伴隨著信息化建設的深入開展，信息化戰(zhàn)略定位、信息化績效評估、信息化項目管理、信息化投資風險管理、IT服務管理等成為中國信息化的熱點問題，而IT治理作為一個全新的概念，更成為上述所有熱點問題的交匯點。

　　不是概念是制度

　　了解IT治理，首先要知道什么是公司治理。公司治理 (Corporate　Governance)是屬于企業(yè)制度層面的內容，其核心在于企業(yè)通過權力制衡，監(jiān)督管理者的績效，保證股東和其他利益相關主體的權利。那么，從公司治理的含義，能不能望文生義地說“IT治理(IT Governance)是股東對IT經營者的一種監(jiān)督與制衡機制”呢？最早提出IT治理概念的國際信息系統(tǒng)審計與控制聯(lián)合會（ISACA）對IT治理做出了如下的定義：“IT治理是公司治理的一個有機組成部分，它包含領導力、組織結構和流程等制度和機制，其確保IT維續(xù)和擴展組織的戰(zhàn)略和目標?！?/p>

　　于是，IT治理就包含了以下幾層含義。首先，IT治理是公司治理的一個有機組成部分。信息化建設中，一個共識已經達成，即企業(yè)信息化是企業(yè)經營管理的一個有機組成部分，目前，信息部門已經是企業(yè)的一個重要部門，CIO是企業(yè)管理層的重要成員，信息化服務和管理流程也逐步融合到了企業(yè)的業(yè)務管理流程中。但在進一步推進信息化建設過程中，我們還必須達成另一個共識，即IT治理是公司治理的一個有機組成部分，它體現(xiàn)了股東、董事會和管理層對信息化建設的關注。其次，IT治理是一種制度和機制，包含了管理和制衡IT與業(yè)務匹配、IT投資價值、IT風險和IT績效的領導力、組織結構和流程。再次，IT治理的目標是實現(xiàn)股東和其他利益相關主體對信息化建設的監(jiān)督與制衡，以保證信息化建設能夠真正落實和貫徹組織業(yè)務戰(zhàn)略和目標。

　　作為公司治理的一個有機組成部分，股東是IT治理的核心主體，但IT治理的主體不僅局限于股東，而是包括股東、債權人、雇員、顧客、供應商、政府、社區(qū)等在內的廣大公司利益相關者。不同主體對IT治理的關注點是不同的。股東和管理層比較關注低成本、高收益、并有助于增加公司的市場份額；客戶關注的是更為快速、低成本、易于使用地享受更多的服務；而政府部門則對如何方便服務、引導和監(jiān)督比較看重。

　　因此，董事會、經營者、IT管理者就成為IT治理的客體對象。但是三者的需求以及任務又是截然不同的。董事會在IT治理中應當被股東價值所驅動；采用IT治理的框架，關注IT與業(yè)務的匹配、IT價值貢獻、IT風險管理；認真衡量信息化建設結果。經營者在IT治理中要保證IT戰(zhàn)略與業(yè)務發(fā)展目標的匹配；把IT戰(zhàn)略和目標分解到組織，建立有助于IT戰(zhàn)略實施的組織結構；采用一個控制和治理結構；提供IT基礎結構以創(chuàng)造和共享業(yè)務信息，在組織中明確風險管理的責任；關注于重要的IT流程和核心的IT能力，以及IT績效管理。

　　監(jiān)督與制衡

　　目前，對企業(yè)來說，IT已經不僅僅是技術，它更具有戰(zhàn)略意義。IT戰(zhàn)略是企業(yè)戰(zhàn)略的有機組成部分，它對實現(xiàn)業(yè)務創(chuàng)新和管理提升具有重要意義，因此股東和董事會有必要建立對IT的監(jiān)督和控制機制。隨著企業(yè)信息化建設的深入，IT對業(yè)務的作用越來越關鍵。這種關鍵性來自于各項業(yè)務對于信息系統(tǒng)、信息資源和通信網絡不斷增強的依賴性；IT技術的潛力急劇改變了企業(yè)和業(yè)務實踐，創(chuàng)造了新的機會并降低了成本；在一個互聯(lián)的世界中，從事業(yè)務經營的風險也在不斷加大；IT項目的失敗不斷影響IT聲譽和企業(yè)的價值；借助IT實現(xiàn)知識管理對保證企業(yè)業(yè)務的發(fā)展十分關鍵等方面。這種關鍵性使得股東和董事會更多關注IT治理成為必然。但長期以來，人們對信息化的期望值普遍偏高，但是信息化建設狀況卻與期望差距很大，以致有人把IT描述為“IT黑洞”。這種期望與實際間不匹配情況的出現(xiàn)，在很大程度上是因為對IT項目的投資、風險和績效等缺乏一個有效的監(jiān)督和制衡機制，因此，IT治理十分必要。

