IT治理是公司治理在信息時(shí)代的重要發(fā)展，用于描述企業(yè)或政府是否采用有效的機(jī)制，使得IT的應(yīng)用能夠完成組織賦予它的使命，同時(shí)平衡信息技術(shù)與過程的風(fēng)險(xiǎn)、確保實(shí)現(xiàn)組織的戰(zhàn)略目標(biāo)。

IT治理是公司治理的一部分，對于公司治理，1999年出版的《公司治理的基本原則》一書所下的定義為：為確定組織目標(biāo)和確保目標(biāo)實(shí)現(xiàn)的績效監(jiān)控所提供的治理結(jié)構(gòu)。

IT治理是信息系統(tǒng)審計(jì)和控制領(lǐng)域中的一個相當(dāng)新的理念，IBM最早將此理念引入我國。

關(guān)于IT治理，中外學(xué)者給出了很多的定義，美國IT治理協(xié)會給IT治理的定義是：“IT治理是一種引導(dǎo)和控制企業(yè)各種關(guān)系和流程的結(jié)構(gòu)，這種結(jié)構(gòu)安排，旨在通過平衡信息技術(shù)及其流程中的風(fēng)險(xiǎn)和收益，增加價(jià)值，以實(shí)現(xiàn)企業(yè)目標(biāo)?！?

國內(nèi)有一種觀點(diǎn)認(rèn)為，IT治理是描述企業(yè)或政府是否采用有效的機(jī)制，使得IT的應(yīng)用能夠完成組織賦予它的使命，同時(shí)平衡信息化過程中的風(fēng)險(xiǎn)，確保實(shí)現(xiàn)組織的戰(zhàn)略目標(biāo)的過程。它的使命是：保持IT與業(yè)務(wù)目標(biāo)一致，推動業(yè)務(wù)發(fā)展，促使收益最大化，合理利用IT資源，適當(dāng)管理與IT相關(guān)的風(fēng)險(xiǎn)。

美國麻省理工學(xué)院的學(xué)者彼得·維爾和珍妮·羅斯在其所撰寫的《IT治理》一書中指出，IT治理就是為鼓勵I(lǐng)T應(yīng)用的期望行為，而明確的決策權(quán)歸屬和責(zé)任擔(dān)當(dāng)框架。他們認(rèn)為是行為而不是戰(zhàn)略創(chuàng)造價(jià)值，任何戰(zhàn)略的實(shí)施都要落實(shí)到具體的行為上。

從IT中獲得最大的價(jià)值，取決于在IT應(yīng)用上產(chǎn)生我們期望的行為。期望行為是組織信念和文化的具體體現(xiàn)，它們的確定和頒布不僅基于戰(zhàn)略，而且基于公司的價(jià)值綱要、使命綱要、業(yè)務(wù)規(guī)則、約定的行為習(xí)慣以及結(jié)構(gòu)等。在每一家公司里，期望行為都各不相同。

綜合這些定義，可以得出，IT治理就是要明確有關(guān)IT決策權(quán)的歸屬機(jī)制和有關(guān)IT責(zé)任的承擔(dān)機(jī)制，以鼓勵I(lǐng)T應(yīng)用的期望行為的產(chǎn)生，以聯(lián)接戰(zhàn)略目標(biāo)、業(yè)務(wù)目標(biāo)和IT目標(biāo)，從而使企業(yè)從IT中獲得最大的價(jià)值。

治理和管理是兩個不同的概念，它們之間的區(qū)別就在于，治理是決定由誰來進(jìn)行決策，管理則是制定和執(zhí)行這些決策。

簡單地講，IT治理關(guān)注兩個方面的問題，即IT治理的“什么”和“誰”。IT治理的“什么”是指IT治理應(yīng)該作出哪些決策，IT治理的“誰”則是指這些決策分別應(yīng)該由誰來作出。

那么，IT治理到底應(yīng)該作出哪些決策呢?要找到這個問題的答案，必須先搞清楚一個問題，那就是組織到底需要IT發(fā)揮什么樣的作用。不要想當(dāng)然地以為這是一個可以簡單回答的問題。實(shí)際上，不同的組織對于IT的需要是不一樣的。組織到底需要IT做什么，在很大程度上取決于它處于一個什么樣的商業(yè)環(huán)境。

一旦組織明確了自己對于IT的需求，那下一步就要解決IT治理作哪些決策的問題，也就是前文所說的IT治理的“什么”。IT治理的決策范圍一般包括以下五個方面。

組織模式:組織是采取集權(quán)、分權(quán)還是混合的模式?

