信息化重要性已被广泛认同，IT系统也已逐步渗透到每个业务部门中，IT系统开始从传统的后台支持转变为新业务开展的直接驱动力.。但是在另一方面，由于信息和信息技术已经成为企业最重要的资产之一，这就导致IT本身可能成为一个威胁，随IT而来的风险、利益和机会使得IT治理成为企业治理中很关键的一个方面。CIO需要确保IT与未来企业战略一致，而且企业战略也要很好地利用IT的优势。随着企业对信息系统依赖性的增加，IT治理对于企业的成功是至关重要的。

IT治理是一个由关系和过程所组成的机制，用于指导和控制企业，通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。通过这种机制和架构，IT的决策、实施、服务、监督等流程，IT的各类资源、信息与企业战略和目标紧密地关联在一起。同时IT治理把在IT各个方面的最佳实践从企业战略的角度加以有机的融合，从而使企业能够最大化地获得IT在企业中的价值，并能够抓住IT赋予的机遇和竞争优势。一个成功的IT治理模式可以帮助企业达到以下目标：

IT治理必须与企业战略目标一致，IT对于企业非常关键，也是企业战略规划的重要组成部分。因此IT治理要从组织目标和信息化战略中抽取信息需求和功能需求，形成总体的IT治理框架和系统整体模型，为进一步的系统设计和实施奠定基础，保证信息技术跟上持续变化的业务目标。

IT治理强调风险管理，通过制定信息资源的保护级别，强调关键的信息技术资源，有效地进行实施监控和事故处理。此外它还能保护利益相关者的权益，使风险透明化，指导和控制IT投资、机遇、利益、风险。

IT治理可以合理利用与协调企业的信息资源，并进行有效管理，确保IT及时按照目标交付，有合适的功能和期望的收益，另一方面尽量避免信息化工程超期、IT客户的需求没有满足、IT平台不支持业务应用等问题的发生。

企业治理主要关注利益相关者的权益和管理，包括一系列责任和条例，由最高管理层和执行管理层实施，目的是提供战略方向，保证目标能够实现，追求投资的最大产出比，风险适当管理并合理使用资源等.

IT治理主要关注企业的IT投资是否与战略目标相一致，从而构筑必要的核心竞争力。IT治理要能体现未来信息技术与未来企业组织的战略集成。既要尽可能地保持开放性和长远性，以确保系统的稳定性和延续性。由于IT规划往往赶不上变化，再长远的规划也难以保证能跟上企业环境的变化，因此IT治理中有一个相对有效的做法，就是在IT规划时认真分析企业的战略与IT支撑之间的影响度，并合理预测环境变化可能给企业战略带来的偏移，在规划时留有适当的余地，从业务战略到信息战略，做务实的牵引，不要追求大而全。 

IT治理有助于建立一个灵活的、具有适应性的企业。IT治理能够影响信息和指示：企业能够感知市场正在发生的事，使用知识资产并从中学习，创新新产品、服务、渠道、过程；使企业能迅速变化，将革新带入市场，提升业绩。IT治理应该体现“以组织战略目标为中心”的思想，通过合理配置IT资源来创造价值。企业治理侧重于企业整体规划，IT治理侧重于企业中信息资源的有效利用和管理，提升企业信息化的核心价值。 

IT管理关注的是企业信息及信息系统的运营，确定IT目标以及实现此目标所采取的行动；而IT治理是指最高管理层利用它来监督管理层在IT战略上的过程、结构和联系，以确保这种运营处于正确的轨道之上。两者之间的关系好比硬币的两面，谁也不能脱离谁而存在。IT管理就是在既定的IT治理模式下，管理层为实现公司的目标而采取的行动。

IT治理规定了整个企业IT运作的基本框架，IT管理则是在这个既定的框架下驾驭企业奔向目标。缺乏良好IT治理模式的公司，即使有“很好”的IT管理体系（而这实际上是不可能的），就像一座地基不牢固的大厦；同样，没有公司IT管理体系的畅通，单纯的治理模式也只能是一个美好的蓝图，而缺乏实际的内容。

