IT治理国际标准： ISO 38500

    信息技术的迅速发展，推动全球进入了知识经济时代，这个时代的显著特征之一是把计算机网络通讯技术融入组织业务创新领域，尤其是组织业务系统已迈向经营业务电子化发展轨道，从业务流程的电子化到服务渠道的网络化，从客户资源的系统化到决策支持的智能化，信息技术正逐步改变着传统组织的运营模式。随着IT组织对IT依赖程度的加重，新的风险也随之而来。

    新技术蓬勃发展的起初几年，企业的失败和相关的财务损失使得投资者和监管者变得谨慎，并要求更高级别的信息披露与说明程度。大规模的外包证明服务提供商的利益并不是总与用户一致的。一些IT管理的失败不仅仅浪费了组织的战略机遇，甚至还导致了法律争议。究其失败原因，发现多是由于较差的企业治理、风险管理职责分配不清以及从IT投资中获取利益和价值方面缺乏指导造成的，因此，IT治理变得越来越重要，它指的不仅仅是制度、流程、合规性，还包括更广泛的含义，其关键内容是一套科学的发展能力。可以说如果存在良好的IT治理机制，IT发挥的价值会更大，与企业战略充分融合，不断提升企业的核心竞争力，反之亦然。

    ISO 38500:2008 是第一个IT 治理国际标准，它的出台不仅标志着IT 治理从概念模糊的探讨阶段进入了一个正确认识的发展阶段，而且也标志着信息化正式进入IT 治理时代。

    一、标准概览
    1、名称
    ISO/IEC 38500:2008 corporate governance of information technology -信息技术的组织治理- (以下称IT治理)，利用了大量的资源，但主要衍生于AS8015。
    ISO/IEC 29382，信息和通讯技术治理标准，作为现有澳大利亚标准AS8015的快速跟随者，于2007年首次发布。2008年4月该标准官方正式更名为ISO/IEC 38500，原ISO/IEC 29382放弃使用。

    2、发行者
    ISO(国际标准化组织)和IEC(国际电工委员会)是世界范围的标准化组织。各国的相关标准化组织都是其成员，并通过各种技术委员会参与相关标准的制定。其他国际组织，政府机构及非政府机构也协同工作。国际标准的草案，须能得到所有会员75%以上的赞成票，该标准才可被公布为国际标准。在信息技术领域，ISO和IEC成立了一个联合技术委员会ISO/IEC JTC 1。该委员会以澳大利亚标准AS8015为蓝本，并结合AS 8000:2003 – 良好的治理原则和AS 3806:2006 – 合规性程序，制定了IT治理的国际标准。
    3、标准发布的目的

• 确保利益相关者对于组织IT治理的信心
• 指导管理者治理组织的IT使用为IT治理的目标评估提供了基础
• 为IT治理的目标评估提供了基础

    4、目标读者

• 高级管理者
• 组织中的资源监控团队成员
• 外部的业务或技术专家，包括法律或财务专家、行业协会及专业团体
• 硬件、软件、通讯及其他IT产品的厂商
• 内部或外部的服务提供者（包括咨询顾问）
• IT审计师

    5、适用范围
    IO/IEC 38500:2008可以用于任何规模的组织，包括公/私有性质的公司，政府机构以及非营利组织。这一标准提供了一个IT治理的框架，以协助组织高层管理者理解并履行他们对于其组织IT使用的既定职责，实现IT治理的有效性、可用性及效率。

    6、认证
    目前还没有相关的认证(对个人和组织)。

二、主要内容
    1、主要内容：

• 范围、应用与目标
• 良好的IT治理框架
• IT治理指南

    2、指导准则：

• 职责分工
• IT支持组织发展
• 可获得性
• 可用性
• 合规性
• 尊重人性因素(以人为本）

    准则一：职责分工

• 对分配职责进行评价
• 确保能够胜任所分配的职责
• 监控所分配职责的实施

    为IT分配职责的方式取决于组织所使用的业务模式和组织架构。例如：有些设备需要内部管理；建议来自于外部的咨询顾问；还有一些IT来源于厂商与专业服务提供商。
    准则二：IT支持组织发展

• 考虑机遇使IT更好的服务于业务发展
• 分配其当下的活动
• 指导计划的实施与发展以弥补差距

    近几年来，IT相关设备的发展日新月异，逐渐向小型化、低廉化发展。互联网制定的一系列标准使得不同厂商的设备兼容性与内部可操作性越来越强。这提高了各厂商之间的竞争，也为更广阔的市场创造了新的业务机遇。与此同时，业务实践也有了发展。早期的措施现在往往会导致浪费，极少业务利润，还影响新市场的开拓。预期客户采用新系统的实践越来越长，例如：联网银行间AMT的切换不能瞬间完成。
    准则三：可获得性
    这一准则覆盖了风险与价值的规划分配和近期的IT投资。管理者需要履行政策与程序来确保投资的安全性。投资案例中的资源分配必须确保以及时的形式重新分配。
    准则四：可用性
    IT实施包括信息整合、系统能力，它还拓展了退出与处理，以确保组织的环境和数据管理职责得以履行。
    准则五：合规性
    这一准则覆盖了所有的内部政策，包括：技术使用（包括：电子邮件与搜索引擎）、职责履行（记录保持、财务报表、关于组织与业务持续性隐私信息的保护）
    准则六：尊重人性因素
    其中IT的人性因素包括：

• 用户界面的可用性与友好性
• 人们受到IT所带来的业务流程改变的影响的需求

    由于IT会直接而迅速的影响组织的实施，管理者应当像管理其财务与人力资源那样，指挥、评价与监控其组织的IT应用。

    三、治理机制
    关于IT，管理者有三项主要活动，即：指导、评价与监控。有效地IT治理应当是可实施的、具有一致性的。DEM模型聚焦于更广泛层次上的IT治理，它略微不同于管理者典型使用的PDCA模型。在这一模型中，管理者依据业务压力与业务需求来监控（Monitor）并评价（Evaluate）组织的IT使用，而后指导（Direct）实施政策方针以弥补差距。