IT治理的定义

1. IT治理的定义

IT治理的简单定义就是使参与信息化过程的各方利益最大化的制度措施。关于IT治理，中外学者给出了很多的定义，美国IT治理协会给IT治理的定义是：“IT治理是一种引导和控制企业各种关系和流程的结构，这种结构安排，旨在通过平衡信息技术及其流程中的风险和收益，增加价值，以实现企业目标。” 中国有一种观点认为，IT治理是描述企业或政府是否采用有效的机制，使得IT的应用能够完成组织赋予它的使命，同时平衡信息化过程中的风险，确保实现组织的战略目标的过程。它的使命是：保持IT与业务目标一致，推动业务发展，促使收益最大化，合理利用IT资源，适当管理与IT相关的风险。美国麻省理工学院的学者彼得·维尔和珍妮·罗斯在其所撰写的《IT治理》一书中指出，IT治理就是为鼓励IT应用的期望行为，而明确的决策权归属和责任担当框架。他们认为是行为而不是战略创造价值，任何战略的实施都要落实到具体的行为上。从IT中获得最大的价值，取决于在IT应用上产生期望的行为。期望行为是组织信念和文化的具体体现，它们的确定和颁布不仅基于战略，而且基于公司的价值纲要、使命纲要、业务规则、约定的行为习惯以及结构等。在每一家公司里，期望行为都各不相同。综合这些定义，可以得出，IT治理就是要明确有关IT决策权的归属机制和有关IT责任的承担机制，以鼓励IT应用的期望行为的产生，以联接战略目标、业务目标和IT目标，从而使企业从IT中获得最大的价值。

2. IT治理的介绍

IT治理，IBM最早将此理念引入中国。IT治理是公司治理在信息时代的重要发展，使得IT的应用能够完成组织赋予它的使命，确保实现组织的战略目标。IT治理是公司治理的一部分，对于公司治理，1999年出版的《公司治理的基本原则》一书所下的定义为：为确定组织目标和确保目标实现的绩效监控所提供的治理结构。

3. IT治理的对比

IT管理是公司的信息及信息系统的运营，确定IT目标以及实现此目标所采取的行动；而IT治理是指最高管理层（董事会）利用它来监督管理层在IT战略上的过程、结构和联系，以确保这种运营处于正确的轨道之上。这是一个硬币的两面，谁也不能脱离谁而存在。可见，IT管理就是在既定的IT治理模式下，管理层为实现公司的目标而采取的行动。IT治理规定了整个企业IT运作的基本框架，IT管理则是在这个既定的框架下驾驭企业奔向目标。缺乏良好IT治理模式的公司，即使有“很好”的IT管理体系（而这实际上是不可能的），就像一座地基不牢固的大厦；同样，没有公司IT管理体系的畅通，单纯的治理模式也只能是一个美好的蓝图，而缺乏实际的内容。就中国信息化建设现状而言，无论是IT治理，还是IT管理都是所迫切需要解决的。

4. IT治理的公司治理

公司治理主要关注利益相关者权益和管理，包括一系列责任和条例，由最高管理层（董事会）和执行管理层实施，目的是提供战略方向，保证目标能够实现，风险适当管理，企业的资源合理使用。公司治理，驱动和调整IT治理。同时，IT能够提供关键的输入，形成战略计划的一个重要组成部分，这被认为是公司治理的一个重要功能——IT影响企业的战略竞争机遇。IT治理的一个关键性问题是：公司的IT投资是否与战略目标相一致，从而构筑必要的核心竞争力。因为企业目标变化太快，很难保证IT与商业目标始终保持一致，因此需要多方面的协调，保证IT治理继续沿着正确的方向走，这也是IT投资者真正关心的问题。对IT治理而言，要能体现未来信息技术与未来企业组织的战略集成。既要尽可能地保持开放性和长远性，以确保系统的稳定性和延续性；同时又因为规划赶不上变化，再长远的规划也难以保证能跟上企业环境的变化。IT 治理中一个相对有效的做法是，在信息化规划时，认真分析企业的战略与IT支撑之间的影响度，并合理预测环境变化可能给企业战略带来的偏移，在规划时留有适当的余地，从业务战略到信息战略，做务实的牵引，不要追求大而全。IT治理有助于建立一个灵活的、具有适应性的企业。IT治理能够影响信息和指示：企业能够感知市场正在发生的事，使用知识资产并从中学习，创新新产品、服务、渠道、过程；迅速变化，将革新带入市场，衡量业绩。IT治理应该体现“以组织战略目标为中心”的思想，通过合理配置IT资源创造价值。企业治理侧重于企业整体规划，IT治理侧重于企业中信息资源的有效利用和管理。企业目标在于远景和商业模式，IT目标在于商业模式的实施。企业目标与IT目标之间的关系如下图所示：IT治理主要涉及两个方面：IT要为企业交付价值，IT风险要降低。前者受IT与企业的战略一致性驱动，后者由责任义务落实到企业驱动。这两者都需要衡量，如使用平衡计分卡。这就可以看出IT治理的四个核心领域，都是由利益相关者价值驱动的，其中两个是成果：价值交付和风险降低，另外两个是驱动力：战略一致性和业绩衡量。概括地说，公司治理和IT治理都是市场（含政府）他律的机制，是如何“管好管理者”的机制，其目标也是一致的：达到业务永续运营，并增加组织的长期获利机会。无论大环境是好是坏，最高管理层（董事会）均应以达成其目标为责任，而且管理阶层需有能力协助其达成目标，因此最高管理层（董事会）必须常常监督管理部门对决策判断与政策实施的绩效。 “斯达模式”这一被誉为国企摆脱困境、改革发展的创新模式，正说明了公司治理和IT治理的重要性和互动关系。“黑纸”利用合资契机，对产权体制进行了改革，并按照现代企业制度要求，建立与市场竞争相适应的公司治理机制，明晰了企业产权，优化了生产要素配置，转变了职工观念，为斯达大力进行信息化改造创造了有力条件。反过来，信息化也促进了公司的现代化管理。

