IT治理及其輔助手段研究情況匯報(bào)孫強(qiáng)

賽迪培訓(xùn)中心賽迪顧問(wèn)股份有限公司二00三年八月十四日IT治理及其輔助手段研究情況匯報(bào)1匯報(bào)內(nèi)容IT治理的四個(gè)輔助手段IT治理的現(xiàn)實(shí)性和必要性建議匯報(bào)內(nèi)容IT治理的四個(gè)輔助手段2匯報(bào)內(nèi)容IT治理的四個(gè)輔助手段IT治理的現(xiàn)實(shí)性和必要性建議匯報(bào)內(nèi)容IT治理的四個(gè)輔助手段3當(dāng)前信息化建設(shè)熱點(diǎn)問(wèn)題IT與業(yè)務(wù)的融合信息系統(tǒng)工程監(jiān)理的發(fā)展信息中心的轉(zhuǎn)制與走向IT治理、公司治理及企業(yè)管理的關(guān)系信息主管CIO的治理結(jié)構(gòu)IS審計(jì)對(duì)IT投資有效的監(jiān)督和控制作用規(guī)范、標(biāo)準(zhǔn)化的IT服務(wù)管理流程的重要性當(dāng)前信息化建設(shè)熱點(diǎn)問(wèn)題IT與業(yè)務(wù)的融合4IT治理是IT、經(jīng)濟(jì)學(xué)及管理學(xué)業(yè)界中一個(gè)新的概念，用于描述企業(yè)或政府是否采用有效的機(jī)制，使得IT的應(yīng)用能夠完成組織賦予它的使命，同時(shí)平衡信息技術(shù)與過(guò)程的風(fēng)險(xiǎn)、確保實(shí)現(xiàn)組織的戰(zhàn)略目標(biāo)。IT治理是IT、經(jīng)濟(jì)學(xué)及管理學(xué)業(yè)界中一個(gè)新的概念，用于描述企5IT治理的使命保持IT與業(yè)務(wù)目標(biāo)一致，推動(dòng)業(yè)務(wù)發(fā)展，促使收益最大化，合理利用IT資源，適當(dāng)管理與IT相關(guān)的風(fēng)險(xiǎn)。IT治理的使命保持IT與業(yè)務(wù)目標(biāo)一致，推動(dòng)業(yè)務(wù)發(fā)展，促使收益6IT治理的輔助手段IT項(xiàng)目管理IS（信息系統(tǒng)）審計(jì)、咨詢、監(jiān)理信息安全管理IT服務(wù)管理IT治理的輔助手段IT項(xiàng)目管理7IT項(xiàng)目管理IT項(xiàng)目具有投資大、周期長(zhǎng)、高風(fēng)險(xiǎn)、科技含量高、所涉及領(lǐng)域?qū)挼奶攸c(diǎn)，項(xiàng)目管理水平是關(guān)系IT項(xiàng)目成功的關(guān)鍵成功因素之一。IT項(xiàng)目管理認(rèn)證和培訓(xùn)可全面提升IT項(xiàng)目建設(shè)管理人員規(guī)劃、組織與管理方面的能力。IT項(xiàng)目管理IT項(xiàng)目具有投資大、周期長(zhǎng)、高風(fēng)險(xiǎn)、科技含量高、8IS審計(jì)IS審計(jì)是指根據(jù)公認(rèn)的標(biāo)準(zhǔn)和指導(dǎo)規(guī)范對(duì)信息系統(tǒng)及其業(yè)務(wù)應(yīng)用的效能、效率、安全性進(jìn)行監(jiān)測(cè)、評(píng)估和控制的過(guò)程，以完成組織的戰(zhàn)略目標(biāo)，同時(shí)最經(jīng)濟(jì)的使用資源。這一定義既包括信息系統(tǒng)的外部審計(jì)的鑒證目標(biāo)——即對(duì)被審計(jì)單位的信息系統(tǒng)保護(hù)資產(chǎn)安全及數(shù)據(jù)完整的鑒證，又包含內(nèi)部審計(jì)的管理目標(biāo)——即不僅包括被審計(jì)信息系統(tǒng)保護(hù)資產(chǎn)安全及數(shù)據(jù)完整而且包括信息系統(tǒng)的有效性目標(biāo)。IS審計(jì)IS審計(jì)是指根據(jù)公認(rèn)的標(biāo)準(zhǔn)和指導(dǎo)規(guī)范對(duì)信息系統(tǒng)及其業(yè)9IS審計(jì)對(duì)象審計(jì)對(duì)象變革管理數(shù)據(jù)中心運(yùn)維信息安全網(wǎng)絡(luò)管理基礎(chǔ)設(shè)施數(shù)據(jù)庫(kù)管理硬件管理績(jī)效與容量問(wèn)題管理災(zāi)難回復(fù)與業(yè)務(wù)持續(xù)軟件管理通信技術(shù)支持服務(wù)系統(tǒng)開(kāi)發(fā)IS審計(jì)對(duì)象審計(jì)對(duì)象10IS審計(jì)的過(guò)程1.理解客戶業(yè)務(wù)、系統(tǒng)、環(huán)境等2.識(shí)別并評(píng)估風(fēng)險(xiǎn)3.檢查是否存在足夠的控制來(lái)補(bǔ)償這些風(fēng)險(xiǎn)4.對(duì)控制進(jìn)行測(cè)試和評(píng)價(jià)5.提出審計(jì)結(jié)論和報(bào)告IS審計(jì)的過(guò)程1.理解客戶業(yè)務(wù)、系統(tǒng)、環(huán)境等11IT治理與IS審計(jì)的關(guān)系獨(dú)立的IS審計(jì)是公司治理與IT治理制度的重要環(huán)節(jié)之一。目的是確定、解除被審計(jì)單位的受托責(zé)任和加強(qiáng)對(duì)被審計(jì)單位的管理與控制。所以IS審計(jì)是實(shí)現(xiàn)IT治理的手段之一。IT治理與IS審計(jì)的關(guān)系獨(dú)立的IS審計(jì)是公司治理與IT治理制12IS審計(jì)的作用鑒證作用。是指通過(guò)審計(jì)，合理地保證被審計(jì)單位信息系統(tǒng)及其處理、產(chǎn)生的信息的真實(shí)性、完整性與可靠性。促進(jìn)作用。體現(xiàn)在兩個(gè)方面：（1）是指信息系統(tǒng)審計(jì)可以促進(jìn)被審計(jì)單位更有效地融入到社會(huì)經(jīng)濟(jì)生活中，審計(jì)報(bào)告可以增強(qiáng)大家對(duì)其信息的信任程度；（2）是指審計(jì)可以促進(jìn)被審計(jì)單位改進(jìn)內(nèi)部控制，加強(qiáng)管理，提高信息系統(tǒng)實(shí)現(xiàn)組織目標(biāo)的效率、效果。IS審計(jì)的作用鑒證作用。是指通過(guò)審計(jì)，合理地保證被審計(jì)單位13IS審計(jì)的業(yè)務(wù)范圍立足于組織的戰(zhàn)略目標(biāo)，為有效的實(shí)現(xiàn)組織戰(zhàn)略目標(biāo)而采取的一切活動(dòng)過(guò)程都在審計(jì)師的業(yè)務(wù)之內(nèi)。業(yè)務(wù)范圍包括：對(duì)信息系統(tǒng)的戰(zhàn)略規(guī)劃與組織的審計(jì)；技術(shù)基礎(chǔ)平臺(tái)建設(shè)的審計(jì)；應(yīng)用系統(tǒng)建設(shè)審計(jì)；信息系統(tǒng)管理和運(yùn)營(yíng)審計(jì)；風(fēng)險(xiǎn)管理與應(yīng)用控制審計(jì)；信息系統(tǒng)是否符合國(guó)家或國(guó)際標(biāo)準(zhǔn)的審計(jì)以及網(wǎng)譽(yù)審計(jì)、電子簽名審計(jì)等。

