從國內(nèi)信息化現(xiàn)狀來看，由于經(jīng)濟的持續(xù)增長，多年來各行各業(yè)的信息化一直呈現(xiàn)出一派欣欣向榮的景象，國內(nèi)信息化工作已取得了巨大的進展，“以信息化帶動工業(yè)化”的基本國策已經(jīng)深入人心，但是我們也逐漸發(fā)現(xiàn)，國內(nèi)信息化高速發(fā)展背景下，各行業(yè)的信息化工作并不一帆風(fēng)順，存在著各種各樣的問題，例如：

　　信息化建設(shè)各自為政，形成了各種各樣的信息孤島;重硬件購買，輕軟件和咨詢服務(wù)，信息高速路上無車可跑;IT 應(yīng)用與業(yè)務(wù)需求之間邏輯錯位，IT設(shè)施最后成了擺設(shè);重視安全技術(shù)，輕視安全管理，IT安全可靠性沒有保證;IT建設(shè)缺乏績效評估機制，長期的高投入與低產(chǎn)出使IT成了“投資黑洞”;國內(nèi)企業(yè)ERP建設(shè)過程中，充滿了“企業(yè)家的眼淚”;CIO及信息技術(shù)人員變成“救火隊員”，其作用逐漸邊緣化…

　　能真正成功信息化項目可謂鳳毛麟角，從相關(guān)統(tǒng)計來看，企業(yè)信息化項目失敗率高70%以上，這引起了產(chǎn)業(yè)部門和用戶部門的憂慮，也受到一些IT業(yè)有識之土的關(guān)注，我們逐漸認識到信息化給組織帶來競爭優(yōu)勢的同時，也同時給組織帶來了巨大的風(fēng)險。
　　應(yīng)當(dāng)如何有效地控制IT風(fēng)險?如何使IT戰(zhàn)略與企業(yè)戰(zhàn)略相融合?如何讓IT為組織持續(xù)地創(chuàng)造價值?如何實現(xiàn)“有效益的信息化”?如何建立信息化的 “科學(xué)發(fā)展觀”?這些重大問題己迫切地擺在了我們面前。

　　企業(yè)風(fēng)險管理對IT的要求

　　從企業(yè)管理層面來看，企業(yè)風(fēng)險管理已成為大型公司保護企業(yè)核心競爭力的有效手段。不管是什么規(guī)模的組織，都需要有一套控制指南來有效地管理企業(yè)內(nèi)外各種各樣的風(fēng)險，并隨著業(yè)務(wù)環(huán)境的變化和新技術(shù)的發(fā)展及時更新，才能保證企業(yè)健康、持續(xù)地發(fā)展，有效的風(fēng)險管理己成為企業(yè)發(fā)展的主旋律。

　　2002年美國國會發(fā)布了《薩班斯—奧克斯利法案》，在這個法案中明確提出了所有上市公司都必須加強風(fēng)險管理，建立有效的內(nèi)部控制框架，以確保上市公司遵守證券法律以提高公司披露的準(zhǔn)確性和可靠性，從而保護投資者及其他目的。此法案是有史以來對上市公司影響最大的一部法律，為了符合法案的要求，在美國上市的公眾公司需要投入大量的人力、物力和財力來建立內(nèi)部控制，中國在美國上市的中石化、中國人壽、新浪、亞信等企業(yè)也為此付出了巨大的努力。據(jù)美國Financial Executive International組織對321個公司的調(diào)查顯示，在一個規(guī)模比較大、年營業(yè)收入超過50億美元的公司，建立此體系至少需要470萬美元，維系其運轉(zhuǎn)需要每年150萬美元。

　　在建立符合《薩班斯—奧克斯利法案》要求的企業(yè)風(fēng)險管理與內(nèi)部控制的工作中， IT的份量占到了40%以上，這是因為一方面IT要作為管理組織業(yè)務(wù)風(fēng)險的工具與手段，例如，對財務(wù)應(yīng)用系統(tǒng)的機密性、完整性控制，以及對業(yè)務(wù)交易信息的監(jiān)督與數(shù)據(jù)采集都離不開IT系統(tǒng);另一方面IT本身的風(fēng)險，例如網(wǎng)絡(luò)風(fēng)險、系統(tǒng)風(fēng)險、應(yīng)用風(fēng)險，也是SOX關(guān)注的重要內(nèi)容，因此《薩班斯—奧克斯利法案》把IT推到了企業(yè)風(fēng)險管理的風(fēng)尖浪口。

　　近年來，國內(nèi)行業(yè)主管部門一直在要求企業(yè)加強風(fēng)險管理。2004年9月30日中國銀監(jiān)會發(fā)布了《商業(yè)銀行內(nèi)部控制評價試行辦法》，旨在為規(guī)范和加強對商業(yè)銀行內(nèi)部控制評價，督促商業(yè)銀行建立內(nèi)部控制體系，健全內(nèi)部控制機制，保證商業(yè)銀行穩(wěn)健運行，其中包括了對建立銀行計算機系統(tǒng)內(nèi)部控制的要求。2006年3月1日銀監(jiān)會發(fā)布《電子銀行業(yè)務(wù)管理辦法》和《電子銀行安全評估指引》，直接對技術(shù)風(fēng)險較大的電子銀行提出了進行獨立的或相對獨立的信息系統(tǒng)審計的要求。

　　目前IT治理已經(jīng)在中國企業(yè)有了越來越多的實踐探索。IT治理體現(xiàn)在IT治理機制、IT治理流程和IT領(lǐng)導(dǎo)力等方面，歸根到底是責(zé)任擔(dān)當(dāng)機制，目的是實現(xiàn)IT與業(yè)務(wù)的融合，完善公司治理和實踐科學(xué)的信息化發(fā)展觀。中國IT管理咨詢的一個現(xiàn)實是，頭疼醫(yī)頭，腳疼醫(yī)腳，瞎子摸象，各報一角，難以做到有效的整合，讓咨詢發(fā)揮合力，IT治理的出現(xiàn)，提供了一次機會，那就是建立一個綜合的框架，讓企業(yè)在各方面所作的咨詢工作圍繞著業(yè)務(wù)戰(zhàn)略發(fā)揮合力。