COBIT的實行

21 min readMay 10, 2023

企業的資訊和技術治理並非憑空產生。治理實行發生在內部和外部環境中的眾多因素決定的不同條件和情況下，例如：

企業的道德和文化
需要遵循的法律、法規和政策
國際標準
產業慣例
經濟和競爭環境
技術進步和演變(如雲端運算或AI)
威脅態勢
企業的：存在理由、使命、願景、目標和價值觀/治理政策和實踐
文化與管理風格/角色和職責模型/商業計劃和戰略意圖/運營模式和成熟度

什麼是資訊與技術的企業治理(EGIT)?

治理、企業治理和 EGIT(Enterprise governance of information and technology，以下簡稱EGIT) 等術語可能具有不同的含義，具體取決於每間企業的背景脈絡(成熟度、產業和監管環境)或個人背景（工作角色、教育和經驗）等因素。

英文的治理(Governance)一詞源自希臘語動詞 kubernáo，意思是“掌舵”。治理體系使企業中的多個利害關係人在評估條件和選項、設定方向和監控企業目標績效等層面是有組織的。 制定和維繫適當的治理方法是董事會的責任。

EGIT 是企業治理的一個組成部分。 企業層面的治理需求主要是由

利害關係人的價值交付
對透明度和企業風險的有效管理
跟資訊與技術相關的重大機會、成本和風險需求，專門但綜合地關注 EGIT
EGIT 使企業能夠充分利用資訊與技術，實現效益最大化，把握機會獲得競爭優勢。

為何EGIT如此重要?

現代企業無論規模大小 — — 都越來越認識到，資訊是一種關鍵資源，技術是一種戰略資產，兩者都是成功的關鍵。

資訊與技術可以成為幫助企業實現最重要目標的強大資源。例如:

推動企業間的合併、收購和出售或拆分等大型交易的成本節費。
實現關鍵流程的自動化，例如供應鏈。
可以成為新商業戰略或商業模式的基石，從而提高競爭力並實現創新，例如產品的數位產品的交付（例如在電商和線上音樂）。
增強客戶忠誠度，例如，通過整理和挖掘不同系統中的資料並提供 360 度客戶視圖。
網路經濟的基礎，網路經濟打破地理位置和部門間的穀倉效應，提供創新的價值創造方式。

大多數企業都將資訊與技術的使用視為需要妥善管理的重要資產。雖然資訊與技術具有業務轉型的潛力，但它通常同時也是一項非常重要的投資。在許多情況下，真正的資訊與技術成本是不透明的，預算分散在不同的業務部門、職能部門和地理位置，沒有集中監督。 大部分支出通常只是維持運營，為IT專案執行完成後的維護和運營提供資金，而不是創新或轉型計劃。當資金用於戰略計劃時，它們往往無法實現預期的結果。 許多企業仍然未能證明 IT 支持投資的具體、可衡量的商業價值，並專注於 EGIT 作為解決這種情況的機制。

網路經濟帶來了一系列與 IT 相關的風險，包括面向客戶的業務系統遭到入侵、客戶或公司內部資料洩露，或者由於不靈活的 IT 架構而錯失商機。管理這些和其他類型的資訊與技術(以下簡稱I&T)的相關風險是需要使用EGIT 的另一個驅動力。

EGIT 可以解決當今許多產業和位在不同司法管轄區的企業所面臨的複雜監管環境，通常直接延伸到 IT。 圍繞財務報告的要求和審查推動了對 IT 相關控制的高度關注。長期以來，研究已經證明了 EGIT 的價值。在對一家國際航空公司的大型案例研究中，EGIT 的優勢被證明包括：降低與 IT 相關的連續性成本，提高 IT 支持的創新能力，增強數位投資與業務目標和戰略之間的一致性，增強業務與 IT 之間的信任，以及由數位資產轉變成“價值思維”。

