摘要:
IT治理在组织中的应用是在管理指南的指导下完成的。管理指南通过关键成功因素、成熟度模型、关键目标指标、关键绩效指标四个方面的有机作用，使企业中的信息资源得到有效的管理。管理指南的特点是：面向应用，具有通用性、一般性，不能提供针对某一具体测定方法，组织应根据自身环境修改这个一般性的指导方针，以满足实际的应用需要。下面具体介绍管理指南的各个部分在应用中所起的具体作用。

IT治理在组织中的应用指南
IT治理在组织中的应用是在管理指南的指导下完成的。管理指南通过关键成功因素、成熟度模型、关键目标指标、关键绩效指标四个方面的有机作用，使企业中的信息资源得到有效的管理。管理指南的特点是：面向应用，具有通用性、一般性，不能提供针对某一具体测定方法，组织应根据自身环境修改这个一般性的指导方针，以满足实际的应用需要。下面具体介绍管理指南的各个部分在应用中所起的具体作用。
关键成功因素：
关键成功因素为管理部门控制信息技术及其处理过程提供了实施指南。它们是信息技术处理过程中的最关键的要素，是战略性的、技术性的过程或活动，勾画出了IT的控制轮廓。关键成功因素可以从标准控制模型和IT管理框架的目标与审计指南中获取。这些标准要求：信息技术要与企业的运营情况相符；信息技术使营运业务可行，并使其收益最大化；合理使用信息技术资源；适当管理IT的有关风险。关键成功因素平衡所有的IT资源，它由关键绩效指标评价。
下表为从标准控制模型与管理构架中归纳出用于多数信息技术处理过程的关键成功因素，以供参考。

关键成功因素

IT治理活动与公司治理过程相结合，并有公司领导的参与；IT治理专注于公司目标，战略，使用技术提高业务水平，及满足业务需求的足够可用的资源和能力；IT治理活动应该目标明确，制度规范和实施有效，它应是根据公司需要并责任到人；实施最佳管理实践以提高资源的有效使用，提高IT过程的效率；建立组织准则以充分监督，形成一种控制的环境/文化，根据标准程序评估风险，增加对已建立标准的依靠，及监督和追究控制缺陷和风险；建立控制准则以避免内部控制和监管的失灵；许多IT业务流程，如问题管理，变革管理和配置管理，是集成和互相关联的；建立审计委员会；审计委员会任命和监督独立审计员；独立审计员的任务是推行IT相关的审计计划，评审审计结果和第三方审计的评审结果；

关键成功因素是为提高处理过程的成功可能性所做的最重要的事，通常与组织的目标保持一致，是组织和处理过程的可观察可测量的特征，分布于企业的战略层、战术层、应用层及组织的各个方面，可以通过目标分解与识别的方法选择关键成功因素。
关键目标指标

关键目标指标是指通过创建和维护一套处理和控制适当业务绩效的系统，来指导并监督IT传递的商业价值。关键目标指标通过识别测定处理结果，营运过程的输出，在平衡记分卡上测定。
关键目标指标体现的是处理过程的目标，指出哪些是必须做的。它是处理过程实现其目标的可测指标，并且通常定义为需要实现的目标。平衡记分卡主要关注以下几个方面的经营情况：
(1) 财务，包括预算与超支等状况，反映股东的利益。
(2) 客户，包括客户满意度，交货是否及时，服务价值等，反映客户的利益。
(3) 内部处理过程，包括处理的质量与效果等，反映内部人员的利益。
(4) 学习与创新，包括雇员受教育程度及技能基础等，反映企业的发展潜力。
下表为普遍适用的关键目标指标。

关键目标指标

加强绩效和成本管理；提高主要IT投资的回报；提高响应市场速度；增加质量，创新和风险管理；适当集成和标准化业务流程；扩展新客户，满足现有客户；可用的适当带宽，计算能力和IT交付机制；在预算范围内及时满足客户的需求和期望；不违反法律，法规，行业标准和各类合同；清楚承担的风险，这种风险应与组织整体风险状况一致；进行IT治理成熟度标杆比较；创建传递服务的新渠道。

