IT業務管理不能成為“紙上談兵”

 　　IT運維與業務融合是時下IT界最熱門的話題之一。隨著IT項目建設的不斷深入和完善，核心業務系統的平穩運行已經成為了企業管理人員普遍關注，但又不堪重負的問題。近幾年，我們發現有很多IT部門的管理者會炫耀已有的運維產品，很多企業管理人員最願意談論的，則是對業務服務有效管理的“亮點”，因為這能讓企業獲得全新的競爭效能，實現IT的價值。

　　在誇誇其談的背後，IT系統若真的發生微小故障，卻仍然會對核心業務帶來巨大的影響，此時的業務服務管理就真的成為了浮雲。因此，我們必須先把IT基礎設施管理的完善和深入，進而獲取“管理要素”，才可能使業務管理不會淪為是紙上談兵。

　　為何業務服務管理受眾人之捧

　　實際上在二十餘年之前(1989年)，就已經有了業務服務管理(Business Service Management，BSM)的理念基礎，這套運維前輩們總結的IT服務管理(ITSM)理念和標準(ITIL)，雖然有所變化，但其精髓時至今日仍然為企業提供了很好的借鑒。那麼，為何現如今的企業管理者和IT部門的最高指揮官都在關注業務服務管理呢?

　　隨著IT與業務融合受到越來越多的關注，BSM作為一個更高層次的概念，不僅是IT管理的規範化和流程化，還能促進IT與業務的加速融合。企業的領導層可以在運維部門、業務部門、資源之間很好地形成一種架構，以業務為中心，以部門為導向的方法，來處理業務對IT的需求。當你看到如此之多的好處，作為決策者，誰也不會放棄嶄新的方法，以釋放未被利用的IT性能，並對業務擴展的機會迅速做出反應。而CIO或是CTO則可以把BSM當成改變自己“公司地位”的手段，以便用非技術的業務術語向業務部門表述IT戰略及IT資源的分配狀況。這有助於IT部門和服務提供方擺脫由來已久的成本中心形象，促成BSM專案建設，能讓IT部門終於有機會與業務面對面的交談，並且提供了IT與業務相協調的確鑿證據。

　　急功近利讓BSM成為浮雲

　　在現實的IT管理中我們都會遇到這樣的情況，IT部門在整個企業架構中人員都相對較少，專業人員缺乏，這是IT部門經常反映比較多的問題。北塔軟體通過對近百家企業IT部門關注點進行了調研，發現50%以上IT部門人員認為，設備管理仍然是最基礎、最核心的運維起點。同時，90%以上的工程師認為拋棄基礎設施管理去談運維不具有實際意義，他們最害怕的還是設備故障造成的業務中斷，因為這會影響業務部門以及領導對IT部門的績效考核等等。

　　以最閃耀的“私有雲”建設為例。目前，大多數資料中心都對具體的子系統分別部署了各自為戰監控系統，私有雲的遠大目標讓資料中心成為了一個更加複雜的系統，其中包括各種不同的團隊、工具和流程，資料中心的設備蔓延成為了業務與IT融合的絆腳石。大而無當的硬體系統仍然需要大量勞動力進行維護，時間一長，資料中心運維工作就會越來越複雜，導致運維特有的靈活性下降，企業對“私有雲”的忠誠度也會銳減。

　　北塔軟體的調查結果讓我們發現，其實大部分企業的基礎管理還很不完善，對業務服務管理的建設過於急躁。不能落實對基礎設施的統一管理，在這個基礎上盲目實行BSM產生了更多“網狀化的流程”，管理難度惡化。業務結構不斷變化的本性造成運維實體複雜性的增加，因為業務系統中涉及的每個設備物件不能有效的整合，因變革帶來的負效應開始出現在網路中。我們看到，運行維護人員依然還是整天還忙於“救火”，只不過是多了一套“救火”的口號而已。

　　目標回推理論與基礎設施管理

　　很多學過《目標管理》的領導者都知道，世界首屈一指的成功學大師博恩•崔西曾經說過：“設定目標要遵循‘理想化’的原則，如果在設定目標的時候就顧這顧那，將各種限制因素都考慮進去，最終制定的一定是毫無奮鬥意義的目標。”但我們也千萬不要忘記，目標與現實之間一定存在差距，目標設定的意義正是引領和激勵人們克服這個差距，取得成果。

