构建IT治理架构提升企业信息化的核心价值

构建IT治理架构提升企业信息化的核心价值
构建IT治理架构提升企业信息化的核心价值
摘要：本文论述了it治理的内涵以及它与企业治理及it管理的关系，阐明了企业构建it治理架构的必要性，并结合烟草行业的情况，提出烟草企业的it治理模式。

最后以一个烟草企业为例，介绍如何构建企业的it治理架构。

关键词：it治理信息化 it管理
信息化已经成为烟草行业发展最重要的推动力，在烟草企业内部信息的重要性已被广泛认同，信息系统也已逐步渗透到每个业务部门中，it系统开始从传统的后台支持转变为新业务开展的直接驱动力，it也日益成为未来烟草企业的直接利润中心。

但是在另一方面，由于信息和信息技术已经成为烟草企业最重要的资产之一，这就导致it本身可能成为一个威胁，随it而来的风险、利益和机会使得it治理成为企业治理中很关键的一个方面。

管理层需要确保it与未来烟草企业战略一致，而且企业战略也要很好地利用it的优势。

因此随着烟草企业对信息系统依赖性的增加，it治理对于企业的成功是至关重要的。

一、企业为什么需要有it治理架构
什么是it治理
根据国际信息系统审计和控制协会下的it治理研究所的定义，it治理是一个由关系和过程所组成的机制，用于指导和控制企业，通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。

通过这种机制和架构，it的决策、实施、服务、监督等流程，it的各类资源、信息与企业战略和目标紧密地关联在一起。

同时it治理把在it各个方面的最佳实践从企业战略的角度加以有机的融合，从而使企业能够最大化地获得it在企业中的价值，并能够抓住it 赋予的机遇和竞争优势。

一个成功的it治理模式可以帮助企业达到以下目标：
与业务目标一致
it治理必须与企业战略目标一致，it对于企业非常关键，也是企业战略规划的重要组成部分。

因此it治理要从组织目标和信息化战略中抽取信息需求和功能需求，形成总体的it治理框架和系统整体模型，为进一步的系统设计和实施奠定基础，保证信息技术跟上持续变化的业务目标。

降低企业风险
it治理强调风险管理，通过制定信息资源的保护级别，强调关键的信息技术资源，有效地进行实施监控和事故处理。

此外它还能保护利益相关者的权益，使风险透明化，指导和控制it投资、机遇、利益、风险。

有效利用信息资源
it治理可以合理利用与协调企业的信息资源，并进行有效管理，确保it及时按照目标交付，有合适的功能和期望的收益，另一方面尽量避免信息化工程超期、it客户的需求没有满足、it平台不支持业务应用等问题的发生。

it治理和企业治理及it管理之间的关系
企业治理（公司治理）主要关注利益相关者的权益和管理，包括一系列责任和条例，由最高管理层和执行管理层实施，目的是提供战略方向，保证目标能够实现，追求投资的最大产出比，风险适当管理并合理使用资源等。

而it治理主要关注企业的it投资是否与战略目标相一致，从而构筑必
要的核心竞争力。

it治理要能体现未来信息技术与未来企业组织的战略集成。

既要尽可能地保持开放性和长远性，以确保系统的稳定性和延续性。

由于it规划往往赶不上变化，再长远的规划也难以保证能跟上企业环境的变化，因此it 治理中有一个相对有效的做法，就是在it规划时认真分析企业的战略与it支撑之间的影响度，并合理预测环境变化可能给企业战略带来的偏移，在规划时留有适当的余地，从业务战略到信息战略，做务实的牵引，不要追求大而全。

it治理有助于建立一个灵活的、具有适应性的企业。

it治理能够影响信息和指示：企业能够感知市场正在发生的事，使用知识资产并从中学习，创新新产品、服务、渠道、过程；使企业能迅速变化，将革新带入市场，提升业绩。

it治理应该体现“以组织战略目标为中心”的思想，通过合理配置it资源来创造价值。

企业治理侧重于企业整体规划，it治理侧重于企业中信息资源的有效利用和管理，提升企业信息化的核心价值。

it管理关注的是企业信息及信息系统的运营，确定it目标以及实现此目标所采取的行动；而it治理是指最高管理层利用它来监督管理层在it战略上的过程、结构和联系，以确保这种运营处于正确的轨道之上。

