CIO關注：“IT治理”不是概念而是制度

　　伴隨著信息化建設的深入開展，信息化戰略定位、信息化績效評估、信息化項目管理、信息化投資風險管理、IT服務管理等成為中國信息化的熱點問題，而IT治理作為一個全新的概念，更成為上述所有熱點問題的交匯點。

　　不是概念是制度

　　了解IT治理，首先要知道什么是公司治理。公司治理 (Corporate　Governance)是屬于企業制度層面的內容，其核心在于企業通過權力制衡，監督管理者的績效，保證股東和其他利益相關主體的權利。那么，從公司治理的含義，能不能望文生義地說“IT治理(IT Governance)是股東對IT經營者的一種監督與制衡機制”呢？最早提出IT治理概念的國際信息系統審計與控制聯合會（ISACA）對IT治理做出了如下的定義：“IT治理是公司治理的一個有機組成部分，它包含領導力、組織結構和流程等制度和機制，其確保IT維續和擴展組織的戰略和目標?！?/p>

　　于是，IT治理就包含了以下幾層含義。首先，IT治理是公司治理的一個有機組成部分。信息化建設中，一個共識已經達成，即企業信息化是企業經營管理的一個有機組成部分，目前，信息部門已經是企業的一個重要部門，CIO是企業管理層的重要成員，信息化服務和管理流程也逐步融合到了企業的業務管理流程中。但在進一步推進信息化建設過程中，我們還必須達成另一個共識，即IT治理是公司治理的一個有機組成部分，它體現了股東、董事會和管理層對信息化建設的關注。其次，IT治理是一種制度和機制，包含了管理和制衡IT與業務匹配、IT投資價值、IT風險和IT績效的領導力、組織結構和流程。再次，IT治理的目標是實現股東和其他利益相關主體對信息化建設的監督與制衡，以保證信息化建設能夠真正落實和貫徹組織業務戰略和目標。

　　作為公司治理的一個有機組成部分，股東是IT治理的核心主體，但IT治理的主體不僅局限于股東，而是包括股東、債權人、雇員、顧客、供應商、政府、社區等在內的廣大公司利益相關者。不同主體對IT治理的關注點是不同的。股東和管理層比較關注低成本、高收益、并有助于增加公司的市場份額；客戶關注的是更為快速、低成本、易于使用地享受更多的服務；而政府部門則對如何方便服務、引導和監督比較看重。

　　因此，董事會、經營者、IT管理者就成為IT治理的客體對象。但是三者的需求以及任務又是截然不同的。董事會在IT治理中應當被股東價值所驅動；采用IT治理的框架，關注IT與業務的匹配、IT價值貢獻、IT風險管理；認真衡量信息化建設結果。經營者在IT治理中要保證IT戰略與業務發展目標的匹配；把IT戰略和目標分解到組織，建立有助于IT戰略實施的組織結構；采用一個控制和治理結構；提供IT基礎結構以創造和共享業務信息，在組織中明確風險管理的責任；關注于重要的IT流程和核心的IT能力，以及IT績效管理。

　　監督與制衡

　　目前，對企業來說，IT已經不僅僅是技術，它更具有戰略意義。IT戰略是企業戰略的有機組成部分，它對實現業務創新和管理提升具有重要意義，因此股東和董事會有必要建立對IT的監督和控制機制。隨著企業信息化建設的深入，IT對業務的作用越來越關鍵。這種關鍵性來自于各項業務對于信息系統、信息資源和通信網絡不斷增強的依賴性；IT技術的潛力急劇改變了企業和業務實踐，創造了新的機會并降低了成本；在一個互聯的世界中，從事業務經營的風險也在不斷加大；IT項目的失敗不斷影響IT聲譽和企業的價值；借助IT實現知識管理對保證企業業務的發展十分關鍵等方面。這種關鍵性使得股東和董事會更多關注IT治理成為必然。但長期以來，人們對信息化的期望值普遍偏高，但是信息化建設狀況卻與期望差距很大，以致有人把IT描述為“IT黑洞”。這種期望與實際間不匹配情況的出現，在很大程度上是因為對IT項目的投資、風險和績效等缺乏一個有效的監督和制衡機制，因此，IT治理十分必要。

