cio.ceo

10 June 2022

SEO Title

什么是 IT 治理（信息技术治理）？

IT 治理（信息技术治理）是一个用于监控和控制关键信息技术能力决策的过程——试图确保向组织中的关键利益相关者交付价值。以下是此定义中的关键点：

IT 治理是一个过程。这不是一个时间点事件。它不是一个委员会。它不是一个部门。
IT 治理的目标是确保交付业务成果，而不是“IT 系统性能”或“IT 风险管理”——这将强化 IT 本身作为目的的概念。相反，IT 治理是关于影响业务价值的 IT 决策。
因此，该流程监控和控制可能对业务结果产生正面或负面影响的关键 IT 决策。
如果不承认所有权和责任，治理的概念就毫无意义。组织中的关键利益相关者在组织中拥有“所有权”权益。管理层对这些利益相关者负责。
- 我们必须承认不仅是股东的所有权，还包括其他利益相关者，如客户、供应商、员工等。
- “管理层”，即受托做出关键决策的人，对这些利益相关者负责。
因此，IT 治理的目标不仅是提供风险优化的业务价值，而且还要让关键利益相关者信任他们将金钱和/或生计委托给他们的人！
- 人们可以争辩说，这种信任会带来更多的商业价值。毫无疑问。但事实仍然是，它是实现这一目标的一种手段，并且必须被独立地视为 IT 治理的动力。
- 从某种意义上说，IT 治理遵循“信任但验证！”的古老格言

信息技术公司治理 (CGIT)

IT 治理是一个广泛的概念，以 IT 部门或环境为中心，为企业提供业务价值。它是一组规则、法规和政策，用于定义和确保 IT 部门的有效、受控和有价值的运营。它还提供了识别和评估 IT 性能以及它如何与业务增长相关的方法。此外，通过遵循和实施 COBIT 等 IT 治理框架，组织可以遵守法规要求并减少 IT 业务，同时获得可衡量的业务收益。IT 治理以支持、补充或启用的方式使用、管理和优化 IT 一个组织来实现其目标和目的。 [2]

IT 治理的定义

IT 治理有很多定义。
其中值得注意的是：

Weill 和 Ross 将 IT 治理定义为：决策权和问责制框架，以鼓励在使用 IT 时采取理想的行为。他们确定了治理的三个组成部分：
- IT 决策领域：什么是关键的 IT 决策领域？
- IT 治理原型：谁来管理决策域以及它是如何组织的？谁决定或有输入，以及如何输入？
- 实施机制：决策和输入结构是如何形成和落实的？[3]
IT Governance Institute (ISACA) 对 IT 治理的定义如下：
- “...领导力、组织结构和流程，以确保组织的 IT 维持和扩展组织的战略和目标。” [4]
根据 Gartner 的定义，IT 治理 (ITG) 被定义为确保有效和高效地使用 IT 以使组织实现其目标的过程。
- IT 需求治理（ITDG——IT 应该做什么）是组织确保对竞争性 IT 投资进行有效评估、选择、优先排序和资助的过程；监督其实施；并提取（可衡量的）商业利益。 ITDG是企业投资决策和监督过程，是企业管理责任。
- IT 供应方治理（ITSG——IT 应该如何做它所做的事情）关注的是确保 IT 组织以有效、高效和合规的方式运作，这主要是 CIO 的职责。 [5]
CIO 杂志将 IT 治理定义为：简而言之，它围绕组织如何将 IT 战略（信息技术战略）与业务战略保持一致来构建结构，确保公司保持在实现其战略和目标的轨道上，并实施衡量 IT 绩效的好方法。它确保考虑到所有利益相关者的利益，并确保流程提供可衡量的结果。 IT 治理框架应回答一些关键问题，例如 IT 部门的整体运作方式、关键指标管理需要什么以及 IT 从其投资中为企业带来的回报是什么。 [6]

IT 治理的不同名称

IT 治理也称为：

信息技术治理
信息和通信技术治理（ICT治理）
信息技术的公司治理（CGIT）
信息和通信技术的公司治理
信息技术的企业治理（EGIT）

IT 治理的历史

IT 治理的出现 [7]