邁向EGIT的第一步

在實施 EGIT 改進時，有適當的企業脈絡很重要。這有助於確保該提議得到C-Level主管支持。由於不適當的管理指導、支持和監督，主要的 I&T 計劃往往會失敗。 EGIT 實行也不例外；如果治理和管理得當，企業就有更多的成功機會。

例如，主要利害關係人的支持和指導不足雖然產生了 EGIT 計劃產生新的政策和程序，但可能會導致沒有適當與長久的掌控。如果沒有分配角色和職責、承諾持續運營並監控合規性的管理結構，改進就不太可能成為常規的業務實踐。

因此，應該建立和維護適當的環境，以確保 EGIT 作為企業內整體治理方法的一個組成部分來實行。這應包括適當的指導和監督實行舉措，包括指導原則。目標是對活動提供充分的承諾、指導和控制，以便與企業目標保持一致，並獲得董事會和執行C-Level的支持。

無論實施計畫是大是小，C-Level管理層都必須參與並推動建立適當的治理結構。最初的活動通常包括對當前實踐的評估和改進結構的設計。在某些情況下，該計劃可能導致業務重組以及 IT 職能及其與業務部門的關係。

C-Level管理層應設置和維繫治理框架。這意味著根據商定的治理設計原則、決策模型、權限等級和知情決策所需的資訊，為 EGIT 指定結構、流程和實踐。C-Level管理層還應分配明確的角色和職責來指導 EGIT 改進計劃。

使 EGIT 正規化並為C-Level管理層和董事會監督和指導 I&T 相關活動提供機制的一種常見方法是建立 I&T 治理委員會。該 I&T 治理委員會代表董事會（對其負責）行事。 I&T 治理委員會負責 I&T 在企業內的使用方式，以及製定影響企業的關鍵 I&T 相關決策。它應該有明確的授權，最好由業務主管（最好是董事會成員）擔任主席。它應由代表主要業務部門的高階業務主管以及資訊長、數位長和(或)技術長組成，如果需要，還應包括其他資深IT 經理、內部稽核、資安和風險職能發揮諮詢作用。

C-Level管理層需要根據事實做出決策；可靠的資訊；以及來自業務和 IT 經理、稽核員、客戶、使用者和其他人的各種有根據的意見。 COBIT 框架通過為C-Level管理層提供一種通用語言來表達目標、目標和預期結果，從而促進這些溝通。

下圖一與二說明了主要利害關係人的一般角色，並概述了實施適當環境以維持治理和確保成功結果的責任。

應用一個持續改進生命週期方法

持續改進生命週期方法使企業能夠解決 EGIT 實施過程中遇到的複雜性和挑戰。生命週期包含三個相互關聯的組成部分：

核心 EGIT 持續改進生命週期
變革賦能(解決行為和文化層面的實行或改進)
方案管理

下圖說明了實行路線圖的七個階段。高階健康檢查、評估和稽核通常會引發對 EGIT舉措的考量，其結果可以成為第 1 階段的輸入。實行和改進計劃通常是持續和迭代的。在最後階段，新的目標和需求經常會更動，新的周期可能開始。實行路線圖的七階段說明可參閱本部落格客製並實行企業的雲端治理體系一文。

每個階段所耗損的時間會因企業環境、成熟度以及實行或改進計劃(以及其他因素)的範圍而有很大差異。但是，理想情況下，在整個生命週期的每次迭代的整體時間不應超過六個月，並逐步應用改進。否則，該計劃可能會失去動力、焦點和利害關係人的支持。 目標是建立定期改進的節奏。更大規模的計劃應該被建構為生命週期的多次迭代。

隨著時間的推移，將迭代地遵循生命週期，同時建立可持續的方法。生命週期的各個階段成為日常活動；持續改進自然而然地發生，並成為正常的商業慣例。

確定需要採取的行動：識別痛點和觸發事件

許多因素會讓企業需要新的或修改過的 EGIT 實踐 — — 如果仔細研究，它們有時會揭示潛在問題的複雜性。例如，如果企業認為 I&T 成本高得無法接受，這可能是由於治理和(或)管理問題（例如，在管理 IT 投資時使用了不適當的標準，像是把雲端運算當成傳統IT使用。）。 但是，痛點可能是 I&T 長期遺留投資不足的病徵，現在呈現出顯著的、新的或持續的成本(例如資安投資不足造成的資安事件，或是開發人員講的技術債)。

