作者:企劃/倪慈緯 文/吳玉雯
IT治理決定了IT決策的內涵、IT決策的過程及IT決策的權利與責任,是每位CIO念玆在茲的問題,更與業務的需求、整個組織的發展脣齒相依。究竟CEO如何看IT治理?IT治理有哪些類型與層次?IT治理的做法和價值在哪裡?又如何迎向IT治理的挑戰?第三屆CIO價值學院第一堂課,就是要和資訊主管、企業高階經理人們一同為追求良好的IT治理而努力。
從IT架構、IT預算再到IT策略,由硬到軟,由執行細節到IT組織原則,凡此種種與IT相關的議題都萬變不離其宗,盡是IT治理所涵蓋的範疇。但是CEO往往對於IT不甚了解,而在公司治理(Corporate Governance)忽略了IT治理的關鍵角色;對於基層的IT人員來說,讓提出需求的業務單位獲得滿足、用先進的技術俐落地完成系統開發才是其成就感的來源,是故許多IT人員根本不知道也不太在意IT治理,甚至負面的將IT治理視為加重工作負擔的肇因,殊不知IT治理將樹立法治取代人治的準則,是各行各業的IT部門都必須要勇於面對的重要課題。
因此,以IT部門的角色定位為主軸的第三屆CIO價值學院,在第一堂課便特別選定了「IT治理」為題,今年並別開生面的在IT治理(IT Governance)、服務(Services)、承諾與溝通(Engagement & Communication)、IT商業價值(IT Business Value)與學習與發展(KM & BCM)等五堂課中,藉由錄影採訪CEO的影片,納入CEO的想法與期望。
在CEO看IT治理中訪問了新日光董事長林坤禧、研考會副主委宋餘俠及前富邦票券董事長王全喜,三位CEO不但提出了心中理想的IT治理模式,還藉由過去擔任CIO的經驗,提醒CIO在IT治理上應該注意的事項,CIO價值學院當天邀請到中國信託資訊執行長張汝恬針對「IT治理的價值與作法」進行專題演講,剖析IT治理的定義、模式與價值。
而緊接在專題演講後,個案研討的座談會由台灣大學管理學院副院長暨資訊管理系教授曹承礎擔任主持人,與談人則包括了台積電企業系統整合處處長王依安、主計處電子處理資料中心副主任潘城武及精誠資訊副總經理暨資訊長高添水,透過案例分享與現場一百多位高階企業經理人的討論互動,從理論面與實務面提供了良好IT治理的思維與方向。
CEO看IT治理
儘管IT治理的內涵相當豐富,但對於不同產業而言,IT治理也代表了不同的價值與意義,林坤禧認為,IT治理要從公司治理的角度延伸,所謂的公司治理是一個可供確定公司決策符合法律規定(Compliance)、符合公司股東權益的企業流程(Business Process)。
而IT治理則是一個讓IT決策能符合法規及風險管理(Risk Management)需要的企業流程。由於IT最主要的任務是要符合公司策略性、戰略性目標,以及作業方面的企業目標,因此IT治理除了法規及風險管理外,還要加上第三個目標:效能(Effectiveness),即IT是不是有發揮它的功能。
在政府部門中,電子治理(E-Governance)代表的則是政府、企業及其他機構希望在邁向電腦化、網路化的過程當中,展現電子化政府績效的概念建構。
宋餘俠表示,過去政府談電子化,多著墨在提升政府效率(Efficiency)、效能(Effectiveness)及公平(Equality),如:網站提供線上服務,改善行政效率;公文的電子交換,加速公文的傳遞;數位機會中心,增進大家的數位公平,但這些僅止於治理最基本的「E」,談電子治理,要在E之前加上T、A、P,彰顯運用資訊科技的其他價值。
T代表透明(Transparency),如:政府公報資訊網與政府資訊公開法,要求每一機關在網站揭露政府的公開資訊,包含的項目有:計劃、預算、研究報告、出國報告及會議紀錄等。
A代表的是公部門的課責性(Accountability),政府花的每一塊錢有沒有計畫?計劃有沒有訂目標?執行有沒有按時程?計劃最後有沒有按目標達成績效?台灣與各國政府建置費用明細的網站的方向一致,目前我國建立政府計畫管理資訊系統,每年管理2000多項計畫的目標、指標、時程控管及績效評核,並依資訊公開法揭露,表示政府責任的交付,讓民眾瞭解錢往哪裡去,成效又如何。