IT治理的成熟度决定了企业的IT能力高低和实现业务价值的多少，IT治理的成熟度越高，IT能力就越高，实现的业务价值就越大。

IT治理的使命是保持IT与业务目标一致，推动业务发展，促使收益最大化，合理利用IT资源，适当管理与IT相关的风险。IT治理的目标是帮助管理层建立以组织战略为导向，以外界环境为依据，以业务与IT整合为中心的观念，正确定位IT部门在整个组织中的作用。这些IT治理的使命和目标的实现需要通过IT治理标准来实现，目前国际上通行的标准主要有四个：COBIT、ITIL、ISO/IEC17799和PRINCE2。

ITIL(InformationTechnology Infrastructure Library，ITIL)主要适用于IT服务管理(Service Manasement)，在该域它是世界范围内的一个事实上的标准。ITIL关注那些为交付高质量服务所必需的关键的商务过程和原则，其核心内容包括服务支持(Service Support)和服务交付(Service Delivery)，它描述了IT部门应该包含的各个工作流程以及各个工作流程之间的相互关系。除了ITIL框架，该领域出现了基于ITIL的英国标准BSI5000，它是世界范围内IT服务管理的第一个标准。2002年，BSl5000被国际标准化组织所接受。成为IT服务管理的国际标准的重要组成部分。该方法把IT服务与实际商务需要的匹配程度作为评价IT质量的标准，这样，组织就可以完善他们的最佳实践，而不必在意特定的技术。

COBIT-信息及相关技术的控制目标

COBIT(Control Objectives for Information and relatedTechnology，COBIT)是IT治理的一个开放性标准，它是被普遍接受的IT内部控制框架，由美国IT治理协会(IT Governance Institute，nu)开发和推广，它已成为IT安全和控制最佳实践所普遍适用和接受的标准。COBIT更关注控制而非执行，它为IT治理提供了具体的控制标准。

COBIT通过域和流程架构提供了最佳实践，并用便于管理的、合理的结构介绍了具体的行动。该架构包括：规划与组织(Planning and OrgEIIlization，po)、获得与实施(Acquisition and Implementation，AI)、交付与支持(Delivery and Support，Ds)和监控(Monitoring，M)这四个域，在这四个域下又分为34个IT处理流程。

成熟度模型(Capability Maturity Model，CMM)是美国卡内基·梅隆大学软件工程研究所(SEI)于1987年开发的，是一个用于完善和精练一个组织的软件开发过程的方法，它基于经典的瀑布模型(Waterfall Model)。CMM提出了5个软件过程的成熟度水平，包括初始级，可重复级，已定义级，已管理级和最优级。CMM通过提供这样的一个框架，给组织指出提高其软件过程能力的路径。

ISO 17799或是英国标准BS 7799是一个信息安全方面的标准，包括信息安全方面的一套控制和最佳实践。它确保一个组织能对所包含的10类管理要项制定一定的合规水平(compliance level)这十类管理要项包括：安全方针(seeuri哆policy)、安全组织(security organization)、资产分类与控制(asset chssiti．cation and control)、人员安全(personnel security)、物理与环境安全(physical and environmental secugty)、通信与操作管理(communications and operations manage- merit)、系统访问控制(access control)、系统开发与维护(systems development and maintenance)、业务持续管理(business eontintfity management)及合规性(compliance)。

PRINCE2（Projects In Controlled Environments）是一种对项目管理的某些特定方面提供支持的方法。PRINCE2描述了一个项目如何被切分成一些可供管理的阶段，以便高效地控制资源的使用和在整个项目周期执行常规的监督流程。PRINCE2的视野并不仅仅限于对具体项目的管理，还盖了在组织范围对项目的管理。

IT治理包括四项基本能力：IT规划能力、IT控制能力、制度规范约束能力、风险控制能力。随着企业业务逐步运行在各种系统环境下，IT治理水平平的高低直接影响到企业效益的实现。可见，要想真正让IT系统发挥价值增值的作用，必须解决IT运营过程中的管理与控制问题，通过有效的管控手段使“黑箱”转变为“白箱”。一方面要将IT系统的技术与管理紧密结合起来，另一方面，要明确IT系统的方向，通过确定明确的控制目标，将使整个运营过程透明化，从而提高IT系统的效率，最终改善企业信息化的绩效。

