企业IT治理体系规划

构建全面的IT治理体系IT治理定义构建全面的IT治理体系，首先要搞清楚IT治理是什么，它的起源和发展历史，这对我们理解IT治理十分必要。

治理与管理的区别治理和管理分属不同层面，打个比方来说：火车行驶中管理仅仅是执行，是开火车，解决如何让火车跑得更快的问题；而治理则是谁来做决策，在哪修轨道，约束火车必须在轨道上行驶的问题。

但同时治理和管理又是一个硬币的两面，缺了谁也不行。

简单的说管理解决的是如何把事情做好，治理决定的是要做哪些事，谁来做这些事，以及决策机制如何建立、监控的问题。

公司治理与IT治理IT治理的提出，一方面是因为信息已经成为我们企业最为宝贵的资产，IT在组织中已经扮演一个影响到组织全局、影响到治理层面的角色，另外一方面与全球瞩目的焦点难题——公司治理亦有着深刻的渊源。

那么IT治理和公司治理到底是什么关系呢？众所周知，公司治理问题一直是企业制度与组织的核心问题。

近年来，因上市公司频频“惊曝黑幕”，“公司治理”成为全球性的问题。

从美国的安然、世通、施乐等粉饰业绩甚至导致企业崩溃的案件，到日本雪印食品公司舞弊案件，都使得公司治理正在成为企业议事日程中最重要和最迫切的任务。

公司治理是一种对公司管理和运营进行监督和控制的体系。

它的核心是在所有权和经营权分离的条件下，解决好所有者和经营者的利益不一致而产生的委托—代理关系。

其目标是降低代理成本，使所有者不干预公司的日常经营，同时又保证经理层维护股东的利益，实现公司价值和利益的最大化。

IT治理就是公司治理的一部分。

来自国际信息系统审计与控制协会(ISACA)对IT治理的定义：IT治理是一个由关系和过程所构成的体制，用于指导和控制企业，通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。

IT治理必须与企业战略目标一致。

IT 治理和其它治理主体一样，是管理执行人员和利益相关者的责任。

研究IT治理，须将其放在组织背景中，将其看作是必须通过治理而产生价值地六种关键资产（人力、财务、实物、知识产权、IT、关系）之一。

IT治理框架IT 项目管理PMBoK 、IPMBOK 、iPMBOK2004、PRINCE2、MSPIT 质量管理TQM 、CMM 、ISO 9000、TickIT 、Six Sigma 、ITGov 协调式咨询方法论IT 风险管理COSO-ERM 、M_o_R 、AS/NZS 4360、CobiT 、ITGov 信息化风险管控体系信息安全管理信息安全等级保护管理办法、ISO27001、ISO/IEC 13335、ISO/IEC 15408及CC 、ITGov 信息安全治理框架灾难恢复与业务持续性管理GB20988-2007、BS25999、NIST SP 800-34IT 绩效管理ITGov 绩效管理九宫格、ITBSC 、ITGov 三位一体绩效评价框架、FEA 、EAF 、ITGov 信息系统审计标准体系、ITGov 基于数据挖掘和网络技术的舞弊审计模型、ITGov 电子政务绩效评估体系、ITGov 运维与外包绩效评价体系核心IT 能力ITGov 核心IT 能力模型及其评价体系、ITGov-IT 领导力九项修炼 l 最高管理层（董事会）通过下述指标衡量业绩 l 定义和检查IT商业价值评估手段并加以管理， l 证实目标已经达到， l 衡量组织绩效， l 减少不确定性。