P代表參與(Participation),尤其在Web2.0時代,民眾除了可用論壇、首長電子信箱等方式參與政府運作,社群網站中部分的意見交換也牽涉到公共事務,政府要把Web2.0的元素,納入電子化政府的應用,唯有了解這些社群的意見,才能讓公共政策在形成過程當中得到更周延的設計。
王全喜回顧過去四十載台灣銀行業利用電腦處理業務資料的發展歷程,他說,由批次而連線,由存匯而全面,由行內而跨行,由銀行而連到客戶,業務時間由8小時延長至24小時,服務由國內至國外,金融業的IT部門由臨時編組晉升為行內重要的單位,至今IT無論在管理、營運、作業、產品開發、業務發展、客戶服務等方面都扮演了關鍵而重要的角色,儼然成為銀行競爭力的表徵。
要有優越的競爭力,就必須要有先進而健全的IT部門及完備可靠、高效率的資訊系統,IT部門應具有領頭羊、火車頭的功能,銀行已到了沒有電腦系統,就無法營運的地步,要發展新產品,也必須先資訊化、電腦化,營業單位才會運作,資訊部門的價值不言可喻。
「理想的IT治理模式站在CEO、銀行全面的角度來看,CIO除了須具有IT的專業外,還必須對銀行內各種業務有深入的認識,成為銀行的通才。」王全喜認為,在人員方面,CIO所領導的資訊部門,應按金融服務、財富管理、企業金融、消費金融、財務操作、信託業務、外匯業務、網路銀行、客服中心(CTI)、資料倉儲及資料採擷分析,分門別類培育技術嫺熟及深入了解業務細節的系統分析人員、幹部,以配合業務部門的需求,迅速提供適切的資訊服務與改善建言。
因此,以IT部門的角色定位為主軸的第三屆CIO價值學院,在第一堂課便特別選定了「IT治理」為題,今年並別開生面的在IT治理(IT Governance)、服務(Services)、承諾與溝通(Engagement & Communication)、IT商業價值(IT Business Value)與學習與發展(KM & BCM)等五堂課中,藉由錄影採訪CEO的影片,納入CEO的想法與期望。
在CEO看IT治理中訪問了新日光董事長林坤禧、研考會副主委宋餘俠及前富邦票券董事長王全喜,三位CEO不但提出了心中理想的IT治理模式,還藉由過去擔任CIO的經驗,提醒CIO在IT治理上應該注意的事項,CIO價值學院當天邀請到中國信託資訊執行長張汝恬針對「IT治理的價值與作法」進行專題演講,剖析IT治理的定義、模式與價值。
而緊接在專題演講後,個案研討的座談會由台灣大學管理學院副院長暨資訊管理系教授曹承礎擔任主持人,與談人則包括了台積電企業系統整合處處長王依安、主計處電子處理資料中心副主任潘城武及精誠資訊副總經理暨資訊長高添水,透過案例分享與現場一百多位高階企業經理人的討論互動,從理論面與實務面提供了良好IT治理的思維與方向。
CEO看IT治理
儘管IT治理的內涵相當豐富,但對於不同產業而言,IT治理也代表了不同的價值與意義,林坤禧認為,IT治理要從公司治理的角度延伸,所謂的公司治理是一個可供確定公司決策符合法律規定(Compliance)、符合公司股東權益的企業流程(Business Process)。
而IT治理則是一個讓IT決策能符合法規及風險管理(Risk Management)需要的企業流程。由於IT最主要的任務是要符合公司策略性、戰略性目標,以及作業方面的企業目標,因此IT治理除了法規及風險管理外,還要加上第三個目標:效能(Effectiveness),即IT是不是有發揮它的功能。
在政府部門中,電子治理(E-Governance)代表的則是政府、企業及其他機構希望在邁向電腦化、網路化的過程當中,展現電子化政府績效的概念建構。
宋餘俠表示,過去政府談電子化,多著墨在提升政府效率(Efficiency)、效能(Effectiveness)及公平(Equality),如:網站提供線上服務,改善行政效率;公文的電子交換,加速公文的傳遞;數位機會中心,增進大家的數位公平,但這些僅止於治理最基本的「E」,談電子治理,要在E之前加上T、A、P,彰顯運用資訊科技的其他價值。
