通过采取程序化方法来解决影子IT的根源，首席信息官可以降低shadow IT（影子IT，也称为Stealth IT、Client IT、Fake IT，是组织中的信息技术/IT系统是由部门内部建立并且使用，但没有正式的公司层面认可，而且系统是由IT部门以外的部门订定规格并且布署。有些人认为影子IT是重要的创新来源，这些系统可作为是未来IT方案的原型。）的风险，并使更多的业务人员能够满足自己的工作流程和数据需求。

图源：JACOB LUND（图片上传者，可以译为用户JACOB LUND，或者JACOB LUND） / SHUTTERSTOCK

询问IT领导者他们在影子IT方面面临的挑战，大多数人会提到给影子IT带来负面影响的安全、运营和集成风险。但对于少数人来说，在没有IT参与的情况下资助、采购和管理部门技术的深层挑战是：IT部门错过了更好地参与和满足公司业务部门技术需求的机会。

这并不是为了淡化影子IT的内在风险。Entrust（是一家世界领先的加拿大网络安全高科技公司，在美国NASDAQ上市。公司于1994年成立，前身为加拿大Nortel Networks/北方电讯数据网络安全研发部。公司总部注册于美国德克萨斯州PLANO。开发中心设在加拿大具有北方硅谷著称的Ottawa及美国加州硅谷。在美国、加拿大、英国、瑞士、德国、日本和中国均设有分公司或办事处。1998年8月18日在NASDAQ 上市。）的一份报告显示，77%的IT专业人士有充分的理由担心影子IT。毕竟，41%的员工获取、修改或创建了IT不可见的技术，EY（安永，成立于1989年，是一家总部位于英国伦敦的跨国性专业服务公司，全称是安永会计师事务所，为国际四大会计师事务所之一。）全球第三方风险管理调查的52%的受访者在过去两年中出现了由第三方造成的停机，38%的受访者报告了数据泄露。

尽管如此，不合规IT和影子IT之间仍然存在着巨大的分歧，这一点在我最近主持的一次“Coffee with Digital Trailblazers/与数字开拓者来杯咖啡”活动中得到了讨论。当业务领导者不信任IT并故意规避协作和遵从性时，就会出现流氓IT，而影子IT通常不那么具有对抗性，这是由于缺乏如何参与IT的知识，或者正如Kissflow（是一个在线工作流程自动化工具，被世界各地成千上万的企业用于业务流程自动化。KiSSFLOW通过五个简单的步骤工作，客户可以决定工作流程、建立表格、设计工作流程、设置权限并开始使用它。它通过一个统一的主屏幕让用户完全控制，便于发起流程请求和采取行动。深度分析、第三方集成和多设备兼容是其他功能。）首席执行官Dinesh Varadharajan（迪尼斯·瓦拉达拉詹）所说，“缺乏解决业务用户面临的特定挑战的支持和IT带宽。”

这就是将影子IT视为改进协作机会的IT战略可以产生深远影响的地方。这绝不是一个快速而简单的转变，它需要同时解决等式的两个方面：IT如何管理技术请求的需求方面，以及如何根据适当的解决方案审查和评估技术需求的供应方面。以下是指导这种转变以获得组织竞争优势的七个步骤。

一、扩展您的业务关系沟通范围

Fluree（是一个开放源代码语义图数据库,可确保数据完整性,提供对数据源的可追溯性,促进安全的数据协作并增强连接的数据洞察力。）首席执行官兼联合创始人Brian Platz（布莱恩·普拉茨）表示：“组织通常寻求解决影子IT问题，不一定是通过消除它，而是通过寻找方法，通过官方渠道将这些未经批准的IT解决方案纳入其中，确保安全性、合规性和有效管理，同时仍然允许最初驱使员工使用影子IT的创新和灵活性。”

但要做到这一点，IT领导者必须首先通过扩大与他们接触的业务领导者的范围，增加他们对话的频率，并深入员工的工作流程，来揭示幕后发生的事情。

作为这些努力的一部分，大型企业通常会让业务关系经理在理解部门技术需求并将其转化为需求和业务案例方面发挥关键作用。中小型组织可以通过制定沟通计划来吸引企业和利益相关者，建立构思流程来捕捉新的业务需求，并利用设计思维来解决差距。

