什么是信息技术 (IT) 治理？

信息技术 (IT) 治理是公司治理的子学科，侧重于信息技术 (IT) 及其绩效和风险管理。对 IT 治理的兴趣是由于组织内部持续需要将价值创造工作集中在组织的战略目标上，并为了所有利益相关者的最佳利益更好地管理负责创造该价值的人员的绩效。它是从科学管理原则、全面质量管理和 ISO 9001 质量管理体系发展而来的。

从历史上看，董事会级别的高管将关键 IT 决策推迟给公司的 IT 管理人员和业务领导。除非建立适当的监督，否则负责管理 IT 人员的短期目标可能会与其他利益相关者的最佳利益相冲突。 IT 治理系统地涉及每个人：董事会成员、执行管理层、员工、客户、社区、投资者和监管机构。 IT 治理框架用于识别、建立和链接监督信息和相关技术使用的机制，以创造价值并管理与使用信息技术相关的风险。

存在各种 IT 治理定义。在商业世界中，重点一直放在管理绩效和创造价值上，而在学术界，重点一直放在“指定决策权和问责制框架以鼓励使用 IT 时的理想行为”。

IT 治理协会的定义是：“……确保组织的 IT 维持和扩展组织的战略和目标的领导力、组织结构和流程。”

AS8015 是澳大利亚信息和通信技术 (ICT) 公司治理标准，将 ICT 公司治理定义为“指导和控制 ICT 当前和未来使用的系统。它涉及评估和指导使用计划ICT 支持组织并监控这种使用以实现计划。它包括在组织内使用 ICT 的战略和政策。”

背景

信息技术治理学科于 1993 年作为公司治理的派生首次出现，主要处理组织战略目标、业务目标和组织内 IT 管理之间的联系。它强调了价值创造和责任对信息和相关技术的使用的重要性，并确立了管理机构的责任，而不是首席信息官或业务管理人员的责任。

信息和技术 (IT) 治理的主要目标是

• (1) 确保信息和技术的使用产生业务价值，
• (2) 监督管理层的绩效，以及
• (3) 降低与使用信息和技术相关的风险。

这可以通过董事会层面的指导来完成，实施一个组织结构，对影响成功实现战略目标的决策制定明确的问责制，并通过在流程中组织活动，将良好实践制度化，流程中的活动具有明确定义的流程结果，可以与组织的战略目标。

继 1980 年代公司治理失败后，许多国家在 1990 年代初期制定了公司治理准则：

• 特雷德韦委员会赞助组织委员会（美国）
• 吉百利报告（英国）
• 国王报告（南非）。

由于这些公司治理努力更好地管理公司资源的杠杆作用，因此特别关注信息和支持良好公司治理的基础技术的作用。人们很快认识到，信息技术不仅是公司治理的推动者，而且作为一种资源，它还是需要更好治理的价值创造者。

澳大利亚于 2005 年 1 月发布了 AS8015 信息通信技术公司治理，并于 2008 年 5 月作为 ISO/IEC 38500 快速通过。[3]

IT 治理流程根据战略强制将 IT 资源和流程与企业目标直接联系起来。 IT 治理的成熟度曲线与 IT 的整体有效性之间存在很强的相关性。

问题

IT 治理经常与 IT 管理、合规性和 IT 控制相混淆。诸如“治理、风险和合规 (GRC)”之类的术语在治理和合规之间建立了联系，从而加剧了这个问题。 IT 治理的主要重点是代表各种利益相关者管理 IT 资源，其排名由组织的管理机构确定。解释 IT 治理的一个简单方法是：利用 IT 资源要实现什么。 IT 管理是关于“规划、组织、指导和控制 IT 资源的使用”（即如何使用），而 IT 治理则是根据治理者给出的方向为利益相关者创造价值。 ISO 38500 通过描述供公司董事使用的模型来帮助阐明 IT 治理。

