IT治理是信息化转型顶层设计的三大要素之一，但IT治理是一个比较抽象的概念，不同的人也有不同的解读。为了深刻把握它的本质，首先来看一个小故事，理解了这个故事，就能深刻把握治理的内涵。

有7个人组成的小团体，其中每个人都是平凡而且平等的。他们没有凶险祸害之心，但不免自私自利。他们想用非暴力的方式，通过制定制度来解决每天的吃饭问题——要分食一锅粥，但并没有称量用具或有刻度的容器。

大家试验了不同的方法，发挥了聪明才智，多次博弈形成了日益完善的制度。大体说来主要有以下几种。

制度一：指定一个人负责分粥事宜。很快大家发现，这个人为自己分的粥最多。于是又换了一个人，结果总是主持分粥的人碗里的粥最多、最好。这说明权力会导致腐败，绝对权力导致绝对腐败。

制度二：大家轮流主持分粥，每人一天。这样等于承认了个人为自己分粥的权利，同时给予了每个人为自己多分粥的机会。虽然看起来平等了，但是每个人在一周中只有一天吃得饱而且有剩余，其余6天都挨饿，大家认为这种办法造成了资源浪费。

制度三：大家选举一个信得过的人主持分粥。开始这位品德尚属上乘的人还能公平分粥，但不久他开始为自己和溜须拍马的人多分，直接导致他自己的堕落和风气败坏。

制度四：选举一个分粥委员会和一个监督委员会形成监督和制约。公平基本做到了，可是由于监督委员会常提出各种议案，分粥委员会又据理力争，等分粥完毕时，粥早就凉了。

制度五：每个人轮流值日分粥，但是分粥的那个人要最后一个领粥。令人惊奇的是，在这个制度下，7只碗里的粥每次都是一样多，就像用科学仪器量过一样。每个主持分粥的人都认识到，如果7只碗里的粥不相同，他确定无疑将享用那份最少的。

分粥理论告诉我们：制度至关紧要，制度是人选择的，是交易的结果。制度不同，结果将大相径庭。治理就是研究制度设计的一门学问，而IT治理就是研究IT制度和机制设计的学科。

通俗点讲，IT治理就是指设计并实施信息化过程中保持各方利益最大化的制度安排，是一种激励、监督与制衡机制，具体包括业务与信息化战略融合的机制、IT资源配置的决策机制、权责对等的责任担当机制、IT组织保障机制、IT人员的激励机制，以及风险管控机制等。

这一定义或许还是很晦涩，下面进一步阐述一下它的含义。

1.IT治理的精髓是构建激励、监督与制衡的机制

IT治理之所以在近年来得到企业高层领导的重视，主要有以下两大原因。

首先，IT的提供者和获益者分离，需要协调两者之间的关系。IT的直接提供者是企业的IT人员，他们通过引入、选择和实施IT项目来提高企业的信息化水平。而IT的直接获益者是企业的业务部门和管理人员，IT降低了企业成本，赋予企业新的能力，最终提高了业务人员和管理人员的运营绩效。提供者和获益者的分离，导致IT部门和业务部门的目标利益不一致，并由此引发诸多的矛盾。要确保IT决策的正确性和IT使用的合理性，就需要设计IT治理机制，以保证IT决策是为了企业利益，而非部门或个人利益，保证IT使用为企业带来的收益大于成本。

其次，随着IT的发展，一方面IT对于企业的收益贡献越来越大，对企业风险的影响也越来越大，风险也越来越大，失败概率越来越高，用户的满意度则随之降低。要保证企业能够有效地利用有限的IT相关资源，对企业战略目标贡献最大的领域做出贡献，并且控制信息化进程给企业带来的各种风险，就需要一整套治理机制，来保证企业的经营风险控制在一定范围之内，以确保股东利益最大化。