为何说良好的IT治理是组织成功的关键因素？ 管理者的焦点主要是成本—效益比，增加收入，构建核心竞争力，这些都由信息、知识、信息技术体系所推动。

由于信息技术作为实现业务目标的一个集成部分，其解决办法越来越复杂（外包，第三方合同，网络化等），因此，善治成为成功的一个关键因素。

IT治理中，管理者的职责有哪些？ IT治理过程中，管理者的职责是： l 将IT风险管理的责任和控制落实到企业中，制定明确的政策指引和全面的管理控制框架； l 将战略、策略、目标等由上至下落实到企业，并使IT与业务目标一致； l 提供治理（约束和激励）机制支持IT战略的实施，制定IT基础设施加快业务流程的创新与信息共享；通过衡量企业业绩和竞争优势来测度信息技术的效果（KPI，KGI）； l 使用IT绩效评估工具，弥补行政管理的不足； l 关注IT必须支持的核心竞争力，如增值客户价值的业务过程，差异化的产品和服务，通过交叉组合产品和服务来产生增值； l 关注重要的增值的信息技术过程； l 关注与规划IT资产、风险、工程项目、客户和供应商相关的核心竞争能力。

it治理机制摘要：1.IT 治理机制的概述2.IT 治理机制的重要性3.IT 治理机制的实施策略4.IT 治理机制的挑战与未来发展正文：一、IT 治理机制的概述IT 治理机制是指为确保企业或组织IT 系统的正常运行、安全可靠、合规有效，以及实现企业战略目标，所制定的一系列管理措施、方法和制度。

IT 治理机制主要包括IT 战略规划、IT 风险管理、IT 资源管理、IT 服务管理、IT 合规性管理等方面，它关乎企业IT 系统的稳定运行和业务发展。

二、IT 治理机制的重要性1.提高IT 系统的可靠性和稳定性：通过IT 治理机制，企业可以确保IT 系统的正常运行，降低系统故障和停机风险，从而保障业务的连续性。

2.增强IT 系统的安全性：IT 治理机制可以帮助企业建立完善的安全防护体系，防止内部和外部的威胁，保护企业数据和信息资产的安全。

3.促进企业战略目标的实现：IT 治理机制能够确保IT 系统与企业战略目标保持一致，提高IT 资源的利用效率，促进企业核心竞争力的提升。

4.提高企业合规性：IT 治理机制可以帮助企业遵循相关法律法规、行业标准和最佳实践，降低合规风险，维护企业声誉。

三、IT 治理机制的实施策略1.制定IT 战略规划：企业需要根据业务发展需求，制定合理的IT 战略规划，明确IT 系统的发展方向和目标。

2.建立IT 风险管理体系：企业应识别和评估IT 系统面临的各种风险，制定相应的风险应对措施，确保IT 系统的安全稳定运行。

3.加强IT 资源管理：企业应合理配置IT 资源，提高资源利用效率，降低企业运营成本。

4.完善IT 服务管理体系：企业需要建立完善的IT 服务管理体系，提供高质量的IT 服务，满足业务需求。

5.强化IT 合规性管理：企业应关注法律法规、行业标准和最佳实践的变化，确保IT 系统遵循相关要求，降低合规风险。

四、IT 治理机制的挑战与未来发展随着数字化转型的深入，企业IT 系统将面临更加复杂多变的环境，IT 治理机制也需要不断优化和升级。

某集团IT治理规划西子联合信息化规划报告第七卷：IT治理规划报告文档神州数码项目组审核：提交日期：2009-09-27当前版本：V3.0拷贝份数：1神州数码治理系统公司此报告仅供西子联合内部规定范畴内使用。

未经神州数码书面许可，任何机构不得擅自传阅、引用或复制文档操纵(a)文档更新记录(b)文档审核记录(c)文档去向记录摘要说明本次信息化咨询规划项目报告共八卷，包括：第一卷:《企业战略梳理报告》第二卷:《集团管控、业务诊断与IT需求报告》第三卷:《IT现状诊断报告》第四卷:《IT战略和蓝图设计规划报告》第五卷:《应用系统规划报告》第六卷:《IT基础设施规划报告》第七卷:《IT治理规划报告》第八卷:《IT建设打算与投资估算报告》本文是[西子联合控股集团信息化规划咨询]项目的《IT治理规划报告》交付物，是总八卷的第七卷。