T代表透明(Transparency),如:政府公報資訊網與政府資訊公開法,要求每一機關在網站揭露政府的公開資訊,包含的項目有:計劃、預算、研究報告、出國報告及會議紀錄等。
A代表的是公部門的課責性(Accountability),政府花的每一塊錢有沒有計畫?計劃有沒有訂目標?執行有沒有按時程?計劃最後有沒有按目標達成績效?台灣與各國政府建置費用明細的網站的方向一致,目前我國建立政府計畫管理資訊系統,每年管理2000多項計畫的目標、指標、時程控管及績效評核,並依資訊公開法揭露,表示政府責任的交付,讓民眾瞭解錢往哪裡去,成效又如何。
P代表參與(Participation),尤其在Web2.0時代,民眾除了可用論壇、首長電子信箱等方式參與政府運作,社群網站中部分的意見交換也牽涉到公共事務,政府要把Web2.0的元素,納入電子化政府的應用,唯有了解這些社群的意見,才能讓公共政策在形成過程當中得到更周延的設計。
王全喜回顧過去四十載台灣銀行業利用電腦處理業務資料的發展歷程,他說,由批次而連線,由存匯而全面,由行內而跨行,由銀行而連到客戶,業務時間由8小時延長至24小時,服務由國內至國外,金融業的IT部門由臨時編組晉升為行內重要的單位,至今IT無論在管理、營運、作業、產品開發、業務發展、客戶服務等方面都扮演了關鍵而重要的角色,儼然成為銀行競爭力的表徵。
要有優越的競爭力,就必須要有先進而健全的IT部門及完備可靠、高效率的資訊系統,IT部門應具有領頭羊、火車頭的功能,銀行已到了沒有電腦系統,就無法營運的地步,要發展新產品,也必須先資訊化、電腦化,營業單位才會運作,資訊部門的價值不言可喻。
「理想的IT治理模式站在CEO、銀行全面的角度來看,CIO除了須具有IT的專業外,還必須對銀行內各種業務有深入的認識,成為銀行的通才。」王全喜認為,在人員方面,CIO所領導的資訊部門,應按金融服務、財富管理、企業金融、消費金融、財務操作、信託業務、外匯業務、網路銀行、客服中心(CTI)、資料倉儲及資料採擷分析,分門別類培育技術嫺熟及深入了解業務細節的系統分析人員、幹部,以配合業務部門的需求,迅速提供適切的資訊服務與改善建言。
就軟、硬體系統而言,要建置防偽、防毒、防入侵、防災的安全、穩定、快速、有效率不間斷的資訊系統;在制度面,按銀行架構制訂合理的資訊單位架構,設立各種標準規範,注意檔案文件的齊全,檔案及系統的備份與安全及客戶資料的保密,針對門禁、人員、資料、電力、通訊、網路、備援系統等應隨時注意測試與管控。
IT治理的類型與層次
IT治理的定義或許各有巧妙,但在實際執行的過程中其實脫離不了三大關鍵的問題:
第一個是為了確保IT效率管理與運用,組織該做出哪些跟IT有關的重要的決定;
第二個問題則落到誰應該是做這個決定最主要的人或單位;
第三,這些決定如何追蹤、審查、考核及確認。
換句話說,治理要討論的是一個決策的點由什麼樣的組織來負責、透過什麼樣的程序與制度被建立起來。張汝恬指出:「如果這些制度能夠被穩固建立,組織變革對IT在組織內創造的價值就不會有很大的動盪,當組織沒有管理規範時,IT治理可能隨人改朝換代而有重大變,CIO若能將每一天跟IT有關的決策體系跟程序體系建立好的話,就已幫組織奠定了堅實的基礎,而這正是IT治理討論的焦點。」
美國麻省理工學院教授Peter Weill與Jeanne W. Ross調查全球將近300多家企業後,將IT的治理模式分為六類,分別為:
- 由總經理加上一、兩位副總(Top Managers)決定很多IT議題的高階經理人主導模式 (Business Monarchy)、
- 決策是IT專家(IT Specialists)來做的IT主導模式(IT Monarchy)、
- 每個業務單位自己做決定的封建型態(Feudal)、
- 公司跟一些業務單位達成共識後便確定執行方向,IT參與時有時無的聯邦式(Federal)、
- IT跟業務單位與公司決策中心集體決策的寡頭體制(IT Duopoly)及
- 一家公司某幾個人就把決定做掉了的無秩序狀態(Anarchy)。
他們接著將IT的專業領域區分為:
- 決定IT定位與角色的IT原則(IT Principle)、
- 衡量標準化與整合需求的IT結構(IT Architecture)、
- IT實體基礎建設(IT Infrastructure)、
- 業務單位應用需求(Business Application Needs)及
- IT投資的先後順序(IT Investment and Prioritization)等五類。
這些分類的目的並不是要指出孰優孰劣,只是要更進一步的陳述良好的IT治理絕非意外,是精心設計的成果。Peter Weill與Jeanne W. Ross的研究指出,在IT原則方面,IT可以跟業務單位與公司決策中心一起做決定的效果最佳;在IT結構與IT實體基礎建設方面,由IT專業來主導最有效益;在業務單位應用需求原則方面,以業務單位與公司之參與為主的聯邦制與IT亦包含在決策體系中的寡頭體制,最能開發出符合業務單位應用需求的系統;在IT投資的先後順序方面,IT跟業務單位、公司決策中心集體決策與高階經理人主導的兩種方式是最易有成效的模式。
張汝恬認為,這樣的研究結果並不令人意外,事實上早先銀行的IT在財務單位下管轄,IT定位在成本中心,多年後IT被視為一個耗費資源又不可或缺的功能性單位,所以慢慢獨立成為行政單位之一的電腦處理中心,IT的原則確實在整個組織架構的考量下逐步轉變。
隨著系統越見繁多複雜,她說,IT架構(IT Architecture)益發重要,目前中國信託內部將近有400個子系統,都是不同操作系統、資料庫、程式語言的產物,過去IT權力集中,可以做很多決策,但現在業務單位變得強大,都希望各自的系統獨立,擔心萬一各部門銜接上來會影響績效。
張汝恬說:「這樣的想法與資源共享的科技發展方向背道而馳,唯有透過IT結構標準的建立才能有效簡化銀行建置與降低風險,CIO要堅持相信作對的事,要跟很多人溝通但不能不試。」所以IT的主管雖然不能獨斷獨行,但也要有點霸氣,否則這些仗是打不贏的。
尤其她更強調CEO應該對組織權力的劃分做出明智的決定,「CEO一定要讓IT可以統籌、分類他的規範,讓IT真正是結構化的,可提供再使用的服務。」這其中,CIO仍然要擔負很大的責任,因為CEO可能對雲端運算、SOA、虛擬化等IT專有名詞並不了解,但IT主管不會不知道這將決定性的改變IT部門的成本結構,對其相關的知識與認識更會影響議價能力與成本拆解。
CIO要靠智慧、邏輯、說服力來讓老闆明瞭怎麼做決定對組織最好、最快,「當然業務單位的意見也是必要的,畢竟因為他們是賺錢打仗的單位,如何滿足他們的需求又不妥協科技未來的走向,就是這個決策體系最後要達到的目標。」
至於IT投資的先後順序,她特別指出,IT主管一定要有組合的概念,不只要懂IT原則與大方向,還須兼具相當程度的財務認知,才會知道IT的投資究竟能對銀行產生哪些商業價值。
另外,ISACA(Information System Audit and Control Association)亦頒布了IT治理完整的認證架構─CGEIT(Certified in the Governance of Enterprise IT),將其層次更清晰的切割出來。高添水表示,要取得認證除了需要具備基本的相關知識外,還要有實務經驗,第一個要說明如何管理公司中決策支援、審核等所有的資訊架構,其次要證明所有的IT作為、IT管理跟公司的業務策略、發展方向是有一致性的,第三個要評估的是如何去傳遞IT部門所要彰顯的價值,第四個則是風險管理,接下來是資源管理的面向,最後則是績效評估,確保成本與效益符合規劃。
IT價值影響IT治理
綜合上述對於IT治理的意義詮釋、分類與認證,不難發現IT治理的決勝點落在IT策略、IT系統結構及IT預算三個領域。王依安用自身的例子,來說明台積電在這三個決勝點上的具體作法。
IT在台積電技術創新上扮演的是整合上、下游單位的關鍵角色,不同的組織功能,透過後台的同一套系統化串接在一起,王依安說:「從研發新的技術、研發需要的各單位支援、跟客戶互動到生產單位製造,過程中有非常多整合的機會,IT透過系統能夠幫助製造單位實踐研發成果。」
