设想读者的状态(Before)
许多经营层和管理者倾向于认为IT管控“越严格越安全”。然而,其结果往往是来自一线的抱怨喷涌而出:“申请流程太多”、“工具导入耗时过长”、“不允许任何例外”。尽管将这些归咎于“管控需要,无可奈何”,但一线的速度和创意明显下降。最终,IT管控非但未能成为降低风险的装置,反而沦为消耗一线精力的摩擦源,这种情况屡见不鲜。
议题设定(What is the decision?)
本次探讨的核心判断在于:“为何IT管控一旦设计失误,就会形成扼杀一线活力的结构?”以及“为何这是一个重要的经营决策?”IT如今已成为业务速度、实验与改善、组织学习的基础。如果其管控变得僵化,不仅无法降低风险,更会引发竞争力本身下降这一重大问题。
结论概要(先行提出)
IT管控的失败,并非仅仅在于“过于严格”。真正的失败在于,无视业务阶段和风险差异的一刀切式管控。正确的设计方针是,根据重要性、影响度、可逆性来区分管控级别。必须理解,这并非是要削弱管控,而是为了让管控能够切实发挥作用。
前提梳理(事实·约束)
业务目的是利用IT来更快、更灵活地推进业务。另一方面,作为约束条件,IT风险因用途而异,并非所有系统都具有相同的重要性。此外,完全通过事前管控来约束一线的所有创新尝试是不可能的。基于此前提,不得不说,将所有事物用同一标准束缚的管控是缺乏合理性的。
IT管控扼杀一线活力的典型结构
在许多组织中可见的失败结构如下:
- 生产环境与实验环境未作区分。
- 即使是小型工具导入也需经历繁重的审批流程。
- 制度上未预设例外情况。
结果,一线为避开繁琐的正式流程,导致影子IT(未经管理的IT使用)蔓延,管控本身流于形式。
IT管控应有的设计
一个能发挥作用的IT管控,应从以下问题出发进行设计:哪些IT系统停摆会导致业务停滞(重要性)?失败到什么程度仍可回退(可逆性)?在哪个阶段应优先考虑速度(业务阶段)?在此基础上,进行分层设计:核心系统强管控,实验/验证系统轻管控,并根据阶段进行审视调整。这是有效风险管理的基本原则。
作为经营决策的分工
为了实现有效的治理,经营层与专业部门的适当分工不可或缺。
- 经营层的角色:定义需要保护的IT资产,决定可接受的IT风险水平。
- IT/安全部门的角色:梳理风险与影响度,提出多个管控级别方案。
同样,IT管控部门不应是决策者,而应是支持经营层决策的设计装置。
常见的失败模式
IT管控设计中的失败模式主要有以下三种:
- 一刀切式管控:无视系统的重要性差异。
- 无例外设计:导致一线采取规避行为,滋生影子IT。
- 固化不变:业务阶段变化后管控仍不调整。
这些都是将IT管控与业务设计、组织结构割裂开来思考的结果。
After(阅读后的经营者)
经过适当的理解和设计,经营者将能够把IT管控作为保护业务的“设计对象”来对待。他们将能够将管控与速度的权衡关系清晰表述,做出既能管理风险又不扼杀一线创意的决策。最终,IT管控将从束缚一线的锁链,转变为安全加速业务的护栏。
评论