关键目标指标是处理目标的一种表达，明确要取得什么目标，并描绘处理的结果，进行事后评判，直接体现处理过程的完成成功与否，间接体现处理带给经营活动的价值。

关键绩效指标

关键绩效指标对关键成功因素进行评价，通过监测某IT处理过程的执行情况，告诉管理层该处理是否满足其经营需求。关键绩效指标是IT处理过程的性能指标，表现为IT的实际业绩。通过有效性、保密性、完整性、可用性、一致性、可靠性等指标来测定IT的绩效。下表列出对企业具有普遍性意义的关键绩效指标。
关键绩效指标

关键绩效指标

提高了IT流程的成效（成本 vs. 交付能力）；增加了用于改善流程的IT计划；增加了IT基础设施的利用率；增加了客户满意度（调查和投诉数）；增加了员工工作效率（可传递的数量）和士气（调查）；增加用于管理公司的知识和信息的可用性；增加IT治理和公司治理的联系；使用IT平衡计分卡测量时，绩效得到提高。

关键绩效指标是处理过程执行程度的测定，预期将来成败的可能性，是先导性目标，面向处理过程，但驱动信息技术，关注处理过程和平衡记分卡的学习单位，关注对于处理过程至关重要的资源。

关键绩效指标指出处理过程要完成到怎样的程度。两者之间的相互关系可以用平衡记分的概念来理解，如图所示。平衡记分卡测量企业的经营目标的执行情况，信息技术作为商业的使能器也有自己的记分卡。它的测量标准是绩效指标。比如：使能器要执行到怎样的程度才能表明经营目标已经实现。关键绩效指标主要通过信息系统与信息服务的有效性，信息的机密与完整性，处理过程和操作的成本，信息的可信度、可靠性等来评价信息技术的绩效。关键目标指标是驱动经营活动，而关键性能指标面向处理过程，并将经常体现处理过程和组织对所需资源的平衡与管理程度，测定其是否真正达到预期处理目标，是否有助于管理者改进处理。

关键目标指标与关键性能指标的区别主要体现在以下几个方面：

1. 评估时序不同。关键目标指标是处理目标的一种表达，明确要取得什么目标，并描绘处理的结果，是“滞后性”指标，只能在事后测量。关键绩效指标是处理过程执行程度的测定，预期将来成败的可能性，是先导性目标，可以事先给出成功的预示。

2. 关注目标不同。关键目标指标提供了业务平衡计分卡中财务与客户方面的评估标准。关键绩效指标强调了平衡计分卡中的另外两个方面，即内部处理与创新。财务成果与客户满意度是企业经营目标是否达到的一个事后评判标准。而处理执行的好坏与学习创新是组织运行情况好坏的一个指标，并且事先指出了企业经营取得成功的可能性。
驱动力不同。关键目标指标是由企业的经营业务所驱动的，关注企业业务的执行结果，关键绩效指标是企业的信息技术所驱动的，关注与信息技术相关的资源。

