当前我国信息化建设正处在深化、整合、转型与创新发展的关键时期。但信息主管们有道不完的苦水,他们一致表白,CIO是最容易受伤害的人,信息化建设工作费力不讨好,做得再努力,领导也感觉不到,稍有偏差,所有的功劳苦劳都会被否定;同时,业界专家们,也在不断地总结我国信息化存在十大或八大问题,诸如,IT规划错位、IT投资黑洞、IT项目泥潭、IT控制黑箱、IT管理滞后、IT信息孤岛、IT运营脱轨、IT合作困难等问题。不可否认,这是当前摆在CEO和信息主管领导案头迫切需要解决的问题,但记者通过深入采访和调研,发现这些问题只是我国信息化存在问题的表象,而其背后真正的核心问题并非如此。那么,中国信息化顽疾的核心到底是什么?出路在哪里?!
中国的信息化建设在经历二十年的“摸着石头过河”,从来都没有像今天这样,渴望科学的世界观和方法论的指引。
问题:信息化建设制度安排的缺失
“我国信息化建设已经取得了举世瞩目的成就,但不可否认的是,在信息化建设过程中,也出现了不少问题,如“技术高消费”、信息孤岛,信息资源得不到充分利用,信息化效益低等问题。”作为多年深入研究信息化的资深专家,ITGov中国IT治理研究中心主任孙强表示,“不过,这些问题都是我国信息化存在问题的表象,其背后的核心问题是信息化建设制度安排的缺失。当前,这种制度安排的缺失突出表现在:上无司令部下无责任人,也就是责权不明;信息化绩效评价缺失;信息化管理与控制体系缺失”。
上无司令部 下无责任人
多年来,记者接触的信息主管不计其数,可以说,经常听到信息主管这样的抱怨,“IT实施结果和当初的规划相差甚远”。为何如此?记者发现表面看来,多半原因出在执行不力上,再往深究,则是IT管理过程中的责权利不明。
作为经常为大型行业用户和政府部门提供咨询服务的北京信诚致远信息化管理咨询机构,在实践中得出了这样的结论----企业存在的问题大都是责权利不明确的问题,导致各方利益无法协调到企业的管理目标上来。如:各部门之间分工、职责不明确,造成的后果就是扯皮、推诿。该干的事没有人干、不该干的事只要是自己有兴趣,抢着干其他部门的工作;从项目的启动到项目的完成,再到系统的上线运行,各环节不清晰,职责不清晰;在实际运行过程中,运行部无法应对一些紧急事件,原因是责权不明确;岗位职能、相关业务流程、标准、实施规范、实施细则等的起草、编制、确认均没有一个明确的组织或个人来承担等等。
“其实不管什么管理问题,本质上是责权利要明确的问题。” ITGov中国IT治理研究中心专家崔大方,深有感叹地表示,“很多企业在人财物的管理机制上都很健全,但就是信息化建设,无论大问题还是小问题,出了问题不知道该打谁的板子。因此,导致信息化工作说起来重要,争论起来次要,做起来不要的局面”。
事实上,划清了职责,信息化建设中出现的互相推诿现象就会极大减少,只要此人签字就要对此事负有责任,而不是所谓的“集体领导但无人负责”。那么,IT建设出了问题,就知道该打谁的板子,然后解决问题。否则大家都没责任,就老出事,老出问题,信息化建设没法成功。
信息化绩效评价缺失
“这么多年来,在信息化方面已投入很多资金,建成了很多系统,但现在发现能够继续应用的却没有几套。”浙江一位政府信息化负责人比较苦恼地告诉记者,“很多项目设想地很好,规划做得也很好,但建成之后却发现不是当初想要的”。
这不是他一个人有这样的苦恼,为什么?
