IT治理與管理實(shí)務(wù)

1、第二章IT治理與管理A. IT治理A1.公司治理指所有者、經(jīng)營者和監(jiān)督者之間通過公司權(quán)力機(jī)關(guān)（股東大會(huì)）、經(jīng)營決策與執(zhí)行機(jī)關(guān)（董事會(huì)、經(jīng)理）、監(jiān)督機(jī)關(guān)（監(jiān)事會(huì)）而形成權(quán)責(zé)明確、相互制約、協(xié)調(diào)運(yùn)轉(zhuǎn)和科學(xué)決策的聯(lián)系，并依法律、法規(guī)、規(guī)章和公司章程等規(guī)定予以制度化的統(tǒng)一機(jī)制；公司治理強(qiáng)調(diào)企業(yè)中權(quán)力、角色的合理分配和對(duì)股東的平等對(duì)待；信息披露與透明；董事會(huì)的職責(zé)；為企業(yè)提供合理的戰(zhàn)略指南；董事會(huì)對(duì)管理層進(jìn)行有效的監(jiān)督，董事會(huì)必須向企業(yè)和股東負(fù)責(zé)。公司治理框架中一個(gè)很重要內(nèi)容就是要建立內(nèi)部控制體系管理和報(bào)告業(yè)務(wù)風(fēng)險(xiǎn)。A2.IT治理IT治理是一個(gè)綜合術(shù)語，它包括信息系統(tǒng)、技術(shù)和通訊，業(yè)務(wù)、法律相關(guān)事務(wù)，所

2、有利益相關(guān)方、董事會(huì)、高級(jí)管理層、流程所有人、IT供應(yīng)商、用戶和審計(jì)師。治理有助于確保IT和企業(yè)目標(biāo)保持一致。有效的公司治理注重個(gè)人和團(tuán)隊(duì)在特定領(lǐng)域中最有效的專門技能和經(jīng)驗(yàn)。長期以來，僅作為組織戰(zhàn)略促進(jìn)因素的信息技術(shù)，現(xiàn)在被看作是整體戰(zhàn)略的一部分。CEO、COO、CFO、CIO和CTO在IT與企業(yè)目標(biāo)間能達(dá)成戰(zhàn)略一致是關(guān)鍵成功因素。通過經(jīng)濟(jì)、有效地使用安全、可靠的信息和應(yīng)用技術(shù)， IT治理能有助于實(shí)現(xiàn)這個(gè)關(guān)鍵成功因素。信息技術(shù)對(duì)企業(yè)的成功是如此重要，因此，不能把其職責(zé)放給IT管理人員或IT專家，而必須得到整個(gè)高級(jí)管理層的關(guān)注。IT治理的定義ITGI : IT治理是董事會(huì)和最高管理層的職責(zé)，是企

3、業(yè)治理的重要組成部分。IT治理由領(lǐng)導(dǎo)、組織結(jié)構(gòu)以及相關(guān)流程組成，這些流程能保證組織的IT有效支持及促進(jìn)組織戰(zhàn)略目標(biāo)的實(shí)現(xiàn)。IT治理一般關(guān)注兩方面的問題：IT增加商業(yè)價(jià)值和IT風(fēng)險(xiǎn)得到控制。前者通過使IT戰(zhàn)略與業(yè)務(wù)保持一致來達(dá)到，后者通過向企業(yè)分配責(zé)任來驅(qū)動(dòng)。IT治理的關(guān)鍵因素是IT與業(yè)務(wù)保持一致，以實(shí)現(xiàn)業(yè)務(wù)價(jià)值。IT治理的主要流程有：IT資源管理、績效測評(píng)和合規(guī)管理IT治理回答下述問題在IT戰(zhàn)略決策中哪些利益相關(guān)者有發(fā)言權(quán)？誰決定IT投資及其優(yōu)先級(jí)順序？應(yīng)當(dāng)建立哪些IT委員會(huì)，由什么人組成？其職責(zé)是什么？向誰報(bào)告？CIO的角色和職責(zé)有哪些？如何控制IT使其滿足業(yè)務(wù)需求？如何評(píng)價(jià)IT職能的績效？

4、IT治理的目標(biāo)指導(dǎo)IT工作，確保IT績效滿足IT目標(biāo)、符合企業(yè)目標(biāo)要求，實(shí)現(xiàn)預(yù)期利潤幫助企業(yè)開拓商機(jī)，實(shí)現(xiàn)利益最大化充分利用IT資源適當(dāng)控制IT相關(guān)風(fēng)險(xiǎn)IT治理與公司治理公司治理主要關(guān)注利益相關(guān)者權(quán)益和管理，包括一系列責(zé)任和條例，由最高管理層（董事會(huì)）和執(zhí)行 管理層實(shí)施；公司治理目的是提供戰(zhàn)略方向，保證目標(biāo)能夠?qū)崿F(xiàn)，風(fēng)險(xiǎn)適當(dāng)管理，企業(yè)資源合理使用；IT治理是公司治理的重要組成部分，是董事會(huì)或最高管理層的責(zé)任；IT治理由領(lǐng)導(dǎo)、組織結(jié)構(gòu)以及相關(guān)流程組成，這些流程能保證組織的IT能有效支持及促進(jìn)組織戰(zhàn)略目標(biāo)的實(shí)現(xiàn)，同時(shí)控制風(fēng)險(xiǎn)、降低成本、提高績效。公司治理可以驅(qū)動(dòng)和調(diào)整IT治理，同時(shí)，IT能夠?yàn)楣?/p>

