IT治理是本书涉及的领域，全书讨论了从上至下的治理指令与从下至上的正常运行要求之间的紧张关系。IT治理要想发挥作用不仅仅是简单地遵守ABC，即：(A)制定更多规则，(B)实施控制框架，(C)记录良好的结果。本书不仅是控制框架和法规遵循的指南，它的目标是描述资源的整个指令系统，从而有助于更好地进行治理。COBIT只是这些资源中的一个。从下至上的治理原则(例如分布式领导)构成了另外一个资源。

IT治理(对信息和IT相关技术的管理)是本书涉及的领域。全书可分三个核心部分。

第一部分中，讨论治理的核心以及IT和公司治理之间的重要关系。回顾了治理最近的发展历史，表明管理、问责制和监督的循环其实并不奏效。对IT的作用和优点的误解源于该因素。

第二部分首先阐明了在探索有效治理模式过程中，应当寻求的一些重要事件和发展阶段。接着讨论了资产组合管理，第4章对资产组合管理作了详尽阐述。第二部分研究了财务标准和工具，它们非常适用于资产组合管理，尤其是作业成本法和经济增加值算法。

第三部分的重点是组织行为，包括监督和领导的作用，以及作为激发令人满意行为的控制框架、规则和会计。这里我们对Cameron和Ciborra的观点差异作了简要说明，在第7章中将作重点研究。

第一部分 管理：治理及其人文因素

 第1章 治理的种类、业务绩效和基本判断

1.1 从权力分离到萨班斯－奥克斯利

1.2 公司治理就是良好管理

1.3 公司中的治理：全部与业务绩效有关

1.4 IT治理的实质

1.5 简单的基本判断

 第2章 丧失信任的影响和挑战

2.1 进步和信仰危机

2.2 IT和互联网的角色

2.3 美国总统介入

2.4 八个挑战与千年问题

2.5 洞察力是现实主义的基础

第二部分 问责制：以效益为基础，以业务为中心

 第3章 IT管理的基础

3.1 IT度量：从三叶草发展成四叶草

3.2 IT就是基础设施和电子商业

3.3 在电子商业的微观和宏观经济学中我们究竟处在什么位置？

3.4 电子商业以及从命令到对话的转变

3.5 IT民主

3.6 不是对话而是空谈

3.7 虽然限于空谈，但几乎所有的治理结构都会行得通

3.8 外包技术：IT的灭亡

3.9 保持简单明了！

3.11 首席信息官的战略角色

3.12 战略焦点和整合

3.13 IT治理：从结构到机制和方法

 第4章 IT资产组合管理

4.1 资产组合方法涉及哪些要素？

4.2 一种摸索中的IT资产组合方法

4.3 IT资产组合管理从确定大纲、架构和计算开始

4.4 成熟度与IT资产组合管理

4.5 治理、项目、计划和绩效

4.6 资产组合方法作为平衡计分卡、作业成本法和经济增加值的集合

4.7 50年的资产组合思考后，IT的转机到了

4.8 你应该实施IT资产组合管理

4.9 九个最初的经验建议，一项附加方法

4.10 资产组合管理？务必，但是……

 第5章 作业成本法、经济增加值和应用信息经济学

5.1 描绘成本

5.2 ABC应该怎样做？

5.3 ABC：正确的价格与IT

5.4 现实的经济价值和IT的投资回报

5.5 某些重要的注释

5.6 应用信息经济学

5.7 志向高远，但存在局限性

第三部分 监督：鼓励期望的行为

 第6章 必要时采取行动

6.1 期望的行为就像盲点一样

6.2 治理的经济学

6.3 监督：太多还是太少？

6.4 好的道德观念还是好的法律？

6.5 我们的局限

6.6 我们的意图

6.7 争论和误解

6.8 使IT治理简单，目标明显

6.9 监督与干涉的平衡

 第7章 领导力：监视变化

7.1 IT治理和领导力

7.2 从控制到分布式领导力

7.3 人们不再忍受控制

7.4 八种领导力角色

7.5 现实主义者处于主导地位

7.6 合作而不是强迫

7.7 不建立信任就没有前途

7.8 管理作为制度化的猜疑

7.9 回到IT治理和领导力

7.10 领导力和语言

7.11 感召力和领导力的矛盾

 第8章 发布规则是维持监督

8.1 立法者充当监督者

8.2 《信息技术管理改革法案》(《克林格—科恩法案》)

