从IT治理，IT服务管理，信息系统审计、信息与相关技术控制目标到信息安全治理，这些全新的管理思路正是一直以来企业所企盼的。惊喜过后，全新的管理思路却让企业有些茫然：如何将这些新理念与企业自身的现实问题结合起来，进而提高业务的效益和效率。

企业需求的不断变化，使得管理思想创新和实用化进程都在大幅度地加快。但是，万变不离其宗，IT应用管理中的“效率”与“效益”仍是永远的主题，企业也只有抓住这个核心，才能在管理思想层出不穷的今天实现形式和内容的完美结合。

IT治理：催生IT与业务全面融合

IT治理（IT Governance）是去年首先出现的一个IT管理词汇，把对IT的管理提高到了企业董事会的高度，强调在确保IT投资与IT风险平衡的同时，确保实现企业的业务目标，从而实现股东利益的最大化。

可以看出，决定企业IT成功的因素不是简单的技术问题，投资的效益和效率以及IT应用的风险都可能影响企业业务目标的实现。从投资、风险、业务目标三个关键词可以发现，它们都与IT的效率和效益紧密相连。在企业中，信息系统的实施与应用，通常都会经历需求提出、系统选型、实施、交付与运行等过程。

作为IT治理的核心，国际信息系统审计与控制协会（COBIT）提出的“信息及信息相关技术控制目标”，从组织与规划、信息系统的获得、实施与交付、信息系统的监控四个方面来寻求在风险平衡的前提下，实现业务型企业基于IT应用的业务目标。COBIT三维体系模型如图所示。虽然，COBIT的目的是为了更好地对信息系统审计提出一套控制目标，而对于现实中的企业，又该如何来利用它的一些思想呢？

目前的企业普遍存在着这样一个问题：信息系统的建设、应用，都缺乏有效的控制机制，缺乏每个环节上的控制目标，导致信息化建设失败。这个失败，很多情况下并非技术本身的原因，而是信息系统没有满足业务要求，或者在使用中由于缺乏有效手段，而导致使用效率低，这些直接影响业务的正常运作，这种现象犹如在患者就医过程中遇到的“手术成功，病人死亡”的问题。IT治理提出的实际意义在于，它全面、系统地给出了企业IT应用的整个控制机制，对于IT应用密集型或者是业务本身是以IT为基础的企业来说，的确需要把IT治理的核心，COBIT运用到企业IT管理过程中去。但是这个过程并非只是照搬，而是企业首先应根据对业务的贡献程度对信息系统进行风险评估，确定最薄弱的环节，然后导入相应的COBIT控制流程。例如，对于证券基金公司，其交易系统是最重要的业务系统，任何系统服务过程中的失效将直接导致客户交易的失败。显然，从获取系统最大效益的角度上来看，对于“交付与支持”过程的控制是确保系统稳定运行的关键。

对于生产型的企业，IT只是作为管理辅助手段，关注点在于数据的准确性和及时性，这个时候，数据以及与数据相关的技术是控制的关键。例如，制造型的企业目前普遍采用ERP系统来管理企业内部的物流和资金流，数据的准确性是确保企业各个业务部门做出正确决定的关键，这个时候，对于关键数据的生成过程就需要给予控制，这可以优先考虑导入COBIT 控制目标和流程，确保数据的真实性。