使用痛點或觸發事件來啟動 EGIT 計劃可以將改進的業務案例與具體的利害關係人問題聯繫起來，從而提高EGIT的支持度。 啟動EGIT的實行可能需要企業內部的緊迫感。 此外，它還可以支持Quick wins，並展示企業中最明顯或認知領域的附加價值。反過來，Quick wins為引入進一步的變革提供了一個平台，並有助於鞏固C-Level管理層的有力承諾，以及對更普遍的改進的支持。

典型的痛點

請注意，以下清單無法包含世界上每一間公司的狀況，每個企業都有自己的問題需要解決。

由於認為對業務價值的貢獻低，整個企業中不同 IT單位/部門/團隊/員工之間的挫敗感 — — 越來越多的企業去中心化或解耦了 IT單位/部門；每一個都為其利害關係人提供特定的(通常是不連續的)服務。團隊之間可能存在依賴關係； 如果依賴關係管理不當，它們可能會損害 IT 的效能與效率。
業務部門(即 IT的客戶)和 IT 部門之間因計劃失敗或認為對業務價值貢獻低而感到挫敗— — 雖然許多企業繼續增加對 I&T 的投資，但這些投資的價值和 IT 的整體績效經常受到質疑和(或)理解不完全。這種挫折感可能表明存在EGIT（企業與IT治理）問題，並且建議改善IT與業務之間的溝通，或者在IT的角色和價值上建立一個共同的觀點。這也可能是次優的投資組合和專案的制定、提案和批准機制所導致的結果。
與 IT 相關的重大 I&T 相關事件，例如資料遺失、資安、專案失敗、應用程式錯誤 — — 重大事件通常只是冰山一角如果它們受到公眾和(或)媒體的關注，它們的影響可能會加劇。進一步的調查通常會導致發現更深層次的結構性問題— — 甚至企業內部完全缺乏 IT 風險意識文化。通常需要更強大的 EGIT 實踐來全面了解和管理與 IT 相關的風險。
IT 外包商的服務交付問題 (例如，始終未能達到約定的SLA) — —可能是由於治理問題。例如，可能缺乏第三方服務管理流程或流程制定不當（包括控制和監控），和(或)缺乏適當的責任和義務來滿足業務和 IT 服務要求。
未能滿足與 IT 相關的法規或合約要求 — — 在許多企業中，不具效能與效率的治理機制妨礙了相關法律、法規和合約條款完全整合到組織體系中。或者，可以整合法律、法規和合約條款，但企業仍然缺乏管理它們的方法。 (法規和合規性要求現今在世界各國人繼續激增與變動，並且經常直接影響 IT 支持的業務活動。)
關於 IT 績效不佳或 IT 質量或服務問題的定期稽核結果或其他評估報告 — — 評估可能呈現服務水平不到位或運行不佳，或者企業沒有充分參與 IT 決策制定。
大量隱藏和無法控制的 IT 支出 — — 在正常 IT 投資決策機制和批准的預算之外的過度支出通常呈現對 IT 支出和投資缺乏足夠透明和全面的控制。業務部門預算中的 IT 支出可能被隱藏或錯誤分類，從而導致對 IT 成本的整體看法存在偏差(像是業務部門中的shadow IT)。
各種I&T舉措之間的重複或重疊，或其他形式的資源浪費 — — 當 I&T 舉措未在單一、全面的投資組合視圖中得到充分體現時，可能會導致專案重複和(或)資源冗餘部署。 圍繞投資組合和績效管理的流程和決策結構能力可能還沒有到位。
IT 資源不足、員工技能不足以及員工倦怠/不滿 — — 這些都是重要的 IT 人力資源管理問題，需要有效的監督和良好的治理才能有效解決人員管理和技能開發問題。它們還可能表明 IT 需求管理和內部服務交付實踐（以及其他潛在問題）中的潛在弱點。
IT 所支持的變更或專案經常無法滿足業務需求，交付延遲或超出預算 — — 這些痛點可能與業務與 IT 一致性、業務需求定義不佳、缺乏效益實現流程、次優實施或問題有關在專案/方案群管理流程中。
