IT治理培訓課件_第1頁
IT治理培訓課件_第2頁
IT治理培訓課件_第3頁
IT治理培訓課件_第4頁
IT治理培訓課件_第5頁
已閱讀5頁,還剩96頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、-1-IT IT 治理治理 陳偉陳偉第三屆北大CIO班 -2-l企業(yè)管理模式企業(yè)管理模式一、從企業(yè)風險管理到一、從企業(yè)風險管理到IT風險控制風險控制-3-l企業(yè)管理常見風險企業(yè)管理常見風險戰(zhàn)略定位不明組織架構(gòu)紊亂業(yè)務(wù)流程松散激勵機制不足信息技術(shù)缺乏資金管理低效對企業(yè)實施風險管理對企業(yè)實施風險管理目標:企業(yè)風險管理的目標目標:企業(yè)風險管理的目標是控制企業(yè)的風險,保護企業(yè)的是控制企業(yè)的風險,保護企業(yè)的核心競爭力,風險管理是未來企核心競爭力,風險管理是未來企業(yè)發(fā)展的主旋律。業(yè)發(fā)展的主旋律。-4-l企業(yè)風險管理的背景企業(yè)風險管理的背景2002年美國國會發(fā)布了SOX薩班斯奧克斯利法案要求所有上市公司都必

2、須建立有效的內(nèi)部控制框架。 2004年9月30日中國銀監(jiān)會發(fā)布了商業(yè)銀行內(nèi)部控制評價辦法,2006年銀監(jiān)會發(fā)布電子銀行業(yè)務(wù)管理辦法 、電子銀行安全評估指引 、銀行業(yè)金融機構(gòu)信息系統(tǒng)風險管理指引和銀行業(yè)金融機構(gòu)內(nèi)部審計指引。2006年6月國資委發(fā)布中央企業(yè)全面風險管理;2006年6月5日,上海證券交易所發(fā)布了上海證券交易所上市公司內(nèi)部控制指引;2006年9月28日 深交所發(fā)布深圳證券交易所上市公司內(nèi)部控制指引 財政部近日發(fā)起成立企業(yè)內(nèi)部控制標準委員會,其目的是為推動企業(yè)完善治理結(jié)構(gòu)和內(nèi)部約束機制,中國式的SOX法即將出臺。-5-l企業(yè)風險管理框架(企業(yè)風險管理框架( COSO )目標:從各種角度

3、來考慮因素:從相聯(lián)的各種過程來考慮地點:在組織的各個層次考慮-6-lCOSO風險管理框架的啟發(fā)風險管理框架的啟發(fā)要站在企業(yè)管理者的角度來看待風險,企業(yè)風險是由包括IT風險在內(nèi)的其他風險組合而成。強調(diào)“人”的重要性,組織中的每一個人對風險管理都負有責任;強調(diào)“軟控制”的作用?!败浛刂啤敝饕改切儆诰駥用娴氖挛铮绺呒壒芾黼A層的管理風格、管理哲學、企業(yè)文化、內(nèi)部控制意識等,“軟控制”影響人的行為。強調(diào)風險管理是一個“動態(tài)過程”,風險管理是一個發(fā)現(xiàn)問題、解決問題、發(fā)現(xiàn)新問題、解決新問題的循環(huán)往復的PDCA過程。明確指出內(nèi)部控制只能做到“合理”保證,目標達成的可能性受許多先天條件不足及各種“不確定

4、性”的影響。 沒有不花錢的內(nèi)部控制,也不存在完美無缺的內(nèi)部控制。 -7-l企業(yè)風險管理組成結(jié)構(gòu)企業(yè)風險管理組成結(jié)構(gòu)l風險管理策略風險管理策略組織對風險的態(tài)度,對風險管理的承諾l風險控制過程風險控制過程組織具體管理風險步驟、做法及工具l風險管理基礎(chǔ)風險管理基礎(chǔ)組織內(nèi)支持風險管理的人員、組織、技術(shù)等,來協(xié)助驅(qū)動風險管理風險模型舉例-8-lIT風險控制是企業(yè)風險管理中的重要組成部分風險控制是企業(yè)風險管理中的重要組成部分公司層控制公司層控制應(yīng)用層控制應(yīng)用層控制基礎(chǔ)層控制基礎(chǔ)層控制IT控制層控制層COSO控制框架控制框架ISMS、ITSM、BCP、CMMI、-9-lIT面臨哪些風險與挑戰(zhàn)?面臨哪些風險與

5、挑戰(zhàn)?在信息與信息系統(tǒng)上的投資規(guī)模與成本都在不斷擴大,高投入帶來了高風險;企業(yè)對IT系統(tǒng)的依賴性越來越強的同時,面臨不斷增多的系統(tǒng)薄弱性和各種各樣的威脅,IT系統(tǒng)的停機將造成業(yè)務(wù)受到巨大損失、聲譽下降、競爭優(yōu)勢喪失;IT 應(yīng)用與業(yè)務(wù)需求之間邏輯錯位,IT設(shè)施最后成了擺設(shè),IT建設(shè)缺乏績效評估機制;IT項目的高失敗率,使得企業(yè)無法實現(xiàn)其預期的創(chuàng)新與利益,不能實現(xiàn)對IT的投資回報,或者不通對投資回報進行測量; 不斷發(fā)展的科技潛力顯著地改變組織形式與商業(yè)模型,在創(chuàng)造出新的機遇并降低了成本的同時,也使得商業(yè)競爭不斷加劇;ERP失敗案例交易失誤-10-l信息系統(tǒng)風險的類型信息系統(tǒng)風險的類型IT治理風險治

6、理風險信息化建設(shè)仍然屬于“人治時代”,信息化的隨意性較大,企業(yè)還沒有就信息化形成相關(guān)的制度。IT可用性風險可用性風險業(yè)務(wù)對IT不斷增強的依賴性和脆弱的基礎(chǔ)設(shè)施及管理流程,使得IT系統(tǒng)的停機對組織的業(yè)務(wù)造成巨大損失、聲譽下降、競爭優(yōu)勢喪失。信息安全風險信息安全風險技術(shù)的發(fā)展及互聯(lián)網(wǎng)的便利性,使得信息安全形勢日益嚴峻,黑客攻擊頻繁、病毒泛濫,造成許多商業(yè)網(wǎng)站、政府網(wǎng)站被入侵,虛擬資金被盜,敏感機密信息被泄露。IT績效風險績效風險如果規(guī)劃不當、控制不嚴,IT系統(tǒng)不能帶來預期的業(yè)務(wù)價值,巨額的信息化投入很可能造成新一輪的“投資黑洞”。合規(guī)性風險合規(guī)性風險法律、法規(guī)對IT的監(jiān)管要求越來越嚴格,不能符合合

