IT治理的定义

IT治理是信息系统审计和控制领域中一个相当新的概念，IBM首次将此理念引入我们的视线，在其今年度论坛中推出了给中国银行业的"汇聚了全球金融行业的智慧与经验"的白皮书，该白皮书在其"推动业务管理与IT的全面集成整合"部分给银行业务与管理的建议是：大力推动银行流程化与流程标准化的管理，建立全行级的跨部门的IT治理决策机构来决定IT项目实施的顺序，加强全行的管理与流程执行的纪律，与IT行业的供应商结成战略联盟,将战略伙伴的价值并入到价值链。作为全球IT行业领跑者的IBM，其一举一动往往预示着整个行业的发展方向。

我们在对IT治理广泛研究和分析的基础上，关于其定义汇集了以下三种主要观点：

Robert s. Roussey （美国南加州大学教授）认为：IT治理用于描述被委托治理实体的人员在监督、检查、控制和指导实体的过程中如何看待信息技术。IT的应用对于组织能否达到它的远景、使命、战略目标至关重要。

德勤定义如下: IT治理是一个含义广泛的术语，包括信息系统、技术、通讯、商业、所有利益相关者、合法性和其他问题。其主要任务是：保持IT与业务目标一致，推动业务发展，促使收益最大化，合理利用IT资源，IT相关风险的适当管理。

国际信息系统审计与控制协会 (ISACA)定义如下：IT治理是一个由关系和过程所构成的体制，用于指导和控制企业，通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。

通过上述定义可以总结出以下共同点：

• IT治理必须与企业战略目标一致，IT对于企业非常关键，也是战略规划的组成，影响战略竞争。
• IT治理和其它治理主体一样，是管理执行人员和利益相关者的责任（以董事会为代表）。
• IT治理保护利益相关者的权益，使风险透明化，指导和控制IT投资、机遇、利益、风险。
• 信息技术治理包括管理层、组织结构、过程，以确保IT维持和拓展组织战略目标。
• 应该合理利用企业的信息资源，有效地集成与协调。
• 确保IT及时按照目标交付，有合适的功能和期望的收益，是一个一致性和价值传递的基本构建模块，有明确的期望值和衡量手段。
• 引导IT战略平衡系统的投资，支持企业， 变革企业，或者创建一个信息基础架构，保证业务增长，并在一个新的领域竞争。
• 对于核心IT资源做出合理的决策，进入新的市场，驱动竞争策略，创造总的收入增长，改善客户满意度，维系客户关系。

IT治理的目标

IT治理--与业务目标一致

IT治理要从组织目标和信息化战略中抽取信息需求和功能需求，形成总体的IT治理框架和系统整体模型，为进一步系统设计和实施奠定基础，保证信息技术跟上持续变化的业务目标。

IT治理--有效利用信息资源

目前信息化工程超期、 IT客户的需求没有满足、IT平台不支持业务应用等问题较为突出，通过IT治理可以对信息资源的管理职责进行有效管理，保证投资的回收，并支持决策。

IT治理--风险管理

由于企业越来越依赖于信息技术和网络，新的风险不断涌现，例如，新出现的技术没有管理，不符合现有法律和规章制度、没有识别对IT服务的威胁等。IT治理强调风险管理，通过制定信息资源的保护级别，强调关键的信息技术资源，有效实施监控，事故处理。IT治理使企业适应外部环境变化，为企业内部实现对业务流程中资源的有效利用，从而达到改善管理效率和水平的重要手段。

IT治理的目标将帮助管理层建立以组织战略为导向, 以外界环境为依据, 以业务与IT整合为中心的观念，正确定位IT部门在整个组织中的作用。最终能够针对不同业务发展要求，整合信息资源，制定并执行推动组织发展的IT战略。