投資:組織將投資于什么?投多少?

架構(gòu):組織是著重于穩(wěn)定性還是靈活性?這兩者各到什么程度?應(yīng)用系統(tǒng)是向外購買還是內(nèi)部開發(fā)?是建立一個綜合性的ERP系統(tǒng)還是多種系統(tǒng)?

標(biāo)準(zhǔn):組織需要將什么技術(shù)標(biāo)準(zhǔn)化，采用什么標(biāo)準(zhǔn)?

資源:IT組織將利用什么類型的資源?這些資源的來源是什么?

對于A類組織，其首選的組織模式應(yīng)該是集權(quán)式治理，IT對于預(yù)算和決策負(fù)有責(zé)任。加拿大郵政公司就采用這種方法，該公司堅(jiān)持一種簡單化的組織模式，有一個集權(quán)部門來對公司行為進(jìn)行優(yōu)先排序，并通過單一的IT資源來完成。

在標(biāo)準(zhǔn)的決策方面，A類組織謀求在全組織范圍內(nèi)加強(qiáng)架構(gòu)、技術(shù)和供應(yīng)商的標(biāo)準(zhǔn)化，只是在一些被證明是正當(dāng)?shù)睦獾那闆r下才允許有所背離。一家大型的法國保險(xiǎn)公司就是這方面的一個例子。該公司在集團(tuán)范圍內(nèi)對IT架構(gòu)實(shí)行了標(biāo)準(zhǔn)化，因此它可以優(yōu)化其核心的IT流程，整合系統(tǒng)支持其非壽險(xiǎn)業(yè)務(wù)，移植數(shù)據(jù)，配置新的系統(tǒng)以支持其健康險(xiǎn)業(yè)務(wù)。

在資源決策方面，A類組織善于利用內(nèi)外部資源的組合，通常會與少量的幾家優(yōu)選的服務(wù)提供商達(dá)成服務(wù)協(xié)議。當(dāng)某個全球性的化學(xué)品公司認(rèn)為IT并非其核心業(yè)務(wù)時(shí)其，便將整個IT運(yùn)作外包出去，包括其ERP系統(tǒng)全球范圍內(nèi)的實(shí)施和支持。

公司治理主要關(guān)注利益相關(guān)者權(quán)益和管理，包括一系列責(zé)任和條例，由最高管理層（董事會）和執(zhí)行管理層實(shí)施，目的是提供戰(zhàn)略方向，保證目標(biāo)能夠?qū)崿F(xiàn)，風(fēng)險(xiǎn)適當(dāng)管理，企業(yè)的資源合理使用。

公司治理，驅(qū)動和調(diào)整IT治理。同時(shí)，IT能夠提供關(guān)鍵的輸入，形成戰(zhàn)略計(jì)劃的一個重要組成部分，這被認(rèn)為是公司治理的一個重要功能——IT影響企業(yè)的戰(zhàn)略競爭機(jī)遇。