在製造層面,IT最重要的成果則是自動化,以目前12吋晶圓廠來看,其自動化程度達到98%,不只是人力節省,還可以做追蹤分析,進行持續性的改進;在顧客關係的維繫上,台積電透過IT系統提供客戶下訂單、了解產品每天跑到哪一站、下載品管質量數據等服務,讓客戶不需蓋廠、投資成本營運,就能比自己工廠更有條不紊的控管生產製造。
IT策略不是急就章,需要每個流程去檢討、制定並對準公司策略,王依安提到,台積電每3~4年就會重新檢視IT策略的架構跟流程,檢視的過程IT部門與各事業單位一同參與,不只是協助制定、修正,更透過這個機會讓他們了解IT、內化IT策略對他們的影響。
過去台積電的IT系統建置時常會有考慮不夠周延、建了又拆又改的狀況發生,4年前王依安在IT裡面成立資訊架構專責組織(The Architecture Board),開啟IT架構整體檢視與通盤規劃的時代,也造就了由IT決定內部資訊架構的走向。
起初,王依安碰到不少困難,「台灣專業的IT架構人才少且很難培養,企業界資訊架構人才不僅要懂技術還要懂業務,可能懂業務不見得懂技術,懂技術不見得懂業務,或者也懂,但不見得有口才跟使用者談、去影響使用者。畢竟必須要知道公司的策略、未來的方向、每個組織之間運作的狀況及組織間的關係,才能設計一個可長可久的架構。」
IT價值影響IT治理
綜合上述對於IT治理的意義詮釋、分類與認證,不難發現IT治理的決勝點落在IT策略、IT系統結構及IT預算三個領域。王依安用自身的例子,來說明台積電在這三個決勝點上的具體作法。
IT在台積電技術創新上扮演的是整合上、下游單位的關鍵角色,不同的組織功能,透過後台的同一套系統化串接在一起,王依安說:「從研發新的技術、研發需要的各單位支援、跟客戶互動到生產單位製造,過程中有非常多整合的機會,IT透過系統能夠幫助製造單位實踐研發成果。」
在製造層面,IT最重要的成果則是自動化,以目前12吋晶圓廠來看,其自動化程度達到98%,不只是人力節省,還可以做追蹤分析,進行持續性的改進;在顧客關係的維繫上,台積電透過IT系統提供客戶下訂單、了解產品每天跑到哪一站、下載品管質量數據等服務,讓客戶不需蓋廠、投資成本營運,就能比自己工廠更有條不紊的控管生產製造。
IT策略不是急就章,需要每個流程去檢討、制定並對準公司策略,王依安提到,台積電每3~4年就會重新檢視IT策略的架構跟流程,檢視的過程IT部門與各事業單位一同參與,不只是協助制定、修正,更透過這個機會讓他們了解IT、內化IT策略對他們的影響。
過去台積電的IT系統建置時常會有考慮不夠周延、建了又拆又改的狀況發生,4年前王依安在IT裡面成立資訊架構專責組織(The Architecture Board),開啟IT架構整體檢視與通盤規劃的時代,也造就了由IT決定內部資訊架構的走向。
起初,王依安碰到不少困難,「台灣專業的IT架構人才少且很難培養,企業界資訊架構人才不僅要懂技術還要懂業務,可能懂業務不見得懂技術,懂技術不見得懂業務,或者也懂,但不見得有口才跟使用者談、去影響使用者。畢竟必須要知道公司的策略、未來的方向、每個組織之間運作的狀況及組織間的關係,才能設計一個可長可久的架構。」
台積電的資訊結構專責組織共分成三塊,經由各司其職的專業分工共同去審視IT的架構,應用程式專才(Application Architect)要能夠真正深入業務,了解其應用需求,還要知道好幾個不同專業領域的問題,王依安說:「我負責企業資源管理(ERP),但供應鏈、客戶關係管理、電子商務、商業智慧等相關概念牽一髮而動全身,不能不懂,因為應用程式專才肩負的是整合的關鍵責任。」
由於資料面沒有功能與專業領域之分,資料專才(Data Architect)的專長在於確保資料的品質與資料呈現的標準化,技術專才(Technology Architect)要懂雲端運算、JAVA、虛擬化等一些不同的架構,跑在技術尖端、引入新的技術並知道技術如何做出有效率的解決方案。
