IT治理是公司治理在信息時代的重要發(fā)展，用于描述企業(yè)或政府是否采用有效的機制，使得IT的應用能夠完成組織賦予它的使命，同時平衡信息技術(shù)與過程的風險、確保實現(xiàn)組織的戰(zhàn)略目標。

IT治理是公司治理的一部分，對于公司治理，1999年出版的《公司治理的基本原則》一書所下的定義為：為確定組織目標和確保目標實現(xiàn)的績效監(jiān)控所提供的治理結(jié)構(gòu)。

IT治理是信息系統(tǒng)審計和控制領(lǐng)域中的一個相當新的理念，IBM最早將此理念引入我國。

關(guān)于IT治理，中外學者給出了很多的定義，美國IT治理協(xié)會給IT治理的定義是：“IT治理是一種引導和控制企業(yè)各種關(guān)系和流程的結(jié)構(gòu)，這種結(jié)構(gòu)安排，旨在通過平衡信息技術(shù)及其流程中的風險和收益，增加價值，以實現(xiàn)企業(yè)目標?！?

國內(nèi)有一種觀點認為，IT治理是描述企業(yè)或政府是否采用有效的機制，使得IT的應用能夠完成組織賦予它的使命，同時平衡信息化過程中的風險，確保實現(xiàn)組織的戰(zhàn)略目標的過程。它的使命是：保持IT與業(yè)務目標一致，推動業(yè)務發(fā)展，促使收益最大化，合理利用IT資源，適當管理與IT相關(guān)的風險。

美國麻省理工學院的學者彼得·維爾和珍妮·羅斯在其所撰寫的《IT治理》一書中指出，IT治理就是為鼓勵I(lǐng)T應用的期望行為，而明確的決策權(quán)歸屬和責任擔當框架。他們認為是行為而不是戰(zhàn)略創(chuàng)造價值，任何戰(zhàn)略的實施都要落實到具體的行為上。

從IT中獲得最大的價值，取決于在IT應用上產(chǎn)生我們期望的行為。期望行為是組織信念和文化的具體體現(xiàn)，它們的確定和頒布不僅基于戰(zhàn)略，而且基于公司的價值綱要、使命綱要、業(yè)務規(guī)則、約定的行為習慣以及結(jié)構(gòu)等。在每一家公司里，期望行為都各不相同。

綜合這些定義，可以得出，IT治理就是要明確有關(guān)IT決策權(quán)的歸屬機制和有關(guān)IT責任的承擔機制，以鼓勵I(lǐng)T應用的期望行為的產(chǎn)生，以聯(lián)接戰(zhàn)略目標、業(yè)務目標和IT目標，從而使企業(yè)從IT中獲得最大的價值。

治理和管理是兩個不同的概念，它們之間的區(qū)別就在于，治理是決定由誰來進行決策，管理則是制定和執(zhí)行這些決策。

簡單地講，IT治理關(guān)注兩個方面的問題，即IT治理的“什么”和“誰”。IT治理的“什么”是指IT治理應該作出哪些決策，IT治理的“誰”則是指這些決策分別應該由誰來作出。

那么，IT治理到底應該作出哪些決策呢?要找到這個問題的答案，必須先搞清楚一個問題，那就是組織到底需要IT發(fā)揮什么樣的作用。不要想當然地以為這是一個可以簡單回答的問題。實際上，不同的組織對于IT的需要是不一樣的。組織到底需要IT做什么，在很大程度上取決于它處于一個什么樣的商業(yè)環(huán)境。

一旦組織明確了自己對于IT的需求，那下一步就要解決IT治理作哪些決策的問題，也就是前文所說的IT治理的“什么”。IT治理的決策范圍一般包括以下五個方面。

組織模式:組織是采取集權(quán)、分權(quán)還是混合的模式?

投資:組織將投資于什么?投多少?

