IBM Rational Edge: 可运作的 IT 治理

风险管理

风险是识别出的受治理组织交付价值并满足风险承担者需求的不确定性。一般，有三种 IT 治理解决方案应该处理的被采用的风险：
• 运作的：在日常经商过程中采取的风险
• 投资：开发或收购新能力时采取的风险
• 法律：被罚款或控告，或者由于没有满足法律需求而进监狱的风险
当生成治理解决方案时，我们不仅必须确定组织的目标，还要确定 IT 系统要减少的风险。一般，对这些风险的处理由明确的过程进行：运作风险可以通过安全管理、商业弹性管理，和数据完整性管理过程进行处理。投资风险通过开发、交付和整合过程进行处理。因此，治理解决方案应该将这些过程放在治理之下。治理有效性度量应该反应这些风险的消除。
法律风险由下面介绍的法规遵循实践处理。

法规遵循

法规遵循是对决策的正确执行的文档化。许多组织引入治理的概念，因为它们开始商业法规，例如 Sarbanes-Oxley 或 Basel II，的遵从过程。这些法规由确定商业决策是否由恰当的人员根据恰当的政策制定出来，的审计强制执行。要通过这些审计，组织必须编制其决策权、政策，和编制每个决策实际上都是由恰当的人根据法规制定出来的法规遵循记录。

在建立治理时，组织必须考虑其法规遵循需求并且设置过程和工具来有效地获取法规遵循记录，从而令组织记录并传达各种过程遵循商业或法规政策的程度。

政策

政策是指导或约束获得决策权的人的行为的规则或原则。政策指导决策权，这一般是有条件的。举例来说，一线经理可能被允许，可用在未得到进一步批准的情况下花费规定数量之下的钱，而对于该量之上的支出，就需要进一步批准。雇佣经理可以补缺，但不能雇佣亲戚。政策为决策提供指导，为指导的遵从设定硬性指标，并且可能提供除外条款。举例来说，联邦法官被授予对那些有罪犯人的判刑决策权，但他们经常受到判刑指导原则的约束。

政策可能参考治理度量。举例来说，在 IT 组织中，政策可能要求运作经理在没有达到服务质量水平的时候减少行动。

注意政策不仅约束决策，而且还可能要求要制定的决策。举例来说，可能需要经理来建立并实行平等的就业机会实践。

政策提供指导，有时候设置限制，并且有时候允许行为。这类似于特定政治系统中的概念，除了那些国家明确禁止的，公民拥有每项权力（也就是，这些政策设置了限制）。在其他系统中，公民只拥有国家允许的那些权力（也就是，这些政策允许行为）。

可运作治理的原则

在此我们将介绍七个针对在实施的治理的原则：
• 过程原则：治理是一个自身被应用于将被治理的过程的过程。
• 工件生命周期原则：受治理的过程工件生命周期指导治理解决方案。
• 风险原则：必须根据风险级别调整度量和控制。
• 适合性原则：组织的需求确定了如何特制治理的级别和风格。
• 行为原则：治理解决方案推动组织的行为。
• 部署原则：治理解决方案必须增量地实现。
• 自动化原则：技术令治理解决方案可授权并且不冒昧。

过程原则

过程原则声明“治理是一个自身被应用于将被治理的过程的过程。”
弄清治理是如何应用于组织是很重要的。当您在思考与治理相关的所有不同的概念时很容易混淆。下面是用于理解的很重要的分解了的简化：
• 我们向过程应用政策。
• 我们向过程应用标准。
• 我们在过程中执行决策权。
• 我们权衡并控制过程。

由此得出结论，要很好地治理，治理就必须是具有一序列运作（一个生命周期）和一组通过其执行而创建并演进的对象（工件）的过程。上面图 2：：治理生命周期中描述了治理生命周期。