　　而對于絕大多數人來說，IT是一門純粹的技術，業務人員以及一些管理人員還僅僅是把它當作一種工具和手段，IT一直沒有得到它應該得到的重視。這主要是因為信息技術日新月異，與其他學科相比，需要具備更好的專業技術基礎，才能很好理解IT與業務、風險和機會的關系。因此，有必要從治理的高度提升企業對IT的重視。

　　此外，IT涉及巨大的投資和極大的風險。隨著網絡和Internet技術的發展，企業對IT的投資動輒上億，例如中國工商銀行近幾年的數據大集中項目涉及全國幾十家省級分行，投資已經達到幾十個億。隨著IT投資增大，IT的風險也逐步加大。IT治理能夠有效保護IT投資，規避IT風險。

　　持續的循環過程

　　中國企業信息化建設已經經歷了從無到有，從單機到聯網，從簡單的“應用電子化”到復雜的“管理信息化”的發展過程，IT管理理念也經歷了從IT應用、IT服務、IT管理到IT治理的完善階段。那么，企業究竟應該在信息化建設的哪一個階段引入IT治理機制呢？賽迪顧問認為，對企業來說，IT治理是一個持續的循環過程，有IT流程就應該有IT治理。在信息化發展的初始階段，組織并沒有體會到它的重要意義，往往忽略了IT治理，于是，信息化建設與業務的不匹配、信息孤島、信息投資黑洞的產生等信息化建設初期IT治理缺失所造成的惡果便頻繁出現，因此從信息化建設的初始階段就應加強IT治理機制的建立。同時，IT治理是股東或市場（含政府）他律的機制，因此治理通常被理解為一種事后的監督機制。但是，為了實現與信息化建設的互動，需要建立從事前、事中到事后的監督和控制機制。

　　為了成功地實現IT治理，企業必須擁有較為完善的公司治理結構和治理環境，這是IT治理的基礎環境。以國有商業銀行為例，由于四大國有商業銀行還沒有改造為股份公司，沒有建立完善的現代企業制度，更談不上形成合理的公司治理結構。國有商業銀行公司治理結構的缺陷也使IT治理的機制不健全，因此對國有商業銀行IT治理環境的建立是首要解決的問題。同時，IT治理的基礎條件是企業已經把IT看作企業經營管理的一個有機組成部分，企業股東和相關利益者充分理解IT的價值和意義，從企業員工到企業最高管理層對IT有基本的認同。由于IT治理的復雜性和專業性，治理層必須強烈依賴企業的下層來提供決策和評估活動所需要的信息。為保證有效的IT治理，下層應用要和企業總體目標采用相同的原則，提供評估業績的衡量方法。因此，好的IT治理實踐需要在企業全部范圍內推行。

　　此外，IT治理應遵循一定的方法論。即在業務目標的驅動下，制定IT戰略，并保證IT戰略與業務戰略目標的匹配 ；挖掘業務需求，完善信息系統建設，使IT真正為業務提升、管理創新貢獻價值；實施IT項目管理與風險管理；進行IT績效評估。這是一個循序漸進的往復循環的過程，通過這個過程，IT治理將逐步實現股東的利益。

　　在IT治理過程中，需要一個核心的控制框架。COBIT（“信息和相關技術的控制目標”）是ISACA提出的IT治理的控制框架，它包括以下幾個方面：把被控制的IT流程分為四個領域，即系統規劃、系統獲取和實施、系統交付和維護、系統監控，每個領域中包含多個IT流程，共34個IT流程；對每個流程設定一個高層次的控制目標，從7個信息準則上去監控；針對管理層和IT參與者共300個詳細的控制目標；建立在這些控制目標上的大量IT流程的審計指南、實施指南和管理指南。