7、規(guī)性要求將使企業(yè)面臨較大的風險。-11-l控制信息化的風險需要制度與管理創(chuàng)新控制信息化的風險需要制度與管理創(chuàng)新決定信息系統(tǒng)是否有效運轉(zhuǎn)的決定因素不是信息技術(shù),而是制度、組織結(jié)構(gòu)、規(guī)則與標準,最終是人。信息化需要合理有效的制度安排,建立良好的管理控制體系是企業(yè)信息系統(tǒng)建設(shè)成功的重要保證。應(yīng)該逐步完善企業(yè)的IT治理機制,實現(xiàn)IT與戰(zhàn)略、管理、業(yè)務(wù)運營、信息安全的深度融合。這樣一方面使信息系統(tǒng)為企業(yè)創(chuàng)造價值并保護持續(xù)性,另一方面控制信息化的風險與降低成本。構(gòu)筑信息時代新的“游戲規(guī)則”,“規(guī)則”是“游戲”是重要組成部分。信息化最大的風險:控制制度-治理機制的缺失-12-l建立建立PDCA的風險控制體系

8、的風險控制體系設(shè)定風險管理流程設(shè)定風險管理流程q目的及目標q共同語言q結(jié)構(gòu)決策資料決策資料訂立策略訂立策略q 避 免q 利 用q 接 受q轉(zhuǎn)移q減低評估風險評估風險q驗明q來源q量度不斷的改善不斷的改善管理能力管理能力設(shè)計或引進設(shè)計或引進管理能力管理能力監(jiān)察風險監(jiān)察風險管理表現(xiàn)管理表現(xiàn)用制度體系來建立風險控制框架-13-l IT IT風險的控制框架風險的控制框架戰(zhàn)略層戰(zhàn)略層IT治理治理ISMS戰(zhàn)術(shù)層戰(zhàn)術(shù)層IT治理治理-14-l你的組織是如何治理你的組織是如何治理IT的?的?各種回答各種回答-“什么是IT治理?以前沒有聽說過。它有具體的概念和定義嗎?”“是不是公司治理?它與公司治理有區(qū)別嗎?”-

9、“IT工作一直是公司戰(zhàn)略中的重點,具體的工作我不太清楚,分管副總知道?!?“我們公司老板舍得花錢,老板說了:只要系統(tǒng)不出事,要人給人,要錢給錢!”“公司非常重視IT,老板親自抓!技術(shù)人員地位很高,常常參與公司的高層決策?!?-“我們每年年處都制訂很好的IT計劃,按計劃執(zhí)行就行,年終再檢查?!?“技術(shù)開發(fā),基本上都依靠外包。能搞掂就繼續(xù)合同,出問題就換一家” -“公司很少討論IT治理,系統(tǒng)只要不出事就好,出事了技術(shù)主管就麻煩大了!”二、戰(zhàn)略層的二、戰(zhàn)略層的IT治理治理反映出的問題反映出的問題(1)IT資源在公司的戰(zhàn)略資產(chǎn)中地位受到一定的重視,但是具體情況不清楚;(2)缺乏IT治理明確的概念描述和

10、參數(shù)指標;(3)IT治理需要的明確責任與職能不清晰。 -15-lIT治理的重要作用治理的重要作用沒有良好的IT治理結(jié)構(gòu)和持之以恒的評估反饋機制,IT資源無法成為公司的有效戰(zhàn)略資產(chǎn),甚至成為巨大的資源損耗。在采用相同戰(zhàn)略目標的情況下,具有良好IT治理的企業(yè),其利潤要比那些治理低下的企業(yè)高出20%。而對世界范圍內(nèi)250家企業(yè)的調(diào)查表明,只有38%的高級主管能夠精確描述他們的IT治理。引自彼得.維爾和珍妮.羅斯的IT治理研究-16-l什么什么IT治理?治理?德勤定義如下: IT 治理是一個含義廣泛的術(shù)語,包括信息系統(tǒng)、技術(shù)、通訊、商業(yè)、所有利益相關(guān)者、合法性和其他問題。其主要任務(wù)是:保持IT 與業(yè)務(wù)

11、目標一致,推動業(yè)務(wù)發(fā)展,促使收益最大化,合理利用IT 資源,IT 相關(guān)風險的適當管理。ISACA定義:IT 治理是一個由關(guān)系和過程所構(gòu)成的體制,用于指導和控制企業(yè),通過平衡信息技術(shù)與過程的風險、增加價值來確保實現(xiàn)企業(yè)的目標。-17-lIT治理可以分為五個域治理可以分為五個域二個核心:一是IT要向業(yè)務(wù)提交價值,二是降低風險。前者由IT與業(yè)務(wù)的戰(zhàn)略一致性驅(qū)動,后者由企業(yè)內(nèi)部建立的責任驅(qū)動;這兩者都需要獲得足夠的資源并進行績效測量,以保證獲得預期結(jié)果。 -18-lIT治理風險在戰(zhàn)略層面和戰(zhàn)術(shù)層面的表現(xiàn)治理風險在戰(zhàn)略層面和戰(zhàn)術(shù)層面的表現(xiàn)戰(zhàn)略層面 IT原則、架構(gòu)、基礎(chǔ)設(shè)施、應(yīng)用需求及IT投資的決策權(quán)歸屬

12、及責任擔當框架的建立。戰(zhàn)術(shù)層面利用國際認可的最佳實施規(guī)范建立IT控制框架。lIT治理成熟度治理成熟度-19-lIT治理的戰(zhàn)略層面治理的戰(zhàn)略層面在企業(yè)戰(zhàn)略層面上,要綜合公司治理結(jié)構(gòu)、企業(yè)戰(zhàn)略規(guī)劃,使IT治理作為公司治理的一部分,在治理結(jié)構(gòu)上體現(xiàn)IT的位置與作用。建立有效確定IT決策權(quán)歸屬和責任分配的框架,包括有效的治理制度安排與治理機制的設(shè)計。企業(yè)戰(zhàn)略和組織企業(yè)戰(zhàn)略和組織IT組織和期望行為關(guān)系治理安排關(guān)系治理安排實物治理安排實物治理安排人力資源治理安排人力資源治理安排知識產(chǎn)權(quán)治理安排知識產(chǎn)權(quán)治理安排財務(wù)治理安排財務(wù)治理安排IT治理安排治理安排IT治理機制IT決策業(yè)務(wù)績效目標業(yè)務(wù)績效目標IT度量指

13、標和責任協(xié)調(diào)什么?如何協(xié)調(diào)?IT治理設(shè)計框架治理設(shè)計框架-20-戰(zhàn)略層面的IT治理要解決的問題: 為了保證有效地管理與使用IT,應(yīng)當做出怎樣的決策; 誰來做出這些決策? 如何做出決策及對決策進行監(jiān)控?-21-(一)五種關(guān)鍵的(一)五種關(guān)鍵的IT決策決策IT原則的決策原則的決策高層關(guān)于企業(yè)如何使用IT的陳述IT架構(gòu)決策架構(gòu)決策 組織從一系列政策、關(guān)系以及技術(shù)選擇中捕獲的數(shù)據(jù)、應(yīng)用和基礎(chǔ)設(shè)施的邏輯,以達到預期的商業(yè)、技術(shù)的標準化和一體化IT基礎(chǔ)設(shè)施決策基礎(chǔ)設(shè)施決策集中協(xié)調(diào)、共享IT服務(wù)可以給企業(yè)的IT能力提供基礎(chǔ)IT投資和優(yōu)先順序決策投資和優(yōu)先順序決策 關(guān)于應(yīng)該在IT的哪些方面投資以及投資多少的決

