1  IT治理定义

　　构建全面的IT治理体系，首先要搞清楚IT治理是什么，它的起源和发展历史，这对我们理解IT治理十分必要。

　　IT治理与IT管理的区别

　　治理和管理分属不同层面，打个比方来说：火车行驶中管理仅仅是执行，是开火车，解决如何让火车跑得更快的问题；而治理则是谁来做决策，在哪修轨道，约束火车必须在轨道上行驶的问题。但同时治理和管理又是一个硬币的两面，缺了谁也不行。简单的说管理解决的是如何把事情做好，治理决定的是要做哪些事，谁来做这些事，以及决策机制如何建立、监控的问题。

　　公司治理与IT治理

　　IT治理的提出，一方面是因为信息已经成为我们企业最为宝贵的资产，IT在组织中已经扮演一个影响到组织全局、影响到治理层面的角色，另外一方面与全球瞩目的焦点难题—— 公司治理亦有着深刻的渊源。那么IT治理和公司治理到底是什么关系呢？

　　公司治理问题一直是企业制度与组织的核心问题。近年来， 因上市公司频频“惊曝黑幕”，“公司治理”成为全球性的问题。公司治理是一种对公司管理和运营进行监督和控制的体系。它的核心是在所有权和经营权分离的条件下，解决好所有者和经营者的利益不一致而产生的委托—代理关系。其目标是降低代理成本，使所有者不干预公司的日常经营，同时又保证经理层维护股东的利益，实现公司价值和利益的最大化。

　　IT治理就是公司治理的一部分。来自国际信息系统审计与控制协会 （ISACA）对IT治理的定义：IT治理是一个由关系和过程所构成的体制，用于指导和控制企业，通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。IT治理必须与企业战略目标一致。IT治理和其它治理主体一样，是管理执行人员和利益相关者的责任。研究IT治理，须将其放在组织背景中，将其看作是必须通过治理而产生价值地六种关键资产（人力、财务、实物、知识产权、IT、关系）之一。

　　在公司治理的大框架下，有许多和IT治理相关的概念。图1清晰地说明了公司治理、IT治理、IT内控、IT审计之间的关系。

　　IT治理和IT管理

　　提到I T治理，很多人难以区别IT治理和IT管理。IT管理是公司的信息及信息系统的运营，确定IT目标以及实现此目标所采取的行动；而IT治理是指最高管理层（董事会）利用它来监督管理层在IT战略上的过程、结构和联系，以确保这种运营处于正确的轨道之上。可见，IT管理就是在既定的IT治理模式下，管理层为实现公司的目标而采取的行动。

　　IT治理规定了整个企业IT运作的基本框架，IT管理则是在这个既定的框架下驾驭企业奔向目标。缺乏良好IT治理模式的公司，即使有“很好”的IT管理体系（而这实际上是不可能的），就像一座地基不牢固的大厦；同样，没有公司IT管理体系的畅通，单纯的治理模式也只能是一个美好的蓝图，而缺乏实际的内容。

　　IT治理的起源、发展历程

　　为了更好理解IT治理的内涵，需要追溯IT治理的起源，搞清楚IT治理的发展历程。我们将IT治理的发展划分为三个阶段，从1980年－1999年我们称为准备阶段，这一阶段诞生了许多相关的IT治理框架模型、但是并没有一个全面清晰的IT治理概念的提出，还停留在对IT管理和控制框架的摸索中；1999年BIS的报告将IT管理和控制提高到了IT治理的层面，这个时候IT治理真正进入了起步阶段；2006年SOX404条款的生效，促使企业将IT治理提高到了一个前所未有的高度。

　　最后用一句话来概括IT治理的发展历程：企业管理的信息化和亟待改善的公司治理状况共同促成了IT治理的诞生、融合和发展。

　　2  为什么要做IT治理

　　为什么要做IT治理，为什么IT治理对于组织的持续成功至关重要？对于IT治理的重要性，经过大量企业的调研归纳总结出7个原因：

　　良好的IT治理得大于失

　　对于我们研究的盈利企业而言，从3年期的行业调整资产回报率来看，那些有着高于IT治理绩效平均水平的企业在实施特定战略（例如：客户至上或卓越运营等）时会得到更丰厚的利润。实际结果因公司采取的具体战略不同而有所不同，但这些治理水平超出平均水平的企业的资产回报率，比那些采取相同战略但治理薄弱的企业要高出20个百分点。