　　而對于絕大多數人來說，IT是一門純粹的技術，業(yè)務人員以及一些管理人員還僅僅是把它當作一種工具和手段，IT一直沒有得到它應該得到的重視。這主要是因為信息技術日新月異，與其他學科相比，需要具備更好的專業(yè)技術基礎，才能很好理解IT與業(yè)務、風險和機會的關系。因此，有必要從治理的高度提升企業(yè)對IT的重視。

　　此外，IT涉及巨大的投資和極大的風險。隨著網絡和Internet技術的發(fā)展，企業(yè)對IT的投資動輒上億，例如中國工商銀行近幾年的數據大集中項目涉及全國幾十家省級分行，投資已經達到幾十個億。隨著IT投資增大，IT的風險也逐步加大。IT治理能夠有效保護IT投資，規(guī)避IT風險。

　　持續(xù)的循環(huán)過程

　　中國企業(yè)信息化建設已經經歷了從無到有，從單機到聯(lián)網，從簡單的“應用電子化”到復雜的“管理信息化”的發(fā)展過程，IT管理理念也經歷了從IT應用、IT服務、IT管理到IT治理的完善階段。那么，企業(yè)究竟應該在信息化建設的哪一個階段引入IT治理機制呢？賽迪顧問認為，對企業(yè)來說，IT治理是一個持續(xù)的循環(huán)過程，有IT流程就應該有IT治理。在信息化發(fā)展的初始階段，組織并沒有體會到它的重要意義，往往忽略了IT治理，于是，信息化建設與業(yè)務的不匹配、信息孤島、信息投資黑洞的產生等信息化建設初期IT治理缺失所造成的惡果便頻繁出現(xiàn)，因此從信息化建設的初始階段就應加強IT治理機制的建立。同時，IT治理是股東或市場（含政府）他律的機制，因此治理通常被理解為一種事后的監(jiān)督機制。但是，為了實現(xiàn)與信息化建設的互動，需要建立從事前、事中到事后的監(jiān)督和控制機制。

　　為了成功地實現(xiàn)IT治理，企業(yè)必須擁有較為完善的公司治理結構和治理環(huán)境，這是IT治理的基礎環(huán)境。以國有商業(yè)銀行為例，由于四大國有商業(yè)銀行還沒有改造為股份公司，沒有建立完善的現(xiàn)代企業(yè)制度，更談不上形成合理的公司治理結構。國有商業(yè)銀行公司治理結構的缺陷也使IT治理的機制不健全，因此對國有商業(yè)銀行IT治理環(huán)境的建立是首要解決的問題。同時，IT治理的基礎條件是企業(yè)已經把IT看作企業(yè)經營管理的一個有機組成部分，企業(yè)股東和相關利益者充分理解IT的價值和意義，從企業(yè)員工到企業(yè)最高管理層對IT有基本的認同。由于IT治理的復雜性和專業(yè)性，治理層必須強烈依賴企業(yè)的下層來提供決策和評估活動所需要的信息。為保證有效的IT治理，下層應用要和企業(yè)總體目標采用相同的原則，提供評估業(yè)績的衡量方法。因此，好的IT治理實踐需要在企業(yè)全部范圍內推行。

　　此外，IT治理應遵循一定的方法論。即在業(yè)務目標的驅動下，制定IT戰(zhàn)略，并保證IT戰(zhàn)略與業(yè)務戰(zhàn)略目標的匹配 ；挖掘業(yè)務需求，完善信息系統(tǒng)建設，使IT真正為業(yè)務提升、管理創(chuàng)新貢獻價值；實施IT項目管理與風險管理；進行IT績效評估。這是一個循序漸進的往復循環(huán)的過程，通過這個過程，IT治理將逐步實現(xiàn)股東的利益。

　　在IT治理過程中，需要一個核心的控制框架。COBIT（“信息和相關技術的控制目標”）是ISACA提出的IT治理的控制框架，它包括以下幾個方面：把被控制的IT流程分為四個領域，即系統(tǒng)規(guī)劃、系統(tǒng)獲取和實施、系統(tǒng)交付和維護、系統(tǒng)監(jiān)控，每個領域中包含多個IT流程，共34個IT流程；對每個流程設定一個高層次的控制目標，從7個信息準則上去監(jiān)控；針對管理層和IT參與者共300個詳細的控制目標；建立在這些控制目標上的大量IT流程的審計指南、實施指南和管理指南。