14、策。包括項目的審批和論證技術(shù)業(yè)務(wù)應(yīng)用需求決策業(yè)務(wù)應(yīng)用需求決策 為購買或內(nèi)部開發(fā)IT應(yīng)用確定業(yè)務(wù)需求-22-lIT原則原則對于IT在該企業(yè)如何運用的一系列最高陳述。IT原則一旦清晰地表述出來,就成了企業(yè)管理要素中的一部分,可以被討論、修改和引用。IT原則至少要闡述三個對IT的預期: 企業(yè)期望的運行模式是什么? IT如何支持期望的運行模式? 組織中如何資助IT?-23-lIT架構(gòu)架構(gòu)指導IT投資和設(shè)計決策的IT框架,是建立企業(yè)信息系統(tǒng)的綜合藍圖,是對企業(yè)不同的信息視圖進行架構(gòu)描述的綜合。-24-lIT基礎(chǔ)設(shè)施基礎(chǔ)設(shè)施IT基礎(chǔ)設(shè)施是所有業(yè)務(wù)規(guī)劃的有效IT能力(技術(shù)和人力)的基礎(chǔ),是共享、可靠的服務(wù),

15、可用于多個應(yīng)用。IT基礎(chǔ)設(shè)施變化頻繁的業(yè)務(wù)應(yīng)用系統(tǒng)共享的、標準的應(yīng)用,變化較少,例如:會計系統(tǒng)、HRM、ERP等長時間保持穩(wěn)定的服務(wù),例如共享的客戶數(shù)據(jù)加管理、PC/LAN知識、技能、政策、標準和經(jīng)驗約束組件等人務(wù)基礎(chǔ)組織計算機、路由器、操作系統(tǒng)、數(shù)據(jù)庫軟件、信用卡機等日常設(shè)備-25-IT基礎(chǔ)設(shè)施的10個能力群-26-l業(yè)務(wù)應(yīng)用需求業(yè)務(wù)應(yīng)用需求業(yè)務(wù)需求是促進IT發(fā)展的源動力,準確、及時地識別組織的業(yè)務(wù)需求,并使之成為信息化建設(shè)與調(diào)整的依據(jù),這是降低IT風險的可靠保證。需求識別的困難性-27-戰(zhàn)略規(guī)劃計劃預算項目投資績效管理企業(yè)運營:生產(chǎn)、管理、控制對戰(zhàn)術(shù)層的支持對戰(zhàn)略層的支持l如何增強企業(yè)核心

16、競爭力?l如何尋找新的利潤增長點?l如何促進企業(yè)成長為知識型、學習型的組織?l如何建立有效的企業(yè)風險控制機制?信息技術(shù)進一步為業(yè)務(wù)創(chuàng)造新的價值不同層次的業(yè)務(wù)需求招商銀行的IT扛桿作用-28-lIT投資和優(yōu)先順序決策投資和優(yōu)先順序決策IT投資決策要解決的問題 IT要花多少錢? 把錢花在什么上面? 如何協(xié)調(diào)不同投資者的需求?IT投資決策的依據(jù) 考慮日常運維的支撐需要和企業(yè)的發(fā)展戰(zhàn)略的推動需要 投資合理性論證和計劃 為投資尋求支持 企業(yè)范圍內(nèi)的IT體系架構(gòu) 回顧每年的實際開銷 對預算所做修正案的審查-29-IT投資預算和項目優(yōu)先級排列的一般過程形成IT預算報告-30-(二)決策權(quán)分配的(二)決策權(quán)分

17、配的IT治理原型治理原型l決策的制定者:決策的制定者:按照政治治理模式選擇較接近的IT治理制度安排;成立IT 治理委員會,定期召開會議,就企業(yè)戰(zhàn)略與IT 戰(zhàn)略的互動、IT原則、IT架構(gòu)、IT投資等等議題進行討論并做出決策。模型模型誰擁有決策權(quán)或輸入權(quán)?誰擁有決策權(quán)或輸入權(quán)?業(yè)務(wù)君主制一群業(yè)務(wù)主管或者單個主管(CXOs)。包括高級業(yè)務(wù)主管委員會(可能包括CIO)。不包括獨立設(shè)備的IT主管。IT君主制一個或一群IT主管。封建制業(yè)務(wù)單位領(lǐng)導,關(guān)鍵流程負責人或其代表。聯(lián)邦制核心級主管和業(yè)務(wù)團隊(例如,業(yè)務(wù)單位或流程);可能也包括作為額外參與者的IT主管。相當于中央政府和州政府的協(xié)同工作方式。IT雙寡頭

18、制IT主管和其他團隊(如CxO或業(yè)務(wù)單位或流程負責人)。無政府制每一個單獨的使用者。-31-公司高級管理層公司高級管理層公司公司IT經(jīng)理或經(jīng)理或業(yè)務(wù)部門業(yè)務(wù)部門IT經(jīng)理經(jīng)理業(yè)務(wù)部門領(lǐng)導或關(guān)業(yè)務(wù)部門領(lǐng)導或關(guān)鍵業(yè)務(wù)流程擁有者鍵業(yè)務(wù)流程擁有者業(yè)務(wù)君主制業(yè)務(wù)君主制IT君主制君主制封建制封建制聯(lián)邦制聯(lián)邦制IT雙寡頭制雙寡頭制無政府制無政府制-32-IT雙寡頭制 是一種雙方參與的治理安排。其決策特征為:由IT主管人員和企業(yè)內(nèi)的其他團體之間達成的一種雙邊協(xié)議。 用更加簡單的管理結(jié)構(gòu)實現(xiàn)很多聯(lián)邦制模式下所能達到的目標。 在技術(shù)含量較低的IT決策領(lǐng)域(IT原則、業(yè)務(wù)應(yīng)用需求和IT投資)很多組織更喜歡使用IT雙寡

19、頭模式進行決策。-33-通用的治理模式 MIT Sloan School 2003年對23個國家的256家企業(yè)進行研究后,根據(jù)統(tǒng)計分析得出一個通用的IT治理模式。決策決策原型原型IT原則原則IT架構(gòu)架構(gòu)IT基礎(chǔ)設(shè)施基礎(chǔ)設(shè)施戰(zhàn)略戰(zhàn)略業(yè)務(wù)應(yīng)用業(yè)務(wù)應(yīng)用需求需求IT投資投資輸入決策輸入決策輸入決策輸入決策輸入決策業(yè)務(wù)君主制業(yè)務(wù)君主制0270607112130IT君主制君主制118207310590809封建制封建制03001211803聯(lián)邦制聯(lián)邦制831446459681309327IT雙寡頭制雙寡頭制1536341530231727630無政府制無政府制0001010301無數(shù)據(jù)或無數(shù)據(jù)或不知道不知

