如何平衡好IT反应和控制

——制定开发和变革管理策略时必须考虑的十件事

一、概述

无论是业务还是技术，变化终究是不可避免地要发生的。不同的公司其适应性常常也是各不相同的，而这也决定了公司能够成功与否。现如今的企业比以往任何时候都依赖IT的支持来实现商业目标。由于业务策略在变所以IT组织也必须对新的需求有着敏捷的反应，作到与时俱进才行。

同时，IT环境也在变得越来越复杂。IT组件之间的相互依赖非常关键，一旦系统按计划投入运转，它就必须要做到最好。因此，IT生产环境中这些错综复杂的关系的频繁变化常常成为系统失败的原因，而失败的根源不是硬件的问题，也不是天灾人祸，而是因IT员工引起的变化对IT生产系统和业务系统造成的影响。

二、主要内容

绝大多数公司已经试过了各种补救办法来解决上述问题。但是如何平衡好控制与敏捷反应还是很难的，尤其是当采用的方法是建立在其他成本基础之上时，控制与敏捷反应就成了一对矛盾。幸运的是，有了一种系统化的、以过程驱动的方法来优化控制与敏捷反应，达到二者的平衡。一种集成化的变革与构造管理策略（An integrated Change and Configuration Management strategy）就能有助于甄别IT环境与关键业务服务之间的关系。然后，让IT以既能敏捷地对变革作出反应又能满足IT需求的方式连贯地管理变革的过程、控制基础架构的配置，从而控制IT环境中的所有关键配置。本文就是来详细阐述该策略的，主要内容包括以下10个部分：

1、 选择好时机

2、 作好经历痛苦的准备

3、 承担风险

4、 要有洞察力

5、 协作

6、 注意洞察变革、反应与业务的联系

7、 配置管理

8、 整合过程、数据和行动

9、 ITIL

10、从反应与控制的平衡中获得收益

（一）选择好时机

如果IT是贵公司业务的支柱，而业务是要变革的，因此IT就必须也得变革。变革是企业竞争实力的优势，也是企业适应性的要求。但是，IT的变革往往不能象变革的速度那么快地得以实现，也不可能频繁地按变化业务的要求而快速改变。而且IT环境的改变也不是单一的，它的变化越来越复杂，要知道IT组件支持那些核心业务服务是很困难的。这种变化的复杂性和不可见性在系统层面和业务层面是项目影响的，一个领域中的变化会影响到其他领域，使整个系统出问题，导致业务操作瘫痪。IT对业务需求变化的反应要技术的变革、应用的提高、性能的完善和安全性的提高。如果这些因素不在掌控之中，那么IT环境很可能带来安全风险，而为了安全而打的补丁有可能导致系统的失败。所以一定要慎重协调好各个因素。建议大家从以下3个主要方面着手：

（1）     把紧预算关

2000年开始的网络经济泡沫已经是IT开销有所下降，但是IT支持的新业务的期望值并没因此而减小。世界级的组织都面临着从IT中提高效能的挑战，而这一切均把矛头指向了本以及及可威的预算。根据Hackett Group研究：一个附属于世界级企业AnswerThink商业咨询公司很好地把握住了预算关——他们把花在每个终端用户的成本降低了18%，把每个IT员工的成本降低了37%。他们是如何做到这一点的呢？研究发现：最佳IT组织不是工作比别人买力，而是工作比别人更有效而已，他们的领导对各种科学方法的利用率达到了90%，而其他的企业只能达到56%，这就是差别。

（2）     对问题和突发事件处理的成熟度

在分析公司IT失败时，研究机构发现失败的根本原因往往是由于IT环境的改变造成的。实际上，墨守成规，不知变革要对IT系统的失败负主要责任，而不是硬件的问题，也不是能源的过度消耗问题。有些人在IT中时常有很好的变革的愿望，但由于拘泥于对于变革的潜在影响而没做成，仅仅停留在愿望阶段。20%的变革失败是因已经做了规划了，却由于缺乏对业务关键服务的IT上游和下游的相关支持而造成的。绝大多数IT组织已经对突发实践和问题管理达到了中等成熟的水平。但是，在实现基本的变革和配置管理时，实践常常会对组织的功效产生比调整办公服务功能要大的多的影响。要记住：为避免出问题而对已规划好的项目进行追踪远比亡羊补牢要有效的多！

