1、第二章 IT治理,第一節(jié) IT治理概述 兩個例子: 1、2002年5月29日上午時分左右，南京火車站電腦售票系統(tǒng)突然 發(fā)生死機故障，整個車站售票處于癱瘓狀態(tài)，車站售票大廳內(nèi)人滿 為患，眾多旅客不得不改乘其它交通工具離開南京。車站領(lǐng)導(dǎo)和計 算機技術(shù)人員告訴記者是由于電腦升級換代，調(diào)試時線路發(fā)生故障， 才引發(fā)了此次系統(tǒng)癱瘓的。 2、9月5日廣東省工行因系統(tǒng)故障，全線停業(yè)一個半小時。 這兩個例子說明什么？,IT是技術(shù)，是資源，是服務(wù)，更是成本,企業(yè)需要將IT應(yīng)用于業(yè)務(wù)領(lǐng)域，通常需要提出以下問題： 企業(yè)所需要的IT服務(wù)是什么？ 這些IT服務(wù)需要多少成本？ 企業(yè)IT應(yīng)用中的決策機制如何？ 企業(yè)IT應(yīng)用中

2、的則、權(quán)、利如何分配？ 企業(yè)的IT應(yīng)用應(yīng)達到什么樣的水平？ 企業(yè)如何管理好自己的IT資源？ 企業(yè)如何做好IT的風(fēng)險管理？ ,所有這些問題都離不開一個概念I(lǐng)T治理。,第二章 IT治理,據(jù)國外一份統(tǒng)計數(shù)據(jù)表明企業(yè)中IT系統(tǒng)出現(xiàn)故障有幾大原因： 1、惡意代碼攻擊 ; 2、缺乏有效的監(jiān)控制度和手段; 3、IT設(shè)備本身的性能問題; 4、應(yīng)用系統(tǒng)/數(shù)據(jù)本身存在問題; 5、員工缺少技能培訓(xùn); 6、不同部門的IT人員之間缺乏協(xié)調(diào); 7、缺少運營管理方法論的指導(dǎo); 8、員工不按規(guī)足/流程操作。 可以看到在這些原因中都和管理與流程存在很大關(guān)系，要做好組織 中的IT風(fēng)險控制和信息安全離不開IT治理。,第二章 IT治

3、理,一、何謂IT治理？ IT governance(IT治理)是國際IT領(lǐng)域中的新概念，用于描述企業(yè)或政府 是否采用有效的機制使IT的應(yīng)用能夠完成組織賦予它的使命,同時,平衡 信息技術(shù)與過程的風(fēng)險,確保實現(xiàn)組織的戰(zhàn)略目標(biāo). Roberts.Roussey(美國南加州大學(xué)教授)定義：(參見教材) 從利益相關(guān)者收益角度 德勤(德勤公司)定義: (參見教材) 從內(nèi)部審計與控制角度 ISACA定義: (參見教材) 從內(nèi)部審計與控制角度 我國定義: (參見教材),第二章 IT治理,第二章 IT治理,從IT的各種定義可總結(jié)出有關(guān)IT治理的共同點： 1、 IT治理必須與企業(yè)戰(zhàn)略目標(biāo)一致； 2、 IT治理管理

4、執(zhí)行人員和利益相關(guān)者的責(zé)任（以董事會為代表）； 3、 IT治理保護利益相關(guān)者的權(quán)益，使風(fēng)險透明化，指導(dǎo)和控制IT投 資、機遇、利益、風(fēng)險； 4、 IT治理包括管理層、組織結(jié)構(gòu)、過程，以確保IT維持和拓展組織 戰(zhàn)略目標(biāo)； 5、應(yīng)該合理利用企業(yè)的信息資源，有效地集成與協(xié)調(diào)； 6、確保IT及時按照目標(biāo)交付，有合適的功能和期望的收益，是一個 一致性和價值傳遞的基本構(gòu)建模塊，有明確的期望值和衡量手段； 7、引導(dǎo)IT戰(zhàn)略平衡系統(tǒng)的投資，支持企業(yè)， 變革企業(yè)，或者創(chuàng)建一 個信息基礎(chǔ)架構(gòu)，保證業(yè)務(wù)增長，并在一個新的領(lǐng)域競爭； 8、對于核心IT資源做出合理的決策，進入新的市場，驅(qū)動競爭策略， 創(chuàng)造總的收入增長，

5、改善客戶滿意度，維系客戶關(guān)系。,無論這些定義從哪個角度關(guān)注IT治理，但都涉及信息系統(tǒng)、技術(shù)及 連通性、商業(yè)活動、法律相關(guān)事宜以及所有利益相關(guān)者公司董事、高 級管理人員、業(yè)務(wù)流程的執(zhí)行者、IT供應(yīng)商、IT的使用者以及審計人員 等。IT治理對象。同時，也是IT治理審計對象。,IT治理的使命：保持IT與業(yè)務(wù)目標(biāo)一致，推動業(yè)務(wù)發(fā)展，促使收益最大 化，合理利用IT資源，適當(dāng)管理與IT相關(guān)的風(fēng)險。,從本質(zhì)上講，IT治理： 是一種制度設(shè)計； 是一種有效機制； 是一種IT資源的管理和分配； 是一種風(fēng)險管理和控制； 是一種認識問題； 是一個過程。,第二章 IT治理,二、IT治理與IT管理、公司治理的關(guān)系 1、

