人们经常能听到CIO抱怨:“加班越来越多,投入越来越大,而IT效果却不明显。”海创公司是一家主营石化产品的公司,在国内有独资、合资及合作公司多达十余家。几年来,公司陆续开展多项IT项目建设,形成了财务管理系统、CRM销售管理系统、工程管理系统、人力资源管理系统等。然而,这些已建设好的系统,虽然给公司各个部门的经营活动带来便利,却也埋下了不少隐患。
随着系统使用越来越频繁,在抱怨背后的一系列问题就越发凸显。诸如缺乏IT总体规划、IT制度流程不规范、严重缺乏风险控制措施等诸多IT管理失控造成的问题。例如:由于缺乏规划导致工作缺乏计划性;IT制度流程缺失使许多流程不能有效执行;而风险控制措施的缺乏则导致对本来可预见的问题而估计不足,CIO只能处处救火。这些都使得CIO张家兴无暇考虑IT价值的实现,每天被大量事务性的事情花掉了大部分的时间,IT效果不明显也就不言而喻。
IT管控缺失的严重后果
随着IT建设不断深入,许多企业的眼光仅仅着眼于技术先进性,而没有更多的放在IT管理理念和方法上。现在张家兴就深深感受到缺乏IT管控给海创公司带来的痛楚。
①由于IT建设的定位、目标、整体IT组织体系和管理机制未理顺,造成许多系统在实际的使用时侯存在很多问题。某些系统大而全导致了系统间功能重迭,造成资源的浪费。另一方面,某些系统功能过于简单,又未能有效满足核心业务领域的需求。
②系统间未实现接口,信息交互不便。由于各套业务系统是在不同时期、由不同的软件开发商、利用不同的工具、在不同的开发平台开发出来的,并且运行在不同的操作系统和数据库平台之上,形成系统对业务的支撑程度参差不齐。
③IT管控没有形成一个统一的标准,各个部门各自为阵,各个业务系统之间又相互独立,部门之间交换数据十分麻烦,这就逐渐的形成了一个信息孤岛。有效信息的获取和甄选难。而且随着公司信息化建设的逐渐发展,系统带来的数据和信息越来越多,也给各管理层带来一大难题,面对一大堆的信息资源,要区分出有效信息和无效信息需要花大量时间。
所有上述情况,海创公司CIO张家兴认为归根结缔都是:IT与业务部门未能实现有效的配合,IT项目没有有效的管控。他说:“我们急需一个整体的可实施的IT管控,为信息化建设指明一个方向,解决这个最基本的问题。”
IT管控是什么?
一般来说,IT管控是促进业务,使IT工具与业务目标一致,规避IT风险,保证IT投资价值,充分利用现有的资源,高效确保公司运营可持续的发展,并对运营效果有一个可量化的绩效评估的管理和控制。简单来说,就是通过对IT的管理与控制,促使业务目标的实现,或者也叫IT治理。
IT管控包括四项基本能力:IT规划能力、IT控制能力、制度规范约束能力、风险控制能力。随着企业业务逐步运行在各种系统环境下,IT管控能力的高低直接影响到企业效益的实现。可见,要想真正让IT系统发挥价值增值的作用,必须解决IT运营过程中的管理与控制问题,通过有效的管控手段使“黑箱”转变为“白箱”。一方面要将IT系统的技术与管理紧密结合起来,另一方面,要明确IT系统的方向,通过确定明确的控制目标,将使整个运营过程透明化,从而提高IT系统的效率,最终改善企业信息化的绩效。
由于IT项目实施非常复杂与困难,耗费的时间长,而且投入巨大,如果IT项目缺乏有效监控,缺乏有效机制保障信息系统投资的实际投放和效益反馈,陷入信息化应用的泥潭就不可避免。一般来说有以下几种情况会造成IT管控缺失:
①高层对IT管控的重要性认识不足。公司高层对IT系统的规划、日常管理、风险控制缺乏配套的细致的考虑。不少高层认为IT只是技术部门或信息中心的事,离自己很远。而信息中心充当的仅仅是维护中心的职能,而没有信息管理与技术管理职能。故IT系统的运营经常缺乏规划,企业各部门成了信息孤岛,使得IT运营往往脱离了企业实际需求的正确轨道。
②人才和实践经验缺乏。IT管控人才缺乏也是关键原因,信息中心引进的人才是单纯的计算机专业人才,缺乏技术管理人才和信息经济人才,对IT如何与企业特点相结合没有经验,企业想搞好管控工作,但不知道从何做起。
