尊敬的来宾领导，早上好。今天很荣幸跟大家分享IT治理这个题目，IT治理有不同的意义：IT治理是企业的目标吗？还是企业的文化？或者是我们必须要遵从的？IT治理是哪个部门的呢？种种的问号下，我们有一个很好的IT治理方法是看不见的，有IT治理的公司不一定赚很多钱，就像项目管理一样，如果没有项目管理项目一定会失败，所以我们探讨这个题目。

    第一，主动支持不断发展和变化的业务需求。第二，衡量IT对业务支持的程度和绩效。IT治理越来越重要，IT治理的目标就是怎么样有效地利用IT继续支持一直在变更的商业的需求。我们用这个方法来评估IT做的好不好。第三，优化组织架构设计和资源使用，在有限的资源和预算下，为公司提供IT服务。IT持续衡量和体现IT的价值，提供服务，IT的架构怎么组织，提供服务。CIO在受到很多方面压力之下，越来越多地依靠治理的手段来整合来自各方面的需求，怎么样用IT资源提升公司整体资源的利用，怎么样在IT的控制下提供业务流程的监控等等。

    从组织视野：IT治理是通过人员组织来推动流程、技术等不同变革以实现IT对业务战略的服务和价值，其中包括对人们行为模式的改变。建立成治理的框架：做何决策？框架谁有决策权？如何对结果负责？谁该负起IT治理的责任？信息化三要要素：1.人 2.流程 3.技术，也就是来体现IT的价值。

    IT治理是有模板的，企业不断发展，全球各企业有不同的产品线，最基本的组织以推动协同和中央汇报，以前做决定是“三不管”，但是推行整个IT的有效性就需要有多个组织，我们有多个专家及专业人士进行协调。另外，企业越做的大，不单是IT费用增加，而是IT费用/营收的增加比例。如果本地公司花在IT方面的钱是1%，但是你是几十亿、几百亿的企业，你的投入比远远超出1%，因为你发展到全球其他地区就发展第二语言，还要支持第二个时间区。大家要考虑组织的架构，基本有三种不同的架构：本土制IT（自己做决定）；联邦协同IT；中央主导IT。在这方面可以和大家分享一下我的观点，因为一个企业要做大做强，最后还是走到中央主导IT的结构，这是我的观点。这方面有很多可以共享的方法。

    从流程视野：IT治理是将治理的目标涵盖到所有的IT活动。以监管、确定、验证的手段将治理的漏洞呈现出来，予以改善。

    下面举例说明：这是软件工程开发的流程图，有定义、设计与分析、编程与子程序测试、一直到验收与发布。在流程上面有一个质量认证Q&A，Q&A的控制点放在流程上面，我们有很多Q&A质量保证。工程流程：需求管理，配置管理，变更管理，文档管理，测试管理，编码审核流程，软件发布流程等等。工程标准：编码框架图书馆，编程守规，各语言使用守规，报表及屏幕标准，数据库及中间件，命名守则，安全标准等。这是治理的要求，怎么样确定业务的流程能真正变成系统的流程，要遵守所有的软件工程标准，要独立地开发测试和运营的环境，我们怎么样衡量目标有没有达到？是以每个系统，开的功能有多少被接受。我们怎么将这些控制点加入到流程中？我们怎么监控和审核？Cobit2.3特别强调了监控和审批的过程，强调了高端设计反映业务需求。在这个过程中，我们看到要不断地引进开拓功能。如何完整和无误地达到治理目标，这个框架就体现出治理的要求。举个例子，我们为零售业开发了一个软件，它是内控方面的，从治理的角度确定系统和功能是不能随便篡改，篡改的话要有纪录。不单从现金流控制、物流控制到底有没有误差，这是很关键的体现充分的业务管理。我们不光是看功能，要确定功能能不能达到业务的目标，特别是业务内控的目标。例如实施SAP需要有很多的控制点，我们有了最佳的典范，我们才能知道怎么利用软件来监控、内控，这也是中国面临的挑战。

    从风险管理视野：IT治理是从规划，监控，运营层面来防御IT运营服务管理，资信安全和业务连续性的风险。IBM风险管理的模型：从四个角度全方位的阐释所面临的信息风险。IT风险管理：IT合规内控体系、IT流程管理、IT资产管理。IT服务管理：IT服务现状、IT服务实现等等。安全：安全威胁、安全弱点、安全管理等。以及业务连续性。

    我们从风险方面，对不同的系统、不同的用户我们处在怎么样的服务水平。关于业务连续性和系统架构的问题，大部分就是运营处理问题不当。举例：在某某机场，去年机械人员无心地更改一个码，造成10几小时的机场瘫痪，这是系统小小的问题，但是要反映怎么修改的过程，会造成很大的灾害。从运营方面也有很多的风险，我们有问题怎么反映，这些数据怎么保证等等，这是从运营的层面来看治理。举例一些常见的风险，没有问题很好，但是一旦有问题，全部是红灯，3000个红灯，大家互相影响，怎么办？这是一个风险，我们怎么解决这个问题。这是业界的一个方向，大家以前花很多钱买防火墙，买安全设备防御黑客。现在要看能不能用监控手段确保我的网站、我的系统不会被攻击。

