体系认证

  ·IT治理的背景

　　 正如公司需要治理一样，IT也需要进行治理，就是要从制度、标准和规范的角度来重新认识IT问题并完善IT治理机制。IT治理是国际IT领域的一个新概念，用于描述企业或政府是否采用有效的机制，使IT的应用能够完成组织赋予它的使命，同时平衡信息技术与过程的风险，确保实现组织的战略目标。

随着IT在社会各个领域的应用不断深化，IT日益深刻影响着人类生活方式和社会经济发展。对现代企业而言，IT的发展意味着企业在战略思想、管理理念、运行方式、组织结构等各个方面的变革，这种变革已使IT成为企业完成业务与积累财富的主要驱动力，成为企业获得成功的关键因素，它向企业提供了获得竞争优势的机会和提高生产率的方法，将来，IT还会发挥更大的作用。

成功地利用IT对企业进行变革，并为产品和服务增加价值，这已成为全球企业的重要业务能力之一。IT是企业在内部进行资源管理、供应商管理、客户管理的基础，也是当前企业不断增加的跨地域合作和网络虚拟交易的基础。

然而，当今许多企业中IT的现状与对IT的期望值不吻合，企业经常面临以下难题：

　　·企业对IT系统的依赖性越来越强的同时，面临不断增多的系统薄弱性和各种各样的威胁；

　　·在信息与信息系统上的投资规模与成本在不断扩大，高投入带来了高风险；

　　·不断发展的科技潜力显著地改变组织形式与商业模型，在创造出新的机遇并降低了成本的同时，也使得商业竞争不断加剧；

　　·现代企业IT系统的停机可能会造成业务受到巨大损失、声誉下降、竞争优势丧失；

　　·IT项目的高失败率，使得企业无法实现其预期的创新与利益，不能实现对IT的投资回报，或者不能对投资回报进行测量；

　　·IT技术的高速发展，对企业的技术引进与更新提出挑战，企业面临技术不完备，甚至过失，不能有效利用新技术…….

　　 这些问题表明，企业中的IT事务已经逐渐超越了纯技术范畴，它与企业的业务战略、管理、运行等紧密稽核在一起；这些问题也不是企业中的IT部门所能单独解决的问题，它应该是企业董事会与管理层要负责考虑的问题，因此为了使IT为企业创造价值并降低其固有风险，企业的董事会和管理层应当把公司治理延伸到IT领域，形成完善的IT治理结构，通过为IT提供必要的领导力、组织结构和相关过程，来保证企业的IT能支持企业战略和实现企业目标。

·IT治理的发展

　　1999年，英国BIS发布了《内部控制:综合准则董事指南》(Internal Control:Guidance for DITectors on the Combined Code，Turnbull Report，1999)报告。该报告认为，企业风险来自于许多方面，而不仅是财务风险。因为事实说明，在金融界所有过去的风险问题都是由内部控制疏忽、信息技术失败引起的，而且与企业对信息技术基础设施的依赖和应用新技术的风险密切相关，并呼吁高层领导树立风险意识。从此，公司治理和风险管理成为企业所有者与管理者日益重要的问题。此报告强调了IT的双重性，即一方面信息技术支持企业的信息数据资产，帮助企业在市场竞争和商业环境中提高反应速度、降低成本，另一方面，IT和IT应用也存在着风险，也要注意“管理”。因此企业中的关键信息系统，既要与企业的发展战略相匹配，确保“公司治理”有效、透明，同时也要规避IT自身的风险。

1999年下半年，国际信息系统审计与控制协会(ISACA)成立了IT治理研究院，专门研究IT治理的概念，并提供了信息及其相关技术的管理体系模型和最佳实务，帮助企业领导层认识有效实施IT治理的必要性与益处，从而保证长期的可持续的成功，并且增强利益相关者的价值。

目前，该体系已在世界100多个国家和地区的重要组织与企业中成功运用，指导这些组织有效利用信息资源，有效地管理信息相关的风险。研究与探讨IT治理，对于信息化的探索和实践有着重要的借鉴意义。

2002年，在安然事件后的一片混乱中，美国颁布了萨班斯一奥克斯利法案(简称“萨班斯法案”)。作为萨班斯法案中最重要的条款之一，404条款明确规定了管理层应承担设立和维持一个应有的内部控制结构的职责。该条款要求上市公司必须在年报中提供内部控制报告和内部控制评价报告;上市公司的管理层和注册会计师都需要对企业的内部控制系统作出评价，注册会计师还必须对公司管理层评估过程以及内控系统结论进行相应的检查并出具正式意见。

