IT治理的范围

IT治理体系保证总体战略目标能够从上而下贯彻执行。IT治理和其它治理活动一样，集中在最高管理层（董事会）和执行管理层。然而，由于IT治理的复杂性和专业性，治理层必须强烈依赖企业的下层来提供决策和评估活动所需要的信息。为保证有效的IT治理，下层应用要和企业总体目标采用相同的原则，提供评估业绩的衡量方法。因此，好的IT治理实践需要在企业全部范围内推行。

最高管理层（董事会）的主要职责是：证实IT战略与企业战略一致；证实IT通过明确的期望和衡量手段交付； 指导IT战略、平衡支持企业和使企业成长的投资；恰当决策信息资源应着重使用的地方。最高管理层（董事会）通过下述指标衡量业绩：定义和检查衡量手段以及管理，证实目标已经达到，并且衡量业绩，减少不确定性。

管理者的焦点主要是成本-效益比，增加收入，构建竞争力，这些都由信息、知识、信息技术体系推动。由于信息技术作为实现企业目标的一个集成部分，其解决办法越来越复杂（外包，第三方合同，网络化等），因此，善治成为成功的一个关键因素。管理者的职责是：将IT风险管理的责任和控制落实到企业中，制定明确的政策和全面的控制框架；将战略，策略，目标等由上至下落实到企业，并使信息技术的组织与企业目标一致；提供治理结构支持IT战略的实施，制定IT基础设施加快商业信息的创造与共享；通过衡量公司业绩和竞争优势来测度信息技术的效果（KPI，KGI）；使用平衡计分卡，弥补行政管理的不足；关注IT必须支持的商业竞争力，如增加客户价值的业务过程，在市场上差异化的产品和服务，通过多产品和服务来产生增值；关注重要的增值的信息技术过程；关注与规划和管理IT资产、风险、工程项目、客户和供应商相关的核心竞争能力。

IT治理使得最高管理层（董事会）和执行经理的一系列活动成为可能。这些活动主要包括：IT的目标，新技术的机遇和风险，关键过程与核心竞争力。如指导信息技术的职能和对企业的影响，分配责任，定义操作，衡量业绩，管理风险和获得保证的约束等。

以银行业的数据大集中为例，从今年开始，采用集中数据处理模式来体现一级企业法人治理结构已经成为各家银行致力实现的一个目标，目前国内银行的数据集中处理模式改造已陆续取得阶段性成果，可问题随之而来，集中以后做什么？集中以后风险也增加了，怎么办？前一个问题也就是说数据集中了，只是提供了一个进行深度业务创新的前提和可能，关键还在于商业模式和IT管理模式。对于后一个问题，则需要采取更先进的安全治理机制，全面的信息系统审计与控制，包括可靠的灾难恢复和业务持续规划。

公司治理和IT治理

公司治理主要关注利益相关者权益和管理，包括一系列责任和条例，由最高管理层（董事会）和执行管理层实施，目的是提供战略方向，保证目标能够实现，风险适当管理，企业的资源合理使用。

公司治理，驱动和调整IT治理。同时，IT能够提供关键的输入，形成战略计划的一个重要组成部分，这被认为是公司治理的一个重要功能--IT影响企业的战略竞争机遇。

IT治理的一个关键性问题是：公司的IT投资是否与战略目标相一致，从而构筑必要的核心竞争力。因为企业目标变化太快，很难保证IT与商业目标始终保持一致，因此需要多方面的协调，保证IT治理继续沿着正确的方向走，这也是IT投资者真正关心的问题。对IT治理而言，要能体现未来信息技术与未来企业组织的战略集成。既要尽可能地保持开放性和长远性，以确保系统的稳定性和延续性；同时又因为规划赶不上变化，再长远的规划也难以保证能跟上企业环境的变化。IT治理中一个相对有效的做法是，在信息化规划时，认真分析企业的战略与IT支撑之间的影响度，并合理预测环境变化可能给企业战略带来的偏移，在规划时留有适当的余地，从业务战略到信息战略，做务实的牵引，不要追求大而全。

IT治理有助于建立一个灵活的、具有适应性的企业。IT治理能够影响信息和指示：企业能够感知市场正在发生的事，使用知识资产并从中学习，创新新产品、服务、渠道、过程；迅速变化，将革新带入市场，衡量业绩。IT治理应该体现"以组织战略目标为中心"的思想，通过合理配置IT资源创造价值。企业治理侧重于企业整体规划，IT治理侧重于企业中信息资源的有效利用和管理。

企业目标在于远景和商业模式，IT目标在于商业模式的实施。

企业目标与IT目标之间的关系如下图所示：

IT治理主要涉及两个方面：IT要为企业交付价值，IT风险要降低。前者受IT与企业的战略一致性驱动，后者由责任义务落实到企业驱动。这两者都需要衡量，如使用平衡计分卡。这就可以看出IT治理的四个核心领域，都是由利益相关者价值驱动的，其中两个是成果：价值交付和风险降低，另外两个是驱动力：战略一致性和业绩衡量。

概括地说，公司治理和IT治理都是市场（含政府）他律的机制，是如何"管好管理者"的机制，其目标也是一致的：达到业务永续运营，并增加组织的长期获利机会。无论大环境是好是坏，最高管理层（董事会）均应以达成其目标为责任，而且管理阶层需有能力协助其达成目标，因此最高管理层（董事会）必须常常监督管理部门对决策判断与政策实施的绩效。

"斯达模式"这一被誉为国企摆脱困境、改革发展的创新模式，正说明了公司治理和IT治理的重要性和互动关系。"黑纸"利用合资契机，对产权体制进行了改革，并按照现代企业制度要求，建立与市场竞争相适应的公司治理机制，明晰了企业产权，优化了生产要素配置，转变了职工观念，为斯达大力进行信息化改造创造了有力条件。反过来，信息化也促进了公司的现代化管理。

IT治理和IT管理

IT管理是公司的信息及信息系统的运营，确定IT目标以及实现此目标所采取的行动；而IT治理是指最高管理层（董事会）利用它来监督管理层在IT战略上的过程、结构和联系，以确保这种运营处于正确的轨道之上。这是一个硬币的两面，谁也不能脱离谁而存在。可见，IT管理就是在既定的IT治理模式下，管理层为实现公司的目标而采取的行动。

IT治理规定了整个企业IT运作的基本框架，IT管理则是在这个既定的框架下驾驭企业奔向目标。缺乏良好IT治理模式的公司，即使有"很好"的IT管理体系（而这实际上是不可能的），就像一座地基不牢固的大厦；同样，没有公司IT管理体系的畅通，单纯的治理模式也只能是一个美好的蓝图，而缺乏实际的内容。就我国信息化建设目前的现状而言，无论是IT治理，还是IT管理都是我们所迫切需要解决的。

（本文由孙  强 郝亚斌 郝晓玲 孟秀转共同完成）

    （作者孙强，赛迪顾问业务拓展总监，中国信息化推进联盟IT治理专业委员会副主任。美国注册信息系统审计师，国际信息系统审计与控制协会会员，中国信息系统审计与控制专业委员会（筹）发起人。发表多篇关于IT治理、信息系统审计和监理的文章。参与《信息系统工程监理》培训教材编写，主编《IT审计：理论与实务》、《IT服务管理：发展、理解与实施》等。欢迎您与作者孙强探讨您的观点和看法，联系电话：010-88559017电子邮件：sun6869@tom.com ）