但是,不是每個人都懂所有的東西,怎麼樣把不同人的知識累積起來在一個同樣的架構之下,讓它可以一直加上去,累積下來,而不是留在那個人的腦袋裡頭,其實是需要一些手法的。王依安指出,這個手法其實就是善用參考模型(Reference Model),比方說新案子會透過參考模型的方式去整合,IT架構專責組織介入大型專案,透過自己動手做,實踐新的觀念,以及進行後續的控制與評估。
「IT架構不是做完一次就結束了,技術一直在更新、企業一直在變化,一個亂象沒有持續去管理,會更亂,要一直花很多力氣去讓它不亂。」王依安再一次的剴切指陳,IT架構本身是一個持續的過程。
透過這樣的運作機制,台積電的任何新系統可以達到讓各單位即時上線使用的效果之外,還強化了人才的培養,建立人員寬廣的視野,訓練他們把雜亂的需求收斂到統合的層次。
「有一個位階比較高的專責單位從公司長遠眼光來看的時候,可以幫助IT提出一些能說服使用者的解決方案。」王依安認為,資訊結構專責組織在IT跟使用者的互動間扮演了溝通的橋樑。
在IT投資方面,她認為這不僅是預算過程,更是策略調校(Strategy Alignment)的過程,台積電每年會有一個工作委員會(Working Committee)找不同事業單位的主管來,先談每個單位要做什麼,IT策略希望聚焦在什麼地方,再送交到副總、執行長層級,看到底要做什麼事情,如何做才有效率、效能,而這當中再再都涉及到跟老闆與使用者的溝通,王依安建議CIO該做好的第一個工作就是做對的事情,第二才是著手執行與嘗試。
因為人人意見相左,所以需要有一個大家同意的流程把問題放在上位層次來討論,王依安指出,預算過了只是有一個額度而已,真正要做的時候,台積電有另外一個流程去衡量其效益與投資報酬率是否合理,但這裡就牽涉到IT價值怎麼界定的問題。
她認為,IT不必跟使用者解釋IT的價值,而是要做到讓使用者了解或認為跟IT合作,對組織、對公司能產生價值。「因為各單位有興趣的不是IT單位有什麼價值,而是他自己有什麼價值,各單位請IT建立架構、調整結構後,若能效率增加、使公司獲得長期競爭力,使用者才會真正開始反思IT的價值是什麼。 」
投資與溝通 左右IT治理成敗
在政府部門,潘城武也分享了IT治理的整合式架構如何發揮節省IT預算的具體效益。以全字庫跨平台文書編輯軟體為例,早期全字庫內含僅約10萬字,透過紙本印刷的預算總額共10萬元,時任電子處理資料中心組長的潘城武希望將全字庫電子化,籌措了100多萬總算將它放到網路上,提供查詢功能後同仁覺得效果不錯,於是也發展了下載功能。
後續潘城武還提出中程計畫,欲進一步把全字庫作到完善,除了每年主計處編列預算1仟5百萬,又從研考會那邊尋求2400萬元的挹注,平均一年約耗資3900萬,4年下來大概花費1億5千萬。這樣的金額乍聽之下確實令人瞠目結舌,但潘城武說,若是了解它的效益後,民眾便會知道這不但不是浪費公帑,甚至還促成大型資訊系統的互通整合。
「有一個位階比較高的專責單位從公司長遠眼光來看的時候,可以幫助IT提出一些能說服使用者的解決方案。」王依安認為,資訊結構專責組織在IT跟使用者的互動間扮演了溝通的橋樑。
在IT投資方面,她認為這不僅是預算過程,更是策略調校(Strategy Alignment)的過程,台積電每年會有一個工作委員會(Working Committee)找不同事業單位的主管來,先談每個單位要做什麼,IT策略希望聚焦在什麼地方,再送交到副總、執行長層級,看到底要做什麼事情,如何做才有效率、效能,而這當中再再都涉及到跟老闆與使用者的溝通,王依安建議CIO該做好的第一個工作就是做對的事情,第二才是著手執行與嘗試。
因為人人意見相左,所以需要有一個大家同意的流程把問題放在上位層次來討論,王依安指出,預算過了只是有一個額度而已,真正要做的時候,台積電有另外一個流程去衡量其效益與投資報酬率是否合理,但這裡就牽涉到IT價值怎麼界定的問題。
她認為,IT不必跟使用者解釋IT的價值,而是要做到讓使用者了解或認為跟IT合作,對組織、對公司能產生價值。「因為各單位有興趣的不是IT單位有什麼價值,而是他自己有什麼價值,各單位請IT建立架構、調整結構後,若能效率增加、使公司獲得長期競爭力,使用者才會真正開始反思IT的價值是什麼。 」
投資與溝通 左右IT治理成敗