6、IT治理與IT管理的關(guān)系。主要體現(xiàn)在： （1）IT治理是指最高管理層（董事會）利用它來監(jiān)督管理層在IT戰(zhàn) 略上的過程、結(jié)構(gòu)和聯(lián)系，以確保這種運營處于正確的軌道之上。 IT管理是公司的信息及信息系統(tǒng)的運營，確定IT目標(biāo)以及實現(xiàn) 此目標(biāo)所采取的行動； （2）IT治理與IT管理的關(guān)系，是指導(dǎo)關(guān)系，即先與后，上與下的關(guān)系。 （3）IT治理強調(diào)構(gòu)建良好的管理環(huán)境，而IT管理強調(diào)對IT資源的運營。,第二章 IT治理,2、IT治理與公司治理的關(guān)系 公司治理：是一種對公司管理和運營進行監(jiān)督和控制的體系。它不僅 規(guī)定了公司的各個參與者，而且明確了決策公司事務(wù)時所應(yīng)遵循 的規(guī)則和程序。 公司治理直接影響企業(yè)的經(jīng)營

7、和發(fā)展，如：安然、世界通信，等事件,第二章 IT治理,完善的公司治理結(jié)構(gòu)的保障：有效的內(nèi)部控制。 公司治理所要解決的問題： 如何使企業(yè)參與各方將各自的要素投入企業(yè)并共同實施行為，塑 造企業(yè)的核心能力、獲取競爭優(yōu)勢并獲得收益； 如何協(xié)調(diào)這一過程中各方的利益和責(zé)任，以便更有利于企業(yè)核心 能力的塑造、維護和發(fā)揮作用,其中涉及要素：IT資源 由此涉及：IT治理問題,IT治理與公司治理的關(guān)系： 公司治理和IT治理都是市場 (含政府)他律的機制，是如何“管好管理者” 的機制，其目標(biāo)也是一致的：達到業(yè)務(wù)永續(xù)運營，并增加組織的長 期獲利機會。 公司治理驅(qū)動和調(diào)整IT治理；IT影響企業(yè)的戰(zhàn)略競爭機遇。 公司治理

8、側(cè)重于企業(yè)整體規(guī)劃； IT治理側(cè)重于企業(yè)中信息資源的有效利 用和管理。 處理好IT治理與公司治理的關(guān)系，應(yīng)解決：,第二章 IT治理,1、認識上，要將信息技術(shù)不僅視為技術(shù)，更是業(yè)務(wù) ； 2、戰(zhàn)略上，促進IT戰(zhàn)略與公司戰(zhàn)略的整合，使IT成為公司戰(zhàn)略的中心， 保證公司戰(zhàn)略從制訂之初就具備競爭力； 3、實施上，通過IT治理，主要從風(fēng)險回避方面保證公司治理的落實。,第二章 IT治理,第二節(jié) IT治理的目標(biāo)和范圍 一、IT治理的目標(biāo),IT治理應(yīng)著眼于以下目標(biāo)： 1、與業(yè)務(wù)目標(biāo)一致 原則：服從于企業(yè)戰(zhàn)略，不能背離 2、有效利用信息資源 IT治理的使命：通過及時、有效的IT治理，促進信息的價值轉(zhuǎn)化 3、風(fēng)險管

9、理 通過IT治理：構(gòu)建風(fēng)險管理制度及風(fēng)險應(yīng)對決策； 使風(fēng)險透明化； 有效的風(fēng)險投資、管理和控制； 風(fēng)險的防范措施。 實現(xiàn)：平衡信息技術(shù)與過程的風(fēng)險，確保組織目標(biāo)的實現(xiàn),第二章 IT治理,案例：如何根據(jù)企業(yè)戰(zhàn)略制定IT戰(zhàn)略 某物流配送公司的發(fā)展戰(zhàn)略框架如下圖：,第二章 IT治理,根據(jù)該公司的發(fā)展戰(zhàn)略框架確定需重點解決的問題： (1)集成物流分散點，降低營運成本與費用； (2)建立庫存控制機制與準(zhǔn)則，避免內(nèi)部控制和監(jiān)管的失靈； (3)集成和標(biāo)準(zhǔn)化訂單業(yè)務(wù)流程； (4)建立追究責(zé)任制，完善安全管理； (5)推動商務(wù)運作，加強對外合作與聯(lián)盟； (6)滿足現(xiàn)有客戶，擴展新客戶； (7)完善貨款追蹤到位機

10、制。,第二章 IT治理,根據(jù)目標(biāo)和問題，確定IT建設(shè)內(nèi)容，即IT戰(zhàn)略目標(biāo)： (1)聯(lián)網(wǎng)各分散物流點的執(zhí)行系統(tǒng)，由總部統(tǒng)一監(jiān)控與管理； (2)構(gòu)建JIT配送平臺，確保零庫存； (3)采用物流執(zhí)行系統(tǒng)，從而組成完整的訂單，并持續(xù)改進客戶的響應(yīng)速 度，同時，該系統(tǒng)可以幫助客戶將訂單轉(zhuǎn)變成可以發(fā)運的品項，從而 降低運輸費用； (4)完善客戶訂單與發(fā)貨品的追蹤系統(tǒng)，使客戶能夠及時獲取貨項信息； (5)建立電子商務(wù)平臺，通過網(wǎng)絡(luò)實現(xiàn)配送外協(xié)等合作，提高與供應(yīng)商、 政府部門之間配合的效率; (6)建立客戶關(guān)系管理系統(tǒng)，通過Web網(wǎng)站、E-Mail系統(tǒng)、呼叫中心、自 動傳真回復(fù)系統(tǒng)等，向客戶提供365天24小

