IT治理目前已經成為很多大規模企事業單位信息化建設過程當中必不可少的環節。

中培偉業《IT治理與審計最佳實踐（CISA）認證》培訓專家張老師指出，目前很多企業都已經采用多種不同的方式實施了IT治理。在某些情況下，IT治理同IT戰略、IT政策或者IT管理實踐等等這些以前使用的概念沒有什么明顯的不同。雖然有企業聲稱已經實施了IT治理，但從方法論上說，其實都是基于不同的角度，各有側重，也各有弱點。在這里，我們試圖提出一種基于不同視角、不同治理力度之上的IT治理模型。

　　一、公司治理的角度

當今的公司治理是以責任為焦點的、自上而下的一種治理結構。　　如果企業不能積極參與并提供董事會作出決策所必需的信息的話，那么指望獲得很好的風險回報的努力也是注定要失敗的。但在傳統上，信息只會在企業內部的IT部門之間流動，董事會獲取信息的能力有限。

總經理是股東指定的企業掌舵人。他除了需要履行一系列的職責之外，還要公開地表明必須滿足不同類型的利益相關人的期望。用信息技術術語來說，總經理一個關鍵角色職責是要確保公司具有一個完善的內控系統。近年來，盡管很多總經理個人對信息技術的使用都很適應，但是他們很少具備管理信息技術方面的經驗。

一旦IT風險降臨，在掌舵人和水手之間產生的“誤解的旋渦”就可能會造成非常不幸的后果。在湍急的水流中—正如IT界經常發生一樣—這種情況是非常危險的。

走出這種困境的唯一可行的辦法是要求那些對信息技術內行的經理們能夠做些改變，運用明確的語言，高超的表達技巧，把IT對業務的完整含義準確表達出來。總經理們也需要學習新的知識和技能，使他們提出來的問題更有智慧，同時也能讓獨立顧問們設法提升他們的知識和技能，從而在信息技術重重迷霧中找出問題的真相。

接下來，更重要一步是要求總經理們能夠在董事會及其附屬的委員會中的議事日程中把IT治理的優先級提高到更恰當的位置，花更多一點的時間使企業的IT工作走在正確的道路上。

二、投資者的角度

全世界的投資者都希望能選擇并管理一個好的投資組合以獲得合理的回報，條件是較長時期內不會因為風險造成資金損失。在同樣的規則下，IT該如何管理呢?

商業上可能會把IT活動看成一項投資，期望在其整個的投資周期里都能獲利。確實，在一項IT投資的整個周期里，與IT相關的風險特性會發生改變。而采用一套IT相關風險管理的綜合性方法可以在某些方面保持開發費用與開發風險之間的微妙平衡，同時也可以使運作成本與其他風險之間取得平衡

三、合規性的角度

在很多機構，合規管理部門會盡量避免讓人感覺自己置身事外，只會指指點點，要求別人“你要如何如何”這樣的印象。合規經理常常會找出并鼓勵采用“最佳的”或者“領先的”實踐，參照外部的參考模型或標準，制訂超前性的內部政策和具有“自我約束性”的規章。

對IT管理而言，合規同遵從標準、獲得認證的過程類似。多年來，為了證明IT服務供應商的能力，很多機構要求IT服務供應商在某種程度上遵守并維持同一系列的標準之間、某些時髦技術之間以及某些流行技術之間的一致性。

　　四、企業范圍的風險管理的角度

在企業的全范圍內，實施普遍性的風險管理理念勾勒出了一幅未來IT風險管理的藍圖。企業風險政策和過程將會擴展并應用到IT風險領域，為它描述了一條清晰的基線。收錄在風險管理標準里，通用的風險管理過程只要少許調整就可以直接運用于IT范疇—例如，風險的識別、潛在影響評估及風險可能性等等。

為了使IT風險管理取得切實的成效，還有必要對風險管理視角做某些優化。信息技術失效所造成的后果，通常最嚴重的恐怕要算是對業務構成的影響了。衡量信息技術諸多方面的指標，過去大多采用相對單一的方式，而不是使用更嚴格的定量分析。而原因與結果之間的關系又往往非常復雜，難于分析和理解。IT風險自身的特點也決定著很難把它同業務絕對地分開。這種特點造成難以對IT風險進行定價，也難以實現IT風險的轉移。同時，隨著技術的進步，IT風險自身也在持續地快速發展。

主要的難題在于定量和定性兩種技術之間如何取得平衡。IT風險最好能同業務綜合在一起—而不是讓IT獨自承擔IT功能的全部責任—尤其是處在形式多樣而又變化迅速的IT風險環境下。

五、審計與控制的角度

通過對機構業務流程實施徹底的審計，尤其是對那些構成機構財務報告基礎的文檔和記錄的審計，審計師就可以為機構的風險管理作出巨大貢獻了。對于實體貨物或財務資源審計過程主要考察三個方面的內容，即可靠性、完整性和有效性。對審計過程自身而言，很自然地會有一種反應，傾向于審計流程僅僅運用于已存在的過程和程序。和冗長的流程間審計相比，同樣冗長的內部審計讓人感受到了更多的信賴。

　　六、工程和系統的角度

從工程和系統視角出發，我們可以發現系統(機構)中可能存在的一些“單點故障”，也能發現諸如協同、接口等方面的問題。由于是以比較堅實的系統論為理論基礎的，因而在這種視角里包含了諸如反饋、糾錯和適應性行為等等一些基本要素。

純粹采用“系統”視角從概念上越來越難以對“系統”作出解釋。從“工程”視角出發，反而越來越容易理解一個“系統”。因此，對很多機構來說，很少用“系統”來描述什么，反而所謂“項目”、“過程”的觀點可能更適用些。在業務運作的過程里面，如果應用系統處在中心地位的話，那么把IT風險評估同單一的、定義清晰的IT應用關聯起來可能更有意義。

七、生命科學、生物學和生態學的角度

同其他定義良好的系統相比，知識管理系統很好地表現出了自然系統的特征，同時也為IT治理帶來了新的挑戰。從生物學視角出發，有助于解決一些系統的病態結構問題，比如電子郵件系統、電話系統和即時信息系統等等。

在實施IT治理過程中，每一個視角都會為我們帶來獨特的貢獻。要想實現更有效的管理，我們在綜合利用這些貢獻的同時，應該盡力避免受到它們的局限。