在政府部門,潘城武也分享了IT治理的整合式架構如何發揮節省IT預算的具體效益。以全字庫跨平台文書編輯軟體為例,早期全字庫內含僅約10萬字,透過紙本印刷的預算總額共10萬元,時任電子處理資料中心組長的潘城武希望將全字庫電子化,籌措了100多萬總算將它放到網路上,提供查詢功能後同仁覺得效果不錯,於是也發展了下載功能。
後續潘城武還提出中程計畫,欲進一步把全字庫作到完善,除了每年主計處編列預算1仟5百萬,又從研考會那邊尋求2400萬元的挹注,平均一年約耗資3900萬,4年下來大概花費1億5千萬。這樣的金額乍聽之下確實令人瞠目結舌,但潘城武說,若是了解它的效益後,民眾便會知道這不但不是浪費公帑,甚至還促成大型資訊系統的互通整合。
「戶政系統8000台PC,每一台電腦每年的中文系統大約花費3萬,總共要2億4仟萬,因為有全字庫跨平台文書編輯軟體,只要不到4仟多萬,用10分之1的金額,就有10萬個字型可提供給大家使用。政府機關做一個字給自己用要花費800元,全字庫做一個字只要80元,全國各機關都受惠,還能授權給廠商、銀行使用。此外,目前UD Code 4.0的七萬多字中,全字庫大概提供了6萬多字,國際上ISO10646大部份的字也是全字庫來提供。」
雖然有全字庫成功的經驗,但系統開發仍難免有滑鐵盧的時候,像是內部網頁─行政知識網便是案例之一,潘城武說,由於牽涉到各部門,做的時候大家意見很多,因為當初架設該網站也是IT內部做的決策,加上投資金額與人力都很少,終導致後來面臨了沒有人要用的窘境。
雖然有全字庫成功的經驗,但系統開發仍難免有滑鐵盧的時候,像是內部網頁─行政知識網便是案例之一,潘城武說,由於牽涉到各部門,做的時候大家意見很多,因為當初架設該網站也是IT內部做的決策,加上投資金額與人力都很少,終導致後來面臨了沒有人要用的窘境。
以預算過程 職權歸屬迎戰
從台積電、中國信託及主計處的實戰經驗中可以歸納出,IT治理的挑戰在於權力的劃分與溝通的技巧。
儘管精誠資訊是全台規模數一數二的系統整合廠商,整個集團將近3000個員工,營收合併約130~140億,包括台灣跟海內、外運作大概10幾個子公司,但高添水坦言,IT治理的概念仍需慢慢推動。
過去附屬於財務部門,後來因為它是很特殊的專業而有了獨霸的地位,但現在談IT治理其實回到一個權力的平衡點,如同談公司治理時相仿,IT治理需要解決的也是代理問題,避免自肥,IT的流程要透明化,往昔系統裡隨手可得的報告與資料,如今都要透過工作流程來進行申請。
另外一個問題仍是如何與業務單位溝通,高添水說:「通常系統整合商總是盡力配合客戶需求,像是政府單位的發票要提前開、往後開、開了之後要退回來,原本系統並不支持,後來逼得廠商要去支持,在快速反應的壓力下,慢慢地使用者怎麼要求,系統就會怎麼發展,當系統一擴大,你就發覺,系統資料品質、管理、帳都出問題了,尤其系統要複製到國外的據點,人才的訓練更是麻煩。」他認為,有些東西還是要有平衡點,怎樣不讓特殊案例影響系統遵循正常的流程,就是溝通要發揮的空間了。
林坤禧從過去擔任台積電CIO的經驗中,提供兩個方法來解決IT治理所遭遇到的挑戰,第一個是從IT預算過程著手,他認為,IT必須以營運部門的目標為目標,預算應由事業部門提出,例如:製造執行管理系統的預算應該由生產部門提出,因為那是生產上的系統,預算核定前要得先評估其商業目標與價值。
像ERP的部份,使用者跨了好幾個部門,財務、會計、製造、銷售都有,他表示,這些部門要共推一個單位擔任ERP的負責人,如此一來,才能確定這是管理部門要達到的價值,預算通過後則撥到IT部門統籌運用,假如每一個部門自行建立網路與伺服器,除了造成浪費,公司內部還易產生很多相容性問題,因此商業部門決定要什麼,IT部門決定如何使用這些錢來達到目標,這正是所謂兼具制約與平衡的預算過程(Checks and Balances Budget Process)。
林坤禧提出的第二個治理工具是三個職權歸屬(Ownerships)的釐清,「IT治理上經常發生IT部門開發的系統不合業務部門需要的問題,解決此效能問題時,三個職權歸屬的釐清是關鍵。」