信息技术治理学科于 1993 年作为公司治理的衍生学科首次出现，主要处理组织战略目标、业务目标和组织内 IT 管理之间的联系。它强调了价值创造和信息和相关技术使用责任的重要性，并确立了管理机构的责任，而不是首席信息官或业务管理人员的责任。信息和技术 (IT) 治理的主要目标是

(1) 确保信息和技术的使用产生商业价值，
(2) 监督管理层的表现和
(3) 减轻与使用信息和技术相关的风险。

这可以通过董事会层面的指导来实现，实施一个组织结构，对影响战略目标成功实现的决策有明确的责任，并通过在具有明确定义的过程结果的过程中组织活动来制度化良好实践，这些过程结果可以与组织的战略目标。在 1980 年代公司治理失败之后，一些国家在 1990 年代初期制定了公司治理守则

Committee of Sponsoring Organizations of the Treadway Commission (USA)
Cadbury Report (UK)
King Report (South Africa).

由于这些公司治理努力更好地管理公司资源的杠杆作用，因此特别关注信息和支持良好公司治理的基础技术的作用。人们很快就认识到，信息技术不仅是公司治理的推动者，而且作为一种资源，它也是需要更好治理的价值创造者。在澳大利亚，2005 年 1 月发布了 AS8015 ICT 公司治理。它于 2008 年 5 月被快速采纳为 ISO/IEC 38500。IT 治理流程强制将 IT 资源和流程与企业战略目标直接联系起来。 IT 治理的成熟度曲线与 IT 的整体有效性之间存在很强的相关性。

IT 治理格局

IT 治理格局（图 1.）[8]

IT 治理不应被视为公司的举措。它不是一个开始和结束的项目，而是您的业务结构，超越了时间、领导力和倡议。无论您有有机（无意中成长）还是有意（有意成长）IT 治理，您应该问的问题包括：“我的 IT 治理流程在年复一年地有效交付战略业务价值方面有多好？” “我的流程是否可重复、可预测和可扩展；它们是否真正满足了我的业务（IT 之外）和我的客户的需求？”一个单一的 IT 治理流程不太可能适用于所有 IT 业务流程，而不是让您的每个客户都对您公司生产的任何给定产品或服务的完全相同的产品或服务配置感到满意。因此，必须考虑许多与 IT 治理相关的流程。可用 IT 治理流程的集成集合称为 IT 治理环境。 IT 治理是企业治理的一个子集，它在最高级别驱动并设定 IT 治理需要完成的任务。 IT 治理本身包括系统、基础设施和通信。与 IT 治理一样，产品开发治理是企业治理的一个子集，并且与 IT 治理重叠。产品开发治理针对的是开发产品的企业（例如，与服务交付相反）。开发治理是应用于开发组织和项目的治理，是 IT 和产品开发治理的一个子集。开发治理包括软件开发生命周期。图 1. 说明了这些关系，突出了开发治理。

IT 治理领域

IT 治理领域（图 2.）[9]
向一屋子的 IT 治理专业人士和业务主管询问这个问题，每个人都有可能提供不同的答案。幸运的是，ISACA 组织是全球领先的信息系统、保证和安全认证、知识、宣传和教育提供商，已经制定了一些有用的指南，将 IT 治理分为 5 个单独的领域（ISACA，2013），每个领域都在下面简要描述：