　　北塔軟體認為：“愛德溫洛克的目標設置理論告訴我們，企業的IT管理中要實現BSM的目標沒有錯，錯誤在於沒有制定可執行的計畫。從BSM的終極目標開始計算，採用回推的方式，企業就很容易在現階段找到運維的重點。先把真正急需的功能模組部署起來，根據自身的情況讓BSM循序漸進的進行。”

　　在實現BSM之前，我們應該搭建業務綜合管理平臺，把所有IT資源整合到一個綜合平臺進行管理。在此基礎上搭建業務模型，模型搭建好，通過“業務視圖”便可實現統一管理，業務系統的詳細管理流程化實施也相應出來了，這樣才可以進入BSM實施階段。

　　再往後退一步看，在業務綜合管理平臺之前，企業要做的事情就是解決設備層面的監控和預警難題。北塔軟體副總經理孫永傑先生認為：“由於缺乏工具和資源，應用程式和服務的整體運行狀況對企業來說仍是未知的，並且沒有方法在 IT 部門中共用累積的知識。使用手動運維方式的使用者會發現，IT環境極難控制，網路設備和伺服器管理的成本非常高，所以IT部門才會在故障面前普遍顯得很被動。”因此，在這一階段是用戶最希望的是把網路、路由器、交換機、伺服器等納入一個平臺上進行管理，保證其運行不出問題。通過IT基礎設施管理服務的建設，IT部門有能力提供7X24小時全天候對伺服器、網路和資料庫進行監控。工程師們會習慣，他們每天都會遵照和運用基礎設施操作管理、問題管理、變更管理等對應的流程進行日常工作。

　　以上這些理論和實踐，都為引入ITSM、ITIL和本文中反復出現的BSM，做好了積極而有效的準備。通過本文闡述的觀點，希望你已經不再止於BSM層面樂觀的探討，而應該從深層次探究其技術的基礎。IT部門不如將精力放在研究實現業務服務管理的依據是什麼?等等這些很實際的問題。很顯然，這需要充足的管理要素，以及步步為營的技術手段和保障措施，這才是IT運維的靈魂和魅力所在。

“IT並不重要” 看ITSM的落地

　“IT並不重要”的言論指明了IT的發展方向，就是IT應該更好地輔助業務的運行。實際上現在很多新的解決方案，如 ITSM都需要跟使用者的業務結合的更緊密。但問題是，如何讓ITSM更加當地語系化？ 

　　世界頂級賽事F1（一級方程式賽車）大賽中，每一秒鐘的超越都依靠科技的發展實現F1車隊的終極夢想。豐田賽車有限公司為了表現出從設計到推出，再到賽道上進步的每一秒，都需要IT與業務目標保持同步。 

　　F1的業務管理 

　　這個連接主要IT構件和業務目標的動態方法息息相關，BSM（業務服務管理）使豐田賽車有限公司精煉F1賽車的製造，並且能夠降低製造時間，還能夠使豐田賽車隊瞭解並預計到技術對業務的影響，以及業務對IT架構的影響。也就是說，BSM可以幫助提高業務表現，並降低成本和IT架構的複雜性。 

　　豐田賽車隊是採用整套內部端對端設計和製造程式的兩家F1車隊中之一。要在短期內製造或改動整輛車，所有的程式必須準備就緒。相比其它製造商需要花費7年的時間推出一款新車，豐田賽車有限公司在賽季，從引擎設計到風洞底盤的研究，從製造到測試，僅需要7天便可完成同樣的製造程式。 

　　通過BSM戰略讓豐田車隊能夠監控科隆和競爭對手的任何賽道之間的衛星鏈路。這個鏈路對整個車隊在有比賽的週末都至關重要，它能夠讓豐田車隊複製60~80億位元組的即時資料，這些即時資料是通過每一個F1賽車的100多個感測器收集得到的，並將這些資料從賽道傳送到我們在科隆的工程師那裡進行時時的分析。 

