伴隨著信息化建設(shè)的深入開(kāi)展，信息化戰(zhàn)略定位、信息化績(jī)效評(píng)估、信息化項(xiàng)目管理、信息化投資風(fēng)險(xiǎn)管理、IT服務(wù)管理等成為中國(guó)信息化的熱點(diǎn)問(wèn)題，而IT治理作為一個(gè)全新的概念，更成為上述所有熱點(diǎn)問(wèn)題的交匯點(diǎn)。

　　不是概念是制度

　　了解IT治理，首先要知道什么是公司治理。公司治理 (Corporate　Governance)是屬于企業(yè)制度層面的內(nèi)容，其核心在于企業(yè)通過(guò)權(quán)力制衡，監(jiān)督管理者的績(jī)效，保證股東和其他利益相關(guān)主體的權(quán)利。那么，從公司治理的含義，能不能望文生義地說(shuō)“IT治理(IT Governance)是股東對(duì)IT經(jīng)營(yíng)者的一種監(jiān)督與制衡機(jī)制”呢？最早提出IT治理概念的國(guó)際信息系統(tǒng)審計(jì)與控制聯(lián)合會(huì)（ISACA）對(duì)IT治理做出了如下的定義：“IT治理是公司治理的一個(gè)有機(jī)組成部分，它包含領(lǐng)導(dǎo)力、組織結(jié)構(gòu)和流程等制度和機(jī)制，其確保IT維續(xù)和擴(kuò)展組織的戰(zhàn)略和目標(biāo)?！?/p>

　　于是，IT治理就包含了以下幾層含義。首先，IT治理是公司治理的一個(gè)有機(jī)組成部分。信息化建設(shè)中，一個(gè)共識(shí)已經(jīng)達(dá)成，即企業(yè)信息化是企業(yè)經(jīng)營(yíng)管理的一個(gè)有機(jī)組成部分，目前，信息部門(mén)已經(jīng)是企業(yè)的一個(gè)重要部門(mén)，CIO是企業(yè)管理層的重要成員，信息化服務(wù)和管理流程也逐步融合到了企業(yè)的業(yè)務(wù)管理流程中。但在進(jìn)一步推進(jìn)信息化建設(shè)過(guò)程中，我們還必須達(dá)成另一個(gè)共識(shí)，即IT治理是公司治理的一個(gè)有機(jī)組成部分，它體現(xiàn)了股東、董事會(huì)和管理層對(duì)信息化建設(shè)的關(guān)注。其次，IT治理是一種制度和機(jī)制，包含了管理和制衡IT與業(yè)務(wù)匹配、IT投資價(jià)值、IT風(fēng)險(xiǎn)和IT績(jī)效的領(lǐng)導(dǎo)力、組織結(jié)構(gòu)和流程。再次，IT治理的目標(biāo)是實(shí)現(xiàn)股東和其他利益相關(guān)主體對(duì)信息化建設(shè)的監(jiān)督與制衡，以保證信息化建設(shè)能夠真正落實(shí)和貫徹組織業(yè)務(wù)戰(zhàn)略和目標(biāo)。

　　作為公司治理的一個(gè)有機(jī)組成部分，股東是IT治理的核心主體，但I(xiàn)T治理的主體不僅局限于股東，而是包括股東、債權(quán)人、雇員、顧客、供應(yīng)商、政府、社區(qū)等在內(nèi)的廣大公司利益相關(guān)者。不同主體對(duì)IT治理的關(guān)注點(diǎn)是不同的。股東和管理層比較關(guān)注低成本、高收益、并有助于增加公司的市場(chǎng)份額；客戶(hù)關(guān)注的是更為快速、低成本、易于使用地享受更多的服務(wù)；而政府部門(mén)則對(duì)如何方便服務(wù)、引導(dǎo)和監(jiān)督比較看重。

　　因此，董事會(huì)、經(jīng)營(yíng)者、IT管理者就成為IT治理的客體對(duì)象。但是三者的需求以及任務(wù)又是截然不同的。董事會(huì)在IT治理中應(yīng)當(dāng)被股東價(jià)值所驅(qū)動(dòng)；采用IT治理的框架，關(guān)注IT與業(yè)務(wù)的匹配、IT價(jià)值貢獻(xiàn)、IT風(fēng)險(xiǎn)管理；認(rèn)真衡量信息化建設(shè)結(jié)果。經(jīng)營(yíng)者在IT治理中要保證IT戰(zhàn)略與業(yè)務(wù)發(fā)展目標(biāo)的匹配；把IT戰(zhàn)略和目標(biāo)分解到組織，建立有助于IT戰(zhàn)略實(shí)施的組織結(jié)構(gòu)；采用一個(gè)控制和治理結(jié)構(gòu)；提供IT基礎(chǔ)結(jié)構(gòu)以創(chuàng)造和共享業(yè)務(wù)信息，在組織中明確風(fēng)險(xiǎn)管理的責(zé)任；關(guān)注于重要的IT流程和核心的IT能力，以及IT績(jī)效管理。