架構(gòu):組織是著重于穩(wěn)定性還是靈活性?這兩者各到什么程度?應用系統(tǒng)是向外購買還是內(nèi)部開發(fā)?是建立一個綜合性的ERP系統(tǒng)還是多種系統(tǒng)?

標準:組織需要將什么技術(shù)標準化，采用什么標準?

資源:IT組織將利用什么類型的資源?這些資源的來源是什么?

對于A類組織，其首選的組織模式應該是集權(quán)式治理，IT對于預算和決策負有責任。加拿大郵政公司就采用這種方法，該公司堅持一種簡單化的組織模式，有一個集權(quán)部門來對公司行為進行優(yōu)先排序，并通過單一的IT資源來完成。

在標準的決策方面，A類組織謀求在全組織范圍內(nèi)加強架構(gòu)、技術(shù)和供應商的標準化，只是在一些被證明是正當?shù)睦獾那闆r下才允許有所背離。一家大型的法國保險公司就是這方面的一個例子。該公司在集團范圍內(nèi)對IT架構(gòu)實行了標準化，因此它可以優(yōu)化其核心的IT流程，整合系統(tǒng)支持其非壽險業(yè)務，移植數(shù)據(jù)，配置新的系統(tǒng)以支持其健康險業(yè)務。

在資源決策方面，A類組織善于利用內(nèi)外部資源的組合，通常會與少量的幾家優(yōu)選的服務提供商達成服務協(xié)議。當某個全球性的化學品公司認為IT并非其核心業(yè)務時其，便將整個IT運作外包出去，包括其ERP系統(tǒng)全球范圍內(nèi)的實施和支持。

公司治理主要關(guān)注利益相關(guān)者權(quán)益和管理，包括一系列責任和條例，由最高管理層（董事會）和執(zhí)行管理層實施，目的是提供戰(zhàn)略方向，保證目標能夠?qū)崿F(xiàn)，風險適當管理，企業(yè)的資源合理使用。

公司治理，驅(qū)動和調(diào)整IT治理。同時，IT能夠提供關(guān)鍵的輸入，形成戰(zhàn)略計劃的一個重要組成部分，這被認為是公司治理的一個重要功能——IT影響企業(yè)的戰(zhàn)略競爭機遇。

IT治理的一個關(guān)鍵性問題是：公司的IT投資是否與戰(zhàn)略目標相一致，從而構(gòu)筑必要的核心競爭力。因為企業(yè)目標變化太快，很難保證IT與商業(yè)目標始終保持一致，因此需要多方面的協(xié)調(diào)，保證IT治理繼續(xù)沿著正確的方向走，這也是IT投資者真正關(guān)心的問題。對IT治理而言，要能體現(xiàn)未來信息技術(shù)與未來企業(yè)組織的戰(zhàn)略集成。既要盡可能地保持開放性和長遠性，以確保系統(tǒng)的穩(wěn)定性和延續(xù)性；同時又因為規(guī)劃趕不上變化，再長遠的規(guī)劃也難以保證能跟上企業(yè)環(huán)境的變化。IT 治理中一個相對有效的做法是，在信息化規(guī)劃時，認真分析企業(yè)的戰(zhàn)略與IT支撐之間的影響度，并合理預測環(huán)境變化可能給企業(yè)戰(zhàn)略帶來的偏移，在規(guī)劃時留有適當?shù)挠嗟?，從業(yè)務戰(zhàn)略到信息戰(zhàn)略，做務實的牽引，不要追求大而全。

IT治理有助于建立一個靈活的、具有適應性的企業(yè)。IT治理能夠影響信息和指示：企業(yè)能夠感知市場正在發(fā)生的事，使用知識資產(chǎn)并從中學習，創(chuàng)新新產(chǎn)品、服務、渠道、過程；迅速變化，將革新帶入市場，衡量業(yè)績。IT治理應該體現(xiàn)“以組織戰(zhàn)略目標為中心”的思想，通過合理配置IT資源創(chuàng)造價值。企業(yè)治理側(cè)重于企業(yè)整體規(guī)劃，IT治理側(cè)重于企業(yè)中信息資源的有效利用和管理。