    实施治理另外一个办法就是看风险点，就是自下而上的方法。IT治理的精义是怎样贯彻治理的目标到整个企业上的，我们可以透过架构推动IT的治理，现在都是以人为本，我们可以透过一些技术的平台，提供很好的工具，这些平台落实IT治理，提升IT的绩效。我们也可以从流程优化，看到流程看到很多漏洞，从这三方面来看治理。重点就是我们要确定标准，我们要做什么事情，这些事是不是有具体性？另外要找到控制点。

    如果我们做到治理的推行，我们就可以达到最近在中国政府大力推行的一些政策要求：例如国务院办公厅的《进一步开展安全生产隐患排查治理工作》的要求，发现这些隐患，由被动反应到主动发掘。还有在各行各业中都有很多来自对业务的监控、对业务的内控的要求，这些东西我们怎么样用IT的内控、IT的治理来实现？

    IBM针对每种IT治理的手段，IBM开发了被证实可行的，经过实践验证的方法论。它的大道理可以从绩效管理，谈到目标，IBM采取了业界的领导定出来的标准，不是空谈的加班、做好人，而是在每一个流程上面提供空间目标，首先有34个IT流程，每个流程的目标是什么，定了7个信息标准。可以看到，IT流程分四大领域：第一，监控和评估；第二，计划和组织；第三，交付和支持；第四，获得和实施。计划和组织、监控和评估、获得和实施、交付和支持都有目标。

    总的来讲，我们追求的是透过治理落实IBM IT管理服务选择ITIL作为基础架构来描述和决定全面的IT管理服务，同时融合IBM在业界和自身的实践经验PRM-IT。Cobit是在此基础对流程和管理的最终目标。CobiT-IT流程控制框架是最终目标。   

    第二个案例：先以数据中心武力整合解决IT组织架构问题，落实Cobit在IT流程，组织及的目标。背景是中国消费电子企业，透过并购与策略联盟，接管了在美国、欧洲、亚太的有品牌的销售网络及在泰国、墨西哥、东欧等地的工厂和研究所。

    挑战：1.老旧和不整合的IT系统；2.支付高昂的IT支持费用给出售方的集团IT服务公司。3.一些系统面临淘汰。4.组织抗拒IT系统的整合，不支持转移到全球ERP系统具体功能及与下游客户的借面说不清楚，许多故有系统也是“黑盒子”操作。

    解决方案：1：首先整合非业务功能性（如电邮）的系统及支持。2，非功能性更改的物理迁移所有的硬件及系统到1-2个数据中中心。3：集中在在1-2地点提供应系统的支持/升级。4、把握到功能需求与介面关系时，在数据中心进行功能整合。

    对IT治理的绩效：1.简化IT组织；2.实现资源共享。

    IT治理实践案例3：IBM Tivoli安全解决方案助上海电信构筑简约、实用的安全防线。

    IT治理实践案例4：IBM为某企业信息化总部，提供信息服务集中监控管理，通过这个平台将各地的状况主动监控和反映。我们可以透过推行来体现刚刚提到很关键的让这些问题都变成可见的Visible，让问题呈现出来，变成可控的Control，还有自动化Automate，用自动化来代替人员，自动化的目标是避免人为的错误。
 
    刚刚已经讲的很清楚了，IBM有很多很好的工具，全面的解决方案，从顾问方面我们要提出几个服务，IBM IT内控与合规咨询服务通过全面的IT内控方法规划设计企业IT内控体系架构。风险评估服务以及IT治理咨询服务。大的框架怎么样落实，很重要的一点是今天在不断发展的过程，使我想起来10年前很流行一个词：业务流程再造，现在基本上没有人提起了。因为我自己做过很多业务流程再造的观点，第一要给客户描绘美好的将来，客户很高兴。第二要落实。大家拿甲骨文、SAP的平台，那边已经有行业的最佳典范，有最好的流程，跟行业的模块，同样在服务管理，我们很高兴IBM可以实现同样的方法，我们拿一套业务平台，IBM资信服务管理平台能满足阁下的需求，资信服务管理平台设计服务能帮助你：1、透过设计成熟性分析，订定服务需求。2、订定服务管理的治理，和服务流程与管理模式。3、以ISO/IEC 20000和COBIT的指引进行设计原则讨论。将平台上的设计流程体现出来。

    IBM提供整合的“资信服务平台”是可见的可控的整合平台，换句话说是组织、流程、科技、资信的结合，有很多自动化的系统在里面。希望大家在落实治理和服务管理不要走冤枉路，站在巨人的肩膀上。

    接下来是我的结语，易经：“临”元，亨，利，贞。至于八月有凶。

    注释：临：治理，指君王治理人民。

    2、卦像是兑下坤上，兑为泽，坤为地，是一大片土地面临着一个湖泊，以高临下，比喻君王对人民的治理是要有指导性的。

    3、下兑是说人民如何对待君王治理，蛊卦讲贤臣能去掉厉王错误。

    希望IBM提供的IT治理途径可以让各个企业找到元、亨、利、贞，元就是创新，亨就是亨通，利就是得利，贞就是诚信。谢谢大家给我这个机会在这里演讲，跟我分享这个题目。我就讲到这里，谢谢。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。