因此，IT治理的精髓和关键是如何制定一套符合企业实际的激励、监督与制衡机制。目前常说的COBIT、SOX、ISO27000和ITIL等都是IT治理的“术”的层面上的工具与体系，在使用这些工具之前要先明确“道”之所在，即首先要构建适合企业的一套激励、监督与制衡机制，否则这些工具与体系的使用会迷失方向，甚至南辕北辙。

2.IT决策、激励和控制是IT治理的三大支柱

图2-8 IT治理的三大支柱

从委托代理角度看，IT治理是指所有者、经营者和监督者之间通过权力机关、经营决策与执行机构、监督机构而形成的权责明确、相互监督、协调运转和科学决策的联系，并依据法律、法规和规章予以制度化的统一机制。决策、激励和控制三权分立是治理的核心思想，是IT治理的三大支柱，如图2-8所示。

（1）IT决策

决策是IT治理的核心，但这里所讲的决策不是指某一项具体的决定，而是由谁通过什么方式做出决策的制度安排，这才是治理关注的决策的含义。比如说，企业内的决策方式可能是老板拍脑袋一个人决定，当然更多的是开会讨论、集体协商等，那谁能参会、怎样表达意见、怎样最终拍板、决策的依据是什么，以及如何对整个过程进行监控等这些才是决策机制的核心。

麻省理工大学斯隆商学院的彼得·维尔和珍妮·W.罗斯教授在其著作《IT治理：一流绩效企业的IT治理之道》中认为，IT治理应当做出5种决策：IT原则的决策、IT架构决策、IT基础设施决策、业务应用需求决策，以及IT投资和优先顺序决策。并按照政治上的原型总结了6种决策模式：业务君主制、IT君主制、封建制、联邦制、IT双寡头制和无政府制。

他们的实证研究为IT治理的研究和实践做出了创新的工作，为研究和实践IT治理提供了全新的视角。但关于IT的主要决策不仅仅限于IT原则的决策、IT架构决策、IT基础设施决策、业务应用需求决策、IT投资和优先顺序决策这五者，而是贯穿于整个信息化生命周期的各个阶段。

（2）激励

公司治理的激励机制，旨在使经营者获取其经营一个企业所付出的努力与承担的风险相对应的利益，同时也使其承担相应的风险和约束。其终极目标就是为了最大限度地挖掘经营者的潜力和效能，实现公司利润，即股东利益的最大化。通过股东与经营者利益的博弈，最终实现股东与经营者“双赢”的利益格局。

激励不仅包括IT高层管理者，还有普通IT员工、IT供应商等，他们也应该纳入IT治理的范畴，才能保证整个治理制度的落实。(www.daowen.com)

（3）控制

“不受约束的权力必然产生腐败。”这个规律已经得到了充分的证实。基于委托代理关系基础上产生的治理，在赋予经理人充分决策权和执行权的基础上，必然要强化监控权，并因此衍生出一整套的监控体系。

在IT治理领域，监控权的表现形式是IT内部控制和IT审计，通过全面的控制体系和审计体系来最大限度地减少IT的风险。

3.IT与业务的一致性是IT治理的基本目标

企业在信息化建设中，业务部门有需求，信息部门有技术，他们是两个密不可分的协作者。然而始终困扰企业的问题就是：他们分别作为IT服务的提供者和IT服务的需求者，他们在信息化建设过程中究竟相互扮演着什么样的角色？应当如何分工合作？谁拥有更多的话语权，而谁又应该最终对项目负责任？

要解答这个问题，就涉及一个IT与业务如何分工、如何一致的难题。业务与IT的关系如下。

● 业务为体：企业的成长和发展归根结底都有赖业务的不断壮大。优化业务结构、培养核心能力、扩大业务规模、提高市场地位、增强盈利能力是企业一切活动的核心，业务能力是企业的起点和归宿。业务是主体，最终将决定企业价值。