企業(yè)目標在于遠景和商業(yè)模式，IT目標在于商業(yè)模式的實施。

企業(yè)目標與IT目標之間的關(guān)系如下圖所示：

IT治理主要涉及兩個方面：IT要為企業(yè)交付價值，IT風險要降低。前者受IT與企業(yè)的戰(zhàn)略一致性驅(qū)動，后者由責任義務落實到企業(yè)驅(qū)動。這兩者都需要衡量，如使用平衡計分卡。這就可以看出IT治理的四個核心領(lǐng)域，都是由利益相關(guān)者價值驅(qū)動的，其中兩個是成果：價值交付和風險降低，另外兩個是驅(qū)動力：戰(zhàn)略一致性和業(yè)績衡量。

概括地說，公司治理和IT治理都是市場（含政府）他律的機制，是如何“管好管理者”的機制，其目標也是一致的：達到業(yè)務永續(xù)運營，并增加組織的長期獲利機會。無論大環(huán)境是好是壞，最高管理層（董事會）均應以達成其目標為責任，而且管理階層需有能力協(xié)助其達成目標，因此最高管理層（董事會）必須常常監(jiān)督管理部門對決策判斷與政策實施的績效。

“斯達模式”這一被譽為國企擺脫困境、改革發(fā)展的創(chuàng)新模式，正說明了公司治理和IT治理的重要性和互動關(guān)系。“黑紙”利用合資契機，對產(chǎn)權(quán)體制進行了改革，并按照現(xiàn)代企業(yè)制度要求，建立與市場競爭相適應的公司治理機制，明晰了企業(yè)產(chǎn)權(quán)，優(yōu)化了生產(chǎn)要素配置，轉(zhuǎn)變了職工觀念，為斯達大力進行信息化改造創(chuàng)造了有力條件。反過來，信息化也促進了公司的現(xiàn)代化管理。

一旦IT領(lǐng)導理解了IT治理框架的三個支柱，他們對于IT治理為什么如此重要，以及哪一種方法可以最好地幫助他們達成治理目標，就會有更好的理解。

IT治理是目前很多人都在談論的一個話題。確實，一些技術(shù)供應商和咨詢顧問已經(jīng)將IT治理納入一個最新的熱門的銷售范疇。然而，以他們所銷售的產(chǎn)品和服務的范圍為基礎，已經(jīng)出現(xiàn)了IT治理的種種定義，這在一定程度上給市場帶來了混亂。

那么，對于如今這個最熱門的企業(yè)治理方面的概念，業(yè)務和IT領(lǐng)導從哪里可以獲得一個單一而又全面的定義呢？

基于ITGI、正在形成的產(chǎn)業(yè)標準、客戶最佳實踐及思想領(lǐng)導者的工作，第一流的分析師現(xiàn)在都在強調(diào)IT治理框架的三個支柱的模式。這一框架強調(diào)確保IT在支持業(yè)務目標、優(yōu)化商業(yè)技術(shù)投資及合理管理IT相關(guān)風險和機會中的重要性。

在CIO和IT領(lǐng)導看來，由于可以為組織走出煩惱多時的沒完沒了的支出、擴展、補丁、再支出的循環(huán)提供一個清楚的路徑，這三個支柱的模式和與之相應的IT治理成熟度模型正在迅速地獲得動力。

有了IT治理這一框架，IT投資所帶來的價值可以獲得理解，實現(xiàn)技術(shù)投資和業(yè)務目標需求之間的聯(lián)結(jié)也有了明確的方法。在來自管理層和董事會的壓力越來越大的情況下，IT組織不能僅依靠理論—他們需要能發(fā)揮作用的治理。

對于任何想抓住這種前瞻性的IT方法所帶來的利益的組織而言，這一成形的IT治理框架都是適用的。這個框架包括三個主要的組成部分，具體表現(xiàn)為“計劃/構(gòu)造/管理”三個生命周期，通過一個不斷進行的連結(jié)這三個要素的反饋環(huán)，使得IT變革成為可能。這三個支柱是：