两者之间的关系好比硬币的两面，谁也不能脱离谁而存在。

it管理就是在既定的it治理模式下，管理层为实现公司的目标而采取的行动。

it治理规定了整个企业it运作的基本框架，it管理则是在这个既定的框架下驾驭企业奔向目标。

缺乏良好it治理模式的公司，即使有“很好”的it 管理体系（而这实际上是不可能的），就像一座地基不牢固的大厦；同样，没有公司it管理体系的畅通，单纯的治理模式也只能是一个美好的蓝图，而缺乏实际的内容。

图1 it治理与企业治理及it管构建IT治理架构提升企业信息化的核心价值第2页
理之间的关系
it治理的成熟度
it治理的成熟度决定了企业的it能力高低和实现业务价值的多少，如图2所示，it治理的成熟度越高，it能力就越高，实现的业务价值就越大。

图2 it治理的成熟度模型
it治理的模式
it治理的使命是保持it与业务目标一致，推动业务发展，促使收益最大化，合理利用it资源，适当管理与it相关的风险。

it治理的目标是帮助管理层建立以组织战略为导向，以外界环境为依据，以业务与it整合为中心的观念，正确定位it部门在整个组织中的作用。

这些it治理的使命和目标的实现需要通过it治理标准来实现，目前国际上通行的标准主要有四个：cobit、itil、iso/iec17799和prince2。

1. cobit
cobit（control objectives for information and related technology）：即信息系统和技术控制目标。

成立于1969年的美国信息系统审计与控制协会isaca，于1996推出了用于“it审计”的知识体系cobit。

“it审计”已经成为众多国家的政府部门、企业对it的计划与组织、采购与实施、服务提供与服务支持、监督与控制等进行全面考核与认可的业界标准。

作为it治理的核心模型， cobit包含34个信息技术过程控制，并归集为四个控制域：it规划和组织(planning and organization)、系统获得和实施（acquisition and
implementation）、交付与支持（delivery and support）以及信息系统运行性能监控（monitoring）。

itil
itil（information technology infrastructure library）：即信息技术基础构架库，一套被广泛承认的用于有效it服务管理的实践准则。

1980年以来，英国政府商务办公室（goc）为解决“it服务质量不佳”的问题，逐步提出和完善了一整套对it服务的质量进行评估的方法体系，叫做itil。

20xx年，英国标准协会在国际it服务管理论坛（itsmf）上正式发布了以itil为核心的英国国家标准bs15000。

这成为it服务管理领域具有历史意义的重大事件。

itil是一套详细描述最佳it服务管理的丛书。

它是一种公共框架、最佳实践框架，服务质量是itil的核心。

但itil只说明了要做什么（what），没有说明如何去做（how），企业应根据需求去参照itil框架进行it服务管理的建设，而不应追求大而全；并且itil不是一个理论模型，而是一个最佳实践库。

bs 7799
bs 7799(iso/iec17799)：即国际信息安全管理标准体系，20xx年12月，国际标准化组织iso正式发布了有关信息安全的国际标准 iso17799，这个标准包括信息系统安全管理和安全认证两大部分，是参照英国国家标准bs7799而来的。

它是一个详细的安全标准，包括安全内容的所有准则，由十个独立的部分组成，每一节都覆盖了不同的主题和区域。

它以“计划（plan）、实施（do）、检查（check）、行动（action）”模式，将管理体系规范导入机构或企业内，以达到“持续改进”的目的。

prince2
prince2（projects in controlled environments）是一种对项目管理的某些特定方面提供支持的方法。

prince2描述了一个项目如何被切分成一些可供管理的阶段，以便高效地控制资源的使用和在整个项目周期执行常规的监督流程。

prince2的视野并不仅仅限于对具体项目的管理，还盖了在组织范围对项目的管理。

烟草企业it治理的目标和架构
烟草企业it治理的关键目标指标和关键成功因素
根据业界的最佳实践并结合烟草企业的情况，未来烟草企业在it治理方面应该主要达到以下关键目标：
各业务部门和信息中心明确各自的责任和义务，固化相关的流程和制度；
提高it投资的回报并提高响应市场速度；
在预算范围内及时满足客户的需求和期望；提高用户（包括业务人员和零售户、工业企业）的满意程度；
增加质量、创新和风险管理，加强绩效和成本管理；
适当集成并标准化业务和管理流程。

为了确保以上目标能够达成，以下几个要素是保障目标实现的关键因素：
it治理活动与企业治理过程相结合，并有企业领导的参与；
it治理专注于企业目标和战略，使用技术提高业务水平，及满足业务需求的足够可用的资源和能力；
it治理活动应该目标明确，制订相关流程和规范并有效实施，它应是根据企业需要出发并落实责任到人；
实施最佳实践以提高资源的有效使用，提高it过程的监管效率；
建立组织准则以充分监督，形成一种控制的环境或文化。