5、治理提供關(guān)鍵的輸入，形成戰(zhàn)略計(jì)劃的一個(gè)重要組成部分公司治理和IT治理都是“他律”機(jī)制，是如何“管好管理者”的機(jī)制，其目標(biāo)也是一致的：達(dá)到業(yè)務(wù) 持續(xù)運(yùn)營，并增加組織的長期獲利機(jī)會(huì)。IT治理與IT管理IT管理是公司的信息及信息系統(tǒng)的運(yùn)營，確定IT目標(biāo)以及實(shí)現(xiàn)此目標(biāo)所采取的行動(dòng)而IT治理是指最高管理層（董事會(huì)）利用它來監(jiān)督管理層在IT戰(zhàn)略上的過程、結(jié)構(gòu)和聯(lián)系，以確保這種運(yùn)營處于正確的軌道之上。簡言之，是“對(duì)管理的管理”IT管理就是在既定的IT治理模式下，管理層為實(shí)現(xiàn)公司的目標(biāo)而采取的行動(dòng)缺乏良好IT治理模式的公司，即使有“很好”的IT管理體系（而這實(shí)際上是不可能的），就像一座地基不牢固的大廈同樣，沒

6、有公司IT管理體系的暢通，單純的治理模式也只能是一個(gè)美好的藍(lán)圖，而缺乏實(shí)際的內(nèi)容IT治理的層次在企業(yè)戰(zhàn)略層上?IT治理要與公司治理結(jié)構(gòu)、企業(yè)戰(zhàn)略規(guī)劃進(jìn)行集成，使IT治理作為公司治理的一部分；?在治理結(jié)構(gòu)上體現(xiàn)IT的位置與作用，使IT議題要進(jìn)入董事會(huì)（或者是監(jiān)事會(huì)、最高管理當(dāng)局）下 的戰(zhàn)略委員會(huì)、審計(jì)委員會(huì)、安全委員會(huì)；?董事會(huì)要確保IT的執(zhí)行與監(jiān)管分開，監(jiān)管機(jī)制要獨(dú)立并持續(xù)運(yùn)行、溝通與反饋機(jī)制要持續(xù)有效；?IT治理要求向董事會(huì)和最高管理層分配職責(zé)，并要求其完成一系列活動(dòng)。在企業(yè)戰(zhàn)術(shù)面上?雖然IT治理集中在董事會(huì)最高管理層，但由于 戰(zhàn)術(shù)層面上提供必要的控制框架來保證治理職責(zé)的落實(shí)；?為了保證IT

7、與業(yè)務(wù)目標(biāo)一致，充分利用有限的際普遍接受的企業(yè)內(nèi)部控制標(biāo)準(zhǔn)，在戰(zhàn)術(shù)層面建立有效的-COBIT、ITIL、ISO17799-需求識(shí)別、數(shù)據(jù)標(biāo)準(zhǔn)化、項(xiàng)目管理IT治理的復(fù)雜性和專業(yè)性，治理層必須依賴企業(yè)在IT資源，提高績效，降低風(fēng)險(xiǎn)與控制成本，按照國 IT控制框架并監(jiān)督實(shí)施。IT治理域一些著名的機(jī)構(gòu)（Gartner、CSC、AICPA/CICA、CIO Magazine ）通過調(diào)查認(rèn)為最受 IT管理層關(guān)注的 問題，已經(jīng)從技術(shù)領(lǐng)域逐漸轉(zhuǎn)向管理相關(guān)領(lǐng)域；這些問題可以歸結(jié)為五個(gè)IT治理域：戰(zhàn)略一致、價(jià)值交付、風(fēng)險(xiǎn)管理、資源管理和績效考評(píng)，其中有兩個(gè)核心，一是IT要向業(yè)務(wù)交付價(jià)值，二是降低風(fēng)險(xiǎn)。前者由 IT