　　如果不能即時的洞察到賽車的性能，豐田車隊也不能夠在比賽時對改變的狀況做出及時的反應。 

　　這是一個BSM的典型案例，作為有效實現IT與業務深度融合、以優化IT資源配置為核心的BSM，給企業帶來了深遠影響。游龍科技總裁張澤軍認為，BSM就是ITSM（IT服務管理）的終極目標，但如果ITSM想在中國落地歸根，還需要做更多的事情。 

　　IT的方向 

　　在IT業界流傳著這麼一句話，“外國賣的最便宜的是硬體，其次是軟體，最貴的是諮詢服務，最後還得賣個價值給用戶。在中國最貴的就是硬體，其次是軟體，一般的諮詢服務都是免費提供，但價值呢？。” 

　　的確，服務並不為諸多的使用者所重視，而美國的經濟學家尼古拉斯•卡爾在2003年發表的“IT不再重要”，也證明了隨著企業IT基礎架構越來越完善，進一步增加對IT的投資所能帶來的回報實際上是越來越少的，這也就是為什麼很多企業都在逐步縮減IT投資，而將有限的資源投入到可以直接創造效益的業務上去的根本原因。 

　　IDC中國軟體與服務研究部高級分析師楊挺認為：“IT的發展方向，應該是IT+業務，也就是說，IT應該更好地輔助業務的運行。實際上現在很多新的解決方案都是跟用戶的業務結合的更緊密。 

　　但這個問題應該分為兩個方面去看待：一個方面就是對於那些IT與用戶的業務結合的不是特別緊密，相關度不高的行業。比如傳統的製造業，或者是批發零售行業，在這些行業中IT的發展方向應該是IT輔助業務更好地運行。 

　　而另一方面，對於那些IT與用戶的業務相關度非常高的行業，比如說金融、電信行業，實際上IT系統已經成為業務系統的一部分，所以在這些行業中，IT可以去發展成為企業的核心競爭力之一。因此說IT的發展方向還是真正與用戶的業務相結合，那麼ITSM會是很好的方法。” 

　　ITSM解決方案作為跟業務結合非常緊密的基礎架構的解決方案，是為了推動業務更好的運行。真正好的基礎架構就是用戶感覺不到這種基礎架構的存在，正所謂無為而治。 

　　Gartner認為：“如果不能全面地瞭解IT基礎架構，企業將在實施應用變革過程中繼續面臨業務上的風險。當企業部署他們的配置管理資料庫（CMDB）戰略時，有關自有應用的資訊對於構建一個全面的（或者完整的）IT服務視圖是非常重要的。 

　　從技術的層面來講，想要實施一套完整的ITSM體系，在實施過程中有兩個最為核心的要素是必須要實現的。 

　　第一方面，需要對使用者的需求分析，因為ITSM是一個注重流程的方法論，而使用者的流程是需要經過嚴謹的供需分析的，這是顯而易見的事實。 

　　第二方面，在實施的時候，ITSM一定要有一個統一的緩衝資料庫，這樣才能使得各類的監測資料能夠達到同步共用。 

　　也許，像游龍科技這樣的國內廠商更能深入理解客戶的實際需求，所制定的IT運維的考核標準也符合中國國情，著重突出評估的直觀、簡單和準確。 

　　滯後的回應 

　　用戶對於新業務的回應滯後已經成為一個非常重要的問題，中國銀行一位領導曾經說過，現在為什麼要進行核心業務系統的改造？其中一個非常主要的原因就是對於新業務的回應滯後，這個問題已經非常明顯的凸顯出來。舉一個很簡單的例子，他們上一個小的業務模組，整個流程走下來可能就需要大半年的時間，與此同時，很多銀行已經將這個業務推到市場中了，這樣就會影響企業的市場推進過程。 

　　楊挺說，很多企業使用者都會遇到一些問題，一方面它的IT部門、這些維護人員像救火隊員一樣奔波于各種故障與問題之間，並且同樣的問題、同樣的故障還會不斷地重複地發生，另一方面企業的業務部門在抱怨，已經由於IT系統的不穩定和效率低下已經造成了業務系統的損失，這就形成了一個悖論。 

　　當企業建立一個系統之後，又可能會產生一系列的問題，比如說由於客戶化的工作做得不夠，很可能會導致解決方案無法落地的問題。張澤軍認為，由於產品本身靈活性的不足，可能會導致國內用戶的需求無法得到滿足，比如無法實現定制化的報表功能。還有由於培訓和推廣方面做的工作不夠，也會導致這個系統無法順暢地運行，這都是一系列的問題。 