1. 企业 IT 治理框架：组织需要实施一个 IT 治理框架，该框架与企业治理和指导公司战略规划、目标和目标的关键驱动因素（内部和外部）保持一致。
- 该框架应尽可能尝试根据业务的明确需求和要求使用行业标准和最佳实践（COBIT、ITIL、ISO 等）。
- IT 治理模型应在组织的顶层驱动，角色、职责和责任在整个组织中得到充分定义和实施。
2. 战略管理：要有效实现和支持业务目标的实现，业务战略必须推动 IT 战略。因此，业务战略和 IT 战略具有内在联系，高效和有效的业务运营和增长依赖于两者的适当协调。
- 实现这种一致性的一些最有效的方法是正确实施企业架构方法、投资组合管理和平衡计分卡。
3. 收益实现：IT 治理通过有效管理 IT 支持的投资，帮助企业实现优化的业务收益。董事会或高级管理人员通常非常担心 IT 计划没有转化为业务收益。
- IT 治理旨在通过实施价值管理实践、收益实现规划以及绩效监控和响应来确保 IT 收益。
- 实现收益的关键是建立有效的投资组合管理来管理 IT 支持的投资，以及设计和使用适当的绩效指标和报告方法，并相应地进行管理和响应。实现专注于持续改进的文化可以进一步帮助确保通过持续关注提高业务绩效来实现收益。
4.风险优化：在日益互联的数字世界中，IT相关业务风险的识别、评估、缓解、管理、沟通和监控是企业治理活动的一个组成部分。
- 虽然 IT 风险优化的活动和能力会因组织的规模和成熟度以及它们经营所在的垂直行业而存在很大差异，但最重要的是开发一个风险框架，该框架可以向股东和客户展示良好的治理。一种可重复且有效的方式。
- 该维度的一些重要组成部分包括业务连续性规划、与相关法律和监管要求的一致性以及用于协助基于风险的决策的风险偏好和容忍度方法的开发。
5. 资源优化：为了有效，IT 需要充足、有能力和有能力的资源（人员、信息、基础设施和应用程序）以满足业务需求并执行满足当前和未来战略目标所需的活动。
- 这需要重点确定最合适的资源采购和管理方法、外部供应商监控、服务水平管理、知识管理以及员工培训和发展计划。

Figure 2. source: Maciej Rostanski,Marek Pyka et al.

然而，这里最重要的也许不是所有 5 个 IT 治理域都完全插入到企业中，而是根据需要、要求和能力考虑和应用这些域中包含的建议、标准和最佳实践的业务。因此，当 ISACA 模型被视为将 IT 治理最佳实践注入业务的基本指南时，它可以说是最有用的，何时何地需要它们。然而，建议无论业务的规模和成熟度如何，至少应该存在来自每个领域的一些元素，以确保有效的 IT 治理。

IT 治理框架

IT 治理框架 [10]
有三个被广泛认可的、供应商中立的第三方框架，通常被描述为“IT 治理框架”。虽然它们本身并不能完全胜任这项任务，但它们都具有重要的 IT 治理优势：

ITIL®：ITIL 或 IT Infrastructure Library® 由英国内阁办公室开发，作为 IT 服务管理的最佳实践流程库。 ITIL 在全球范围内得到广泛采用，得到 ISO/IEC 20000:2011 的支持，可以根据该标准获得独立认证。在我们的 ITIL 页面上，您可以访问有关 ITIL、IT 服务管理和 ISO 20000 的免费简报。
COBIT®：信息和相关技术的控制目标 (COBIT) 是一种 IT 治理控制框架，可帮助组织在法规遵从、风险管理和使 IT 战略与组织目标保持一致等领域应对当今的业务挑战。 COBIT 是一个国际公认的框架。特别是，COBIT 的管理指南组件包含一个 IT 控制和可衡量性框架，通过提供工具来评估和衡量企业在 37 个已确定的 COBIT 流程中的 IT 能力。
ISO 27002：ISO 27002（由 ISO 27001 支持）是组织中信息安全管理的全球最佳实践标准。

许多组织面临的挑战是建立一个协调的、综合的框架，利用所有这三个标准。 [11]

IT 治理的重要性

IT 治理的重要性 [12]

遵守法规
竞争优势
支持企业目标
成长与创新
有形资产增加
降低风险

IT 治理实施和生命周期

IT 治理实施（图 3.）[13]