　　監(jiān)督與制衡

　　目前，對(duì)企業(yè)來(lái)說(shuō)，IT已經(jīng)不僅僅是技術(shù)，它更具有戰(zhàn)略意義。IT戰(zhàn)略是企業(yè)戰(zhàn)略的有機(jī)組成部分，它對(duì)實(shí)現(xiàn)業(yè)務(wù)創(chuàng)新和管理提升具有重要意義，因此股東和董事會(huì)有必要建立對(duì)IT的監(jiān)督和控制機(jī)制。隨著企業(yè)信息化建設(shè)的深入，IT對(duì)業(yè)務(wù)的作用越來(lái)越關(guān)鍵。這種關(guān)鍵性來(lái)自于各項(xiàng)業(yè)務(wù)對(duì)于信息系統(tǒng)、信息資源和通信網(wǎng)絡(luò)不斷增強(qiáng)的依賴(lài)性；IT技術(shù)的潛力急劇改變了企業(yè)和業(yè)務(wù)實(shí)踐，創(chuàng)造了新的機(jī)會(huì)并降低了成本；在一個(gè)互聯(lián)的世界中，從事業(yè)務(wù)經(jīng)營(yíng)的風(fēng)險(xiǎn)也在不斷加大；IT項(xiàng)目的失敗不斷影響IT聲譽(yù)和企業(yè)的價(jià)值；借助IT實(shí)現(xiàn)知識(shí)管理對(duì)保證企業(yè)業(yè)務(wù)的發(fā)展十分關(guān)鍵等方面。這種關(guān)鍵性使得股東和董事會(huì)更多關(guān)注IT治理成為必然。但長(zhǎng)期以來(lái)，人們對(duì)信息化的期望值普遍偏高，但是信息化建設(shè)狀況卻與期望差距很大，以致有人把IT描述為“IT黑洞”。這種期望與實(shí)際間不匹配情況的出現(xiàn)，在很大程度上是因?yàn)閷?duì)IT項(xiàng)目的投資、風(fēng)險(xiǎn)和績(jī)效等缺乏一個(gè)有效的監(jiān)督和制衡機(jī)制，因此，IT治理十分必要。

　　而對(duì)于絕大多數(shù)人來(lái)說(shuō)，IT是一門(mén)純粹的技術(shù)，業(yè)務(wù)人員以及一些管理人員還僅僅是把它當(dāng)作一種工具和手段，IT一直沒(méi)有得到它應(yīng)該得到的重視。這主要是因?yàn)樾畔⒓夹g(shù)日新月異，與其他學(xué)科相比，需要具備更好的專(zhuān)業(yè)技術(shù)基礎(chǔ)，才能很好理解IT與業(yè)務(wù)、風(fēng)險(xiǎn)和機(jī)會(huì)的關(guān)系。因此，有必要從治理的高度提升企業(yè)對(duì)IT的重視。

　　此外，IT涉及巨大的投資和極大的風(fēng)險(xiǎn)。隨著網(wǎng)絡(luò)和Internet技術(shù)的發(fā)展，企業(yè)對(duì)IT的投資動(dòng)輒上億，例如中國(guó)工商銀行近幾年的數(shù)據(jù)大集中項(xiàng)目涉及全國(guó)幾十家省級(jí)分行，投資已經(jīng)達(dá)到幾十個(gè)億。隨著IT投資增大，IT的風(fēng)險(xiǎn)也逐步加大。IT治理能夠有效保護(hù)IT投資，規(guī)避IT風(fēng)險(xiǎn)。