治理工件的实例是

• RACI 7 矩阵追踪
o R负责的（他们为完成任务而工作，在功能和财务方面有多个负责的资源）
o A有责任的（最终对决策负有责任的资源）
o C顾问的（为了确认而寻求那些人的意见）
o I消息灵通的（那些人实时关注提供监督的决策）
人的给定决策
• 存储库授权规范
• 度量规范及模板
• 法规遵循记录
在治理生命周期执行的过程中生成并演进了这些工件和可能的其他的工件。治理解决方案被定义为治理工件及其相关性的总的集合。
注意，在此生命周期中，设定了治理目标，并且定义了度量来确定目标是否达到。这是周期性的生命周期，它要求周期性的访问治理解决方案以查看目标是否达到，并且调整治理解决方案。
在治理过程的执行中，在最初的阶段，您必须确定受治理的过程 —— 也就是，决策权和度量分配到的组织的过程。

过程规范的来源可能包括：

• IT 能力框架，例如 CobiT 和 ITIL，它们定义了一组由 IT 组织执行的过程
• 开发成熟度模型，例如 CMMI，它们定义了由软件和系统开发组织执行的过程
• IBM SOA Foundation，它列出了 SOA 生命周期（建模、组装、部署、管理）中具体到 SOA 的过程
• 任何无数的其他具体领域的和商业的过程
事实上，通过指定在治理之下设置那些过程来定义各类治理（IT 治理、开发治理等等）是有用的。举例来说，将治理应用于 IT 过程是 IT 治理，等等。

一些过程，例如服务复用，常常叫做“治理过程”，因为在没有有效的治理的情况下很难完成，或者因为它们增进了治理目标。然而，严格地说，这样的过程不是治理过程，它们是被治理的过程。

许多称为治理过程的东西实际上是受到治理解决方案的执行的影响，或者是治理解决方案的执行所需要的过程。举例来说，要满足公司的安全需求，IT 组织要创建并实现密码政策。这个要求需要 IT 组织设置一组创建，并维护、监控，和实施密码的过程。在进行期间，IT 组织的领导采用了一组决策权（举例来说，负责批准访问、发出密码，及变更密码的人）、内部政策、控制机制，和文档化程序。对该要求建立的这样的响应就是治理。换句话说，日常的密码政策的执行不是治理，而仅仅是密码管理。该 IT 组织进一步确定利用自动化并实施决策权的密码管理软件来实现该治理解决方案。该软件的实现和配置由治理解决方案决定，尽管那些密码政策的执行和相关软件的使用不是在进行治理，那些政策和支持的技术对治理解决方案的执行是必要的。

区别被治理的过程和治理过程可以帮助阐明角色，过程本身的模型，和所需的治理水平。它还帮助阐明对运行时和工具支持怎样及在哪里辅助治理的讨论。

工件生命周期原则

工件生命周期原则声明“受治理的过程工件生命周期指导治理解决方案。”此原则构建于早先的两个概念之上：(1) 治理包括决策权的分配，以及 (2) 治理应用于受治理的过程。回忆定义，过程的执行需要过程工件的创建或变更。

治理的特点可能在于一些需要在过程中特定控制点制定的决策。控制点提供度量过程的机会，并且决定过程的执行是否需要调整。一些这样的决策可能需要在过程中任意控制点由监控工具收集的一组度量。 知道过程中的什么决策是关键的，以及什么时候制定它们，并且了解需要将什么度量作为那些决策的输入，这些是治理的全部。

过程中某些活动可能与控制点相关。举例来说，工件的“审查步骤”可能与控制点相关联。以类似的方式，过程本身中某些事件，例如生命周期里程碑也可能是控制点。在 IBM® Rational Unified Process®（RUP®）中，有四个阶段：Inception（初始）、Elaboration（精化）、Construction（构建）和 Transition（产品化）。在每个阶段末尾，都有一个阶段转换校对，计划管理人员可以在此决定计划是否准备到下一个阶段（产品化的末尾是产品的发布）。这些里程碑都是控制点。