由于大多数公司都高度依赖基于信息技术的控制措施，因此“萨班斯法案”出台，迫使许多公司在IT治理方面都加大了投入，升级了陈旧的系统，提高了运效率，提升了公司的内部控制和IT治理水平。

·IT治理常用标准及辅助手段简介

（1）ISO 38500：2008 是第一个IT 治理国际标准，它的出台不仅标志着IT 治理从概念模糊的探讨阶段进入了一个正确认识的发展阶段，而且也标志着信息化正式进入IT 治理时代。这一标准将促使国内外一直争论不休的IT治理理论得到统一，也会促使我国在引导信息化科学方面发挥重要作用。

（2）COBIT 4.1----信息和相关技术的控制目标。作为IT处理过程和将IT与公司业务要求相连接的控制框架，从1998年的管理方针的增加版开始，COBIT现在越来越多地作为IT治理框架来使用，提供诸如衡量标准和成熟度模型的管理工具以补充控制框架。

（3） ITIL?（ITIL? 是英国内阁办公室(CO)在英国和其他国家的注册商标） V3----IT基础结构库。集了在IT服务管理方面的最佳实务。它关注IT服务过程并考虑了使用者的核心作用。现行国际标准ISO/IEC 20000:2005以ITIL?（ITIL? 是英国内阁办公室(CO)在英国和其他国家的注册商标）为基础于2005年正式颁布。

（4）ISO/IEC27001:2005----信息安全管理体系要求。世界上应用最广泛与典型的信息安全管理标准，适用于各种性质、各种规模的组织，如政府、银行、电讯、研究机构、外包服务企业、软件服务企业等。

（5）PRINCE2----受控环境中的项目。为包括IT项目在内的项目管理提供了通用的管理方法，内置了在项目管理实践中己证明成功的最佳实践。

·IT治理的作用

IT 治理的主体和其它治理主体一样，是管理执行人员和利益相关者。IT 治理保护利益相关者的权益，使风险透明化，同时指导和控制IT 投资、机遇、利益、风险。IT 治理包括管理层、组织结构、过程，以确保IT 维持和拓展组织战略目标。IT 治理应该合理利用企业的信息资源，有效地集成与协调。IT 治理确保IT 及时按照目标交付，并且有合适的功能和期望的收益，是一个一致的价值传递体系，有明确的期望值和衡量手段。IT 治理引导IT 战略以平衡系统投资，支持企业， 变革企业，或者创建一个信息基础架构，保证业务增长，并在一个新的领域竞争。IT 治理对于核心IT 资源做出合理的决策，进入新的市场，驱动竞争策略，创造总的收入增长，改善客户满意度。

近年来，“信息化带动工业化、工业化促进信息化”的国家战略已日益深入人心，信息化应用取得了世人瞩目的成就。与此同时，信息化建设和应用中一些深层次问题受到越来越广泛的关注。信息化给我们带来什么？如何充分利用IT 资源？如何管理好所依赖的信息与信息平台？如何进行控制把IT 风险降到最低？信息化建设如何实现可持续发展，如何提升IT投资回报？很多人开始考虑IT 治理。目前，IT 治理在我国基本上处于初始阶段，但IT 治理的重要性日益为人们所认识。

IT 治理的使命是保持IT 与业务目标一致，推动业务发展，促使收益最大化，合理利用IT 资源，适当管理与IT 相关的风险。IT治理的目标将帮助管理层建立以组织战略为导向，以外界环境为依据，以业务与IT 整合为中心的观念，正确定位IT 部门在整个组织中的作用。这些IT 治理的使命和目标的实现需要通过多种辅助手段来实现，目前国际上通行的标准主要有如下4 个：COBIT、ITIL?（ITIL? 是英国内阁办公室(CO)在英国和其他国家的注册商标）、ISO/IEC17799 和PRINCE2。陆培炜先生认为：“IT治理的提出，为企业在实现业务目标的同时平衡IT投资和风险方面提供一种机制。为了确保企业能够实现业务目标，实现在风险管理和收益实现间的有效平衡，指导和管理各类IT活动就显得非常迫切。”