（3）     遵纪守法

目前，最佳的做法就是按照法律的要求办事。IT组织目前要遵守的主要法律法规就是Sarbanes-Oxley Act的第404项条款。达到和完成基本的IT处理流程控制就是现今绝大多数组织要作到的事。变革和配置管理过程也属于这个范畴并要接受监督。整合和自动化变革与配置的战略初衷是最佳的令预算的自由度更大、降低系统失败的概率、达到管理目标的最佳做法。因此，企业的当务之急就是寻找正确的变革和配置策略。

（二）作好经历痛苦的准备

很多IT组织的经验都是类似的：就是IT环境中某一部分的改变经常给整个IT和业务本身出造成严重破坏。

l       数据库的有关变化

数据库管理员对数据库模式的一个小小改变就很可能导致存储出现纰漏，而存储上的漏洞很可能在后来导致服务器出故障，接着，服务器的故障可能对3个关键的业务应用造成影响。数据库的改变在服务前台没有记录会在问题的早期被归咎于硬件方面的问题，而假定问题是与硬件有关的，只有当小组替换硬件时才会发觉原来问题是出在数据模式的改变上，而不是硬件的问题。

l         网络方面的有关改变。

IT支持团队之间缺乏相互理解与沟通，对所有的基础架构的相互作用的理解又不够充分也是造成主要的电子制造方面问题的罪魁祸首。VPN的胜迹导致CNAMES的重置会破坏关键应用的功能。一个防火墙的改变也很可能带来预想不到安全隐患。

l         操作系统的有关变化。

操作系统根据系统保护的要求而打了一个补丁后很可能会因为没对该变化进行测试而给应用带来问题，造成不良影响。

l         应用程序的有关改变。

在英国，一个航空交通控制软件的升级导致了整个系统出了故障，最终使在Swanick的航班停飞，而造成整个地区的交通紧张。

l         桌面应用的有关改变。

一个应用程序的变化常常要改写共享类库，而这样会影响其他桌面应用程序。所出现的各种问题不会立即呈现出来，而是到晚些时候在别的一些应用中出故障时它才会浮出水面

l         客户服务方面的改变。

一家主要为客户提供商品包装服务的公司发现：在夏季的月份里，客户的投诉比较多，这倒不是由于夏季里有休假的客户多，而是因为IT员工中放假的人多。到每年9月份，近40%的公司IT员工才能回公司上班。因此该公司开始考虑是否要修改员工放假的时间。

上述几个方面的变化听起来似乎有些类似，绝大多数组织可以从变革和配置的提高中受益，通过协调上述几个方面的变化，并使它们自动完成，就能在IT反应和服务质量两个方面同步提高。

（三）承担风险

绝大多数组织利用联合的办法来试图降低IT变革所带来的风险。但是，目前这类方法中的绝大多数只能达到一方面的效果——要么是控制方面起作用，要么是在反应方面起作用，不可能双管齐下。无反应或是无控制的状态下的操作对独立于IT的业务而言会冒很大的风险。这样的方法及其要承担的风险主要包括以下内容：

• 用改变计划安排的方法将风险降到最低。变化常常与计划无关，多种变化又常常是同时发生的，这就常造成失败。

• 追踪IT环境的变化。由于缺乏IT环境中个因素相互依赖情况的了解往往造成对可能的失败的情况的预料不足。

• 限制生产环境中参与变革的人的数量。这样做会产生资源与维持管理人数间的瓶颈。

• 对少数资产类型制定标准。这种做法常常会造成配置方面的改变，而带来隐患。

• 限制和控制配置的变化以及对某些资产的设置。这样做会给桌面应用和服务器环境造成麻烦。

• 把开发行为和测试活动从生产环境中分离出来。再造一个生产环境常常是高成本和困难重重的，所以不要把开发行为和测试活动从生产环境中分离出来。

• 保护或锁定IT生产环境。这样做只能使IT对业务的反应更迟钝。

尽管用各种方法结合的方式可以降低风险，但是在绝大多数组织中，这样那样的IT错误仍然会因IT环境规划或没预料到的变革而发生。并且，这些组织还会觉察到由于对业务策略变化的没能及时反应的情况仍会继续发生。它们不得不经常为权衡控制和反应而苦苦挣扎，调整操作过程来提高反应又会使控制力降低，冒更大的业务风险，造成IT系统的失败。而提高控制可以降低系统失败的几率，但又加重了IT资源的负担，使业务经理无法对变革做出快速的反应，而反应能力的降低又使企业容易受到比自己敏捷的竞争对手的竞争威胁。

因此，很多组织达成了一个共识：让IT既不要对变化作出反应又不让IT环境中出现复杂的控制。