由于IT项目实施非常复杂与困难，耗费的时间长，而且投入巨大，如果IT项目缺乏有效监控，缺乏有效机制保障信息系统投资的实际投放和效益反馈，陷入信息化应用的泥潭就不可避免。一般来说有以下几种情况会造成IT治理缺失：

 ①高层对IT治理的重要性认识不足。公司高层对IT系统的规划、日常管理、风险控制缺乏配套的细致的考虑。不少高层认为IT只是技术部门或信息中心的事，离自己很远。而信息中心充当的仅仅是维护中心的职能，而没有信息管理与技术管理职能。故IT系统的运营经常缺乏规划，企业各部门成了信息孤岛，使得IT运营往往脱离了企业实际需求的正确轨道。

②人才和实践经验缺乏。IT人才缺乏也是关键原因，信息中心引进的人才是单纯的计算机专业人才，缺乏技术管理人才和信息经济人才，对IT如何与企业特点相结合没有经验，企业想搞好管控工作，但不知道从何做起。

③IT技术与管理的脱节也是信息化管控缺失的症状表现。IT管理部门有很大的权限购买和开发他们认为重要的系统，而不考虑IT投资的效率和效果。因此IT系统的应用并没有改变落后的流程，信息一致性与共享机制难以形成；原有业务处理流程与计算机信息处理流程间的矛盾难以解决；信息化应用根本达不到预期想象的效果。因此，很难使管理软件系统正常运行，或者即使勉强保持系统运行也远未能实现预期目标。 

④只进行核心的业务系统（软/硬件）建设，无暇顾及IT治理能力的提升。部分IT项目建设甚至成了领导者的政绩工程，投资巨大但是却盲目建设，存在严重的技术高消费，采购了先进的技术和设备，但在营运绩效方面却落后很多。在这种情况下，由于缺乏来自业务和管理层强有力的推动，项目范围和目标很快会失去控制。导致系统的安装远远超出预定时间，数据丢失、系统反应时间延迟等问题屡屡发生。 

⑤信息化项目评价缺乏可具体参照的标准也是导致IT治理缺乏的根源之一。

制度是企业管理员工工作的准则，也是员工执行工作的依据。制度规定了员工的职责，固化了工作的流程，明确了员工的责任。换句话说，制度就是企业的法律。IT制度对于信息化建设同样是致关重要的，IT制度的制定应遵循以下原则：

• 制度的制定要职责清晰、流程明确，在事前可以使员工对工作心中有数，事中可以使工作流程顺畅，事后有问题时可以追究责任；

• 应首先考虑在影响面大或涉及部门、员工多的工作中建立工作制度，逐步增加和完善，形成覆盖信息化工作各个方面、各个阶段、各个环节的制度体系；

• 成熟规范的工作流程可以逐步转化成制度加以固化，成熟的制度可以进一步上升为IT管理标准。           

无论是资金的投入还是对信息系统的使用和管理，企业首要关注点应该是使用技术的环境而不是技术本身。这个环境可以理解为：业务、商业风险、组织能力、运作能力和竞争能力等，只有与这些“要素相匹配和融合才能实现IT投资的最终目的；另一方面如果从追求技术先进性的角度考虑企业在IT方面的投入，那这种投入再多也显得不多，关键是在控制投入的同时获得IT价值的最大化，并最大限度将IT对业务运作的影响降到可接受的范围，这是信息化程度高的企业面临的首要问题。而IT治理将是解决这些问题的最有效的途径。可以预计，IT治理将发挥越来越重要的作用。

Tips:输入关键字  IT治理 IT运维 可以获得更多相关内容

CIO之家-践行,见未来

• 微信号:imciow 网站: www.ciozj.com

• 首席信息官必备公众号 | 覆盖全行业企业信息化