IT治理是國(guó)內(nèi)外管理、信息技術(shù)、經(jīng)濟(jì)、審計(jì)、法律等學(xué)術(shù)界和產(chǎn)業(yè)界共同關(guān)注、研究的一個(gè)全球性課題。SOX法案404條款的推出，從合規(guī)性實(shí)踐出發(fā)給予上市公司硬性的規(guī)定，這使得IT治理在企業(yè)中的重視程度達(dá)到一個(gè)前所未有的高度，那么僅僅為了應(yīng)付SOX法案建立相應(yīng)的內(nèi)控要求對(duì)于企業(yè)來(lái)說(shuō)就夠了嗎?IT治理到底可以給企業(yè)帶來(lái)什么?怎樣構(gòu)建一個(gè)全而的IT治理體系，真正發(fā)揮出IT的價(jià)值?本文試圖做出一些探討。

IT治理定義

構(gòu)建全面的IT治理體系，首先要搞清楚IT治理是什么，它的起源和發(fā)展歷史，這對(duì)我們理解IT治理十分必要。

治理與管理的區(qū)別

治理和管理分屬不同層面，打個(gè)比方來(lái)說(shuō)：火車行駛中管理僅僅是執(zhí)行，是開(kāi)火車，解決如何讓火車跑得更快的問(wèn)題；而治理則是誰(shuí)來(lái)做決策，在哪修軌道，約束火車必須在軌道上行駛的問(wèn)題。但同時(shí)治理和管理又是一個(gè)硬幣的兩面，缺了誰(shuí)也不行。簡(jiǎn)單的說(shuō)管理解決的是如何把事情做好，治理決定的是要做哪些事，誰(shuí)來(lái)做這些事，以及決策機(jī)制如何建立、監(jiān)控的問(wèn)題。

公司治理與IT治理

IT治理的提出，一方面是因?yàn)樾畔⒁呀?jīng)成為我們企業(yè)最為寶貴的資產(chǎn)，IT在組織中已經(jīng)扮演一個(gè)影響到組織全局、影響到治理層面的角色，另外一方面與全球矚目的焦點(diǎn)難題——公司治理亦有著深刻的淵源。那么IT治理和公司治理到底是什么關(guān)系呢?

眾所周知，公司治理問(wèn)題一直是企業(yè)制度與組織的核心問(wèn)題。近年來(lái)，因上市公司頻頻“驚曝黑幕”，“公司治理”成為全球性的問(wèn)題。從美國(guó)的安然、世通、施樂(lè)等粉飾業(yè)績(jī)甚至導(dǎo)致企業(yè)崩潰的案件，到日本雪印食品公司舞弊案件，都使得公司治理正在成為企業(yè)議事日程中最重要和最迫切的任務(wù)。公司治理是一種對(duì)公司管理和運(yùn)營(yíng)進(jìn)行監(jiān)督和控制的體系。它的核心是在所有權(quán)和經(jīng)營(yíng)權(quán)分離的條件下，解決好所有者和經(jīng)營(yíng)者的利益不一致而產(chǎn)生的委托一代理關(guān)系。其目標(biāo)是降低代理成本，使所有者不干預(yù)公司的日常經(jīng)營(yíng)，同時(shí)又保證經(jīng)理層維護(hù)股東的利益，實(shí)現(xiàn)公司價(jià)值和利益的最大化。

IT治理就是公司治理的一部分。來(lái)自國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)(ISACA)對(duì)IT治理的定義：IT治理是一個(gè)由關(guān)系和過(guò)程所構(gòu)成的體制，用于指導(dǎo)和控制企業(yè)，通過(guò)平衡信息技術(shù)與過(guò)程的風(fēng)險(xiǎn)、增加價(jià)值來(lái)確保實(shí)現(xiàn)企業(yè)的目標(biāo)。IT治理必須與企業(yè)戰(zhàn)略目標(biāo)一致。IT治理和其它治理主體一樣，是管理執(zhí)行人員和利益相關(guān)者的責(zé)任。研究IT治理，須將其放在組織背景中，將其看作是必須通過(guò)治理而產(chǎn)生價(jià)值地六種關(guān)鍵資產(chǎn)(人力、財(cái)務(wù)、實(shí)物、知識(shí)產(chǎn)權(quán)、IT、關(guān)系)之_。