“很多人认为是规划的问题,是顶层设计的问题,或是项目管理的问题,但我认为绩效评价机制的缺失是更根本的原因。”孙强说,“需要强调指出的是,这里的绩效评价不仅仅是“后评价”,而是指覆盖信息化全生命周期的绩效评价”。
在管理学和经济学领域,评估是重要的课题之一,无论是项目管理、工程管理、人力资源管理都非常重视评估工作。而作为新生事物的信息化建设领域,评估却是一个薄弱环节,而且也已经造成了一系列问题。
据有关单位统计,在对ERP系统的投资超过1千万美元的公司中,能够在预定的时间和预算内开通的机率等于零。原因就是很多企业缺乏有效的、基于绩效评价的过程控制。对于类似于ERP这样复杂的项目,如果在一次性投资后缺乏有效监控和评价,缺乏有效机制保障信息系统投资的实际投放和效益反馈,陷入信息化应用的“泥潭”就不可避免。
除此之外,信息化项目评价缺乏可具体参照的标准,也是导致项目陷入“泥潭”的根源之一。尽管项目通常会经过前期立项、可行性研究、预算审查、招投标、专家评议,到项目中期的规划会议、选型会议、技术方案研讨会,再到项目结束时的测试、验收、总结、评奖等阶段,然而在回答信息系统项目有多大价值,或者能对企业绩效产生多大贡献的时候,通常只能用工作效率提高,业务处理速度改善,使用更加方便,资料更易于更新等模糊指标来回答。然而,就信息化项目相对于企业的战略地位而言,其价值并非简单地回答“要不要上”这样较为概括的问题,而是明确地回答“值不值”的问题。这就需要建立项目验收和绩效评价标准,对信息化建设的投资实施持续的过程管理和评价。
孙强认为:没有度量,就没有管理,没有管理就没有目标的实现。如果我们没有度量和监控信息化的框架,那么,治理、IT与业务战略的一致性、价值交付、风险管理以及资源的有效利用等都将无从谈起。进而,孟秀转女士特别强调:信息化绩效评价比规划更重要。
信息化管理与控制体系缺失
今年以来,我国信息化的理论界和实务界普遍在反思:中国信息化二十年进程,为什么能够传承下来的东西不多?为什么一些地方的信息化建设在“前进-退回-再前进-再退回”,而无法跨越式持续发展?为什么我们做了多年的规划工作、可研工作、需求管理工作、投资预算工作、验收工作等等,现在依然还是拍着脑袋在做事?!
“主要原因在于我们没有把体制和机制,以制度和法规的形式固化下来,这种固化下来的表现形式即是信息化管控体系。” 中国信息化推进联盟专家委员会副主席陈拂晓表示,“并且,还要注意运用体系化、标准化和流程化的方法。这和我们有一些非物质文化遗产需要加以妥善保护,否则将失传的道理一样。所以,麦当劳的薯条可以做到全世界都一个味,而中国同一个店不同的人,会对西红柿鸡蛋面做出不同的味道”。
我们注意到今年以来,在外部监管环境和业务需求快速变化的双重压力下,我国企业正为信息化管控体系的缺失,不得不付出高昂的代价。
某不愿透露姓名、在美上市的一个企业信息化主管对记者讲,其多年来沿用的信息化建设管理体系离SOX法案要求的差距很大,这主要表现在体系化、标准化和可审计性方面。即使其较好的几个管控流程,规章制度、职责说明、文档描述相对较为完善,依然无法满足审计师的要求。今年以来,不得不花费高昂的咨询费用、投入大量的人力物力,开展信息化管控体系的建设项目。
出路:IT治理成为标本兼治的良方
面对信息化建设制度安排的缺失,出路在哪里?很显然在产生上述问题的体系内徘徊,是找不到出路的,我们必须跳出来站在更高的层面找方向。
记者发现,中国人民银行、交通银行、财政部、不同城市的信息办及大型企业用户等有关单位,都在请ITGov中国IT治理研究中心进行高层面的IT治理与领导力提升内部培训,并且反响强烈。
“我的感觉就像是十月革命一声炮响,给中国带来了马列主义,终于看到我在多年工作中苦思不得其解的东西,IT治理将带给中国一场信息化管理革命”,国家财政部信息网络中心赵晓光处长在第一次听到关于IT治理介绍曾激动地说道。
IT治理会成为转型时期中国信息化建设的前行指引吗?
“由于IT治理被认为是“解决信息化建设中深层次的机制和制度问题,建立一整套明确决策权归属和责任承担的制度安排。其主要聚焦在如图1所示的五个方面:战略整合、价值交付、资源管理、风险管理、绩效度量。并且IT治理工作要求我们,一定从IT战略与业务战略的一致性开始,不能为了信息化而信息化,而是必须着眼于IT战略与业务战略的互动。”孙强说,“事实上,这五个方面,也正是治理层面的领导应该关注而没有关注的工作,因此IT治理很快引起了我国一些专家学者和行业用户的重视,他们想借用它,来弥补我国信息化建设制度安排缺失的环节。”
从理论分析来看,IT治理所倡导的核心思想与解决我国信息化建设制度安排的缺失相匹配。其在实际中的应用又如何呢?
