IT治理(陳偉)

1、-1-IT IT 治理治理第三屆北大CIO班 -2-l企業(yè)管理模式企業(yè)管理模式一、從企業(yè)風險管理到一、從企業(yè)風險管理到IT風險控制風險控制-3-l企業(yè)管理常見風險企業(yè)管理常見風險戰(zhàn)略定位不明組織架構紊亂業(yè)務流程松散激勵機制不足信息技術缺乏資金管理低效對企業(yè)實施風險管理對企業(yè)實施風險管理目標：企業(yè)風險管理的目標目標：企業(yè)風險管理的目標是控制企業(yè)的風險，保護企業(yè)的是控制企業(yè)的風險，保護企業(yè)的核心競爭力，風險管理是未來企核心競爭力，風險管理是未來企業(yè)發(fā)展的主旋律。業(yè)發(fā)展的主旋律。-4-l企業(yè)風險管理的背景企業(yè)風險管理的背景2002年美國國會發(fā)布了SOX薩班斯奧克斯利法案要求所有上市公司都必須建立有效

2、的內部控制框架。 2004年9月30日中國銀監(jiān)會發(fā)布了商業(yè)銀行內部控制評價辦法，2006年銀監(jiān)會發(fā)布電子銀行業(yè)務管理辦法 、電子銀行安全評估指引 、銀行業(yè)金融機構信息系統(tǒng)風險管理指引和銀行業(yè)金融機構內部審計指引。2006年6月國資委發(fā)布中央企業(yè)全面風險管理；2006年6月5日，上海證券交易所發(fā)布了上海證券交易所上市公司內部控制指引；2006年9月28日 深交所發(fā)布深圳證券交易所上市公司內部控制指引 財政部近日發(fā)起成立企業(yè)內部控制標準委員會，其目的是為推動企業(yè)完善治理結構和內部約束機制，中國式的SOX法即將出臺。-5-l企業(yè)風險管理框架（企業(yè)風險管理框架（ COSO ）目標：從各種角度來考慮因素

3、：從相聯(lián)的各種過程來考慮地點：在組織的各個層次考慮-6-lCOSO風險管理框架的啟發(fā)風險管理框架的啟發(fā)要站在企業(yè)管理者的角度來看待風險，企業(yè)風險是由包括IT風險在內的其他風險組合而成。強調“人”的重要性，組織中的每一個人對風險管理都負有責任；強調“軟控制”的作用?！败浛刂啤敝饕改切儆诰駥用娴氖挛铮绺呒壒芾黼A層的管理風格、管理哲學、企業(yè)文化、內部控制意識等，“軟控制”影響人的行為。強調風險管理是一個“動態(tài)過程”，風險管理是一個發(fā)現(xiàn)問題、解決問題、發(fā)現(xiàn)新問題、解決新問題的循環(huán)往復的PDCA過程。明確指出內部控制只能做到“合理”保證，目標達成的可能性受許多先天條件不足及各種“不確定性”的影響

4、。 沒有不花錢的內部控制，也不存在完美無缺的內部控制。 -7-l企業(yè)風險管理組成結構企業(yè)風險管理組成結構l風險管理策略風險管理策略組織對風險的態(tài)度，對風險管理的承諾l風險控制過程風險控制過程組織具體管理風險步驟、做法及工具l風險管理基礎風險管理基礎組織內支持風險管理的人員、組織、技術等，來協(xié)助驅動風險管理風險模型舉例-8-lIT風險控制是企業(yè)風險管理中的重要組成部分風險控制是企業(yè)風險管理中的重要組成部分公司層控制公司層控制應用層控制應用層控制基礎層控制基礎層控制IT控制層控制層COSO控制框架控制框架ISMS、ITSM、BCP、CMMI、-9-lIT面臨哪些風險與挑戰(zhàn)？面臨哪些風險與挑戰(zhàn)？在信

5、息與信息系統(tǒng)上的投資規(guī)模與成本都在不斷擴大，高投入帶來了高風險；企業(yè)對IT系統(tǒng)的依賴性越來越強的同時，面臨不斷增多的系統(tǒng)薄弱性和各種各樣的威脅，IT系統(tǒng)的停機將造成業(yè)務受到巨大損失、聲譽下降、競爭優(yōu)勢喪失；IT 應用與業(yè)務需求之間邏輯錯位，IT設施最后成了擺設，IT建設缺乏績效評估機制；IT項目的高失敗率，使得企業(yè)無法實現(xiàn)其預期的創(chuàng)新與利益，不能實現(xiàn)對IT的投資回報，或者不通對投資回報進行測量； 不斷發(fā)展的科技潛力顯著地改變組織形式與商業(yè)模型，在創(chuàng)造出新的機遇并降低了成本的同時，也使得商業(yè)競爭不斷加劇;ERP失敗案例交易失誤-10-l信息系統(tǒng)風險的類型信息系統(tǒng)風險的類型IT治理風險治理風險信息

6、化建設仍然屬于“人治時代”，信息化的隨意性較大，企業(yè)還沒有就信息化形成相關的制度。IT可用性風險可用性風險業(yè)務對IT不斷增強的依賴性和脆弱的基礎設施及管理流程，使得IT系統(tǒng)的停機對組織的業(yè)務造成巨大損失、聲譽下降、競爭優(yōu)勢喪失。信息安全風險信息安全風險技術的發(fā)展及互聯(lián)網(wǎng)的便利性，使得信息安全形勢日益嚴峻，黑客攻擊頻繁、病毒泛濫，造成許多商業(yè)網(wǎng)站、政府網(wǎng)站被入侵，虛擬資金被盜，敏感機密信息被泄露。IT績效風險績效風險如果規(guī)劃不當、控制不嚴，IT系統(tǒng)不能帶來預期的業(yè)務價值，巨額的信息化投入很可能造成新一輪的“投資黑洞”。合規(guī)性風險合規(guī)性風險法律、法規(guī)對IT的監(jiān)管要求越來越嚴格，不能符合合規(guī)性要求將