　　IT是昂贵的

　　目前，企业在IT方面的平均投资已经超过了营业额的4.2％，并且还在不断上升。这样的投资力度导致了许多企业的IT投资额占企业年度总投资额的一半还要多。鉴于IT已经变得更加重要和普遍，如何管理和控制IT以确保其为企业创造价值，是高层管理团队面临的日益严峻的挑战。

　　IT无处不在

　　在很多企业，集中管理IT既不可能，也不必要。以前IT支出的要求仅仅来自于IT团队。但是今天，IT方面的支出可能产生于企业的任何一个部分。一些估算显示，IT预算只占IT相关支出的20％，而余下的部分则包含在业务流程预算、产品开发预算，以及其他各种各样的预算之中。良好规划的IT治理安排会将IT决策制订的权力分配给那些对结果承担责任的人员。

　　新信息技术为企业提供新业务机会

　　不断涌现的新技术，包括基于网络的服务、移动技术以及企业系统，使企业同时面临战略威胁和机遇。比如大规模定制化服务的出现和“一对一”营销的兴起，而这源于我们能够以更具成本效益的、实时的方式获取客户信息的技术能力。

　　在组织理解IT价值过程中，IT治理至关重要

　　企业力求理解IT相关活动的价值，因为这种价值难以通过传统的现金流折算分析说清楚。价值的产生不仅源于流程的不断完善，而且也源于企业应对竞争压力能力的增强。有效的治理创造出一系列机制，企业可以使用这些机制更好的探讨本公司潜在的价值是什么，并使组织学习正规化。

　　IT价值不仅仅取决于好的技术

　　近年来有一些令人震惊的大型IT投资的失败案例—— 大型企业资源计划系统（ERP），构思错误和执行乏力的e-business项目，以及能获得大量数据却几乎不能带来任何价值的数据挖掘实验，等等。有人估算，IT项目的失败率在70％以上。虽然有些项目的失败是由于技术方面的问题，但绝大多数失败都是因为组织无力采用新的流程，以有效应用新技术而造成的。

　　由于IT的实施不断地推动业务流程的标准化和一体化，技术专家和业务领导作用的相互交叉也越来越紧密。IT决策必须成为联合的决策。当高层主管人员忽视了决定IT成功的IT实施责任时，巨大的灾难往往会接踵而来。成功的企业不仅有着更好的IT决策，也有着更好的IT决策流程。

　　高层管理层的有限管理幅度

　　一个大型企业的高级主管人员，不能考虑所有有关IT投资的请求，更不用说参与其他很多与IT相关的决策了。如果高级主管人员试图事无巨细地亲自处理，那么他们就会成为瓶颈。但是那些与企业整体发展相关的决策，则必须与高级主管人员所确定的组织发展方向一致。审慎规划的IT治理，能够提供一个清楚透明的IT决策制订流程。这样在增强组织每一个成员创造力的同时，也能保证其行为与高级主管人员规划的组织愿景相一致。

　　3  IT治理的核心思想

　　为了达到IT治理的三大目标，IT治理需要处理哪些问题，IT治理的核心思想是什么？IT治理的核心思想，就是有效的IT治理必须解决的三个问题：

　　1. 为了保证有效地管理和使用IT，应当做出怎样的决策？

　　2. 由谁做出这样的决策？

　　3. 如何做出这些决策以及如何监控这些决策？

　　对于这三个问题我们一一做出探讨。

　　IT治理要做出哪些决策

　　我们给出IT治理的5大决策方向（见下图）：

　　这五个决策是彼此相关的，有效的治理必须关注它们之间的关联性。举例来说，IT原则驱动着整体架构的形成，而整体架构又决定了基础设施。这种基础设施所确定的能力又决定着基于业务需求（通常由业务流程的管理者确定）的应用的构建。最后，IT投资必须为IT原则、整体架构、基础设施和应用需求所驱动。IT治理需要确定每一个决策该由谁来负责输入，以及由谁来负责做出决策。由谁做出这样的决策可以通过治理设计框架来解决：

　　在此我们给出的是IT治理设计框架最基本的架构，可以在任何一个企业进行实施。这个架构勾画出了企业的战略和组织、IT治理安排以及业务实施目标的协调一致性（水平箭头）。战略和组织、IT治理安排以及业务实施目标这三者分别通过IT组织和期望行为、治理机制、以及度量指标得以确定。这个框架也同时阐明了IT治理与其他关键资产治理保持协调一致的重要性。