　　當CIO在考慮解決方案的時候，主要是考慮實施成本，但當他已經決定要做一個專案而去選擇解決方案提供商的時候，這時候成本已經不是企業主要考慮的因素，所要考慮的因素是解決方案提供商的一些技術的實力，一些成功的經驗、行業的背景等。 

　　但是由於ITSM解決方案市場本身這種特定的特點所限制，往往是在出現災難、出現故障的時候效果才可以顯現出來。張澤軍說，所以一定要想方設法的通過量化、標準化的指標告訴我們用戶，到底給業務帶來什麼樣的影響，並通過一些報表化的呈現或者是比較模型來實現。

讓安全管理成為業務促進因素

許多公司正在意識到，將注意力集中在網絡層次的威脅上遮蓋了更本質的東西: 信息安全不只是網絡保護問題，它應是能夠積極幫助企業實現業務目標的技術手段。先進的信息安全工具— 例如身份和訪問管理— 能夠幫助企業快速部署其應用和門戶，令用戶快速聯機工作，以及跨整個電子商務基礎架構維持安全策略的一致。

例如，現在網路銀行沒有得到廣泛的推廣，最主要的原因是客戶對通過互聯網進行銀行交易的安全性有顧慮: “當我提交我的信用卡信息和密碼時有可能被黑客截取”。

從通常意義上考慮，如果要針對最終用戶提供交易服務，不能簡單地通過實施網絡安全產品解決安全問題，必須在業務應用上提供強大的安全管理能力，使管理員可以了解每一個用戶在什麼時間進入系統、該用戶的安全授權是否正確、用戶是否進行了超出授權的操作、用戶和網站之間的通信是否加密、用戶的數字證書是否過期。

只有安全的應用才能使客戶對網上銀行的交易的安全性有足夠的信心，從而為銀行帶來更多的客戶和更多的交易。如果更多的銀行交易如果從網上進行，就可以為銀行節約大量的運行開支，這樣，安全管理能夠成為業務的推動力而不是制約因素。

同時，多項網路銀行的業務如果各自編寫安全代碼，將很難進行集中訪問控制和審計，隨著業務的增長，銀行將越來越難以控制應用的安全。因此，需要一種安全解決方案集中管理不同應用的所有用戶的建立、改變和刪除，集中控制用戶在不同應用中的訪問並進行集中的安全審計。當這樣的安全體系建立後，銀行會發現可以快速、輕鬆和安全實施新的網上銀行服務而不用擔心失控。

SIEM 在組織裡的應用

Reinventing SIEM For Strategic Business Capability Through Cloud Computing

SIEM is effectively used by organizations in the following areas.  

• Log Mangement
• Detecting and responding to security events
• Protecting confidential and private data (fraud detection)
• Vulnerability Analytics
• Security and forensic analysis
• Automating security operations
• Monitoring internal & external threats
• Tracking user activity - end user behavior
• Monitoring IT staff/administrator behavior
• Meeting corporate governance initiatives
• Complying with government and industry regulations
• Risk Analysis
• Network operations, Performance monitors & optimization 
• Asset Management, Capacity or resource planning
• Configuration Change Audit
• Optimizing traffic , bandwidth monitoring
• Network behavior anomaly (NBA) detection
• Troubleshooting IT problems
• Service level/performance management
• Business Analysis
• Centralized Management Analytics
• Compliance Automation
• Audit Gap Analysis

Article Source: http://EzineArticles.com/2954394

證券業IT治理落地實施分析

　　1. 證券行業IT治理現狀

　　如何提高核心競爭力，在新一輪的競爭中獲得優勢，已經成為當前券商的不得不面臨的重要問題。國內許多券商已經在考慮綜合利用市場、行銷、人才及新技術等策略，在競爭中做大做強。其中“新技術”佔有越來越重要的地位，主要是指利用IT技術，提高證券公司的競爭力。