IT治理成熟度模型

IT成熟度模型制定了一个基准，组织可能根据上面的指标确定自己的等级，从而了解自身目前的境界。在此基础上确定组织的关键成功因素，通过关键绩效指标进行监控，并衡量组织是否能达到关键目标指标中所设定的目标。成熟度模型从一般的质量模型开始，在各个层次以递增的方式增加了以下方面的惯例与原则：对风险和控制问题的理解与认识；适用于该问题的交流与培训；加工处理和实施的惯例；使过程更有效、更高效的技术与自动控制；与政策与法规的一致程度；专业技能的范围与类型。
平衡风险和收益后的IT治理和IT增值流程治理成熟度级别如下：
不存在。完全不存在可辨识的信息治理流程。组织并没认识到这一问题，因此关于此问题并无交流。
初始级 初始的混乱的。有证据表明，组织已意识到存在IT治理问题并需要研究，尚无标准流程，但有些个人或在有些具体情况下进行了尝试。治理方法混乱，但对于问题和研究方法有零星的、不一致的交流。也可能意识到需要以产出为导向，在相关企业流程中追求IT的价值。没有标准的评价过程，只在组织中发生某些事件带来损失或不利时，IT治理才得以应用。
可重复级 重复的但模糊的。人们普遍对IT治理问题有所了解，IT治理行为和效果处于未发展阶段，包括IT计划、交付和监控流程。其部分结果是，由于高层管理者积极的关注和参与，在组织改变管理流程时运用IT治理行为。选定的IT流程，因提高及控制企业核心流程，并且作为一种投资得到有效的治理，进而形成明确的IT架构。管理者认可基本的IT治理方法、评价技术，但整个组织并未采纳IT治理流程，组织中不存在与管理标准相关的正规培训和交流，仅凭个人反应。个人在不同的IT项目和流程中推行管理流程，他们选择并运用有限的管理工具收集相应信息，但由于缺乏专业知识，可能不能充分发挥IT治理的功能。
已定义级 已定义流程。人们理解并接受IT治理。建立了一套基本的IT治理评价指标，绩效测量与绩效驱动之间的联系也得以确立、形成规范文档并贯穿到战略和运作计划以及管理流程中。流程被标准化、形成文档和实施，管理与标准流程相一致，开始了非正式的培训，对全部IT治理行为的表现进行记录、跟踪，促进企业整体提高。可以测定的流程并不复杂，却仅仅是现行实践的正规化。工具得以标准化，也采用现存技术。整个组织认同IT与商业利益平衡的观念。然而，只是个人接受培训、执行标准，只是偶尔分析问题的根本原因，大部分流程还是根据基本准则进行管理，出现的偏离很少被管理者发现，因为这些偏离主要由于个人原因造成。尽管存在一些问题，可以清楚地评价关键流程的绩效，并根据关键绩效指标对有关人员进行奖罚。
已管理级 已管理和可测量的。通过正规培训，各个层次全面理解了IT治理。人们清楚地知道谁是顾客，而且通过服务水平协议，来定义和监督相应的责任。责任清楚，也落实到流程中的具体人员。IT流程与业务密切相关，与IT战略密切相关。IT流程的进步主要建立在定量的理解基础之上，监督、评测规程和流程的情况是可能的。所有流程参与者了解风险，也了解IT的重要性和IT提供的机会。管理者明确必须对哪些无效的流程采取行动。必要时改进流程，并强制执行最佳内部实践（准则）；标准化根本原因分析程序；确定持续改进措施；以成熟的技术和强制性的标准工具为基础，有限制地、有策略地使用新技术；有所需要的各个方面的内部专家；IT治理发展成公司范围级流程；IT治理活动正与公司治理过程相结合。
优化级 对IT治理问题和解决方案有前瞻性的理解，并做好有关准备；利用先进的思想和技术进行培训和交流；通过持续改进，与其它组织的成熟度比较，业务流程已超越公司外的最佳实践；实施的这些政策已使组织，人和流程快速适应并全面满足IT治理的要求。深入分析所有问题和偏差的根本原因，并能方便地确定和启动有效的行动；以广泛的、集成的和得到优化的方式使用IT自动化工作流，并提供工具提高质量和效果；定义和平衡IT流程的风险和收益，并传达给整个公司；重视外部专家的作用，使用标杆指导IT流程；在组织内监督、自我评价和交流对IT治理的期望，并使用最优的技术支持评测、分析、沟通和培训；公司治理和IT治理战略相关，平衡技术、人和资金以增强企业的竞争优势。
概述起来，IT治理成熟度模型方法的优点与作用在于以下几个方面：