一、企業(yè)架構(gòu)計劃包括：

1、企業(yè)架構(gòu)造型和管理

2、戰(zhàn)略性的IT計劃和路線圖

3、標準管理

二、投資組合合理化,包括:

1、應用系統(tǒng)和基礎設施的合理化

2、項目－投資分析

3、合并和收購運營整合

三、服務融合，包括：

1、服務提供管理

2、業(yè)務關(guān)系管理

3、供應商和外包商管理

4、IT財務管理

5、塞班斯－奧克斯萊法案（Sarbanes-Oxley）和其他法規(guī)遵從的問題

6、業(yè)務連續(xù)性計劃

一旦IT領(lǐng)導理解了這三個支柱，他們對于IT治理為什么如此重要，以及哪一種方法可以最好地幫助他們達成治理目標，就會有更好的理解。例如，在項目投資管理和系統(tǒng)管理領(lǐng)域，一般的供應商只會致力于整個框架的一部分。對IT治理問題需要有一個全面的解決方案，這一需求已經(jīng)越來越表現(xiàn)出來了。

Troux是惟一能提供有效的IT治理系統(tǒng)的企業(yè)，同時，它還能提供全面的可以連結(jié)業(yè)務和自動工作流，及自動化的策略管理系統(tǒng)。為了解決CIO們今天面臨的最具挑戰(zhàn)性的IT治理問題，Troux的解決方案提供了基礎，并且橫跨IT治理框架的三個領(lǐng)域。

企業(yè)架構(gòu)：使得企業(yè)建造師可以完全模仿符合未來需要的架構(gòu)，并且提供創(chuàng)造和管理與架構(gòu)相協(xié)調(diào)的標準和路線圖的能力。

投資合理化:為IT執(zhí)行人員提供確保應用、基礎設施、服務和項目投資與業(yè)務和成本優(yōu)化相協(xié)調(diào)的可視度和工具。

服務管理:使IT組織可以實現(xiàn)對業(yè)務服務的自動化定義和管理，并確保關(guān)鍵業(yè)務、遵從和業(yè)務連續(xù)性目標的一致。

有了以上各種解決辦法，Troux帶來了幫助CIO和IT執(zhí)行人員實現(xiàn)IT治理所需要的深入的專業(yè)知識、最佳實踐和成熟的模式。

正如IT治理已經(jīng)位居CIO日程表的前列，經(jīng)理人員們也已經(jīng)發(fā)現(xiàn)，最佳實踐和方法的標準還沒有準確的定義—到現(xiàn)在這一狀況才有所改變。

Troux的技術(shù)為CIO和IT經(jīng)理有效計劃、構(gòu)建和管理他們的IT運作，提供了所需要的最佳實踐和方法。

“對于CIO來說，IT治理意味著組織結(jié)構(gòu)、決定過程和一種在企業(yè)內(nèi)加強控制的信息基礎?！蔽挥谒固垢５腗eta集團的分析師Val Sribar說。

走向IT治理最重要的一步是“發(fā)展一種可以自信地進行關(guān)鍵資產(chǎn)、財務和遵從的決策的信息基礎?！盨ribar又說，“業(yè)務和技術(shù)架構(gòu)的可見度對于企業(yè)管理和成長是關(guān)鍵性的?！?

幸運的是，IT經(jīng)理為了達成治理目標可以獲得幫助?！跋馮roux這樣的供應商已經(jīng)出現(xiàn)，并填補了治理流程和IT運營之間的空白?！盨ribar說.