20、道1201020200單位:百分比,每列相加為100%-34-l什么是什么是IT治理機制治理機制企業(yè)通過一系列的結(jié)構(gòu)、流程和溝通來實施IT治理計劃,設(shè)計周詳、容易理解和清晰的機制,促進了期望IT行為的產(chǎn)生。常見的三類IT治理機制 決策結(jié)構(gòu)負責制定IT決策的組織單元和角色,比如委員會、 執(zhí)行團隊和業(yè)務(wù)與IT關(guān)系經(jīng)理。 工作流程用于保證日常行為和IT政策相一致,并提供返回到?jīng)Q策的輸入信息的正式流程。包括IT投資建議和評估流程、架構(gòu)例外流程、服務(wù)水平協(xié)議、費用分攤和指標。 溝通方法傳播IT治理原則、政策和IT決策制定流程結(jié)果的公告、建議、渠道和培訓努力等。(三)實施(三)實施IT治理的機制治理的機制

21、-35-l決策結(jié)構(gòu)決策結(jié)構(gòu)業(yè)務(wù)君主制的決策結(jié)構(gòu) 通常以執(zhí)行委員會的形式出現(xiàn),一般有: CEO與一個小型高層執(zhí)行者團隊合作,保證IT與公司目標一致。 高層管理團隊中的一個小組專門負責IT問題。 把CIO作為執(zhí)行團隊的一員,可以強化業(yè)務(wù)君主制理解IT在業(yè)務(wù)戰(zhàn)略上所起作用的能力,也強化執(zhí)行團隊的IT治理能力。-36-聯(lián)邦制的決策結(jié)構(gòu) 如果一個高級執(zhí)行團隊從各個業(yè)務(wù)吸收人員,則他們采用的是聯(lián)邦制的決策結(jié)構(gòu)。 聯(lián)邦制可以平衡企業(yè)和業(yè)務(wù)部門的優(yōu)先權(quán),可以為IT治理決策提供有價值的輸入。 大多數(shù)聯(lián)邦制的IT組織設(shè)計的核心就是對數(shù)據(jù)和IT基礎(chǔ)設(shè)施共享的要求。-37-IT君主制的決策結(jié)構(gòu) IT領(lǐng)導團隊 可以由I

22、T職能領(lǐng)導(運營、架構(gòu)、應(yīng)用等)和業(yè)務(wù)部門的CIO組成,通常負責制定基礎(chǔ)設(shè)施和架構(gòu)的決策。 要解決業(yè)務(wù)部門由于規(guī)模不同而帶來能力不同,所造成需求不同的問題,IT領(lǐng)導團隊的選擇權(quán)可能也不一樣。 超過85%的企業(yè)擁有正式的IT領(lǐng)導團隊。擁有IT領(lǐng)導團隊的企業(yè)具有更高的治理績效。 架構(gòu)委員會 由技術(shù)專家組成,負責制訂標準,在某些情況下可批準例外項目。在大多數(shù)情況下,架構(gòu)委員會的角色是對IT領(lǐng)導團隊提供架構(gòu)建議,但有時也可成為治理決策主體。 架構(gòu)委員會與業(yè)務(wù)部門經(jīng)營者緊密協(xié)作時,它不僅能有效地引進技術(shù)標準,還能預測對于有價值的新技術(shù)的需求。-38-雙寡頭制的決策結(jié)構(gòu) 決策團隊如IT理事會同時包含IT人

23、員和業(yè)務(wù)人員,把兩者融合起來,能夠在重要決策中把業(yè)務(wù)戰(zhàn)略和IT聯(lián)合起來。 70%的企業(yè)擁有包含業(yè)務(wù)成員和IT成員的IT理事會,85%的企業(yè)擁有包含IT成員的流程團隊,85%的企業(yè)擁有IT和業(yè)務(wù)關(guān)系經(jīng)理。 雙寡頭制的核心是找出既代表業(yè)務(wù),又代表IT部門的高級領(lǐng)導組合,使他們能夠在認識到每個業(yè)務(wù)部門需求的同時,支持整個企業(yè)IT項目實施。-39-l治理工作流程治理工作流程保證對IT進行有效管理和使IT應(yīng)用得以推廣的IT管理技術(shù)。治理工作流程應(yīng)當能使委員會的每個人都向治理決策提供輸入,又能將他們的IT決策結(jié)果發(fā)布出去。治理工作流程包括以下6個流程: IT投資批準流程 架構(gòu)例外流程 服務(wù)水平協(xié)議 費用分

24、攤機制 項目追蹤 業(yè)務(wù)價值的正式追蹤-40-l溝通方法溝通方法闡明有關(guān)IT治理決策和流程以及整個企業(yè)范圍內(nèi)的相關(guān)期望行為。管理層越是對現(xiàn)有的IT治理機制、工作方式、預期的效果進行正式地溝通,他們的治理就越有效。溝通方式有以下5種: 高級管理層的公告 正式的委員會 CIO或IT治理辦公室 與不守常規(guī)者的共事 基于網(wǎng)絡(luò)的門戶-41-l影響力高且具有挑戰(zhàn)性的機制影響力高且具有挑戰(zhàn)性的機制-42-l建立有效建立有效IT治理機制的原則治理機制的原則從三種類型中選擇適用的治理機制;限制決策制定結(jié)構(gòu)需要決策結(jié)構(gòu)中各類人員的交叉在企業(yè)的多個層面上設(shè)置相應(yīng)的機制明確責任-43-l對對IT治理績效的評估治理績效的

25、評估組織IT治理安排鼓勵期望行為的程度和組織最終達到績效目標的程度。評估治理績效時要評估五個因素,利用下表進行對照比較。 (四)對(四)對IT治理的評估治理的評估-44-l一流治理績效企業(yè)的七個特征一流治理績效企業(yè)的七個特征更多領(lǐng)導層的管理者們可以描述IT治理更多地利用五種溝通機制高層管理者更直接地參與IT治理IT投資具有更加清晰的業(yè)務(wù)目標更多差異化的業(yè)務(wù)戰(zhàn)略較少的非授權(quán)例外和較多的得到正式批準的例外治理變更的次數(shù)逐年減少-45-l什么樣的治理安排最有效什么樣的治理安排最有效不同治理安排下,“最好”和“最差”的治理績效-46-誰做出更好的決策?-47-最成功的三種IT決策模式-48-l案例研究

26、案例研究Delta航空公司的IT決策國內(nèi)證券公司的IT治理模式道富公司的IT治理設(shè)計-49-lIT治理的實施框架治理的實施框架為了實施有效的IT治理,除了在戰(zhàn)略層建立決策權(quán)歸屬和職責擔當?shù)目蚣芡猓€要對企業(yè)的戰(zhàn)術(shù)運行層制定一套適用的IT控制框架,以確保IT支持業(yè)務(wù)目標,確保資源得到了可靠的使用、風險受到了合理的管理。三、戰(zhàn)術(shù)層的三、戰(zhàn)術(shù)層的IT治理治理-50-lCOBIT是什么?是什么?ISACA制定的COBIT(Control Objectives for Information and related Technology)是一個在國際上公認的、先進的和權(quán)威的安全與信息技術(shù)管理和控制標準,