二、设置规则并强调协作

为了解决影子IT的一个根源问题，首席信息官还必须建立一个治理和交付模型，用于评估、采购和实施部门技术解决方案。同样重要的是与利益相关者沟通如何接受技术请求，分享部门技术需求的优先顺序，记录利益相关者在寻求新技术时的责任，并提供有效项目的状态。

如果没有强有力的交付模型和沟通计划，沮丧的业务利益相关者更有可能在没有IT参与的情况下购买并尝试实施未来成为影子IT的技术解决方案。购买和实施技术解决方案需要时间，因此首席信息官对抗影子IT的最简单工具是让利益相关者相信协作符合他们的最大利益。

要做到这一点，IT领导者必须认识到与人们建立联系的重要性，并让人们相信IT已经做好了与他们合作的准备。

SADA（一家一流的云解决方案提供商，专门从事技术咨询、IT服务、应用程序开发和托管服务。）副首席技术官Brian Suk（布莱恩·苏）表示：“人的因素是最重要的。人们通常希望遵守政策，但过于严格和制造过多摩擦往往会导致影子IT。经常清晰地沟通政策及其原因和好处，创造一种反馈和协作的文化，并随着用户需求的发展灵活并愿意调整政策。”

三、分类风险，优先考虑机会，增强财务控制

影子IT让IT领导者有机会围绕部门技术解决方案重新评估他们的战略。这应包括IT的以下计划：

• 解决现有的影子IT实施问题

• 与业务团队合作开发新的解决方案

• 增强和支持现有的应用程序和技术

• 提高员工的利用率并改善员工工作体验

• 获取指标并展示所交付的业务价值

一个正式的和透明的优先级排序过程也很重要。首席信息官需要一种方法来捕捉轻量级的业务案例或预测业务价值，以帮助确定新机会的优先级。与此同时，首席信息官、首席信息安全官和合规官需要建立一个风险管理框架，以量化影子IT何时会产生业务问题或重大风险。

首席信息官应该与首席财务官合作，因为当各部门在没有IT部门参与的情况下采购本部门使用的技术时，往往会有更高的采购成本和实施风险。首席信息官还应就可重用平台和通用服务在何处产生成本和其他业务效益征求企业架构师的指导。

Infosys Cobalt（是Infosys为云驱动企业转型提供的一整套服务、解决方案和平台。Infosys，全称印孚瑟斯技术有限公司，印度软件公司，是印度历史上第一家在美国上市的公司。总部位于印度信息技术中心—班加罗尔市，在全球拥有雇员超过100，000 名，分布于27个国家，已在上海张江高科技园区设立分公司，员工达1000人左右。在广州也有分部。）的执行副总裁Anant Adya（安妮塔·阿德亚）表示：“影子IT经常因为没有为软件生成可重复使用的文档而浪费资源。有效的治理，加上详细的应用程序权限，将阻碍影子IT的发展，并有助于构建协同操作模型。”

建立技术采购控制，要求首席信息官和首席信息安全官在技术支出方面进行合作，是减少影子IT的重要一步。

四、建立低代码和无代码的治理模型

前三个步骤有助于将影子IT纳入其中，但它们没有解决这样一个事实，即IT部门很少有足够的人员、专业知识或预算来完成所有优先项目。

在这里，首席信息官可以通过建立低代码和无代码解决方案的治理模型来减少IT供应方面的差距。任何代码治理模型都应涵盖审查应用程序功能、角色和责任、集成要求、发布管理实践、文档要求和其他要求的流程，以确保业务流程的可靠性和安全性。

无代码解决方案在解决影子IT方面提供了显著的优势，因为它们将实现和支持工作转变为业务职责。无代码解决方案可以帮助业务用户将电子表格转换为工作流、开发知识库和构建SaaS（一般指软件运营服务。 软件运营服务是Software as a Service的中文翻译。是指用户获取软件服务的一种新形式。它不需要用户将软件产品安装在自己的电脑或服务器上。）集成。

