2007 年年初，美国折扣零售商TJX 公司宣布了一个令世界震惊的消息：在过去18 个月期间，黑客多次侵入其电脑系统，盗取了至少4570 万张信用卡和提款卡的信息，被窃取资料包括来自瑞典和中国香港等国家和地区的客户。该公司同时还表示，另有45.5万名未持收据而退货的顾客的个人信息，包括驾照号码在内，也同时被盗。

　　这一事件的爆发，不仅使TJX 公司在经济上蒙受巨大的损失，更重要的是使该公司的品牌、声誉以及客户满意度遭受了几乎致命的打击。

　　“这一事件从反面证明了IT 治理及风险管理的重要性。”某业内资深人士分析说，“事实上，该公司在之前几个月已经发现黑客入侵迹象，但并未重视。如果该企业有一套完善的IT治理及风险管理系统和机制，那这件事完全可以避免或者将损失降低到最小。”该人士认为，这一事件还折射出另一个趋势：IT系统不仅仅只是支撑企业业务运营的工具而已，“IT系统已经成为企业生存和发展的命脉之一。”

　　IT部门“痛并快乐着”

　　确实，这种趋势不仅体现在国外企业身上。随着企业信息化进程的不断加深，国内企业对于信息化的依赖程度也越来越高。“IT 发展战略已经成为企业的核心战略之一。越来越多的实践证明，在竞争日益激烈和法规日新月异的外部环境挑战下，如何设计和利用好自身的IT 系统、让IT 更紧密地配合业务，已经成为企业新一轮较量的战场。”IBM 软件集团大中华区总经理Bete Demeke 说。

　　“确实，最近几年企业对于信息系统的重视和依赖程度都大大提高，而且在IT 建设方面的投入力度也越来越大。可以说，IT 系统与企业业务系统之间的结合已经非常紧密。”中国人民财产保险股份公司北京分公司信息技术部李国利说道。

　　不过，这种角色的转变也使得企业的IT 部门将承担前所未有的压力：如何最大化地发挥I T 价值帮制企业的业务发展？如何令IT 灵活支持企业对内部控制和法规遵从的要求？如何通过对IT 系统有效设计和监控，减少企业内外部风险？

　　如何避免I T 事故对企业造成的灾难性打击，确保企业连续性？如何在日益复杂的IT 运行环境中，降低IT 运营成本、提升人力和技术资源使用效率？

　　这一系列已经问题摆在每个IT 部门管理者面前。“IT 部门的地位确实比以前提高了，但所要考虑的事情和所承担的责任也更大了。比如前段时间系统发生故障时出现的数据丢失，就让我大伤脑筋。”某企业CIO任先生把这种状况称为“痛并快乐着”。

　　什么是IT治理

　　“其实要解决任先生的痛处并不难，通过IT治理和风险管理的应用，企业的上述问题都可以迎刃而解。”AMT咨询服务方面的一位专家说。

　　事实上，IT治理这一概念在业界提出已经有一段时间，但似乎相对比较高端，因此对很多人而言，这一概念的标准定义仍比较模糊。

　　“IT治理是一个决策和责任框架，用来控制或鼓励IT系统中所希望的行为。”IBM 全球信息科技服务部大中华区资信咨询服务总经理李雅弼解释道。

　　这一说法听上去仍然显得有些深奥。对此李雅弼阐述了IT 治理所要达到的四个目标：一是主动支持不断发展和变化的业务需求；二是衡量IT 对业务支持的程度和绩效；三是优化组织架构设计和资源使用；四是提供IT 方案和服务以获取最大的投资回报。

　　而在某业内资深人士看来，IT治理用一句话就可以概括：IT治理不是解决如何信息化的问题，而是解决如何管理、监控IT 的问题，“其中业务和IT 战略整合是IT 治理的关键。”不过，即便有如此多的解释，某企业信息中心经理林先生仍觉得IT治理更多的只是一个概念，“好象离我们这些用户还很遥远。”

　　但中国人民财产保险股份公司北京分公司信息技术部李国利并不这么看，“虽然在很多人看来IT 治理还只是一个概念，但如果将其落实到细节和实处，就会发现其对企业的IT应用有很大帮助。”李国利坦言，最近几年中国人民财产保险公司一直对IT 治理和风险管理有所关注，“作为保险公司，本身就是经营风险的企业，所以对于IT 系统的风险管理比其他企业更为关心。”

　　实际上，不只是保险公司，在IBM 2008 年IT 治理和风险管理论坛的现场，记者采访了几位企业信息化负责人，这其中包括医院、制造业、银行、互联网等多个行业的用户，他们都对IT治理表现了相当的兴趣，“我们公司是一家定位于互联网服务的企业，最近一两年内，来自于互联网的恶意攻击越来越频繁，甚至已经对我们的业务造成严重的威胁。”某互联网远程服务企业CIO说道，“我们正准备通过IT治理来提升网络的安全与性能。”