8.3 2002年《公众公司会计改革和投资者保护法案》(《萨班斯—奥克斯利法案》)

8.4 欧洲立法：遵守或者说明

8.5 一个欧洲范例：荷兰立法

 第9章 监督手段——框架和会计师

9.1 信息和IT的管理目标

9.2 COBIT可以做到这一点，但是……

9.3 COBIT及平衡计分卡

9.4 六西格玛：加或减三倍的标准差

9.5 信息导向和期望行为的重要性

9.6 会计师忽视了IT的价值

9.7 我们该选择哪一种框架？

第四部分 IT治理实践

 第10章 IT治理的挑战与最佳实践

10.1 概述

10.2 定义IT治理

10.3 展示价值

10.4 与业务息息相关

10.5 评估你的现状

10.6 分阶段部署

10.7 崇尚企业文化，但不要固步自封

10.8 首先缓解难点

10.9 七大关键成功要素

10.10 期待成功

附录 A 从控制到偏离

附录 B COBIT IT治理成熟度模型

附录 C 欧洲成员国对于公司治理的十个定义

附录 D KIMBIA，荷兰合作银行资产组合模型：管理/企业信息和通信技术组合实施链条

1．资产组合：成本、收益、风险与选择

打个比方来说，每一个组合就是一系列价值可能发生波动的事务和活动。这一波动的存在意味着我们只有积极地去管理资产组合，才能发挥出其应有的价值。而要实现这一点，我们必须对资产组合的成本和收益给予结构性考虑，同时在做出选择时也必须考虑相应的风险因素。

2．业务组合

在企业中，我们会关注那些包含一系列带有经济价值的资源或活动的业务组合。之后我们可以考虑它们对于实现企业成果的作用，并做出更明智的决策。但是，与股票资产组合相比，业务组合的价值不仅限于财务方面，这意味着我们在看待业务组合的价值时，绝对不能脱离它们所要实现的业务目标。

3．IT资产组合管理是基础

META集团(最近被Gartner收购)认为IT资产组合管理流程是实现业务与IT动态整合的基础。通过从投资的角度来管理IT，即同时关注成本、收益、风险和优先级，企业将能够减少30%的成本，而同时IT可创造出两到三倍的价值。

4．IT立法

IT资产组合管理是第一个被广泛传播且得到组织支持的IT治理实践。在美国，IT资产组合管理得到了法律上的支持。正如Chris Verhoef所建议的，欧洲可能也需要同样向所有政府部门颁布一部有关IT的一般法则。通过从立法角度强制执行资产组合管理，将可以减少IT资本在公共部门的浪费。

5．综合所有不同组合

资产组合管理是考虑了绩效度量与评估的实际操作。这里，我们将把企业视作一个由不同组合组成的复杂集合。因而，资产组合管理也将涉及这些组合及其内容推动企业绩效发展的方式。

6．在统一与标准化的路途上

资产组合管理并非仙方良药；相反，它要求企业花费巨大的精力，逐步确立更适合的绩效措施。我们一直在寻求更紧密的一致性。在这一方面，统一和标准化对于在IT资产组合管理中建立正确的价直中心有着极为重要的作用。在IT资产组合管理盛行的美国，它既被视作非常重要和必要的，同时又被视作是一项巨大的任务。

在商业和金融领域，资产组合是一个众所周知的词。所有人都听过订单组合或股票资产组合。那么在这些情况下组合的真实含义是什么呢？坦率地讲，它什么都不代表。事实上，我们甚至可以抛弃这一词语。然后我们可以仅讨论订单或股票。然而，权威人士却有着不同的看法。如果你知道现代资产组合理论的话，那你一定也知道Harry Markowitz、Merton Miller和William Sharpe凭借提出这一理论而获得1990年的诺贝尔奖。优化金融资产组合绩效是其成果的一个核心理念，其中心思想便是通过不断关注哪些活动能够带来回报而哪些不能，做出明智的投资，进而获得回报，换句话说，这一理论意味着如何夺取他人的蛋糕，并通过理性的选择，最终纳入自己的口中。因而，此类实践的专业术语就是资产组合管理。

