EDUCAUSE2016年度十大IT议题(二)IT组织需改进投入模式
2016-06-23陈强
EDUCAUSE2016年度十大IT议题(二)IT组织需改进投入模式
编者按
2016年1月,美国高等教育信息化协会(EDUCAUSE)评选出了2016年的高等教育年度十大IT议题及战略技术。这十大议题包括:信息安全、优化教育技术、 学生成就技术、IT工作团队的招聘和稳定、学校数据管理、IT经费投入模式、商业智能和分析、企业应用集成、IT组织的发展和电子学习(E-learning)与在线教育。这些议题反映了如下三个类型:抛弃(Divest)、再投入(Reinvest)和差异化(Differentiate)。在上期文章中,我们对抛弃类型的三个议题进行了详细分析,本期将对再投入类型的四个议题进行阐述。
在应用信息技术为高等教育提供有意义的价值方面,IT组织要做好基础工作。他们必须改进投入模式,将信息技术作为一项投资来对待,而不是一项开支,并且在人员(组织的最重要资产)和信息安全措施上重新加强投入。“再投入”包括下面主题: 信息安全、 IT工作团队的招聘和稳定、 IT投入模式和IT组织发展。
信息安全是2016年的首要议题,而且受关注程度明显与其他议题拉开了差距。随着安全业界生态的进步,我们对信息安全的理解也逐步加深。对信息安全挑战的应对包含了技术控制、政策、拓展、教育,以及风险管理。EDUCAUSE议题委员会明确指出,高校必须持续地响应不断变化的环境,必须整体考虑信息风险,而不是只对新的威胁、安全层或组件进行个别的反应。
持续进行中的变革扰乱最多的是IT工作团队中的人员——他们是变革的设计者和实施者。同IT服务和基础设施一样,IT组织也必然处于变动之中。许多岗位逐渐被废弃并被新岗位取代。工作团队和组织的适应性调整,需要CIO和IT管理者具备专门的管理技能,并且更加强调人事部门和IT组织之间的合作关系。此外,组织变革并不是CIO面临的关于工作团队的唯一挑战:很多高校在削减预算和福利,最好也只是维持待遇不变而已;而当下实现学校目标又必须增聘IT人员,同时IT专业良好的就业形势也使保留现有的人员和招募满足期望的人员变得变得艰难起来。
经费投入这一议题每年都保持了在EDUCAUSE十大议题列表中的一席之地,形成了一条持续不断的脉络。与前两年比,经费投入方面的挑战没有发生变化:如何对持续运行、增长需求和学校创新提供经费支持。
议题委员会成员们强调,为了控制IT预算,高校需要引入持续执行的“抛弃”原则,将过时的设施(服务、流程和技术)替换掉;同时持续执行“再投入”原则,以确保IT工作团队具有敏捷性和适应性,并且良好地管控信息安全之类的风险。
信息安全
实施整体、敏捷的信息安全措施,以建立安全的网络,制定安全策略,并减少高校在信息安全威胁下的暴露。
高等教育的使命是一条光谱,从教学到业务运行,到社群拓展,再到创新和发现,贯穿了整个光谱,我们所依赖的信息技术都时刻处于威胁之中。在无数的安全威胁之中保护高校免受损失,是IT领导者面对的一项基本挑战。信息安全领域的演化,已经从以技术为主,演化为除了技术以外还必须包括风险管理实务、用户培训与教育,以及业务敏锐性。信息安全被认为是一个“没有最好只有更好(perfection isn't nearly good enough)”的领域。一起安全事件能让IT领导者几天都过不好,泄漏用户或学校的私密数据,产生用于响应事件的预算外的巨额支出,并且削弱了高校声誉和消费者的信心。