多項複雜的 IT 保證工作 — — 這種情況可能表明業務和 IT 之間在 IT 相關保證審查的需求和執行方面協調不力。企業對 IT 的低信任度可能會促使企業啟動自己的審查。或者，如果企業根本不知道審查何時進行，則可能表明企業缺乏對 IT 保證審查的責任或參與。
董事會成員、C-Level管理層不願參與 IT，或缺乏承諾IT 的業務發起人 — — 這些痛點通常表明缺乏對 IT 的業務理解和洞察力、適當等級的 IT 可見性不足或管理結構無效。痛點還可能表明董事會授權存在問題，這通常是由於業務與 IT 之間的溝通不良，和(或) I&T 業務發起人對業務和 IT 的誤解造成的。
複雜的 IT 維運模型和(或) IT 相關決策的決策機制不明確 — — 去中心化或聯合的 IT 組織通常具有不同的結構、實踐和政策。由此產生的複雜性要求高度關注 EGIT，以確保最佳的 IT 決策制定以及具效能與效率的維運。這個痛點往往隨著企業開始全球化變得更加重要：每個國家或地區可能有特定的（並且可能是獨特的）內部和外部環境因素需要解決。
過高的 IT 成本 — — IT 通常被認為是企業的成本中心— — 應該保持盡可能低的成本。當 IT 預算主要花在對業務幾乎沒有價值的項目上時，通常會出現此問題，來保持正常運行，而不是帶來新的機會和創新。缺乏對所有 I&T 計劃的整體組合視圖可能會導致成本過高，並可能表明圍繞組合和績效管理的流程和決策結構能力尚未到位。
當前 IT 架構和系統導致新舉措或創新的實施受阻或失敗 — — 在許多企業中，舊有的IT 架構在實施新的創新解決方案時沒有太大的靈活性。 數位化通常需要對不斷變化的環境快速行動和敏捷回應。它需要一種新的、更靈活的 IT 開發和維運方法，因此直接涉及治理體系。雲端運算就屬於此例。
業務知識和技術知識之間的差距 — — 業務成員和 IT 專家通常使用不同的語言。當業務成員對 I&T 缺乏足夠的了解，或者未能掌握 I&T 如何改進業務時 — — 或者相反狀況，當 IT 專家誤解業務環境中的挑戰和機遇時 — — 企業無法實現成功所需的成長和創新。這種情況需要良好的治理以『確保有效解決人員管理和技能開發』。
資料質量和橫跨各種來源的資料整合的一般性問題 — — 企業越來越意識到可能隱藏在其資訊中的潛在價值。資料質量或資料整合的所有問題都會對企業的成功產生重大影響。 EGIT 是建立正確流程、角色、責任、文化等的關鍵，以從資料中交付商業價值。此類的資料整合議題可參閱本部落格有關大數據與機器學習的相關文章。
業務部門在很少或根本沒有企業 IT 部門參與的情況下實施自己的資訊解決方案 (shadow IT)— — 這個痛點可能與終端用戶問題以及資料和資訊的最佳使用有關；但是，它主要是在企業試圖在追求業務優勢的正常過程中實施更強大的解決方案和服務時產生的。業務與 IT 之間缺乏溝通或信任會導致未經批准的獨立開發，或加劇其症狀（以服務問題等形式）。講白話一點，就是業務單位覺得IT單位不好配合就自己幹。
忽視和(或)不遵守資安和隱私法規 — — 減緩新的資安和隱私威脅應該被提出到每個企業的議程，這不僅是出於合規原因，也是為了保護企業產生的價值。忽視和(或)不遵守法規會嚴重損害企業，應通過適當的 EGIT 進行管理。
無法利用新技術或使用 I&T 進行創新 — — 一個常見的企業業務抱怨將 IT 置於輔助角色，而企業需要 IT 來創新並提供競爭優勢。此類抱怨可能表明業務與 IT 之間缺乏真正的雙向一致性，這可能反映出溝通問題或需要增加業務對 IT 決策的參與。或者，企業在其戰略規劃或業務計劃中涉及 IT 的時間可能太晚了。當經濟狀況要求企業做出快速反應（例如推出新產品或服務）時，這個問題往往最顯眼。