IT治理的一個關(guān)鍵性問題是：公司的IT投資是否與戰(zhàn)略目標(biāo)相一致，從而構(gòu)筑必要的核心競爭力。因?yàn)槠髽I(yè)目標(biāo)變化太快，很難保證IT與商業(yè)目標(biāo)始終保持一致，因此需要多方面的協(xié)調(diào)，保證IT治理繼續(xù)沿著正確的方向走，這也是IT投資者真正關(guān)心的問題。對IT治理而言，要能體現(xiàn)未來信息技術(shù)與未來企業(yè)組織的戰(zhàn)略集成。既要盡可能地保持開放性和長遠(yuǎn)性，以確保系統(tǒng)的穩(wěn)定性和延續(xù)性；同時(shí)又因?yàn)橐?guī)劃趕不上變化，再長遠(yuǎn)的規(guī)劃也難以保證能跟上企業(yè)環(huán)境的變化。IT 治理中一個相對有效的做法是，在信息化規(guī)劃時(shí)，認(rèn)真分析企業(yè)的戰(zhàn)略與IT支撐之間的影響度，并合理預(yù)測環(huán)境變化可能給企業(yè)戰(zhàn)略帶來的偏移，在規(guī)劃時(shí)留有適當(dāng)?shù)挠嗟?，從業(yè)務(wù)戰(zhàn)略到信息戰(zhàn)略，做務(wù)實(shí)的牽引，不要追求大而全。

IT治理有助于建立一個靈活的、具有適應(yīng)性的企業(yè)。IT治理能夠影響信息和指示：企業(yè)能夠感知市場正在發(fā)生的事，使用知識資產(chǎn)并從中學(xué)習(xí)，創(chuàng)新新產(chǎn)品、服務(wù)、渠道、過程；迅速變化，將革新帶入市場，衡量業(yè)績。IT治理應(yīng)該體現(xiàn)“以組織戰(zhàn)略目標(biāo)為中心”的思想，通過合理配置IT資源創(chuàng)造價(jià)值。企業(yè)治理側(cè)重于企業(yè)整體規(guī)劃，IT治理側(cè)重于企業(yè)中信息資源的有效利用和管理。

企業(yè)目標(biāo)在于遠(yuǎn)景和商業(yè)模式，IT目標(biāo)在于商業(yè)模式的實(shí)施。

企業(yè)目標(biāo)與IT目標(biāo)之間的關(guān)系如下圖所示：

IT治理主要涉及兩個方面：IT要為企業(yè)交付價(jià)值，IT風(fēng)險(xiǎn)要降低。前者受IT與企業(yè)的戰(zhàn)略一致性驅(qū)動，后者由責(zé)任義務(wù)落實(shí)到企業(yè)驅(qū)動。這兩者都需要衡量，如使用平衡計(jì)分卡。這就可以看出IT治理的四個核心領(lǐng)域，都是由利益相關(guān)者價(jià)值驅(qū)動的，其中兩個是成果：價(jià)值交付和風(fēng)險(xiǎn)降低，另外兩個是驅(qū)動力：戰(zhàn)略一致性和業(yè)績衡量。

概括地說，公司治理和IT治理都是市場（含政府）他律的機(jī)制，是如何“管好管理者”的機(jī)制，其目標(biāo)也是一致的：達(dá)到業(yè)務(wù)永續(xù)運(yùn)營，并增加組織的長期獲利機(jī)會。無論大環(huán)境是好是壞，最高管理層（董事會）均應(yīng)以達(dá)成其目標(biāo)為責(zé)任，而且管理階層需有能力協(xié)助其達(dá)成目標(biāo)，因此最高管理層（董事會）必須常常監(jiān)督管理部門對決策判斷與政策實(shí)施的績效。

“斯達(dá)模式”這一被譽(yù)為國企擺脫困境、改革發(fā)展的創(chuàng)新模式，正說明了公司治理和IT治理的重要性和互動關(guān)系。“黑紙”利用合資契機(jī)，對產(chǎn)權(quán)體制進(jìn)行了改革，并按照現(xiàn)代企業(yè)制度要求，建立與市場競爭相適應(yīng)的公司治理機(jī)制，明晰了企業(yè)產(chǎn)權(quán)，優(yōu)化了生產(chǎn)要素配置，轉(zhuǎn)變了職工觀念，為斯達(dá)大力進(jìn)行信息化改造創(chuàng)造了有力條件。反過來，信息化也促進(jìn)了公司的現(xiàn)代化管理。

一旦IT領(lǐng)導(dǎo)理解了IT治理框架的三個支柱，他們對于IT治理為什么如此重要，以及哪一種方法可以最好地幫助他們達(dá)成治理目標(biāo)，就會有更好的理解。