在公司治理的大框架下，有許多和IT治理相關(guān)的概念。圖1清晰地說(shuō)明了公司治理、IT治理、IT內(nèi)控、IT審計(jì)之間的關(guān)系。

IT治理和IT管理

提到IT治理，很多人難以區(qū)別IT治理和IT管理。IT管理是公司的信息及信息系統(tǒng)的運(yùn)營(yíng)，確定IT目標(biāo)以及實(shí)現(xiàn)此目標(biāo)所采取的行動(dòng)；而IT治理是指最高管理層(董事會(huì))利用它來(lái)監(jiān)督管理層在IT戰(zhàn)略上的過(guò)程、結(jié)構(gòu)和聯(lián)系，以確保這種運(yùn)營(yíng)處于正確的軌道之上?？梢?jiàn)，IT管理就是在既定的IT治理模式下，管理層為實(shí)現(xiàn)公司的目標(biāo)而采取的行動(dòng)。

IT治理規(guī)定了整個(gè)企業(yè)IT運(yùn)作的基本框架，IT管理則是在這個(gè)既定的框架下駕馭企業(yè)奔向目標(biāo)。缺乏良好IT治理模式的公司，即使有“很好”的IT管理體系(而這實(shí)際上是不可能的)，就像一座地基不牢固的大廈；同樣，沒(méi)有公司IT管理體系的暢通，單純的治理模式也只能是一個(gè)美好的藍(lán)圖，而缺乏實(shí)際的內(nèi)容。

IT治理的起源、發(fā)展歷程

為了更好理解IT治理的內(nèi)涵，需要追溯IT治理的起源，搞清楚IT治理的發(fā)展歷程。

我們將IT治理的發(fā)展劃分為三個(gè)階段，從1980年～1999年我們稱為準(zhǔn)備階段，這一階段誕生了許多相關(guān)的IT治理框架模型、但是并沒(méi)有一個(gè)全面清晰的IT治理概念的提出，還停留在對(duì)IT管理和控制框架的摸索中；1999年BIS的報(bào)告將IT管理和控制提高到了IT治理的層面，這個(gè)時(shí)候IT治理真正進(jìn)入了起步階段；2006年SOX404條款的生效，促使企業(yè)將IT治理提高到了一個(gè)前所未有的高度。

最后用一句話來(lái)概括IT治理的發(fā)展歷程：企業(yè)管理的信息化和亟待改善的公司治理狀況共同促成了IT治理的誕生、融合和發(fā)展。

為什么要做IT治理?

為什么要做IT治理，為什么IT治理對(duì)于組織的持續(xù)成功至關(guān)重要?對(duì)于IT治理的重要性，經(jīng)過(guò)大量企業(yè)的調(diào)研歸納總結(jié)出7個(gè)原因：

1.良好的IT治理得大于失

對(duì)于我們研究的盈利企業(yè)而言，從3年期的行業(yè)調(diào)整資產(chǎn)回報(bào)率來(lái)看，那些有著高于IT治理績(jī)效平均水平的企業(yè)在實(shí)施特定戰(zhàn)略(例如：客戶至上或卓越運(yùn)營(yíng)等)時(shí)會(huì)得到更豐厚的利潤(rùn)。實(shí)際結(jié)果因公司采取的具體戰(zhàn)略不同而有所不同，但這些治理水平超出平均水平的企業(yè)的資產(chǎn)回報(bào)率，比那些采取相同戰(zhàn)略但治理薄弱的企業(yè)要高出20個(gè)百分點(diǎn)。