从本质上讲，工件生命周期提供了确定控制点的方法，以及推出定义治理解决方案的方法：
• 确定治理将应用于的过程
• 对于那些过程，确定过程所生成或影响的那些工件
• 对于那些工件，确定它们什么时候变更情况或状态（这些是控制点）
• 在每个控制点，确定
o 决策的 RACI 角色
o 可应用的政策
o 应该应用和收集的度量
o 要生成的法规遵循记录
这个直接的方法生成了将要实现和自动化的治理解决方案的要素。

在应用此工作流的过程中，要进行一些额外的考虑：
• 一些过程，例如软件开发，可能包含一组子过程。在这种情况下，全过程以及每个子过程拥有决策点（例如生命周期阶段转换）。对于全部和子过程的决策点也许是对齐的或者也许是不对齐的。
• 不是所有的工件都需要加入治理解决方案中。治理决策来确定那些工件需要正式的生命周期过程建模和治理，那些将受到非正式的或“特别”的管理。
• 在进行过程工程时，过程本身就是工件，并且存在与其生命周期相关的控制点，从 proposed（提议的）到 adopted（采用的）到 retired（退休的）。
• 考虑工件的“集合”如何以协作的方式共同地转换其生命周期也是重要的。
虽然现在已经存在许多用于为单个工件的生命周期建模，并且在单个工件的生命周期中的各个位置执行政策和决策权的工具，但是为了了解同时协调多个工件的更复杂的过程，并且因而了解那些过程中的那些控制点需要决策权的应用、度量，和政策的施行，还要做进一步的工作。
受控工件的分析，以及那些工件的生命周期模型为治理提供了丰富的过程。许多现有的治理工具，特别是基于注册的治理，包含关键工件的生命周期的模型，并且为政策和决策权的施行提供控制点。

风险原则

风险原则声明“必须根据风险级别调整度量和控制。”

行为原则（参见下个部分）说明一些过程风险与执行变量的统计不确定性相关。风险的等级决定了您该如何度量：
• 当确定性和过程可预测性的等级很高时，您可以着重于活动的度量。
• 当确定性等级低时，您需要着重于度量确定性等级中的变更，而不是个别的活动。
注意到，当确定性等级低时，您不能创建从头至尾的计划。相反，您必须利用所完成的结果和所获得的见识来创建一系列迭代，来设置活动及资源来促使计划成功。成功的关键是每个迭代的有效度量，以及在对下一个迭代反馈时对度量的使用。

我们经常不能区分高确定性和低确定性的情况。虽然说您处于低确定性的情况中可能会痛苦，因为风险和成本更高。许多组织浪费了大量事件来处理延迟的决策，这大大地提高了商业成本。通过忽略确定性的缺乏，您可以暂时避免一些痛苦，但是这并没改变项目的本质，而之后将产生更大的痛苦。

适合性原则

适合性原则声明“组织的需求确定了如何特制治理的级别和风格。”

不同的组织拥有不同的治理需求。一些组织处理受到严格规定的拥有关系任务或关系生命的产品的过程，例如，航空电子学或医药学。这些组织需要更正式、可审查的治理。其他组织，例如开源团体，作为带有新兴行为的精英得到治理。

对更严格的治理的需求由决策点处更紧密的政策，以及正在进行的政策执行和法规遵循度量来满足。

甚至在一个组织中，不同的过程可能需要不同的治理风格。一些过程，例如代码发布，比其他过程，例如软件编码，需要更严格的治理。

一些治理风格需要考虑组织及其子组织之间的关系。不同的组织文化需要决策制定过程中不同级别的独立性。例如，行业中的 IT 组织和跨行业的（也就是，公司）IT 组织之间的决策权在不同的企业之间都不同。

为了更加敏捷和有效，许多组织正采用治理方法。许多厂商创建的方法是满足最大可能的需求集合的最大峰值的框架方法。组织需要适合性原则，并且必须重视这些治理方法，对其进行适当裁减。目标是在不丢失已知方法带来的结构的价值的情况下，创建适合组织的方法。

