今天我们在IT风险上面临着几大挑战，必由之路就是要去实施IT治理，这里面我们有很多的观点，由于时间关系，只能给出一个基本的思路：

　　第一步，我们需要建立IT治理与风险管理的机制和框架。也就是第一步需要我们把蓝图做出来，我们现在在哪里，要到哪里去，中间这块怎么才能做得到。

　　第二步，需要找一位有IT领导力的领导者，他统管IT治理与风险管理的机制和架构。这不管在国外还是中国企业都是这样，有领导力的领导者太重要了。

　　第三步，企业需要通过事先设计的组合管理方法来综合性地应对IT风险。最重要的是要指出风险管理的本质与最终目标是要塑造具备良好风险管理意识的企业文化，这才是一个具有优秀信息技术能力的、创新型与学习型的企业所要具备的基本特征。我们曾经要做一些IT治理和IT管理的顾问工作，一开始做这个顾问工作的时候，甲方觉得这么大的工作量都由我一个人来负责，这怎么能行呢？我们跟他讲你要把IT治理和IT管理所遵循的国际标准，去严格地实施IT管理所遵循的流程，逐步地把它形成一种文化。大概是在十天之前，我们再去这个客户那里做调研的时候，他们告诉我们，在昨天我们配置管理流程的经理主动地发起一次讨论，他基于平台上搜集来的信息、基于他的观察和其他人的建议，召集大家主动地做这个流程。这需要变成一种文化，变成不是有规章制度要求他做这件事情，而是大家觉得我要做这件事情，这就是文化。它本质上确实是一个文化的问题。

　　最后，我们去看看IT治理实施的路线图，这个实施路线图的遵循应该是从世界观到方法论再到具体的操作实践的思路展开。我们做这件事情，IT治理仅仅是一个方法论的东西，首先要确定我们要建设高效可持续发展的信息化，把这个作为我们的世界观，当然这个具体内容我们有一系列的文章，什么是科学的信息化发展观？这在互联网上大家都可以搜索到。确定了世界观之后，我们就需要从体制和机制、制度安排的层面做一些设想、设计，这就是IT治理的工作，我们要设计这个框架是什么样的、机制是什么样的，谁来治理、治理什么？治理的内容是什么？如何去评价这样一个治理？去设计这样一些工作。

　　在打好了这样体制机制制度安排的基础上，我们就可以逐项进行IT风险管理工作。为什么叫IT的风险管理不叫IT的管理呢？因为我们有这样一个研究，我们发现现在所有的管理都是风险管理，所有的管理都是绩效管理，所有的管理也都是流程管理，其实它是一回事，所以我们以后把IT的管理就叫做IT的风险管理，不再是以前的投入产出的问题，而是风险与收益的问题。

　　首先，IT治理和风险管理是需要长期制度化的方法来实现的工作，它不是一蹴而就的东西，需要我们要以一个平常心来看待它。因为很多企业试图让我们用半天的时间告诉他IT治理是什么，到底是什么工作，这不可能做到。

　　第二，我们一定要以全球最佳时间为出发点，例如ITIL等。当然我们应该站在巨人的肩膀上。如果我们的企业都遵循这样一种控制流程，这个控制流程的目的就是用来改善企业的内部控制系统，进而达成合法合规这样一个目标，就会给我们企业带来一个持久的收益。

　　一旦中国的企业形成了与企业文化相适应的良好治理结构和治理机制，这就会成为中国企业国际竞争力的核心源泉。