IT 治理实施计划必须得到适当和充分的管理。来自主要领导高管的支持和指导可以确保改进被采纳和持续。管理层应将基于当前挑战的要求确定为需要解决的领域，并得到相关关键领导执行官的早期承诺和支持，以及在业务案例中明确表达的目标和利益。成功的实施取决于以适当的方式实施适当的改变。实施生命周期为企业解决实施过程中通常遇到的复杂性和挑战提供了一种方法。生命周期的三个相互关联的组成部分是：
1. 核心持续改进生命周期——而不是一次性项目 2. 变革支持——解决行为和文化方面 3. 项目管理——遵循普遍接受的项目管理原则

Figure 3. source: BusinessOfGovernment.Org

实施生命周期及其七个阶段如上图所示：

第 1 阶段：承认并同意实施或改进计划的必要性。它确定了当前的痛点，并在执行管理层产生了改变的愿望。
第 2 阶段：重点定义实施或改进计划的范围，考虑风险情景如何突出重点关注的关键流程。需要对当前状态进行评估，以通过进行过程能力评估来识别问题或缺陷。（大型计划应构建为生命周期的多次迭代，以取得明显的成功并保持关键领导层的兴趣。）
第 3 阶段：设定改进目标，包括更详细的分析以确定差距和潜在解决方案。（一些解决方案可能是速赢，而另一些则更具挑战性和长期活动——应优先考虑更容易实现和可能产生最大效益的举措。）
第 4 阶段：通过合理的业务案例支持已定义项目的实用解决方案，并制定实施变更计划。（完善的商业案例有助于确保识别和监控项目收益。）
第 5 阶段：将提议的解决方案实施到日常实践中，定义测量并建立监控，确保测量、实现和维护业务一致性。
第 6 阶段：新的或改进的 IT 治理计划的可持续运行以及对预期收益的实现情况的监控。
阶段 7：审核计划的整体成功，确定对 IT 治理的进一步要求，并加强持续改进的需求。

随着时间的推移，应该迭代地遵循生命周期，同时为企业的 IT 治理构建可持续的方法。

为确保 IT 治理实施计划的成功，发起人应拥有所有权，让所有关键的领导高管参与进来，并提供业务案例。最初，从战略的角度来看，业务案例可以处于高水平——自上而下——首先是对期望的业务成果有清晰的理解，然后是对关键任务和里程碑以及关键角色和责任的详细描述；商业案例是管理层在指导创造商业价值时可用的宝贵工具。商业案例至少应包括以下内容：

商业利益，它们与商业战略的一致性以及相关的利益所有者。
创造预期价值所需的业务变化。这可以基于健康检查和能力差距分析，并应明确说明范围内和范围外的内容。
进行 IT 治理更改所需的投资（基于所需项目的估计）
持续的 IT 和业务成本。
以改变的方式运营的预期收益。
与倡议相关的角色、职责和责任。 [14]
如何在整个经济生命周期中监控投资和价值创造，以及要使用的指标（基于目标和结果）。
变更中固有的风险，包括任何限制或依赖性（基于挑战和成功因素）。