行为原则

行为原则声明“治理解决方案推动组织的行为。”
从前，经理放弃可以将工作人员看作可编程序的机器的想法。现今，执行者的难题是创建导致组织以目标能实现的方式执行的环境。治理是可以用于推动组织行为的工具。
治理推动行为的应用性从这四种现象得来：
1. 人们自发地创建他们自己的社会网来完成工作。
2. 跨组织边界的沟通没有在边界之内的那些有效。
3. 规模不经济 —— 沟通随着扩大的组织的大小成非线形增长。 8
4. 人们将对自己如何受到度量，以及组织如何受到度量做出响应。

通过适当地设置决策权和度量，您可以使用这些现象来完成良好的组织行为。类似的，如果决策权和度量没有设置好，或者根本没设置，那么这些现象可以导致糟糕的组织行为。
前三个现象与决策权相关。设置清楚的决策权令职员了解其职责所在，以及谁需要与谁讨论什么。此外，在开发中处理现象 2 和 3 的久经考验的方法将组织边界与系统架构结合起来。有时候叫做“您在装运组织”。企业和企业架构中用到的逻辑分解方法促进有效的沟通。设置权限和决策权增强了这些管理技术。

经验还表明需要谨慎地选择度量，因为它们可能对系统的行为有很大影响。确实，管理的格言是，“您获得您所测量的”。举例来说，如果您度量软件开发人员的代码行数，那么团队将生成拥有许多不必要代码行的程序。

部署原则

部署原则声明“治理解决方案必须增量地实现。”

治理，由于其对组织的特殊性，需要一种为了组织调整的增量方法。该原则强调定义和精练组织中使用的治理过程和能力的迭代方法。治理能力包括将与各种治理规程相关的过程和最佳实践形式化，以及建立跨规程的能力和服务，使治理过程更加有效和节省成本。

IBM 推荐组织使用治理生命周期来增量地确定治理需求，将治理能力就位，并且建立度量机制来确保对治理的改进可以引起组织行为中的预期变更。

要在治理生命周期中迭代有三个理由：
• 增量地增加新的治理能力
• 增量地提高现有治理能力
• 增量地转换负责治理的组织能力

如果您在第一次试图升级您的能力时遇到一个太大的问题，那么您增加了失败的可能性。不要一次咬下整个治理问题，在计划阶段将您的治理需求排列优先级，并且依靠多次执行本文的“治理生命周期”中介绍的步骤。获得治理权是迭代的过程，治理的文化和行为方面使其成为非确定的活动。

组织对“治理能力”的倾向将成为其采用治理策略的主要因素。拥有传统结构和责任的那些公司将更适合治理，而那些已经采用“胆小的方式”的那些公司将更加挣扎。该原则的一些实例是像 IBM 和 GE 的公司的长久性。这些公司都拥有结构化治理的长期历史，这给予它们经受不同时期的能力。

自动化原则

自动化原则声明“技术令治理解决方案可授权并且不冒昧。”

由于治理一般来自组织的外面，或者看起来满足外部需求，所以工作人员可能将治理看作不可避免的灾祸，并且新的需求确实可以增加开销并阻碍生产力。通过将决策的编排自动化，获取法规遵循记录，收集并集成度量，也许通过执行将治理解决方案作为组织的结构一部分部分的政策，技术可以满足此关注点。

良好的治理解决方案可以令组织能力加强。指定好的决策权提供角色明确性，并且简化促进沟通。每个人都清楚地知道需要什么沟通来完成任务。良好的度量加强适当的行为。用自动化来增强治理决策提供了方法来减少开销，并确保治理解决方案的连续的执行，增加员工对解决方案是真实的，且可以参照的自信心。最后，治理解决方案应该隐藏起来，令工作人员专注于他们的实际工作。

最后的思考

人们经常认为他们在“治理”和“不治理”之间进行选择，而事实上，这是“好的治理”和“坏的治理”之间的选择。每个组织都拥有一个决策制定框架，以及一些常常未阐明的度量。商业的需求和 IT 的角色在演进，而这些无意识的治理解决方案没有演进。好的治理是有意图的，并且它做出努力并关注。本文中所介绍的可运作的观点为治理的良好运行提供了方法。