机制能够促成所希望行为的产生。希望的行为是组织信仰和文化的具体化，在每一个组织中都是不同的。明确所希望行为的产生是有效治理的关键，是行为而不是战略创造价值。

　　信息技术及IT治理对企业及各类组织的重要性及理论研究和实践的复杂性表现在:1、组织对信息技术从使用到依赖到成为组织目标战略的一部分，已经从单纯的工具转变为影响组织战略目标实现的重要因素;2、信息技术的负面效应体现在个人、组织及社会的各个层次，因此规避信息技术所带来的风险就十分重要;3、信息技术在组织中的应用受到诸多环境因素的影响。

　　目前国内外对IT治理的研究尚处在起步阶段，对理论及当前IT治理实践作进一步梳理是十分必要的。

　　IT治理的理论研究

　　V.Sambamurthy等人使用多维权变环境理论(theory of multiple contingencies)研究了环境因素如何影响IT治理模式的选择，重点放在信息技术能力和组织设计这一本质问题。
　　
　　多维权变理论认为权变环境因素之间并非是单一因素独自发挥作用，而是相互作用后再发挥作用。作用的方式包括增强、抑制、超越三种，据此将权变环境因素归纳为增强型、冲突性和主导型。该研究将信息技术的活动主要分为三类:基础设施方面、应用方面以及项目管理方面，并认为在过去的20年里存在三种流行的IT治理模式:集权、分权和联邦式，这些模式由于涉及的范围不同而将信息技术的权力赋予公司信息系统、部门信息系统和直线管理层。研究将权变因素分成三类:公司治理(corporate governance)、范围经济(economies of scope)和吸收能力(absorptive capacity)。

　　V. Sambamurthy通过实证研究得出以下假设和结论:1、处在增强型权变环境条件下，组织倾向于采用或集权或分权的IT治理模式;2、处在冲突型权变环境条件下，组织倾向于采用联邦式的IT治理模式;3、处在主导型权变环境条件下，组织倾向于采用或集权或分权的IT治理模式。

　　Peter Weill等人使用资源基础理论、行为理论以及战略理论对组织信息技术活动中的权力和责任的配置以及如何产生所希望的行为(desirable behavior)进行了更为深入的分析。

　　从信息技术活动的权力配置角度，他们认为IT治理的关键在于授权与控制并举。在将信息技术作为组织重要资源的基础上，应做出如下五个相互关联的信息技术决策:1、信息技术原则:确定信息技术在企业中的角色;2、信息技术结构:定义技术间的关系、整合及标准要求;3、信息技术基础设施:决定信息技术可提供的服务;4、企业应用需要:根据企业需要确定购买或自主开发;5、信息技术投资及优先次序:选择有限投资的项目并确定投资金额和优先次序。

　　之后决定采用哪种决策方法，决策方法包括:1、企业君主式决策:高级管理层拥有决策权;2、IT部门君主式决策，信息技术部门、专家拥有决策权;3、事业部领地式决策:每个事业部拥有独立的决策权;4、联邦式决策:公司、部门(包括或不包括信息技术部门)共同拥有决策权;5、无政府状态:个体或小的群体拥有决策权。

　　在解决了应做出哪些决策、谁来做的问题后，就要解决如何做出决策和实施监督的问题—-即设计和实施IT治理机制。该研究认为，机制应能够促成所希望行为的产生。他们认为，希望的行为是组织信仰和文化的具体化，在每一个组织中都是不同的。明确所希望行为的产生是有效治理的关键，是行为而不是战略创造价值。

　　Mathisa Salle从信息技术随时间的推移在组织中所发挥的不同作用的角度对IT治理做了分析。他认为，信息技术随时间的推移在企业中经历了技术提供者、服务提供者、战略伙伴三种角色，与之相适应的是信息技术基础设施管理、信息技术服务管理和信息技术企业价值管理，即IT治理。