5. IT治理与IT管理有什么区别和联系

IT管理就是在既定的IT治理模式下，管理层为实现组织战略目标而采取的行动。

IT管理是在IT治理既定的“约束和激励”的规则下，对组织IT资源进行整合与配置，确定IT目标以及实现此目标所采取的行动；

IT治理是指最高管理层（董事会）利用它来监督管理层在实现IT战略目标的过程中，处于治理层既定的规则内（风险可控、绩效可见）。这是一个硬币的两面，谁也不能脱离谁而存在。

IT治理规定了整个组织IT规划与组织、获得与实施、交付与支持、监控与评价的基本框架，IT管理则是在这个既定的框架下驾驭组织奔向目标。

缺乏良好IT治理模式的组织，即使有“很好”的IT管理体系（而这实际上是不可能的），就像一座地基不牢固的大厦；

同样，没有组织IT管理体系的畅通，单纯的治理模式也只能是一个美好的蓝图，而缺乏实际的内容。

IT治理是IT管理的基石，某种意义上可以认为IT治理比IT管理更重要。

如果没有好的治理（约束和激励）机制，组织管理的好是偶然的，管理不好是必然的；

对于IT，如果存在好的IT治理机制，IT管理的好就是必然的、管理不好是偶然的。

6. IT治理框架的IT治理是什么

IT治理是指设计并实施信息化过程中各方利益最大化的制度安排，包括业务与信息化战略融合的机制，权责对等的责任担当框架和问责机制，资源配置的决策机制，组织保障机制，核心IT能力发展机制，绩效管理机制以及覆盖信息化全生命周期的风险管控机制。该制度安排的目的是实现组织的业务战略，促进管理创新，合理管控信息化过程的风险，建立信息化可持续发展的长效机制，最终实现IT商业价值。（ITGov中国IT治理研究中心根据ITGov中国IT治理研究中心正式发布的中国首个自主创新的中国企业IT治理框架，该框架有七要素组成：科学的信息化发展观、IT商业价值、IT治理方法、IT治理绩效、IT治理决策模式、IT风险管理控制体系、核心IT能力。（ITGov中国IT治理研究中心，2008）如图所示。高水平的、可持续的IT治理，需要考虑同时到这七个要素：

7. IT治理的IT治理框架

当前，我国信息化建设中的最大问题，不是技术问题，也不是资金问题，而是缺乏科学的IT管理观念；IT领导者最大的问题不是缺少经验和能力，而是缺乏卓越的管理素质和管理方法。对于IT治理来说，国际上已有许多成熟的方法和工具，形成了最佳业务实践，这些最佳业务实践是全球智慧的结晶，所以，对于我们来说，不是再去从头创新，而是需要根据国情和组织的实际情况，对最佳实践加以理解、掌握并有效运用，从而为组织战略目标服务。下图为山东省软件评测中心总结的IT治理的总体框架，描述了IT治理的出发点、IT治理的关键要素、IT治理的对象、IT治理的最佳实践。IT治理的目的是使IT与组织业务有效融合，其出发点首先是组织的发展战略，以组织发展战略为起点，遵循组织的风险与内控体系，制定相应的IT建设运行的管理机制。IT治理的关键要素涵盖IT组织、IT战略、IT架构、IT基础设施、业务需求、IT投资、信息安全等，主要确定这些要素或活动中“做什么决策？谁来决策？怎么来决策？如何监督和评价决策？”。围绕着IT建设全生命周期过程，构建持续的信息化建设长效机制，是IT治理的目标一致，因此，整个IT建设生命周期都是IT治理的对象，包括IT组织与规划、IT建设与交付、IT运行与维护、IT评估与优化。IT治理的国际最佳实践就是基于各个对象治理的成熟的方法论和工具，包括CobiT、ITIL、ISO27001、Prince2等。按照IT治理的对象，我们将IT治理的服务划分为五类，分别是：IT规划治理、IT建设治理、IT运维治理、IT绩效治理、IT风险治理。

8. 什么是IT治理

IT治理的概念引入到国内已经有三年多的时间了，虽然媒体、IT企业及一些专家学者在不断呼吁IT治理的重要性，但将IT治理从理论推进到实践层面的案例还鲜有所闻。之所以会如此，组织缺乏IT治理的操作指南应该是一个重要原因。 