本成果由西子联合控股集团和神州数码顾问组成的信息化规划咨询项目组共同完成。

本建议方案报告的基础：依照西子联合控股集团中高层调研、企业资料收集，结合行业进展趋势和行业实践明白得综合设计而成。

本报告的要紧目标：规划信息化建设、实施和爱护的IT组织建设、IT治理保证。

本报告要紧内容：1.集团IT治理评估分析：描述了IT现有组织架构评估和整体信息化组织。

2.集团信息化组织设计以及IT大纲：阐述了集团IT组织治理形式和集团IT治理大纲。

3.集团信息中心架构、功能和绩效设计：设计了信息中心组织架构方案、信息中心组织架构功能、职责和信息中心考核及指标。

4.集团信息中心IT运营治理：明晰了 IT需求治理、IT项目治理体系、IT服务治理、外包治理。

目录文档操纵 (1)(a)文档更新记录 (1)(b)文档审核记录 (1)(c)文档去向记录 (1)摘要说明 (2)第1章IT治理规划 (4)1.1西子联合IT治理评估分析 (4)1.1.1IT组织架构现状评估 (4)1.1.2业务需求及IT项目治理 (4)1.1.3IT服务治理评估 (5)1.2西子联合信息化组织设计以及IT大纲 (5)1.2.1西子联合IT组织治理形式 (6)1.2.2西子联合IT组织形式 (7)1.2.3西子联合IT治理大纲 (8)1.3西子联合信息中心架构、功能和绩效设计 (15)1.3.1集团信息化组织建议 (15)1.3.2集团总部信息中心组织架构方案 (15)1.3.3集团总部信息中心组织架构功能、职责 (17)1.3.3.1IT规划 (17)1.3.3.2应用治理 (18)1.3.3.3运维治理 (18)1.3.4子集团信息部组织架构方案 (19)1.3.5信息中心考核及指标 (20)1.3.5.1部门考核指标 (20)1.3.5.2运维治理 (21)1.3.5.3应用治理 (22)1.3.5.4软件研发 (23)1.3.5.5集团职能部门/子公司业务部门考核指标 (24)1.3.6IT需求治理 (25)1.3.7IT项目治理体系 (28)1.3.7.1项目立项治理 (28)1.3.7.2项目实施监控 (29)1.3.7.3结项转产治理 (29)1.3.8IT服务治理 (30)1.3.8.1IT运维的现状与问题分析 (30)1.3.8.2IT服务治理机制 (30)1.3.9外包治理 (34)1.3.9.1外包机会分析 (34)1.3.9.2服务外包策略 (35)第1章 IT 治理规划1.1西子联合IT 治理评估分析1.1.1IT 组织架构现状评估I T 组织架构现状评估：整体架构差不多形成，制度和流程正在完善▪集团总部IT 人员2名，下属子公司IT 人员2－3名▪无论是集团总部还是下属分子公司IT 人员数量比较少，往往1人身兼数职，内部岗位设置需要进一步清晰和细化，以有利于人力资源管理和考核▪信息中心的组织架构和内部管理建设需要进一步清晰和细化，可以考虑建设信息化管理（侧重规划和管理）、应用开发（侧重软件开发、维护）、系统网络（侧重网络和硬件的维护管理）、服务支持（侧重标准软件安装、维护及用户应用和技术问题处理）▪目前集团层面还没有成立信息化建设委员会；▪信息化建设实施的计划性有待加强▪需要成立集团IT 决策机构，明确核心决策的制度和流程▪需设立业务顾问组/业务关键用户组：为企业信息化建设和规划提供专业业务和需求指导；▪需要设立企业信息化推进组：保障应用的实施和推广；1.1.2 业务需求及IT 项目治理业务需求及IT 项目治理：还未建立统一的需求受理机制，需要进一步完善和加强IT 项目治理的制度、流程和方法▪需要进一步建立统一的需求受理机制▪需要进一步完善和加强IT项目管理的制度、方法和流程▪需要建立科学的业务IT需求的管理流程和沟通方法，通过制度和流程规范内部需求的申请、提交和变更管理；▪建立内部项目预算体系，对信息化项目进行统一规划、申报、评审、立项制度；▪建立内部项目的实施管理制度，实施项目启动、实施、控制、变更、收尾、评估总结机制1.1.3IT服务治理评估IT服务治理评估：差不多成型的服务流程、规章制度和采购标准，需要进一步清晰和细化▪运维工作的相关制度和流程需要进一步明晰和细化；▪加强IT运维的体系化和制度化建设，建设IT服务台管理、事件管理、问题管理、服务级别管理等IT运维服务制度和方法；▪建立科学的外包管理体系，根据实际需要推进服务外包，提高专业程度，节省资源…；▪对信息化服务的质量控制、绩效量化、考核等需要提高▪信息中心内部对岗位职责进行梳理，以服务质量为导向，确定考核指标，量化…；▪加强IT运行质量指标、核心业务指标、辅助指标的建设和完善工作；1.2 西子联合信息化组织设计以及IT大纲针对西子联合信息化组织的现状，下面专门设计西子联合信息化组织的架构和大纲。