　　為了適應新技術的變化，2008年，中國證券行業協會與期貨業協會(以下簡稱“證監會” )發佈了《證券期貨經營機構資訊技術治理工作指引(試行)》(以下簡稱“《指引》”)，強調證券期貨業經營機構資訊技術管理與規範，以及在提高IT治理水準提出了指導意見。目前，證券公司公司普遍意識到加強IT治理工作的重要性。但IT治理具體如何實施才具有成效？如何防止IT治理僅僅是一本放在書架上的理論書？也就是通常所稱的“理論好，落地難”，成為計畫開展IT治理的證券公司所必須解決的重要問題。

　　GooAnn與證監會一起曾對券商實行IT治理的情況進行過調研。發現調研的30家證券公司、9家基金公司中，只有40%的公司已經設立了IT治理組織和機制。特別是在對“貴公司IT治理如何建設”的問題回答上，經過統計發現對該問題的回答可以歸類如下：(1)IT治理需要的明確責任與職能不清晰，IT治理太宏觀;(2)缺乏IT治理明確的概念描述和參數指標;(3)IT治理就是按照《指引》要求建立一個IT治理組。(4)IT治理就是指定IT部門中層幹部負責IT治理工作。

　　而以100分為滿分計算，國內的證券行業IT治理建設情況的評估統計很少超過80分，絕大部分在60分和70分之間，有1/3小於45分。[1]

　　從資料及調研結果上看來，國內相當一部分證券機構在制訂明確的IT治理原則和如何正確實施IT治理方面仍然非常欠缺。證券行業仍然處於IT治理的知識普及階段，特別是對於如何把“IT治理”這個概念轉化為實際可操作的動作，仍需要進一步深入研究和探索。本文以理論結合證券行業實際情況，提出了基於COBIT及VAL IT的IT治理框架，並結合實際案例來研究證券行業如何解決IT治理實施落地這一難題。

　　2. IT治理如何落地

　　IT治理是在IT應用過程中，為鼓勵期望行為而明確的決策權歸屬和責任擔當框架。【1】具體體現在五個IT決策上：

　　(1)IT原則：闡述IT的商業作用;

　　(2)IT架構：定義集成和標準化的要求;

　　(3)IT基礎設施：決定共用和可提供的服務;

　　(4)業務應用需求：確定購買或內部開發應用的業務需求;

　　(5)IT投資和優先權：選擇資助哪一個立項以及投入多少資金。

　　這五個決策是彼此相關的，一般來說，原則約束架構，架構決定基礎設施，基礎設施約束著業務需求，IT投資必須為IT原則、整體架構、基礎設施和應用需求所驅動。

　　要真正的落實IT治理，必須從如何建立理論框架、有效利用應用工具集、長期規劃及建設三方面來考慮，才能真正發揮IT治理在對IT資源的有效配置，資金分配、與業務融合等方面發揮作用。下面將從這三方面的分別闡述如何實現IT治理落地實施問題。

　　2.1 IT治理理論框架

　　IT治理的框架正確與否直接決定了IT治理的成敗。IT治理理論框架採用建議國際上通用的最佳實踐CoBIT及VAL IT 作為基礎框架，以《IT治理實施指南-使用CoBIT 和Val IT》為實踐指南，結合ISO17799、ITIL、PRINCE2、BCM 等國際標準及行內最佳實施，建立適合客戶的戰術層IT治理框架，設計相關IT流程，並識別其中的關鍵控制點。在明確可以參考的IT治理理論框架後，則首先需要解決IT原則與決策機制問題。

　　2.1.1 IT原則

　　目前國際上採用較多的IT治理決策機制為IT雙寡頭制、IT君主制、聯邦制、雙寡頭制、封建制、業務君主制。至於使用何種決策機制要根據各公司的組織架構的實際情況並結合決策矩陣來設計IT治理決策機制。

　　IT原則不應當是高不可及，應當是公司對IT在公司發展中所起作用的期望。也就是說業務發展目標決定IT原則。不同類型的公司其IT治理原則側重點應當不一致。GooAnn曾抽樣對規模分別為大、中、小的券商IT原則制定情況進行調研，發現不同規模的券商業務發展的目標不一樣，決定了其IT原則也有所不同。可見調研結果也證實了這一點。