7、使企業(yè)面臨較大的風險。-11-l控制信息化的風險需要制度與管理創(chuàng)新控制信息化的風險需要制度與管理創(chuàng)新決定信息系統(tǒng)是否有效運轉的決定因素不是信息技術，而是制度、組織結構、規(guī)則與標準，最終是人。信息化需要合理有效的制度安排，建立良好的管理控制體系是企業(yè)信息系統(tǒng)建設成功的重要保證。應該逐步完善企業(yè)的IT治理機制，實現(xiàn)IT與戰(zhàn)略、管理、業(yè)務運營、信息安全的深度融合。這樣一方面使信息系統(tǒng)為企業(yè)創(chuàng)造價值并保護持續(xù)性，另一方面控制信息化的風險與降低成本。構筑信息時代新的“游戲規(guī)則”，“規(guī)則”是“游戲”是重要組成部分。信息化最大的風險：控制制度-治理機制的缺失-12-l建立建立PDCA的風險控制體系的風險控制

8、體系設定風險管理流程設定風險管理流程q目的及目標q共同語言q結構決策資料決策資料訂立策略訂立策略q 避 免q 利 用q 接 受q轉移q減低評估風險評估風險q驗明q來源q量度不斷的改善不斷的改善管理能力管理能力設計或引進設計或引進管理能力管理能力監(jiān)察風險監(jiān)察風險管理表現(xiàn)管理表現(xiàn)用制度體系來建立風險控制框架-13-l IT IT風險的控制框架風險的控制框架戰(zhàn)略層戰(zhàn)略層IT治理治理ISMS戰(zhàn)術層戰(zhàn)術層IT治理治理-14-l你的組織是如何治理你的組織是如何治理IT的？的？各種回答各種回答-“什么是IT治理?以前沒有聽說過。它有具體的概念和定義嗎?”“是不是公司治理?它與公司治理有區(qū)別嗎?”-“IT工作

9、一直是公司戰(zhàn)略中的重點，具體的工作我不太清楚,分管副總知道?！?“我們公司老板舍得花錢，老板說了：只要系統(tǒng)不出事，要人給人，要錢給錢！”“公司非常重視IT,老板親自抓!技術人員地位很高,常常參與公司的高層決策?！?-“我們每年年處都制訂很好的IT計劃，按計劃執(zhí)行就行，年終再檢查。”-“技術開發(fā)，基本上都依靠外包。能搞掂就繼續(xù)合同，出問題就換一家” -“公司很少討論IT治理，系統(tǒng)只要不出事就好，出事了技術主管就麻煩大了！”二、戰(zhàn)略層的二、戰(zhàn)略層的IT治理治理反映出的問題反映出的問題（1）IT資源在公司的戰(zhàn)略資產中地位受到一定的重視，但是具體情況不清楚；（2）缺乏IT治理明確的概念描述和參數(shù)指標；

10、（3）IT治理需要的明確責任與職能不清晰。 -15-lIT治理的重要作用治理的重要作用沒有良好的IT治理結構和持之以恒的評估反饋機制，IT資源無法成為公司的有效戰(zhàn)略資產，甚至成為巨大的資源損耗。在采用相同戰(zhàn)略目標的情況下，具有良好IT治理的企業(yè)，其利潤要比那些治理低下的企業(yè)高出20%。而對世界范圍內250家企業(yè)的調查表明，只有38%的高級主管能夠精確描述他們的IT治理。引自彼得.維爾和珍妮.羅斯的IT治理研究-16-l什么什么IT治理？治理？德勤定義如下: IT 治理是一個含義廣泛的術語，包括信息系統(tǒng)、技術、通訊、商業(yè)、所有利益相關者、合法性和其他問題。其主要任務是：保持IT 與業(yè)務目標一致，

11、推動業(yè)務發(fā)展，促使收益最大化，合理利用IT 資源，IT 相關風險的適當管理。ISACA定義：IT 治理是一個由關系和過程所構成的體制，用于指導和控制企業(yè)，通過平衡信息技術與過程的風險、增加價值來確保實現(xiàn)企業(yè)的目標。-17-lIT治理可以分為五個域治理可以分為五個域二個核心：一是IT要向業(yè)務提交價值，二是降低風險。前者由IT與業(yè)務的戰(zhàn)略一致性驅動，后者由企業(yè)內部建立的責任驅動；這兩者都需要獲得足夠的資源并進行績效測量，以保證獲得預期結果。 -18-lIT治理風險在戰(zhàn)略層面和戰(zhàn)術層面的表現(xiàn)治理風險在戰(zhàn)略層面和戰(zhàn)術層面的表現(xiàn)戰(zhàn)略層面 IT原則、架構、基礎設施、應用需求及IT投資的決策權歸屬及責任擔當

12、框架的建立。戰(zhàn)術層面利用國際認可的最佳實施規(guī)范建立IT控制框架。lIT治理成熟度治理成熟度-19-lIT治理的戰(zhàn)略層面治理的戰(zhàn)略層面在企業(yè)戰(zhàn)略層面上，要綜合公司治理結構、企業(yè)戰(zhàn)略規(guī)劃，使IT治理作為公司治理的一部分，在治理結構上體現(xiàn)IT的位置與作用。建立有效確定IT決策權歸屬和責任分配的框架，包括有效的治理制度安排與治理機制的設計。企業(yè)戰(zhàn)略和組織企業(yè)戰(zhàn)略和組織IT組織和期望行為關系治理安排關系治理安排實物治理安排實物治理安排人力資源治理安排人力資源治理安排知識產權治理安排知識產權治理安排財務治理安排財務治理安排IT治理安排治理安排IT治理機制IT決策業(yè)務績效目標業(yè)務績效目標IT度量指標和責任協(xié)

13、調什么？如何協(xié)調？IT治理設計框架治理設計框架-20-戰(zhàn)略層面的IT治理要解決的問題： 為了保證有效地管理與使用IT，應當做出怎樣的決策； 誰來做出這些決策？ 如何做出決策及對決策進行監(jiān)控？-21-（一）五種關鍵的（一）五種關鍵的IT決策決策IT原則的決策原則的決策高層關于企業(yè)如何使用IT的陳述IT架構決策架構決策 組織從一系列政策、關系以及技術選擇中捕獲的數(shù)據(jù)、應用和基礎設施的邏輯，以達到預期的商業(yè)、技術的標準化和一體化IT基礎設施決策基礎設施決策集中協(xié)調、共享IT服務可以給企業(yè)的IT能力提供基礎IT投資和優(yōu)先順序決策投資和優(yōu)先順序決策 關于應該在IT的哪些方面投資以及投資多少的決策。包括項