任意事情都可以通过金钱来度量。虽然平时我们并不总是这样做，但如果我们能够就我们希望强调的成本和收益达成共识，它确实具有理论上的可行性。在每一个此类工作中，我们会很自然地和资产组合打交道，但并非是单纯的财务组合(如股票资产组合)，而是一个根据财务标准进行评估的组合，例如制造某一款特定产品或将特定服务推向市场所需的所有资源的组合。

我们长期或至少是定期进行此类估算活动，以判断我们在商业经济方面是否表现出色，以及是否能够在竞争中处于领先地位。当然，没有人能够独自完成这一评估工作。评估需要大量的投入、协商和反馈，因为我们需要将评估与特定业务目标联系在一起，以便我们能够让所有部门的员工都参与其中，同时让所有的人了解他们对于结果的贡献。

资产组合绩效的优化，通过在可用预算的限制范围内做出决策来实现。在开展此工作的过程中，我们会仔细应对风险：我们可以谨慎地选择接受或拒绝风险。绩效优化是一个逻辑问题，因为我们并不能够完成全部的工作来详细说明成本和收益。在股票资产组合中，我们只能选择放弃或更换其中的一部分。例如，我们可以今天卖出索尼的股票，将其更换为联合利华的股票，然后明天再购进一些Ahold的股票，但这是纯粹的货币交易。涉及组织结构的资产组合管理并不像股票资产组合这么简单。企业依赖于一种特定的凝聚力，任何仅仅依靠财务考虑的干预，都可能对业务运营造成严重破坏。对于业务组合的财务方面，我们很容易就可以进行相关的计算，Markowitz、Miller和Sharpe也为此提供了一些方法。然而，我们在处理基于经济价值的组织资产组合的时候，绝对不能忽视其业务因素。

这对于IT也同样适用。当前IT已融人业务之中，并发挥着组织所有工作的驱动引擎的作用。然而，鉴于IT是一个由各种组合组成的集合(包括硬件、软件、项目、企业资源规划(ERP)等)，且每一个组合对于实现不同业务流程的目标都有着重要作用，我们认为IT是一项困难且需要耗费大量人力的工作。通常我们很难为使用的IT产品和服务确定一个公平的价格，更不用说去判断增加的价值和根据经济价值来确定优先级了，而后两者正是组合方法的特征所在。事实上，这已经不仅仅是IT的问题了，而是整个企业需要应对的难题。IT的非物质特征，以及诸如网络结构、电子邮件或ERP等设施的共享使用，均使得针对某一项具体业务活动判断IT成本和收益变得非常困难。

但尽管如此，我们还是必须要做出决定。如今，只需提供资金给IT便可坐等利润的时代已一去不复返了。随着在20世纪90年代未经济发展的变化，人们已不相信任何尚未实现的利润，而是更关注于结果。也就是在这一阶段，预算开始受到遏制和严格的控制。我们必须展示出IT的价值，综合考虑除回报以外的更多因素。最终，我们将倾向于判断净价值，亦即组织所有者或股东可实际获得的金钱。毕竟，他们将在此基础上决定继续或终止参与相关工作。我们将这一价值称为经济增加值(EVA)。我们将在第5章主要讨论这一概念以及作业成本法。从理论上讲，这两种机制构成了企业中资产组合方法的基础。正如文章将要阐述的，IT资产组合管理非常具有挑战性，但其回报亦非常丰厚。作为企业绩效的最终度量指标的股东价值(即EVA)，将我们带回到了资产组合管理的财务本质。毕竟，股东通常关心的仅仅是金钱。我们需要时刻谨记：

我们的资金有限；

我们必须重点关注使命、战略目标、绩效和成果；

我们必须做出战略投资决策；

我们必须努力获得最丰厚的收益；

最后，我们必须兑现我们的承诺。P71-73

随着诸如《萨班斯－奥克斯利法案》、Basel Ⅱ和HIPAA等各种国际管理控制法规的生效，IT治理以及法规遵循的要求正在快速成为企业需要解决的一个关键问题。此类法规所覆盖的范围和牵涉的领域要求企业重新思考其开展业务的方式。如果我们不能做出根本性的调整和变化，以符合法规遵循和IT治理的要求，就将耗费大量资源，并存在诸多的风险，同时还会带来大量的成本支出。