IT治理成熟度模型涉及经营需求的各个方面，是一种进行实用性比较的等级制，能以简单方式测定差异，有助于确定有关信息技术管理、安全性。

使管理部门相对容易地依据等级制对自己定位，通俗地将是给IT管理打分，并找出需要改善管理的地方。组织对自身进行差距分析以确定需要做哪些工作来达到所选级别。0-5等级是基于一个简单的成熟性量度，体现出一个处理如何从不存在级发展到优化级的管理过程，增加成熟度意味着增强风险管理与提高管理效率。

IT治理成熟度是测量管理处理发展程度的一种方法，应该发展到什么程度取决于以上所提的经营需求。这些等级正是一个给定的管理处理的惯例，体现各个成熟层次的典型模式，有助于企业将主要精力投入到关键的管理方面。

IT治理成熟度模型等级有助于专业人员向管理层解释IT管理存在的缺陷，并把他们组织的控制惯例与最佳惯例对照起来，从而确定组织的发展目标。
我们认为IT治理成熟度模型将有助于解决以下在IT部门中普遍存在的问题：

在竞争如此激烈的市场环境中，您的公司或部门在IT应用中处于什么水平？

如果您认为有差距，究竟差在哪里？如何去改进？

如果您觉得运作良好，那么您能说出好在哪里？好到何种程度？

如何对IT管理进行绩效评估？

对于上述问题，如果您觉得有必要拿出一个量化的答案，以助于提升企业的IT应用，那么本文所介绍的IT管理评估工具也许对您能有所启发。

建立IT治理机制

建立IT治理机制是一个动态的过程。IT治理是机制的集合，更是治理主体间互动的过程，全球治理委员会的定义指出：“治理不是一整套规则，也不是一种活动，而是一个过程”，所以IT治理是一个“过程”，是公司与所有利益相关者的互动过程，包括在制定公司长远IT发展战略决策中这些“规则”上的互动，另外，环境的动态性也决定了IT治理的动态性。

IT治理是一个系统的过程。IT治理是控制、指导、协调组织战略目标和IT目标的系统，是IT治理主体、客体、IT治理结构、IT治理机制的总称，是内部IT治理、外部IT治理的融合，是IT治理方法、过程、目标与结果的统称，是为了实现IT治理目标所有制度安排与机制的集合。IT治理系统的目标是提供IT决策机制的科学化、决策过程的协调交互性和决策结果的创新性。

首先需要转变观念

拿着IT这样的现代武器，管理者却依旧是满脑袋的传统观念，结果可想而知，因此首先需要转变观念。在最高管理层（董事会）树立和维护IT战略地位的思想认识，建立企业战略与IT战略的互动观念，阐明IT应担当的角色，从业务的视角创造信息技术指导原则，如信息化规划本质上可以定位成从业务战略到信息战略的实现。从组织的战略出发而不是从系统的需求出发，可以避免脱离目标而进行建设的困境。从业务的变革出发而不是从技术的变革出发，有利于充分利用组织的现有资源来满足关键需求，从而避免建设的信息系统无法有效地支持组织的决策。又如利用电子商务消除时间和空间得特性，发展与全球客户的关系，能够引导巩固客户数据库和订单处理过程。

发展外部环境

目前我国外部市场监控机制尚不健全，公司治理结构中的监控职能被严重削弱，并使董事会失去监督。另一方面，风险管理意识淡薄，安全上采用纯粹技术手段解决。我们认为缺乏优良公司治理和IT治理机制是一些国内企业与金融机构无法抵御全球经济低靡和无法适应市场环境快速变化的重要原因之一。因此，加强IT治理实质上是一个政府和企业机构必须携手面对的问题。政府必须扮演一个重要的推动角色，并且尤其需要强调的是政府制定规则比较合理的方法是通过听证会或知情会上下协商、交互式地制定规则（非自上而下制定规则的方法，新制式车牌的暂停发放就是没有善治的案例），这样才能解决规则的充分合法性、可执行性问题，“治理不是一种正式的制度，而是持续的互动”（《我们的全球伙伴关系》）；鉴于全球化和信息技术得无国界性，尽管在公司治理模式上有英美模式、德日模式、东亚和东南亚模式，但在IT治理上有更大趋同性的发展趋势，因此，从治理（Governance）的角度企业应该采用合乎国际标准的IT治理方法，以促进公司治理、IT治理和经营管理的协调发展。值得一提的是：组织采行优良IT治理机制的行动，将减轻政府部门在制订国民经济和社会信息化中所扮演的角色责任。