IT治理框架为什么说IT治理首先是治层的职责？IT治理是各利益相关方的职责，但它首先是治理层的职责。

具体内容如下：IT治理保证总体战略目标能够从上而下贯彻执行。

IT治理和其它治理活动一样，集中在最高管理层（董事会）和管理执行层。

然而，由于IT治理的复杂性和专业性，治理层必须强烈依赖企业的下层来提供决策和评估所需要的信息。

为保证有效的IT治理，下层应和企业总体目标采用相同的原则，提供评估业绩的衡量方法。

因此，好的IT治理实践需要在企业全部范围内推行。

董事会在IT治理方面承载的职责有哪些？董事会在IT治理方面的职责是：l 证实IT战略与业务战略一致；l 证实通过明确的期望和衡量手段交付IT商业价值；l 指导IT战略、平衡支持企业当前和未来发展的投资；l 恰当决策信息资源应优先配置的地方。

董事会衡量业绩的指标和方法有：l 定义和检查IT商业价值评估手段并加以管理l 证实目标已经达到，l 衡量组织绩效，减少不确定性。

董事会衡量IT绩效的指标有哪些？l 最高管理层（董事会）通过下述指标衡量业绩l 定义和检查IT商业价值评估手段并加以管理，l 证实目标已经达到，l 衡量组织绩效，l 减少不确定性。

为何说良好的IT治理是组织成功的关键因素？管理者的焦点主要是成本—效益比，增加收入，构建核心竞争力，这些都由信息、知识、信息技术体系所推动。

由于信息技术作为实现业务目标的一个集成部分，其解决办法越来越复杂（外包，第三方合同，网络化等），因此，善治成为成功的一个关键因素。

IT治理中，管理者的职责有哪些？IT治理过程中，管理者的职责是：l 将IT风险管理的责任和控制落实到企业中，制定明确的政策指引和全面的管理控制框架；l 将战略、策略、目标等由上至下落实到企业，并使IT与业务目标一致；l 提供治理（约束和激励）机制支持IT战略的实施，制定IT基础设施加快业务流程的创新与信息共享；通过衡量企业业绩和竞争优势来测度信息技术的效果（KPI，KGI）；l 使用IT绩效评估工具，弥补行政管理的不足；l 关注IT必须支持的核心竞争力，如增值客户价值的业务过程，差异化的产品和服务，通过交叉组合产品和服务来产生增值；l 关注重要的增值的信息技术过程；l 关注与规划IT资产、风险、工程项目、客户和供应商相关的核心竞争能力。

IT 治理架构一个有效的IT 治理架构需要理解组织的核心竞争力，并且在商业目标，治理原型，业务绩效目标之间维持平衡，进而提出IT 治理框架，制定决策以及如何在关键的信息技术领域中确定。

