1、IT治理的含義,IT治理的定義 IT治理的使命 IT治理的內容 IT治理的全景試圖 實施IT治理所帶來的好處,什么是IT治理 ？,IT治理用于描述企業(yè)或政府是否采用有效的機制（就是為鼓勵IT應用的期望行為而明確決策權歸屬和責任承擔的框架），使得IT的應用能夠完成組織賦予它的使命，同時平衡信息技術與過程的風險、確保實現(xiàn)組織的戰(zhàn)略目標。 Governance = Accountability 治理和管理的區(qū)別就在于：治理是決定由誰來進行決策，管理則是制定和執(zhí)行這些決策。,IT治理的使命,保持IT與業(yè)務目標一致，推動業(yè)務發(fā)展，促使收益最大化，合理利用IT資源，適當管理與IT相關的風險。,IT治理的目

2、標,幫助管理層建立以組織戰(zhàn)略為導向，以外界環(huán)境為依據(jù)，以業(yè)務與IT整合為重心的觀念，正確定位IT部門在整個組織的作用。最終能夠針對不同業(yè)務發(fā)展要求，整合信息資源，制定并執(zhí)行IT戰(zhàn)略，推動組織發(fā)展。,IT治理的主要特點,健全的組織架構(健全的組織架構是正確決策的保障) 清晰的職責邊界(清晰的職責邊界是確保各治理主體獨立運作、有效制衡的基礎) 明確的決策規(guī)則和程序(如果說職責邊界是明確由誰做出決策，決策規(guī)則和程序就是明確怎么做出決策。 ) 有效的激勵和監(jiān)督機制(當激勵與約束機制不能和組織的目標相聯(lián)系時，IT治理是非常低效的) 透明度(治理的流程越透明，治理的信心也就越足),有效的IT治理需要解決三

3、方面的問題,一是解決目的性問題，即IT治理需要做出哪些決策？ 企業(yè)IT決策主要包括五項：IT原則、IT架構、IT基礎設施、IT商業(yè)應用、IT投資 二是解決組織性問題。 三是解決系統(tǒng)性問題，即IT治理中如何制定和監(jiān)控這些決策？ 企業(yè)需要通過一系列的治理機制結構、流程和溝通實現(xiàn)治理計劃（如中國網通集團企業(yè)信息化管理控制體系）,IT治理與IT管理,IT部門在組織中的演變,時間,IT部門的成熟度,技術提供者,服務提供者,戰(zhàn)略合作伙伴,IT 基礎架構管理(ITIM),IT 服務管理(ITSM),IT治理(ITG),研究平臺: 中國IT治理研究中心,實施 方法,咨詢,培訓/ 認證,企業(yè),網絡平臺:,論壇平

4、臺:G2峰會,出版平臺:中國IT治理智庫,中國IT治理領域生態(tài)圖,中國網通、中國移動、東風汽車、中化集團、北京市高級人民法院；據(jù)公開統(tǒng)計報道，中國實施IT治理的企業(yè)不超過20家,培訓企業(yè)：北京信誠致遠、上海品易、上海信息化中心等。 培訓證書：1、CobiT Foundation(180張左右) 2、CGEIT,北京信誠致遠,1、CobiT 2、CobiTITIL27001整合實施 3、部分公司內部使用的方法,培訓與認證-中國IT治理人才培訓體系,實施方法,COBIT 信息及相關技術控制目標 IT治理協(xié)會 () 信息系統(tǒng)審計與控制協(xié)會 () IT

5、IL .uk/index.asp?id=2261 COSO Treadway委員會發(fā)起成立的委員會 ISO2700 http:/www.bsi-,C Control OB OBjectives I for Information T and Related Technology,CobiT名字的由來,Cobit是什么？,Cobit是關于“IT控制”的治理和控制的框架。 Cobit是在控制的需要、技術問題和商業(yè)風險這三者鴻溝之間架起的一座橋梁。 Cobit聚焦在“what needs to be achieved”,而不是“how to