11、時的不間斷服務(wù)； (7)搭建財務(wù)管理系統(tǒng)，保證財務(wù)部門及所有受支持的部門都能獲得精、 快的財務(wù)信息，以便有效地進行業(yè)務(wù)決策及監(jiān)控現(xiàn)金的收支情況。 根據(jù)以上所確定的IT建設(shè)內(nèi)容，并形成了該公司的IT藍圖（見圖）,第二章 IT治理,第二章 IT治理,二、IT治理的范圍 IT治理范圍可從不同角度劃分： 1、從治理的組織范圍看：覆蓋企業(yè)全部范圍，包括最高管理層、執(zhí)行管 理層，乃至虛擬組織、戰(zhàn)略聯(lián)盟，等 2、從治理的內(nèi)容范圍看：包括治理目標(biāo)、治理結(jié)構(gòu)、組織的整體戰(zhàn)略、 組織運營管理、風(fēng)險與價值、成本與控制、審計與監(jiān)督、服務(wù) 標(biāo)準(zhǔn)和規(guī)范等方面的內(nèi)容。,第二章 IT治理,第三節(jié) IT治理的關(guān)鍵問題 一、IT

12、治理的關(guān)鍵問題,IT治理的關(guān)鍵問題表現(xiàn)在： 1、 IT投資是否與企業(yè)經(jīng)營在戰(zhàn)略目標(biāo)(Strategy)，策略(Tactic)和運 營(即operation)層面相融合，從而構(gòu)筑必要的核心競爭力； 2、IT治理是否有助于合理的制度安排真正發(fā)揮其作用； 3、在長期的IT應(yīng)用中，是否持續(xù)地創(chuàng)造商業(yè)價值； 4、是否有有效的風(fēng)險管理機制。 其中最關(guān)鍵的問題是第一點：IT治理應(yīng)體現(xiàn)以“組織戰(zhàn)略目標(biāo)為中心”思想。,第二章 IT治理,搞好IT治理必須解決的問題： 1、IT關(guān)鍵領(lǐng)域誰做決策和如何決策。 5個IT關(guān)鍵領(lǐng)域：A、信息技術(shù)原則； B、信息技術(shù)結(jié)構(gòu)； C、信息技術(shù)基礎(chǔ)設(shè)施； D、企業(yè)應(yīng)用需要； E、信息

13、技術(shù)投資及優(yōu)先順序。 2、信息化中的責(zé)、權(quán)、利問題； 3、信息化建設(shè)中的風(fēng)險評估和績效評價問題； 4、信息系統(tǒng)控制與信息技術(shù)管理體系問題。,第二章 IT治理,信息化建設(shè)中的風(fēng)險管理及評估流程： 1) 確立可承受的IT風(fēng)險損失價值； 2) IT風(fēng)險識別；（列舉清單法、專家判斷法、工作分解分析法、信息檢索 法、訪談法、流程圖和魚刺圖法） 3) IT風(fēng)險預(yù)測； 4) IT風(fēng)險日常管理與控制； 5) IT盈利與損失統(tǒng)計； 6) 風(fēng)險再評級。,第二章 IT治理,績效評價方法（業(yè)績衡量）IT平衡計分卡法。主要從以下幾個方面衡量： (1) IT價值貢獻； (2) 客戶滿意度； (3) 內(nèi)部處理過程； (4)

14、 學(xué)習(xí)與創(chuàng)新。,(1) IT價值貢獻： 主要用于評價IT投資對企業(yè)的價值綜合影響，IT是否滿足企業(yè)的戰(zhàn)略需 要以及是否支付預(yù)期的財務(wù)收益，評價IT價值貢獻度的時候，需要考 慮以下問題： ?IT戰(zhàn)略和組織戰(zhàn)略需要集成的程度； ?整體IT組合如何很好地進行管理； ?IT花費是否與預(yù)期指出集成； ?最大化業(yè)務(wù)價值和IT成本效益。,第二章 IT治理,(2) 客戶滿意度； 主要從用戶的視角評價IT提供的服務(wù)與支持在滿足用戶方面達到的水 平。在評估IT對客戶滿意度的影響的時候，需要考慮如下問題： ?業(yè)務(wù)單元與IT人員是否很好地集成到信息系統(tǒng)開發(fā)與獲取的項目中； ?客戶對支付的IT產(chǎn)品與服務(wù)是否滿意； ?用