27、它在商業(yè)風險、控制需要和技術(shù)問題之間架起了一座橋梁,以滿足管理的多方面需要。(一)(一)IT治理工具治理工具COBIT-51-lCOBIT基本的準則基本的準則國際上通用的、得到普遍認可的IT控制最佳實務(wù)標準,是實施IT治理的重要基礎(chǔ);適用企業(yè)建立全局信息系統(tǒng)時參照使用,與具體的技術(shù)無關(guān);從業(yè)務(wù)對信息的需求出發(fā),面向企業(yè)管理層和業(yè)務(wù)過程的所有者;-52-lCOBIT的背景的背景第一版由信息系統(tǒng)審計與控制基金會(ISACF)于1996年發(fā)布。第二版于1998年出版,修訂了高層控制目標與詳細控制目標,增加了實施工具集(Implementation Tool Set)信息系統(tǒng)審計與控制基金會(ISAC

28、A)及其相關(guān)的基金會在1998年創(chuàng)立 IT治理研究院(ITGI),由ITGI制定并發(fā)布了COBIT第三版,加入了管理指南,以及擴展和加強了對IT治理的關(guān)注;COBIT基于ISACF的建立的IT控制目標,參照了其他控制框架、行業(yè)標準; ITGI于2005年底發(fā)布了COBIT第四版,這一版對IT某些過程進行了調(diào)整,強調(diào)了IT控制與IT治理五個領(lǐng)域的對應(yīng)關(guān)系-53-lCOBIT的目標使用者的目標使用者管理層-幫助他們在不可預知的IT環(huán)境中平衡風險和控制之間的矛盾(采用控制措施需要投入資金)。用戶-對內(nèi)部或第三方提供的IT服務(wù),獲得在安全與控制方面的保證。審計師-證實他們的觀點,在內(nèi)部控制問題上為管理

29、層提出建議。-54-lCOBIT能給組織帶來的利益能給組織帶來的利益有助于大幅提高組織對IT治理的接受程度,減少實施IT治理所需的時間;對IT審計方法與審計方案標準化,為正式的IT審計與檢查提供指南,為識別所有的主要風險區(qū)域提供可靠的參考;IT運行管理人員通過COBIT可以了解審計師的關(guān)注點,有助于利用審計結(jié)果作為實施改善行動的機會;是實現(xiàn)IT治理目標的驅(qū)動力,可以幫助組織完善IT實務(wù)和IT過程;為組織提供了一個經(jīng)濟的、可持續(xù)完善的控制框架,提供一個有價值的參照基準,使得管理層對控制的決策可以基于一個可信的來源;有助于在業(yè)務(wù)與IT之間搭起溝通的橋梁,完善業(yè)務(wù)人員與IT管理人員的關(guān)系-55-lC

30、OBIT產(chǎn)品簇產(chǎn)品簇COBIT框架控制目標控制實務(wù)審計指南實施指南管理指南IT治理總論PracticesResponsibilitiesExecutives & BoardsExecutives & BoardsPracticesResponsibilitiesExecutives & BoardsExecutives & BoardsPracticesResponsibilitiesExecutives & BoardsExecutives & Boards治理實務(wù)治理實務(wù)職責職責董事會與執(zhí)行管理層董事會與執(zhí)行管理層Business and T

31、echnology ManagementBusiness and Technology Managementw wPerformance measuresPerformance measuresw wCritical success factorsCritical success factorsw wMaturity modelsMaturity modelsBusiness and Technology ManagementBusiness and Technology Managementw wPerformance measuresPerformance measuresw wCriti

32、cal success factorsCritical success factorsw wMaturity modelsMaturity modelsBusiness and Technology ManagementBusiness and Technology Managementw wPerformance measuresPerformance measuresw wCritical success factorsCritical success factorsw wMaturity modelsMaturity models業(yè)務(wù)與技術(shù)管理層業(yè)務(wù)與技術(shù)管理層w w績效測量績效測量w

33、w關(guān)鍵成功因素關(guān)鍵成功因素w w成熟度模型成熟度模型Audit, control and security professional Audit, control and security professional What is the ITWhat is the ITControl Framework ?Control Framework ?How to assess the ITHow to assess the ITControl Framework ?Control Framework ?How to introduce itHow to introduce itin the ent

34、erprise ?in the enterprise ?Audit, control and security professional Audit, control and security professional What is the ITWhat is the ITControl Framework ?Control Framework ?How to assess the ITHow to assess the ITControl Framework ?Control Framework ?How to introduce itHow to introduce itin the e

35、nterprise ?in the enterprise ?Audit, control and security professional Audit, control and security professional What is the ITWhat is the ITControl Framework ?Control Framework ?How to assess the ITHow to assess the ITControl Framework ?Control Framework ?How to introduce itHow to introduce itin the

36、 enterprise ?in the enterprise ?審計、控制和安全從業(yè)人員審計、控制和安全從業(yè)人員如何制定如何制定IT控控制框架制框架 ?如何評估如何評估IT控控制框架制框架 ?如何在組織中建如何在組織中建立立IT控制框架控制框架 ?-56-lCOBIT原理原理COBIT框架的出發(fā)點 要實現(xiàn)對IT的控制,就要考慮支持業(yè)務(wù)目標或業(yè)務(wù)需求的信息,考慮運用IT相關(guān)資源后得到的信息,對IT資源要通過恰當?shù)腎T過程來進行管理。-57-COBIT如何滿足業(yè)務(wù)要求機密性完整性可用性有效性(效能)經(jīng)濟性(效率)機密性完整性可用性合規(guī)性可靠性(信息)質(zhì)量成本交付運行的有效性和經(jīng)濟性信息的可靠性與法

37、律、法規(guī)的符合性質(zhì)量需求信譽需求安全需求-58-COBIT信息標準的定義 有效性處理與業(yè)務(wù)過程相關(guān)的信息,并以及時、正確、一致和可用的方式交付。 經(jīng)濟性以最優(yōu)化資源使用的方式(最具生產(chǎn)力的和經(jīng)濟的方式)來提供信息。 機密性保護敏感信息不被非授權(quán)泄露。 完整性與信息的準確性和完全性相關(guān),同時也與符合業(yè)務(wù)價值和業(yè)務(wù)預期的正確性有關(guān)。 可用性在無論是在當前還是將來,業(yè)務(wù)過程所需要的信息要隨時可用,同時還關(guān)系到對必要資源和相關(guān)能力的保護。 符合性處理與業(yè)務(wù)流程相關(guān)的法規(guī)、法律及合同的符合性問題,即遵循外部強加的各種業(yè)務(wù)標準。 信息可靠性為管理層運行業(yè)務(wù)實體、行使其財務(wù)和符合性報告的職責而提供合適的信息