IS審計(jì)的業(yè)務(wù)范圍立足于組織的戰(zhàn)略目標(biāo)，為有效的實(shí)現(xiàn)組織戰(zhàn)14IS審計(jì)的目的合理保證信息系統(tǒng)能夠保護(hù)資產(chǎn)的安全、數(shù)據(jù)的完整、系統(tǒng)有效地實(shí)現(xiàn)組織目標(biāo)并有效率的利用組織資源，其關(guān)注的核心是資產(chǎn)保護(hù)與信息系統(tǒng)的效率、效果。重點(diǎn)是對(duì)信息系統(tǒng)的運(yùn)營(yíng)審計(jì)，向公眾出具審計(jì)報(bào)告，鑒證信息系統(tǒng)能否保護(hù)企業(yè)資產(chǎn)安全，其產(chǎn)生、傳遞的信息是否完整，整個(gè)系統(tǒng)是否有效地實(shí)現(xiàn)組織目標(biāo)并有效率的利用組織資源。

IS審計(jì)的目的合理保證信息系統(tǒng)能夠保護(hù)資產(chǎn)的安全、數(shù)據(jù)的完整15IS審計(jì)的服務(wù)對(duì)象是所有的信息使用者。 包括被審計(jì)單位的股東、合作伙伴、政府機(jī)構(gòu)和一般社會(huì)公眾。IS審計(jì)的服務(wù)對(duì)象是所有的信息使用者。16IS審計(jì)的方法信息系統(tǒng)審計(jì)審計(jì)的方法主要是搜集證據(jù)的方法。 包括檢查、觀察、分析性復(fù)合、查詢及函證等方法，并利用統(tǒng)計(jì)技術(shù)、計(jì)算機(jī)技術(shù)完成證據(jù)的搜集與評(píng)價(jià)。IS審計(jì)的方法信息系統(tǒng)審計(jì)審計(jì)的方法主要是搜集證據(jù)的方法。17IS審計(jì)與監(jiān)理的關(guān)系作用不同（監(jiān)理：控制和協(xié)調(diào)）范圍不同（監(jiān)理：實(shí)施階段）目的不同（監(jiān)理：進(jìn)度、質(zhì)量、投資）方法不同（監(jiān)理：項(xiàng)目管理）對(duì)象不同（監(jiān)理：業(yè)主和承建單位）IS審計(jì)與監(jiān)理的關(guān)系作用不同（監(jiān)理：控制和協(xié)調(diào)）18信息安全管理三分技術(shù)七分管理信息安全管理保護(hù)信息不受廣泛威脅地?fù)p害，確保業(yè)務(wù)的持續(xù)性，將商業(yè)損失降至最小，使投資收益最大并創(chuàng)造新的戰(zhàn)略機(jī)遇。

