IT投資與管理(二) IT與業務的連結

最近幾年來，談到IT治理（IT Governance），普遍用以檢視的是「IT與業務（Business）的連結（Alignment）」。按照Henderson與Venkatraman的分類，對於IT與業務的連結，可以分為以下四種：

1．投資導向：由IT影響企業策略，而提供新興的業務項目，或提升競爭優勢。像是採用產業內創新的技術應用，而改善整個作業流程。
2．服務導向：IT提供業務所需的服務，著重使用者的滿意度與需求管理。
3．成本導向：企業將IT視為營運的成本而加以管理。
4．利潤導向：企業要求IT以獨立事業單位的方式運作，而能夠以超過企業外其他IT公司的成本效率來提供服務。

而Lufman則進一步將企業策略（分成業務範圍、企業競爭優勢，與公司治理制度）、IT策略（分成技術應用範圍、系統優勢，與IT治理）、組織架構（分成管理結構、流程、管理技能），與IT架構（分成科技政策、管控流程、技術能力）拆開成十二個子領域。而依照如圖1的連結關係，發展了一套衡量企業IT與業務單位連結性的量表。這個量表會衡量以下6個構面的成熟度：

溝通成熟度：業務單位和IT人員的溝通管道是否通暢，而雙方是否互相了解。

價值衡量（Competency/Value Measurement）成熟度：是否有明確的方式來衡量IT的價值。

治理成熟度：IT的管理制度是否健全，而能確保其運作的效率和效果。

夥伴關係成熟度：業務單位對於IT的信賴程度，與雙方能否建立夥伴關係。

範圍與架構（Scope）成熟度：包括對於新興科技的採用，以及系統架構和外部組織的整合程度等。

技能成熟度：人員的能力是否能夠滿足IT與業務連結的要求。

Lufman採用類似CMMI的方式，分別衡量這6個構面的成熟度，最後將之彙總成為整體IT與業務連結的成熟度。基本上來說，治理成熟度強調的是IT運作的效率，比較偏向於成本導向的概念，要求IT能夠因為內部妥善的管理，而能夠降低運作成本；而範圍與架構成熟度會類似於投資導向，主要是在思考新興科技可能帶來的策略機會。

然而，光看這兩個方面並不足夠，就投資導向的觀點來看，早期企業投資大筆資金在IT上，然而，這幾年來，許多人開始提出如Nicholas在2004年所出版的「IT有什麼明天？(Does IT Matter？）」一書中的觀點，開始認為不該花大錢去投資創新的IT應用，應該採取跟隨者策略，如此能夠以較低的成本去取得較成熟的技術，以滿足業務的需求。而由成本導向的觀點來看，企業一方面因應微利時代的來臨，開始進一步管控IT預算，然而，企業也發現一昧壓縮成本反而會造成資訊服務品質的下降，因而傷害到企業的競爭力；另一方面，企業也開始思考自己來維持IT部門是否划算，因此要求IT部門更進一步顯示自己相對於其他單位的效率，甚至考慮到將部份的IT業務外包。

也就是說，近幾年來更進一步的要求要往服務導向或是利潤導向的方向走，要求IT能夠提供業務所需的服務，除了要能夠用最具成本效益的方式達到最大的使用者滿意度以外，並且這個服務本身相對於其他外部的IT服務提供者，更要能夠突顯其價值。而要做到這點，可能比投資導向或成本導向還要困難，畢竟這需要更進一步的讓IT和業務單位做好溝通（或具有良好的溝通成熟度），以便雙方互相了解與建立共識，甚至發展成為更密切的夥伴關係（或達成更高的夥伴關係成熟度），在公認的標準下，提供對企業來說更高價值的資訊服務（或有良好的價值衡量成熟度）。

