第一个是责任，责任里面还隐含了两个含义，一个是透明，一个是诚信、正直，这是对高管层的要求。有效的履行董事会和高管层的职责就要有有效的信息系统的支撑。在审查批准财务信息的时候，董事会需要企业的审计系统通报数据的完整性和对会计准则的要求，所有这些要求董事会和高层关注内部信息系统，因为这是我们履行其他职责必须依赖的机制。

第二个是意识，也就是对IT战略定位要有一个统一的看法，现在在很多企业里面意识是不统一的。

第三是职业道德，撒班斯法案的出发点就是，它是美国的公众和国会施加压力，就是一直在提的公司治理有这样一句话，如果不追求股东利益最大化的公司不是道德的公司，但是如果只追求利益最大化而不顾社会责任同样是不道德的公司。

第四是范围。

第五个是资源配制，这是非常宝贵的资产，要把它配制在高风险的地方。

第六个是整合的彻底性，要建立一套完整的体系，IT的管控体系和业务的管控体系要彻底整合在一起，当然在很多企业里面存在的情况就是两张皮的现象。

第七个就是效果，如果IT中断，有什么样的办法能保证我们的业务不中断，这是效果层面的含义。

第八个是持续的评价，第九个是合法和归，第十个是信息共享。

根据国外的一个统计数据，其实即使在发达国家也只有38％的管理高层能够描述他们的IT治理，在IT治理的框架下，其实看到有很多方面，而不仅仅是技术，现在在技术方面从体系方面来说我们做的是比较好，但是存在着其他很多的问题。比如信息安全的政策，最高层的原则性的一个东西，比如说关于IT建设的自评估的机制。比如信息系统审计在很多的外企里面他们的信息化的这些人员主要的工作其实就是监控外包方，很多的核心业务外包出去，主要监控外包的合同，履行审计的职责。所以IT治理的框架下，我们需要发展的职能还是有很多的方面。(if002)