在这种威胁时刻存在背景下的高等教育信息技术环境中,用户群体的期望和需求是范围广泛且变化迅速的。IT领导者可以预见的是,当前投入到基础设施和技术资源的管理时间,将来会转向投入到对服务、厂商和合同的管理上,其关键是技术解决方案和服务交付的敏捷性,尤其是快节奏地采用云服务时。IT战略中云服务的影响如图1所示。为了实现服务和解决方案快速引入、修改甚至是退役,它们需要重新适当地架构。
然而,缺失适当的安全措施会降低任何开放和敏捷解决方案的价值。高等教育面临着快速设计和建设有适当防范保护措施的、可靠安全的系统的挑战。变革中的IT交付方式和向云服务的迁移使得这一挑战变得更加严峻。即使高校增加了安全和隐私保护专业人员以适应变化了的服务交付方式,校级IT组织对于云和其他外包服务实施方案的审查和批准仍然被认为是行动迟缓的。如果校级IT组织不能更加敏捷地审查和实施云服务的话,用户所采取的阻力最小的(无可选择的)方式也许就是忽略校级IT的参与而独自进行了。在那些案例中,阻力最小的方式可能不会包含安全保护措施,用户无意之中就使学校和个人的数据面临风险。
高校信息安全是每个人的工作,这是一条真理。新近一次严重的数据破坏报告已经特别强调了有组织的信息安全手段必须是整体的、敏捷的和全面的。这已经不仅是“确保边界安全”的内容,制度化的手段必须包含技术防范保护(如在技术方案中采取的措施)和管理防范保护(如在学校层级策略中采取的措施)才能够有效。高等教育根据其独特使命和要求透明开放的文化,长期以来已经采用了多方面的信息安全手段:
96%的高校拥有一个校级的可接受的IT使用策略;
92%的高校部署了恶意软件技术防护措施;
90%的高校部署了远程安全访问技术;
78%的美国高校进行了某种IT安全风险评估;
71%的美国高校进行了强制的教职工信息安全培训。
上述数字看起来不错,但高校仍然需要做大量的工作对网络、系统和应用进行安全防护,如制订安全策略(只有27%的美国教育机构具备完全经领导层批准的信息安全策略);教育校园IT用户;降低在信息安全威胁中的暴露程度。新近的数据破坏报告为IT领导者提供了一个与学校领导层讨论加强校园信息安全的出发点。
对于资源有限的IT部门而言,信息安全是一个令人望而却步的主题:有效的安全管理不是免费的,执行层必须要有一些投入,建立经费保障并且制定有执行力的政策。所有的学校组成部门和所有的IT资源用户(学生和教职工)必须理解和推动良好的信息安全措施以保护学校数据。改善适度的校级信息安全形势将会给学校及其IT部门以信心,从而应对随着服务交付方式的演进而必然带来的、更具挑战性的信息安全任务。
建议
建立易于理解和可实施的信息安全策略。确保这些策略对于所有的社群成员都是可以理解和可执行的,并且以显著的方式发布。
针对移动、云和数字资源的安全关注点,开发一个的综合的信息安全方案。服务交付方式的改变是不可避免的,学校的数据和服务会部署在第三方的资源上,而且访问它们的计算设备并不是学校拥有或者控制的。因此,学校领导者必须要制定符合这种环境条件的战略。
建立提高信息安全认识的培训机制,对学校社群的所有成员进行教育,包括安全威胁的知识和如何采取措施保护学校数据的知识。培训机制应当包含初始培训和后续的教育机会。
持续开展主动的信息安全行动,采用深度防御手段。使用扫描工具识别和处置系统薄弱点;积极果敢地识别和阻止恶意活动;实施可靠的身份管理技术;运行渗透测试并且根据结果采取措施;收集可疑或关注的事件的日志和监控记录;备份关键的学校数据并确保这些备份可以被恢复。不要依赖于单一管控措施。
IT工作人员可以通过参与高等教育行业中以提升信息安全为目的的协作组织,如EDUCAUSE,Internet2,研究和教育网络信息共享和分析中心(Research and Education Networking Information Sharing and Analysis Center, REN-ISAC)等,来提升对于高等教育信息安全措施的了解,培养高等教育界信息安全专业人员,以及集体应对信息安全威胁。