14、目的審批和論證技術業(yè)務應用需求決策業(yè)務應用需求決策 為購買或內部開發(fā)IT應用確定業(yè)務需求-22-lIT原則原則對于IT在該企業(yè)如何運用的一系列最高陳述。IT原則一旦清晰地表述出來，就成了企業(yè)管理要素中的一部分，可以被討論、修改和引用。IT原則至少要闡述三個對IT的預期： 企業(yè)期望的運行模式是什么？ IT如何支持期望的運行模式？ 組織中如何資助IT？-23-lIT架構架構指導IT投資和設計決策的IT框架，是建立企業(yè)信息系統(tǒng)的綜合藍圖，是對企業(yè)不同的信息視圖進行架構描述的綜合。-24-lIT基礎設施基礎設施IT基礎設施是所有業(yè)務規(guī)劃的有效IT能力（技術和人力）的基礎，是共享、可靠的服務，可用于多個

15、應用。IT基礎設施變化頻繁的業(yè)務應用系統(tǒng)共享的、標準的應用，變化較少，例如：會計系統(tǒng)、HRM、ERP等長時間保持穩(wěn)定的服務，例如共享的客戶數(shù)據(jù)加管理、PC/LAN知識、技能、政策、標準和經驗約束組件等人務基礎組織計算機、路由器、操作系統(tǒng)、數(shù)據(jù)庫軟件、信用卡機等日常設備-25-IT基礎設施的10個能力群-26-l業(yè)務應用需求業(yè)務應用需求業(yè)務需求是促進IT發(fā)展的源動力，準確、及時地識別組織的業(yè)務需求，并使之成為信息化建設與調整的依據(jù)，這是降低IT風險的可靠保證。需求識別的困難性-27-戰(zhàn)略規(guī)劃計劃預算項目投資績效管理企業(yè)運營：生產、管理、控制對戰(zhàn)術層的支持對戰(zhàn)略層的支持l如何增強企業(yè)核心競爭力？l

16、如何尋找新的利潤增長點？l如何促進企業(yè)成長為知識型、學習型的組織？l如何建立有效的企業(yè)風險控制機制？信息技術進一步為業(yè)務創(chuàng)造新的價值不同層次的業(yè)務需求招商銀行的IT扛桿作用-28-lIT投資和優(yōu)先順序決策投資和優(yōu)先順序決策IT投資決策要解決的問題 IT要花多少錢？ 把錢花在什么上面？ 如何協(xié)調不同投資者的需求？IT投資決策的依據(jù) 考慮日常運維的支撐需要和企業(yè)的發(fā)展戰(zhàn)略的推動需要 投資合理性論證和計劃 為投資尋求支持 企業(yè)范圍內的IT體系架構 回顧每年的實際開銷 對預算所做修正案的審查-29-IT投資預算和項目優(yōu)先級排列的一般過程形成IT預算報告-30-（二）決策權分配的（二）決策權分配的IT治

17、理原型治理原型l決策的制定者：決策的制定者：按照政治治理模式選擇較接近的IT治理制度安排；成立IT 治理委員會，定期召開會議，就企業(yè)戰(zhàn)略與IT 戰(zhàn)略的互動、IT原則、IT架構、IT投資等等議題進行討論并做出決策。模型模型誰擁有決策權或輸入權？誰擁有決策權或輸入權？業(yè)務君主制一群業(yè)務主管或者單個主管（CXOs）。包括高級業(yè)務主管委員會（可能包括CIO）。不包括獨立設備的IT主管。IT君主制一個或一群IT主管。封建制業(yè)務單位領導，關鍵流程負責人或其代表。聯(lián)邦制核心級主管和業(yè)務團隊（例如，業(yè)務單位或流程）；可能也包括作為額外參與者的IT主管。相當于中央政府和州政府的協(xié)同工作方式。IT雙寡頭制IT主管

18、和其他團隊（如CxO或業(yè)務單位或流程負責人）。無政府制每一個單獨的使用者。-31-32-IT雙寡頭制 是一種雙方參與的治理安排。其決策特征為：由IT主管人員和企業(yè)內的其他團體之間達成的一種雙邊協(xié)議。 用更加簡單的管理結構實現(xiàn)很多聯(lián)邦制模式下所能達到的目標。 在技術含量較低的IT決策領域（IT原則、業(yè)務應用需求和IT投資）很多組織更喜歡使用IT雙寡頭模式進行決策。-33-通用的治理模式 MIT Sloan School 2003年對23個國家的256家企業(yè)進行研究后，根據(jù)統(tǒng)計分析得出一個通用的IT治理模式。決策決策原型原型IT原則原則IT架構架構IT基礎設施基礎設施戰(zhàn)略戰(zhàn)略業(yè)務應用業(yè)務應用需求需

19、求IT投資投資輸入決策輸入決策輸入決策輸入決策輸入決策業(yè)務君主制業(yè)務君主制0270607112130IT君主制君主制118207310590809封建制封建制03001211803聯(lián)邦制聯(lián)邦制831446459681309327IT雙寡頭制雙寡頭制1536341530231727630無政府制無政府制0001010301無數(shù)據(jù)或無數(shù)據(jù)或不知道不知道1201020200單位：百分比，每列相加為100%-34-l什么是什么是IT治理機制治理機制企業(yè)通過一系列的結構、流程和溝通來實施IT治理計劃，設計周詳、容易理解和清晰的機制，促進了期望IT行為的產生。常見的三類IT治理機制 決策結構負責制定IT決

20、策的組織單元和角色，比如委員會、 執(zhí)行團隊和業(yè)務與IT關系經理。 工作流程用于保證日常行為和IT政策相一致，并提供返回到決策的輸入信息的正式流程。包括IT投資建議和評估流程、架構例外流程、服務水平協(xié)議、費用分攤和指標。 溝通方法傳播IT治理原則、政策和IT決策制定流程結果的公告、建議、渠道和培訓努力等。（三）實施（三）實施IT治理的機制治理的機制-35-l決策結構決策結構業(yè)務君主制的決策結構 通常以執(zhí)行委員會的形式出現(xiàn)，一般有： CEO與一個小型高層執(zhí)行者團隊合作，保證IT與公司目標一致。 高層管理團隊中的一個小組專門負責IT問題。 把CIO作為執(zhí)行團隊的一員，可以強化業(yè)務君主制理解IT在業(yè)務

