Damit alle geschäftlichen und regulativen Anforderungen jederzeit erfüllt werden können, ist ein ganzheitliches und in allen Unternehmensteilen abgestimmtes Führungssystem notwendig. Diese Führungsprinzipien werden auch Governance genannt. Unternehmens- oder auch Corporate Governance stellt unternehmensweit faire und transparente Entscheidungsgrundlagen und Zuständigkeiten sicher.

Die IT Governance ist Teil davon und beinhaltet auf Management Ebene die Verantwortlichkeiten hinsichtlich der Führung, der organisatorischen Struktur und der Prozesse, um mittels der IT die Unternehmensstrategie umzusetzen und die Ziele zu erreichen oder gar zu übertreffen. Verschiedene Frameworks, Modelle, Standards und Qualitätssysteme stehen heute im Markt zur Verfügung, um diese Governance- und Compliance Anforderungen zu überwachen und erfüllen zu können.

Das Hauptziel von IT Governance ist es, die Anforderungen an die IT sowie die strategische Bedeutung der IT aus Sicht der Kern- und Führungsprozesse im Unternehmen zu verstehen, um den optimalen Betrieb zur Erreichung der Unternehmensziele sicherzustellen und Strategien für die zukünftige Erweiterung des Geschäftsbetriebes zu schaffen. IT Governance zielt darauf ab, dass die Erwartungen an die IT bekannt sind und dass die IT in der Lage ist, diese Erwartungen auch zu erfüllen. Dabei sollen mögliche Risiken entschärft werden. In diesem Sinne wäre es korrekter, von der Enterprise Governance over IT als von IT Governance zu sprechen, da sich IT Governance nicht in der IT Organisation abspielt, sondern ausserhalb.

Die IT Governance balanciert im Wesentlichen zwei Bereiche:

• das Schaffen von Unternehmenswert
• das Minimieren von IT Risiken

Die Ziele von IT Governance werden von Analysten folgendermassen festgelegt:

• Strategische Ausrichtung mit Fokus für Unternehmenslösungen.
• Nutzengenerierung mit Fokus auf die Optimierung der Ausgaben und Bewertung des Nutzens der IT.
• Risikomanagement, das sich auf den Schutz des IT Assets bezieht, unter Berücksichtigung von Disaster Recovery (Wiederanlauf nach Katastrophen) und Fortführung der Unternehmensprozesse im Krisenfall.
• Management von Ressourcen, Optimierung von Wissen und Infrastruktur.
• Messung der Leistung und damit Schaffung der Grundlage zur kontinuierlichen Verbesserung.

Der Steuerungsansatz von COBIT ist grundsätzlich Top-down auszuführen. Ausgehend von Unternehmenszielen werden IT Ziele festgelegt, die wiederum die Architektur der IT beeinflussen. Hierbei gewährleisten angemessen definierte und betriebene IT Prozesse die Verarbeitung von Informationen, die Verwaltung von IT Ressourcen (Personal, Technologie, Daten, Anwendungen) und die Erbringung von Services. Für diese Ebenen (Unternehmensweit, IT, Prozess und Aktivitäten) sind jeweils Mess- und Zielgrössen zur Beurteilung der Ergebnisse und der Performance Driver festgelegt. Die Messung der Zielerreichung erfolgt Bottom-up und ergibt so einen vorgegebenen Steuerungszyklus.