向学校董事会提交年度安全风险情况更新,这可以帮助董事会成员评估和管控学校整体的企业风险。
使用EDUCAUSE的信息安全成熟指数和高等教育信息安全委员会(Higher Education Information Security Council, HEISC)的信息安全项目评估工具(Information Security Program Assessment Tool)来评估学校当前的信息安全状态。
图1 IT战略中云服务的影响
IT工作团队的招聘和稳定
在预算削减或持平以及外部竞争加剧的情况下,保证足够的团队规模和队伍稳定。
高等教育正在应用的信息技术和世界范围内的企业(无论公共或私有)有很多相同之处,如寻求同样的技术和管理技能组,以及争夺同样的IT人才。过去若干年里,学术机构为职员提供了有诱惑力的有形和内在的优惠待遇:更多的假期时间,更多机会以创造性地应用技术,与教师和学生一同在校园工作的吸引力,以及高度合作的专业交流网络,这些都大大弥补了较低的薪酬水平。然而随着过去几年经济形势的变化,大量的高校IT组织都经历了预算削减、最低水平的加薪、福利削减,以及地点搬迁而导致IT职员和学术社群相分离。很多IT专业人员抱怨说只有工作负担和期望在以一个不可承受的趋势在增长,如图2所示。现在,随着经济的谨慎复苏,IT人才变得十分抢手,特别是技术岗位。结果,高等教育的IT组织体验到了不断增加的职员离职,更有攻击性的人才争夺,无法抗衡持续上升的市场薪酬水平,以及更多失败的人才搜寻。这不是一个抽象的忧虑:八分之一的CIO,六分之一的项目经理,以及五分之一的IT专业人员都准备离开他们当前所在的学校。
图2 IT工作团队意识到的工作量的增长
挽留员工已经成为一个关键的优先事项。IT组织在很多技术领域深度依赖于知识广博的职员的专业技能,这在小型高校中尤为明显;这类人员的离职将会严重地扰乱校园服务。许多学院和大学在提供与私人企业相比有竞争力的薪酬上都有困难,但是有创造性的、积极的管理团队和人事部门能提高(人才竞争的)胜算。有些选项会有效果,例如对完成长期项目的额外奖励,甚至是在关键时段的临时补助。
然而,薪酬并不是吸引和留住大多数专业人士的主要原因。努力为工作而生的婴儿潮一代(40后、50后)已经让位给X世代(60后、70后)和千禧一代(80后、90后)了,后者更想要一个更加平衡的工作家庭关系。他们期望有更多的机会,可以获得灵活日程安排,远程办公,以及更多与家庭和父母共度的假期。婴儿潮一代在继续传统的退休时光的同时,也希望能在灵活的组织中从事不同的岗位或者获得不同的能力。职业发展机会、新的任务和项目同样可以激励职员留在岗位上。但是无论他们的年龄还是职位,最根本还是人和生活质量(包括好的待遇所支撑的生活质量)能留住人,如图3所示。能够培养和促进工作环境达到团队合作和意气相投目标的管理者是稳定的、高绩效组织的超强力量的来源。这样的管理者应该被发现、培养和扶持。
人们逐渐认识到工作团队的多元化是必要并且有益的。高等教育的文化和组织结构是从多数人的环境中演化而来的,这一环境可能会导致未察觉和无意的对居于少数地位的学生和职员的偏见。对于作为变革行动者的IT组织,IT职员和领导者需要更好地了解组织结构和文化是如何反映多数人的环境,进而必须改进这些结构和文化使得所有人都能受益,然后才能惠及所有人。多元化的团队要比单一的团队绩效好,能够改善创新、问题解决能力和生产力。多元化的观念应当是广泛和多样的:性别、种族、年龄、宗教、性取向等都只是最基本的因素。
