伴隨著信息化建設(shè)的深入開展，信息化戰(zhàn)略定位、信息化績效評估、信息化項目管理、信息化投資風(fēng)險管理、IT服務(wù)管理等成為中國信息化的熱點問題，而IT治理作為一個全新的概念，更成為上述所有熱點問題的交匯點。

　　不是概念是制度

　　了解IT治理，首先要知道什么是公司治理。公司治理 (Corporate　Governance)是屬于企業(yè)制度層面的內(nèi)容，其核心在于企業(yè)通過權(quán)力制衡，監(jiān)督管理者的績效，保證股東和其他利益相關(guān)主體的權(quán)利。那么，從公司治理的含義，能不能望文生義地說“IT治理(IT Governance)是股東對IT經(jīng)營者的一種監(jiān)督與制衡機制”呢？最早提出IT治理概念的國際信息系統(tǒng)審計與控制聯(lián)合會（ISACA）對IT治理做出了如下的定義：“IT治理是公司治理的一個有機組成部分，它包含領(lǐng)導(dǎo)力、組織結(jié)構(gòu)和流程等制度和機制，其確保IT維續(xù)和擴展組織的戰(zhàn)略和目標(biāo)?！?/p>

　　于是，IT治理就包含了以下幾層含義。首先，IT治理是公司治理的一個有機組成部分。信息化建設(shè)中，一個共識已經(jīng)達成，即企業(yè)信息化是企業(yè)經(jīng)營管理的一個有機組成部分，目前，信息部門已經(jīng)是企業(yè)的一個重要部門，CIO是企業(yè)管理層的重要成員，信息化服務(wù)和管理流程也逐步融合到了企業(yè)的業(yè)務(wù)管理流程中。但在進一步推進信息化建設(shè)過程中，我們還必須達成另一個共識，即IT治理是公司治理的一個有機組成部分，它體現(xiàn)了股東、董事會和管理層對信息化建設(shè)的關(guān)注。其次，IT治理是一種制度和機制，包含了管理和制衡IT與業(yè)務(wù)匹配、IT投資價值、IT風(fēng)險和IT績效的領(lǐng)導(dǎo)力、組織結(jié)構(gòu)和流程。再次，IT治理的目標(biāo)是實現(xiàn)股東和其他利益相關(guān)主體對信息化建設(shè)的監(jiān)督與制衡，以保證信息化建設(shè)能夠真正落實和貫徹組織業(yè)務(wù)戰(zhàn)略和目標(biāo)。

　　作為公司治理的一個有機組成部分，股東是IT治理的核心主體，但IT治理的主體不僅局限于股東，而是包括股東、債權(quán)人、雇員、顧客、供應(yīng)商、政府、社區(qū)等在內(nèi)的廣大公司利益相關(guān)者。不同主體對IT治理的關(guān)注點是不同的。股東和管理層比較關(guān)注低成本、高收益、并有助于增加公司的市場份額；客戶關(guān)注的是更為快速、低成本、易于使用地享受更多的服務(wù)；而政府部門則對如何方便服務(wù)、引導(dǎo)和監(jiān)督比較看重。

　　因此，董事會、經(jīng)營者、IT管理者就成為IT治理的客體對象。但是三者的需求以及任務(wù)又是截然不同的。董事會在IT治理中應(yīng)當(dāng)被股東價值所驅(qū)動；采用IT治理的框架，關(guān)注IT與業(yè)務(wù)的匹配、IT價值貢獻、IT風(fēng)險管理；認(rèn)真衡量信息化建設(shè)結(jié)果。經(jīng)營者在IT治理中要保證IT戰(zhàn)略與業(yè)務(wù)發(fā)展目標(biāo)的匹配；把IT戰(zhàn)略和目標(biāo)分解到組織，建立有助于IT戰(zhàn)略實施的組織結(jié)構(gòu)；采用一個控制和治理結(jié)構(gòu)；提供IT基礎(chǔ)結(jié)構(gòu)以創(chuàng)造和共享業(yè)務(wù)信息，在組織中明確風(fēng)險管理的責(zé)任；關(guān)注于重要的IT流程和核心的IT能力，以及IT績效管理。

　　監(jiān)督與制衡

　　目前，對企業(yè)來說，IT已經(jīng)不僅僅是技術(shù)，它更具有戰(zhàn)略意義。IT戰(zhàn)略是企業(yè)戰(zhàn)略的有機組成部分，它對實現(xiàn)業(yè)務(wù)創(chuàng)新和管理提升具有重要意義，因此股東和董事會有必要建立對IT的監(jiān)督和控制機制。隨著企業(yè)信息化建設(shè)的深入，IT對業(yè)務(wù)的作用越來越關(guān)鍵。這種關(guān)鍵性來自于各項業(yè)務(wù)對于信息系統(tǒng)、信息資源和通信網(wǎng)絡(luò)不斷增強的依賴性；IT技術(shù)的潛力急劇改變了企業(yè)和業(yè)務(wù)實踐，創(chuàng)造了新的機會并降低了成本；在一個互聯(lián)的世界中，從事業(yè)務(wù)經(jīng)營的風(fēng)險也在不斷加大；IT項目的失敗不斷影響IT聲譽和企業(yè)的價值；借助IT實現(xiàn)知識管理對保證企業(yè)業(yè)務(wù)的發(fā)展十分關(guān)鍵等方面。這種關(guān)鍵性使得股東和董事會更多關(guān)注IT治理成為必然。但長期以來，人們對信息化的期望值普遍偏高，但是信息化建設(shè)狀況卻與期望差距很大，以致有人把IT描述為“IT黑洞”。這種期望與實際間不匹配情況的出現(xiàn)，在很大程度上是因為對IT項目的投資、風(fēng)險和績效等缺乏一個有效的監(jiān)督和制衡機制，因此，IT治理十分必要。

