将IT治理融入信息系统管理

       讯纳消息2012-12-27：IT治理是信息系统审计和控制领域中一个比较新的理念，随着近些年来，信息系统领域对人们认知的不断提升，IT治理也成为了公司治理在信息时代的重要发展。IBM最早将此理念引入，用于描述企业或政府是否采用有效的机制，使得IT的应用能够完成组织赋予它的使命，同时平衡信息技术与过程的风险、确保实现组织的战略目标。IT治理是公司治理的一部分，对于公司治理，1999年出版的《公司治理的基本原则》一书所下的定义为：为确定组织目标和确保目标实现的绩效监控所提供的治理结构。

       作为信息系统管理的专业人士，谷安天下高级咨询顾问涂振涛，拥有17年的信息系统安全管理、IT审计、信息安全管理规划与管理等方面工作经验，对证券行业信息系统有着丰富的管理经验，熟悉证券监管部门对于证券公司信息系统安全管理的具体要求，熟悉审计流程，有着较强的分析与项目管理、实施能力。他表示，在对一些学员进行授课培训时，对这一方面内容有了更深一步的认识和想法，并打算在今后对CISA学员进行培训时予以实施。

       他表示，IT治理就是要明确有关IT决策权的归属机制和有关IT责任的承担机制，以鼓励IT应用的期望行为的产生，以联接战略目标、业务目标和IT目标，从而使企业从IT中获得最大的价值。IT治理与公司治理是包含被包含的关系，公司治理主要是关注利益相关者权益和管理，包括一系列责任和条例，由最高管理层（董事会）和执行管理层实施，其目的在于提供战略方向，保证目标能够实现，风险适当管理，企业资源合理使用；而IT治理是公司治理的重要组成部分，是董事会或最高管理层的责任。

       IT治理由领导、组织结构以及相关流程组成，这些流程能保证组织的IT能有效支持及促进组织战略目标的实现，同时控制风险、降低成本、提高绩效。而IT治理关注的5个关键域则分别是战略一致性、价值交付、资源管理、风险管理、绩效测量。

       同时还要注意的是，IT管理与IT治理是有区别的。IT 管理是公司的信息及信息系统的运营，确定IT 目标以及实现此目标所采取的行动；而IT 治理是指最高管理层（董事会）利用它来监督管理层在IT战略上的过程、结构和联系，以确保这种运营处于正确的轨道之上。

       IT 管理就是在既定的IT 治理模式下，管理层为实现公司的目标而采取的行动。缺乏良好IT 治理模式的公司，即使有“很好”的IT 管理体系（而这实际上是不可能的），就像一座地基不牢固的大厦；同样，没有公司IT 管理体系的畅通，单纯的治理模式也只能是一个美好的蓝图，而缺乏实际的内容。