虽然董事负责这一管理工作，但将此职责委托给管理人员（业务和 IT）并不罕见，他们需要发展必要的能力来实现预期的绩效。虽然管理风险和确保合规性是良好治理的重要组成部分，但主要重点是交付价值和管理绩效（即“治理、价值交付和绩效管理”（GVP））。

框架

有相当多的支持性参考资料可能是实施信息和技术 (IT) 治理的有用指南。他们之中有一些是：

• AS8015-2005 澳大利亚信息和通信技术公司治理标准。 AS8015 于 2008 年 5 月被采纳为 ISO/IEC 38500
• ISO/IEC 38500:2015 信息技术企业治理，[4]（非常接近于 AS8015-2005）提供了一个有效的 IT 治理框架，以帮助组织的最高层理解并履行其法律、法规、和有关其组织使用 IT 的道德义务。 ISO/IEC 38500 适用于各种规模的组织，包括公共和私营公司、政府实体和非营利组织。该标准为组织主管在其组织内有效、高效和可接受地使用信息技术 (IT) 提供了指导原则。
• COBIT 被认为是世界领先的 IT 治理和控制框架。 COBIT 提供了一个组织中常见的 37 个 IT 流程的参考模型。每个流程都与流程输入和输出、关键流程活动、流程目标、绩效度量和成熟度模型一起定义。 ISACA 在 2019 年发布了 COBIT2019，作为“企业 IT 治理和管理的业务框架”。 COBIT2019 整合取代了 COBIT 5，后者本身将 COBIT 4.1、Val IT 和 Risk IT 替换为一个单一的框架，充当与 TOGAF 和 ITIL 一致并可互操作的企业框架。
• IGPMM- 信息治理流程成熟度模型 [5] 取决于成熟的 22 个流程，这些流程有助于识别和改进信息价值、成本和风险的管理。 CGOC 于 2017 年 3 月更新了 IGPMM。[6]这些流程反映了关键信息利益相关者的需求，包括法律、记录信息管理 (RIM)、隐私和安全、业务线和 IT。每个业务流程的成熟经历四个阶段：
  • 第 1 阶段：临时且不一致
  • 第 2 阶段：孤立和手动
  • 第 3 阶段：孤立、一致和仪表化
  • 第 4 阶段：集成、仪表化和优化

其他框架提供了关于 IT 管理和 IT 治理流程的部分视图：

• CMM - 能力成熟度模型：专注于软件工程
• ITIL - 专注于 IT 服务管理
• ISO/IEC 20000 - 专注于 IT 服务管理
• ISO/IEC 27001 - 专注于信息安全管理
• ISO/IEC 27005 - 关注信息安全风险管理
• ISO/IEC 29148 和 IREB - 关注需求工程
• ISO/IEC 29119 和 ISTQB - 专注于软件测试

非 IT 特定的使用框架包括：

• PRINCE2 和 PMBOK - 专注于项目管理
• ISO 22301 - 关注业务连续性
• 平衡计分卡 (BSC) - 评估组织在许多不同领域的表现的方法
• 六西格码——专注于质量保证
• 开放组架构框架 (TOGAF) - 使业务和 IT 保持一致的方法，从而产生有用的项目和有效的治理

专业认证

 

• 企业信息技术治理认证 (CGEIT) 是 ISACA 于 2007 年创建的认证。它专为经验丰富的专业人士而设计，他们可以展示 5 年或以上的经验，担任管理或咨询角色，专注于企业级别的 IT 治理和控制。它还需要通过 4 小时的测试，旨在评估申请人对企业 IT 管理的理解。第一次考试于 2008 年 12 月举行。
• COBIT5 Foundation、COBIT5 Assessor 和 COBIT5 Implementation 是 ISACA 于 2012 年创建的认证。

原文：https://en.wikipedia.org/wiki/Corporate_governance_of_information_techn…

本文：https://jiagoushi.pro/node/1683