信息安全管理三分技術(shù)七分管理19ISO17799ISO17799（根據(jù)BS7799第一部分制定）作為確定控制范圍的參考標(biāo)桿，在一般情況下，這些控制是使用信息系統(tǒng)所必須的。該標(biāo)準(zhǔn)適應(yīng)任何規(guī)模的組織。它把信息作為一種資產(chǎn)，并且在信息時(shí)代，信息資產(chǎn)已經(jīng)成為最有價(jià)值的資產(chǎn)，因此需要恰當(dāng)?shù)乇Ｗo(hù)它。ISO17799ISO17799（根據(jù)BS7799第一部分制20信息安全管理的十個(gè)方面安全方針；安全組織；資產(chǎn)分類(lèi)與控制；人員安全；物理與環(huán)境安全；計(jì)算機(jī)與網(wǎng)絡(luò)管理；系統(tǒng)訪問(wèn)控制；系統(tǒng)開(kāi)發(fā)與維護(hù)；業(yè)務(wù)持續(xù)管理；合規(guī)性。信息安全管理的十個(gè)方面安全方針；21IT治理及其輔助手段研究情況匯報(bào)課件22IT服務(wù)管理IT服務(wù)管理事實(shí)上的國(guó)際標(biāo)準(zhǔn)：ITIL國(guó)際上先進(jìn)企業(yè)在推進(jìn)信息化的進(jìn)程中，針對(duì)“IT服務(wù)質(zhì)量不佳的問(wèn)題”，對(duì)IT服務(wù)的提供方式、提供內(nèi)容以及服務(wù)管理等方面的內(nèi)容，逐漸總結(jié)、提煉，形成了一整套富有成效的方法、規(guī)范和程序，并由英國(guó)商務(wù)部提煉成為ITIL。IT服務(wù)管理IT服務(wù)管理事實(shí)上的國(guó)際標(biāo)準(zhǔn)：ITIL23IT服務(wù)管理的作用ITIL作為一種以流程為基礎(chǔ)、以客戶為導(dǎo)向的IT服務(wù)管理指導(dǎo)框架，它擺脫了傳統(tǒng)IT管理以技術(shù)管理為焦點(diǎn)的弊端，實(shí)現(xiàn)了從技術(shù)管理到流程管理，再到服務(wù)管理的轉(zhuǎn)化。業(yè)務(wù)與IT融合。改善IT的投資回報(bào)率。IT服務(wù)管理的作用ITIL作為一種以流程為基礎(chǔ)、以客戶為導(dǎo)向24ITIL模型示意圖ITIL模型示意圖25ITIL的意義ITIL可以提高IT部門(mén)營(yíng)運(yùn)效率25-300%；ITIL是一個(gè)公共開(kāi)發(fā)且公共使用的框架。任何組織都可以使用ITIL，或者以ITIL為基礎(chǔ)開(kāi)發(fā)自己的服務(wù)管理方法論和方案。ITIL個(gè)人資格認(rèn)證是全球公認(rèn)的CIO證書(shū)，也被稱為是IT界的MBA。ITIL的意義ITIL可以提高IT部門(mén)營(yíng)運(yùn)效率25-300%26匯報(bào)內(nèi)容IT治理的四個(gè)輔助手段IT治理的現(xiàn)實(shí)性和必要性建議匯報(bào)內(nèi)容IT治理的四個(gè)輔助手段27IT治理的定義IT治理是一個(gè)由關(guān)系和過(guò)程所構(gòu)成的體制，用于指導(dǎo)和控制企業(yè)，通過(guò)平衡信息技術(shù)與過(guò)程的風(fēng)險(xiǎn)、增加價(jià)值來(lái)確保實(shí)現(xiàn)企業(yè)的目標(biāo)。IT治理的定義IT治理是一個(gè)由關(guān)系和過(guò)程所構(gòu)成的體制，用于指28IT治理的核心問(wèn)題IT戰(zhàn)略目標(biāo)必須與企業(yè)戰(zhàn)略目標(biāo)保持一致IT治理包括治理委員會(huì)、治理結(jié)構(gòu)、治理流程和企業(yè)文化等。IT治理使風(fēng)險(xiǎn)透明化，從而保護(hù)利益相關(guān)者的權(quán)益。IT治理可用來(lái)指導(dǎo)控制IT投資、機(jī)遇、收益及風(fēng)險(xiǎn)。IT治理對(duì)核心IT資源做出合理的制度安排，這將成為進(jìn)入新的市場(chǎng)、進(jìn)行有效競(jìng)爭(zhēng)、實(shí)現(xiàn)總收入增長(zhǎng)、改善客戶滿意度及維系客戶關(guān)系的制度保障。IT治理的核心問(wèn)題IT戰(zhàn)略目標(biāo)必須與企業(yè)戰(zhàn)略目標(biāo)保持一致29IT治理的目標(biāo)IT治理——與業(yè)務(wù)目標(biāo)一致IT治理——有效利用信息資源IT治理——風(fēng)險(xiǎn)管理 IT治理的目標(biāo)將幫助管理層建立以組織戰(zhàn)略為導(dǎo)向,以外界環(huán)境為依據(jù),以業(yè)務(wù)與IT整合為中心的觀念，正確定位IT部門(mén)在整個(gè)組織中的作用。IT治理的目標(biāo)IT治理——與業(yè)務(wù)目標(biāo)一致30

IT治理的范圍IT治理集中在管理高層。善治的IT治理實(shí)踐需要在企業(yè)全部范圍內(nèi)推行。IT治理使得最高管理層和執(zhí)行經(jīng)理的一系列活動(dòng)成為可能。這些活動(dòng)主要包括：IT的目標(biāo)，新技術(shù)的機(jī)遇和風(fēng)險(xiǎn)，關(guān)鍵過(guò)程與核心競(jìng)爭(zhēng)力。如指導(dǎo)信息技術(shù)的職能和對(duì)企業(yè)的影響，分配責(zé)任，定義操作，業(yè)績(jī)衡量，管理風(fēng)險(xiǎn)和獲得保證的約束等。

IT治理的范圍IT治理集中在管理高層。31公司治理和IT治理公司治理，驅(qū)動(dòng)和調(diào)整IT治理。同時(shí)，IT能夠提供關(guān)鍵的輸入，形成戰(zhàn)略計(jì)劃的一個(gè)重要組成部分，這被認(rèn)為是公司治理的一個(gè)重要功能——IT影響企業(yè)的戰(zhàn)略競(jìng)爭(zhēng)機(jī)遇。IT治理的一個(gè)關(guān)鍵性問(wèn)題是：公司的IT投資是否與戰(zhàn)略目標(biāo)相一致，從而構(gòu)筑必要的核心競(jìng)爭(zhēng)力。