15、戶對IT應(yīng)用的接收和掌握情況。,(3) 內(nèi)部處理過程 IT內(nèi)部過程關(guān)注IT部門 兩個基本過程的改進和度量：系統(tǒng)開發(fā)過程以及 系統(tǒng)運營過程，此外也關(guān)注其他過程，如問題管理、用戶教育、人員管 理、通信渠道的使用等。在評價IT內(nèi)部過程，主要考慮以下問題： ?交付的產(chǎn)品質(zhì)量是否符合通用標(biāo)準(zhǔn)； ?交付的產(chǎn)品是否使用可普遍接受的方法與工具； ?用于支持主要過程改進的IT資源是否充分； ?基礎(chǔ)設(shè)施是否為業(yè)務(wù)需要提供了可靠支持； ?企業(yè)IT基礎(chǔ)設(shè)施是否得到維護。,第二章 IT治理,(4) 學(xué)習(xí)與創(chuàng)新 主要用于評價IT組織的技能水平以及持續(xù)學(xué)習(xí)和革新的能力。在評價IT 學(xué)習(xí)與革新能力的時候，主要考慮以下問題：

16、?是否有正確的技能與人員來保證質(zhì)量； ?是否追蹤對企業(yè)業(yè)務(wù)發(fā)展有重要意義的新技術(shù)的方向； ?是否使用認可的方法來構(gòu)建與管理IT項目； ?是否為員工提供適當(dāng)?shù)墓ぞ?、培?xùn)、執(zhí)行任務(wù)的動機。,二、IT治理缺失的癥狀 1、各自為政，缺乏統(tǒng)一、全局的IT戰(zhàn)略規(guī)劃； 2、信息化建設(shè)領(lǐng)導(dǎo)者錯位，IT應(yīng)用方案和企業(yè)業(yè)務(wù)需求之間邏輯錯位； 3、決策的技術(shù)經(jīng)濟論證不足； 4、信息資源的合理應(yīng)用是信息化的薄弱環(huán)節(jié)； 5、利益沖突和信息的不透明； 6、IT安全治理和風(fēng)險管理缺位； 7、非技術(shù)性的障礙； 8、重硬件購買，輕軟件和咨詢服務(wù)； 9、信息化建設(shè)找不到重心。,第二章 IT治理,建立有效的IT治理需從5個領(lǐng)域進行

17、： 1、IT戰(zhàn)略一致性； 2、IT價值交付； 3、IT資源管理； 4、IT風(fēng)險管理； 5、IT性能評價。,第二章 IT治理,第四節(jié) IT治理框架和標(biāo)準(zhǔn) 一、IT治理框架 構(gòu)建IT治理架購包含三個方面: 組織機構(gòu)、流程、溝通機制,1、組織結(jié)構(gòu)。由誰負責(zé)決策，組織結(jié)構(gòu)的形式如何？組織結(jié)構(gòu)中各成 員的責(zé)任分別是什么？,第二章 IT治理,（1）IT治理最高管理層(董事會)： IT戰(zhàn)略的總體制定與決策者，負責(zé) 指引信息化的方向與戰(zhàn)略制定 ，平衡支持企業(yè)和使企業(yè)成長的投 資。,（ 2）IT治理委員會。向董事會負責(zé)，解決設(shè)計標(biāo)準(zhǔn)的問題，負責(zé)確 立IT戰(zhàn)略方向，決定和建立資金杠桿，批準(zhǔn)所有主要的發(fā)展項 目并監(jiān)

18、督結(jié)果。 IT治理委員會責(zé)任：(1)政策制定；(2)控制(預(yù)算通過，項目權(quán) 威，績效評價)；(3)績效度量和報告。,（ 3）CIO。CIO崗位的職責(zé): 發(fā)起制定、組織完成企業(yè)IT戰(zhàn)略規(guī)劃; 開發(fā)企業(yè)應(yīng)用，協(xié)調(diào)企業(yè)和部門的應(yīng)用開發(fā); 保障IT基礎(chǔ)設(shè)施和 體系架構(gòu)的運行及投資; 決定IT服務(wù)和技能服務(wù)； 建立關(guān)鍵的IT 供應(yīng)商和咨詢顧問間的戰(zhàn)略伙伴關(guān)系； 提供技術(shù)支持使企業(yè)增加收 入和盈利能力; 維護客戶滿意度； 向用戶提供培訓(xùn)。,第二章 IT治理,（ 4）管理者。管理者的職責(zé)是：將IT風(fēng)險管理責(zé)任和控制落實到企業(yè)中； 將戰(zhàn)略，策略，目標(biāo)等落實到企業(yè)日常工作中，并使信息技術(shù)的組織 與企業(yè)目標(biāo)一致；

19、 促進信息的創(chuàng)造與共享； 通過衡量公司業(yè)績和競 爭優(yōu)勢來測度信息技術(shù)的效果 ； 關(guān)注重要的增值的信息技術(shù)過程； 關(guān)注與規(guī)劃和管理IT資產(chǎn)、風(fēng)險、工程項目、客戶和供應(yīng)商相關(guān)的 核心競爭能力，等。,（ 5）信息技術(shù)人員。負責(zé)項目的開發(fā)與實施； 負責(zé)項目技術(shù)指導(dǎo)與實現(xiàn)； 負責(zé)信息系統(tǒng)的日常運行與維護； 為業(yè)務(wù)部門和管理人員提供技術(shù) 服務(wù)支持。,第二章 IT治理,（ 6）外部和內(nèi)部審計人員。信息系統(tǒng)的管理、規(guī)劃與組織評價； 評價組 織在技術(shù)與操作基礎(chǔ)設(shè)施的管理和實施方面的有效性及效率； 對邏 輯、環(huán)境與信息技術(shù)基礎(chǔ)設(shè)施的安全性進行評價； 對災(zāi)難恢復(fù)與業(yè) 務(wù)持續(xù)計劃評價； 對應(yīng)用系統(tǒng)的開發(fā)、獲得、實施與

