IT治理的目標(biāo)與范圍

1、NANJING AUDIT UNIVERSITY第二章第二章 IT治理治理 第一節(jié)第一節(jié) IT治理概述治理概述 兩個(gè)例子兩個(gè)例子: 1、2002年年5月月29日上午時(shí)分左右，南京火車站電腦售票系統(tǒng)突然日上午時(shí)分左右，南京火車站電腦售票系統(tǒng)突然 發(fā)生死機(jī)故障，整個(gè)車站售票處于癱瘓狀態(tài)，車站售票大廳內(nèi)人滿發(fā)生死機(jī)故障，整個(gè)車站售票處于癱瘓狀態(tài)，車站售票大廳內(nèi)人滿 為患，眾多旅客不得不改乘其它交通工具離開南京。車站領(lǐng)導(dǎo)和計(jì)為患，眾多旅客不得不改乘其它交通工具離開南京。車站領(lǐng)導(dǎo)和計(jì) 算機(jī)技術(shù)人員告訴記者是由于電腦升級(jí)換代，調(diào)試時(shí)線路發(fā)生故障，算機(jī)技術(shù)人員告訴記者是由于電腦升級(jí)換代，調(diào)試時(shí)線路發(fā)生故障，

2、 才引發(fā)了此次系統(tǒng)癱瘓的。才引發(fā)了此次系統(tǒng)癱瘓的。 2、9月月5日廣東省工行因系統(tǒng)故障，全線停業(yè)一個(gè)半小時(shí)。日廣東省工行因系統(tǒng)故障，全線停業(yè)一個(gè)半小時(shí)。 這兩個(gè)例子說明什么？這兩個(gè)例子說明什么？ IT是技術(shù)，是資源，是服務(wù)，更是成本是技術(shù)，是資源，是服務(wù)，更是成本NANJING AUDIT UNIVERSITY企業(yè)需要將企業(yè)需要將IT應(yīng)用于業(yè)務(wù)領(lǐng)域，通常需要提出以下問題：應(yīng)用于業(yè)務(wù)領(lǐng)域，通常需要提出以下問題： 企業(yè)所需要的企業(yè)所需要的IT服務(wù)是什么？服務(wù)是什么？ 這些這些IT服務(wù)需要多少成本？服務(wù)需要多少成本？ 企業(yè)企業(yè)IT應(yīng)用中的決策機(jī)制如何？應(yīng)用中的決策機(jī)制如何？ 企業(yè)企業(yè)IT應(yīng)用中的則、

3、權(quán)、利如何分配？應(yīng)用中的則、權(quán)、利如何分配？ 企業(yè)的企業(yè)的IT應(yīng)用應(yīng)達(dá)到什么樣的水平？應(yīng)用應(yīng)達(dá)到什么樣的水平？ 企業(yè)如何管理好自己的企業(yè)如何管理好自己的IT資源？資源？ 企業(yè)如何做好企業(yè)如何做好IT的風(fēng)險(xiǎn)管理？的風(fēng)險(xiǎn)管理？ 所有這些問題都離不開一個(gè)概念所有這些問題都離不開一個(gè)概念I(lǐng)T治理。治理。 第二章第二章 IT治理治理NANJING AUDIT UNIVERSITY 據(jù)國外一份統(tǒng)計(jì)數(shù)據(jù)表明企業(yè)中據(jù)國外一份統(tǒng)計(jì)數(shù)據(jù)表明企業(yè)中IT系統(tǒng)出現(xiàn)故障有幾大原因：系統(tǒng)出現(xiàn)故障有幾大原因： 1、惡意代碼攻擊惡意代碼攻擊 ; 2、缺乏有效的監(jiān)控制度和手段缺乏有效的監(jiān)控制度和手段; 3、IT設(shè)備本身的性能問題

4、設(shè)備本身的性能問題; 4、應(yīng)用系統(tǒng)應(yīng)用系統(tǒng)/數(shù)據(jù)本身存在問題數(shù)據(jù)本身存在問題; 5、員工缺少技能培訓(xùn)員工缺少技能培訓(xùn); 6、不同部門的不同部門的IT人員之間缺乏協(xié)調(diào)人員之間缺乏協(xié)調(diào); 7、缺少運(yùn)營管理方法論的指導(dǎo)缺少運(yùn)營管理方法論的指導(dǎo); 8、員工不按規(guī)足員工不按規(guī)足/流程操作。流程操作。 可以看到在這些原因中都和管理與流程存在很大關(guān)系，要做好組織可以看到在這些原因中都和管理與流程存在很大關(guān)系，要做好組織 中的中的IT風(fēng)險(xiǎn)控制和信息安全風(fēng)險(xiǎn)控制和信息安全離不開離不開IT治理。治理。 第二章第二章 IT治理治理NANJING AUDIT UNIVERSITY 一、何謂一、何謂IT治理？治理？IT