由此，意识到IT 治理与企业治理之间的必然联系，提供管理相关风险的最佳实务指导。

企业目标是保证企业健康、可持续发展，关注商业目标、知识管理、商业通讯、客户关系、商业活动与过程；IT 治理目标是信息系统、技术和网络、知识管理、IT 资产管理、电子商务、IT 合法性等。

COBIT ，直译为信息及相关技术的控制目标，是IT 治理的一个开放性标准，由美国IT 治理研究院开发与推广，目前已成为国际上公认的最先进、最权威的安全与信息技术管理和控制的标准。

该标准为IT 的治理、安全与控制提供了一个一般适用的公认的标准，以辅助管理层进行IT 治理。

该标准体系已在世界一百多个国家的重要组织与企业中运用，指导这些组织有效利用信息资源，有效地管理与信息相关的风险。

COBIT 模型COBIT 将IT 过程，IT 资源及信息与企业的策略与目标联系起来，形成一个三维的体系结构。

其中，IT 准则维集中反映了企业的战略目标，主要从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性； IT 资源维主要包括以人、应用系统、技术、设施及数据在内的信息相关的资源，这是IT 治理过程的主要对象；IT 过程维则是在IT 准则的指导下，对信息及相关资源进行规划与处理，从信息技术的规划与组织、采集与实施、交付与支持、监控等四个方面确定了34个信息技术处理过程，每个处理过程还包括更加详细的控制目标和审计方针对IT 处理过程进行评估。

COBIT 的34个信息技术过程：这个模型为企业管理的成功提供了集成的IT管理，通过保证有关企业处理过程的高效的改进措施，以更快更好更安全地响应企业需求。

管理指南定义了IT过程的成熟度模型，为管理者评估IT过程的状态提供了标准。

IT治理框架IT治理是指设计并实施信息化过程中各方利益最大化的制度安排,包括业务与信息化战略融合的机制，权责对等的责任担当框架和问责机制，资源配置的决策机制，组织保障机制，核心IT能力发展机制，绩效管理机制以及覆盖信息化全生命周期的风险管控机制。

该制度安排的目的是实现组织的业务战略，促进管理创新，合理管控信息化过程的风险,建立信息化可持续发展的长效机制,最终实现IT商业价值。

（ITGov中国IT治理研究中心根据ITGov中国IT治理研究中心正式发布的中国首个自主创新的中国企业IT治理框架，该框架有七要素组成:科学的信息化发展观、IT商业价值、IT治理方法、IT治理绩效、IT治理决策模式、IT风险管理控制体系、核心IT能力。

（ITGov中国IT治理研究中心,2008）如图所示。

高水平的、可持续的IT治理,需要考虑同时到这七个要素：→ 科学的信息化发展观是IT治理框架构建的理论指导方针，→ 国外公认的IT治理方法和中国国内自主创新的IT治理方法是IT治理框架构建的工具,二者的结合是正确构建IT治理框架的前提基础；→ 科学的发展离不开科学决策,科学决策是科学发展的重要环节，IT治理首当其冲的就是建立什么样的决策模式。

IT治理必须要树立科学决策意识、并健全决策机制，完善决策方式、规范决策程序、强化决策责任，保证决策的正确有效；→ IT治理决策的实施是要靠规范化、精细化和主动式的IT全生命周期风险管控流程来实现，同时对IT全生命周期风险管理控制过程与结果进行评价，并持续改进过程与度量方法；→ 具有持续竞争优势的动态的核心IT能力是IT治理水平背后的决定性因素,IT治理水平是核心IT能力的表现;为什么说IT治理首先是治层的职责？IT治理是各利益相关方的职责，但它首先是治理层的职责。