然而，要想取得成功，首席信息官需要一个治理模型和解决方案架构计划来帮助选择低代码和无代码平台，就何时使用这些平台提供指导，建立开发生命周期，并确保可持续的支持。

“战略框架应该根据三个标准来分类用例：业务复杂性、技术复杂性、安全性和合规性要求，”Varadharajan（瓦拉达拉詹）说，“任何在这些标准中排名较高的用例都应该由IT部门管理，而其余的则可以委托给业务部门。

五、发展自主数据科学和自助服务能力

首席信息官们已经接受了自主数据科学，因为数据可视化工具和其他自助式商业智能平台对业务人员来说很容易使用，并减少了IT部门用来支持的报告和查询工作。最成功的项目不仅仅是推出工具，而是在自主数据科学项目中建立治理，同时采取措施减少数据债务。

当首席信息官提倡积极主动的数据治理并建立数据集成、编码和质量实践时，自主数据科学减少了影子IT。有时可能需要特定部门的数据需求和工具。但是，拥有强大的数据能力和标准化的数据平台，使业务、数据和技术部门的员工能够在决策中利用数据，有助于减少工具泛滥和影子程序。

六、迭代和开放的生成式人工智能策略

影子人工智能是下一个前沿，各部门及其员工已经正在探索生成式人工智能工具，并面临暴露专有和其他机密信息的风险。风险投资公司Sequoia Capital（红杉资本，全球著名风险投资公司。于1972年在美国硅谷成立。红杉作为第一家机构投资人投资了如Apple, Google, Cisco, Oracle, Yahoo, LinkedIn等众多创新型公司。）最近发布的图表有助于显示有多少生成式人工智能工具将进入市场，以支持销售、市场营销、设计、软件工程、客户支持、法律和其他部门需求。

这是一个开展影子活动的成熟领域，特别是因为高管们渴望看到他们的组织利用生成式人工智能能力来确定出突破和优势。如何阻止部门主管或员工尝试新工具并启动另一个影子程序？

在适当的情况下，从监管的角度来看，首席信息官应避免拒绝尝试生成式人工智能。当部门领导一再听到拒绝时，他们会考虑在没有IT、安全或合规合作的情况下探索影子解决方案。

首席信息官们还应该创建、沟通和迭代地更新一种能够捕捉短期和长期愿景的生成式人工智能战略。短期计划应规定哪些部门应该进行实验，针对哪些业务成果和机会，以及可以使用哪些工具，可以涉及哪些数据，以及他们应该在哪里报告他们的实验经验。首席信息官们还应更新其数字化转型战略，以考虑大型语言模型将如何影响其行业，以及客户体验在哪些方面需要人工智能驱动的变革。

七、与业务部门营造共创共赢文化

最后一步可能是最重要的，应该与其他六个步骤并行管理。

影子IT不仅仅是一个风险和错失的机会——它代表了“业务”和“IT”之间的融合度与文化差距，而这正是顶级首席信息官想要消除的。缩小差距需要通过与业务利益相关者建立关系，培养对客户和员工需求的同理心，以及改善沟通，来扩大技术组织中的商业敏锐性。它还要求首席信息官们将技术能力向业务运营上转移，以便在销售、营销、人力资源和其他部门工作的精通数字技术的员工拥有认可的IT工具和管理流程，以满足他们的技术需求。

遵循这七个步骤的首席信息官将可以通过满足更多的部门技术需求，降低影子程序的风险，并授权更多的业务人员为他们的工作流程和数据需求提供自助服务，将影子IT转变为竞争优势。

作者：Isaac Sacolick（艾萨克·萨科利克）

Isaac Sacolick（艾萨克·萨科利克），数字化转型学习公司StarCIO的总裁，指导领导者采用所需的实践，以领导其组织的转型变革。他是《Digital Trailblazer/数字开拓者》和亚马逊畅销书《Driving Digital/驱动数字》的作者，讲述了敏捷规划、开发、数据科学、产品管理和其他数字化转型最佳实践。Sacolick（萨科利克）是公认的顶级社交首席信息官，也是数字转型的影响者，在InfoWorld、CIO.com、他的博客social、Agile和transformation以及其他网站上发表了900多篇文章。

本博客中表达的观点是Isaac Sacolick（艾萨克·萨科利克）的观点，并不一定代表IDG Communications，Inc.及其母公司、子公司或附属公司的观点。