2003年5月号《哈佛商业评论》杂志上，尼古拉斯·G·卡尔(Nicholas G.Carr)在一篇题为《IT不再重要》的长文中这样说：“由于信息技术的能力和普及性已经到达成熟阶段，它的战略重要性降低了。公司处理信息技术投资和管理的方式必须彻底变革。”这篇文章引起了业界的强烈反响，全球巨头都投入到这场“IT不再重要了吗”的大讨论中。另外，在国内也展开了一些其他有关IT的讨论，例如信息系统绩效评估、风险控制、信息系统监理、ERP/CRM/SCM/OA等先进信息系统的规划、企业信息中心的变迁等。其中很多讨论没有答案，不过很多人已经把寻求答案的目标归结到信息系统审计与控制上。刚在北京举行的 “中国IT治理论坛暨首届信息系统控制与审计高级研讨会”正是为寻求IT治理的相关问题的答案而召开的。大会以“IT新领域，战略制高点”为主题，参会专家和厂商代表针对中国信息化建设的现状与不足，讨论了中国实施信息系统控制与审计的必要性和紧迫性。大会重点讨论了企业“为什么需要IT治理”、“IT治理是什么”以及“IT治理的国际通用手段和标准有哪些？”。

    信息化的可持续发展谈何容易

    回顾几年来的发展，“信息化带动工业化、工业化促进信息化”的国家战略已日益深入人心，信息化应用取得了世人瞩目的成就，尤其是在今年，电子政务、企业信息化、电子商务、城市信息化等建设为IT产业发展提供了巨大的市场空间。与此同时，我们也要清醒地认识到，随着信息化建设和应用的深入发展，信息化建设和应用中一些深层次问题，也受到越来越广泛的关注。胡克瑾教授认为：“当前中国的信息化建设的现状特点是：信息系统的大型化、复杂化、多样化、网络化；对信息和信息系统的依赖性日益提高；对信息系统投资规模和成本不断增大；系统脆弱性和威胁范围的加大；对IT相关风险的管理被认为是企业治理的一个主要部分。同时，摆在我们面前的挑战是：信息化给我们带来什么？如何变革迎接挑战？如何充分利用IT资源？如何管理好所依赖的信息与信息平台？如何进行控制把风险降到最低？”

    中国的信息化建设如何实现可持续发展，如何提升投资回报？很多人开始考虑IT治理。IT治理这个新领域是以“IT治理”为总框架，涵盖IT审计、信息安全审计、IT服务管理，着重研究IT发展与企业发展在治理结构、企业战略、企业运营管理、风险与价值、成本与控制、审计与监督、服务标准和规范等方面的新问题、新知识和新方法。这些内容势必对未来IT产业的发展、推进信息化建设有着十分重大的意义。陆培炜先生认为：“IT治理的提出，为企业在实现业务目标的同时平衡IT投资和风险方面提供一种机制。为了确保企业能够实现业务目标，实现在风险管理和收益实现间的有效平衡，指导和管理各类IT活动就显得非常迫切。”现在的问题是：如何在中国应用IT治理的辅助手段和标准。

    IT治理的四种辅助手段

    IT治理的使命是保持IT与业务目标一致，推动业务发展，促使收益最大化，合理利用IT资源，适当管理与IT相关的风险。IT治理的目标将帮助管理层建立以组织战略为导向，以外界环境为依据，以业务与IT整合为中心的观念，正确定位IT部门在整个组织中的作用。这些IT治理的使命和目标的实现需要通过多种辅助手段来实现，目前国际上通行的标准主要有四个：COBIT、ITIL、ISO/IEC17799和PRINCE2。

    (1)COBIT

    COBIT(Control Objectives for Information and related Technology)：即信息系统和技术控制目标。成立于1969年的美国信息系统审计与控制协会ISACA，于1996推出了用于“IT审计”的知识体系COBIT。“IT审计”已经成为众多国家的政府部门、企业对IT的计划与组织、采购与实施、服务提供与服务支持、监督与控制等进行全面考核与认可的业界标准。相应地，“注册信息系统审计师”(CISA)日益成为世界各国发展信息化过程中，争相发展的新兴职业和领域。作为IT治理的核心模型，COBIT包含34个信息技术过程控制，并归集为四个控制域：IT规划和组织(Planning and Organization)、系统获得和实施(Acquisition and Implementation)、交付与支持(Delivery and Support)以及信息系统运行性能监控(Monitoring)。

    COBIT 目前已成为国际上公认的IT管理与控制标准。同济大学博士生导师胡克瑾教授认为：“COBIT为3种不同的用户而设计：首先是管理人员，帮助他们在通常无法预测的IT环境中平衡对风险和控制的投资；其次是用户，帮助用户获得由内部或第三方提供的对IT安全和控制服务的保证；再次是IT审计人员，证实他们就内部控制问题向管理部门提出的意见和建议。”

    (2)ITIL

    ITIL(Information Technology Infrastructure Library)：即信息技术基础构架库，一套被广泛承认的用于有效IT服务管理的实践准则。1980年以来，英国政府商务办公室(GOC，原称政府计算机与通信中心)为解决“IT服务质量不佳”的问题，逐步提出和完善了一整套对IT服务的质量进行评估的方法体系，叫做ITIL。2001年，英国标准协会在国际IT服务管理论坛(itSMF)上正式发布了以ITIL为核心的英国国家标准BS15000。这成为IT服务管理领域具有历史意义的重大事件。

    ITIL是一套详细描述最佳IT服务管理的丛书。它是一种公共框架、最佳实践框架，服务质量是ITIL的核心。但ITIL只说明了要做什么(what)，没有说明如何去做(How)，企业应根据需求去参照ITIL框架进行IT服务管理的建设，而不应追求大而全；并且ITIL不是一个理论模型，而是一个最佳实践库。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。