这些法规旨在通过强调内部控制认证、确保信息保密性和建立可靠的记录保留政策，强制企业改进业务透明度，以保持或重新赢得市场、客户、投资者和员工的信心。不遵守这些法规将会导致非常严重的后果，包括遭受到巨额的罚金、丧失市场信心、损害品牌资产以及丟失发展机会。

法规遵循并不会成为企业的一项沉重负担，相反，企业将有机会将法规遵循的要求转变成一项重要的竞争优势。IT治理的一个关键性问题是，公司的IT投资是否与战略目标相一致以构筑必要的核心竞争力。对IT治理而言，要能体现未来信息技术与未来企业组织的战略集成，还要尽可能地保持开放性和长远性，以确保系统的稳定性和延续性。IT治理有助于建立一个灵活的、具有适应性的企业。

惠普公司构建法规遵循和IT治理的IT环境基础是，以控制和自动化为特征，能够促进实现可持续的一致性，同时能够持续满足各种治理法规的复杂需求。要应对挑战，企业必须将过去的“一次性”想法，转变为“可持续的一致性”。通过整合人员、流程和技术，企业将可以经济高效地满足这些法规规定的标准，同时还可以降低运营风险。

惠普公司提供了广泛的服务来帮助公司持续遵守行业法规的要求，改善IT治理的架构。这些解决方案和服务可以支持企业找到受限于法规要求的业务流程、应用与基础架构；找出并实施正确的内部控制流程，以及实现自动化，以确保流程得到遵守；快速、轻松且准确地评估风险，并采取措施减轻这些风险。

本书由中国惠普有限公司惠普IT管理学院的程治刚(负责统稿并翻译第一部分、撰写第四部分的第10章)、张劲(负责翻译第二部分)、张冬梅(翻译第三部分)、刘屹(翻译第三部分)共同译著。通信行业IT治理专家张翎先生结合实践，撰写了关于中国电信行业IT治理实践应用的一章(第四部分的第11章)，使本书更加贴近实际。

感谢中国惠普培训部岳灏、孙涛在整个翻译审校工作中的大力支持与指导。在此谨致谢忱！

由于时间紧迫和译者水平有限，错误和疏漏在所难免，恳请斧正(电子邮箱：zhi-gang.cheng@hp.com)。

译者

2007年12月

IT治理是公司治理的重要组成部分，IT风险是企业经营应规避的最大风险，IT能为是企业竞争能力的重要支撑。在美上市公司能否有效遵从SOX法案并获得认可是对该企业IT治理、IT风险控制水准和IT能力的最好检验和体现。

——中国人寿保险股份有限公司首席技术执行官 刘安林

很多公司和项目的成功更多地是依赖于人的因素，而不是制度的安排。随着强有力领导者和英雄的隐退和消亡，这些成功的企业和项目也随之消亡。问题的关键在于治理缺位，如果没有好的治理机制，企业管理得好是偶然的，管理不好是必然的；同样，对于IT，如果存在好的IT治理机制，IT管理得好就是必然的，管理不好是偶然的。

——中国建设银行 信息技术部 副总经理 王艳

IT治理，如果仅以应对法律法规为唯一目的，那便是企业走向衰败的开始。IT，从其表现形式上看，它实际上就是活的流程，是业务流程的载体。市场需求的变化，拉动了企业运作流程的改变，进而要求IT必须对业务需求变更弹性适应。这才是IT治理的原动力。

《SOX环境下的IT治理》一书虽然以SOX为背景，但并非以SOX为唯一目的，对非上市公司同样具有普遍意义。

——一汽一大众汽车有限公司 管理服务部IT经理顾晓东

IT治理可以提供一种管理IT活动中各类风险、人员、项目和财务的手段，让IT具备更高的可信度和战略性的商业功能。控制、流程、遵从性和服务都是IT治理的核心内容。

——中国太平洋保险(集团)股份公司 IT运行中心 肖建一