Corporate Governance definerer krav til styring og kontroll fra myndigheter, eiere og ansatte til styret og virksomhetens ledelse (selskapsledelse). I dette ligger ansvars- og rolledeling mellom de ulike organer innenfor en organisert virksomhet. Corporate Governance er også samspillet mellom virksomhetens organer og andre interessenter (som f.eks. kunder, samarbeidspartnere, leverandører, ansatte, fagforeninger og ”samfunnet”). COSO ERM legger vekt på følgende elementer for å etablere god styring og kontroll i et foretak:
Begrepet ”IT Governance”, eller ”God IT-styring og kontroll” på norsk, trenger en forklaring slik at man ser hvordan begrepet skiller seg fra øvrige styrings- og kontrollaktiviteter som en virksomhet utøver.
NS-ISO/IEC 38500:2008 har bidratt til å tydeliggjøre begrepet IT Governance ved å beskrive det som en del av ledelsessystemet for bedriftsledelsen. Standarden beskriver dette i 6 prinsipper:
Styret og ledelsen skal for hver av prinsippene gjøre en evaluering, peke ut en retning og monitorere/følge opp at foretaket utfører aktiviteter som bedrer styrings- og ledelsesmiljøet.
Med andre ord handler IT Governance om forretningsmessig ledelse og styring av IT-ressursene på vegne av interessenter som forventer avkastning på investeringene sine. Det er ikke tilstrekkelig at IT-enheten tar hånd om IT-behovene, det må sikres god forretningsmessig styring og bruk av IT.
Det å kontrollere risiko og forvisse seg om at lover og forskrifter overholdes, er sentrale komponenter i forbindelse med god styring og kontroll. Men for bedriften er det viktigst å fokusere på levering verdi og måling av ytelse.
IT Governance (ref CobiT) består derfor av:
De 3 første punktene er operative og tekniske aspekter vedrørende styring og kontroll, de 2 siste punktene har et mer administrativt, ikke-teknisk og forretningsmessig fokus.
IT Governance er derfor ikke bare ”Et regelsett for å styre IT-avdelingen”, men derimot “Et rammeverk for å styre virksomhetens bruk av IT”. Ved å etterleve IT Governance skal man med andre ord kunne ivareta både det administrative og det operative, det forretningsorienterte og det prosessorienterte, så vel som det tekniske og ikke-tekniske.
Det er viktig å få fram at det engelske begrepet IT Control, slik det er benyttet i boken ”CobiT Control Practices”, betyr at foretaket har en kontrollert styring av foretakets bruk av IT, og ikke bare kontroll av foretakets IT-avdeling.