首先,所有IT系統一定要有一個業務負責人(Business Owner),負責協調其他部門的使用者須具備領導能力,而且要訂定商業目標依業務部門需求協調IT進行管理與服務。
第二個是解決方案負責人(Solution Owner)通常就是IT主管,有了商業部門的預算,又有業務負責人告訴他需要什麼東西,解決方案負責人就要傳遞這樣的服務。
第二個是解決方案負責人(Solution Owner)通常就是IT主管,有了商業部門的預算,又有業務負責人告訴他需要什麼東西,解決方案負責人就要傳遞這樣的服務。
第三個是資料負責人(Data Owner),大部分企業往往會忽視,但其實這是最重要的部份,資料負責人不像前兩者只限於1人,可能是很多人,也是三者中最難管理的職權歸屬,因為資料不好,系統的品質就不好,決策就容易錯誤,又由於分散在各部門、時常需要維護更新,所以經常不會執行徹底。
面對IT治理的挑戰,張汝恬則特別提醒,用預算管理投資要分成兩大塊:一是有策略性的議題專案,二是日常維運。她認為,大部分主管應該要關注前者而不是後者,只要符合公司的預算,IT主管應有內部操作的決定權,但策略性議題就要回到全行支援。「IT要做的遠超公司給他的預算和他的能力,如果今天規格、文件、測試計畫、預算及業務單位的職權歸屬都能夠清楚的話,我相信專案成功的機會一定是大的。」
至於系統的穩定度、錯誤率、維護的成本、變更的正確性、問題的數量及問題解決的速度等都應包含在每天的KPI中,每年檢視KPI計價模型固然重要,但改變企業流程才能徹徹底底改變成本結構,萬萬輕忽不得。
另外,張汝恬也提供了中國信託IT部門在資訊安全等被視為非即時性的項目上爭取預算的作法。她說,如果其他銀行已經做了類似的資安投資,IT就順理成章的向財務部門提出資安投資的需求,倘若仍未能闖關成功,則使用法規認證作為推動的利器,「通常我覺得有缺點的地方就讓他多去稽核幾次,多開一些單子,因為開了單就一定得回應。」
另外,張汝恬也提供了中國信託IT部門在資訊安全等被視為非即時性的項目上爭取預算的作法。她說,如果其他銀行已經做了類似的資安投資,IT就順理成章的向財務部門提出資安投資的需求,倘若仍未能闖關成功,則使用法規認證作為推動的利器,「通常我覺得有缺點的地方就讓他多去稽核幾次,多開一些單子,因為開了單就一定得回應。」
張汝恬對於認證的看法是,認證本身並不重要,但過程是重要的,不論接棒的後起之秀多好多壞,它可以確保組織不可能變得比現在更差,「我認為這是我幫銀行留下來的智慧遺產。」她篤定的說。
IT治理止於至善
談IT治理沒有仙丹,得從IT原則、IT的組織定位以及與事業單位間的互動穩紮穩打,因此,張汝恬疾乎:「在組織裡面一定要有清晰的決策流程、治理的原則和科技的標準,對於每一天IT的執行,CIO應該致力於建立相對應的程序與成本分析的KPI,讓它盡量可量化、可測量,讓IT治理的大原則與細節彼此呼應。」
談IT治理沒有仙丹,得從IT原則、IT的組織定位以及與事業單位間的互動穩紮穩打,因此,張汝恬疾乎:「在組織裡面一定要有清晰的決策流程、治理的原則和科技的標準,對於每一天IT的執行,CIO應該致力於建立相對應的程序與成本分析的KPI,讓它盡量可量化、可測量,讓IT治理的大原則與細節彼此呼應。」
誠然IT治理涵蓋廣泛,但透過層層剖析,曹承礎點出:「IT治理談的無非是公司怎樣有效率的運用IT延伸或實踐其價值。」
他認為,IT治理有兩大重要作法,首先,把商業價值帶出來;其次,做好風險管理。很多時候IT也許會面臨球員兼裁判的質疑,此時要善用認證與驗證的工具,另外,溝通的秘訣在於把精神抓住,例如:提出參考模型、提出CMMI、ISO的精神等。
一個好的IT治理可以經得起組織變革考驗,好的測量標準、好的評估作業、好的流程、好的決策、好的成本分析決定了好的治理,過程或許艱辛,但對於品質的堅持沒有止盡,做對的事永遠是止於至善
一個好的IT治理可以經得起組織變革考驗,好的測量標準、好的評估作業、好的流程、好的決策、好的成本分析決定了好的治理,過程或許艱辛,但對於品質的堅持沒有止盡,做對的事永遠是止於至善
轉載自CIO雜誌第25期