PriceWaterhouseCoopers的前資訊長Mark Lutchen針對這樣的趨勢，特別建議由以下3個構面來檢視IT與業務的連結性是否足夠：

1．IT治理和領導力構面：強調IT本身的治理能力，包括要能夠建立一個根據內外部的最佳實務來不斷地改進IT程序的文化，並且要能夠使IT人員用高執行效能的方法來提供符合成本效益的IT服務（在使用者付費的情況下，使用者仍願意選擇內部IT部門所提供的服務）。

2．IT與業務和管理單位的連結構面：有能力運用顧客關係管理的方法實務，去和多方的利害關係人（Stakeholder）有效地合作。甚至針對IT服務，建立雙方同意的服務水準協定。

3．效能衡量與分析報告構面：要求能夠有效地衡量與分析IT組織各方面執行成效與服務產出，並且能夠利用清晰易懂的表達方式來對內（在IT組織內部）與外（對重要的公司與業務單位的利害關係人）部進行透明的績效報告。

根據這三個構面，筆者建議可由以下情況檢視企業：
● 在年度的IT預算中，有相當比例的IT投資並沒有附上相關的ROI評估（IT治理和領導力構面）。
● IT花費中，有相當的部份是各業務單位自行決定（IT治理和領導力構面）。
● 如果要決定刪減10%的IT預算，沒有辦法立刻說明可以優先刪除哪些部份，或是沒有辦法具體提出不能刪除的理由（IT治理和領導力構面）。
● 業務單位一直抱怨IT部門的服務不好，如網路老是斷線或連線速度太慢（IT與業務和管理單位的聯繫構面）。
● IT單位不確定目前提供的各項資訊服務的使用者會有哪些（IT與業務和管理單位的聯繫構面）。
● 對於IT部門的績效衡量或是向CEO的報告，只有技術面的指標（例如網路的可獲得性、或是做了哪些系統），缺乏對公司營運或是影響方面的指標（效能衡量與分析報告構面）。
● 針對各業務單位所提出的IT要求，不能夠很快決定其優先順序（效能衡量與分析報告構面）。

當有上述的情況發生時，就是需要採行相對應措施的時候，以下介紹三個基本或可以優先實行的步驟。

首先，為了要促進IT與業務單位的合作，並且能夠在有衝突的時候提供解決的對策，CEO或其他高階主管需要決定成立跨部門的類似資訊審查委員會的機構。而就筆者的經驗來看，成立這樣的機構本身並不困難，但如果這樣的機構只是每三個月或一年開一次審查會，則效果有限。比較有效的作法，通常是在該委員會底下配置一些常駐的幕僚人力，以便更進一步的收集資料，與追蹤委員會決策的執行。

其次，應該要明確落實考慮ROI或價值的IT投資審查制度，讓審查委員會依照各項投資的ROI與價值評估決定是否要執行，並且能夠依照所評估的價值，在投資完成之後，追蹤是否有達成其價值。這至少有兩層意義，首先，透過對於審查標準或是價值的定義，可以讓IT了解企業要的是什麼；而另一方面，當落實了追蹤的制度，也可讓提案單位為自己的提案負責，避免有「別人的孩子死不完」的問題。

最後，IT單位應該要對目前所提供的資訊服務做一個盤點，以了解到底目前提供了哪些服務？而這些服務的使用者又有哪些？這是一個基本的工作，完成後才能夠計算出各項資訊服務的成本基準（或提供這項服務在現今的服務品質下至少要花多少錢）；另一方面也才能夠確認這些使用者的需求的確認，甚至訂定服務水準協定。這也是 IT 單位未來需要更進一步努力的議題。

作者／查士朝
資誠企管首席技術經理。台大資訊管理博士，台大工管系兼任助理教授，目前教授科目為資料庫。查士朝具有多年大型系統開發及管理經驗，除了是PMP以外，在系統開發上面，具有SCEA、MCSD.NET，及MCDBA認證；在系統及網路管理上，擁有MCSE、CWNA、LPIC。查士朝對於資訊安全及個人電腦資料保護也多有研究，除了於國外發表多篇論文外，也擁有CISSP等資安證，並曾參與健保局及財稅資料中心等資安制度建立。