21、戰(zhàn)略上所起作用的能力，也強化執(zhí)行團隊的IT治理能力。-36-聯(lián)邦制的決策結構 如果一個高級執(zhí)行團隊從各個業(yè)務吸收人員，則他們采用的是聯(lián)邦制的決策結構。 聯(lián)邦制可以平衡企業(yè)和業(yè)務部門的優(yōu)先權，可以為IT治理決策提供有價值的輸入。 大多數(shù)聯(lián)邦制的IT組織設計的核心就是對數(shù)據(jù)和IT基礎設施共享的要求。-37-IT君主制的決策結構 IT領導團隊 可以由IT職能領導（運營、架構、應用等）和業(yè)務部門的CIO組成，通常負責制定基礎設施和架構的決策。 要解決業(yè)務部門由于規(guī)模不同而帶來能力不同，所造成需求不同的問題，IT領導團隊的選擇權可能也不一樣。 超過85%的企業(yè)擁有正式的IT領導團隊。擁有IT領導團隊的企

22、業(yè)具有更高的治理績效。 架構委員會 由技術專家組成，負責制訂標準，在某些情況下可批準例外項目。在大多數(shù)情況下，架構委員會的角色是對IT領導團隊提供架構建議，但有時也可成為治理決策主體。 架構委員會與業(yè)務部門經營者緊密協(xié)作時，它不僅能有效地引進技術標準，還能預測對于有價值的新技術的需求。-38-雙寡頭制的決策結構 決策團隊如IT理事會同時包含IT人員和業(yè)務人員，把兩者融合起來，能夠在重要決策中把業(yè)務戰(zhàn)略和IT聯(lián)合起來。 70%的企業(yè)擁有包含業(yè)務成員和IT成員的IT理事會，85%的企業(yè)擁有包含IT成員的流程團隊，85%的企業(yè)擁有IT和業(yè)務關系經理。 雙寡頭制的核心是找出既代表業(yè)務，又代表IT部門的

23、高級領導組合，使他們能夠在認識到每個業(yè)務部門需求的同時，支持整個企業(yè)IT項目實施。-39-l治理工作流程治理工作流程保證對IT進行有效管理和使IT應用得以推廣的IT管理技術。治理工作流程應當能使委員會的每個人都向治理決策提供輸入，又能將他們的IT決策結果發(fā)布出去。治理工作流程包括以下6個流程： IT投資批準流程 架構例外流程 服務水平協(xié)議 費用分攤機制 項目追蹤 業(yè)務價值的正式追蹤-40-l溝通方法溝通方法闡明有關IT治理決策和流程以及整個企業(yè)范圍內的相關期望行為。管理層越是對現(xiàn)有的IT治理機制、工作方式、預期的效果進行正式地溝通，他們的治理就越有效。溝通方式有以下5種： 高級管理層的公告 正

24、式的委員會 CIO或IT治理辦公室 與不守常規(guī)者的共事 基于網(wǎng)絡的門戶-41-l影響力高且具有挑戰(zhàn)性的機制影響力高且具有挑戰(zhàn)性的機制-42-l建立有效建立有效IT治理機制的原則治理機制的原則從三種類型中選擇適用的治理機制；限制決策制定結構需要決策結構中各類人員的交叉在企業(yè)的多個層面上設置相應的機制明確責任-43-l對對IT治理績效的評估治理績效的評估組織IT治理安排鼓勵期望行為的程度和組織最終達到績效目標的程度。評估治理績效時要評估五個因素，利用下表進行對照比較。 （四）對（四）對IT治理的評估治理的評估-44-l一流治理績效企業(yè)的七個特征一流治理績效企業(yè)的七個特征更多領導層的管理者們可以描述

25、IT治理更多地利用五種溝通機制高層管理者更直接地參與IT治理IT投資具有更加清晰的業(yè)務目標更多差異化的業(yè)務戰(zhàn)略較少的非授權例外和較多的得到正式批準的例外治理變更的次數(shù)逐年減少-45-l什么樣的治理安排最有效什么樣的治理安排最有效不同治理安排下，“最好”和“最差”的治理績效-46-誰做出更好的決策？-47-最成功的三種IT決策模式-48-l案例研究案例研究Delta航空公司的IT決策國內證券公司的IT治理模式道富公司的IT治理設計-49-lIT治理的實施框架治理的實施框架為了實施有效的IT治理，除了在戰(zhàn)略層建立決策權歸屬和職責擔當?shù)目蚣芡?，還要對企業(yè)的戰(zhàn)術運行層制定一套適用的IT控制框架，以確保

26、IT支持業(yè)務目標，確保資源得到了可靠的使用、風險受到了合理的管理。三、戰(zhàn)術層的三、戰(zhàn)術層的IT治理治理-50-lCOBIT是什么？是什么？ISACA制定的COBIT(Control Objectives for Information and related Technology)是一個在國際上公認的、先進的和權威的安全與信息技術管理和控制標準，它在商業(yè)風險、控制需要和技術問題之間架起了一座橋梁，以滿足管理的多方面需要。（一）（一）IT治理工具治理工具COBIT-51-lCOBIT基本的準則基本的準則國際上通用的、得到普遍認可的IT控制最佳實務標準，是實施IT治理的重要基礎；適用企業(yè)建立全局信

27、息系統(tǒng)時參照使用，與具體的技術無關；從業(yè)務對信息的需求出發(fā)，面向企業(yè)管理層和業(yè)務過程的所有者；-52-lCOBIT的背景的背景第一版由信息系統(tǒng)審計與控制基金會（ISACF）于1996年發(fā)布。第二版于1998年出版，修訂了高層控制目標與詳細控制目標，增加了實施工具集（Implementation Tool Set）信息系統(tǒng)審計與控制基金會（ISACA）及其相關的基金會在1998年創(chuàng)立 IT治理研究院(ITGI)，由ITGI制定并發(fā)布了COBIT第三版，加入了管理指南，以及擴展和加強了對IT治理的關注；COBIT基于ISACF的建立的IT控制目標，參照了其他控制框架、行業(yè)標準； ITGI于2005