目前國際上通行的IT治理標準主要有四個：ITIL 、COBIT、ISO/IEC17799和PRINCE2。

（1）ITIL

ITIL（Information Technology Infrastructure Library）：即信息技術(shù)基礎構(gòu)架庫，一套被廣泛承認的用于有效IT服務管理的實踐準則。1980年以來，英國政府商務辦公室（GOC，原稱政府計算機與通信中心）為解決“IT服務質(zhì)量不佳”的問題，逐步提出和完善了一整套對IT服務的質(zhì)量進行評估的方法體系，叫做ITIL。2001年，英國標準協(xié)會在國際IT服務管理論壇（itSMF）上正式發(fā)布了以ITIL為核心的英國國家標準BS15000。這成為IT服務管理領(lǐng)域具有歷史意義的重大事件。

（2）COBIT

COBIT（Control Objectives for Information and related Technology）：即信息系統(tǒng)和技術(shù)控制目標。成立于1969年的美國信息系統(tǒng)審計與控制協(xié)會ISACA，于1996推出了用于“IT審計”的知識體系COBIT?！癐T審計”已經(jīng)成為眾多國家的政府部門、企業(yè)對IT的計劃與組織、采購與實施、服務提供與服務支持、監(jiān)督與控制等進行全面考核與認可的業(yè)界標準。相應地，“注冊信息系統(tǒng)審計師”（CISA）日益成為世界各國發(fā)展信息化過程中，爭相發(fā)展的新興職業(yè)和領(lǐng)域。作為IT治理的核心模型， COBIT包含34個信息技術(shù)過程控制，并歸集為四個控制域：IT規(guī)劃和組織（Planning and Organization）、系統(tǒng)獲得和實施（Acquisition and Implementation）、交付與支持（Delivery and Support）以及信息系統(tǒng)運行性能監(jiān)控（Monitoring）。 COBIT 目前已成為國際上公認的IT管理與控制標準。

（3）BS 7799

BS 7799(ISO/IEC17799)：即國際信息安全管理標準體系，2000年12月，國際標準化組織ISO正式發(fā)布了有關(guān)信息安全的國際標準ISO17799，這個標準包括信息系統(tǒng)安全管理和安全認證兩大部分，是參照英國國家標準BS7799而來的。它是一個詳細的安全標準，包括安全內(nèi)容的所有準則，由十個獨立的部分組成，每一節(jié)都覆蓋了不同的主題和區(qū)域。

由英國標準協(xié)會（BSI）編寫的信息安全管理體系標準BS 7799-Part 1 (ISO 17799) 及BS 7799-Part 2為各種機構(gòu)、企業(yè)進行信息安全管理提供了一個完整的管理框架。這一套‘姊妹對’標準引導機構(gòu)、企業(yè)建立一個完整的信息安全管理體系，對信息安全進行動態(tài)的、以分析機構(gòu)及企業(yè)面臨的安全風險為起點對企業(yè)的信息安全風險進行動態(tài)的、全面的、有效的、不斷改進的管理，并強調(diào)信息安全管理的目的是保持機構(gòu)及企業(yè)業(yè)務的連續(xù)性不受信息安全事件的破壞，要從機構(gòu)或企業(yè)現(xiàn)有的資源和管理基礎為出發(fā)點，建立信息安全管理體系（ISMS），不斷改進信息安全管理的水平，使機構(gòu)或企業(yè)的信息安全以最小代價達到需要的水準。保護信息安全，建立信息安全管理體系是機構(gòu)或企業(yè)營運的重要工作之一，尤其是BS 7799-2: 2002是目前最完整的參考依據(jù)，它以“計劃（Plan）、實施（Do）、檢查（Check）、行動（Action）”模式，將管理體系規(guī)范導入機構(gòu)或企業(yè)內(nèi)，以達到“持續(xù)改進”的目的。

（4）PRINCE2

PRINCE2（Projects In Controlled Environments）是一種對項目管理的某些特定方面提供支持的方法。PRINCE2描述了一個項目如何被切分成一些可供管理的階段，以便高效地控制資源的使用和在整個項目周期執(zhí)行常規(guī)的監(jiān)督流程。PRINCE2的視野并不僅僅限于對具體項目的管理，還蓋了在組織范圍對項目的管理。