有效的 IT 治理

实现有效的 IT 治理实施 [15]
实现有效的 IT 治理实施有七个关键的成功因素。这些被成功实施 IT 治理的公司广泛接受为重要：

获得高管赞助。
- 组织越高越好。如果 IT 治理被视为“可选”，它就行不通。
- 当然，在 IT 方面，CIO 应该是一个有声有色的拥护者。
- 在业务方面，最好有一名 C 级主管。首席财务官尤其是强有力的说服者，因为很明显他们是在代表公司的底线说话。
将客户资源放在团队中。
- 这是从顾问的角度讲的，但这个概念对于内部实现同样有效。
- 成功取决于 IT 和业务方面的强大团队合作和联盟。
- 通过尽早让关键业务方和 IT 用户接触系统，花时间让他们熟悉系统，并解释它的好处，您可以创建在整个公司传播故事的拥护者。
了解问题。
- 先瞄准再开火。花点时间确定您在能力成熟度模型中的起点。如果您处于第一级，则在准备实施转型解决方案之前，您需要完成基本的流程工作。
- 选择一个可实现的目标，最好是一个花费你时间和金钱的特定痛点。缺乏可见性和控制可能导致项目绩效不佳；对 IT 的日常业务请求进行缓慢、劳动密集型的处理；容易出错的应用程序变更管理会危及您最重要的业务系统；缺乏比较 IT 组合中各种项目的潜在价值的标准；或这些的组合。从一个开始，然后从那里开始工作。
设想解决方案。
- 认真想想你最初想要完成的事情。设定高目标，但不要让它们无法实现——它会使人们士气低落。
- 确保您的要求在所有利益相关者中得到明确定义和普遍理解。
- 一旦你采用了原来的计划，就坚持下去。将愿景牢牢固定在您的脑海中。不要听范围蠕变的警笛声。先完成你的使命，然后在成功的基础上再接再厉。
- 专注于流程改进领域。寻找每一个机会来简化工作流程并删除步骤。如果您还没有使用诸如 ITIL 之类的标准框架，那么您应该认真考虑采用它。它将帮助您以一种行之有效的方式使用流程。
出于正确的原因选择正确的软件解决方案。
- 认识到成功的 IT 治理需要清晰、可执行的流程和标准。您的软件应在易于使用的桌面仪表板中提供项目和活动的实时可见性。它还应该包括内置的执行机制。
- 超越您的初始实施。确保软件被构建为企业级解决方案——换句话说，可扩展。检查它是否易于配置且使用灵活。
- 还要确保软件兼容并利用最佳实践框架，如 ITIL 和 CMMi，并支持六西格码等质量问题。
采取小步骤。
- 不要“摇摆不定”。从一个试点项目或小组开始，理想情况下，新系统将向用户展示明确的价值并获得支持。
- 培训极其重要。不要指望人们会无缝地迁移到新系统。如果你把它们扔到他们头上，你就有可能淹没主动权。
- 在某个时候，您会发现新的 IT 治理系统可以取代一些在公司中有追随者的独立现有应用程序。此时一定程度的阻力是自然的。慢慢来，在这些关键时刻，花时间通过协作参与来赢得顽固的用户。
- 不过，一旦开始，您就必须继续前进。小步骤会让你到达那里，但如果你让阻力袋长时间拖延努力，那就不行了。
包括实施后的活动。
- 这是该过程中最容易被忽视的部分之一，尽管它可能是最重要的部分。
- 确保您已经制定了向新系统过渡的明确计划，并在实施完成后立即有条不紊地实施这些计划。
- 这是评估培训效果的关键时刻。投资于与最终用户进行的一对一定制培训，作为对系统可用性及其在用户中引起的参与程度的现实检查。
- 这也是在业务方面宣传该系统的时候。设置定制的 C 级和执行仪表板并将其部署给用户，确保使执行人员适应新系统，并强调它为他们提供的实时可见性和控制力，以“扭动表盘”并从中提取更多业务价值它。
- 积极征求意见。实际上，通过请求并记录用户对改进的意见和建议，立即将系统的所有权转移给最终用户。立即实施最佳建议，以便一线用户看到他们正在被倾听。他们会更快地接受这个系统。

IT 治理的好处

实施 IT 治理的好处（图 4。）[16]
实施 IT 治理模型的主要好处包括： • 战略一致性，从而提高业务合作伙伴的满意度 • 通过改进项目优先级来提高价值交付，从而减少 IT 预算 • 改进性能和资源管理，降低总成本 IT 所有权 • 提高 IT 输出质量，从而减少 IT 控制问题

Figure 4 illustrates the typical benefits and impacts seen when implementing IT governance for clients across various industry sectors.