逐步试行建立IT治理委员会

IT治理委员会与IT审计师是IT治理最重要得环节。IT治理委员会由组织的最高管理层（董事会）及管理执行层包括IT管理和业务管理有关部门负责人、管理技术人员组成，定期召开会议，就企业战略与IT战略的驱动与设置等议题进行讨论并做出决策，为组织IT管理提供导向与支持，把IT治理的相关规范融入到组织的内部控制中。

对于规模较大的组织，一项IT（如安全）控制活动需要多个部门的共同参与才能得以实现，为能迅速解决控制过程出现的问题，防止内部互相推诿的现象发生，提高工作效率，需组成一个跨部门的IT治理委员会，加强全局的管理与流程执行的纪律，解决诸如信息安全事故的调查与处理等一些实际的问题，这是进行IT管理内部协调的很好的办法。

今年的9月17日美国联邦政府公布了由关键基础设施委员会（CIPB）制订的保障网络安全计划——《国家保障网络安全策略》。根据该计划，美国政府将在网络安全中发挥主导作用，同时会要求所有用户采取措施，其中该文件要求上市公司发布经过独立审计的安全报告，建议公司成立公司安全委员会等。由此可见，美国的IT治理机制已深入发展到建立安全治理机制领域。

明确规定IT管理过程的责任

职责缺乏或界定不清，最终导致控制得不到有效得实施，形成管理风险。组织最高管理层应确保对管理层、部门、运维人员职责进行规定并形成书面文件。
对信息系统进行独立审计

信息系统审计是一个获取并评价证据，以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。它综合运用IT技术与审计理论及方法为信息时代信息的使用者提供合理的保证。

在信息时代，组织为预防不良事件的发生必须将其内部控制扩展到信息处理系统的各个方面，包括企业内部网与因特网在内的任何直接或间接影响财务报表或其他至关重要资料的数据或处理系统，因为该系统与包括合作伙伴在内的其他系统有着密切的联系。此外，这些公司还必须对与其互通业务数据的合作伙伴的内部控制系统有信心。在对于经营惯例、交易处理的完整性、信息保护和如何对信息系统的内部控制实施评估和风险管理方面，组织可以通过内部审计或外部审计达到上述目的。

信息系统审计的主要由以下部分组成：1、信息系统的管理、规划与组织——评价信息系统的管理、计划与组织方面的策略、政策、标准、程序和相关实务。2、信息系统技术基础设施与操作实务——评价组织在技术与操作基础设施的管理和实施方面的有效性及效率，以确保其充分支持组织的商业目标。3、资产的保护——对逻辑、环境与信息技术基础设施的安全性进行评价，确保其能支持组织保护信息资产的需要, 防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失。4、灾难恢复与业务持续计划——这些计划是在发生灾难时，能够使组织持续进行业务,对这种计划的建立和维护流程需要进行评价。5、应用系统开发、获得、实施与维护——对应用系统的开发、获得、实施与维护方面所采用的方法和流程进行评价，以确保其满足组织的业务目标。6、业务流程评价与风险管理——评估业务系统与处理流程，确保根据组织的业务目标对相应风险实施管理。

总之，我们认为我国的信息化建设向着纵深发展，必然要在更深层面上解决体制和机制问题。善治的IT治理机制，应该要极小化由于信息化和透明化所导致的不一致利益冲突所造成的制度面成本。IT治理不仅仅是动态的管理控制架构，还需要落实在组织内部控制及政府与市场监督体系的动态机制。

向楼主学习