未来烟草企业it治理的架构
根据以上it治理的目标并参考了目前主流的it治理的模式，结合目前烟草企业的实际情况，可以设计出如图3所示的it治理架构：
图3 烟草企业的it治理架构
整个架构分成三个主要部分：
it组织：一个成功的it治理首先需要有一个清晰的it治理组织架构，并且组织架构中的各个部门（包括人员）都有明确的角色和相关职责的定义；
it治理流程：it治理流程是保证烟草企业的相关部门采用合理的步骤进行it治理活动，本部分的流程可分为了项目管理流程（属于不定期流程）和日常维护流程两大类进行描述；
it制度：it制度是将日常的流程进行固化并形成针对烟草企业的规范，需要每个员工都加以遵循的一种措施。

下面以一个烟草企业为例，介绍如何通过设计it组织架构、it治理流程、it管理制度，构建企业的it治理架构。

it组织
目前主流的it治理的组织模式分析
目前主流的it治理的组织模式有专制管理模式、联邦型管理模式、分散管理模式等三种，
其各自的特点见图4：
图4 专制管理模式、分散管理模式和联邦型管理模式的比较
专制管理模式
专制管理模式是由it部门或某一个强势业务部门统一管理所有的it 项目的投资、建设和维护。

it治理相关的业务决策由完全由该部门负责。

专制管理模式的主要优势是成本导向型架构，能够较好地管理当前的it资产和系统，并且随着企业经营规模的扩大能够节约it成本。

专制管理模式的主要问题是在整个it系统决策过程中业务部门基本上不参与，业务部门对系统的开发无所有权，it设计和开发由it部门独立完成，对于业务部门的决定it部门可以完全不以采纳，因此响应速度较慢，缺乏创新。

专制管理模式适用于追求短期利润的公司。

这些公司的战略强调了有效的业务运作，这些运作常常集中于业务流程成本和利润率的度量上。

与此相应，所需的it行为在追求低的业务成本上高度标准化。

分散管理模式
分散管理模式是由各个业务部门独立负责各自业务范围内的it项目的投资、建设和运营， it治理的决策由业务部门自行决定并且仅局限于本部门的范围。

分散管理模式的优势是业务部门拥有系统开发能力，业务人员和it人员都能理解业务流程并参与系统建设，对业务部门的需求响应更为及时，创新能力增强。

分散管理模式的主要问题是每个业务部门的战略和整个企业战略可能出现不一致的情况，带来跨部门之间的应用难以部署，应用集成难度增加，信息化建设可能导致重复劳动，it资产不能在整个企业范围内共享，随着企业发展会导致成本迅速上升。

分散管理模式适用于一些新成立的公司或研发类的公司。

他们是以收入
增长作为成功的度量标准。

这些公司很少甚至不开发企业级的技术和业务流程标准，从而使公司在创新和业务单元自动化上受到的约束达到最小化。

与此对应，他们所需要的治理机制也很少，而往往是只依赖于一个投资流程来识别高度优先的战略项目并管理风险。

联邦型管理模式
联邦型管理模式是由it部门与业务部门联合进行it管理，各自负有明确的职责。

it治理的决策由业务部门和it部门在全面衡量各种影响因素之后做出。

联邦型管理模式的主要优势是it部门和业务部门共同进行it决策，在一定程度上可以克服it专制管理模式和分散管理模式的缺点。

联邦型管理模式的主要问题是对资源的管理和协调难度增加，需要很强的协调能力，而且不能完全保证成功。

联邦型管理模式适用于致力于利润的持续增长与业务创新的公司。

这些公司集中使用共享服务来获得更高的顾客响应速度或者规模经济——或者两者兼而有之，他们的it准则是强调流程、系统、技术和数据模型等方面的共享和重用。

他们引入联邦型治理机制，以处理全公司范围内的控制和局部控制之间的矛盾。

这些机制包括业务—it关系经理、服务水平协议和it产品回收、由业务单元it代表组成的it领导团队和由it成员组成的流程团队等。

根据以上分析和烟草行业的实际情况，烟草企业在it组织上应该采用联邦制的模式，即业务部门和it部门共同参与it系统和项目的决策过程。

2．烟草企业it组织架构和相关职责规划
it治理组织结构是贯彻落实it战略的基础。

未来烟草企业的it治理组织架构应该采用联邦型管理模式，其分层次的组织结构如图5所示，组织结构中的各个部分各司其职、相互合作，共同参与信息化工作。

3．组织架构的相关职责规划
（1）信息化领导小组：该小组是未来烟草企业it治理的核心小组，由企业的一把手挂帅，分管信息化的副职领导、各个业务部门和其他部门（如财务部门）负责人和信息中心的领导共同组成。

