风险管理：用IT治理控制IT风险

　　 通过对企业风险管理的研究，我们发现在当前激烈的市场竞争环境下，许多企业昨天还风光无限，今天就可能面临破产。一个企业要获得可持续的发展，除了要有明确的战略方向、优秀的管理团队、合理的组织结构、适应市场要求的产品与技术外，还需要建立良好的治理结构，通过对权力的监督与平衡，就可把企业的战略风险与管理风险控制在一定范围内，那么无论由谁来领导，企业就不会大起大落。

　　 对企业大量的信息化失败案例和对信息化建设中深层次机制问题的研究，我们发现信息化也像企业管理一样，需要制度创新，在信息化过程中，“制度重于一切”的定律同样适用。例如，建造一个信息系统是容易的，让这个系统正常地运转起来并能实现业务价值，则是现实的难题。虽然采用先进的IT技术与产品、优秀的管理方法在一定的程度上能降低IT风险，但并不十分保险，只有通过为IT引入一定的结构、规则与标准，使IT在“他律”（IT治理）的基础上进行“自律”（IT管理），才能使得IT风险在一定的框架内上下左右浮动，不超过企业计划中的风险范围。

　　 这个框架就是IT治理框架，也可以称为IT的“游戏规则”，忽略了规则的建立是国内信息化成功率低的根源，我们应当把建立信息化的“游戏规则”看成是信息化的重要内容之一。

　　 ●什么是IT治理？

　　 国际IT治理研究院（ITGI）认为：IT 治理是一个由关系和过程所构成的体制，用于指导和控制企业，通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。

　　 IT治理可以分为五个域，其中是两个核心，一是IT要向业务提交价值，二是降低风险。前者由IT与业务的战略一致性驱动，后者由企业内部建立的责任驱动；这两者都需要获得足够的资源并进行绩效测量，以保证获得预期的结果；

　　 ●IT治理的目标

　　 完善IT风险控制体系，降低IT成本，实现IT与企业战略、管理、业务、安全的深度融合，使IT为企业持续地创造价值，有效率并有效果地进行信息化。

　　 ●IT治理的主要内容

　　 建立IT治理机制，使IT治理成为公司治理的一部分，在组织的最高决策层上对信息化的进行监管与制衡；对IT进行规划，确保IT战略与业务战略的一致，信息化一定要为业务所想、为业务所用，IT与业务的分离是信息化面临的最大风险；采用国际上得到普遍认可的IT控制标准（例如：COBIT、ITIL、ISO27001）及行业最佳实践，为信息化管理提供规范和标准；识别组织中的重要IT过程，确定其目标、功能与职责。梳理出纵向上的技术管理过程和横向上的客户服务过程，推行过程管理的思想；通过PDCD的过程，即计划、实施、调整、改进的循环，使信息化保持在可持续发展的轨道上，阶段性地进行信息系统审计，以发现存在的偏离，及时调整到信息化的最终目标上来；持续地评估IT绩效，可以从整体信息化绩效、IT项目绩效及IT人员绩效等多个方面进行评估，以了解当前IT状况，为及进的调整与改进提供依据。