具体内容如下：IT治理保证总体战略目标能够从上而下贯彻执行。

IT治理和其它治理活动一样，集中在最高管理层（董事会）和管理执行层。

集团IT管控治理体系总体规划方案随着互联网和信息技术的快速发展，企业的IT系统管理已成为现代企业必不可少的一部分。

企业集团的IT系统涵盖了各个部门的信息技术，包括网络、服务器、软件等等，对企业的信息化、数字化转型和管理流程都具有至关重要的作用。

为了规范和优化企业集团的IT系统管理，必须建立集团IT管控治理体系总体规划方案。

第一步，制定规划目标。

包括企业的IT愿景、目标、战略等，为IT系统的规划和管理指明方向，帮助制定出详细的IT管理规章制度、流程、标准等。

第二步，优化组织架构。

成立IT管理部门，设立IT系统管理组、IT技术支持组、信息安全组等专业组织，明确各部门职责和协作机制，划分职能权限，并建立健全的IT审批制度和管理流程，推动业务与IT 的深度融合。

第三步，技术规划和架构规划。

详细设计IT架构和技术路线图，包括硬件设施、操作系统、数据库、应用软件等。

根据不同业务需求和IT系统的特点，提出推进IT更新换代、云化、集成和升级的策略。

第四步，信息安全策略。

在IT管控治理体系中，信息安全具有重要的地位。

要通过引入先进的安全技术和管理制度，确保企业的业务系统环境安全可靠，企业信息安全得到保障，并建立完善的安全监控体系。

第五步，流程优化。

分析企业内部业务流程和IT系统在业务流程中所扮演的角色，并结合IT管理规范标准对现有流程与业务系统对接情况进行评估，梳理各业务流程，提出优化建议，优化整个企业的价值流和信息流。

总之，建立集团IT管控治理体系总体规划方案是IT管理和运营的基础，一个完整的IT治理模式和体系，在IT建设、IT运营和IT安全等方面都能够达到最佳状态。

给企业赋能不仅是扩大业务规模的核心手段，更是探索新商业模式、新经营实践的载体，因而IT信息化治理体系的完善和规范至关重要。

企业IT定位、IT组织架构及IT制度和流程一、IT定位IT是信息技术（Information Technology）的缩写，因其使用的目的、范围、层次不同而有着不同的理解。

而在文所讨论的IT，则是特指企业内部的IT 部门，并不是泛指的IT行业。

在企业发展的不同阶段，企业内部的IT组织的作用和定位是不同的。

而且，由于企业的行业不同、规模不同以及管理理念的不同，IT组织也存在着巨大的差异。

正是因为其中的差异，IT管理中就存在各式各样的问题。

1.1IT困惑无论公司的行业和组织，也无论IT的组织大小，在管理中，我们可能或多或少碰到过类似的问题：1）IT就是修修电脑，弄弄网络；2）用户问题频发，IT人员应接不暇，用户满意度差；3）业务需求总是改来改去，不同部门需求冲突无人决策；4）流程制度尚未明确，IT系统早已被修改得面目全非，却被用户抱怨IT规则不对；5）数据不一致却找不到对应的人，IT为业务常常改数据；6）IT预算紧张，用户要求很高；7）安全和效率冲突，用户抱怨安全管控策略太严；8）……无论是作为IT部门的管理者，还是IT部门的员工们，或多或少感到些许失落和尴尬。

我们经常产生疑问，是不是IT组织的问题都是如此呢？1.2IT现状在IT组织的发展过程中，上面的问题可能在不同的公司都以类似的问题方式存在过。

但随着公司的发展和需要，以及IT管理的进步，在不同的公司，却呈现着不同的IT现状。

1.2.1IT作为基础支撑部门初现在公司创建之初，大部分公司的IT要求只是需要服务器和基础网络，此时大部分的企业会让某个员工兼职做IT。

随着公司各个部门逐渐完善，内部分工逐渐明确，此时IT组织会作为一个基础支撑部门存在。

IT的职责基本上是负责IT的基础架构，主要包括基础网络、服务器存储、邮件系统等。

公司出台少量的内部管理制度后，就会存在审批或财务等要求，IT部门会导入OA或ERP系统，甚至有的公司是财务部门负责导入ERP系统。