38、。-59-COBIT中識別的IT資源定義如下: 數(shù)據(jù)是指廣義形式的(即組織內(nèi)部與外部)、結(jié)構(gòu)化的和非結(jié)構(gòu)化的、圖形的、聲音的數(shù)據(jù)對象。 應(yīng)用系統(tǒng)可以理解為人工程序和計算機程序的總和。 技術(shù)涵蓋硬件、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、網(wǎng)絡(luò)、多媒體等。 設(shè)備指所有用來存放和支持信息系統(tǒng)的資源。 人員員工在計劃、組織、采購、交付、支持和監(jiān)控信息系統(tǒng)和服務(wù)時,所應(yīng)具備的技能、意識和生產(chǎn)力。-60-COBIT框架結(jié)構(gòu) COBIT由IT的域、過程、活動三級自然組合而成,這與組織結(jié)構(gòu)的責任域相適應(yīng),通常也與可以應(yīng)用到IT過程的管理周期或生命周期相一致 IT系統(tǒng)IT域IT過程IT 控制目標關(guān)鍵成功因素結(jié)果測量關(guān)鍵績效

39、指標成熟度模型IT 控制實踐-61-COBIT框架三維表示 可以用以下三個標準維組成:1、信息標準,2、IT 資源,3、IT 過程。這三個維度在COBIT立方塊中可表示成下圖: -62-COBIT的四個域 計劃和組織這個域涵蓋了戰(zhàn)略和戰(zhàn)術(shù),其目的是要識別出能使IT為實現(xiàn)業(yè)務(wù)目標作出最大的貢獻的方法。為實現(xiàn)戰(zhàn)略設(shè)想,需要從不同的角度去計劃、溝通和管理。此外,還應(yīng)當建立合理的組織與技術(shù)基礎(chǔ)設(shè)施。 獲取與實施為實現(xiàn)IT戰(zhàn)略,需要識別、開發(fā)或采購IT解決方案,并把它們集成到業(yè)務(wù)過程中去。另外,此域還涵蓋到了對現(xiàn)有系統(tǒng)的更新與維護,以確保這些系統(tǒng)生命周期的持續(xù)性。 交付與支持該域關(guān)注的是所要求服務(wù)的實際

40、交付,它的范圍可以從傳統(tǒng)的安全和可持續(xù)性運行一直到培訓的各個方面。為了提供服務(wù),必須建立必要的支持過程。(該域包含應(yīng)用系統(tǒng)對數(shù)據(jù)的實際處理,通常按應(yīng)用控制分類。) 監(jiān)控與評價要對所有IT過程的質(zhì)量以及與控制需求的符合性進行周期性的評估。該域使管理者可以監(jiān)督組織的控制過程和由內(nèi)部和外部審計所作的獨立保證。-63-控制程度的選擇COBIT總體結(jié)構(gòu)圖 主要的(Primary,簡寫為P)在這個程度上,定義的控制目標直接影響相關(guān)信息標準。 次要的(Secondary, 簡寫為S)在這個程度上,定義的控制目標只是在較小范圍或以間接方式滿足相關(guān)的信息標準。 空白(Blank)可能適用;但由該過程的其他標準或

41、由其他過程來滿足此需求更合適。-64-COBIT監(jiān)控監(jiān)控信息信息IT資源資源計劃與組織計劃與組織獲取與實施獲取與實施交付與支持交付與支持業(yè)務(wù)目標業(yè)務(wù)目標IT治理治理有效性有效性 經(jīng)濟性、經(jīng)濟性、機密性、完整性、機密性、完整性、可用性、可靠性、可用性、可靠性、合規(guī)性合規(guī)性人員、應(yīng)用系統(tǒng)、人員、應(yīng)用系統(tǒng)、技術(shù)、設(shè)施、數(shù)據(jù)、技術(shù)、設(shè)施、數(shù)據(jù)、過程監(jiān)控過程監(jiān)控評價內(nèi)部控制適當性評價內(nèi)部控制適當性獲取獨立保證獲取獨立保證提供獨立審計提供獨立審計定義并管理服務(wù)水平定義并管理服務(wù)水平管理第三方服務(wù)管理第三方服務(wù)管理性能與容量管理性能與容量確保服務(wù)的連續(xù)性確保服務(wù)的連續(xù)性確保系統(tǒng)安全確保系統(tǒng)安全確定并分配成本

42、確定并分配成本教育與培訓用戶教育與培訓用戶服務(wù)臺及事故管理服務(wù)臺及事故管理配置管理配置管理問題管理問題管理數(shù)據(jù)管理數(shù)據(jù)管理物理環(huán)境管理物理環(huán)境管理運行管理運行管理定義定義IT戰(zhàn)略計劃戰(zhàn)略計劃定義信息體系結(jié)構(gòu)定義信息體系結(jié)構(gòu)確定技術(shù)方向確定技術(shù)方向定義定義IT過程、組織與關(guān)系過程、組織與關(guān)系管理管理IT投資投資傳達管理目標與方向傳達管理目標與方向人力資源管理人力資源管理質(zhì)量管理質(zhì)量管理風險與管理風險與管理IT評估評估項目管理項目管理確定確定IT解決方案解決方案獲取與維護應(yīng)用軟件獲取與維護應(yīng)用軟件獲取與維護技術(shù)基礎(chǔ)設(shè)施獲取與維護技術(shù)基礎(chǔ)設(shè)施投入運行與使用投入運行與使用采購采購IT資源資源變更管理變

43、更管理系統(tǒng)安裝與鑒定系統(tǒng)安裝與鑒定COBIT總體結(jié)構(gòu)圖-65-lCOBIT域與過程簡介域與過程簡介規(guī)劃與組織 【描述】 這個域包括戰(zhàn)略和戰(zhàn)術(shù)兩個層面,重點是要關(guān)注IT如何更好地為實現(xiàn)業(yè)務(wù)目標作出最大貢獻;對戰(zhàn)略愿景的實現(xiàn)要從不同的角度進行規(guī)劃、溝通和管理;要建立良好的組織架構(gòu)和技術(shù)基礎(chǔ)設(shè)施。 【主題】 戰(zhàn)略和戰(zhàn)術(shù) 遠景規(guī)劃 組織及其基礎(chǔ)設(shè)施 【問題】 IT戰(zhàn)略與業(yè)務(wù)戰(zhàn)略相一致嗎? 組織的資源是否被優(yōu)化使用? 組織中的每個人理解IT目標嗎? IT風險是否已被識別并有效管理? IT系統(tǒng)的質(zhì)量滿足業(yè)務(wù)的需求嗎?-66- 【控制目標】 PO1制定IT戰(zhàn)略規(guī)劃 PO2確定信息體系架構(gòu) PO3確定技術(shù)方向

44、 PO4定義IT組織與相互關(guān)系 PO5管理IT投資 PO6管理目標與方向的溝通協(xié)調(diào) PO7人力資源管理 PO8確保符合外部要求 PO9風險評估 PO10項目管理 PO11質(zhì)量管理-67-獲取與實施 【描述】 為實現(xiàn)IT戰(zhàn)略,應(yīng)當識別、開發(fā)(或獲?。┖蛯嵤㊣T解決方案,并使IT系統(tǒng)業(yè)務(wù)流程進行融合。另外,這個域還包括對已有系統(tǒng)的變更與維護,以確保系統(tǒng)生命周期活動能持續(xù)進行。 【主題】 IT解決方案 變更與維護 【問題】 新項目能否提供業(yè)務(wù)所需的解決方案? 新的項目能否按時交付,且費用控制在成本之內(nèi)? 當實施完畢時,新系統(tǒng)是否正常工作? 變更是否影響了正常的業(yè)務(wù)運行? 【控制目標】 AI1確定IT