公司治理和IT治理公司治理，驅(qū)動(dòng)和調(diào)整IT治理。同時(shí)，IT能32公司治理和IT治理概括地說(shuō)，公司治理和IT治理都是市場(chǎng)（含政府）他律的機(jī)制，是如何“管好管理者”的機(jī)制，其目標(biāo)也是一致的：達(dá)到業(yè)務(wù)永續(xù)運(yùn)營(yíng)，并增加組織的長(zhǎng)期獲利機(jī)會(huì)。公司治理側(cè)重于企業(yè)整體規(guī)劃，IT治理側(cè)重于企業(yè)中信息資源的有效利用和管理。公司治理和IT治理概括地說(shuō)，公司治理和IT治理都是市場(chǎng)（含政33公司治理和IT治理的典范“斯達(dá)模式”這一被譽(yù)為國(guó)企擺脫困境、改革發(fā)展的創(chuàng)新模式，正說(shuō)明了公司治理和IT治理的重要性和互動(dòng)關(guān)系。“黑紙”按照現(xiàn)代企業(yè)制度要求，建立與市場(chǎng)競(jìng)爭(zhēng)相適應(yīng)的公司治理機(jī)制，明晰了企業(yè)產(chǎn)權(quán)，優(yōu)化了生產(chǎn)要素配置，轉(zhuǎn)變了職工觀念，為斯達(dá)大力進(jìn)行信息化改造創(chuàng)造了有力條件。反過(guò)來(lái)，信息化也促進(jìn)了公司的現(xiàn)代化管理。公司治理和IT治理的典范“斯達(dá)模式”這一被譽(yù)為國(guó)企擺脫困境、34

IT治理和IT管理IT管理是公司的信息及信息系統(tǒng)的運(yùn)營(yíng)，確定IT目標(biāo)以及實(shí)現(xiàn)此目標(biāo)所采取的行動(dòng)；而IT治理是指最高管理層（董事會(huì)）利用它來(lái)監(jiān)督管理層在IT戰(zhàn)略上的過(guò)程、結(jié)構(gòu)和聯(lián)系，以確保這種運(yùn)營(yíng)處于正確的軌道之上。

IT治理和IT管理IT管理是公司的信息及35

IT治理模型COBIT目前已成為國(guó)際上公認(rèn)的IT管理與控制標(biāo)準(zhǔn)該標(biāo)準(zhǔn)為IT的治理、安全與控制提供了一個(gè)一般適用的公認(rèn)的標(biāo)準(zhǔn)，以輔助管理層進(jìn)行IT治理。該標(biāo)準(zhǔn)體系已在世界一百多個(gè)國(guó)家的重要組織與企業(yè)中運(yùn)用，指導(dǎo)這些組織有效利用信息資源，有效地管理與信息相關(guān)的風(fēng)險(xiǎn)。

IT治理模型COBIT目前已成為國(guó)際上公認(rèn)的IT管理與控36IT治理架構(gòu)ProvideDirectionCompareMeasurePerformanceITActivitiesIncreaseautomation(makethebusinesseffective)Decreasecost(maketheenterpriseefficient)Managerisks(security,reliabilityandcompliance)ITisalignedwiththebusinessITenablesthebusinessandmaximisesbenefitsITresourcesareusedresponsiblyIT-relatedrisksaremanagedappropriatelySetObjectivesIT治理架構(gòu)ProvideDirectionCompar37組織戰(zhàn)略目標(biāo)IT治理COBIT信息規(guī)劃與組織獲得與實(shí)施交付與支持監(jiān)控IT資源COBIT模型組織戰(zhàn)略目標(biāo)IT治理COBIT信息規(guī)劃與組織獲得與實(shí)施交付與38COBIT四個(gè)域的相互關(guān)系獲得和實(shí)施交付與支持規(guī)劃與組織監(jiān)控IT開(kāi)發(fā)IT運(yùn)維業(yè)務(wù)戰(zhàn)略IT戰(zhàn)略COBIT四個(gè)域的相互關(guān)系獲得和實(shí)施交付與支持規(guī)劃與組織監(jiān)控39匯報(bào)內(nèi)容IT治理的四個(gè)輔助手段IT治理的現(xiàn)實(shí)性和必要性建議匯報(bào)內(nèi)容IT治理的四個(gè)輔助手段40

建立IT治理機(jī)制觀念轉(zhuǎn)變：在最高管理層（董事會(huì)）樹(shù)立和維護(hù)IT戰(zhàn)略地位的思想認(rèn)識(shí)，建立企業(yè)戰(zhàn)略與IT戰(zhàn)略的互動(dòng)觀念，闡明IT應(yīng)擔(dān)當(dāng)?shù)慕巧?，從業(yè)務(wù)的視角創(chuàng)造信息技術(shù)指導(dǎo)原則，如信息化規(guī)劃本質(zhì)上可以定位成從業(yè)務(wù)戰(zhàn)略到信息戰(zhàn)略的實(shí)現(xiàn)。業(yè)務(wù)驅(qū)動(dòng)：從組織的業(yè)務(wù)戰(zhàn)略出發(fā)而不是從系統(tǒng)的需求出發(fā)，可以避免脫離目標(biāo)而進(jìn)行建設(shè)的困境。從業(yè)務(wù)的變革出發(fā)而不是從技術(shù)的變革出發(fā)，有利于充分利用組織的現(xiàn)有資源來(lái)滿足關(guān)鍵需求，從而避免建設(shè)的信息系統(tǒng)無(wú)法有效地支持組織的決策。