28、年底發(fā)布了COBIT第四版，這一版對IT某些過程進行了調整，強調了IT控制與IT治理五個領域的對應關系-53-lCOBIT的目標使用者的目標使用者管理層-幫助他們在不可預知的IT環(huán)境中平衡風險和控制之間的矛盾(采用控制措施需要投入資金)。用戶-對內部或第三方提供的IT服務，獲得在安全與控制方面的保證。審計師-證實他們的觀點，在內部控制問題上為管理層提出建議。-54-lCOBIT能給組織帶來的利益能給組織帶來的利益有助于大幅提高組織對IT治理的接受程度，減少實施IT治理所需的時間；對IT審計方法與審計方案標準化，為正式的IT審計與檢查提供指南，為識別所有的主要風險區(qū)域提供可靠的參考；IT運行管理

29、人員通過COBIT可以了解審計師的關注點，有助于利用審計結果作為實施改善行動的機會；是實現(xiàn)IT治理目標的驅動力，可以幫助組織完善IT實務和IT過程；為組織提供了一個經濟的、可持續(xù)完善的控制框架，提供一個有價值的參照基準，使得管理層對控制的決策可以基于一個可信的來源；有助于在業(yè)務與IT之間搭起溝通的橋梁，完善業(yè)務人員與IT管理人員的關系-55-lCOBIT產品簇產品簇COBIT框架控制目標控制實務審計指南實施指南管理指南IT治理總論PracticesResponsibilitiesExecutives & BoardsExecutives & BoardsPracticesRes

30、ponsibilitiesExecutives & BoardsExecutives & BoardsPracticesResponsibilitiesExecutives & BoardsExecutives & Boards治理實務治理實務職責職責董事會與執(zhí)行管理層董事會與執(zhí)行管理層Business and Technology ManagementBusiness and Technology Managementw wPerformance measuresPerformance measuresw wCritical success factorsCr

31、itical success factorsw wMaturity modelsMaturity modelsBusiness and Technology ManagementBusiness and Technology Managementw wPerformance measuresPerformance measuresw wCritical success factorsCritical success factorsw wMaturity modelsMaturity modelsBusiness and Technology ManagementBusiness and Tec

32、hnology Managementw wPerformance measuresPerformance measuresw wCritical success factorsCritical success factorsw wMaturity modelsMaturity models業(yè)務與技術管理層業(yè)務與技術管理層w w績效測量績效測量w w關鍵成功因素關鍵成功因素w w成熟度模型成熟度模型Audit, control and security professional Audit, control and security professional What is the ITWhat

33、 is the ITControl Framework ?Control Framework ?How to assess the ITHow to assess the ITControl Framework ?Control Framework ?How to introduce itHow to introduce itin the enterprise ?in the enterprise ?Audit, control and security professional Audit, control and security professional What is the ITWh

34、at is the ITControl Framework ?Control Framework ?How to assess the ITHow to assess the ITControl Framework ?Control Framework ?How to introduce itHow to introduce itin the enterprise ?in the enterprise ?Audit, control and security professional Audit, control and security professional What is the IT

35、What is the ITControl Framework ?Control Framework ?How to assess the ITHow to assess the ITControl Framework ?Control Framework ?How to introduce itHow to introduce itin the enterprise ?in the enterprise ?審計、控制和安全從業(yè)人員審計、控制和安全從業(yè)人員如何制定如何制定IT控控制框架制框架 ?如何評估如何評估IT控控制框架制框架 ?如何在組織中建如何在組織中建立立IT控制框架控制框架 ?-5

36、6-lCOBIT原理原理COBIT框架的出發(fā)點 要實現(xiàn)對IT的控制，就要考慮支持業(yè)務目標或業(yè)務需求的信息，考慮運用IT相關資源后得到的信息，對IT資源要通過恰當?shù)腎T過程來進行管理。-57-COBIT如何滿足業(yè)務要求機密性完整性可用性有效性(效能)經濟性(效率)機密性完整性可用性合規(guī)性可靠性(信息)質量成本交付運行的有效性和經濟性信息的可靠性與法律、法規(guī)的符合性質量需求信譽需求安全需求-58-COBIT信息標準的定義 有效性處理與業(yè)務過程相關的信息，并以及時、正確、一致和可用的方式交付。 經濟性以最優(yōu)化資源使用的方式（最具生產力的和經濟的方式）來提供信息。 機密性保護敏感信息不被非授權泄露。

37、完整性與信息的準確性和完全性相關，同時也與符合業(yè)務價值和業(yè)務預期的正確性有關。 可用性在無論是在當前還是將來，業(yè)務過程所需要的信息要隨時可用，同時還關系到對必要資源和相關能力的保護。 符合性處理與業(yè)務流程相關的法規(guī)、法律及合同的符合性問題，即遵循外部強加的各種業(yè)務標準。 信息可靠性為管理層運行業(yè)務實體、行使其財務和符合性報告的職責而提供合適的信息。-59-COBIT中識別的IT資源定義如下： 數(shù)據(jù)是指廣義形式的（即組織內部與外部）、結構化的和非結構化的、圖形的、聲音的數(shù)據(jù)對象。 應用系統(tǒng)可以理解為人工程序和計算機程序的總和。 技術涵蓋硬件、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、網(wǎng)絡、多媒體等。 設備指所有

38、用來存放和支持信息系統(tǒng)的資源。 人員員工在計劃、組織、采購、交付、支持和監(jiān)控信息系統(tǒng)和服務時，所應具備的技能、意識和生產力。-60-COBIT框架結構 COBIT由IT的域、過程、活動三級自然組合而成，這與組織結構的責任域相適應，通常也與可以應用到IT過程的管理周期或生命周期相一致 IT系統(tǒng)IT域IT過程IT 控制目標關鍵成功因素結果測量關鍵績效指標成熟度模型IT 控制實踐-61-COBIT框架三維表示 可以用以下三個標準維組成：1、信息標準，2、IT 資源，3、IT 過程。這三個維度在COBIT立方塊中可表示成下圖： -62-COBIT的四個域 計劃和組織這個域涵蓋了戰(zhàn)略和戰(zhàn)術，其目的是要識