20、維護方面所 采用的方法和流程進行評價； 業(yè)務(wù)流程評價與風(fēng)險管理評價。,2、流程。IT投資決策是如何作出的？在決策流程中，投資建議、投資 評估、批準(zhǔn)投資和區(qū)分優(yōu)先級是如何進行的？,第二章 IT治理,3、溝通。這些決策和流程的結(jié)果效能如果度量，如何監(jiān)控風(fēng)險？又如 何得到溝通？在相關(guān)利益者之間投資決策采用何種機制加以溝通？,第二章 IT治理,二、IT治理標(biāo)準(zhǔn) 有關(guān)IT治理的標(biāo)準(zhǔn)主要有： 1、信息及其相關(guān)技術(shù)的管理體系模型和最佳實務(wù)一COBIT ； 2、IT基礎(chǔ)架構(gòu)庫ITIL (Information Technology Infrastructure Library) ； 3、ISO/IEC1779

21、9:2000（信息安全管理實務(wù)準(zhǔn)則 ） 4、PRINCE2（有關(guān)項目管理支持服務(wù)標(biāo)準(zhǔn)） 5、TICKIT（軟件質(zhì)量管理系統(tǒng)保證標(biāo)準(zhǔn)）； 6、NIST80O（公認安防信息技術(shù)系統(tǒng)原則和實務(wù)）； 7、COSO綜合性框架； 三種較為流行的IT治理評價方法： CobIT成熟度模型、PW方法 、 CBSO法,第二章 IT治理,三、COBIT簡介： COBIT（信息及相關(guān)技術(shù)的控制目標(biāo)），是有關(guān)IT治理的一個開放標(biāo)準(zhǔn)。 該標(biāo)準(zhǔn)是國際公認的最先進、最權(quán)威的安全與信息技術(shù)管理和控制的標(biāo)準(zhǔn)。 該標(biāo)準(zhǔn)為IT的治理、安全與控制提供了一個一般適用的公認的標(biāo)準(zhǔn)。 該標(biāo)準(zhǔn)為組織有效的利用信息資源，有效管理、控制與信息相關(guān)

22、的風(fēng)險提 供指導(dǎo)。 COBIT將IT 過程，IT資源及信息與企業(yè)的策略與目標(biāo)聯(lián)系起來，形成一個 三維的體系結(jié)構(gòu) （參見P.52圖） COBIT的體系框架包括四大部分：控制目標(biāo)、管理指南、審計指南、工具集 （參見P.54圖）,第二章 IT治理,第二章 IT治理,IT準(zhǔn)則維：反映了企業(yè)使用IT的戰(zhàn)略目標(biāo) 。 標(biāo)準(zhǔn)包括：有效性、效率性、機密性、完整性、可用性、一致性、可靠性等 IT資源維：描述了IT治理過程的主要資源對象。 對象包括：人員、應(yīng)用系統(tǒng)、技術(shù)、設(shè)施和數(shù)據(jù)等 IT過程維：是對信息及相關(guān)資源進行規(guī)劃與處理的過程。 提供了：從信息系統(tǒng)生命周期的四大域確定了34個信息技術(shù)處理過程，每 個處理過程

23、包括詳細的控制目標(biāo)和與控制目標(biāo)相聯(lián)系的審計指南。,第二章 IT治理,四大域：計劃與組織； 采集與實施； 交付與支持； 監(jiān)控,34個信息技術(shù)處理過程（從四大域）包括：(參見教材P.53表） 計劃與組織：定義IT戰(zhàn)略、定義信息體系結(jié)構(gòu)、確定技術(shù)方向、定義IT 組織與關(guān)系、管理IT投資、管理目標(biāo)和方向、人力資源管理、確保 與外部需求的一致性、風(fēng)險評估、項目管理、質(zhì)量管理,采集與實施：確定自動化的解決方案、獲取并維護應(yīng)用程序、獲取并維 護技術(shù)基礎(chǔ)設(shè)施、系統(tǒng)安裝與鑒定、變革管理,交付與支持：定義并管理服務(wù)水平、管理第三方的服務(wù)、管理性能與容 量、確保服務(wù)的連續(xù)性、確保系統(tǒng)安全、確定并分配成本、教育并 培

24、訓(xùn)客戶、配置管理、處理問題和突發(fā)事件、數(shù)據(jù)管理、設(shè)施管理、 運營管理,第二章 IT治理,監(jiān)控：過程監(jiān)控、評價內(nèi)部控制的適當(dāng)性、獲取獨立保證、提供獨立的 審計 控制目標(biāo)中： 計劃和組織目標(biāo)：判別哪些IT策略最有助于業(yè)務(wù)目標(biāo)的實現(xiàn)；應(yīng)設(shè)置何種 組織結(jié)構(gòu)，建立何種技術(shù)基礎(chǔ)結(jié)構(gòu)，如何對IT策略的實現(xiàn)進行計劃、 協(xié)調(diào)與管理。,采集和實施目標(biāo)：為了實現(xiàn)IT戰(zhàn)略，如何定義、開發(fā)、獲取、實施IT解決 方案，并把這一方案集成到業(yè)務(wù)過程中。如何解決系統(tǒng)的變遷與維護， 以使系統(tǒng)的生命周期得以延續(xù)。 交付與支持目標(biāo)：如何解決系統(tǒng)交付所需的服務(wù)，包括操作安全性、連續(xù) 性、人員培訓(xùn)以及需建立的支持過程，還包括實際數(shù)據(jù)處理