IT治理是目前很多人都在談?wù)摰囊粋€話題。確實(shí)，一些技術(shù)供應(yīng)商和咨詢顧問已經(jīng)將IT治理納入一個最新的熱門的銷售范疇。然而，以他們所銷售的產(chǎn)品和服務(wù)的范圍為基礎(chǔ)，已經(jīng)出現(xiàn)了IT治理的種種定義，這在一定程度上給市場帶來了混亂。

那么，對于如今這個最熱門的企業(yè)治理方面的概念，業(yè)務(wù)和IT領(lǐng)導(dǎo)從哪里可以獲得一個單一而又全面的定義呢？

基于ITGI、正在形成的產(chǎn)業(yè)標(biāo)準(zhǔn)、客戶最佳實(shí)踐及思想領(lǐng)導(dǎo)者的工作，第一流的分析師現(xiàn)在都在強(qiáng)調(diào)IT治理框架的三個支柱的模式。這一框架強(qiáng)調(diào)確保IT在支持業(yè)務(wù)目標(biāo)、優(yōu)化商業(yè)技術(shù)投資及合理管理IT相關(guān)風(fēng)險(xiǎn)和機(jī)會中的重要性。

在CIO和IT領(lǐng)導(dǎo)看來，由于可以為組織走出煩惱多時(shí)的沒完沒了的支出、擴(kuò)展、補(bǔ)丁、再支出的循環(huán)提供一個清楚的路徑，這三個支柱的模式和與之相應(yīng)的IT治理成熟度模型正在迅速地獲得動力。

有了IT治理這一框架，IT投資所帶來的價(jià)值可以獲得理解，實(shí)現(xiàn)技術(shù)投資和業(yè)務(wù)目標(biāo)需求之間的聯(lián)結(jié)也有了明確的方法。在來自管理層和董事會的壓力越來越大的情況下，IT組織不能僅依靠理論—他們需要能發(fā)揮作用的治理。

對于任何想抓住這種前瞻性的IT方法所帶來的利益的組織而言，這一成形的IT治理框架都是適用的。這個框架包括三個主要的組成部分，具體表現(xiàn)為“計(jì)劃/構(gòu)造/管理”三個生命周期，通過一個不斷進(jìn)行的連結(jié)這三個要素的反饋環(huán)，使得IT變革成為可能。這三個支柱是：

一、企業(yè)架構(gòu)計(jì)劃包括：

1、企業(yè)架構(gòu)造型和管理

2、戰(zhàn)略性的IT計(jì)劃和路線圖

3、標(biāo)準(zhǔn)管理

二、投資組合合理化,包括:

1、應(yīng)用系統(tǒng)和基礎(chǔ)設(shè)施的合理化

2、項(xiàng)目－投資分析

3、合并和收購運(yùn)營整合

三、服務(wù)融合，包括：

1、服務(wù)提供管理

2、業(yè)務(wù)關(guān)系管理

3、供應(yīng)商和外包商管理

4、IT財(cái)務(wù)管理

5、塞班斯－奧克斯萊法案（Sarbanes-Oxley）和其他法規(guī)遵從的問題

6、業(yè)務(wù)連續(xù)性計(jì)劃

一旦IT領(lǐng)導(dǎo)理解了這三個支柱，他們對于IT治理為什么如此重要，以及哪一種方法可以最好地幫助他們達(dá)成治理目標(biāo)，就會有更好的理解。例如，在項(xiàng)目投資管理和系統(tǒng)管理領(lǐng)域，一般的供應(yīng)商只會致力于整個框架的一部分。對IT治理問題需要有一個全面的解決方案，這一需求已經(jīng)越來越表現(xiàn)出來了。

Troux是惟一能提供有效的IT治理系統(tǒng)的企業(yè)，同時(shí)，它還能提供全面的可以連結(jié)業(yè)務(wù)和自動工作流，及自動化的策略管理系統(tǒng)。為了解決CIO們今天面臨的最具挑戰(zhàn)性的IT治理問題，Troux的解決方案提供了基礎(chǔ)，并且橫跨IT治理框架的三個領(lǐng)域。