建议
确保职员看到和学到在高校和IT组织工作的益处,也要确保最好的员工明白他们的利益是始终被牢记在心的。
设定组织和个人目标,并且衡量成就,使得职员感受到自己价值而且了解他们所做的贡献。对成功进行庆祝;高层人员与职员谈话交流IT组织的角色和价值;将IT计划方案和服务与学生体验相关联,与教师业绩相关联,与新的教学方法相关联,与新的业务流程相关联。
主动地管理组织、角色和职业。定期地审视部门中的职员和职位,为可能出现的机会(新的职位和空缺)做准备。当职位空缺时,考虑如何重构工作和角色,以为现有的职员提供发展机会。向学校领导层汇报考虑中的组织和人事调整,以让他们有时间提前思考、准备和提供支持。
制订备份和接任计划,从最难取代和与最关键任务有关的角色开始。建立实用且可衡量的交叉培训经历。在州立大学系统和其他合作伙伴内寻求分享技能和资源的机会。
确保管理人员都非常有效,并在持续提高的基础上培养管理技能。对技术人员的管理是一项非常特殊的技能,极少有人擅长于此。
详细研究灵活工作安排和远程办公的选项。
不要将就。在聘用之前,确保你选中的人一是适合岗位;二是对于高等教育的使命有热情;三是认同组织的价值观。
通过有效的招聘、保留和晋升,构建和保持一个多元化的工作团队。了解并且努力避免在招聘、保留和晋升中无意的偏见的影响。将与IT工作团队有关的风险作为学校企业风险分析的一部分。与校长、教务长、首席财务官和董事会讨论IT部门面临的人才挑战。如果这样的讨论内容与学校目的和战略目标的实现,或者是影响其实现的风险相关联,领导层将可能更容易接受观点。
图3 首席信息官、主管、职员留在岗位上的主要原因
IT职员渴望职业发展并且期望这成为组织的优先事项。建立专门的预算和申请培训的透明流程。在经费紧张的情况下要确保所有的培训都有特定的目标。将职员的职业发展作为每个人的目标和每个管理者和主管的绩效审核的一部分。
IT经费投入模式
IT经费投入是唯一一个每年都出现在EDUCAUSE年度十大IT议题中的。在2016年这方面的挑战和2015年的相比并没有明显的差别,因此值得人们重温一下去年的分析和建议。
高等教育中信息技术的角色正在经历根本性的变化,但是,许多高校的预算流程仍然在很大程度上保持原状。信息技术必须敏捷和灵活,而财务资源的分配往往是刚性的,无法用于协助学校的工作转型。2014年,EDUCAUSE核心数据调查的参与者报告称,79%校级IT预算被分配在学校的运行上,13%用于满足增长需求,只有6%用于转型。根据高德纳(Gartner)公司的咨询报告,用于创新的这6%还不到跨行业平均值13%的一半。2014年EDUCAUSE核心数据调查同时报告称,校级IT组织的开支占全校总开支比例的中位数是4%。信息技术投资可以提升学生成绩、提高运行效率、推动科学研究,这些都引起了广泛兴趣;但经费数据却背道而驰。考虑到学院和大学所面临的多维度挑战,校园社群在批判性地审视和处理妨碍了信息技术经费投入的各种问题方面应当感觉到压力。
大多数首席信息官称他们很久以前就砍掉了富余的预算了。EDUCUASE议题委员会成员们的报告称:
“IT组织通过终止和重订合同及协议熬过了经济衰退,但是现在把所有能砍的东西都砍了,校园里的需求还有很多。”
“如果缺乏一个基本的可持续的预算支持的话,现在维持我们在过去10~15年间建设和维护的巨型基础设施就会越来越困难。我们在基础设施上投资了300万美元,而且每年需要5万美元来进行替换,这些设备每5~7年需要升级或更新。如果我们不维护基础设施,最后所有别的东西都无关紧要了,因为基础设施没了。”
图4 IT治理主体和IT投资决策之间的关系