● IT为用：企业内部的IT应用，首先是一个战略问题，而不是技术问题。IT系统是企业管理系统的重要组成部分，是保障企业日常业务和管理有效运作的关键手段。在经济全球化和网络化的背景下，IT之于企业，不是要不要的问题，而是何时用、怎么用的问题。

IT治理最重要的任务之一就是保证信息技术与各项业务的有效融合，促进组织收益最大化与风险的最有效控制。要真正达到IT与业务的一致，需要从组织、战略、流程和制度等层面入手，如图2-9所示。

图2-9 IT与业务一致性整体模型

这个模型涉及很多内容，其中最关键的几项检验IT与业务关系的指标如下。

● 与IT相关的投资决策情况：在IT关键投资中，IT部门与业务部门如何分工与合作，共同保证投资决策的高效、最优。

● IT组织与业务组织的关系：在企业中是否存在委员会来协调IT与业务部门的关系？IT与业务部门和人员是否存在交叉任职、岗位轮换等？

● IT对业务计划制定过程的参与情况：业务部门在制订业务发展计划时，是否考虑IT的支撑作用，是否会邀请IT部门人员一起讨论和决策？

● 应用系统开发中业务部门的参与情况：在应用开发过程中，业务部门和IT部门如何分工？如何保证重要的需求都被开发出来，如何保证IT部门的工作不会脱离业务部门的需求？

● IT与业务部门签署服务水平协议情况：IT为业务服务不能仅限于口头，是否有细化的服务水平协议？协议落实情况如何？

这些内容的回答都涉及IT治理，有效的治理将使这些问题迎刃而解，混乱的治理则会使难题越来越多。保证IT与业务始终保持一致，始终是有效IT治理追求的目标。

4.控制IT风险是IT治理的基本任务

正如信息系统具有潜在的投资回报一样，信息系统同样具有潜在的风险。IT与业务的融合在带来企业效率提升和持续竞争力的同时，也加剧了业务可能面临的风险。信息系统任何细微的变故，都有可能导致业务流程完全失效。正因为如此，IT风险管理受到了越来越多企业高管层特别是CIO的关注。一定程度上，CIO所面对的管理更多的是对各种“可能性和不确定性”即“风险”的管理。

国际内部审计协会（IIA）将风险定义为：可能对目标的实现产生影响的事件发生的不确定性。企业信息化的风险不仅存在于信息化的整个生命周期中，而且存在于每一个“利益相关者”之中。

如果要列数信息化究竟有哪些风险，恐怕这个名单要很长，例如：IT制度缺失的风险、IT规划与架构风险、IT项目管理风险、IT基础设施风险、信息安全风险、系统选型风险、系统实施控制不力风险、系统实施组织不力风险，以及IT运营与业务性持续风险等。不夸张地说，信息化建设处处都有“雷区”。

在应对这些IT风险时，也曾有过各种风险控制方法和模型，但一般都是针对技术风险提出来的，偏重于某一技术领域，而且大多是采用事后反应式的控制措施。在信息化的整合见效期，这种单一的“救火模式”将使人们疲于应付各种层出不穷的风险。特别是对于像制度、流程和人员行为等方面有可能涉及组织核心价值的风险，传统的控制方法往往挂一漏万，必须从IT治理的角度综合考虑加以解决。

之所以说IT治理是信息化转型顶层设计的三要素之一，是因为，信息化转型中会遇到很多的机制挑战，例如如何使业务与IT保持一致？如何制定科学的决策与激励机制？如何有效控制转型的风险？而这些都是IT治理关注的课题。成功的转型离不开机制和制度的保驾护航，因此，IT治理是顶层设计三要素之一这一地位当之无愧。

上面对信息化转型顶层设计三要素进行了概要介绍，接下来几章就从信息化战略、业务架构、应用架构、数据架构、技术架构和IT治理等几个方面分别论述传统企业如何进行互联网转型，在最后一章中会讲述如何将这些内容汇总起来，去制定一个完整的、科学的顶层设计。