45、解決方案 AI2獲取并維護應(yīng)用軟件 AI3獲取并維護技術(shù)基礎(chǔ)設(shè)施 AI4IT程序的開發(fā)與維護 AI5系統(tǒng)的安裝與驗收 AI6變更管理-68-運行與支持 【描述】 這個域重點關(guān)注所需服務(wù)的實際交付(從傳統(tǒng)的安全及持續(xù)性方面的運行到各種培訓) 。為了保證提供服務(wù),必須建立必要的支持流程。另外,這個域還包括應(yīng)用系統(tǒng)對實際數(shù)據(jù)的處理過程,應(yīng)用系統(tǒng)中對數(shù)據(jù)一般是按敏感性進行分級的。 【主題】 提供所需服務(wù) 建立服務(wù)支持流程 應(yīng)用系統(tǒng)的處理過程 【問題】 交付的IT服務(wù)是否與業(yè)務(wù)優(yōu)先順序相一致? IT成本是否被優(yōu)化? 員工是否能安全有效地使用IT系統(tǒng)? IT系統(tǒng)是否具有充分的安全性、完整性和可用性?-69

46、- 【控制目標】 DS1定義并管理服務(wù)水平 DS2管理第三方服務(wù) DS3績效管理與容量管理 DS4確保持續(xù)性服務(wù) DS5確保系統(tǒng)安全 DS6確認與分配成本 DS7教育并培訓客戶 DS8為客戶提供幫助和建議 DS9配置管理 DS10 問題管理與緊急事件管理 DS11數(shù)據(jù)管理 DS12設(shè)施管理 DS13運營管理-70-監(jiān)控與評價 【描述】 為了保證系統(tǒng)的質(zhì)量并滿足控制需求,所有的流程應(yīng)被定期評估。這個域要求管理人員對控制過程進行監(jiān)督,并通過獨立的內(nèi)外部審計或其他方式對控制過程完備性提供保證。 【主題】 周期性評估,提供相關(guān)保證; 對控制系統(tǒng)的管理監(jiān)督 績效測量 【問題】 IT的績效如何被度量及如何

47、盡早發(fā)現(xiàn)存在的問題? 是否需要獨立的保證以確保關(guān)鍵區(qū)域按既定目標運行? 【控制目標】 M1流程監(jiān)控 M2評價內(nèi)部控制的適當性 M3獲得獨立保證 M4提供獨立的審計-71-lCOBIT過程及屬性列表過程及屬性列表-72-PO1 PO1 制定制定ITIT戰(zhàn)略規(guī)劃戰(zhàn)略規(guī)劃PO3 確定技術(shù)方向 PO5 管理IT投資 PO9 PO9 風險評估風險評估 PO10 PO10 項目管理項目管理 AI1確定解決方案 AI2 獲取并維護應(yīng)用軟件 AI5 系統(tǒng)安裝與驗收 AI6 AI6 變更管理變更管理 DS1 定義并管理服務(wù)水平 DS4 確保持續(xù)性服務(wù) DS5 DS5 確保系統(tǒng)安全確保系統(tǒng)安全 DS10 問題管理

48、與緊急事件管理 DS11 DS11 數(shù)據(jù)管理數(shù)據(jù)管理 M1 M1 過程監(jiān)控過程監(jiān)控 3415 7 哪些IT過程更重要? 通過調(diào)查表明,以下這些過程比較重要:-73-lCOBIT控制框架控制框架定義 COBIT控制框架為企業(yè)過程擁有者提供了一個促進其履行職責的工具,提供信息化控制指導;它指出這些IT過程影響到哪些信息標準,涉及到哪些IT資源,從而把IT過程、IT資源和信息連接到企業(yè)戰(zhàn)略和目標上去。ITIT過程過程的控制業(yè)務(wù)需求業(yè)務(wù)需求以滿足控制描述控制描述通過實現(xiàn)控制實踐控制實踐要考慮-74-導航標志 為便于有效地使用具有不同優(yōu)勢點的控制目標,提供了一些導航標志作為高層控制目標的組成部分,COB

49、IT 三維框架中的(過程、IT 資源和信息標準)中的每一維,都提供了一個導航指示標志。-75-框架示例-76-lCOBIT控制目標控制目標 COBIT提供了34個高層控制目標,每一個目標對應(yīng)著一個IT過程;控制目標下,又定義了318個具體的控制子目標;-77-每個子目標從價值交付和風險管理的角度,再將子控制目標細化成可執(zhí)行的控制實務(wù)(Control Practice),并為實施執(zhí)行提供業(yè)務(wù)指導。示例:PO1制定IT戰(zhàn)略計劃1.1 IT作為組織計劃的一部分1.2 IT的長期計劃1.3 IT長期計劃方法和結(jié)構(gòu)1.4 IT長期計劃的變更1.5 IT項目的短期計劃1.6 IT對計劃的宣傳與貫徹1.7

50、對IT計劃的監(jiān)控和評價1.8 對現(xiàn)存系統(tǒng)的評估 示例:示例:1.7 1.7 引入控制的原因引入控制的原因確認IT長期計劃與短期計劃與組織的使命及業(yè)務(wù)目標保持一致,并能為業(yè)務(wù)目標的實現(xiàn)作出貢獻。對影響組織長期計劃的所有潛在事件進行評價,并及時對IT長期和短期計劃進行調(diào)整,以適當變化的要求。識別長期計劃與短期計劃制定與執(zhí)行過程中的偏離現(xiàn)象,以促進管理層采取恰當?shù)募m正行動。在必要時,對于制定長期計劃與短期計劃所基于的假設(shè)條件進行驗證和變更示例:示例: 1.7 1.7 控制實踐控制實踐建立正式的監(jiān)控過程,階段性地對IT計劃的反饋信息進行收集、記錄、排序和溝通工作,此外還需要來自IT、組織管理層和關(guān)鍵利

51、益相關(guān)者的信息輸入,然后進行評審工作,評審的內(nèi)容包括:短期計劃目標的實現(xiàn)、與計劃相關(guān)的對業(yè)務(wù)風險的管理,對業(yè)務(wù)過程可衡量的改善(成本、效率)和IT投資所交付的價值。基于評審結(jié)果建立正式的評估過程,針對所提議的IT計劃的修改內(nèi)容進行評估,并達成一致意見。建立有效機制,把對業(yè)務(wù)過程的改進點及時反映到IT計劃變更過程中來。示例:示例:1.7 1.7 控制的屬性控制的屬性-78-l定義:定義:COBIT管理指南(Management Guidelines)是一種通用的、面向行動的指南;用于回答下述類型的管理問題: 我們該控制IT到什么程度,成本和收益是否相符? 有沒有一個測量標準用于判斷何時肯定會出現(xiàn)