企業(yè)架構(gòu)：使得企業(yè)建造師可以完全模仿符合未來需要的架構(gòu)，并且提供創(chuàng)造和管理與架構(gòu)相協(xié)調(diào)的標(biāo)準(zhǔn)和路線圖的能力。

投資合理化:為IT執(zhí)行人員提供確保應(yīng)用、基礎(chǔ)設(shè)施、服務(wù)和項(xiàng)目投資與業(yè)務(wù)和成本優(yōu)化相協(xié)調(diào)的可視度和工具。

服務(wù)管理:使IT組織可以實(shí)現(xiàn)對業(yè)務(wù)服務(wù)的自動化定義和管理，并確保關(guān)鍵業(yè)務(wù)、遵從和業(yè)務(wù)連續(xù)性目標(biāo)的一致。

有了以上各種解決辦法，Troux帶來了幫助CIO和IT執(zhí)行人員實(shí)現(xiàn)IT治理所需要的深入的專業(yè)知識、最佳實(shí)踐和成熟的模式。

正如IT治理已經(jīng)位居CIO日程表的前列，經(jīng)理人員們也已經(jīng)發(fā)現(xiàn)，最佳實(shí)踐和方法的標(biāo)準(zhǔn)還沒有準(zhǔn)確的定義—到現(xiàn)在這一狀況才有所改變。

Troux的技術(shù)為CIO和IT經(jīng)理有效計(jì)劃、構(gòu)建和管理他們的IT運(yùn)作，提供了所需要的最佳實(shí)踐和方法。

“對于CIO來說，IT治理意味著組織結(jié)構(gòu)、決定過程和一種在企業(yè)內(nèi)加強(qiáng)控制的信息基礎(chǔ)。”位于斯坦福的Meta集團(tuán)的分析師Val Sribar說。

走向IT治理最重要的一步是“發(fā)展一種可以自信地進(jìn)行關(guān)鍵資產(chǎn)、財(cái)務(wù)和遵從的決策的信息基礎(chǔ)?！盨ribar又說，“業(yè)務(wù)和技術(shù)架構(gòu)的可見度對于企業(yè)管理和成長是關(guān)鍵性的?！?

幸運(yùn)的是，IT經(jīng)理為了達(dá)成治理目標(biāo)可以獲得幫助?！跋馮roux這樣的供應(yīng)商已經(jīng)出現(xiàn)，并填補(bǔ)了治理流程和IT運(yùn)營之間的空白?！盨ribar說.

目前國際上通行的IT治理標(biāo)準(zhǔn)主要有四個：ITIL 、COBIT、ISO/IEC17799和PRINCE2。

（1）ITIL

ITIL（Information Technology Infrastructure Library）：即信息技術(shù)基礎(chǔ)構(gòu)架庫，一套被廣泛承認(rèn)的用于有效IT服務(wù)管理的實(shí)踐準(zhǔn)則。1980年以來，英國政府商務(wù)辦公室（GOC，原稱政府計(jì)算機(jī)與通信中心）為解決“IT服務(wù)質(zhì)量不佳”的問題，逐步提出和完善了一整套對IT服務(wù)的質(zhì)量進(jìn)行評估的方法體系，叫做ITIL。2001年，英國標(biāo)準(zhǔn)協(xié)會在國際IT服務(wù)管理論壇（itSMF）上正式發(fā)布了以ITIL為核心的英國國家標(biāo)準(zhǔn)BS15000。這成為IT服務(wù)管理領(lǐng)域具有歷史意義的重大事件。