建立IT治理機(jī)制41

建立IT治理機(jī)制治理環(huán)境加強(qiáng)IT治理實(shí)質(zhì)上是一個(gè)政府和企業(yè)機(jī)構(gòu)必須攜手面對(duì)的問(wèn)題。政府必須扮演一個(gè)重要的推動(dòng)角色，并且尤其需要強(qiáng)調(diào)的是政府制定規(guī)則比較合理的方法是通過(guò)聽(tīng)證會(huì)或知情會(huì)上下協(xié)商、交互式地制定規(guī)則.這樣才能解決規(guī)則的充分合法性、可執(zhí)行行性問(wèn)題.值得一提的是：組織采行優(yōu)良IT治理機(jī)制的行動(dòng)，將減輕政府部門(mén)在制訂國(guó)民經(jīng)濟(jì)和社會(huì)信息化中所扮演的角色責(zé)任。

建立IT治理機(jī)制治理環(huán)境42建立IT治理機(jī)制治理結(jié)構(gòu)試行建立IT治理委員會(huì)明確規(guī)定IT管理過(guò)程的責(zé)任

建立IT治理機(jī)制治理結(jié)構(gòu)43對(duì)信息系統(tǒng)進(jìn)行獨(dú)立審計(jì)信息系統(tǒng)的管理、規(guī)劃與組織信息系統(tǒng)技術(shù)基礎(chǔ)設(shè)施與操作實(shí)務(wù)資產(chǎn)的保護(hù)災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計(jì)劃應(yīng)用系統(tǒng)開(kāi)發(fā)、獲得、實(shí)施與維護(hù)業(yè)務(wù)流程評(píng)價(jià)與風(fēng)險(xiǎn)管理對(duì)信息系統(tǒng)進(jìn)行獨(dú)立審計(jì)信息系統(tǒng)的管理、規(guī)劃與組織44IS審計(jì)行業(yè)管理機(jī)制行業(yè)內(nèi)部自律機(jī)制：外部約束： 法律規(guī)范。 政府的行政監(jiān)管：包括信息產(chǎn)業(yè)部（業(yè)務(wù)監(jiān)督、違紀(jì)處理等）、證券監(jiān)管部門(mén)等（上市公司IS審計(jì)有關(guān)情況進(jìn)行監(jiān)督）。 公共監(jiān)管機(jī)構(gòu)：制定相關(guān)執(zhí)業(yè)準(zhǔn)則,對(duì)IS審計(jì)師的獨(dú)立性、職業(yè)道德和工作質(zhì)量進(jìn)行審查等。 社會(huì)輿論監(jiān)督。IS審計(jì)行業(yè)管理機(jī)制行業(yè)內(nèi)部自律機(jī)制：45建立信息化管理培訓(xùn)體系建立信息化管理培訓(xùn)體系46演講完畢，謝謝觀看！演講完畢，謝謝觀看！47IT治理及其輔助手段研究情況匯報(bào)孫強(qiáng)