　　对于企业的这种需求，ITGov 中国IT 治理研究中心首席专家孙强认为，这是由于中国企业的信息化应用正在从大规模建设阶段向以整合应用和加强IT 运维服务管理为主要特征的“运行维护”阶段转变而产生的，“治理型的IT 运维管理体系将成为IT 服务管理的发展趋势。”

　　IBM 亚太区Tivoli 软件总经理Mitchell Young 则指出：“IT部门角色的转变，使得越来越多的中国用户开始寻求有效的IT 治理途径，这证明，中国用户对于IT 战略的价值的认识和重视程度正在不断提高。”

　　而IBM 软件集团大中华区总经理Bete Demeke 的回答则更为直接：中国企业的信息化应用已经进入IT 治理与风险管理时代！

　　IT服务管理

　　那么，IT 治理究竟能为企业带来哪些改变？企业又该从哪里切入IT 治理呢？对此，IBM 公司近日给出了答案。“IBM 的服务管理解决方案可以帮助企业实现全面IT治理，是企业实现IT 治理的有效途径。”IBM全球信息科技服务部大中华区资信咨询服务总经理李雅弼说道。

　　事实上，透视IBM 的服务管理解决方案，可以看到，实现“三化”，即实现IT 和业务的可视化、可控化和自动化，是其提供给企业用户的核心价值，也是IBM认为的成功的IT治理所应具备的三个要素。对于这所谓的“三化”，I B M 公司也给出了明确的解释：可视化是指企业应当全面了解IT 对其业务的影响力，同时，IT系统也应该让企业管理层、业务部门和运维部门及合作伙伴在各自权限范围内，实时地看到“同自己有关的IT和业务状况，从而为企业业务决策提供即使准确信息、避免业务风险和危机、确保企业业务连续性和业务目标的实现。可控化则是指IT系统能够有效管理和控制企业的IT资产和非IT资产，进而帮助企业提升资产使用效率和投资回报率，降低IT 风险。自动化指的是IT系统应当通过整合的IT流程和自动化的工具支持企业关键业务流程，从而降低人力成本和人为因素造成的风险。

　　事实上，IT 治理与SOA 一样，概念虽然很好，但如何落地始终是困扰其普及的问题之一。而为了保证这“三化”能够被企业用户所接受，IBM还提出了实现“三化”的五个切入点：IT 运维、安全运维、存储运维、企业运维和运营商运维。

　　不过，无论是三化还是五个切入点，都只是一个方法论，而要真正实现IT 服务管理，则需要一个渐进的过程。对于这一点，IBM 软件集团大中华区Tivoli 软件总经理许伟利强调说，“服务管理不仅是一种IT 管理的理念，更是一种企业管理的思路。一个成功的服务管理，不能仅靠一两个项目就能完成，它是一个企业IT 不断成熟完善的进化过程。客户应该根据自身业务的优先级与IT 的依赖程度，分阶段来实施。为此，客户对自身需求的认知过程以及IT 厂商对服务管理整个生命周期的永续服务能力至关重要。”

　　渠道的机会

　　方法论有了，实施思路也有了，但要真正使IT 服务管理在中国企业中落地，单靠IBM 自身的咨询、实施力量显然难以完成。因此，渠道及合作伙伴的作用对于IT 服务管理的普及同样有着重要的作用。

　　不过，在一些渠道看来，在IT 治理这一领域，自己并没有什么参与的机会。“过于高端，尤其是在咨询、实施服务能力的要求上，渠道还有很大的差距。”某IT 渠道商如是说道。对于渠道的这种思想，

　　I B M 软件集团大中华区Tivoli 软件总经理许伟利表示，他们一方面通过培训来提升合作伙伴的咨询、实施能力以及对产品的熟悉程度；另一方面，则会通过研发让产品变得更加可用化，降低合作伙伴的实施难度。“应该说，在IT 服务管理这一新兴的市场内，渠道有着非常好的发展机会。”

　　事实上，对于这种机会，一些渠道已经开始捕捉。作为一家从事银行业灾难备份咨询服务的IT 企业，中金数据系统有限公司就已经将目光投向了IT 服务管理市场。其咨询服务部咨询顾问白大龙表示，中金数据系统有限公司对于IT 治理十分感兴趣，“现在国内银行对于IT 治理尤其是IT 合规方面的咨询需求十分迫切。”在白大龙看来，这对于象中金数据这样从事行业IT 咨询的企业而言，是一个很好的增值机会。“如果能把我们对行业业务的了解与IT 服务管理的咨询、实施相结合，那不仅可以满足用户的迫切需求，同时也可为中金增加一个稳定的赢利点。应该说，这也是我们下一步所关注的业务焦点之一。”白大龙说道。