外部與內部環境所觸發的事件

除了上述的痛點之外，企業內部和外部環境中的其他事件可以觸發對 EGIT 的關注，並將其推到企業議程的重要位置。

合併、收購或出售 — — 這些交易可能會導致與 I&T 相關的重大戰略和運營後果。盡職調查(DD)審查必須了解環境中的 IT 問題。整合或重組要求可能會規定適用於新環境的 EGIT 機制。
市場、經濟或競爭地位的變化 — — 經濟低迷可能導致企業修改EGIT機制，以促進大規模的成本優化或績效改良。
業務運營模式或採購安排的變化 — — 從分散或聯合模式轉變為更集中的運營模式將需要改變 EGIT 實踐，以實現更集中的 IT 決策。 在財務、人力資源 (HR) 或採購等領域實施共享服務中心也可能需要增加 EGIT。分散的 IT 應用程序或基礎架構方面可能會被整合，IT 決策制定結構或管理它們的流程也會發生相關變化。某些 IT 功能和業務流程的外包可能同樣導致對 EGIT 的重新關注。 風險偏好的變化會影響 EGIT ，例如，如果企業決定在追求其目標時接受更多風險。
新的監管或合規要求 — — 遵守法律法規通常會產生 EGIT修改。例如，鑑於 IT 的普及，擴大的公司治理報告要求和財務法規通常會引發對更佳的 EGIT 需求以及對資訊隱私的關注。
重大技術變革或模式轉變 — — 一些企業已經遷移到SOA(service-oriented architecture) 和雲端運算。這些類型的計劃從根本上改變了基礎架構和應用程式功能的開發和交付方式，並且可能需要改變相關流程和其他組件的治理和管理。
企業範圍的治理重點或專案— — 大型專案，例如公司政策的廣泛變化，可能會觸發 EGIT 領域的舉措。
新領導層 — — 任命新的 C-Level主管或董事會成員，通常會觸發對當前EGIT 機制和舉措的評估，以解決任何薄弱環節。
外部稽核或顧問評估 — — 由獨立第三方執行的針對適當實踐的評估可以作為 EGIT 改進計劃的起點。
新的業務戰略或優先事項 — — 追求新的業務戰略通常具有 EGIT 含義。例如，貼近客戶的業務戰略 — — 了解他們是誰，了解他們的需求並以盡可能最好的方式做出回應 — — 可能需要更多的 IT 決策自由（對於特定的業務部門或國家），而不是公司或控股公司層面的集中式決策。
希望顯著提高從 I&T 中獲得的價值 — — 提高競爭優勢、創新、優化資產或創造新商業機會的需要可以引起對 EGIT 的關注。

痛點和內部或外部觸發事件的識別導致對採取行動的需要的認知和溝通。這種溝通可以採取weak-up call的形式（當遇到痛點時），或者呈現可能實現的改進機會和效益。當前的 EGIT 痛點或觸發事件提供了起點。它們通常可以通過高階檢視、診斷或能力評估來識別。這些技術的額外好處是可以就要解決的問題達成共識。獲得第三方對當前情況的獨立和客觀的高層審查可能是有益的（這可能會增加對行動的支持）。

