每个人都会犯错,但当首席信息官把工作搞砸时,其后果可能对发起者以及整个 IT 部门和企业造成毁灭性的影响。
信息技术研究集团 (Info-Tech Research Group) 首席研究主管唐娜·贝尔斯 (Donna Bales) 建议,IT 治理应该具有明确的定义、清晰的理解,并以能反映其企业使命、愿景和战略的原则为指导。“良好的治理工作应该委派和授予个人权力,以完成一些既定结果,从而有助于企业走上其发展方向。”
尽管首席信息官付出了最大的努力,但在 IT 治理方面仍存在几乎无数的陷阱。极为重要的是要密切留意以下七个常见错误,即使是最细心的 IT 主管也可能会犯错。
1、跟不上不断发展的业务重点
业务实践和优先事项经常发生变化,以适应新兴技术、客户预期以及产品和服务的交付需求。贝尔斯提醒说:“随后的治理工作变化要保持一致和有效,这一点至关重要。”“组织机构往往无法认识到这种(必要性),并且一旦治理工作到位,就很少对其进行调整。”
贝尔斯表示,在设计治理工作时应考虑到适应性,以确保 IT 与业务目标保持一致,可持续提供价值,同时可有效地防止部门遭受潜在风险。“有效的治理工作可确保在正确的时间进行正确的技术投资,以支持组织变革并成功实现业务成果。”她补充道。
贝尔斯表示,治理工作应成为是你企业 DNA 的一部分——是企业的核心,并且是独一无二的。“你的治理结构应该是动态的,(旨在)可发现那些能开启调整操作的触发因素,并且应该不断衡量其有效性,以便保持正确性。”
2、风险规划工作不力
首席信息官经常在没有充分考虑到所有相关风险的情况下启动战略计划。全球网络安全评估机构 Schellman 的加密和数字信任服务负责人斯科特·佩里 (Scott Perry) 说:“这导致将治理工作成为一个事后追加的想法,而不是将治理方法作为风险管理计划的一个组成部分。”“到那时,治理结构被仓促建立,风险缓解措施将失去效力。”
通常,首席信息官在没有完全了解系统是否能够满足其战略目标的情况下就推动一些关键计划。“这可能会产生风险,例如技术漏洞、正常运行时间受限制、连续性受影响和客户拒绝,”佩里提醒说。在流程的早期充分发现这些风险,并将有序的风险缓解流程作为整体治理计划的一部分来解决这些风险,这对于战略计划是否成功至关重要。
佩里建议制定一个监督计划,其中包括风险评估、为降低可控风险而设立的治理要求,以及衡量治理要求遵从程度的内部和外部审计程序。他还建议进行剩余风险评估,以确定是否存在任何剩余风险,以及建立一个计划反馈回路。
3、运营可见性不足
尽管大多数首席信息官已经制定了完整而详细的治理计划,但许多 IT 主管们缺乏必要的运营可见性,以评估其企业对特定治理策略和任务的接受度和做法。商业和 IT 咨询公司 Capgemini Americas 的边缘卓越中心 (Edge Center of Excellence) 主任 Azadeh Dardras 表示,虽然许多首席信息官认为所有企业领导都可以轻松了解和理解 IT 治理策略,但事实并非如此。
Dardras 表示,在许多情况下,IT 部门是独立工作。“如果你不了解自己的治理决策的背景和结果,那么你的策略可能会对业务产生负面影响,”她提醒说。如果 IT 治理工作没有触及并涉及所有重要的利益相关者,特别是在企业业务部门工作的团队成员,则关键的决策可能会在没有充分和适当考虑的情况下做出。 “这会严重影响相关团队的工作,并最终影响整个业务。”Dardras 指出。
4、未能将 IT 治理与企业治理充分保持一致
IT 主管们通常会力求尽快完成一些项目以满足特定的业务需求。“这样做,他们可能无法恰当地让公司的治理团队(例如法律、合规和信息风险管理团队)参与其中。”洞察力和数据管理平台提供商 Aware 的首席法律和数据保护官布莱恩·曼尼恩 (Brian Mannion) 提醒说。
为防止发生潜在的治理工作不协调,首席信息官应鼓励其 IT 部门代表定期与企业治理团队人员合作。在战术层面上,IT 团队和企业治理团队应定期针对新工具,以及为现有工具设计的新功能和增强功能彼此进行沟通。团队之间还应针对已发现的风险提出并协调潜在的解决方案。
曼尼恩建议,应确定并商定一套标准的最低限度管理措施。“最后,(企业)治理团队必须拥有足够的且侧重于技术的人员来支持 IT 工作。”他说。
5、使用过去的方法来衡量未来的进展
许多企业继续基于绩效服务水平协议 (SLA) 的指标来衡量其 IT 治理工作。不幸的是,这些指标往往是滞后的指标。
全球技术研究和咨询公司 ISG 的数字战略和解决方案合伙人普拉桑特·凯尔克 (Prashant Kelker) 建议,IT 治理应关注于领先指标,并反映未来的投资和支出。领先指标是一种预测性衡量尺度。领先指标包括收入增长、每位客户的收入、利润率、客户保留率和客户满意度。
6、将数据视为废品
众所周知,数据已成为一种非常珍贵的资产。对于很多信息驱动型企业来说,数据是他们最有价值的资产。硅谷数字工程专业服务公司 Apexon 的数字化转型主管切森•拉克斯曼 (Chethan Laxman) 称,尽管如此,仍有数量惊人的企业始终将数据视为废品。
随着数据越来越多地帮助决策,以及数字创新使更多业务流程自动化,数据的价值和完整性变得越来越重要。“所有企业,无论其规模大小或处于哪个行业,都需要转变观念,不再将数据视为麻烦的成本中心,而是要将其视为可靠、可获得、安全和可用的资产。”拉克斯曼说。“在对数据和分析方面做出投入之后,业务和 IT 主管们现在迫切需要保证拥有良好的治理工作,以实现其运营效率、更高增长和更好客户体验的目标。”
7、忽视内部威胁
远程/混合办公环境,加上创纪录的员工离职率,使得内部威胁成为各类型和规模的企业所面临的一个巨大风险。
所有类型的内部威胁都可能造成潜在危害,与外部攻击者合作的恶意员工和内部人员可能尤其具有破坏性。“事实上,企业在每个内部事故上的平均花费为 644852 美元”内容安全和治理平台提供商 Egnyte 的首席安全官克里斯•拉希里 (Kris Lahiri) 指出。
拉希里建议对 IT 治理采取一种全面的方法,包括优先考虑数据安全、实施网络安全最佳实践以及最大限度地进行用户网络教育。他表示,为了建立一个有效的内容治理计划,深入了解结构化和非结构化数据也极为重要。“如果你不了解这些数据,则你就无法正确对其进行管理。”拉希里说。
拉希里还建议,将数据视图集中化以了解正在被访问的内容是什么以及访问者是谁。“这将使企业可通过识别常见的用户行为和模式来发现恶意行为。”