2.IT是昂貴的

目前，企業(yè)在IT方面的平均投資已經(jīng)超過(guò)了營(yíng)業(yè)額的4.2％，并且還在不斷上升。這樣的投資力度導(dǎo)致了許多企業(yè)的IT投資額占企業(yè)年度總投資額的一半還要多。鑒于IT已經(jīng)變得更加重要和普遍，如何管理和控制IT以確保其為企業(yè)創(chuàng)造價(jià)值，是高層管理團(tuán)隊(duì)面臨的日益嚴(yán)峻的挑戰(zhàn)。

3.IT無(wú)處不在

在很多企業(yè)，集中管理IT既不可能，也不必要。以前IT支出的要求僅僅來(lái)自于IT團(tuán)隊(duì)。但是今天，IT方面的支出可能產(chǎn)生于企業(yè)的任何一個(gè)部分。一些估算顯示，IT預(yù)算只占IT相關(guān)支出的20％，而余下的部分則包含在業(yè)務(wù)流程預(yù)算、產(chǎn)品開(kāi)發(fā)預(yù)算，以及其他各種各樣的預(yù)算之中。良好規(guī)劃的IT治理安排會(huì)將IT決策制訂的權(quán)力分配給那些對(duì)結(jié)果承擔(dān)責(zé)任的人員。

4.新的信息技術(shù)將為企業(yè)提供大量新的業(yè)務(wù)機(jī)會(huì)

不斷涌現(xiàn)的新技術(shù)，包括基于網(wǎng)絡(luò)的服務(wù)、移動(dòng)技術(shù)以及企業(yè)系統(tǒng)，使企業(yè)同時(shí)面臨戰(zhàn)略威脅和機(jī)遇。比如大規(guī)模定制化服務(wù)的出現(xiàn)和“一對(duì)一”營(yíng)銷的興起，而這源于我們能夠以更具成本效益的、實(shí)時(shí)的方式獲取客戶信息的技術(shù)能力。

5.在組織理解IT價(jià)值過(guò)程中，IT治理至關(guān)重要

企業(yè)力求理解IT相關(guān)活動(dòng)的價(jià)值，因?yàn)檫@種價(jià)值難以通過(guò)傳統(tǒng)的現(xiàn)金流折算分析說(shuō)清楚。價(jià)值的產(chǎn)生不僅源于流程的不斷完善，而且也源于企業(yè)應(yīng)對(duì)競(jìng)爭(zhēng)壓力能力的增強(qiáng)。有效的治理創(chuàng)造出一系列機(jī)制，企業(yè)可以使用這些機(jī)制更好的探討本公司潛在的價(jià)值是什么，并使組織學(xué)習(xí)正規(guī)化。

6.IT價(jià)值不僅僅取決于好的技術(shù)

近年來(lái)有一些令人震驚的大型IT投資的失敗案例一大型企業(yè)資源計(jì)劃系統(tǒng)(ERP)，構(gòu)思錯(cuò)誤和執(zhí)行乏力的e-business項(xiàng)目，以及能獲得大量數(shù)據(jù)卻幾乎不能帶來(lái)任何價(jià)值的數(shù)據(jù)挖掘?qū)嶒?yàn)，等等。有人估算，IT項(xiàng)目的失敗率在70％以上。雖然有些項(xiàng)目的失敗是由于技術(shù)方面的問(wèn)題，但絕大多數(shù)失敗都是因?yàn)榻M織無(wú)力采用新的流程，以有效應(yīng)用新技術(shù)而造成的。

由于IT的實(shí)施不斷地推動(dòng)業(yè)務(wù)流程的標(biāo)準(zhǔn)化和一體化，技術(shù)專家和業(yè)務(wù)領(lǐng)導(dǎo)作用的相互交叉也越來(lái)越緊密。IT決策必須成為聯(lián)合的決策。當(dāng)高層主管人員忽視了決定IT成功的IT實(shí)施責(zé)任時(shí)，巨大的災(zāi)難往往會(huì)接踵而來(lái)。成功的企業(yè)不僅有著更好的IT決策，也有著更好的IT決策流程。