首先,让我们看看世界500强企业ING。ING集团是一家源自荷兰的全球金融服务机构,它为全球六千万家私营企业、集团和政府机构等客户提供银行、保险和资产管理服务。它的成功,ING董事会认为,与ING在二十世纪九十年代,开始实施与整个集团公司治理机制相符合的全球性IT治理机制有关。
“上无司令部,下无责任人”的困局在中国的信息化建设中越发凸现,而ING集团为了避免此事的发生,ING董事会和高管层,借IT治理正是要“为鼓励IT应用的期望行为而明确决策权归属和责任承担的框架思路,为ING全球提供了一个跨区域跨业务的,关于IT工作的正式推进机制,在每年六次定期举办的会议上,ING的董事们会问到许多IT的问题,并且董事会成员有责任确保采取了提供答案的机制。
让我们再看看北京电子政务的建设,是如何借用IT治理所聚集的五个话题之一,从对各个层面的绩效评价来建立推动电子政务发展的长效机制的。首先,在北京市审计局呈送的《北京市审计局2005至2007年审计信息化发展规划的报告》上,王岐山市长亲自批示“市府各委、办、局信息化工作均应配合加强基础工作的步伐,为最终实现电子政务铺平道路,信息化水平应列入年终委、办、局考核的单项指标。”
目前,北京电子政务建设关于信息化绩效考核工作的总体安排,是根据市督考办的统一要求,实行“年初备案、年中检查、年底验收”的模式。年初,各单位上报本单位信息化水平考核目标;年中,组织市级政府部门的年中自我评估;年底组织有关专家、第三方、区县信息化工作部门代表、市级部门代表分别对各市级国家机关和区县,进行实地检查,最终形成各委办局年度信息化绩效评价报告。
“这个作用很明显,绩效评价的实施,使北京市60个委办局的重视程度一下提高一大截,为什么?是因为绩效评价这个“指挥棒”,解决了多年存在的很多大问题。原因就在于信息化水平不合格、不达标,必将影响本单位和本人所关心的“政绩”。” 陈拂晓表示,“它的导向价值就像高考这根‘指挥棒’,高考强调什么,学生们就会重视什么,这正体现了评价的导向作用。”
还有一个例子不得不提,就是网通河北省分公司,该公司是中国网通集团企业信息化管理控制体系的试点省。在2004年,中国网通集团与ITGov中国IT治理研究中心合作,构建了从集团到省分到地市均普遍适用的信息化管控体系,并且在2005年荣获国家级管理创新奖。该体系借鉴IT治理思想和ISO17799/27001、ITIL、COBIT、PRINCE2、CMMI等最佳实践,构建了覆盖信息化全生命周期的二十多个流程。基本实现了:把优化的流程和调整的职能、办事方式以制度或法规固定下来;把集中统一、科学有效的管理运行模式,通过预算、招标、监理、验收、评估、考核等制度固定下来;把保密、公开、安全等要求用制度或法规明确。从而使得信息化的最佳实践和成功经验在网通全国复制和传承。
下面以需求管理流程为例,来介绍该管控体系:
在2004年之前,仅由于业务需求管理不规范这一项,就给企业信息化建设带来不小的麻烦,而且信息化部门与业务部门的矛盾持续升级。因此,网通河北省分公司,专门将业务需求管理流程作为切入点,具体做法如下:
公司将需求管理分为需求开发和需求维护两大部分。企业信息化部负责业务需求开发,支撑共享中心负责需求维护。企业信息化部将业务需求的汇总渠道分为三个层面,在专业层面,信息系统的业务需求提出者是公司市场、运行维护、计划建设、综合管理等所有部门;在组织层面,省公司本部、省公司直属单位、市分公司、县分公司都属业务需求提出者;在人员层面,公司高级管理者、中层管理者和生产一线的员工为业务需求提出者。同时省公司各业务主管部门要根据业务策略,将汇总的业务需求进行梳理,并转化为业务流程。然后,企业信息化部将其分析优化,得出信息化的流程,理出与人工流程的接口,完成信息需求规格说明书,交付开发商,并对开发商的工作过程进行监控。