39、別出能使IT為實現(xiàn)業(yè)務目標作出最大的貢獻的方法。為實現(xiàn)戰(zhàn)略設想，需要從不同的角度去計劃、溝通和管理。此外，還應當建立合理的組織與技術基礎設施。 獲取與實施為實現(xiàn)IT戰(zhàn)略，需要識別、開發(fā)或采購IT解決方案，并把它們集成到業(yè)務過程中去。另外，此域還涵蓋到了對現(xiàn)有系統(tǒng)的更新與維護，以確保這些系統(tǒng)生命周期的持續(xù)性。 交付與支持該域關注的是所要求服務的實際交付，它的范圍可以從傳統(tǒng)的安全和可持續(xù)性運行一直到培訓的各個方面。為了提供服務，必須建立必要的支持過程。(該域包含應用系統(tǒng)對數(shù)據(jù)的實際處理，通常按應用控制分類。) 監(jiān)控與評價要對所有IT過程的質量以及與控制需求的符合性進行周期性的評估。該域使管理者可以

40、監(jiān)督組織的控制過程和由內部和外部審計所作的獨立保證。-63-控制程度的選擇COBIT總體結構圖 主要的（Primary，簡寫為P）在這個程度上，定義的控制目標直接影響相關信息標準。 次要的（Secondary, 簡寫為S）在這個程度上，定義的控制目標只是在較小范圍或以間接方式滿足相關的信息標準。 空白(Blank)可能適用；但由該過程的其他標準或由其他過程來滿足此需求更合適。-64-COBIT監(jiān)控監(jiān)控信息信息IT資源資源計劃與組織計劃與組織獲取與實施獲取與實施交付與支持交付與支持業(yè)務目標業(yè)務目標IT治理治理有效性有效性 經濟性、經濟性、機密性、完整性、機密性、完整性、可用性、可靠性、可用性、可

41、靠性、合規(guī)性合規(guī)性人員、應用系統(tǒng)、人員、應用系統(tǒng)、技術、設施、數(shù)據(jù)、技術、設施、數(shù)據(jù)、過程監(jiān)控過程監(jiān)控評價內部控制適當性評價內部控制適當性獲取獨立保證獲取獨立保證提供獨立審計提供獨立審計定義并管理服務水平定義并管理服務水平管理第三方服務管理第三方服務管理性能與容量管理性能與容量確保服務的連續(xù)性確保服務的連續(xù)性確保系統(tǒng)安全確保系統(tǒng)安全確定并分配成本確定并分配成本教育與培訓用戶教育與培訓用戶服務臺及事故管理服務臺及事故管理配置管理配置管理問題管理問題管理數(shù)據(jù)管理數(shù)據(jù)管理物理環(huán)境管理物理環(huán)境管理運行管理運行管理定義定義IT戰(zhàn)略計劃戰(zhàn)略計劃定義信息體系結構定義信息體系結構確定技術方向確定技術方向定義定

42、義IT過程、組織與關系過程、組織與關系管理管理IT投資投資傳達管理目標與方向傳達管理目標與方向人力資源管理人力資源管理質量管理質量管理風險與管理風險與管理IT評估評估項目管理項目管理確定確定IT解決方案解決方案獲取與維護應用軟件獲取與維護應用軟件獲取與維護技術基礎設施獲取與維護技術基礎設施投入運行與使用投入運行與使用采購采購IT資源資源變更管理變更管理系統(tǒng)安裝與鑒定系統(tǒng)安裝與鑒定COBIT總體結構圖-65-lCOBIT域與過程簡介域與過程簡介規(guī)劃與組織 【描述】 這個域包括戰(zhàn)略和戰(zhàn)術兩個層面，重點是要關注IT如何更好地為實現(xiàn)業(yè)務目標作出最大貢獻；對戰(zhàn)略愿景的實現(xiàn)要從不同的角度進行規(guī)劃、溝通和管

43、理；要建立良好的組織架構和技術基礎設施。 【主題】 戰(zhàn)略和戰(zhàn)術 遠景規(guī)劃 組織及其基礎設施 【問題】 IT戰(zhàn)略與業(yè)務戰(zhàn)略相一致嗎? 組織的資源是否被優(yōu)化使用? 組織中的每個人理解IT目標嗎? IT風險是否已被識別并有效管理? IT系統(tǒng)的質量滿足業(yè)務的需求嗎?-66- 【控制目標】 PO1制定IT戰(zhàn)略規(guī)劃 PO2確定信息體系架構 PO3確定技術方向 PO4定義IT組織與相互關系 PO5管理IT投資 PO6管理目標與方向的溝通協(xié)調 PO7人力資源管理 PO8確保符合外部要求 PO9風險評估 PO10項目管理 PO11質量管理-67-獲取與實施 【描述】 為實現(xiàn)IT戰(zhàn)略，應當識別、開發(fā)（或獲?。┖蛯?/p>

44、施IT解決方案，并使IT系統(tǒng)業(yè)務流程進行融合。另外，這個域還包括對已有系統(tǒng)的變更與維護，以確保系統(tǒng)生命周期活動能持續(xù)進行。 【主題】 IT解決方案 變更與維護 【問題】 新項目能否提供業(yè)務所需的解決方案? 新的項目能否按時交付，且費用控制在成本之內? 當實施完畢時，新系統(tǒng)是否正常工作? 變更是否影響了正常的業(yè)務運行? 【控制目標】 AI1確定IT解決方案 AI2獲取并維護應用軟件 AI3獲取并維護技術基礎設施 AI4IT程序的開發(fā)與維護 AI5系統(tǒng)的安裝與驗收 AI6變更管理-68-運行與支持 【描述】 這個域重點關注所需服務的實際交付(從傳統(tǒng)的安全及持續(xù)性方面的運行到各種培訓) 。為了保證提