從一開始就爭取董事會和C-Level管理層的承諾和支持至關重要。為此，需要以業務術語明確呈現 EGIT 計劃及其目標和效益。必須灌輸正確的緊迫感。董事會和C-Level管理層應能認知到治理和管理良好的 I&T 可為企業帶來的價值以及不採取行動的風險。董事會和C-Level管理層的參與也支持預先考量 EGIT 計劃、企業目標和戰略、企業 IT 目標、企業治理和 ERM 計劃（如果存在）之間的一致性。確定並實現一些Quick Win（可以相對快速解決的可見問題，並通過呈現效益幫助建立整體計劃的可信度）可能是獲得董事會承諾的有用機制。

一旦高層確定了方向，就應該建立對各級變革支持的總體視角。更廣泛的變化規模和範圍必須首先從嚴格的商業術語中理解，但人員及其行為的角度也不容忽視。需要確定參與變革或受變革影響的所有利害關係人，並確定他們相對於變革的立場。

利害關係人的參與

許多利害關係人需要一起協作以實現提高 IT 績效的總體目標。本文中提供的方法將有助於就需求實現哪些目標以協調一致的方式滿足特定利害關係人的關注達成一致和共同的理解。最重要的利害關係人及其關注的問題是：

董事會和C-Level管理層 — — 我們如何設置和定義 I&T運用的企業方向，並監控相關和必需的 EGIT 組件的建立，以便交付業務價值並降低 IT 相關風險？
資深業務管理人員、IT 管理人員和流程負責人 — — 我們如何使企業能夠定義一致性目標以確保通過使用 I&T 實現業務價值並降低與 IT 相關的風險？
業務主管、IT 主管和流程負責人 — — 我們如何按照業務需求和董事會的指示＂計劃、構建、交付和監控＂資訊和 IT 解決方案和服務能力？
風險、合規和法律專家 — — 我們如何確保企業遵守政策、法規、法律和合同，並識別、評估和降低風險？
內部稽核— — 我們如何為價值交付和風險緩解提供獨立保證？

實行的關鍵成功因素有：

董事會提供方向，C-Level管理層提供授權和資源。
各方都了解企業和 I&T 相關的目標。
建立必要的組織和流程變更的有效溝通和支持。
框架和良好實踐是根據企業的目的和設計量身定制的。
最初的重點是Quick Win和最容易實施的最有益改進的優先等級排序。這證明了效益並建立了進一步改進的信心。

辨認利害關係人的角色與需求

內部利害關係人

下面將說明內部利害關係人的概述，他們在改進過程中最重要的責任與義務，以及他們對實行計劃結果的關注點。下列利害關係人代表一般例子；其他則視每個企業的需要進行一些調整、延伸和客製。

董事會和C-Level管理層
為改進計劃設定總體方向、背景脈絡和目標，並確保與企業業務戰略、治理和風險管理保持一致。為該舉措提供有力的支持和承諾，包括發起和促進該舉措的作用。批准計劃的結果，並確保實現預期效益並採取適當的糾正措施。確保所需的資源（財務、人力和其他）可用於該計劃。 把方向放在首位，以身作則。

董事會和C-Level管理層會關注從實行計劃中獲得最大的商業利益。他們希望確保所有相關的、必需的問題和領域都得到解決；開展所需的活動；並成功交付預期成果。

業務主管與業務流程負責人
為核心實施團隊提供適用的業務資源。 與 IT 合作以確保改進計劃的結果與企業的業務環境保持一致，交付價值並管理風險。 大力支持改進計劃並與 IT 合作解決遇到的任何問題。確保企業充分參與實施和過渡到使用的過程。

這些利害關係人希望該計劃能夠使 I&T 更好地與整體商業環境及其特定領域保持一致。

資訊長
領導方案並為核心實施團隊提供適用的 IT 資源。與業務管理層和其他C-Level主管合作，為方案設定適當的目標、方向和方法。

資訊長希望確保實現所有 EGIT 實施目標。對於資訊長而言，該計劃應產生能夠持續改善與業務的關係和一致性的機制（包括對 I&T 績效有共同的視角）；導致更好地管理 IT 供應和需求；改善I&T相關業務風險的管理。