与之形成鲜明对比的是过去,网通河北省分公司信息化业务需求管理非常薄弱,收集的业务需求大部分是生产一线的操作人员提出的,由于操作人员的工作视野限制,汇总出来业务需求在只能基本满足操作人员的需求,没有考虑公司高中层管理者的需求。而在市场竞争激烈的今天,各级管理者迫切需要了解经营效果,以决定下一步的经营行为,但是信息系统并全面不支持。另外,由业务需求转变为业务流程,再由业务流程转变为信息化流程的工作都是由应用厂商去做,开发过程也没有我方公司人员进行有效控制,制作成型的信息系统往往是我方要求做成“窗户”,而开发商做成了“门”,我方人员只好重新提出需求,开发商进行修改,造成资金的很大浪费和工程进度的拖延,影响了企业的发展。
该管控体系实施以来,成效非常显著。仅网通河北省分公司在信息系统建设投资方面节约资金就达7400万元,降低维护成本近600万元。更为重要的是,它为公司健康可持续的发展打下了“以不变应万变”的IT治理基石,这首先体现在随后该集团迎战萨班斯方案的挑战上。
作为科学方法论的IT治理,正在被推广和应用,IT治理最终能否成为你的救助良方,首先,我认为需要转变思维范式,统一思想认识。当然,这需要一个渐进的过程。
趋势:中国企业国际竞争力的核心是治理
目前IT治理已经在中国企业有了越来越多的实践探索。IT治理体现在IT治理机制、IT治理流程和IT领导力等方面,归根到底是责任担当机制,目的是实现IT与业务的融合,完善公司治理和实践科学的信息化发展观。中国IT管理咨询的一个现实,就是头疼医头,脚疼医脚,瞎子摸象,各报一角,难以做到有效的整合,让咨询发挥合力,IT治理的出现,提供了一次机会,那就是建立一个综合的框架,让企业在各方面所作的咨询工作围绕着业务战略发挥合力。
“传统观点认为企业最终的竞争力取决于三个因素,即成本优势、产品优势和品牌优势、但实践证明,当今国际竞争很大程度上是公司治理和IT治理和竞争。”孙强表示,“主要原因在于没有善治的公司治理和IT治理,国内企业首先在利用国际市场筹集资金方面就输给自己的竞争对手,产品市场的竞争必将更加困难。因此,不进行治理实践改革的公司在想获得资本已加速发展时,将发现自己处于竞争劣势。反之,如果公司能获得公司治理溢价,他们将创造很多股东价值”。
正如孙强所说,目前在国际上出现了越来越多的,与IT治理相关的国际标准,以ISO27001信息安全管理认证为例,其不仅仅是衡量组织信息安全管理水平的标准,也已经成为组织具有更高IT治理水平和竞争力的标志。比如,在软件或集成电路等很多产业之间的竞争,已经发展成为价值链与价值链之间的竞争。假如我国企业没有通过ISO27001等国际标准认证的管理体系,其管理水平和国际竞争力将大打折扣,有可能连入场竞争的机会都没有,从而错失一些外包订单或失去与国际大厂商合作的战略机遇。相反,已经通过该体系认证的广东生益电子、华为、中兴、宏基、黄岛电厂等等都是很好的例证。
近期普华永道执行的一次全球CEO调查也表明:亚洲的CEO比美国和欧洲的对治理,风险管理和法规遵从(GRC)持更加肯定的看法。亚洲71%的CEO认为亚洲公司如果不进行GRC投资将处于不利地位,88%的认为GRC对公司声誉和品牌有正面影响。
据专家估算,此次中国在美国上市的46家公司,总共在应对萨班斯法案方面的直接投入将高达10亿元人民币。就拿网通来说,据悉,在聘请德勤做项目的顾问直接费用就上千万元人民币,而项目真正启动时,最高峰整个集团有4万到5万人参与做这个项目。而大型央企由于公司治理方面相对较弱,其在人力、时间、资源方面的投入将会更高。
花费如此巨大,并不仅仅为了合规,越来越多的企业领导人认识到,治理对于企业内部规范管理和提升核心竞争力的价值更为重要,一旦中国企业形成了与企业文化相适应的良好公司治理与IT治理机制,这就是我们企业的国际竞争力。