　　持續(xù)的循環(huán)過(guò)程

　　中國(guó)企業(yè)信息化建設(shè)已經(jīng)經(jīng)歷了從無(wú)到有，從單機(jī)到聯(lián)網(wǎng)，從簡(jiǎn)單的“應(yīng)用電子化”到復(fù)雜的“管理信息化”的發(fā)展過(guò)程，IT管理理念也經(jīng)歷了從IT應(yīng)用、IT服務(wù)、IT管理到IT治理的完善階段。那么，企業(yè)究竟應(yīng)該在信息化建設(shè)的哪一個(gè)階段引入IT治理機(jī)制呢？賽迪顧問(wèn)認(rèn)為，對(duì)企業(yè)來(lái)說(shuō)，IT治理是一個(gè)持續(xù)的循環(huán)過(guò)程，有IT流程就應(yīng)該有IT治理。在信息化發(fā)展的初始階段，組織并沒(méi)有體會(huì)到它的重要意義，往往忽略了IT治理，于是，信息化建設(shè)與業(yè)務(wù)的不匹配、信息孤島、信息投資黑洞的產(chǎn)生等信息化建設(shè)初期IT治理缺失所造成的惡果便頻繁出現(xiàn)，因此從信息化建設(shè)的初始階段就應(yīng)加強(qiáng)IT治理機(jī)制的建立。同時(shí)，IT治理是股東或市場(chǎng)（含政府）他律的機(jī)制，因此治理通常被理解為一種事后的監(jiān)督機(jī)制。但是，為了實(shí)現(xiàn)與信息化建設(shè)的互動(dòng)，需要建立從事前、事中到事后的監(jiān)督和控制機(jī)制。

　　為了成功地實(shí)現(xiàn)IT治理，企業(yè)必須擁有較為完善的公司治理結(jié)構(gòu)和治理環(huán)境，這是IT治理的基礎(chǔ)環(huán)境。以國(guó)有商業(yè)銀行為例，由于四大國(guó)有商業(yè)銀行還沒(méi)有改造為股份公司，沒(méi)有建立完善的現(xiàn)代企業(yè)制度，更談不上形成合理的公司治理結(jié)構(gòu)。國(guó)有商業(yè)銀行公司治理結(jié)構(gòu)的缺陷也使IT治理的機(jī)制不健全，因此對(duì)國(guó)有商業(yè)銀行IT治理環(huán)境的建立是首要解決的問(wèn)題。同時(shí)，IT治理的基礎(chǔ)條件是企業(yè)已經(jīng)把IT看作企業(yè)經(jīng)營(yíng)管理的一個(gè)有機(jī)組成部分，企業(yè)股東和相關(guān)利益者充分理解IT的價(jià)值和意義，從企業(yè)員工到企業(yè)最高管理層對(duì)IT有基本的認(rèn)同。由于IT治理的復(fù)雜性和專(zhuān)業(yè)性，治理層必須強(qiáng)烈依賴(lài)企業(yè)的下層來(lái)提供決策和評(píng)估活動(dòng)所需要的信息。為保證有效的IT治理，下層應(yīng)用要和企業(yè)總體目標(biāo)采用相同的原則，提供評(píng)估業(yè)績(jī)的衡量方法。因此，好的IT治理實(shí)踐需要在企業(yè)全部范圍內(nèi)推行。

　　此外，IT治理應(yīng)遵循一定的方法論。即在業(yè)務(wù)目標(biāo)的驅(qū)動(dòng)下，制定IT戰(zhàn)略，并保證IT戰(zhàn)略與業(yè)務(wù)戰(zhàn)略目標(biāo)的匹配 ；挖掘業(yè)務(wù)需求，完善信息系統(tǒng)建設(shè)，使IT真正為業(yè)務(wù)提升、管理創(chuàng)新貢獻(xiàn)價(jià)值；實(shí)施IT項(xiàng)目管理與風(fēng)險(xiǎn)管理；進(jìn)行IT績(jī)效評(píng)估。這是一個(gè)循序漸進(jìn)的往復(fù)循環(huán)的過(guò)程，通過(guò)這個(gè)過(guò)程，IT治理將逐步實(shí)現(xiàn)股東的利益。

　　在IT治理過(guò)程中，需要一個(gè)核心的控制框架。COBIT（“信息和相關(guān)技術(shù)的控制目標(biāo)”）是ISACA提出的IT治理的控制框架，它包括以下幾個(gè)方面：把被控制的IT流程分為四個(gè)領(lǐng)域，即系統(tǒng)規(guī)劃、系統(tǒng)獲取和實(shí)施、系統(tǒng)交付和維護(hù)、系統(tǒng)監(jiān)控，每個(gè)領(lǐng)域中包含多個(gè)IT流程，共34個(gè)IT流程；對(duì)每個(gè)流程設(shè)定一個(gè)高層次的控制目標(biāo)，從7個(gè)信息準(zhǔn)則上去監(jiān)控；針對(duì)管理層和IT參與者共300個(gè)詳細(xì)的控制目標(biāo)；建立在這些控制目標(biāo)上的大量IT流程的審計(jì)指南、實(shí)施指南和管理指南。