　　IT原則和決策機制的制定，並不能保證IT治理的方向是正確的。需要一個定期審核與回顧的方法來保證。為此，建議以制度化的形式來實現IT原則與決策。如在戰略層面上，IT治理應當是公司治理結構、企業戰略規劃的一部分，在治理結構上體現IT 的位置與作用。另外建立有效確定IT決策權歸屬和責任分配的框架。通過一系列的結構、流程和溝通來實施IT治理計畫，設計周詳、容易理解和清晰的制度和機制，促進IT原則落實的可執行度。

　　2.1.2 IT治理實施路線路

　　IT治理在確定IT治理的決策權與職責擔當體系，並初步建立確定IT原則後，應在IT架構、IT 基礎設施、業務需求、IT投資及優先權四個領域形成制度與流程，並最終規劃為IT治理實施路線圖，為IT治理的可實施性提供強有力的支援。

　　IT治理的實施路線圖可以參考下圖的方式進行規劃，在識別需求和預期階段建議參考CoBIT及VAL IT框架以獲得全域觀，在每個具體不同的流程和專案可具體參考 ISO17799(ISO27001)、ITIL、PRINCE2、BCM、CMMI、ITAF等最佳實踐。

　　圖1 IT治理實施路線路圖

　　IT架構

　　在如何提高核心競爭力方面，“新技術”佔有越來越重要的地位。在證券行業主要是指利用IT技術，提高證券公司的競爭力。IT投資不再僅關注在IT的解決方案方面投資，而是在IT技術轉變方面投資。因此IT架構是否滿足當前業務需求並具有適當的前瞻性很重要。為了保證IT架構的正確方向，建議配合IT治理實施路線圖，以流程化的觀點來規劃IT架構。IT架構的設計與規劃需要關注對現有系統的支援、對成本控制的支援、對新業務的支持以及對新領域的推動和引導。並進行中長期資訊化規劃，和形成短期的可執行計畫。

　　以下給出一個評估IT架構成熟度流程化的參考示例。

　　表1 成熟度分析表

　　IT基礎設施

　　IT基礎設施更加關注的是IT運行維護的穩定性、IT風險控制以及績效評價。建議參考ISO17799、ITIL、CMMI、BCM等標準，建立綜合的IT流程控制框架，明確各流程的KPI、KGI及成熟度等級，形成完備的IT風險控制體系與IT精細化績效管理體系，通過制度、流程及技術手段進行監測與管理。

　　對於IT基礎設施最基本的任務——維護IT系統，則可參考ITIL(IT Infrastructure Library)對於在對整個IT運維體系進行了梳理，提高IT服務整體水準和完善IT服務流程，以提高運行績效和客戶滿意度。

　　ITIL是IT服務管理的最佳實踐總結ITIL 列出了各個IT服務管理流程的最佳目標、活動、輸入和輸出，以及各個流程之間的關係。ITIL V2曾被視為提供IT服務最有效的方法。2007年後，ITIL V3發佈。它涵蓋了IT服務的5個生命週期、共17個流程、共4個職能。ITIL在IT維護過程當中所提出的服務台、變更管理、事件管理等重要流程都是經過了全球眾多的IT企業或IT部門所證明的最佳實踐。

　　在IT風險控制方面：如何保護組織資訊資產的機密性、完整性及可用性。ISO17799：2005提供了很好的最佳實踐。ISO17799標準其中包含11個主題，定義了133個安全控制。其中133個安全控制可以作為指導資訊安全管理工作的最佳實踐參考。通過IT風險控制，可以保護資訊不受廣泛威脅的損害，確保業務的連續性，將商業損失降至最小，使投資收益最大並創造新的戰略機遇。而ISACA最近提出的RISK IT也可以作為一個有用的最佳實踐參考。

　　在IT服務績效考核方面：COBIT為每個過程提供了關鍵目標指標(KGIs)、關鍵績效指標(KPIs)，關鍵成功要素(CSFs)，這些指標與ITIL過程結合，可以建立ITIL過程管理的基準。在實際應用中，綜合兩個指標提出更容易理解的適用於本企業環境的IT治理和運行架構。

　　當然，以上僅列舉了IT基礎設施所涉及的部分內容，在具體過程當中，可以參考其他最佳實踐幫助公司做出正確的管理和決策，如專案管理方面，PRINCE2(專案管理體系)是一個很好的關於專案管理的方法論。它集中於專案管理的戰略層次，同時他是一種通用的架構。對於每個過程，PRINCE並有提供具體實現技術和工具，擁護可根據實際需要，使用有益的任何工具，如甘特圖，關鍵路徑、專案管理軟體等。