賽迪培訓(xùn)中心賽迪顧問(wèn)股份有限公司二00三年八月十四日IT治理及其輔助手段研究情況匯報(bào)48匯報(bào)內(nèi)容IT治理的四個(gè)輔助手段IT治理的現(xiàn)實(shí)性和必要性建議匯報(bào)內(nèi)容IT治理的四個(gè)輔助手段49匯報(bào)內(nèi)容IT治理的四個(gè)輔助手段IT治理的現(xiàn)實(shí)性和必要性建議匯報(bào)內(nèi)容IT治理的四個(gè)輔助手段50當(dāng)前信息化建設(shè)熱點(diǎn)問(wèn)題IT與業(yè)務(wù)的融合信息系統(tǒng)工程監(jiān)理的發(fā)展信息中心的轉(zhuǎn)制與走向IT治理、公司治理及企業(yè)管理的關(guān)系信息主管CIO的治理結(jié)構(gòu)IS審計(jì)對(duì)IT投資有效的監(jiān)督和控制作用規(guī)范、標(biāo)準(zhǔn)化的IT服務(wù)管理流程的重要性當(dāng)前信息化建設(shè)熱點(diǎn)問(wèn)題IT與業(yè)務(wù)的融合51IT治理是IT、經(jīng)濟(jì)學(xué)及管理學(xué)業(yè)界中一個(gè)新的概念，用于描述企業(yè)或政府是否采用有效的機(jī)制，使得IT的應(yīng)用能夠完成組織賦予它的使命，同時(shí)平衡信息技術(shù)與過(guò)程的風(fēng)險(xiǎn)、確保實(shí)現(xiàn)組織的戰(zhàn)略目標(biāo)。IT治理是IT、經(jīng)濟(jì)學(xué)及管理學(xué)業(yè)界中一個(gè)新的概念，用于描述企52IT治理的使命保持IT與業(yè)務(wù)目標(biāo)一致，推動(dòng)業(yè)務(wù)發(fā)展，促使收益最大化，合理利用IT資源，適當(dāng)管理與IT相關(guān)的風(fēng)險(xiǎn)。IT治理的使命保持IT與業(yè)務(wù)目標(biāo)一致，推動(dòng)業(yè)務(wù)發(fā)展，促使收益53IT治理的輔助手段IT項(xiàng)目管理IS（信息系統(tǒng)）審計(jì)、咨詢、監(jiān)理信息安全管理IT服務(wù)管理IT治理的輔助手段IT項(xiàng)目管理54IT項(xiàng)目管理IT項(xiàng)目具有投資大、周期長(zhǎng)、高風(fēng)險(xiǎn)、科技含量高、所涉及領(lǐng)域?qū)挼奶攸c(diǎn)，項(xiàng)目管理水平是關(guān)系IT項(xiàng)目成功的關(guān)鍵成功因素之一。IT項(xiàng)目管理認(rèn)證和培訓(xùn)可全面提升IT項(xiàng)目建設(shè)管理人員規(guī)劃、組織與管理方面的能力。IT項(xiàng)目管理IT項(xiàng)目具有投資大、周期長(zhǎng)、高風(fēng)險(xiǎn)、科技含量高、55IS審計(jì)IS審計(jì)是指根據(jù)公認(rèn)的標(biāo)準(zhǔn)和指導(dǎo)規(guī)范對(duì)信息系統(tǒng)及其業(yè)務(wù)應(yīng)用的效能、效率、安全性進(jìn)行監(jiān)測(cè)、評(píng)估和控制的過(guò)程，以完成組織的戰(zhàn)略目標(biāo)，同時(shí)最經(jīng)濟(jì)的使用資源。這一定義既包括信息系統(tǒng)的外部審計(jì)的鑒證目標(biāo)——即對(duì)被審計(jì)單位的信息系統(tǒng)保護(hù)資產(chǎn)安全及數(shù)據(jù)完整的鑒證，又包含內(nèi)部審計(jì)的管理目標(biāo)——即不僅包括被審計(jì)信息系統(tǒng)保護(hù)資產(chǎn)安全及數(shù)據(jù)完整而且包括信息系統(tǒng)的有效性目標(biāo)。IS審計(jì)IS審計(jì)是指根據(jù)公認(rèn)的標(biāo)準(zhǔn)和指導(dǎo)規(guī)范對(duì)信息系統(tǒng)及其業(yè)56IS審計(jì)對(duì)象審計(jì)對(duì)象變革管理數(shù)據(jù)中心運(yùn)維信息安全網(wǎng)絡(luò)管理基礎(chǔ)設(shè)施數(shù)據(jù)庫(kù)管理硬件管理績(jī)效與容量問(wèn)題管理災(zāi)難回復(fù)與業(yè)務(wù)持續(xù)軟件管理通信技術(shù)支持服務(wù)系統(tǒng)開(kāi)發(fā)IS審計(jì)對(duì)象審計(jì)對(duì)象57IS審計(jì)的過(guò)程1.理解客戶業(yè)務(wù)、系統(tǒng)、環(huán)境等2.識(shí)別并評(píng)估風(fēng)險(xiǎn)3.檢查是否存在足夠的控制來(lái)補(bǔ)償這些風(fēng)險(xiǎn)4.對(duì)控制進(jìn)行測(cè)試和評(píng)價(jià)5.提出審計(jì)結(jié)論和報(bào)告IS審計(jì)的過(guò)程1.理解客戶業(yè)務(wù)、系統(tǒng)、環(huán)境等58IT治理與IS審計(jì)的關(guān)系獨(dú)立的IS審計(jì)是公司治理與IT治理制度的重要環(huán)節(jié)之一。目的是確定、解除被審計(jì)單位的受托責(zé)任和加強(qiáng)對(duì)被審計(jì)單位的管理與控制。所以IS審計(jì)是實(shí)現(xiàn)IT治理的手段之一。IT治理與IS審計(jì)的關(guān)系獨(dú)立的IS審計(jì)是公司治理與IT治理制59IS審計(jì)的作用鑒證作用。是指通過(guò)審計(jì)，合理地保證被審計(jì)單位信息系統(tǒng)及其處理、產(chǎn)生的信息的真實(shí)性、完整性與可靠性。促進(jìn)作用。體現(xiàn)在兩個(gè)方面：（1）是指信息系統(tǒng)審計(jì)可以促進(jìn)被審計(jì)單位更有效地融入到社會(huì)經(jīng)濟(jì)生活中，審計(jì)報(bào)告可以增強(qiáng)大家對(duì)其信息的信任程度；（2）是指審計(jì)可以促進(jìn)被審計(jì)單位改進(jìn)內(nèi)部控制，加強(qiáng)管理，提高信息系統(tǒng)實(shí)現(xiàn)組織目標(biāo)的效率、效果。IS審計(jì)的作用鑒證作用。是指通過(guò)審計(jì)，合理地保證被審計(jì)單位60IS審計(jì)的業(yè)務(wù)范圍立足于組織的戰(zhàn)略目標(biāo)，為有效的實(shí)現(xiàn)組織戰(zhàn)略目標(biāo)而采取的一切活動(dòng)過(guò)程都在審計(jì)師的業(yè)務(wù)之內(nèi)。業(yè)務(wù)范圍包括：對(duì)信息系統(tǒng)的戰(zhàn)略規(guī)劃與組織的審計(jì)；技術(shù)基礎(chǔ)平臺(tái)建設(shè)的審計(jì)；應(yīng)用系統(tǒng)建設(shè)審計(jì)；信息系統(tǒng)管理和運(yùn)營(yíng)審計(jì)；風(fēng)險(xiǎn)管理與應(yīng)用控制審計(jì)；信息系統(tǒng)是否符合國(guó)家或國(guó)際標(biāo)準(zhǔn)的審計(jì)以及網(wǎng)譽(yù)審計(jì)、電子簽名審計(jì)等。

IS審計(jì)的業(yè)務(wù)范圍立足于組織的戰(zhàn)略目標(biāo)，為有效的實(shí)現(xiàn)組織戰(zhàn)61IS審計(jì)的目的合理保證信息系統(tǒng)能夠保護(hù)資產(chǎn)的安全、數(shù)據(jù)的完整、系統(tǒng)有效地實(shí)現(xiàn)組織目標(biāo)并有效率的利用組織資源，其關(guān)注的核心是資產(chǎn)保護(hù)與信息系統(tǒng)的效率、效果。重點(diǎn)是對(duì)信息系統(tǒng)的運(yùn)營(yíng)審計(jì)，向公眾出具審計(jì)報(bào)告，鑒證信息系統(tǒng)能否保護(hù)企業(yè)資產(chǎn)安全，其產(chǎn)生、傳遞的信息是否完整，整個(gè)系統(tǒng)是否有效地實(shí)現(xiàn)組織目標(biāo)并有效率的利用組織資源。