Figure 4. source: Cognizant

IT 治理、风险管理和合规性

IT 治理、风险和合规性 (IT GRC)（图 6）[17]
“采用统一的 IT 治理、风险和合规 (IT GRC) 方法，并连贯地管理相关活动将提高效率，提供 IT 环境的整体视图并确保问责制。”

IT GRC 确保：

IT 组织的活动和功能支持目标投资最大化。
IT 提供了针对战略的预期收益，优化了成本，并结合了相关的最佳实践。
对 IT 进行了最佳投资，并以负责任、有效和高效的方式管理和使用关键 IT 资源。

Figure 6source: PWC

一些重要的问题：

盈利能力

IT 治理绩效高于平均水平的公司的盈利能力比治理不善的公司高 20% 以上
有效的 IT 治理是组织从 IT 中产生的价值的最重要的预测指标

监管和行业要求

与所有其他资产一样，组织需要满足信息的质量、信托和安全要求
Committee of Sponsoring Organisations of the Treadway Commission (COSO) 发起组织委员会定义了广泛接受的企业治理和风险管理控制框架，还需要一个控制 IT 的框架
萨班斯-奥克斯利法案，巴塞尔 II
行业特定法规
普遍呼吁提高透明度

IT 治理成熟度模型

IT 治理成熟度模型（图 5。）
下图说明了 IT 治理过程的能力成熟度模型。此能力成熟度模型 (CMM) 描述了以下能力级别的成熟度曲线：初始/临时、可重复、定义、管理和优化，以及以下参数：战略调整、价值交付、风险管理、资源管理和绩效管理.

IT Governance Capability Maturity Model

Figure 5. source: Knowledge Leader

IT 治理如何创造 IT 价值？

IT 治理如何创造 IT 价值[18]
IT 治理主要是出于对企业风险透明度和保护股东价值的需求的驱动。 IT 治理的总体目标是了解 IT 的问题和战略重要性，以便公司能够维持其运营并实施战略，使公司能够在现在和未来更好地竞争。因此，IT 治理旨在确保满足对 IT 的期望并降低 IT 风险。 IT 治理存在于公司内部，以指导 IT 计划并确保 IT 的性能满足以下公司目标：

调整 IT 以支持业务运营并保持优势；
负责任地使用 IT 资源；
适当识别和管理 IT 相关风险；
促进 IT 帮助利用机会和最大化收益。

结构化的 IT 治理委员会或政策与公司经理相结合，以确保 IT 与业务同步并为公司创造价值。 IT 治理还有助于公司建立正式的项目审批流程和绩效管理计划。公司通常会做出五种类型的 IT 决策：

IT 原则决定了 IT 在企业中的角色。
关于技术选择和方向的 IT 架构决策。
关于提供共享 IT 服务的 IT 基础架构决策。
每个项目的业务应用需求决策。
IT 投资和优先级决策。

IT 治理的存在是为了帮助企业领导者履行职责，使 IT 成功支持公司的目标和使命。 IT 治理有助于公司高管提高员工的意识和理解。这种治理还有助于为董事会、执行经理和首席信息官提供指导和工具，以确保 IT 与公司目标和政策适当地保持一致，并确保 IT 满足并超出公司的期望。

【CIO-Wiki】IT 治理

什么是 IT 治理（信息技术治理）？

信息技术公司治理 (CGIT)

IT 治理的定义

IT 治理的不同名称

IT 治理的历史

IT 治理的出现 [7]

IT 治理格局

IT 治理领域

IT 治理框架

IT 治理的重要性

IT 治理实施和生命周期

IT 治理实施（图 3.）[13]

有效的 IT 治理

IT 治理的好处

IT 治理、风险管理和合规性

盈利能力

监管和行业要求

IT 治理成熟度模型

IT 治理如何创造 IT 价值？

更多关于 IT 治理（信息技术的公司治理）

See Also

References

标签

Search

什么是 IT 治理（信息技术治理）？

信息技术公司治理 (CGIT)

IT 治理的定义

IT 治理的不同名称

IT 治理的历史

IT 治理的出现 [7]

IT 治理格局

IT 治理领域

IT 治理框架

IT 治理的重要性

IT 治理实施和生命周期

IT 治理实施（图 3.）[13]

有效的 IT 治理

IT 治理的好处

IT 治理、风险管理和合规性

盈利能力

监管和行业要求

IT 治理成熟度模型

IT 治理如何创造 IT 价值？

更多关于 IT 治理（信息技术的公司治理）

See Also

References

标签