它享有决定烟草企业it投资的权力，也承担保证it项目促进业务发展的责任。

其主要的职责是对烟草企业信息化投资进行决策，并对大型的it项目进行详细的规划和组建，并协调各方面的资源，保证项目的顺利进行。

（2）信息中心：企业的信息中心是企业信息化建设的专职部门，负责规划、建设、整合、维护、管理企业的信息网络和信息系统，管理和开发利用企业的信息资源，为企业的经营、管理、决策提供信息化的支持与服务。

信息中心的工作主要有以下三方面内容：
it规划管理：主要负责烟草企业信息化的战略规划（如近期、中期和长期），并负责it需求的收集和评估、it项目投资立项、项目实施方案选择、修改项目或修订实施方案等决策事宜；
it项目管理：主要负责烟草企业信息化项目的具体管理，对外负责对集成商或软件开发商的管理，对内作为各个业务部门信息化应用的主要协调者；
it日常管理：主要负责对烟草企业信息系统（包括软硬件、基础设施等系统）的维护，保证其安全、稳定、高效的运行。

（3）业务部门：作为信息化项目的主要受益者，其职责是和信息中心紧密协作，提出业务需求，积极参与信息化项目的建设。

（4）项目小组：由信息中心和业务部门、项目承建方共同组成项目实施团队，必要时还可聘请监理公司。

项目小组可以由以下小组构成：
项目指导委员会：由信息化领导小组和项目承建方高层领导组成，负责为项目提供方向性指导，保证业主方和承建方高层领导对本项目的支持；及时帮助解决本项目的关键问题（非技术性的问题），如项目预算、人力资源保证、可能的来自员工对变革的阻力等；
管理组：由业主方、承建方和监理方的项目经理组成，并由业主方的信息中心主任出任项目总监。

管理组负责制定项目计划，实施项目管理，协调各方的工作；
功能组：由业主方的业务部门相关领导和业务骨干、信息中心的系统分析员和技术人员，承建方的系统分析人员和技术人员，监理方的监理人员组成，负责项目的需求分析和概要设计，进行项目质量监控，并负责用户培训；
技术组：由业主方信息中心的技术人员、承建方的技术人员、监理方的监理人员组成，负责系统的开发、测试和部署等工作。

关键it治理流程——项目管理流程
项目管理流程设计原则
it治理流程的设计是为了能够在跨业务部门的流程中顺利完成it业务的操作，是完整的，可见的，并且是可管理的。

在对项目管理流程设计的时候，应遵循以下的设计原则：
流程设计的目标是要创造价值的，所以必须剔除所有无价值的环节；
高价值的流程是流程设计的重点，这样才能集中企业有限的管理资源产生最大的回报；
流程是持续的，需要不断创新的，而不是重复的整理历史；
只有明确的责任人，才能保障流程每个环节的顺畅流转。

关键的项目管理流程
根据信息系统项目生命周期的特点，整个项目管理可分成规划阶段、立项阶段、采购阶段、开发/集成阶段、试运行阶段和维护阶段，而每个阶段都有不同的流程与之对应，如图6所示：
图6 项目管理流程
规划阶段
规划阶段的工作流程是规划管理，它是按照企业的战略规划和业务目标，根据各部门对it的需求，结合it行业的现状和发展趋势，制定企业的it规划，并进一步形成企业年度的信息化建设计划。

立项阶段
立项阶段包括以下三个工作流程：
需求管理：
在项目正式立项之前，需要对用户需求进行认真的评估和可行性分析，确定项目需求，提出项目初步设计方案，估算项目预算，形成项目立项申请报告。

