IT治理

IT治理是公司治理在信息时代的重要发展，用于描述企业或政府能否采取有效的机制，致使IT的应用能够完成组织赋予它的使命，同期平衡信息技术与过程的风险、保证达到组织的战略目标。

IT治理是公司治理的一部分，对于公司治理，1999年出版的《公司治理的基本原则》一书所下的定义为：为确定组织目标和保证目标达到的绩效监控所供应的治理结构。

IT治理是信息系统审计和控制领域中的一个相当新的理念，IBM最早将此理念引入我国。

有关IT治理，中外学者给出了很多的定义，美国IT治理协会给IT治理的定义是：“IT治理是一种引导和控制企业各种关系和流程的结构，该种结构安排，旨在通过平衡信息技术及其流程中的风险和收益，增长价值，以达到企业目标。”

国内有一种看法觉得，IT治理是描述企业或政府能否采取有效的机制，致使IT的应用能够完成组织赋予它的使命，同期平衡信息化过程中的风险，保证达到组织的战略目标的过程。它的使命是：维持IT与业务目标统一，助推业务发展，促使收益最大化，合理利用IT资源，适当管理与IT有关的风险。

美国麻省理工学院的学者彼得·维尔和珍妮·罗斯在其所撰写的《IT治理》一书中表示，IT治理就是为激励IT应用的期望举动，而清晰的决策权归属和责任担当框架。他们觉得是举动并非是战略创造价值，任何战略的实行都要落实到具体的举动上。

从IT中得到最大的价值，取决于在IT应用上造成我们期望的举动。期望举动是组织信念和文化的具体体现，它们的确定和颁布不仅基于战略，而且基于公司的价值提纲、使命提纲、业务规则、约定的举动习惯以及结构等。在每一家公司里，期望举动都各不相同。

综合这些定义，可以得出，IT治理就是要清晰相关IT决策权的归属机制和相关IT责任的承受机制，以激励IT应用的期望举动的造成，以联接战略目标、业务目标和IT目标，进而使企业从IT中得到最大的价值。

IT治理的研究分析

治理和管理是两个不同的概念，它们之间的区别就在于，治理是决定由谁来执行决策，管理则是策划和实施这些决策。

简单地讲，IT治理关注两个方面的困难，即IT治理的“什么”和“谁”。IT治理的“什么”是指IT治理应当做出哪些决策，IT治理的“谁”则是指这些决策分别应当由谁来做出。

那么，IT治理见底应当做出哪些决策呢?要寻到这个困难的答案，务必先搞清楚一个困难，那就是组织见底需要IT发挥什么样的作用。不要想诚然地以为这是一个可以简单回答的困难。事实上，不同的组织对于IT的需若是不一样的。组织见底需要IT做什么，在很大程度上取决于它处在一个什么样的商业环境。

一、商业特质决定IT需求

迈向IT治理的第一步就是，要对组织处在什么样的商业环境执行正确的分析。

埃森哲公司的IT治理模式通过两个指标来对组织的商业环境执行分析:改变的进展和竞争的基础。

改变的进展。某些企业处在一个改变较快的行业，如半导体企业和电信企业。在如此的行业，消费者的需求和偏好经常更改，产业政策也时常推陈出新，时不时显现的新技术会一下子更改整个产业价值链;而此外一部分行业的成长状态则相对平稳，不会有那么快的改变，如航空业。在如此的行业，消费者的需求、竞争格局、政府管制、技术及提供商等方面的改变均为迟缓发生的。

竞争的基础。从竞争的基础来说，企业可以分为两类。一类企业以经营效率为基础执行竞争。对于这类组织来看，着重在于减弱成本，以及优化现有的商业模式以应对竞争;另一类企业以产品和服务的差异性为竞争的基础。这类企业力求先于竞争对手供应新的商业能力，或者是开创新的商业模式，以此得到竞争优势。

依据以上两个指标，可以将组织分为四类。

A类组织处在改变不快的行业，以经营效率为竞争基础;

B类组织处在改变不快的行业，以产品服务的差异化为竞争基础;

C类组织处在改变快的行业，以经营效率为竞争基础;

D类组织处在改变快的行业，以产品服务的差异化为竞争基础。

这四类不同的组织因其业务特点的不同而对IT造成不同的需求。

A类组织发展的核心在于严格控制成本，所以这类企业期望利用IT来维持低成本，通过如外包这类节省成本的方法来供应成熟的能力。

B类组织的管理层期望利用信息来提升决策能力，并开发新的产品和服务，以高收入来抵消持续上涨的IT开支。

C类组织按优先次序策划IT投资计划以及长期能力的路线图，它们在对成本执行有效管理的同期，依据路线图，运用IT来达到计划中的新能力，以满足市场持续改变的需求。

D类组织期望IT具有高度的灵活性，以满足快速改变的商业策略和要求。这类企业看好于供应创新的IT处理方案，以得到先发优势，所以它们的IT投资着重在于创造新的能力。

二、IT治理的决策规模

一旦组织清晰了自己对于IT的需求，那下一步就要处理IT治理作哪些决策的困难，也就是前文所说的IT治理的“什么”。IT治理的决策规模一般包含下方五个方面。

组织模式:组织是采取集权、分权依旧混合的模式?

