【CIO发展中心独家】IT治理是很大的话题，合规性只是其中之一，通过IT治理达到合规性的要求，不光是业务，也是IT的要求。在IT运维当中，无时无刻不会用到IT治理的一些概念。通过CRM、实验室系统管控实现合规性，也是IT治理的一部分。

苏州胶囊亚太区信息总监 沈荣

IT治理包含了领导、组织架构和一些流程，确保整个企业的IT可以维持和增强整个组织的目标和策略，这是IT治理学院的定义。IT治理是公司治理框架中不可分割的一个部分，负责人应该是公司的董事会，而非IT。IT治理要遵循一定的标准，如COBIT标准等等。

企业可以根据业界的标准和框架量身定制自己的IT治理目标。一般而言，企业的治理目标确定后，才能设立IT治理的目标，两者是统一的。举个例子，企业的治理是参照平衡积分卡的维度来进行的，有这么四个维度，财务的，客户的，还有内部的，还有学习成长的，等等。对企业而言，要实现利益的最大化，就要优化资源，降低风险，这是企业治理的目标。

为什么需要IT治理，其实就是要维护高质量的信息，然后支持业务的决策，从而产生价值，实现IT支持下的投资，驱动业务的成长。对于苏州胶囊而言，我们首先要保证业务的连续性，其次要能够随着业务的变更做变更，并通过一个可靠和有效的技术应用，来保障整个运营的高效和优化。另外我们还要维护IT的风险在可接受的水平，这不光是说IT对于业务的风险，而是包括对于IT本身的风险。同时，还要优化IT服务和技术的成本，最终当然就是一个合规，还要符合日益增长的相关的法律法规的过程。

IT治理在集中在5个方面，首先是策略性地跟业务相关联，我们要实现一些价值，其次是风险的管理，最终我们要完成资源的管理，不光包括IT人员、技术架构、应用和数据的管理，还要通过一些绩效的评估来保障我的IT治理的有效性。

在苏州胶囊，我们的治理共分了8个领域，首先是战略。整个IT的服务和技术用来支持组织的近期和长期的目标；投资组合这一块，是确保IT在做正确的事情，用正确的成本交付最大的业务的价值；在技术标准这一块，要考虑技术平台的合理性。

举个例子，XP已经退市了，不能等到这一天才去做准备，而是在一年之前就考虑，是否要把XP逐步淘汰掉。技术的标准就是针对一些特定的硬件、软件和接口，提供一个针对于组织，能够符合其未来应用的平台。同时我们要从技术标准方面得到一些好处，它的可靠性，可拓展性以及运营的高效性和优秀性，以及整个成本的有效性。

技术架构上，我们是通过IT外包来实现的IT运维的。应用层面，也不是自行开发的，以免被这些应用绑定了，影响业务的转型和变更。应用的标准我们是自己制定的。以移动应用为例，我们在做外部开发时，会考虑到它的技术标准是什么？我们推荐的平台是什么？系统架构是什么？标准没有定好，是不可以去找厂商的。

系统架构上，我们也会考虑其合规性，和重复可使用性，以及它的生命周期。企业信息这一块，我们现在用的是office365，不会再去买Exchange来做这些事情。当然大家说了，万云皆有风险，这取决于你如何管理，首先选择供应商的时候，是否做过一些评估，这就又回到了IT治理方面。

另外，安全也是我们IT治理的一个重中之重。对于上市企业，这一块是很重要的。网络安全对于投资者非常重要，一旦有风险，一旦出现问题，整个知识产权，或者客户信息都有可能泄露。

另外大家提到的，两三个星期之前有一个HeartBleed漏洞，让各大硬件厂商都很恐慌，甚至一些软件厂商，包括云存储的厂商，影响都挺大的。大家可以通过一些扫描的工具可以在你的网络内部做一些扫描，看看哪一个应用或者系统受到了影响。

接下来就是质量与合规。今天讲了很多，但是从IT的角度，我们在整个的医药行业，包括计算机验证在内，很多东西并没有认真地做，这是需要改善的地方。

IT治理的范围，可以分为三大类，在投资组合的角度，要确保正确的投资；在技术角度，要确保有正确的技术；在以及质量和合规这一块，要确保有隐私保护，以及SOX的遵从，等等。审计过程是每个企业每年都会做的一个东西，具体到技术这一块，不光是软件开发平台的评估，还有整个技术架构，以及一些像网络的标准，等等，要能够根据业务的发展，灵活的变动。

对于而言，IT治理方面是否存在问题和弱点，也可以通过一些自我评估来确定，COBIT应提供了一揽子的评估模板，可以在些基础上，量身定制成企业的自己的评估标准。