從國(guó)內(nèi)信息化現(xiàn)狀來看，由于經(jīng)濟(jì)的持續(xù)增長(zhǎng)，多年來各行各業(yè)的信息化一直呈現(xiàn)出一派欣欣向榮的景象，國(guó)內(nèi)信息化工作已取得了巨大的進(jìn)展，“以信息化帶動(dòng)工業(yè)化”的基本國(guó)策已經(jīng)深入人心，但是我們也逐漸發(fā)現(xiàn)，國(guó)內(nèi)信息化高速發(fā)展背景下，各行業(yè)的信息化工作并不一帆風(fēng)順，存在著各種各樣的問題，例如：

　　信息化建設(shè)各自為政，形成了各種各樣的信息孤島;重硬件購(gòu)買，輕軟件和咨詢服務(wù)，信息高速路上無(wú)車可跑;IT 應(yīng)用與業(yè)務(wù)需求之間邏輯錯(cuò)位，IT設(shè)施最后成了擺設(shè);重視安全技術(shù)，輕視安全管理，IT安全可靠性沒有保證;IT建設(shè)缺乏績(jī)效評(píng)估機(jī)制，長(zhǎng)期的高投入與低產(chǎn)出使IT成了“投資黑洞”;國(guó)內(nèi)企業(yè)ERP建設(shè)過程中，充滿了“企業(yè)家的眼淚”;CIO及信息技術(shù)人員變成“救火隊(duì)員”，其作用逐漸邊緣化…

　　能真正成功信息化項(xiàng)目可謂鳳毛麟角，從相關(guān)統(tǒng)計(jì)來看，企業(yè)信息化項(xiàng)目失敗率高70%以上，這引起了產(chǎn)業(yè)部門和用戶部門的憂慮，也受到一些IT業(yè)有識(shí)之土的關(guān)注，我們逐漸認(rèn)識(shí)到信息化給組織帶來競(jìng)爭(zhēng)優(yōu)勢(shì)的同時(shí)，也同時(shí)給組織帶來了巨大的風(fēng)險(xiǎn)。
　　應(yīng)當(dāng)如何有效地控制IT風(fēng)險(xiǎn)?如何使IT戰(zhàn)略與企業(yè)戰(zhàn)略相融合?如何讓IT為組織持續(xù)地創(chuàng)造價(jià)值?如何實(shí)現(xiàn)“有效益的信息化”?如何建立信息化的 “科學(xué)發(fā)展觀”?這些重大問題己迫切地?cái)[在了我們面前。

　　企業(yè)風(fēng)險(xiǎn)管理對(duì)IT的要求

　　從企業(yè)管理層面來看，企業(yè)風(fēng)險(xiǎn)管理已成為大型公司保護(hù)企業(yè)核心競(jìng)爭(zhēng)力的有效手段。不管是什么規(guī)模的組織，都需要有一套控制指南來有效地管理企業(yè)內(nèi)外各種各樣的風(fēng)險(xiǎn)，并隨著業(yè)務(wù)環(huán)境的變化和新技術(shù)的發(fā)展及時(shí)更新，才能保證企業(yè)健康、持續(xù)地發(fā)展，有效的風(fēng)險(xiǎn)管理己成為企業(yè)發(fā)展的主旋律。

　　2002年美國(guó)國(guó)會(huì)發(fā)布了《薩班斯—奧克斯利法案》，在這個(gè)法案中明確提出了所有上市公司都必須加強(qiáng)風(fēng)險(xiǎn)管理，建立有效的內(nèi)部控制框架，以確保上市公司遵守證券法律以提高公司披露的準(zhǔn)確性和可靠性，從而保護(hù)投資者及其他目的。此法案是有史以來對(duì)上市公司影響最大的一部法律，為了符合法案的要求，在美國(guó)上市的公眾公司需要投入大量的人力、物力和財(cái)力來建立內(nèi)部控制，中國(guó)在美國(guó)上市的中石化、中國(guó)人壽、新浪、亞信等企業(yè)也為此付出了巨大的努力。據(jù)美國(guó)Financial Executive International組織對(duì)321個(gè)公司的調(diào)查顯示，在一個(gè)規(guī)模比較大、年?duì)I業(yè)收入超過50億美元的公司，建立此體系至少需要470萬(wàn)美元，維系其運(yùn)轉(zhuǎn)需要每年150萬(wàn)美元。

　　在建立符合《薩班斯—奧克斯利法案》要求的企業(yè)風(fēng)險(xiǎn)管理與內(nèi)部控制的工作中， IT的份量占到了40%以上，這是因?yàn)橐环矫鍵T要作為管理組織業(yè)務(wù)風(fēng)險(xiǎn)的工具與手段，例如，對(duì)財(cái)務(wù)應(yīng)用系統(tǒng)的機(jī)密性、完整性控制，以及對(duì)業(yè)務(wù)交易信息的監(jiān)督與數(shù)據(jù)采集都離不開IT系統(tǒng);另一方面IT本身的風(fēng)險(xiǎn)，例如網(wǎng)絡(luò)風(fēng)險(xiǎn)、系統(tǒng)風(fēng)險(xiǎn)、應(yīng)用風(fēng)險(xiǎn)，也是SOX關(guān)注的重要內(nèi)容，因此《薩班斯—奧克斯利法案》把IT推到了企業(yè)風(fēng)險(xiǎn)管理的風(fēng)尖浪口。

　　近年來，國(guó)內(nèi)行業(yè)主管部門一直在要求企業(yè)加強(qiáng)風(fēng)險(xiǎn)管理。2004年9月30日中國(guó)銀監(jiān)會(huì)發(fā)布了《商業(yè)銀行內(nèi)部控制評(píng)價(jià)試行辦法》，旨在為規(guī)范和加強(qiáng)對(duì)商業(yè)銀行內(nèi)部控制評(píng)價(jià)，督促商業(yè)銀行建立內(nèi)部控制體系，健全內(nèi)部控制機(jī)制，保證商業(yè)銀行穩(wěn)健運(yùn)行，其中包括了對(duì)建立銀行計(jì)算機(jī)系統(tǒng)內(nèi)部控制的要求。2006年3月1日銀監(jiān)會(huì)發(fā)布《電子銀行業(yè)務(wù)管理辦法》和《電子銀行安全評(píng)估指引》，直接對(duì)技術(shù)風(fēng)險(xiǎn)較大的電子銀行提出了進(jìn)行獨(dú)立的或相對(duì)獨(dú)立的信息系統(tǒng)審計(jì)的要求。

　　目前IT治理已經(jīng)在中國(guó)企業(yè)有了越來越多的實(shí)踐探索。IT治理體現(xiàn)在IT治理機(jī)制、IT治理流程和IT領(lǐng)導(dǎo)力等方面，歸根到底是責(zé)任擔(dān)當(dāng)機(jī)制，目的是實(shí)現(xiàn)IT與業(yè)務(wù)的融合，完善公司治理和實(shí)踐科學(xué)的信息化發(fā)展觀。中國(guó)IT管理咨詢的一個(gè)現(xiàn)實(shí)是，頭疼醫(yī)頭，腳疼醫(yī)腳，瞎子摸象，各報(bào)一角，難以做到有效的整合，讓咨詢發(fā)揮合力，IT治理的出現(xiàn)，提供了一次機(jī)會(huì)，那就是建立一個(gè)綜合的框架，讓企業(yè)在各方面所作的咨詢工作圍繞著業(yè)務(wù)戰(zhàn)略發(fā)揮合力。