这些公司
集中使用共享服务来获得更高的顾客响应速度或者规模经济——或者两者兼而
有之,他们的 IT 准则是强调流程、系统、技术和数据模型等方面的共享和重用。
他们引入联邦型治理机制,以处理全公司范围内的控制和局部控制之间的矛盾。
这些机制包括业务—IT 关系经理、服务水平协议和 IT 产品回收、由业务单元 IT
代表组成的 IT 领导团队和由 IT 成员组成的流程团队等。
根据以上分析和烟草行业的实际情况,烟草企业在 IT 组织上应该采用联邦制
的模式,即业务部门和 IT 部门共同参与 IT 系统和项目的决策过程。
2.烟草企业 IT 组织架构和相关职责规划
IT 治理组织结构是贯彻落实 IT 战略的基础。未来烟草企业的 IT 治理组织架构
应该采用联邦型管理模式,其分层次的组织结构如图 5 所示,组织结构中的各个
部分各司其职、相互合作,共同参与信息化工作。
3.组织架构的相关职责规划
(1)信息化领导小组:该小组是未来烟草企业 IT 治理的核心小组,由企业
的一把手挂帅,分管信息化的副职领导、各个业务部门和其他部门(如财务部门)
负责人和信息中心的领导共同组成。它享有决定烟草企业 IT 投资的权力,也承
担保证 IT 项目促进业务发展的责任。其主要的职责是对烟草企业信息化投资进
行决策,并对大型的 IT 项目进行详细的规划和组建,并协调各方面的资源,保
证项目的顺利进行。
(2)信息中心:企业的信息中 心是
企业信息化建设的专职部门,负责规划、建设、整合、维护、管理企业的信息网
络和信息系统,管理和开发利用企业的信息资源,为企业的经营、管理、决策提
供信息化的支持与服务。信息中心的工作主要有以下三方面内容:
IT 规划管理:主要负责烟草企业信息化的战略规划(如近期、中期和长期),
并负责 IT 需求的收集和评估、IT 项目投资立项、项目实施方案选择、修改项目
或修订实施方案等决策事宜;
IT 项目管理:主要负责烟草企业信息化项目的具体管理,对外负责对集成商
或软件开发商的管理,对内作为各个业务部门信息化应用的主要协调者;
IT 日常管理:主要负责对烟草企业信息系统(包括软硬件、基础设施等系统)
的维护,保证其安全、稳定、高效的运行。
(3)业务部门:作为信息化项目的主要受益者,其职责是和信息中心紧密协
作,提出业务需求,积极参与信息化项目的建设。
(4)项目小组:由信息中心和业务部门、项目承建方共同组成项目实施团
队,必要时还可聘请监理公司。项目小组可以由以下小组构成:
项目指导委员会:由信息化领导小组和项目承建方高层领导组成,负责为项
目提供方向性指导,保证业主方和承建方高层领导对本项目的支持;及时帮助解
决本项目的关键问题(非技术性的问题),如项目预算、人力资源保证、可能的
来自员工对变革的阻力等;
管理组:由业主方、承建方和监理方的项目经理组成,并由业主方的信息中
心主任出任项目总监。管理组负责制定项目计划,实施项目管理,协调各方的工
作;
功能组:由业主方的业务部门相关领导和业务骨干、信息中心的系统分析员
和技术人员,承建方的系统分析人员和技术人员,监理方的监理人员组成,负责
项目的需求分析和概要设计,进行项目质量监控,并负责用户培训;
技术组:由业主方信息中心的技术人员、承建方的技术人员、监理方的监理
人员组成,负责系统的开发、测试和部署等工作。
关键 IT 治理流程——项目管理流程
项目管理流程设计原则
IT 治理流程的设计是为了能够在跨业务部门的流程中顺利完成 IT 业务的操
作,是完整的,可见的,并且是可管理的。在对项目管理流程设计的时候,应遵