45、供服務，必須建立必要的支持流程。另外，這個域還包括應用系統(tǒng)對實際數(shù)據(jù)的處理過程，應用系統(tǒng)中對數(shù)據(jù)一般是按敏感性進行分級的。 【主題】 提供所需服務 建立服務支持流程 應用系統(tǒng)的處理過程 【問題】 交付的IT服務是否與業(yè)務優(yōu)先順序相一致? IT成本是否被優(yōu)化? 員工是否能安全有效地使用IT系統(tǒng)? IT系統(tǒng)是否具有充分的安全性、完整性和可用性?-69- 【控制目標】 DS1定義并管理服務水平 DS2管理第三方服務 DS3績效管理與容量管理 DS4確保持續(xù)性服務 DS5確保系統(tǒng)安全 DS6確認與分配成本 DS7教育并培訓客戶 DS8為客戶提供幫助和建議 DS9配置管理 DS10 問題管理與緊急事件管

46、理 DS11數(shù)據(jù)管理 DS12設施管理 DS13運營管理-70-監(jiān)控與評價 【描述】 為了保證系統(tǒng)的質量并滿足控制需求，所有的流程應被定期評估。這個域要求管理人員對控制過程進行監(jiān)督，并通過獨立的內外部審計或其他方式對控制過程完備性提供保證。 【主題】 周期性評估，提供相關保證； 對控制系統(tǒng)的管理監(jiān)督 績效測量 【問題】 IT的績效如何被度量及如何盡早發(fā)現(xiàn)存在的問題? 是否需要獨立的保證以確保關鍵區(qū)域按既定目標運行? 【控制目標】 M1流程監(jiān)控 M2評價內部控制的適當性 M3獲得獨立保證 M4提供獨立的審計-71-lCOBIT過程及屬性列表過程及屬性列表-72-PO1 PO1 制定制定ITIT戰(zhàn)

47、略規(guī)劃戰(zhàn)略規(guī)劃PO3 確定技術方向 PO5 管理IT投資 PO9 PO9 風險評估風險評估 PO10 PO10 項目管理項目管理 AI1確定解決方案 AI2 獲取并維護應用軟件 AI5 系統(tǒng)安裝與驗收 AI6 AI6 變更管理變更管理 DS1 定義并管理服務水平 DS4 確保持續(xù)性服務 DS5 DS5 確保系統(tǒng)安全確保系統(tǒng)安全 DS10 問題管理與緊急事件管理 DS11 DS11 數(shù)據(jù)管理數(shù)據(jù)管理 M1 M1 過程監(jiān)控過程監(jiān)控 3415 7 哪些IT過程更重要？ 通過調查表明，以下這些過程比較重要：-73-lCOBIT控制框架控制框架定義 COBIT控制框架為企業(yè)過程擁有者提供了一個促進其履行

48、職責的工具，提供信息化控制指導；它指出這些IT過程影響到哪些信息標準，涉及到哪些IT資源，從而把IT過程、IT資源和信息連接到企業(yè)戰(zhàn)略和目標上去。ITIT過程過程的控制業(yè)務需求業(yè)務需求以滿足控制描述控制描述通過實現(xiàn)控制實踐控制實踐要考慮-74-導航標志 為便于有效地使用具有不同優(yōu)勢點的控制目標，提供了一些導航標志作為高層控制目標的組成部分，COBIT 三維框架中的（過程、IT 資源和信息標準）中的每一維，都提供了一個導航指示標志。-75-框架示例-76-lCOBIT控制目標控制目標 COBIT提供了34個高層控制目標，每一個目標對應著一個IT過程；控制目標下，又定義了318個具體的控制子目標；

49、-77-每個子目標從價值交付和風險管理的角度，再將子控制目標細化成可執(zhí)行的控制實務(Control Practice)，并為實施執(zhí)行提供業(yè)務指導。示例：PO1制定IT戰(zhàn)略計劃1.1 IT作為組織計劃的一部分1.2 IT的長期計劃1.3 IT長期計劃方法和結構1.4 IT長期計劃的變更1.5 IT項目的短期計劃1.6 IT對計劃的宣傳與貫徹1.7 對IT計劃的監(jiān)控和評價1.8 對現(xiàn)存系統(tǒng)的評估 示例：示例：1.7 1.7 引入控制的原因引入控制的原因確認IT長期計劃與短期計劃與組織的使命及業(yè)務目標保持一致，并能為業(yè)務目標的實現(xiàn)作出貢獻。對影響組織長期計劃的所有潛在事件進行評價，并及時對IT長期和

50、短期計劃進行調整，以適當變化的要求。識別長期計劃與短期計劃制定與執(zhí)行過程中的偏離現(xiàn)象，以促進管理層采取恰當?shù)募m正行動。在必要時，對于制定長期計劃與短期計劃所基于的假設條件進行驗證和變更示例：示例： 1.7 1.7 控制實踐控制實踐建立正式的監(jiān)控過程，階段性地對IT計劃的反饋信息進行收集、記錄、排序和溝通工作，此外還需要來自IT、組織管理層和關鍵利益相關者的信息輸入，然后進行評審工作，評審的內容包括：短期計劃目標的實現(xiàn)、與計劃相關的對業(yè)務風險的管理，對業(yè)務過程可衡量的改善（成本、效率）和IT投資所交付的價值?；谠u審結果建立正式的評估過程，針對所提議的IT計劃的修改內容進行評估，并達成一致意見。

51、建立有效機制，把對業(yè)務過程的改進點及時反映到IT計劃變更過程中來。示例：示例：1.7 1.7 控制的屬性控制的屬性-78-l定義：定義：COBIT管理指南(Management Guidelines)是一種通用的、面向行動的指南；用于回答下述類型的管理問題： 我們該控制IT到什么程度，成本和收益是否相符? 有沒有一個測量標準用于判斷何時肯定會出現(xiàn)失敗? 怎樣才算是好的性能? 關鍵成功因素是什么? 哪些是影響我們實現(xiàn)組織目標的風險，其他的組織在做什么?我們應該怎樣進行測量與比較?搭建了貫通業(yè)務風險、控制需要和技術問題這三者之間的橋梁 利益風險（二）（二）COBIT管理指南管理指南-79-l管理指

52、南的組成要素管理指南的組成要素針對COBIT中的每一個IT過程，管理指南提供了以下內容： 對此過程的定義及對此過程目標的描述; 此過程如何實現(xiàn)對業(yè)務加速器功能的描述（如何保持對IT過程的控制，以確定是否達成業(yè)務目標）; 與此過程相關的IT資源和信息標準; 關鍵成功因素（CSF）、關鍵目標指標（KGI）、關鍵績效指標（KPI）、IT過程成熟度模型（CMM）通過CMM、CSF 、 KGI、KPI四個方面的有機作用，使企業(yè)中的信息資源得到有效的管理。-80- Control Statements Control Practicesis enabled by and considers IT Proc