IS審計(jì)的目的合理保證信息系統(tǒng)能夠保護(hù)資產(chǎn)的安全、數(shù)據(jù)的完整62IS審計(jì)的服務(wù)對(duì)象是所有的信息使用者。 包括被審計(jì)單位的股東、合作伙伴、政府機(jī)構(gòu)和一般社會(huì)公眾。IS審計(jì)的服務(wù)對(duì)象是所有的信息使用者。63IS審計(jì)的方法信息系統(tǒng)審計(jì)審計(jì)的方法主要是搜集證據(jù)的方法。 包括檢查、觀察、分析性復(fù)合、查詢及函證等方法，并利用統(tǒng)計(jì)技術(shù)、計(jì)算機(jī)技術(shù)完成證據(jù)的搜集與評(píng)價(jià)。IS審計(jì)的方法信息系統(tǒng)審計(jì)審計(jì)的方法主要是搜集證據(jù)的方法。64IS審計(jì)與監(jiān)理的關(guān)系作用不同（監(jiān)理：控制和協(xié)調(diào)）范圍不同（監(jiān)理：實(shí)施階段）目的不同（監(jiān)理：進(jìn)度、質(zhì)量、投資）方法不同（監(jiān)理：項(xiàng)目管理）對(duì)象不同（監(jiān)理：業(yè)主和承建單位）IS審計(jì)與監(jiān)理的關(guān)系作用不同（監(jiān)理：控制和協(xié)調(diào)）65信息安全管理三分技術(shù)七分管理信息安全管理保護(hù)信息不受廣泛威脅地?fù)p害，確保業(yè)務(wù)的持續(xù)性，將商業(yè)損失降至最小，使投資收益最大并創(chuàng)造新的戰(zhàn)略機(jī)遇。

信息安全管理三分技術(shù)七分管理66ISO17799ISO17799（根據(jù)BS7799第一部分制定）作為確定控制范圍的參考標(biāo)桿，在一般情況下，這些控制是使用信息系統(tǒng)所必須的。該標(biāo)準(zhǔn)適應(yīng)任何規(guī)模的組織。它把信息作為一種資產(chǎn)，并且在信息時(shí)代，信息資產(chǎn)已經(jīng)成為最有價(jià)值的資產(chǎn)，因此需要恰當(dāng)?shù)乇Ｗo(hù)它。ISO17799ISO17799（根據(jù)BS7799第一部分制67信息安全管理的十個(gè)方面安全方針；安全組織；資產(chǎn)分類(lèi)與控制；人員安全；物理與環(huán)境安全；計(jì)算機(jī)與網(wǎng)絡(luò)管理；系統(tǒng)訪問(wèn)控制；系統(tǒng)開(kāi)發(fā)與維護(hù)；業(yè)務(wù)持續(xù)管理；合規(guī)性。信息安全管理的十個(gè)方面安全方針；68IT治理及其輔助手段研究情況匯報(bào)課件69IT服務(wù)管理IT服務(wù)管理事實(shí)上的國(guó)際標(biāo)準(zhǔn)：ITIL國(guó)際上先進(jìn)企業(yè)在推進(jìn)信息化的進(jìn)程中，針對(duì)“IT服務(wù)質(zhì)量不佳的問(wèn)題”，對(duì)IT服務(wù)的提供方式、提供內(nèi)容以及服務(wù)管理等方面的內(nèi)容，逐漸總結(jié)、提煉，形成了一整套富有成效的方法、規(guī)范和程序，并由英國(guó)商務(wù)部提煉成為ITIL。IT服務(wù)管理IT服務(wù)管理事實(shí)上的國(guó)際標(biāo)準(zhǔn)：ITIL70IT服務(wù)管理的作用ITIL作為一種以流程為基礎(chǔ)、以客戶為導(dǎo)向的IT服務(wù)管理指導(dǎo)框架，它擺脫了傳統(tǒng)IT管理以技術(shù)管理為焦點(diǎn)的弊端，實(shí)現(xiàn)了從技術(shù)管理到流程管理，再到服務(wù)管理的轉(zhuǎn)化。業(yè)務(wù)與IT融合。改善IT的投資回報(bào)率。IT服務(wù)管理的作用ITIL作為一種以流程為基礎(chǔ)、以客戶為導(dǎo)向71ITIL模型示意圖ITIL模型示意圖72ITIL的意義ITIL可以提高IT部門(mén)營(yíng)運(yùn)效率25-300%；ITIL是一個(gè)公共開(kāi)發(fā)且公共使用的框架。任何組織都可以使用ITIL，或者以ITIL為基礎(chǔ)開(kāi)發(fā)自己的服務(wù)管理方法論和方案。ITIL個(gè)人資格認(rèn)證是全球公認(rèn)的CIO證書(shū)，也被稱為是IT界的MBA。ITIL的意義ITIL可以提高IT部門(mén)營(yíng)運(yùn)效率25-300%73匯報(bào)內(nèi)容IT治理的四個(gè)輔助手段IT治理的現(xiàn)實(shí)性和必要性建議匯報(bào)內(nèi)容IT治理的四個(gè)輔助手段74IT治理的定義IT治理是一個(gè)由關(guān)系和過(guò)程所構(gòu)成的體制，用于指導(dǎo)和控制企業(yè)，通過(guò)平衡信息技術(shù)與過(guò)程的風(fēng)險(xiǎn)、增加價(jià)值來(lái)確保實(shí)現(xiàn)企業(yè)的目標(biāo)。IT治理的定義IT治理是一個(gè)由關(guān)系和過(guò)程所構(gòu)成的體制，用于指75IT治理的核心問(wèn)題IT戰(zhàn)略目標(biāo)必須與企業(yè)戰(zhàn)略目標(biāo)保持一致IT治理包括治理委員會(huì)、治理結(jié)構(gòu)、治理流程和企業(yè)文化等。IT治理使風(fēng)險(xiǎn)透明化，從而保護(hù)利益相關(guān)者的權(quán)益。IT治理可用來(lái)指導(dǎo)控制IT投資、機(jī)遇、收益及風(fēng)險(xiǎn)。IT治理對(duì)核心IT資源做出合理的制度安排，這將成為進(jìn)入新的市場(chǎng)、進(jìn)行有效競(jìng)爭(zhēng)、實(shí)現(xiàn)總收入增長(zhǎng)、改善客戶滿意度及維系客戶關(guān)系的制度保障。IT治理的核心問(wèn)題IT戰(zhàn)略目標(biāo)必須與企業(yè)戰(zhàn)略目標(biāo)保持一致76IT治理的目標(biāo)IT治理——與業(yè)務(wù)目標(biāo)一致IT治理——有效利用信息資源IT治理——風(fēng)險(xiǎn)管理 IT治理的目標(biāo)將幫助管理層建立以組織戰(zhàn)略為導(dǎo)向,以外界環(huán)境為依據(jù),以業(yè)務(wù)與IT整合為中心的觀念，正確定位IT部門(mén)在整個(gè)組織中的作用。IT治理的目標(biāo)IT治理——與業(yè)務(wù)目標(biāo)一致77