“学校领导们看起来非常希望在新事物和新服务上投资,但是他们不想听到关于数百万美元基础设施投资的内容,也不想听到我们从来就没有基本建设预算这个事实。一次性投入已经结束了。因此在领导层看来,基础设施的维护请求是IT部门在要钱;但是在我们看来,这些用来维护基础设施的钱是过去就有的。”
此问题的解决方案包括改进的财务管理和报表,以及更加有效的IT治理。首席信息官(CIO)与首席财务官(CFO)需要在对切合实际的IT经费投入的理解和承诺上达成共识。CFO精通财务相关的知识;CIO了解用于完成项目并保持后续运作所需的投资的规模。强有力的合作能够解决IT经费投入的挑战。与CFO协同工作的CIO必须努力推动IT投资的实现。对学校的使命有直接作用的项目(例如教学)经常容易获得经费,而不那么明确或者难以理解的基础设施就难了。此外,CFO讨厌意料之外的事情。CIO必须采用尽可能减少意外的策略:为IT部门准备一个长期的(5~10年)的财务计划;向CFO展示多年的预算;如果他们会在某个达成一致的时间框架内取消预算的话,申请经费结转以允许在某些年份少开支而某些年份多开支;与CFO协商保持每年有一定数量(或比例)的增长作为“新钱”,并且在这些限制内致力于完成工作。 IT治理主体和IT投资决策之间的关系如图4所示。
CIO们多年来一直在努力向高等教育机构阐述信息技术的价值。常常出现的情况是:“IT的价值”成为了“为什么我们要在IT上花那么多钱”的简称。这种视角单纯聚焦于信息技术的成本,实际上关心的是效率而不是价值。价值是包含效率和收益的功能。当IT组织作为成本中心来管理,且战略性的IT研讨都局限于开支问题时,信息技术将被认为是必要的但同时也许是负担、累赘,而不是资产。
建议
参与EDUCAUSE核心数据服务以评价IT财务状况。
确保IT项目建立后续运行的经费投入模型,并纳入项目的交付内容和期望成果中。
建立一个负责分配经费的校级IT治理结构,而不只是确定IT的优先事务。
建立经费投入模型时纳入增长和维持核心IT业务的成本。
将IT投资的故事讲清楚,以提高可信性。促使学校领导层理解和记住过去的投资所创造的收益和成本节省。
与CFO协作来开发可以体现学校所有的信息技术开支的模型,即使它们并不都是由校级IT组织所控制的,即使它们需要每年进行调整(使用预测建模方法)。倡导推动建立校级的投入和治理,而不是部门级别的,以降低冗余开支,并确保这些投资让全校受益,而不仅仅让那些承担这些开支的领域受益。
IT服务和投资要与学校的目标保持一致,将信息技术体现为对学校未来的投资,而不是一个费用或者成本中心。
采用IT服务管理方法管理后续服务,以控制运行成本。
图5 首席信息官的管理焦点
IT组织的发展
建立足够灵活的IT组织结构、人员角色和人才培养战略,以支持创新,并且适应配合高等教育、IT服务交付、技术和分析等各方面持续不断的变革。
IT组织为日常运作和教学科研创新提供可靠、高成本效益的支持的能力对于学校和学生的成功至关重要。面对着变革步伐和预算压力,IT组织必须时刻做好规划,以应对在对工作团队的要求中时常发生的,或许甚至是戏剧性的变化;并时刻准备着与演进中的战略保持一致。
IT组织需要有优化人力资源配置的计划,以最大化个人、团队、IT组织和学校的生产力。有三个层面需要牢记在心:学校的IT职能是如何组织和什么结构;个人是如何管理他们的职业和技能;学校是如何支持这些活动。
考虑到IT基础设施是由一系列系统组成的非常复杂的体系,我们必须有一系列快速演进的广泛的技能组合,并且必须有一个团队合作的文化,支持和鼓励个人和团队的成长。组织发展的努力必须是一个长期的适应性的承诺投入,面向人、流程和技术三个维度。小型学校的需求与大型学校完全不同。小型学校特别需要具有多种才能和兴趣的专家,这样就可以将多个角色集中到一个岗位上,而且当组织结构和岗位职责变更时可以进行大范围的灵活调整。