53、essesThe control of Business Requirementswhich satisfy 過程描述過程描述p pe eo op pl le ea ap pp pl li ic ca at ti io on ns st te ec ch hn no ol lo og gy yf fa ac ci il li it ti ie es sd da at ta a關鍵成功因素關鍵成功因素(CSFs)h h h h h h 關鍵目標指標關鍵目標指標KGIsh h h 關鍵績效指標關鍵績效指標KPIsh h h 信息標準信息標準資源資源 - Management processes a

54、re not applied at all - Processes are ad hoc and disorganised - Processes follow a regular pattern - Processes are documented and communicated - Processes are monitored and measured - Best practices are followed and automated成熟度模型成熟度模型l管理指南的組成結構管理指南的組成結構某個IT過程的管理指南舉例-81-l管理指南的組成要素之間的關系管理指南的組成要素之間的關系

55、-82-0 01 12 23 34 45 50 01 12 23 34 45 5成熟度模型成熟度模型對建立、計劃和追蹤當前的及未來的所需的成熟度進行詳細描述RACI 表表角色與責任(R=職責, A=問責, C=咨詢, I=通知)關鍵角色關鍵角色主要屬性：主要屬性：屬性屬性參照參照KPIs戰(zhàn)略方向資源能力意識支持政策其他關鍵成功因素關鍵成功因素目標與范圍目標與范圍IT過程綜述過程綜述因果關系圖. . .績效指標績效指標對目標的測量對目標的測量KGIs關鍵實務 .-83-0 01 12 23 34 45 50 01 12 23 34 45 5成熟度模型成熟度模型對建立、計劃和追蹤當前的及未來的所需

56、的成熟度進行詳細描述RACI 表表角色與責任(R=職責, A=問責, C=咨詢, I=通知)關鍵角色關鍵角色主要屬性：主要屬性：屬性屬性參照參照KPIs戰(zhàn)略方向資源能力意識支持政策其他關鍵成功因素關鍵成功因素目標與范圍目標與范圍IT過程綜述過程綜述因果關系圖. . .績效指標績效指標對目標的測量對目標的測量KGIs關鍵實務 .用于詳細評估的可測量的屬性與組件評估時可參照的業(yè)務標準及行業(yè)最佳實踐可用于快速評估的初始標準基于通用的組織流程圖對CSF的分解對IT過程的分解對IT過程目標的描述對IT過程績效的描述-84-0 01 12 23 34 45 50 01 12 23 34 45 5成熟度模型

57、成熟度模型對建立、計劃和追蹤當前的及未來的所需的成熟度進行詳細描述RACI 表表角色與責任(R=職責, A=問責, C=咨詢, I=通知)關鍵角色關鍵角色主要屬性：主要屬性：戰(zhàn)略方向資源能力意識支持政策其他關鍵成功因素關鍵成功因素目標與范圍目標與范圍IT過程綜述過程綜述因果關系圖. . .績效指標績效指標對目標的測量對目標的測量KGIsKPIs屬性屬性參照參照關鍵實務 .-85-lIT過程成熟度模型過程成熟度模型(CMM)定義 CMM制定了一個基準，組織可以確定自己的等級，從而了解自身目前的狀況； 在確定CMM基礎上確定組織的關鍵成功因素(CSF)，通過關鍵績效指(KPI) 進行監(jiān)控(事中控制

58、)，并衡量組織是否能達到關鍵目標指標(KGI)中所設定的目標(事后控制)； 34個IT過程的每一項都有一個遞增的測量尺度，基于“0”到“5”等級。IT過程成熟度描述CMMCMM-86-l關鍵成功因素關鍵成功因素(CSF) 定義 CSF為管理部門實現(xiàn)對IT過程的控制提供指南，它們是實現(xiàn)IT過程目標最重要的一系列因素，可以由戰(zhàn)略的、技術的、組織的或程序的各種活動組成； 它們通常會涉及IT能力和技能，簡短而集中介紹企業(yè)為達到某方面的目標必須重視的資源和必須實施的控制。 特征 是IT處理或支持的環(huán)境中最基本的促進因素，是為提高IT過程成功的可能性所要做的最重要的事； 是實現(xiàn)成功所需的一種條件，或是一種

59、可取的活動，具有可觀察或可測量的特征； 關注獲取、維護和利用IT能力與技能，以IT過程的術語而非業(yè)務術語來描述。CSFCSFCOBIT引入的CSF舉例-87-l關鍵目標指標關鍵目標指標(KGI)定義： 關鍵目標指標是對IT過程要達到何種目標的一種表述，或者是對要完成結果的一種測度； 關鍵目標指標(KGI)主要在IT過程實施之后，告訴管理部門該IT處理是否滿足其業(yè)務需求，通常以信息標準的術語表述。例如： 信息系統(tǒng)及服務的可用性； 完整性缺失和機密性風險； 信息處理和系統(tǒng)運行的成本有效性； 對可靠性、有效性和符合性的確認。 KGIKGIKGI舉例-88-l關鍵績效指標關鍵績效指標(KPI)定義：

60、關鍵績效指標(KPI)描述了在實現(xiàn)IT目標的過程中執(zhí)行情況的好壞程度，是判斷目標是否有可能實現(xiàn)的主要指標，也是測定性能、慣例和技能的指標。特征 是對IT過程執(zhí)行程度的測定； 可以預期將來成敗的可能性，是“先導性”指標； 面向過程，由IT驅動； 以精確的、可測量的術語表述； 關注那些被認為是對過程至關重要的資源； 對此指標進行測量并依此采取行動，將有助于改進IT過程。KPIKPIKPI舉例-89-建立意識建立意識做出決策做出決策分析價值分析價值和風險和風險選擇過程選擇過程定義項目定義項目開發(fā)開發(fā) 和實施和實施變更計劃變更計劃把方案集成把方案集成進日常運行進日常運行實務中去實務中去建立具體的建立具體的平衡記分卡平衡記分卡進行測量進行測量定義