25、，通常按 應(yīng)用控制進行分類。 監(jiān)控目標(biāo)：評估IT過程質(zhì)量，評估IT過程與控制需求相符的程度,第二章 IT治理,第二章 IT治理,管理指南： COBIT給出了：度量IT過程的指標(biāo)體系、度量的尺度以及度量的基準(zhǔn)點 。 4個指標(biāo)：成熟度模型CMM，以及關(guān)鍵成功因素CSF、關(guān)鍵目標(biāo)指標(biāo)KGI、 關(guān)鍵性能指標(biāo)KPI,4個指標(biāo)簡介： 1、成熟度模型CMM 功能：確定IT控制的基準(zhǔn)。從而認清企業(yè)所處的行業(yè)地位，如何測定和 比較 2、關(guān)鍵成功因素CSF 功能：勾畫IT控制輪廓。從而描繪重要的、控制的關(guān)鍵成功因素 3、關(guān)鍵目標(biāo)指標(biāo)KGI 功能：識別IT處理過程的目標(biāo)。從而認識哪些是必須做到的，不能達成 目標(biāo)的風(fēng)

26、險有哪些 4、關(guān)鍵性能指標(biāo)KPI 功能：測定IT處理過程的性能。從而評價IT輸出和實際績效，評價處理 過程執(zhí)行好壞的程度,第二章 IT治理,案例1：關(guān)鍵成功因素CSF 1、IT治理活動與公司治理相結(jié)合，并有公司領(lǐng)導(dǎo)的參與； 2、IT治理專注于公司目標(biāo)、戰(zhàn)略，使用技術(shù)提高業(yè)務(wù)水平，及滿足業(yè)務(wù) 需求的足夠可用的資源和能力； 3、IT治理活動應(yīng)該目標(biāo)明確，制度規(guī)范和實施有效，并落實到人； 4、實施最佳管理實踐以提高資源的有效利用，提供IT過程的效率； 5、建立組織以充分監(jiān)督，根據(jù)標(biāo)準(zhǔn)程序評估風(fēng)險，及監(jiān)督和追究控制缺 陷和風(fēng)險； 6、建立內(nèi)部控制準(zhǔn)則以避免內(nèi)部控制和監(jiān)管的失靈； 7、IT問題管理、變革

27、管理和配置管理等，是集成和關(guān)聯(lián)的； 8、建立審計委員會。,第二章 IT治理,案例2：關(guān)鍵目標(biāo)指標(biāo)KGI 1、加強績效和成本管理； 2、提高主要的IT投資的回報； 3、提高響應(yīng)市場速度； 4、增加質(zhì)量，創(chuàng)新和風(fēng)險管理； 5、適當(dāng)集成和標(biāo)準(zhǔn)化業(yè)務(wù)流程； 6、擴展新客戶，滿足現(xiàn)有客戶； 7、可用的適當(dāng)帶寬，計算能力和IT交付機制； 8、在預(yù)算范圍內(nèi)及時滿足客戶的需求和期望； 9、不違反法律、法規(guī)，行業(yè)標(biāo)準(zhǔn)和各類合同； 10、清楚承擔(dān)的風(fēng)險，這種風(fēng)險應(yīng)與組織整體風(fēng)險狀況相一致； 11、進行IT治理成熟度標(biāo)桿比較； 12、創(chuàng)造傳遞服務(wù)的新渠道。,第二章 IT治理,案例3：關(guān)鍵性能指標(biāo)KPI 1、提高了I

28、T流程的成效（成本、交付能力）； 2、增加了用于改善流程的IT計劃； 3、增加了IT基礎(chǔ)設(shè)施的利用率； 4、增加了客戶滿意度； 5、增加了員工工作效率和士氣； 6、增加用于管理公司的知識和信息的可用性； 7、增加IT治理和公司治理的聯(lián)系； 8、使用平衡計分卡測量時，績效得到提高。,第二章 IT治理,運用：借助于CMM模型，了解IT過程管理所處的狀態(tài)和自身的薄弱環(huán)節(jié)， 并有針對性地解決自身的問題。借助于CSF、KGI、KPI指標(biāo)有效 地進行IT過程管理。,審計指南：為中介評估機構(gòu)或信息系統(tǒng)審計師對信息系統(tǒng)的控制進行了解、 評估和實施審計提供建議與指導(dǎo)。 給出了：IT審計的一般方法和要求； 根據(jù)C