5、 governance(IT治理治理)是國際是國際IT領(lǐng)域中的新概念，用于描述企業(yè)或政府領(lǐng)域中的新概念，用于描述企業(yè)或政府 是否采用有效的機(jī)制使是否采用有效的機(jī)制使IT的應(yīng)用能夠完成組織賦予它的使命的應(yīng)用能夠完成組織賦予它的使命,同時(shí)同時(shí),平衡平衡 信息技術(shù)與過程的風(fēng)險(xiǎn)信息技術(shù)與過程的風(fēng)險(xiǎn),確保實(shí)現(xiàn)組織的戰(zhàn)略目標(biāo)確保實(shí)現(xiàn)組織的戰(zhàn)略目標(biāo). Roberts.Roussey(美國南加州大學(xué)教授美國南加州大學(xué)教授)定義：定義：( (參見教材參見教材) ) 從從利益相關(guān)者收益角度利益相關(guān)者收益角度 德勤德勤(德勤公司德勤公司)定義定義: (參見教材參見教材) 從內(nèi)部審計(jì)與控制角度從內(nèi)部審計(jì)與控制角度 I

6、SACA定義定義: (參見教材參見教材) 從內(nèi)部審計(jì)與控制角度從內(nèi)部審計(jì)與控制角度 我國定義我國定義: (參見教材參見教材) 第二章第二章 IT治理治理NANJING AUDIT UNIVERSITY第二章第二章 IT治理治理 從從IT的各種定義可總結(jié)出有關(guān)的各種定義可總結(jié)出有關(guān)IT治理的共同點(diǎn)：治理的共同點(diǎn)： 1、 IT治理必須與企業(yè)戰(zhàn)略目標(biāo)一致；治理必須與企業(yè)戰(zhàn)略目標(biāo)一致； 2、 IT治理管理執(zhí)行人員和利益相關(guān)者的責(zé)任（以董事會(huì)為代表）；治理管理執(zhí)行人員和利益相關(guān)者的責(zé)任（以董事會(huì)為代表）； 3、 IT治理保護(hù)利益相關(guān)者的權(quán)益，使風(fēng)險(xiǎn)透明化，指導(dǎo)和控制治理保護(hù)利益相關(guān)者的權(quán)益，使風(fēng)險(xiǎn)透明化

7、，指導(dǎo)和控制IT投投 資、機(jī)遇、利益、風(fēng)險(xiǎn)；資、機(jī)遇、利益、風(fēng)險(xiǎn)； 4、 IT治理包括管理層、組織結(jié)構(gòu)、過程，以確保治理包括管理層、組織結(jié)構(gòu)、過程，以確保IT維持和拓展組織維持和拓展組織 戰(zhàn)略目標(biāo)；戰(zhàn)略目標(biāo)； 5、應(yīng)該合理利用企業(yè)的信息資源，有效地集成與協(xié)調(diào)；應(yīng)該合理利用企業(yè)的信息資源，有效地集成與協(xié)調(diào)； 6、確保確保IT及時(shí)按照目標(biāo)交付，有合適的功能和期望的收益，是一個(gè)及時(shí)按照目標(biāo)交付，有合適的功能和期望的收益，是一個(gè) 一致性和價(jià)值傳遞的基本構(gòu)建模塊，有明確的期望值和衡量手段；一致性和價(jià)值傳遞的基本構(gòu)建模塊，有明確的期望值和衡量手段； 7、引導(dǎo)引導(dǎo)IT戰(zhàn)略平衡系統(tǒng)的投資，支持企業(yè)，戰(zhàn)略平衡系

