AI 时代影子 IT 风险更高:联想 ITIL 5 内训课程教学心得分享
当业务部门开始自建智能体,IT 治理不能再慢半拍本系列为TIL官方宣传大使长河(曹坤良)老师2026年5月联想ITIL 5内训课程教学心得分享,共五篇,本文为第一篇。
这次联想 ITIL 5 Foundation 内训课程里,我反复提醒大家一个风险:AI 时代的影子 IT,比过去更难被忽视。
过去我们说影子 IT,常见场景是业务部门自己采购 SaaS 工具、自己搭一个小系统、自己用外部协作平台处理数据。风险当然存在,但很多时候影响范围还相对可控。到了 AI 智能体时代,情况变了。一个业务部门如果自行采购或训练 AI 智能体,它可能会接触内部文档、客户数据、业务流程、审批信息,甚至通过插件或接口调用企业系统。这已经不是"多用一个工具"的问题,而是一个数字员工绕过了组织门禁,直接进入业务现场。
在课堂上讨论这个话题时,联想 IT 同学们的关注点很清楚:AI 能力很有价值,但价值越大,越不能脱离治理。企业不是不能让业务部门用 AI,而是要让业务部门在安全、合规、可管理的基础上用 AI。
ITIL 第 5 版为什么值得在这个时间点学习?一个重要原因就在这里。ITIL 过去帮助组织建立 IT 服务管理流程,让事件、问题、变更、配置、发布、知识、服务级别等活动有章可循。到了第 5 版,AI 治理、数字员工、数字化产品和服务生命周期被放进服务管理讨论中,不是简单增加几个新术语,而是在回应企业真实面对的新风险。当 AI 智能体成为业务部门的工作助手,IT 部门如果不主动提供合规底座,业务很可能会绕开 IT 自己尝试——原因很简单:业务需要效率,外部工具使用门槛越来越低,很多 AI 产品看起来开箱即用。如果 IT 仍然只停留在"审批工具采购"的节奏上,就很容易落后于业务实际使用。
风险会在几个方向出现:数据边界是否清楚,是否涉及敏感信息;智能体连接内部系统后,谁来审核它能访问哪些数据、执行哪些动作;AI 输出有不确定性,错误建议造成影响后如何追溯;各部门各自接入模型和算力,Token 成本分散,账单不透明。这些问题如果等到事故发生后再处理,代价就已经不只是整改了。
作为 ITIL 官方中国区大使和 ITIL 大师级授权讲师,我在课堂上给出的治理回应,是 IT 部门要主动提供企业级 AI 能力底座。这个底座不是简单搭一个模型接口,而是一套受控环境——至少要包括统一身份认证、权限管理、数据访问边界、模型调用审查、日志记录、成本计量、安全策略、知识库治理和 Skill 管理。业务部门可以在这个底座上构建自己的场景智能体,但不能绕开组织的安全边界。这很像企业园区的门禁系统:员工可以进入自己有权限的区域,可以使用授权的设施,可以在规则内高效工作;没有权限的区域不能随便进,敏感操作需要额外确认,出入记录也要能够回看。AI 智能体进入企业,也需要这样的基础秩序。
联想 IT 这次内训让我印象深的地方,是参训学员并没有把 AI 治理理解成"限制业务创新"。相反,大家很清楚:如果 IT 部门能够提前提供安全合规的 AI 平台,业务部门反而能更放心、更快地使用 AI。治理不是把门锁死,而是让该进的人、该用的能力,在清晰规则下顺畅通行。这也是 IT 部门未来定位的关键变化——过去经常在影子 IT 出现之后被动处理,AI 时代这种模式风险太高。更好的做法,是 IT 主动站到前面,提供经过安全合规基础训练的智能体,让业务在这个基础上做场景定制,形成自己的业务 Skill。这样业务部门仍然获得灵活性,IT 部门也保住了组织级治理入口,数据来源、模型调用、结果记录、成本分摊、权限收回,都有统一机制。
联想是全球 500 强跨国企业,IT 团队的流程化、体系化和治理基础本来就比较扎实,所以他们在 ITIL 第 5 版课堂上关注 AI 治理,并不是追热点,而是很自然地意识到:AI 进入企业后,服务管理和安全合规必须一起升级。AI 时代,影子 IT 的风险不是变小了,而是变大了;IT 部门的回应也不能只是说"不准用",而应该是"在这个安全底座上用"。ITIL 第 5 版给先进 IT 组织提供的,正是这样一套语言:既支持数字化能力创新,也守住服务管理、权限、数据和生命周期边界。当业务部门开始拥抱 AI,IT 部门越早建立这套治理框架,就越能从被动风控转向主动赋能。
页:
[1]