6、 achieve”。 Cobit面向管理層、用戶、信息系統(tǒng)審計師、業(yè)務經理、內控及安全人員等。 Cobit是一個可實施、可裁減的框架。 CobiT更多的關注于控制而非執(zhí)行 ；,以業(yè)務為關注焦點 （business-focused ）,度量驅動 （measurement-driven）,CobiT 特性,基于控制 （controls-based）,流程導向 （process-oriented）,COBIT特性,發(fā)展歷史,2007年1月CobiT 更新到了4.1,從1992年起，世界整體環(huán)境變化巨大 關鍵業(yè)務流程對IT的依賴性更強 管理者對IT成本、價值、風險有更多的關注 董事層對治理的更多關注

7、IT最佳實踐和標準的日益完善 管理者、IT部門和審計師的綜合使用 持續(xù)符合法規(guī),研究、建立、宣傳并不斷提升一個權威的、最新的、國際公認的IT治理控制框架，使之為企業(yè)廣泛接受，并成為業(yè)務經理、IT專業(yè)人員和風險控制人員的行為指南。,使命,COBIT模型,CobiT 通過提供一個框架來支持IT治理，進而確保,IT與業(yè)務保持一致,適當管理IT風險,IT保障業(yè)務并實現(xiàn)收益最大化,IT資源的充分管理,CobiT 如何支持IT治理,基于以業(yè)務為關注焦點的更好協(xié)調,實施 CobiT的益處,為管理者提供了一個更好的理解IT是什么的視角,基于流程導向的清晰的所有者關系及職責,易于被第三方及監(jiān)管機構所接受,基于通

8、用的語言，可以被所有的利益相關方所理解,滿足COSO對于IT控制環(huán)境的要求,業(yè)務流程,信息,IT 資源,信息 體系 基礎設施 人員,效果 效率 機密性 完整性 可用性 符合性 可靠性,信息標準,?,他們匹配嗎?,框架,你需要什么,你能得到什么,Cobit34個高級控制目標,規(guī)劃與組織 PO 1 制定IT戰(zhàn)略規(guī)劃 PO 2 確定信息體系架構 PO 3 確定技術方向 PO 4 確定IT流程、組織及相互關系 PO 5 管理IT投資 PO 6 管理目標與方向的協(xié)調 PO 7 人力資源管理 PO 8 質量管理 PO 9 IT風險評估與風險管理 PO 10 項目管理,獲取與實施 AI 1 確定自動化解決方

9、案 AI 2 應用軟件的獲取和維護 AI 3 技術基礎設施的獲取和維護 AI 4 授權操作和使用 AI 5 獲取IT資源 AI 6 變更管理 AI 7 安裝與解決方案和變更審批,交付與支持 DS 1 定義并管理服務水平 DS 2 管理第三方服務 DS 3 績效管理與容量管理 DS 4 確保服務的持續(xù)性 DS 5 確保系統(tǒng)安全 DS 6 確認與分配成本 DS 7 教育并培訓客戶 DS 8 服務臺與事件管理 DS 9 配置管理 DS 10 問題管理 DS 11 數(shù)據(jù)管理 DS 12 物理環(huán)境管理 DS 13 運營管理,監(jiān)控與評價 M1 IT績效監(jiān)督與評估 M2 內部控制監(jiān)督與評估 M3 確保法規(guī)遵從 M4 提供IT治理,以業(yè)務為關注焦點,以業(yè)務為關注焦點IT資源,是指用于處理信息的自動化用戶系統(tǒng)和手工程序,應用,信 息,是指輸入信息系統(tǒng)并被信息系統(tǒng)處理及輸出的各種類型的數(shù)據(jù)，不管業(yè)務部門是以何種形式使用它。,用于處理應用系統(tǒng)的技術和設施(涵蓋硬件、操作系統(tǒng)、網絡系統(tǒng)和多媒體等,及其支持環(huán)境),基 礎 設 施,包括需要進行規(guī)劃、組織、采購、交付、支持和監(jiān)控信息系統(tǒng)和服務的人員，根據(jù)需要，他們可以是內部的、外包的或簽約的人員,人 員,IT 資源,質量需求: 質量 成本 可交付 受托責任 (COSO報告) 運營的效率和效果 財務報告的可靠性 符合法律、法規(guī) 安全需求 機密性 完