　　而對于絕大多數(shù)人來說，IT是一門純粹的技術(shù)，業(yè)務(wù)人員以及一些管理人員還僅僅是把它當(dāng)作一種工具和手段，IT一直沒有得到它應(yīng)該得到的重視。這主要是因為信息技術(shù)日新月異，與其他學(xué)科相比，需要具備更好的專業(yè)技術(shù)基礎(chǔ)，才能很好理解IT與業(yè)務(wù)、風(fēng)險和機會的關(guān)系。因此，有必要從治理的高度提升企業(yè)對IT的重視。

　　此外，IT涉及巨大的投資和極大的風(fēng)險。隨著網(wǎng)絡(luò)和Internet技術(shù)的發(fā)展，企業(yè)對IT的投資動輒上億，例如中國工商銀行近幾年的數(shù)據(jù)大集中項目涉及全國幾十家省級分行，投資已經(jīng)達到幾十個億。隨著IT投資增大，IT的風(fēng)險也逐步加大。IT治理能夠有效保護IT投資，規(guī)避IT風(fēng)險。

　　持續(xù)的循環(huán)過程

　　中國企業(yè)信息化建設(shè)已經(jīng)經(jīng)歷了從無到有，從單機到聯(lián)網(wǎng)，從簡單的“應(yīng)用電子化”到復(fù)雜的“管理信息化”的發(fā)展過程，IT管理理念也經(jīng)歷了從IT應(yīng)用、IT服務(wù)、IT管理到IT治理的完善階段。那么，企業(yè)究竟應(yīng)該在信息化建設(shè)的哪一個階段引入IT治理機制呢？賽迪顧問認(rèn)為，對企業(yè)來說，IT治理是一個持續(xù)的循環(huán)過程，有IT流程就應(yīng)該有IT治理。在信息化發(fā)展的初始階段，組織并沒有體會到它的重要意義，往往忽略了IT治理，于是，信息化建設(shè)與業(yè)務(wù)的不匹配、信息孤島、信息投資黑洞的產(chǎn)生等信息化建設(shè)初期IT治理缺失所造成的惡果便頻繁出現(xiàn)，因此從信息化建設(shè)的初始階段就應(yīng)加強IT治理機制的建立。同時，IT治理是股東或市場（含政府）他律的機制，因此治理通常被理解為一種事后的監(jiān)督機制。但是，為了實現(xiàn)與信息化建設(shè)的互動，需要建立從事前、事中到事后的監(jiān)督和控制機制。

　　為了成功地實現(xiàn)IT治理，企業(yè)必須擁有較為完善的公司治理結(jié)構(gòu)和治理環(huán)境，這是IT治理的基礎(chǔ)環(huán)境。以國有商業(yè)銀行為例，由于四大國有商業(yè)銀行還沒有改造為股份公司，沒有建立完善的現(xiàn)代企業(yè)制度，更談不上形成合理的公司治理結(jié)構(gòu)。國有商業(yè)銀行公司治理結(jié)構(gòu)的缺陷也使IT治理的機制不健全，因此對國有商業(yè)銀行IT治理環(huán)境的建立是首要解決的問題。同時，IT治理的基礎(chǔ)條件是企業(yè)已經(jīng)把IT看作企業(yè)經(jīng)營管理的一個有機組成部分，企業(yè)股東和相關(guān)利益者充分理解IT的價值和意義，從企業(yè)員工到企業(yè)最高管理層對IT有基本的認(rèn)同。由于IT治理的復(fù)雜性和專業(yè)性，治理層必須強烈依賴企業(yè)的下層來提供決策和評估活動所需要的信息。為保證有效的IT治理，下層應(yīng)用要和企業(yè)總體目標(biāo)采用相同的原則，提供評估業(yè)績的衡量方法。因此，好的IT治理實踐需要在企業(yè)全部范圍內(nèi)推行。

　　此外，IT治理應(yīng)遵循一定的方法論。即在業(yè)務(wù)目標(biāo)的驅(qū)動下，制定IT戰(zhàn)略，并保證IT戰(zhàn)略與業(yè)務(wù)戰(zhàn)略目標(biāo)的匹配 ；挖掘業(yè)務(wù)需求，完善信息系統(tǒng)建設(shè)，使IT真正為業(yè)務(wù)提升、管理創(chuàng)新貢獻價值；實施IT項目管理與風(fēng)險管理；進行IT績效評估。這是一個循序漸進的往復(fù)循環(huán)的過程，通過這個過程，IT治理將逐步實現(xiàn)股東的利益。

　　在IT治理過程中，需要一個核心的控制框架。COBIT（“信息和相關(guān)技術(shù)的控制目標(biāo)”）是ISACA提出的IT治理的控制框架，它包括以下幾個方面：把被控制的IT流程分為四個領(lǐng)域，即系統(tǒng)規(guī)劃、系統(tǒng)獲取和實施、系統(tǒng)交付和維護、系統(tǒng)監(jiān)控，每個領(lǐng)域中包含多個IT流程，共34個IT流程；對每個流程設(shè)定一個高層次的控制目標(biāo)，從7個信息準(zhǔn)則上去監(jiān)控；針對管理層和IT參與者共300個詳細(xì)的控制目標(biāo)；建立在這些控制目標(biāo)上的大量IT流程的審計指南、實施指南和管理指南。