我们不能停留于对于IT治理概念的玩味和寻究，从某种程度上来讲，IT治理的定义的抽象晦涩已经影响了组织对于IT治理的接受，并直接伤害了IT治理的实践操作性，现在是到了为IT治理寻找一条切实可行的操作路径的时候。 

实际上，IT治理并没有想像得那样复杂和虚无缥缈。我们并不需要从成百上千种IT治理模式中煞费苦心地寻找一条适合自己的模式。埃森哲公司创建了一种IT治理模式，该模式为组织建立有效的IT治理提供了一张路线图。本文将对该模式作一个介绍。 

简单地讲，IT治理关注两个方面的问题，即IT治理的“什么”和“谁”。IT治理的“什么”是指IT治理应该作出哪些决策，IT治理的“谁”则是指这些决策分别应该由谁来作出。 

那么，IT治理到底应该作出哪些决策呢?要找到这个问题的答案，必须先搞清楚一个问题，那就是组织到底需要IT发挥什么样的作用。不要想当然地以为这是一个可以简单回答的问题。实际上，不同的组织对于IT的需要是不一样的。组织到底需要IT做什么，在很大程度上取决于它处于一个什么样的商业环境。 

商业特征决定IT需求 

走向IT治理的第一步就是，要对组织处于什么样的商业环境进行正确的分析。 

埃森哲公司的IT治理模式通过两个指标来对组织的商业环境进行分析:变化的速度和竞争的基础。 

变化的速度。某些企业处在一个变化较快的行业，如半导体企业和电信企业。在这样的行业，消费者的需求和偏好经常改变，产业政策也时常推陈出新，时不时出现的新技术会一下子改变整个产业价值链;而另外一些行业的发展状态则相对稳定，不会有那么快的变化，如航空业。在这样的行业，消费者的需求、竞争格局、政府管制、技术及供应商等方面的变化都是缓慢发生的。 

竞争的基础。从竞争的基础来看，企业可以分为两类。一类企业以运营效率为基础进行竞争。对于这类组织来说，重点在于降低成本，以及优化现有的商业模式以应对竞争;另一类企业以产品和服务的差异性为竞争的基础。这类企业力求先于竞争对手提供新的商业能力，或者是开创新的商业模式，以此获得竞争优势。 

根据以上两个指标，可以将组织分为四类。 

A类组织处于变化不快的行业，以运营效率为竞争基础; 

B类组织处于变化不快的行业，以产品服务的差异化为竞争基础; 

C类组织处于变化快的行业，以运营效率为竞争基础; 

D类组织处于变化快的行业，以产品服务的差异化为竞争基础。 

这四类不同的组织因其业务特点的不同而对IT产生不同的需求。 

A类组织发展的关键在于严格控制成本，因此这类企业希望利用IT来保持低成本，通过如外包这类节省成本的方法来提供成熟的能力。 

B类组织的管理层期望利用信息来提高决策能力，并开发新的产品和服务，以高收入来抵消不断增长的IT支出。 

C类组织按优先次序制定IT投资计划以及长期能力的路线图，它们在对成本进行有效管理的同时，根据路线图，运用IT来实现计划中的新能力，以满足市场不断变化的需求。 

D类组织期望IT具有高度的灵活性，以满足迅速变化的商业策略和要求。这类企业倾向于提供创新的IT解决方案，以获得先发优势，因此它们的IT投资重点在于创造新的能力。 

IT治理的决策范围 

一旦组织明确了自己对于IT的需求，那下一步就要解决IT治理作哪些决策的问题，也就是前文所说的IT治理的“什么”。IT治理的决策范围一般包括以下五个方面。 

组织模式:组织是采取集权、分权还是混合的模式? 

投资:组织将投资于什么?投多少? 

架构:组织是着重于稳定性还是灵活性?这两者各到什么程度?应用系统是向外购买还是内部开发?是建立一个综合性的ERP系统还是多种系统? 

标准:组织需要将什么技术标准化，采用什么标准? 

资源:IT组织将利用什么类型的资源?这些资源的来源是什么? 

对于A类组织，其首选的组织模式应该是集权式治理，IT对于预算和决策负有责任。加拿大邮政公司就采用这种方法，该公司坚持一种简单化的组织模式，有一个集权部门来对公司行为进行优先排序，并通过单一的IT资源来完成。 

在标准的决策方面，A类组织谋求在全组织范围内加强架构、技术和供应商的标准化，只是在一些被证明是正当的例外的情况下才允许有所背离。一家大型的法国保险公司就是这方面的一个例子。该公司在集团范围内对IT架构实行了标准化，因此它可以优化其核心的IT流程，整合系统支持其非寿险业务，移植数据，配置新的系统以支持其健康险业务。 

在资源决策方面，A类组织善于利用内外部资源的组合，通常会与少量的几家优选的服务提供商达成服务协议。当某个全球性的化学品公司认为IT并非其核心业务时其，便将整个IT运作外包出去，包括其ERP系统全球范围内的实施和支持