7.高層管理層的有限管理幅度

一個(gè)大型企業(yè)的高級(jí)主管人員，不能考慮所有有關(guān)IT投資的請(qǐng)求，更不用說(shuō)參與其他很多與IT相關(guān)的決策了。如果高級(jí)主管人員試圖事無(wú)巨細(xì)地親自處理，那么他們就會(huì)成為瓶頸。但是那些與企業(yè)整體發(fā)展相關(guān)的決策，則必須與高級(jí)主管人員所確定的組織發(fā)展方向一致。審慎規(guī)劃的IT治理，能夠提供一個(gè)清楚透明的IT決策制訂流程。這樣在增強(qiáng)組織每一個(gè)成員創(chuàng)造力的同時(shí)，也能保證其行為與高級(jí)主管人員規(guī)劃的組織愿景相一致。

IT治理可以解決哪些問(wèn)題

IT治理如此重要，那么它到底可以解決哪些問(wèn)題呢?在探討IT治理可以解決哪些問(wèn)題之前，我們先就身邊發(fā)生的事件看一下IT治理失靈的例子：

南京火車站電腦售票系統(tǒng)突然發(fā)生死機(jī)故障，整個(gè)車站售票處于癱瘓狀態(tài)，車站售票大廳內(nèi)人滿為患，眾多旅客不得不改乘其它交通工具離開(kāi)南京。車站領(lǐng)導(dǎo)和計(jì)算機(jī)技術(shù)人員告訴記者是由于電腦升級(jí)換代，調(diào)試時(shí)線路發(fā)生故障，才引發(fā)了此次系統(tǒng)癱瘓的。某銀行在信息系統(tǒng)技術(shù)升級(jí)時(shí)，IT人員只注重保證系統(tǒng)在技術(shù)上的平滑過(guò)渡，而忽視了升級(jí)給客戶帶來(lái)的不便，導(dǎo)致客戶流失，這些都表明當(dāng)IT發(fā)生改變時(shí)會(huì)對(duì)業(yè)務(wù)目標(biāo)產(chǎn)生沖擊，而以上發(fā)生的問(wèn)題都是通過(guò)IT治理機(jī)制可以合理避免的。

我們認(rèn)為IT治理對(duì)商業(yè)目標(biāo)而言有著戰(zhàn)略意義，IT治理狀況直接影響到企業(yè)實(shí)現(xiàn)目標(biāo)的可能性，良好的IT治理有助于增強(qiáng)企業(yè)的靈活性和學(xué)習(xí)能力，巧妙管理風(fēng)險(xiǎn)，辨別發(fā)展機(jī)遇。對(duì)于最高管理層(董事會(huì))而言，IT治理可以解決以下幾個(gè)方面問(wèn)題：

1.發(fā)現(xiàn)信息技術(shù)本身的問(wèn)題。

例如IT項(xiàng)目未能實(shí)現(xiàn)期望價(jià)值的概率；終端用戶是否滿意IT服務(wù)的質(zhì)量；是否有足夠的IT資源、基礎(chǔ)設(shè)施、競(jìng)爭(zhēng)力來(lái)滿足戰(zhàn)略目標(biāo)；信息技術(shù)平均操作失誤的原因；IT沒(méi)有推動(dòng)業(yè)務(wù)改善卻阻礙業(yè)務(wù)的次數(shù)。

2.幫助管理者處理IT問(wèn)題。

例如，IT和組織戰(zhàn)略目標(biāo)的一致性程度怎么樣；怎樣衡量IT的交付價(jià)值；執(zhí)行管理人員采取什么樣的戰(zhàn)略動(dòng)機(jī)來(lái)管理IT；與企業(yè)的運(yùn)營(yíng)與成長(zhǎng)管理相關(guān)的問(wèn)題；企業(yè)是否清楚其商業(yè)目標(biāo)與技術(shù)的關(guān)系：領(lǐng)先、跟隨者還是滯后者；企業(yè)對(duì)風(fēng)險(xiǎn)(風(fēng)險(xiǎn)規(guī)避和風(fēng)險(xiǎn)承擔(dān))是否清楚；有沒(méi)有最新的企業(yè)關(guān)于IT風(fēng)險(xiǎn)的清單，采取哪些行動(dòng)處理這些風(fēng)險(xiǎn)。