IT治理解决哪些问题

在探讨IT治理可以解决哪些问题之前，我们先就身边发生的事件看一下IT治理失灵的例子：

今年7月23日，央视晚新闻播报：7月23日，首都机场因电脑系统故障，6000多人滞留机场，150多驾飞机延误，事故原因正在调查中 ；5月29日上午８时３０分左右，南京火车站电脑售票系统突然发生死机故障，整个车站售票处于瘫痪状态，车站售票大厅内人满为患，众多旅客不得不改乘其它交通工具离开南京。车站领导和计算机技术人员告诉记者是由于电脑升级换代，调试时线路发生故障，才引发了此次系统瘫痪的。9月5日广东省工行因系统故障，全线停业一个半小时，有媒体特别指出，这是工行实施全国统一平台运作后的首次故障。还有某银行在信息系统技术升级时，IT人员只注重保证系统在技术上的平滑过渡，而忽视了升级给客户带来的不便，导致客户流失，这也表明当IT发生改变时会对业务目标产生冲击，以上都是通过IT治理机制可以合理避免的事件。

因此，我们认为IT治理对商业目标而言起着战略意义，IT治理状况直接影响到企业实现目标的可能性，良好的IT治理有助于增强企业的灵活性和学习能力，巧妙管理风险，辨别发展机遇。对于最高管理层（董事会）而言，IT治理可以解决以下几个方面问题：

发现信息技术本身的问题，例如IT项目未能实现期望价值的概率；终端用户是否满意IT服务的质量；是否有足够的IT资源、基础设施、竞争力来满足战略目标；信息技术平均操作失误的原因；IT没有推动业务改善而是阻碍业务的次数。

帮助管理者处理IT问题，例如，IT和组织战略目标的一致性程度怎么样；怎样衡量IT的交付价值；执行管理人员采取什么样的战略动机来管理IT；与企业的运营与成长管理相关的问题；企业是否清楚其商业目标与技术的关系：领先、跟随者还是滞后者；企业对风险（风险规避和风险承担）是否清楚；有没有最新的企业相关IT风险的清单，采取哪些行动处理这些风险。

自我评估IT管理的效果，例如，是否经常向最高管理层（董事会）定期汇报IT风险；IT是否是最高管理层（董事会）议程中的一个常用的术语，它是否以结构化形式表达；最高管理层（董事会）是否就商业目标与信息技术一致性进行阐明和沟通；最高管理层（董事会）对主要IT投资是否有清楚的观点，包括风险和回报；最高管理层（董事会）是否定期得到主要IT过程的报告；最高管理层（董事会）在获取IT目标和限制IT风险时是否得到独立的保证。

国内IT治理水平的好与差造成了IT应用层次的差异。一些单位有与其国际竞争对手一样的系统、软件，甚至技术和设备强于对方，所以单从技术的成熟性和先进性而言，中国整体应用水平不低。但是为什么就没有对方做的好呢？从IT治理的角度审视，其实技术的竞争早已超越了有与无的层面，进而甚至超越了抢夺技术最早占有权的层面，体现在业务和技术管理能力上的对抗。事实上我国信息化目前所处的阶段缺乏的并不是先进的技术与设备，而是IT管理理念和方法论。IBM大中国区金融事业部总经理张烈生说："所有把落败归咎于技术的人，都是在逃避一个事实：认识上的落后和管理上的无能"。当然，我们的周围也不乏在较落后的技术和设备上，把已有的技术应用得非常成功的范例。

（本文由孙  强 郝亚斌 郝晓玲 孟秀转共同完成）

    （作者孙强，赛迪顾问业务拓展总监，中国信息化推进联盟IT治理专业委员会副主任。美国注册信息系统审计师，国际信息系统审计与控制协会会员，中国信息系统审计与控制专业委员会（筹）发起人。发表多篇关于IT治理、信息系统审计和监理的文章。参与《信息系统工程监理》培训教材编写，主编《IT审计：理论与实务》、《IT服务管理：发展、理解与实施》等。欢迎您与作者孙强探讨您的观点和看法，联系电话：010-88559017电子邮件：sun6869@tom.com ）