IT治理的范圍IT治理集中在管理高層。善治的IT治理實(shí)踐需要在企業(yè)全部范圍內(nèi)推行。IT治理使得最高管理層和執(zhí)行經(jīng)理的一系列活動(dòng)成為可能。這些活動(dòng)主要包括：IT的目標(biāo)，新技術(shù)的機(jī)遇和風(fēng)險(xiǎn)，關(guān)鍵過(guò)程與核心競(jìng)爭(zhēng)力。如指導(dǎo)信息技術(shù)的職能和對(duì)企業(yè)的影響，分配責(zé)任，定義操作，業(yè)績(jī)衡量，管理風(fēng)險(xiǎn)和獲得保證的約束等。

IT治理的范圍IT治理集中在管理高層。78公司治理和IT治理公司治理，驅(qū)動(dòng)和調(diào)整IT治理。同時(shí)，IT能夠提供關(guān)鍵的輸入，形成戰(zhàn)略計(jì)劃的一個(gè)重要組成部分，這被認(rèn)為是公司治理的一個(gè)重要功能——IT影響企業(yè)的戰(zhàn)略競(jìng)爭(zhēng)機(jī)遇。IT治理的一個(gè)關(guān)鍵性問(wèn)題是：公司的IT投資是否與戰(zhàn)略目標(biāo)相一致，從而構(gòu)筑必要的核心競(jìng)爭(zhēng)力。

公司治理和IT治理公司治理，驅(qū)動(dòng)和調(diào)整IT治理。同時(shí)，IT能79公司治理和IT治理概括地說(shuō)，公司治理和IT治理都是市場(chǎng)（含政府）他律的機(jī)制，是如何“管好管理者”的機(jī)制，其目標(biāo)也是一致的：達(dá)到業(yè)務(wù)永續(xù)運(yùn)營(yíng)，并增加組織的長(zhǎng)期獲利機(jī)會(huì)。公司治理側(cè)重于企業(yè)整體規(guī)劃，IT治理側(cè)重于企業(yè)中信息資源的有效利用和管理。公司治理和IT治理概括地說(shuō)，公司治理和IT治理都是市場(chǎng)（含政80公司治理和IT治理的典范“斯達(dá)模式”這一被譽(yù)為國(guó)企擺脫困境、改革發(fā)展的創(chuàng)新模式，正說(shuō)明了公司治理和IT治理的重要性和互動(dòng)關(guān)系?！昂诩垺卑凑宅F(xiàn)代企業(yè)制度要求，建立與市場(chǎng)競(jìng)爭(zhēng)相適應(yīng)的公司治理機(jī)制，明晰了企業(yè)產(chǎn)權(quán)，優(yōu)化了生產(chǎn)要素配置，轉(zhuǎn)變了職工觀念，為斯達(dá)大力進(jìn)行信息化改造創(chuàng)造了有力條件。反過(guò)來(lái)，信息化也促進(jìn)了公司的現(xiàn)代化管理。公司治理和IT治理的典范“斯達(dá)模式”這一被譽(yù)為國(guó)企擺脫困境、81

IT治理和IT管理IT管理是公司的信息及信息系統(tǒng)的運(yùn)營(yíng)，確定IT目標(biāo)以及實(shí)現(xiàn)此目標(biāo)所采取的行動(dòng)；而IT治理是指最高管理層（董事會(huì)）利用它來(lái)監(jiān)督管理層在IT戰(zhàn)略上的過(guò)程、結(jié)構(gòu)和聯(lián)系，以確保這種運(yùn)營(yíng)處于正確的軌道之上。

IT治理和IT管理IT管理是公司的信息及82

IT治理模型COBIT目前已成為國(guó)際上公認(rèn)的IT管理與控制標(biāo)準(zhǔn)該標(biāo)準(zhǔn)為IT的治理、安全與控制提供了一個(gè)一般適用的公認(rèn)的標(biāo)準(zhǔn)，以輔助管理層進(jìn)行IT治理。該標(biāo)準(zhǔn)體系已在世界一百多個(gè)國(guó)家的重要組織與企業(yè)中運(yùn)用，指導(dǎo)這些組織有效利用信息資源，有效地管理與信息相關(guān)的風(fēng)險(xiǎn)。

IT治理模型COBIT目前已成為國(guó)際上公認(rèn)的IT管理與控83IT治理架構(gòu)ProvideDirectionCompareMeasurePerformanceITActivitiesIncreaseautomation(makethebusinesseffective)Decreasecost(maketheenterpriseefficient)Managerisks(security,reliabilityandcompliance)ITisalignedwiththebus