29、OBIT的框架，針對信息系統(tǒng)34個高層次控制目標(biāo)建議了相 應(yīng)的審計步驟； 為信息系統(tǒng)審計師具體檢驗和評價各IT過程是否符合318個具體 控制目標(biāo)給出了詳細的審計指南,并指出了各控制目標(biāo)未達到時會 帶來的風(fēng)險及改進控制的建議。,第二章 IT治理,應(yīng)用工具集：提供了包括管理意識、IT控制診斷、應(yīng)用指導(dǎo)、常見問題集、 、個案研究等工具，以及介紹COBIT的相關(guān)課件。 目的：工具集的設(shè)計主要是讓COBIT的應(yīng)用更加便利，使組織可以快速且 成功地掌握如何在不同的工作環(huán)境中應(yīng)用COBIT。,第二章 IT治理,COBIT的主要優(yōu)點： 1、可以幫助在管理層、IT與審計之間交流的鴻溝上搭建橋梁，提供了彼 此之間

30、溝通的共同語言 ； 2、通過實施COBIT，增加了管理層對控制的感知及支持 ； 3、COBIT使IT管理工作簡易并量化，減輕對復(fù)雜信息系統(tǒng)管理工作的 難度，并且可以應(yīng)用在每天都在發(fā)生的各種新問題中 ；,4、COBIT提供了一種國際通用的IT管理及問題解決方案，普遍適用于各 種不同的商業(yè)項目和審計 ； 5、COBIT有助于提高信息系統(tǒng)審計師的影響力； 6、COBIT框架可以能夠幫助決定過程責(zé)任，提高IT治理水平。 第五節(jié) IT治理機制和方法 一、建立IT治理機制,第二章 IT治理,如何有效地進行IT治理？ 需要建立有效的IT治理機制，因為： 決定信息系統(tǒng)是否有效運轉(zhuǎn)的因素不是信息技術(shù)，而是治理機

31、制、管理 模式、制度與規(guī)則，流程與標(biāo)準(zhǔn)，最終是人。因此，在這些因素之上， 需要合理有效的制度安排。,建立有效的IT治理機制，要做好以下幾方面： 1、實現(xiàn)企業(yè)戰(zhàn)略與IT戰(zhàn)略互動； 2、政府應(yīng)作為推動者； 3、建立專門化的建立IT治理委員會； 4、保證職責(zé)明確 ； 5、信息系統(tǒng)審計。,第二章 IT治理,二、IT治理的方法 1、積極進行IT治理設(shè)計 要求：最高管理層（董事會）樹立和維護IT戰(zhàn)略地位的思想認識， 從組織的戰(zhàn)略出發(fā)而不是從系統(tǒng)的需求出發(fā)，可以避免脫離 目標(biāo)而進行建設(shè)的困境； 發(fā)展外部市場監(jiān)控和審計機制。 包括：構(gòu)建有效的：IT治理結(jié)構(gòu)；決策制定程序；IT原則、架構(gòu)、基 礎(chǔ)設(shè)施、業(yè)務(wù)應(yīng)用需

32、求、投資決策程序；風(fēng)險管理制度；審計 監(jiān)督程序，等。,第二章 IT治理,2、選擇正確的時間進行IT治理設(shè)計 選擇依據(jù)：公司治理的IT需求； 企業(yè)的戰(zhàn)略目標(biāo)； 企業(yè)的業(yè)務(wù)需求及變革需求； IT風(fēng)險管理； 價值的交付 。,3、高層經(jīng)理人員的參與 高層經(jīng)理人員：企業(yè)的高層管理者、CIO、審計主管，等 角色：參與IT戰(zhàn)略的總體制定與決策； 證實IT戰(zhàn)略與企業(yè)戰(zhàn)略一致； 證實IT通過明確的期望和衡量手段交付； 指導(dǎo)IT戰(zhàn)略、平衡支持企業(yè)和使企業(yè)成長的投資； 恰當(dāng)決策信息資源應(yīng)著重使用的地方。,第二章 IT治理,4、對目標(biāo)有所取舍 目標(biāo)選擇：選擇核心流程； 業(yè)務(wù)應(yīng)用需求； 市場的機會； 商業(yè)價值； 效率和

33、服務(wù)的比較；,第二章 IT治理,5、制定例外處理流程 關(guān)鍵要素：能夠?qū)α鞒踢M行清楚地定義，且企業(yè)所有的人都能理解； 流程要能使問題可以迅速提交給高層管理者； 例外流程應(yīng)被采用到企業(yè)架構(gòu)之中。,6、提供相應(yīng)的激勵 措施：有一套激勵制度； 有活力的組織和人員； 有利于調(diào)動利益各方的積極性； 激勵的整體性和持續(xù)性； 建立激勵的可衡量指標(biāo)； 激勵方式的多樣性； 激勵與責(zé)、權(quán)、利相結(jié)合。,第二章 IT治理,7、在組織的多個層面設(shè)計治理 要求：在高層，應(yīng)把握IT治理的戰(zhàn)略和決策； 在中層，應(yīng)注重IT治理的組織、管理和實施； 在低層，應(yīng)注重IT治理的有效執(zhí)行和協(xié)調(diào)。 注意點：做好自上而下的領(lǐng)導(dǎo)關(guān)系； 做好自