（2）COBIT

COBIT（Control Objectives for Information and related Technology）：即信息系統(tǒng)和技術(shù)控制目標(biāo)。成立于1969年的美國信息系統(tǒng)審計(jì)與控制協(xié)會ISACA，于1996推出了用于“IT審計(jì)”的知識體系COBIT?！癐T審計(jì)”已經(jīng)成為眾多國家的政府部門、企業(yè)對IT的計(jì)劃與組織、采購與實(shí)施、服務(wù)提供與服務(wù)支持、監(jiān)督與控制等進(jìn)行全面考核與認(rèn)可的業(yè)界標(biāo)準(zhǔn)。相應(yīng)地，“注冊信息系統(tǒng)審計(jì)師”（CISA）日益成為世界各國發(fā)展信息化過程中，爭相發(fā)展的新興職業(yè)和領(lǐng)域。作為IT治理的核心模型， COBIT包含34個信息技術(shù)過程控制，并歸集為四個控制域：IT規(guī)劃和組織（Planning and Organization）、系統(tǒng)獲得和實(shí)施（Acquisition and Implementation）、交付與支持（Delivery and Support）以及信息系統(tǒng)運(yùn)行性能監(jiān)控（Monitoring）。 COBIT 目前已成為國際上公認(rèn)的IT管理與控制標(biāo)準(zhǔn)。

（3）BS 7799

BS 7799(ISO/IEC17799)：即國際信息安全管理標(biāo)準(zhǔn)體系，2000年12月，國際標(biāo)準(zhǔn)化組織ISO正式發(fā)布了有關(guān)信息安全的國際標(biāo)準(zhǔn)ISO17799，這個標(biāo)準(zhǔn)包括信息系統(tǒng)安全管理和安全認(rèn)證兩大部分，是參照英國國家標(biāo)準(zhǔn)BS7799而來的。它是一個詳細(xì)的安全標(biāo)準(zhǔn)，包括安全內(nèi)容的所有準(zhǔn)則，由十個獨(dú)立的部分組成，每一節(jié)都覆蓋了不同的主題和區(qū)域。

由英國標(biāo)準(zhǔn)協(xié)會（BSI）編寫的信息安全管理體系標(biāo)準(zhǔn)BS 7799-Part 1 (ISO 17799) 及BS 7799-Part 2為各種機(jī)構(gòu)、企業(yè)進(jìn)行信息安全管理提供了一個完整的管理框架。這一套‘姊妹對’標(biāo)準(zhǔn)引導(dǎo)機(jī)構(gòu)、企業(yè)建立一個完整的信息安全管理體系，對信息安全進(jìn)行動態(tài)的、以分析機(jī)構(gòu)及企業(yè)面臨的安全風(fēng)險(xiǎn)為起點(diǎn)對企業(yè)的信息安全風(fēng)險(xiǎn)進(jìn)行動態(tài)的、全面的、有效的、不斷改進(jìn)的管理，并強(qiáng)調(diào)信息安全管理的目的是保持機(jī)構(gòu)及企業(yè)業(yè)務(wù)的連續(xù)性不受信息安全事件的破壞，要從機(jī)構(gòu)或企業(yè)現(xiàn)有的資源和管理基礎(chǔ)為出發(fā)點(diǎn)，建立信息安全管理體系（ISMS），不斷改進(jìn)信息安全管理的水平，使機(jī)構(gòu)或企業(yè)的信息安全以最小代價(jià)達(dá)到需要的水準(zhǔn)。保護(hù)信息安全，建立信息安全管理體系是機(jī)構(gòu)或企業(yè)營運(yùn)的重要工作之一，尤其是BS 7799-2: 2002是目前最完整的參考依據(jù)，它以“計(jì)劃（Plan）、實(shí)施（Do）、檢查（Check）、行動（Action）”模式，將管理體系規(guī)范導(dǎo)入機(jī)構(gòu)或企業(yè)內(nèi)，以達(dá)到“持續(xù)改進(jìn)”的目的。

（4）PRINCE2

PRINCE2（Projects In Controlled Environments）是一種對項(xiàng)目管理的某些特定方面提供支持的方法。PRINCE2描述了一個項(xiàng)目如何被切分成一些可供管理的階段，以便高效地控制資源的使用和在整個項(xiàng)目周期執(zhí)行常規(guī)的監(jiān)督流程。PRINCE2的視野并不僅僅限于對具體項(xiàng)目的管理，還蓋了在組織范圍對項(xiàng)目的管理。