③IT技术与管理的脱节也是信息化管控缺失的症状表现。IT管理部门有很大的权限购买和开发他们认为重要的系统,而不考虑IT投资的效率和效果。因此IT系统的应用并没有改变落后的流程,信息一致性与共享机制难以形成;原有业务处理流程与计算机信息处理流程间的矛盾难以解决;信息化应用根本达不到预期想象的效果。因此,很难使管理软件系统正常运行,或者即使勉强保持系统运行也远未能实现预期目标。
④只进行核心的业务系统(软/硬件)建设,无暇顾及IT管控能力的提升。部分IT项目建设甚至成了领导者的政绩工程,投资巨大但是却盲目建设,存在严重的技术高消费,采购了先进的技术和设备,但在营运绩效方面却落后很多。在这种情况下,由于缺乏来自业务和管理层强有力的推动,项目范围和目标很快会失去控制。导致系统的安装远远超出预定时间,数据丢失、系统反应时间延迟等问题屡屡发生。
⑤信息化项目评价缺乏可具体参照的标准也是导致IT管控缺乏的根源之一。
几种IT管控的国际标准
如何借助IT管控来实现对整个企业内部管理的精确化,将公司内部的管控建立在规范化、标准化、低成本和低风险的基础上,这几个问题一直是困扰企业CIO的难题。目前,IT管控能力薄弱是信息化建设中逐渐呈现出的问题之一,表现为缺乏总体规划、IT目标不明确、IT制度流程不规范、风险控制措施严重缺乏等诸多问题。特别是谋求走出国门的企业,用美国SOX法案来考量时才逐渐意识到这个问题。所以,如何构建一个既满足企业的业务需要,又能够符合国际标准的IT管控体系,是目前很多CIO在思考的问题。涉及到有关企业IT管控能力的国际标准,包括COBIT、ITIL、ISO20000等。
COBIT目前已成为国际上公认的IT管理与控制框架。该标准为IT治理、安全与控制提供了一个一般适用的公认的框架,以辅助管理层进行IT治理。该标准体系已在世界一百多个国家的重要组织与企业中运用,指导这些组织有效利用信息资源,有效地管理与信息相关的风险。
ITIL(ITInfrastructureLibrary,IT基础架构标准库)是英国国家电脑局开发的一套IT业界的服务管理标准库。它把英国各界在IT管理方面最好的方法归纳起来,变成规范,旨在为企业的IT部门提供一套从计划、研发、实施到运维的标准方法。ITIL的目标是找出对IT顾客真正需要的程序,而这些程序正是提供高品质、最合适的服务所必要的,而且是在可接受的成本下。包括:有硬件、软件、程序、文档、人员。ITIL可以部分或全部采用,很适合用来做为管理平台基础。
IT管控的经验总结
构建IT管控体系是一项复杂的系统工程,涉及到人、硬件、软件,以及管理层面的IT服务管理、风险管理和成本管理多个方面。企业可以从基础开始建设,首先构建符合自身特点的IT管控框架,并明确IT管控能力构建的目标,在目标导向的原则指导下,建立的IT管控体系才能有效实现企业IT管控。
根据有关研究,企业IT管控框架包括两方面:首先是IT服务管理能力、IT风险控制能力、IT成本控制能力方面的控制。其次,IT管控在作为管控对象的人和系统(硬件、软件)展开,确定IT管控在各个方面要达到要求。因此,企业强化IT管控能力,可以从以下几个方面入手:
①做好企业IT管控能力的现状评估。通过评估,找出与目标的差距,强化薄弱环节。国内企业需要经常将IT管控建设当作一个项目来做,对于经常处于变化中的企业业务来说,IT管控需要适应这种变化。因此,IT管控能力的评估应逐步成为企业信息化建设的一项周期性工作。
②IT管控能力也需要总体规划。IT管控能力总体规划不同于以往的IT总体规划,是强调管控能力对企业信息化可持续发展的价值导向进行的规划。在强调企业IT管控的目标与现实评估能力的差距基础上,进行有计划的改善。IT管控能力规划关注IT管控建设对IT绩效的促进。
③重视构建IT管控能力的管理平台。IT管控能力伴随企业信息化及企业的整个生命周期,需要管理平台支撑和保障IT管控能力的不断改善和提升。管理平台构建应包括能力监测、日常管理与维护、IT管控体系优化等。
目前IT管控能力薄弱是企业信息化建设中比较普遍的问题,对于企业来说,IT管控能力的高低直接影响到企业效益的实现,因此,CIO必须认真规划企业信息化项目建设的IT管控。