8、與業(yè)務(wù)的戰(zhàn)略一致驅(qū)動(dòng)，后者由企 業(yè)內(nèi)部建立的責(zé)任分工驅(qū)動(dòng)；這兩者都需要獲得足夠的資源并進(jìn)行績效考評(píng)，以保證獲得預(yù)期的結(jié)果；這五個(gè)域都受利益相關(guān)者價(jià)值驅(qū)動(dòng)，其中價(jià)值交付、降低風(fēng)險(xiǎn)是結(jié)果，戰(zhàn)略一致績效考評(píng)是驅(qū)動(dòng) 力，IT資源管理為治理提供支持。五個(gè)IT治理域:?戰(zhàn)略一致-強(qiáng)調(diào)IT與業(yè)務(wù)保持一致，提供協(xié)調(diào)的解決方案。?價(jià)值交付-確保IT實(shí)現(xiàn)了預(yù)期戰(zhàn)略收益，集中關(guān)注成本的優(yōu)化，提供IT的固有價(jià)值。?風(fēng)險(xiǎn)管理-將風(fēng)險(xiǎn)管理職責(zé)嵌入組織中，包括IT資產(chǎn)的保護(hù)、災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性。?資源管理-對(duì)IT資源（應(yīng)用系統(tǒng)、信息、基礎(chǔ)設(shè)施和人員）的優(yōu)化投資并適當(dāng)管理，關(guān)鍵問題在于 知識(shí)和基礎(chǔ)設(shè)施的優(yōu)化。?績效考評(píng)-追

9、蹤并監(jiān)控戰(zhàn)略實(shí)施、資源使用、流程績效、服務(wù)交付以及諸如平衡記分卡的使用等， 監(jiān)督IT服務(wù)質(zhì)量。沒有績效測量就無法對(duì)以上四個(gè)域進(jìn)行有效管理。IT治理的關(guān)鍵因素IT治理的關(guān)鍵因素就是要使IT與業(yè)務(wù)融合，以實(shí)現(xiàn)組織的業(yè)務(wù)價(jià)值。通過IT治理框架和最佳實(shí)踐的應(yīng)用，在組織內(nèi)促成目標(biāo)實(shí)現(xiàn)。IT治理框架和最佳實(shí)踐是由一系列組織結(jié)構(gòu)、流程及相關(guān)機(jī)制組成。關(guān)鍵的IT治理因素包括：IT戰(zhàn)略委員會(huì)、風(fēng)險(xiǎn)管理和標(biāo)準(zhǔn)IT平衡記分卡。審計(jì)師在IT治理中的職責(zé)審計(jì)是組織成功實(shí)施IT治理的一個(gè)重要角色，對(duì)于向高級(jí)管理層提供建議，幫助改善IT治理質(zhì)量和效果而言，審計(jì)處在最佳的位置；通過引入審計(jì)師獨(dú)立的、中立的觀點(diǎn)，可以對(duì)IT治理

10、績進(jìn)行持續(xù)有效的監(jiān)督、分析、評(píng)估，以指導(dǎo)與改進(jìn)與IT治理相關(guān)的IT過程；IS審計(jì)師的要對(duì)IT治理的各個(gè)方面進(jìn)行評(píng)估?IS職能與組織使命、愿景、價(jià)值、目標(biāo)和戰(zhàn)略的一致性?法律、環(huán)境、信息質(zhì)量、委托、安全和隱私方面的要求?組織的控制環(huán)境?IS環(huán)境的固有風(fēng)險(xiǎn)A3.IT戰(zhàn)略委員會(huì)是董事會(huì)實(shí)施其IT治理目標(biāo)的重要機(jī)制，一般隸屬于董事會(huì)，由董事會(huì)成員及非董事會(huì)成員組成，它 主要職責(zé)是協(xié)助董事會(huì)治理和監(jiān)督企業(yè)的IT相關(guān)事務(wù)；IT戰(zhàn)略委員會(huì)應(yīng)當(dāng)保證在組織中以結(jié)構(gòu)化的方式來實(shí)施IT治理，而且董事會(huì)可以獲得足夠的信息來實(shí)現(xiàn)IT治理的最終目標(biāo)。組織在執(zhí)行經(jīng)理層設(shè)置IT指導(dǎo)委員會(huì)來處理關(guān)系到整個(gè)組織的IT事務(wù)，比如：追蹤 IT投資、設(shè)定項(xiàng)目優(yōu)先級(jí)、分配IT資源等。指導(dǎo)委員會(huì)職責(zé)分析表是 CISA應(yīng)當(dāng)掌握的知識(shí)A4.IT平衡記分卡（BSC）績效測評(píng)是企業(yè)管理中的重要因素，沒有績效測評(píng)就無法對(duì)業(yè)務(wù)進(jìn)行有效管理，但隨著企業(yè)創(chuàng)造價(jià)值 的方式由有形資產(chǎn)逐漸轉(zhuǎn)向無形資產(chǎn)，對(duì)無形資產(chǎn)的衡量，不能采用傳統(tǒng)的針對(duì)有形資產(chǎn)的財(cái)務(wù)數(shù)據(jù)方 式；平衡記分卡是目前企業(yè)管理中較流行的績效測量工具，它可以把企業(yè)戰(zhàn)略轉(zhuǎn)化為實(shí)際的行為，從而實(shí) 現(xiàn)企業(yè)目標(biāo)；這種績效測評(píng)系統(tǒng)超出了傳統(tǒng)的財(cái)務(wù)記帳方式