IT主管和 IT 流程負責人(如運營主管、首席架構師、資安經理、隱私官、業務連續性管理專家)
領導實行團隊的計劃和資源的適用工作流程。為評估當前績效和為各個領域的流程領域設定改進目標提供關鍵輸入。就應該融入的相關良好實踐和相關專家建議提供意見。確保業務案例和方案計劃是可實現的。

這些利害關係人聚焦在確保改進計劃能夠在整體和各自領域實現更好的 I&T 治理，並以最佳方式獲得為此所需的業務投入。

合規、風險管理和法律專家
根據需要參與整個計劃，並就相關問題提供合規性、風險管理和法律意見。確保與整體 ERM 方法保持一致，並確認相關的合規性和風險管理目標得到滿足，問題得到考量並獲得效益。在實施過程中根據需要提供指導。

這些利害關係人希望確保該舉措建立或改進機制，以確保法律和合約合規性以及有效的 I&T 相關業務風險管理，並使這些機制與可能存在的任何企業範圍的方法保持一致。

內部稽核
根據需要參與整個計劃，並就相關問題提供稽核意見。就當前遇到的問題提供建議，並就控制實踐和方法提供意見。審查業務案例和實施計劃的可行性。在實施過程中根據需要提供建議和指導。可能獨立驗證評估結果。

這些利害關係人聚焦的是與控制實踐和方法相關的實施計劃的結果，以及建立或改進的機制將如何使當前的稽核缺失得到解決。

實行團隊(業務和 IT 團隊的結合，由來自先前列出的各類利害關係人的組成)
指導、設計、控制、推動和執行整體計劃，從確定目標和要求到根據業務案例目標對計劃進行最終評估，以及確定新的觸發因素和目標以進一步實施或改進週期。確保在從實施環境過渡到操作、使用和維護環境的過程中進行技能轉移。

該團隊希望確保獲得與最大化 EGIT 計劃的所有預期成果。

企業內使用者
通過執行分配給他們的特定角色和職責來支持 EGIT。

這些利害關係人聚焦的是該計劃將對他們的日常業務產生的影響 — — 他們的工作、角色和責任以及活動。

外部利害關係人

雖然外部利害關係人在改進計劃中沒有任何直接義務或責任，但他們可能有需要滿足的要求。如下述的一般範例。

客戶與社會
企業的存在是為了服務客戶。因此，客戶直接受到企業 EGIT 目標實現程度的影響。如果企業有安全和隱私方面的問題，例如客戶銀行資料遺失，客戶將受到影響，因此會關注EGIT 實施計劃的成功結果。

IT服務供應商
企業管理層應確保企業自身的整體 EGIT 與 IT 服務提供商提供的服務的治理和管理之間存在一致性和介面。

監管單位
監管單位會專注對實施計劃的結果是否滿足和(或)提供結構和機制以滿足所有適用的監管和合規要求。

股東
股東可能會部分根據企業的公司和 EGIT 治理狀況及其在該領域的成就記錄做出投資決策。

外部稽核
由於有效的實施計劃，外部稽核可能能夠更充分地依賴與 I&T 相關的控制，正如稽核所查核的那樣。他們專注於監管合規方面和財務報告。

業務夥伴
在企業中使用自動化電子交易的業務合作夥伴可能對實施計劃在改進資安、完整性和即時性方面的結果感興趣。他們也可能對該計劃可能取得的法規遵從性和國際標準認證感興趣。

獨立鑑證和稽核人員的作用

IT 經理和利害關係人需要了解鑑證專業人員的作用。鑑證專業人員可以是內部稽核師、外部審計師、ISO/IEC 標準組織審計師，或受委託對 IT 服務和流程進行評估的任何專業人員。在定義 EGIT 實施計劃時，將這些利害關係人及其利益考慮在內很重要。董事會和C-Level管理層越來越多地尋求有關關鍵 I&T 職能和服務的獨立建議和意見。證明遵守國家和國際法規的需求也普遍增加。