 

　　如何监控和评估这些决策

　　可以通过关键成功因素、成熟度模型、关键目标指标、关键绩效指标四个方面的有机作用，确保决策及IT治理的成功。

　　· 关键成功因素

　　关键成功因素为管理部门控制信息技术及其处理过程提供了实施指南。它们是信息技术处理过程中的最关键的要素，是战略性的、技术性的过程或活动，勾画出了IT的控制轮廓。

　　关键成功因素是为提高处理过程的成功可能性所做的最重要的事，通常与组织的目标保持一致，是组织和处理过程的可观察可测量的特征，分布于企业的战略层、战术层、应用层及组织的各个方面，可以通过目标分解与识别的方法选择关键成功因素。

　　· 关键目标指标

　　关键目标指标是指通过创建和维护一套处理和控制适当业务绩效的系统，来指导并监督IT传递的商业价值。

　　关键目标指标是处理目标的一种表达，明确要取得什么目标，并描绘处理的结果，进行事后评判，直接体现处理过程的完成成功与否，间接体现处理带给经营活动的价值。

　　·  关键绩效指标

　　关键绩效指标对关键成功因素进行评价，通过监测某IT处理过程的执行情况，告诉管理层该处理是否满足其经营需求。关键绩效指标是IT处理过程的性能指标，表现为IT的实际业绩。通过有效性、保密性、完整性、可用性、一致性、可靠性等指标来测定IT的绩效。下表列出对企业具有普遍性意义的关键绩效指标。

　　·  成熟度模型

　　IT成熟度模型制定了一个基准，组织可能根据上面的指标确定自己的等级，从而了解自身目前的境界。

　　4  什么标准最好

　　存在如此多的IT治理的体系和标准，那么哪种标准最好？我们说没有最好，只有最适合。COBIT在IT控制和量度指标方面最强。ISO17799覆盖IT安全，而ITIL重点在于流程，尤其是IT服务相关的部分。组织不应该仅仅选择一个，而应该对三个标准进行总体浏览，然后计划一个方法，通过该方法混合每种标准中最好和最适合本企业部分。比如，客户或者监管实体可能需要组织采用ISO17799，结果是至少可以将该标准作为初始切入点，但从长远来看，同样的公司最终也可以在远景中包括其他标准。

　　下图为各种标准比对：

　　IT治理体系保证总体战略目标能够从上而下贯彻执行。IT治理和其它治理活动一样，集中在最高管理层（董事会）和执行管理层。然而，由于IT治理的复杂性和专业性，治理层必须强烈依赖企业的下层来提供决策和评估活动所需要的信息。为保证有效的IT治理，下层应用要和企业总体目标采用相同的原则，提供评估业绩的衡量方法。因此，好的IT治理实践需要在企业全部范围内推行。

　　构建全面的IT治理模型首先要解决董事会、执行管理层、业务及服务部门三者的任务和使命，弄清其中的关系。

　　IT治理使得最高管理层（董事会）和执行经理的一系列活动成为可能。这些活动主要包括：IT的目标，新技术的机遇和风险，关键过程与核心竞争力。如指导信息技术的职能和对企业的影响，分配责任，定义操作，衡量业绩，管理风险和获得保证的约束等。

　　IT治理体系理论模型

　　明确了企业各个层面在IT治理体系中的任务和使命的基础上，我们提出了IT治理体系的理论模型。这个理论模型是基于对现行的各种IT治理体系结构和国际标准的基础上建立的。企业IT面临的变化和问题，体现在IT体系的核心三要素技术、人员、流程上，通过建立全面的IT治理体系可以解决企业IT面临的所有问题。

　　全面的IT治理体系分为三层，底层有ISO/IEC27001支撑的IT基础架构、IT安全，负责IT架构管理、统一的监控与性能管理、安全管理、端到端的应用管理。中层由ITIL3.0 ISO/IEC 20000为支撑的IT服务管理，关注IT服务，运营层面，包括服务设计及管理、服务交付保障、实施测试与发布、服务运维管理。

　　建立全面的IT治理体系统一IT技术、IT人员、IT流程，除了可以满足合规要求之外，真正的使企业的IT和业务保持一致，发挥出IT的最大价值，管理好企业的IT体系。