风险管理：用IT治理控制IT风险

通过对企业风险管理的研究，我们发现在当前激烈的市场竞争环境下，许多企业昨天还在享受巨大的成功，而今天却可能面临破产。一个企业要实现可持续发展，需要有明确的战略方向、优秀的管理团队、合理的组织结构、符合市场要求的产品和技术、良好的治理结构。通过权力的监督和制衡，可以将企业的战略风险和管理风险控制在一定范围内，所以无论谁领导，企业都不会出现大起大落。
通过研究企业信息化的大量失败案例和信息化建设中的深层次机制问题，我们发现信息化和企业管理一样，需要制度创新。在信息化过程中，“制度重于一切”的规律同样适用。比如建立一个信息系统很容易，但是要让系统正常工作，实现商业价值，是一个现实问题。虽然使用先进的IT技术和产品以及优秀的管理方法可以在一定程度上降低IT风险，但并不是很安全。只有为IT引入一定的结构、规则和标准，使其在“他律”(IT治理)的基础上“自律”(IT管理)，IT风险才能在一定的框架内上下波动，不超出企业计划中的风险范围。
这个框架就是IT治理框架，也可以称为IT的“游戏规则”。忽视规则的建立是我国信息化成功率低的根源。我们应该把建立信息化的“游戏规则”作为信息化的重要内容之一。
●什么是IT治理？
国际IT治理研究所(ITGI)认为，IT治理是一个由关系和流程组成的系统，用于指导和控制企业，通过平衡信息技术和流程的风险并增加价值来确保企业目标的实现。
IT治理可以分为五个领域，其中有两个核心，一个是IT应该向业务交付价值，另一个是降低风险。前者由IT和业务的战略一致性驱动，后者由企业内部建立的责任驱动；两者都需要获得足够的资源，并进行绩效衡量，以确保预期的结果；
●IT治理的目标
完善IT风险控制体系，降低IT成本，实现IT与企业战略、管理、业务、安全的深度融合，使IT不断为企业创造价值，高效、有效地进行信息化。
●IT治理的主要内容
建立IT治理机制，使IT治理成为公司治理的一部分，在组织的决策层对信息化进行监督和检查；
做好IT规划，确保IT战略和业务战略的一致性。企业必须考虑和使用信息化。IT与业务分离是信息化面临的风险；
采用国际公认的IT控制标准(如COBIT、ITIL、ISO27001)和行业惯例，为信息管理提供规范和标准；
确定组织中重要的IT流程，并确定它们的目标、功能和职责。梳理纵向的技术管理流程和横向的客户服务流程，贯彻流程管理的思想；
通过PDCD的过程，即规划、实施、调整、完善的循环，使信息化保持在可持续发展的轨道上，定期进行信息系统审计，发现存在的偏差，及时调整，以达到信息化的最终目标；
可以从整体信息化绩效、IT项目绩效、IT员工绩效等方面对IT绩效进行持续评估，以了解当前IT状况，为进一步调整和改进提供依据。