IT职能和结构会随着时间而变化。如图5所示,这可以是为了响应技术变化、人员个性、经费变化、日常需求、偶尔的危机、模糊的战略和调整的优先事项而进行的适应性的自然演变;也可以是为实现学校的愿景而进行有意图的改变,为的是利用信息技术推动使命和战略优先事项。IT组织的变化方式会是两者之一,但是结果却截然不同。通过采用基于战略的组织发展,CIO可以设计组织结构、胜任能力和技能组合,以及学校所需的流程和行为。学校和IT领导者可以决定如何最有效地实现IT服务和职能,以指导各种决定,包括外包、中心化的还是分布式IT结构、共享服务,以及(理想情况下)停止哪些服务等。通过这种做法,IT组织可以沿着成熟曲线向前进步,并交付更好、更持久的服务。
挑战众多。随着技术持续变化,权利和责任的清晰边界会一同模糊、缩水,甚至消失。这一点上,大量的注意力投在了校级IT组织以外的IT服务的提供上。然而,“孤岛”也会在IT组织内部发展。如果缺乏IT领导团队之间持续的协作,IT组织很可能会变成一组分别由相互独立的团队支持的系统和技术(或学校成员)为中心的,重复的“服务”,而不是一个围绕变化中的服务需求而组织的团队、活动和角色构成的凝聚的、持续调适的集体。
在职业生涯中,一个人预期要经历10到20个岗位。所以在技术能力和软能力之外,工作人员需要职业规划和管理能力,以实现他们工作生活和收入的最优结果。在运作良好的组织中,幸运的专业人员与有效的管理者将有明确规定的岗位职责和目标,定期更新的职位描述,持续的绩效反馈,以及专门的职业发展和成长计划(这都促进了IT组织和个人目标的实现)。其他人就没有那么幸运,只能是自我管理或者是找个更好的工作。最能干的专业人员能理解并运用自己的强项,养成投入于学习和成长的习惯,并且培养指导和共事的关系和网络。
一切归根到底都是人。无论是哪个领域或目标,这句经常重复的话都蕴含真理。了解人力资本重要性的学院和大学会向组织和个人提供组织发展和职业发展的支持。受重视和有权威的人事组织可以确保有效的管理实践,并在像接任和人才规划、绩效改进和组织发展等关键做法上提供协助——这将使情况大为不同。人事组织还可以通过专业人员在IT组织内外流动的方式推动学校的人才管理。强大的人事职能还可以协助IT组织建设支持性的和灵活的工作环境,以缩小与其他行业在薪酬和福利上的差距。
聘用一个新员工并让他赶上步伐的花费是实际薪酬的1.5~3倍。管理良好的IT组织、知道如何管理自身职业的专业人员团队和有效的人事职能,能够帮助这些投资实现长久收益。
建议
以“服务”为基础而不是以“系统”为基础建立IT组织模型。允许、促进和鼓励不同团队之间的责任“混合”。
为如下事项制订战略和流程:职位和团队,包括角色、技能、来源、接任计划、职业晋升等;组织管理,包括经费、补助/奖励、政策/程序、沟通等。
组织文化和参与,包括团队建设、激励、期望行为、目标一致、价值等。
制订所有员工的职位描述和明确责任,并进行年度审核。面向变化中的需求和条件,建立对岗位和组织持续进行调适的文化。
为所有的员工(包括兼职在内)创建职业能力培养和成长计划。不要将计划限定为“培训”:要结合个人的职业技能成长需求。为所有的员工制订一组职业发展需求的基线,并从这里开始。
专业人员应当了解他们要为管理自己的职业和终身学习及发展负责。利用本文引发与人事领导的探讨,探索人事和IT组织如何可以更加有效地共同工作。
(翻译:清华大学信息化办公室 陈强)