　　業務應用需求

　　業務應用需求關注的是IT如何滿足業務需求。更進一步來說，是如何做到IT與業務融合的關鍵階段。目前國內證券行業在IT與業務的融合方面普遍不理想：券商的主營收入仍依靠經紀業務，核心開發團隊缺乏，IT在產品研發、資訊挖掘、風險管理方面的應用未能充分發揮價值等問題。

　　解決IT與業務之間的支持與需求的矛盾，建立恰當的創新激勵機制是關鍵。重點是加強各部門之間溝通與協調，以達到平衡利益與責任的關係，要加強流程融合，推動IT與業務在流程層面的融合，在整個公司層面來關注促進IT與業務的融合。而激勵機制的最重要的客觀參考資料，可以來自平衡計分卡、VAL IT的投資回報率，ITIL的客戶滿意度、ISO27004資訊安全有效性測量等工具化的平臺或報表.

　　除了建立激勵機制，人力資源則是解決IT與業務融合的另一重要因素。應在公司形成適時而變、保持活力的IT組織結構;保持在管理、規劃、工程、設計、開發、運維方面的人員合理配比，通過內部培養與外部引入結合的方式，完善IT人員的業務與技術知識結構，提高IT創新能力。

　　IT投資和優先權

　　IT投資不再僅關注在IT的解決方案方面投資，還需要關注IT技術轉變方面投資，這就意味著比過去的投資更複雜、更具有風險。很顯然，IT投資能帶來高回報，但前提是必須有正確的IT治理和管理模式，以及各級管理層的支援和約定。平衡風險和回報，這是擺在所有董事會成員和主管人員面前的首要問題。VAL IT可以為公司在解決IT投資和優先權方面提供最佳實踐參考。

　　Val IT著眼於投資決定以及收益的實現，而資訊系統和技術控制目標關注的是實行。Val IT支持實現來源於技術投資的真實商業價值。Val IT與所有的管理層都有聯繫，包括商業和IT，包括首席執行官、主管和那些直接參與挑選、採購、開發、實施、部署及實現收益的部門員工。Val IT標識所有潛在的問題、成本、風險，以及一個平衡由IT驅動的業務投資部門，它同時提供了部門能力基準並允許企業之間交換關於價值管理最佳實踐的經驗。

　　Val IT框架的相關指導原則可應用到管理流程當中，包括價值治理、部門管理和投資管理等，Val IT框架能夠通過工具來實現具體的IT投資治理。

　　2.2 IT治理是長期過程

　　IT治理是一項涉及面廣、規範性強、實施難度大、有一定風險的系統工程。另外，建立IT治理機制是一個動態的過程。公司的業務戰略轉變與技術發展以及IT治理理論的發展都要求不斷改進、完善IT治理的目標、策略、方法、手段。另外，環境的動態性也決定了IT治理的動態性。這表明對於IT治理的完善，是個循序漸進的過程，需要通過階段性的實施，沒有良好的IT治理結構和持之以恆的評估回饋機制。

　　因此建立完整的IT治理機制是一項長期的工作，不能一蹴而就，應當從基礎到高級，從容易到複雜、從規範化到差異化一步步分階段實現，最終使IT成為組織的核心競爭力。建議按以下步驟分階段地實施IT治理，以控制IT風險和提高IT績效。

　　2.3 常見應用工具集

　　許多券商也曾提出在提升IT治理能力上，哪些工具比較適合這樣一個問題。為此特舉了業界中比較常見的工具以供參考。如管理意識、IT控制診斷、應用指導、訪談列表等。這些工具的設計讓IT治理的應用更容易，讓公司能夠快速且成功的從IT治理理論具體落實到可執行的工作當中，而通過採用平臺化的工具可以提高工作效率，如：IT風險控制方面：GooAnn的ITRM風險管理工具;ITIL方面：HP Openview、CA Unicenter、BMC Remedy 、IBMTivoli等IT管理產品;專案管理及投資管理方面：HP PPM、CA Clarity，同時還有各類的專業培訓機構，各類IT控制診斷工具都是作為輔助手段提升IT治理能力。