投资:组织将投资于什么?投多少?

架构:组织是着重于平稳性依旧灵活性?这两者各到什么程度?应用系统是向外买入依旧内部开发?是建立一个综合性的ERP系统依旧多种系统?

标准:组织需要将什么技术标准化，采取什么标准?

资源:IT组织将利用什么类型的资源?这些资源的来源是什么?

对于A类组织，其首选的组织模式应当是集权式治理，IT对于预算和决策负有责任。加拿大邮政公司就采取该种方法，该公司坚持一种简单化的组织模式，有一个集权部门来对公司举动执行优先排序，并通过单一的IT资源来完成。

在标准的决策方面，A类组织谋求在全组织规模内增强架构、技术和提供商的标准化，导致在一部分被证明是正值的例外的情形下才允许有所背离。一家大型的法国保险公司就是这方面的一个例子。该公司在集团规模内对IT架构实施了标准化，所以它可以优化其核心的IT流程，整合系统支持其非寿险业务，移植报告，配置新的系统以支持其健康险业务。

在资源决策方面，A类组织善于利用内外部资源的组合，一般会与少量的几家优选的服务供应商促成服务协议。当某个世界性的化学品公司觉得IT并不是其核心业务时其，便将整个IT运转外包出去，包含其ERP系统世界规模内的实行和支持。

公司的IT治理

公司治理首要关注利益有关者权益和管理，包含一连串责任和条例，由最高管理层（董事会）和实施管理层实行，目的是供应战略方向，保证目标能够达到，风险适当管理，企业的资源合理运用。

公司治理，驱使和调整IT治理。同期，IT能够供应核心的输入，形成战略计划的一个重要构成部分，这被觉得是公司治理的一个重要功能——IT影响企业的战略竞争机遇。

一、IT治理和公司治理关系图

IT治理的一个核心性困难是：公司的IT投资能否与战略目标相统一，进而构筑必要的核心竞争力。由于企业目标改变太快，很难保证IT与商业目标始终维持统一，所以需要多方面的协调，保证IT治理继续沿着正确的方向走，这也是IT投资人真正关心的困难。对IT治理来说，要能体现将来信息技术与将来企业组织的战略集成。既要尽或许地维持放开性和长远性，以保证系统的平稳性和保持性；同期又由于规划赶不上改变，再长远的规划也很难保证能跟上企业环境的改变。IT 治理中一个相对有效的做法是，在信息化规划时，认真分析企业的战略与IT支撑之间的影响度，并合理预期环境改变或许给企业战略导致的偏移，在规划时留有适当的余地，从业务战略到信息战略，做务实的牵引，不要追求大而全。

IT治理有利于建立一个灵活的、具有适应性的企业。IT治理能够影响信息和指示：企业能够感知市场正在发生的事，运用知识资产并从中学习，创新新产品、服务、途径、过程；快速改变，将革新带入市场，衡量业绩。IT治理应当体现“以组织战略目标为中心”的思想，通过合理配置IT资源创造价值。企业治理侧重于企业整体规划，IT治理侧重于企业中信息资源的有效利用和管理。

企业目标在于远景和商业模式，IT目标在于商业模式的实行。

企业目标与IT目标之间的关系如下图所示：

IT治理首要涉及两个方面：IT要为企业交付价值，IT风险要减弱。前者受IT与企业的战略统一性驱使，后者由责任义务落实到企业驱使。这两者都需要衡量，如运用平衡计分卡。这就可以看出IT治理的四个核心领域，均为由利益有关者价值驱使的，其中两个是成果：价值交付和风险减弱，此外两个是驱使力：战略统一性和业绩衡量。

概括地说，公司治理和IT治理均为市场（含政府）他律的机制，是如何“管好管理者”的机制，其目标也是统一的：高达业务永续经营，并增长组织的长期获利机会。无论大环境是好是坏，最高管理层（董事会）均应以促成其目标为责任，而且管理阶层需有能力协助其促成目标，所以最高管理层（董事会）务必常常监督管理部门对决策分析与政策实行的绩效。