循以下的设计原则:
流程设计的目标是要创造价值的,所以必须剔除所有无价值的环节;
高价值的流程是流程设计的重点,这样才能集中企业有限的管理资源产生最
大的回报;
流程是持续的,需要不断创新的,而不是重复的整理历史;
只有明确的责任人,才能保障流程每个环节的顺畅流转。
关键的项目管理流程
根据信息系统项目生命周期的特点,整个项目管理可分成规划阶段、立项阶
段、采购阶段、开发/集成阶段、试运行阶段和维护阶段,而每个阶段都有不同
的流程与之对应,如图 6 所示:
规划阶段
规划阶段的工作流程是规划管理,它是按照企业的战略规划和业务目标,根
据各部门对 IT 的需求,结合 IT 行业的现状和发展趋势,制定企业的 IT 规划,
并进一步形成企业年度的信息化建设计划。
立项阶段
立项阶段包括以下三个工作流程:
需求管理:
在项目正式立项之前,需要对用户需求进行认真的评估和可行性分析,确定
项目需求,提出项目初步设计方案,估算项目预算,形成项目立项申请报告。
大型项目立项管理:
对项目预算超过 100 万的项目,项目立项需通过信息化领导小组(含财务部
门)评审,最后由企业信息化分管领导审批。 项目预算达到上报界限的需报国
家局审批。
小型项目立项管理:
对项目预算低于 100 万的项目,项目立项需由企业信息化分管领导审批,最
后提交财务部门评审。
采购阶段
采购阶段包括以下两个工作流程:
招标管理:
对项目预算在 50 万元及以上的项目,按相关规定必须进行招标。由信息中心、
财务、监察以及相关部门组成招标小组,进行招标、评标和合同签订等相关工作。
谈判或比价采购:
对项目预算在 50 万元以下的项目,按相关规定可以进行谈判或比价采购。进
行谈判的项目由信息中心、财务、监察以及相关部门组成谈判小组,进行评审、
谈判和合同签订等相关工作。进行比价采购的由信息中心向三家以上供应商询价,
货比三家选择供应商。
开发/集成阶段
开发/集成阶段的工作流程分为软件开发和系统集成两类,各有两个流程:
软件开发类——软件开发管理:
根据软件开发规范的要求,由信息中心、开发方和业务部门共同参与,按照
需求分析、概要设计、详细设计等几个阶段完成软件的开发。
软件开发类——软件测试管理:
对软件进行功能测试和压力测试,确保软件运行的正确、稳定、可靠。
系统集成类——系统集成管理:
根据项目的要求,由信息中心、集成商共同完成设备/软件验货、安装、调试
等工作。
系统集成类——系统测试管理:
对系统进行测试,确保系统运行的正确、稳定、可靠。
试运行阶段
开发测试阶段包括以下两个工作流程:
试运行管理:
在系统试运行前首先要做好用户培训工作,然后启动试运行。在试运行过程
中要不断收集用户意见,根据意见及时进行修改,直至系统运行正确、功能完善
为止。
切换管理:
对于那些已在实时运营的生产系统来说,为了保证数据的一致性需要进行新
旧系统的切换。在新系统通过试运行后,要制定周密的系统切换计划和回退方案,
按计划进行系统备份、数据迁移、系统切换、系统测试,完成切换工作。
维护阶段
维护阶段的工作流程详见下一节。
项目管理的六个阶段所包含的工作流程还可以进行详细设计,由于篇幅有限
在这里不再详述。
关键 IT 治理流程——日常维护流程
日常维护流程设计原则
在日常维护流程的设计中,我们根据未来烟草企业数据(系统)中心运营管
理方面的需求,并结合 IT 服务管理(ITSM)理论,在设计时候着重考虑了如下
的原则:
简单性:流程设计的最终目的是为了帮助集中运行的数据(系统)中心提高