　　在信息技术基础设施管理阶段，强调对企业基础设施管理的不断完善，有效的基础设施的管理意味着资源收益的最大化、对基础设施及设备的控制及数据的生成。信息技术服务阶段，组织应了解客户对服务的需要，强调提供的服务的有效性、绩效和安全需要。在IT治理阶段，则要实现信息技术流程与业务流程和企业战略的全面融合。

　　IT管理和IT治理的实践与标准

　　80年代初，IBM提出系统管理的概念，即信息系统管理框架(Information Systems Management Architecture, ISMA)。80年代末期，人们开始意识到对信息技术各种职能全面管理的需要。1989年，现由英国商务部负责管理的英国政府部门CCTA(Central Computing and Telecommunication)提出信息技术基础设施库(ITIL)，目的是保证更好的使用信息技术服务和资源。不久，惠普和微软即使用ITIL并很快事实上成为信息技术管理的标准。

　　随着信息技术本身的发展，ITIL也在不断变化。2000年11月英国标准协会(British Standards Institutes，BSI)发布了新的信息技术服务标准BS15000。惠普公司于2003年发行了信息技术服务管理(ITSM)3.0版，微软公司于2004年发布了MOF(Microsoft Operations Framework)3.0版。

　　信息及相关技术控制目标(COBIT)是由美国IT治理协会提出的一个IT治理的开放性框架或标准，是基于组织的信息技术平台而设计的，并在IT治理实践中广泛使用。

　　COBIT建立起组织的业务目标与具体的信息技术、信息技术管理及对组织控制目标的陈述之间的联系。CobiT的设计是为了帮助管理者在不可预见的信息技术环境下对风险和投资控制加以平衡;COBIT可以使其使用者获得安全和可控的信息技术服务，并在此基础上向内外部客户提供产品和服务;审计人员可以使用该标准支持他们的观点并向组织的内部控制管理提出建议。

　　COBIT是一三维立体框架结构。包括:1、信息技术流程(IT Process)，被分为四个域34个信息技术流程，有318个具体的控制目标和审计准则对34个信息技术流程进行评估;2、信息标准(Information Criteria)，有7个信息标准来确定信息技术对业务的贡献，包括效果、效率、保密性、准确性、有效性、一致性和可靠性;3、信息技术资源(IT Resources)，包括五大类信息技术资源:数据、应用系统、技术、设备和人。

　　另外，COBIT还提出了包括成熟度模型(Maturity Models)、关键成功因素(Critical Success Factors, CSFs)、关键目标指标(Key Goal Indicators)和关键绩效指标(Key Performance Indicators, KPIs)等管理准则。

　　另一个广为使用的框架是信息技术平衡记分卡(IT Balanced Scorecard, BSC)，其基本思想是:对组织的评价不能局限在传统的财务评价上，应包括对顾客满意度、内部流程和变革能力的评价。BSC被应用于信息技术的管理和流程，强调信息技术的内部服务功能，平衡记分卡应随着公司的贡献、客户导向、经营业绩以及未来的不同导向而改变等。

　　结束语

　　IT治理协会(ITGI)在2004年发布的《IT治理全球状况报告》(IT Governance Global Report)中认为，对于IT治理需要关注的问题是:人们是否意识到IT治理问题?是否意识到了对IT治理的需要?如何界定IT治理的概念?在该领域中哪些工具或框架被认为是具有领先地位的?

　　我国IT治理的研究和实践还是处于起步和借鉴阶段。由于企业制度建设不完善，企业所处的内外部环境较之西方国家企业有很大的区别，加之在网络经济条件下，IT治理的理论研究与实践具有特殊的互动关系，因此，我们必须对IT治理理论研究和实践的复杂性有充分的认识。尽快确定IT治理的研究范围、界定相关概念的含义及其相互关系、制定符合我国企业实际情况的实践标准或框架成为需要亟待解决的迫切问题。