大型项目立项管理：
对项目预算超过100万的项目，项目立项需通过信息化领导小组（含财务部门）评审，最后由企业信息化分管领导审批。

项目预算达到上报界限的需报国家局审批。

小型项目立项管理：
对项目预算低于100万的项目，项目立项需由企业信息化分管领导审批，
最后提交财务部门评审。

采购阶段
采购阶段包括以下两个工作流程：
招标管理：
对项目预算在50万元及以上的项目，按相关规定必须进行招标。

由信息中心、财务、监察以及相关部门组成招标小组，进行招标、评标和合同签订等相关工作。

谈判或比价采购：
对项目预算在50万元以下的项目，按相关规定可以进行谈判或比价采购。

进行谈判的项目由信息中心、财务、监察以及相关部门组成谈判小组，进行评审、谈判和合同签订等相关工作。

进行比价采购的由信息中心向三家以上供应商询价，货比三家选择供应商。

开发/集成阶段
开发/集成阶段的工作流程分为软件开发和系统集成两类，各有两个流程：
软件开发类——软件开发管理：
根据软件开发规范的要求，由信息中心、开发方和业务部门共同参与，按照需求分析、概要设计、详细设计等几个阶段完成软件的开发。

软件开发类——软件测试管理：
对软件进行功能测试和压力测试，确保软件运行的正确、稳定、可靠。

系统集成类——系统集成管理：
根据项目的要求，由信息中心、集成商共同完成设备/软件验货、安装、调试等工作。

系统集成类——系统测试管理：
对系统进行测试，确保系统运行的正确、稳定、可靠。

试运行阶段
开发测试阶段包括以下两个工作流程：
试运行管理：
在系统试运行前首先要做好用户培训工作，然后启动试运行。

在试运行过程中要不断收集用户意见，根据意见及时进行修改，直至系统运行正确、功能完善为止。

切换管理：
对于那些已在实时运营的生产系统来说，为了保证数据的一致性需要进行新旧系统的切换。

在新系统通过试运行后，要制定周密的系统切换计划和回退方案，按计划进行系统备份、数据迁移、系统切换、系统测试，完成切换工作。

维护阶段
维护阶段的工作流程详见下一节。

项目管理的六个阶段所包含的工作流程还可以进行详细设计，由于篇幅有限在这里不再详述。

关键it治理流程——日常维护流程
日常维护流程设计原则
在日常维护流程的设计中，我们根据未来烟草企业数据（系统）中心运营管理方面的需求，并结合it服务管理（itsm）理论，在设计时候着重考虑了如下的原则：
简单性：流程设计的最终目的是为了帮助集中运行的数据（系统）中心提高服务效率，所以流程应该简单清楚，便于掌握，有良好的执行效率。

职责清晰：良好的流程还必须靠人来执行，因为职责清楚的流程才能真正高效地运行。

在设计中将清楚定义数据（系统）中心相关人员在每个活动中的职责。

继承性和科学性：运维流程是以itsm最佳实践作参考，应具有先进的it管理理念，经得起实践检验。

方便性和可控性的平衡：流程的运作应该方便顺畅，有助于打破各部门之间的壁垒，将不同部门负责的不同管理活动有机地结合起来；但同时也要考虑到流程本身的可控性和可管理型，这样才能既达到提高it服务质量和客户满意度的目标，又能改善流程的性能。

关键的日常维护流程
未来烟草企业的日常维护流程主要包括三个类别，如图7所示：图7 日常维护流程
it运维管理类：
主要从未来烟草企业的数据（系统）中心运维的角度出发设计了主要的信息系统维护流程：包括系统监控流程、安全管理流程、备份管理流程、系统升级/维护流程。

it服务管理类：
主要根据itil的理念并结合烟草企业的实际情况设计了服务台/事件管理流程、问题管理流程、配置管理流程、变更管理流程。

it综合管理类：
主要包括设备采购管理流程、设备报废流程、档案管理流程和外包管理流程。

it制度
it制度制定原则
制度是企业管理员工工作的准则，也是员工执行工作的依据。

制度规定了员工的职责，固化了工作的流程，明确了员工的责任。

换句话说，制度就是企业的法律。

it制度对于信息化建设同样是致关重要的，it制度的制定应遵循以下原则：
制度的制定要职责清晰、流程明确，在事前可以使员工对工作心中有数，事中可以使工作流程顺畅，事后有问题时可以追究责任；
应首先考虑在影响面大或涉及部门、员工多的工作中建立工作制度，逐步增加和完善，形成覆盖信息化工作各个方面、各个阶段、各个环节的制度体系；
成熟规范的工作流程可以逐步转化成制度加以固化，成熟的制度可以进一步上升为it管理标准。

主要的it制度
按照信息化工作涵盖的几个方面，即信息系统规划、建设、整合、维护、管理，信息资源管理和开发利用，需要制定以下的it管理制度：
计算机使用管理规定；
机房设施管理规定
服务器及相关设备管理规定
网络管理规定
网络与信息安全管理规定。