“斯达模式”这一被誉为国企解脱窘境、改革发展的创新模式，正表明了公司治理和IT治理的重要性和互动关系。“黑纸”利用合资节骨眼，对产权体制执行了改革，并依照现代企业制度要求，建立与市场竞争相适应的公司治理机制，明晰了企业产权，优化了生产要素配置，转变了职工观念，为斯达大力执行信息化改造创造了有力条件。倒过来，信息化也促进了公司的现代化管理。

二、IT治理和IT管理

IT管理是公司的信息及信息系统的经营，确定IT目标以及达到此目标所采取的行动；而IT治理是指最高管理层（董事会）利用它来监督管理层在IT战略上的过程、结构和联系，以保证该种经营处在正确的轨道之上。这是一个硬币的两面，谁也不能脱离谁而存在。可见，IT管理就是在既定的IT治理模式下，管理层为达到公司的目标而采取的行动。

IT治理规定了整个企业IT运转的基本框架，IT管理则是在这个既定的框架下驾驭企业奔向目标。缺乏不错IT治理模式的公司，即便有“很好”的IT管理体系（而这事实上是不或许的），就像一座地基不稳固的大厦；同样，没有公司IT管理体系的畅通，单纯的治理模式也只能是一个美好的蓝图，而缺乏事实的内容。就我国信息化建设当前的现况来说，无论是IT治理，依旧IT管理均为我们所急切需要处理的。

IT治理框架的三个支柱

一旦IT领导理解了IT治理框架的三个支柱，他们对于IT治理为何这样重要，以及哪一种方法可以最好地帮助他们促成治理目标，就会有更好的理解。

IT治理是当前很多人都在谈论的一个话题。的确，一部分技术提供商和咨询顾问已经将IT治理纳入一个最新的火热的销售范畴。但是，以他们所销售的产品和服务的规模为基础，已经显现了IT治理的种种定义，这在一定程度上给市场导致了混乱。

那么，对于如今这个最火热的企业治理方面的概念，业务和IT领导从哪里可以得到一个单一而又全面的定义呢？

基于ITGI、正在形成的产业标准、客户最佳实践及思想领导者的工作，第一流的分析专员当下都在强调IT治理框架的三个支柱的模式。这一框架强调保证IT在支持业务目标、优化商业技术投资及合理管理IT有关风险和机会中的重要性。

在CIO和IT领导看来，受于可以为组织迈出烦恼多时的没完没了的开支、扩展、补丁、再开支的循环供应一个清楚的路径，这三个支柱的模式和与之相应的IT治理成熟度模型正在快速地得到活力。

有了IT治理这一框架，IT投资所导致的价值可以得到理解，达到技术投资和业务目标需求之间的联结也有了清晰的方法。在来自管理层和董事会的阻力越来越大的情形下，IT组织不能仅依靠理论—他们需要能发挥作用的治理。

对于任何想抓住该种前瞻性的IT方法所导致的利益的组织来说，这一成形的IT治理框架均为适用的。这个框架包含三个首要的构成部分，具体显现为“计划/构造/管理”三个生命周期，通过一个持续执行的连结这三个要素的反馈环，致使IT变革形成或许。这三个支柱是：

一、企业架构计划包含：

1、企业架构造型和管理

2、战略性的IT计划和路线图

3、标准管理

二、投资管理合理化,包含:

1、应用系统和基础设施的合理化

2、项目－投资分析

3、合并和收购经营整合

三、服务融合，包含：

1、服务供应管理

2、业务关系管理

3、提供商和外包商管理

4、IT财务管理

5、塞班斯－奥克斯莱法案（Sarbanes-Oxley）和其余法规遵从的困难

6、业务接连性计划

一旦IT领导理解了这三个支柱，他们对于IT治理为何这样重要，以及哪一种方法可以最好地帮助他们促成治理目标，就会有更好的理解。比如，在项目投资管理和系统管理领域，一般的提供商只会努力于整个框架的一部分。对IT治理困难需要有一个全面的处理方案，这一需求已经越来越表现出来了。

IT治理处理方案

Troux是惟一能供应有效的IT治理系统的企业，同期，它还能供应全面的可以连结业务和自动工作流，及自动化的策略管理系统。为了处理CIO们今天面对的最具考验性的IT治理困难，Troux的处理方案给予了基础，而且横跨IT治理框架的三个领域。