52、失敗? 怎樣才算是好的性能? 關(guān)鍵成功因素是什么? 哪些是影響我們實現(xiàn)組織目標的風險,其他的組織在做什么?我們應(yīng)該怎樣進行測量與比較?搭建了貫通業(yè)務(wù)風險、控制需要和技術(shù)問題這三者之間的橋梁 利益風險(二)(二)COBIT管理指南管理指南-79-l管理指南的組成要素管理指南的組成要素針對COBIT中的每一個IT過程,管理指南提供了以下內(nèi)容: 對此過程的定義及對此過程目標的描述; 此過程如何實現(xiàn)對業(yè)務(wù)加速器功能的描述(如何保持對IT過程的控制,以確定是否達成業(yè)務(wù)目標); 與此過程相關(guān)的IT資源和信息標準; 關(guān)鍵成功因素(CSF)、關(guān)鍵目標指標(KGI)、關(guān)鍵績效指標(KPI)、IT過程成熟度模型(

53、CMM)通過CMM、CSF 、 KGI、KPI四個方面的有機作用,使企業(yè)中的信息資源得到有效的管理。-80- Control Statements Control Practicesis enabled by and considers IT ProcessesThe control of Business Requirementswhich satisfy 過程描述過程描述p pe eo op pl le ea ap pp pl li ic ca at ti io on ns st te ec ch hn no ol lo og gy yf fa ac ci il li it ti ie e

54、s sd da at ta a關(guān)鍵成功因素關(guān)鍵成功因素(CSFs)h h h h h h 關(guān)鍵目標指標關(guān)鍵目標指標KGIsh h h 關(guān)鍵績效指標關(guān)鍵績效指標KPIsh h h 信息標準信息標準資源資源 - Management processes are not applied at all - Processes are ad hoc and disorganised - Processes follow a regular pattern - Processes are documented and communicated - Processes are monitored and m

55、easured - Best practices are followed and automated成熟度模型成熟度模型l管理指南的組成結(jié)構(gòu)管理指南的組成結(jié)構(gòu)某個IT過程的管理指南舉例-81-l管理指南的組成要素之間的關(guān)系管理指南的組成要素之間的關(guān)系-82-0 01 12 23 34 45 50 01 12 23 34 45 5成熟度模型成熟度模型對建立、計劃和追蹤當前的及未來的所需的成熟度進行詳細描述RACI 表表角色與責任(R=職責, A=問責, C=咨詢, I=通知)關(guān)鍵角色關(guān)鍵角色主要屬性:主要屬性:屬性屬性參照參照KPIs戰(zhàn)略方向資源能力意識支持政策其他關(guān)鍵成功因素關(guān)鍵成功因素目標

56、與范圍目標與范圍IT過程綜述過程綜述因果關(guān)系圖. . .績效指標績效指標對目標的測量對目標的測量KGIs關(guān)鍵實務(wù) .-83-0 01 12 23 34 45 50 01 12 23 34 45 5成熟度模型成熟度模型對建立、計劃和追蹤當前的及未來的所需的成熟度進行詳細描述RACI 表表角色與責任(R=職責, A=問責, C=咨詢, I=通知)關(guān)鍵角色關(guān)鍵角色主要屬性:主要屬性:屬性屬性參照參照KPIs戰(zhàn)略方向資源能力意識支持政策其他關(guān)鍵成功因素關(guān)鍵成功因素目標與范圍目標與范圍IT過程綜述過程綜述因果關(guān)系圖. . .績效指標績效指標對目標的測量對目標的測量KGIs關(guān)鍵實務(wù) .用于詳細評估的可測量

57、的屬性與組件評估時可參照的業(yè)務(wù)標準及行業(yè)最佳實踐可用于快速評估的初始標準基于通用的組織流程圖對CSF的分解對IT過程的分解對IT過程目標的描述對IT過程績效的描述-84-0 01 12 23 34 45 50 01 12 23 34 45 5成熟度模型成熟度模型對建立、計劃和追蹤當前的及未來的所需的成熟度進行詳細描述RACI 表表角色與責任(R=職責, A=問責, C=咨詢, I=通知)關(guān)鍵角色關(guān)鍵角色主要屬性:主要屬性:戰(zhàn)略方向資源能力意識支持政策其他關(guān)鍵成功因素關(guān)鍵成功因素目標與范圍目標與范圍IT過程綜述過程綜述因果關(guān)系圖. . .績效指標績效指標對目標的測量對目標的測量KGIsKPIs屬

58、性屬性參照參照關(guān)鍵實務(wù) .-85-lIT過程成熟度模型過程成熟度模型(CMM)定義 CMM制定了一個基準,組織可以確定自己的等級,從而了解自身目前的狀況; 在確定CMM基礎(chǔ)上確定組織的關(guān)鍵成功因素(CSF),通過關(guān)鍵績效指(KPI) 進行監(jiān)控(事中控制),并衡量組織是否能達到關(guān)鍵目標指標(KGI)中所設(shè)定的目標(事后控制); 34個IT過程的每一項都有一個遞增的測量尺度,基于“0”到“5”等級。IT過程成熟度描述CMMCMM-86-l關(guān)鍵成功因素關(guān)鍵成功因素(CSF) 定義 CSF為管理部門實現(xiàn)對IT過程的控制提供指南,它們是實現(xiàn)IT過程目標最重要的一系列因素,可以由戰(zhàn)略的、技術(shù)的、組織的或程

59、序的各種活動組成; 它們通常會涉及IT能力和技能,簡短而集中介紹企業(yè)為達到某方面的目標必須重視的資源和必須實施的控制。 特征 是IT處理或支持的環(huán)境中最基本的促進因素,是為提高IT過程成功的可能性所要做的最重要的事; 是實現(xiàn)成功所需的一種條件,或是一種可取的活動,具有可觀察或可測量的特征; 關(guān)注獲取、維護和利用IT能力與技能,以IT過程的術(shù)語而非業(yè)務(wù)術(shù)語來描述。CSFCSFCOBIT引入的CSF舉例-87-l關(guān)鍵目標指標關(guān)鍵目標指標(KGI)定義: 關(guān)鍵目標指標是對IT過程要達到何種目標的一種表述,或者是對要完成結(jié)果的一種測度; 關(guān)鍵目標指標(KGI)主要在IT過程實施之后,告訴管理部門該IT

60、處理是否滿足其業(yè)務(wù)需求,通常以信息標準的術(shù)語表述。例如: 信息系統(tǒng)及服務(wù)的可用性; 完整性缺失和機密性風險; 信息處理和系統(tǒng)運行的成本有效性; 對可靠性、有效性和符合性的確認。 KGIKGIKGI舉例-88-l關(guān)鍵績效指標關(guān)鍵績效指標(KPI)定義: 關(guān)鍵績效指標(KPI)描述了在實現(xiàn)IT目標的過程中執(zhí)行情況的好壞程度,是判斷目標是否有可能實現(xiàn)的主要指標,也是測定性能、慣例和技能的指標。特征 是對IT過程執(zhí)行程度的測定; 可以預期將來成敗的可能性,是“先導性”指標; 面向過程,由IT驅(qū)動; 以精確的、可測量的術(shù)語表述; 關(guān)注那些被認為是對過程至關(guān)重要的資源; 對此指標進行測量并依此采取行動,將有助于改進IT過程。KPIKPIKPI舉例-

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論