服务效率,所以流程应该简单清楚,便于掌握,有良好的执行效率。
职责清晰:良好的流程还必须靠人来执行,因为职责清楚的流程才能真正高
效地运行。在设计中将清楚定义数据(系统)中心相关人员在每个活动中的职责。
继承性和科学性:运维流程是以 ITSM 最佳实践作参考,应具有先进的 IT 管
理理念,经得起实践检验。
方便性和可控性的平衡:流程的运作应该方便顺畅,有助于打破各部门之间
的壁垒,将不同部门负责的不同管理活动有机地结合起来;但同时也要考虑到流
程本身的可控性和可管理型,这样才能既达到提高 IT 服务质量和客户满意度的
目标,又能改善流程的性能。
关键的日常维护流程
未来烟草企业的日常维护流程主要包括三个类别,如图 7 所示:
图 7 日常维护流程
IT 运维管理类:
主要从未来烟草企业的数据(系统)中心运维的角度出发设计了主要的信息
系统维护流程:包括系统监控流程、安全管理流程、备份管理流程、系统升级/
维护流程。
IT 服务管理类:
主要根据 ITIL 的理念并结合 烟草企
业的实际情况设计了服务台/事件管理流程、问题管理流程、配置管理流程、变
更管理流程。
IT 综合管理类:
主要包括设备采购管理流程、设备报废流程、档案管理流程和外包管理流程。
IT 制度
IT 制度制定原则
制度是企业管理员工工作的准则,也是员工执行工作的依据。制度规定了员
工的职责,固化了工作的流程,明确了员工的责任。换句话说,制度就是企业的
法律。IT 制度对于信息化建设同样是致关重要的,IT 制度的制定应遵循以下原
则:
制度的制定要职责清晰、流程明确,在事前可以使员工对工作心中有数,事
中可以使工作流程顺畅,事后有问题时可以追究责任;
应首先考虑在影响面大或涉及部门、员工多的工作中建立工作制度,逐步增
加和完善,形成覆盖信息化工作各个方面、各个阶段、各个环节的制度体系;
成熟规范的工作流程可以逐步转化成制度加以固化,成熟的制度可以进一步
上升为 IT 管理标准。
主要的 IT 制度
按照信息化工作涵盖的几个方面,即信息系统规划、建设、整合、维护、管
理,信息资源管理和开发利用,需要制定以下的 IT 管理制度:
计算机使用管理规定;
机房设施管理规定
服务器及相关设备管理规定
网络管理规定
网络与信息安全管理规定
信息资源管理规定
计算机设备采购、维护和报废管理规定
信息化项目管理规定
信息化工作考核办法
结束语
知识管理大师保罗·斯特斯曼曾经说过:信息系统在企业中从根本上来说已经
是一种政治,其次才是一门技术。这里所谓的“政治”其实就是指无论是资金的投
入还是对信息系统的使用和管理,企业首要关注点应该是使用技术的环境而不是
技术本身。这个环境可以理解为:业务、商业风险、组织能力、运作能力和竞争
能力等,只有与这些“政治”要素相匹配和融合才能实现 IT 投资的最终目的;另
一方面如果从追求技术先进性的角度考虑企业在 IT 方面的投入,那这种投入再
多也显得不多,关键是在控制投入的同时获得 IT 价值的最大化,并最大限度将
IT 对业务运作的影响降到可接受的范围,这是信息化程度高的企业面临的首要
问题。而 IT 治理将是解决这些问题的最有效的途径。可以预计,未来 IT 治理架
构的建设会越来越受到重视,随着烟草行业信息化程度的提高,IT 治理将发挥
越来越重要的作用。
参考文献
1、战备等编. IT 规划. 机械工业出版社
2、埃森哲公司与广东烟草专卖局(公司)经济信息中心合编. 广东烟草商业
系统信息化整体规划.
3、左美云等编. 企业信息管理. 中国物价出版社
4、王玉荣编. 流程管理. 机械工业出版