企业架构：致使企业建造师可以完全模仿符合将来需要的架构，而且供应创造和管理与架构相协调的标准和路线图的能力。

投资合理化:为IT实施人士供应保证应用、基础设施、服务和项目投资与业务和成本优化相协调的可视度和工具。

服务管理:使IT组织可以达到对业务服务的自动化定义和管理，并保证核心业务、遵从和业务接连性目标的统一。

有了以上各种处理办法，Troux导致了帮助CIO和IT实施人士达到IT治理所需要的深入的专业知识、最佳实践和成熟的模式。

正如IT治理已经位居CIO日程表的前列，经理人士们也已经发现，最佳实践和方法的标准还没有精准的定义—到当下这一情况才有所更改。

Troux的技术为CIO和IT经理有效计划、构建和管理他们的IT运转，给予了所需要的最佳实践和方法。

如何看待IT治理的角色

“对于CIO来看，IT治理代表着组织结构、决定过程和一种在企业内增强控制的信息基础。”位于斯坦福的Meta集团的分析专员Val Sribar说。

迈向IT治理最重要的一步是“发展一种可以自信地执行核心资产、财务和遵从的决策的信息基础。”Sribar又说，“业务和技术架构的可见度对于企业管理和成长是核心性的。”

幸运的是，IT经理为了促成治理目标可以得到帮助。“像Troux如此的提供商已经显现，并填充了治理流程和IT经营之间的空白。”Sribar说.

IT治理的标准

（1）ITIL

ITIL（Information Technology Infrastructure Library）：即信息技术基础构架库，一套被普遍承认的用于有效IT服务管理的实践准则。1980年至今，英政府商务办公场所（GOC，原称政府计算机与通信中心）为处理“IT服务质量不好”的困难，逐渐提出和完善了一整套对IT服务的质量执行评估的方法体系，叫做ITIL。2001年，英国标准协会在国际IT服务管理论坛（itSMF）上正式公布了以ITIL为核心的英国国家标准BS15000。这形成IT服务管理领域具有历史意义的巨大事件。

（2）COBIT

COBIT（Control Objectives for Information and related Technology）：即信息系统和技术控制目标。成立于1969年的美国信息系统审计与控制协会ISACA，于1996推出了用于“IT审计”的知识体系COBIT。“IT审计”已经形成大量国家的政府部门、企业对IT的计划与组织、采购与实行、服务供应与服务支持、监督与控制等执行全面考核与认可的业界标准。相应地，“注册信息系统审计师”（CISA）日益形成世界各国发展信息化过程中，争相发展的新兴职业和领域。作为IT治理的核心模型， COBIT包含34个信息技术过程控制，并归集为四个控制域：IT规划和组织（Planning and Organization）、系统得到和实行（Acquisition and Implementation）、交付与支持（Delivery and Support）以及信息系统运行性能监控（Monitoring）。 COBIT 当前已形成国际上公认的IT管理与控制标准。

（3）BS 7799

BS 7799(ISO/IEC17799)：即国际信息安全管理标准体系，2000年12月，国际标准化组织ISO正式公布了相关信息安全的国际标准ISO17799，这个标准包含信息系统安全管理和安全认证两多部分，是参照英国国家标准BS7799而来的。它是一个详细的安全标准，包含安全内容的所有准则，由十个独立的部分构成，每一节都覆盖了不同的主题和区域。

由英国标准协会（BSI）编撰的信息安全管理体系标准BS 7799-Part 1 (ISO 17799) 及BS 7799-Part 2为各种机构、企业执行信息安全管理给予了一个完整的管理框架。这一套‘姊妹对’标准引导机构、企业建立一个完整的信息安全管理体系，对信息安全执行动态的、以市场机构及企业面对的安全风险为起点对企业的信息安全风险执行动态的、全面的、有效的、持续改进的管理，并强调信息安全管理的目的是维持机构及企业业务的接连性不受信息安全事件的损坏，要从机构或企业现有的资源和管理基础为出发点，建立信息安全管理体系（ISMS），持续改进信息安全管理的水准，使机构或企业的信息安全以最小代价高达需要的水准。保护信息安全，建立信息安全管理体系是机构或企业营运的重要工作之一，特别是BS 7799-2: 2002是当前最完整的参考根据，它以“计划（Plan）、实行（Do）、检查（Check）、行动（Action）”模式，将管理体系规范导入机构或企业内，以高达“连续改进”的目的。

（4）PRINCE2

PRINCE2（Projects In Controlled Environments）是一种对项目管理的某些特定方面供应支持的方法。PRINCE2描述了一个项目如何被切分成一部分可供管理的阶段，以便高效地控制资源的运用和在整个项目周期实施普通的监督流程。PRINCE2的视野并没有仅仅限于对具体项目的管理，还盖了在组织规模对项目的管理。