3.自我評(píng)估IT管理的效果。

例如，是否經(jīng)常向最高管理層(董事會(huì))定期匯報(bào)IT風(fēng)險(xiǎn)；IT是否是最高管理層(董事會(huì))議程中的一個(gè)常用的術(shù)語(yǔ)，它是否以結(jié)構(gòu)化形式表達(dá)；最高管理層(董事會(huì))是否就商業(yè)目標(biāo)與信息技術(shù)一致性進(jìn)行闡明和溝通；最高管理層(董事會(huì))對(duì)主要IT投資是否有清楚的觀點(diǎn)，包括風(fēng)險(xiǎn)和回報(bào)；最高管理層(董事會(huì))是否定期得到主要IT過(guò)程的報(bào)告；最高管理層(董事會(huì))在獲取IT目標(biāo)和限制IT風(fēng)險(xiǎn)時(shí)是否得到獨(dú)立的保證。

IT治理的目標(biāo)與領(lǐng)域

IT治理的最終目標(biāo)是什么?關(guān)注企業(yè)的哪些領(lǐng)域?

IT治理的三大目標(biāo)：

1.與業(yè)務(wù)EI標(biāo)一致

IT治理要從組織目標(biāo)和信息化戰(zhàn)略中抽取信息需求和功能需求，形成總體的IT治理框架和系統(tǒng)整體模型，為進(jìn)一步系統(tǒng)設(shè)計(jì)和實(shí)施奠定基礎(chǔ)，保證信息技術(shù)跟上持續(xù)變化的業(yè)務(wù)目標(biāo)。

2.有效利用信息資源

目前信息工程超期、IT客戶的需求沒(méi)有滿足、IT平臺(tái)不支持業(yè)務(wù)應(yīng)用等問(wèn)題較為突出，通過(guò)IT治理可以對(duì)信息資源的管理職責(zé)進(jìn)行有效管理，保證投資的回收，并支持決策。

3.風(fēng)險(xiǎn)管理

由于企業(yè)越來(lái)越依賴于信息技術(shù)和網(wǎng)絡(luò)，新的風(fēng)險(xiǎn)不斷涌現(xiàn)，例如，新出現(xiàn)的技術(shù)沒(méi)有管理，不符合現(xiàn)有法律和規(guī)章制度、沒(méi)有識(shí)別對(duì)IT服務(wù)的威脅等。IT治理強(qiáng)調(diào)風(fēng)險(xiǎn)管理，通過(guò)制定信息資源的保護(hù)級(jí)別，強(qiáng)調(diào)關(guān)鍵的信息技術(shù)資源，有效實(shí)施監(jiān)控，事故處理。IT治理適應(yīng)企業(yè)外部環(huán)境變化，為企業(yè)內(nèi)部實(shí)現(xiàn)對(duì)業(yè)務(wù)流程中資源的有效利用，從而達(dá)到改善管理效率和水平的重要手段。

IT治理的目標(biāo)將幫助管理層建立以組織戰(zhàn)略為導(dǎo)向，以外界環(huán)境為依據(jù)，以業(yè)務(wù)與IT整合為重心的觀念，正確定位IT部門在整個(gè)組織的作用。最終能夠針對(duì)不同業(yè)務(wù)發(fā)展要求，整合信息資源，制定并執(zhí)行推動(dòng)組織發(fā)展的IT戰(zhàn)略。

根據(jù)IT治理的目標(biāo)，IT治理應(yīng)該關(guān)注的領(lǐng)域：

IT治理的核心思想

為了達(dá)到IT治理的三大目標(biāo)，IT治理需要處理哪些問(wèn)題，IT治理的核心思想是什么?IT治理的核心思想，就是有效的IT治理必須解決的三個(gè)問(wèn)題：

1.為了保證有效地管理和使用IT，應(yīng)當(dāng)做出怎樣的決策?

2.由誰(shuí)做出這樣的決策?

3.如何做出這些決策以及如何監(jiān)控這些決策?