34、下而上的反饋關(guān)系； 把握好各層面之間的溝通協(xié)調(diào)； 注意責(zé)、權(quán)、利之間的一致性。,8、加強透明度和教育 主要體現(xiàn)：通過各種方式加強溝通和交流； 加強IT治理意識和技能的培訓(xùn)。 9、運用相同的機制治理多個關(guān)鍵資產(chǎn),第二章 IT治理,三、IT治理的基本程序 1、在業(yè)務(wù)目標(biāo)的驅(qū)動下，制定IT戰(zhàn)略，并保證IT戰(zhàn)略與業(yè)務(wù)戰(zhàn)略目標(biāo) 的匹配； 2、挖掘業(yè)務(wù)需求，完善信息系統(tǒng)建設(shè)，使IT真正為業(yè)務(wù)提升、管理創(chuàng) 新貢獻價值； 3、實施IT項目管理與風(fēng)險管理； 4、進行IT績效評估。 IT治理是一個循序漸進的往復(fù)循環(huán)的過程,第二章 IT治理,第六節(jié) IT治理成熟度模型 如何對IT治理狀況進行評價？涉及：評價方法,目

35、前較為流行IT治理的評價方法有三種： IT成熟度模型、PW方法、CBSO法 IT成熟度模型介紹： IT成熟度模型制定了一個基準(zhǔn)，組織可能根據(jù)上面的指標(biāo)確定自己 的等級，從而了解定位自己企業(yè)的IT治理在業(yè)界所處的位置，確定未來 努力的方向。,第二章 IT治理,平衡風(fēng)險和收益后的IT治理和IT增值流程治理成熟度級別如下： 不存在級（0級）：完全不存在可辨識的信息治理流程。 初始級（1級）： 初始的混亂的。 可重復(fù)級（2級）：重復(fù)的但模糊的。 已定義級（3級）： 已定義流程。 已管理級（4級）： 已管理和可測量的。 優(yōu)化級（5級）： 全面滿足IT治理的要求并持續(xù)改進。,第二章 IT治理,IT治理成熟

36、度模型方法的優(yōu)點與作用 ： 1、是一種進行實用性比較的等級制，能以簡單方式測定差異，有助于確 定有關(guān)信息技術(shù)管理、安全性。 2、是測量管理處理發(fā)展程度的一種方法，有助于企業(yè)將主要精力投入到 關(guān)鍵的管理方面。 3、有助于專業(yè)人員向管理層解釋IT管理存在的缺陷，從而確定組織的發(fā) 展目標(biāo)。 4、將有助于解決以下在IT部門中普遍存在的問題： （1）在競爭激烈的市場環(huán)境中，您的公司或部門在IT應(yīng)用中處于什么 水平？ （2）如果您認為有差距，究竟差在哪里？如何去改進？ （3）如果您覺得運作良好，那么您能說出好在哪里？好到何種程度？ （4）如何對IT管理進行績效評估？,第二章 IT治理,第七節(jié) 審計IT治理

37、架構(gòu) 一、審計IT治理架構(gòu)和實施 如果一個企業(yè)信息系統(tǒng)存在以下具有潛在風(fēng)險的特征：（參見P.65） 1、最終用戶態(tài)度不友好； 2、過多的成本； 3、預(yù)算超支； 4、較高的員工離職率； 5、缺乏經(jīng)驗的員工； 6、經(jīng)常出現(xiàn)硬件/軟件故障； 7、用戶請求被積壓，沒有得到及時響應(yīng)； 8、遲緩的計算機相應(yīng)時間； 9、大量的廢止或暫停的開發(fā)項目； 10、未受支持或未經(jīng)授權(quán)的硬件/軟件采購； 11、經(jīng)常性的硬件/軟件升級； 12、對例外報告沒有采取跟蹤處理措施； 13、缺乏動力； 14、缺乏持續(xù)性計劃； 15、依賴一個到兩個關(guān)鍵員工；16、缺乏充分的培訓(xùn)。 這表明，該企業(yè)存在IT治理問題，需要建立、改善、提

38、高其IT治理能力。 如何指出其存在的IT治理問題，以便提出改進建議？ 需要：IT治理審計,第二章 IT治理,IT治理審計的實施： 1、審核文擋 文檔包括：信息技術(shù)戰(zhàn)略、計劃和預(yù)算； 安全政策文檔； 組織/職能圖； 工作描述； 指導(dǎo)委員會報告； 系統(tǒng)開發(fā)和程序變更流程； 操作程序； 人力資源手冊。 審核要點：完整、合理、合法合規(guī) 審核目的：檢查相關(guān)文擋存在哪些問題和不足？哪些需要改進完善？,第二章 IT治理,2、對被審核文擋進行進一步評估 主要包括：文擋是否如實反映了管理層的思想，并得到了授權(quán)； 文擋是否適用于當(dāng)前狀況，并能得到及時更新。 審核目的：通過證實文擋的真實可靠性、有效性等進一步獲取有關(guān)審 計證據(jù)，以便為對企業(yè)的IT治理狀況進行分析、評價提供 依據(jù)。,3、現(xiàn)場調(diào)查（面談和觀察） 主要包括：通過面談從中了解有關(guān)信息系統(tǒng)的實際情況； 通過觀察對信息系統(tǒng)的真實情況進行證實、判斷 調(diào)查目的：證實文擋與實際的一致性； 發(fā)現(xiàn)實際存在問題； 進一步獲取相關(guān)證據(jù)。,第二章 IT治理,4、得出結(jié)論，提出審計建議 依