8、統(tǒng)的投資，支持企業(yè)， 變革企業(yè)，或者創(chuàng)建一變革企業(yè)，或者創(chuàng)建一 個(gè)信息基礎(chǔ)架構(gòu)，保證業(yè)務(wù)增長，并在一個(gè)新的領(lǐng)域競爭；個(gè)信息基礎(chǔ)架構(gòu)，保證業(yè)務(wù)增長，并在一個(gè)新的領(lǐng)域競爭； 8、對(duì)于核心對(duì)于核心IT資源做出合理的決策，進(jìn)入新的市場(chǎng)，驅(qū)動(dòng)競爭策略，資源做出合理的決策，進(jìn)入新的市場(chǎng)，驅(qū)動(dòng)競爭策略， 創(chuàng)造總的收入增長，改善客戶滿意度，維系客戶關(guān)系。創(chuàng)造總的收入增長，改善客戶滿意度，維系客戶關(guān)系。 NANJING AUDIT UNIVERSITY 無論這些定義從哪個(gè)角度關(guān)注無論這些定義從哪個(gè)角度關(guān)注IT治理，但都治理，但都涉及涉及信息系統(tǒng)、技術(shù)及信息系統(tǒng)、技術(shù)及 連通性、商業(yè)活動(dòng)、法律相關(guān)事宜以及所有利益

9、相關(guān)者連通性、商業(yè)活動(dòng)、法律相關(guān)事宜以及所有利益相關(guān)者公司董事、高公司董事、高 級(jí)管理人員、業(yè)務(wù)流程的執(zhí)行者、級(jí)管理人員、業(yè)務(wù)流程的執(zhí)行者、IT供應(yīng)商、供應(yīng)商、IT的使用者以及審計(jì)人員的使用者以及審計(jì)人員 等。等。IT治理對(duì)象。同時(shí)，也是治理對(duì)象。同時(shí)，也是IT治理審計(jì)對(duì)象。治理審計(jì)對(duì)象。 IT治理的使命：治理的使命：保持保持IT與業(yè)務(wù)目標(biāo)一致，推動(dòng)業(yè)務(wù)發(fā)展，促使收益最大與業(yè)務(wù)目標(biāo)一致，推動(dòng)業(yè)務(wù)發(fā)展，促使收益最大 化，合理利用化，合理利用IT資源，適當(dāng)管理與資源，適當(dāng)管理與IT相關(guān)的風(fēng)險(xiǎn)。相關(guān)的風(fēng)險(xiǎn)。 從本質(zhì)上講，從本質(zhì)上講，IT治理：治理： 是一種制度設(shè)計(jì)；是一種制度設(shè)計(jì)； 是一種有效機(jī)制；

10、是一種有效機(jī)制； 是一種是一種IT資源的管理和分配；資源的管理和分配； 是一種風(fēng)險(xiǎn)管理和控制；是一種風(fēng)險(xiǎn)管理和控制； 是一種認(rèn)識(shí)問題；是一種認(rèn)識(shí)問題； 是一個(gè)過程。是一個(gè)過程。 第二章第二章 IT治理治理NANJING AUDIT UNIVERSITY二、二、IT治理與治理與IT管理、公司治理的關(guān)系管理、公司治理的關(guān)系 1、 IT治理與治理與IT管理的關(guān)系。主要體現(xiàn)在：管理的關(guān)系。主要體現(xiàn)在： （1）IT治理是指最高管理層（董事會(huì)）利用它來監(jiān)督管理層在治理是指最高管理層（董事會(huì)）利用它來監(jiān)督管理層在IT戰(zhàn)戰(zhàn) 略上的過程、結(jié)構(gòu)和聯(lián)系，以確保這種運(yùn)營處于正確的軌道之上。略上的過程、結(jié)構(gòu)和聯(lián)系，以確

11、保這種運(yùn)營處于正確的軌道之上。 IT管理是公司的信息及信息系統(tǒng)的運(yùn)營，確定管理是公司的信息及信息系統(tǒng)的運(yùn)營，確定IT目標(biāo)以及實(shí)現(xiàn)目標(biāo)以及實(shí)現(xiàn) 此目標(biāo)所采取的行動(dòng)；此目標(biāo)所采取的行動(dòng)； （2）IT治理與治理與IT管理的關(guān)系，是指導(dǎo)關(guān)系，即先與后，上與下的關(guān)系。管理的關(guān)系，是指導(dǎo)關(guān)系，即先與后，上與下的關(guān)系。 （3）IT治理強(qiáng)調(diào)構(gòu)建良好的管理環(huán)境，而治理強(qiáng)調(diào)構(gòu)建良好的管理環(huán)境，而IT管理強(qiáng)調(diào)對(duì)管理強(qiáng)調(diào)對(duì)IT資源的運(yùn)營。資源的運(yùn)營。 第二章第二章 IT治理治理NANJING AUDIT UNIVERSITY 2、IT治理與公司治理的關(guān)系治理與公司治理的關(guān)系 公司治理：公司治理：是一種對(duì)公司管理和運(yùn)營

12、進(jìn)行監(jiān)督和控制的體系。它不僅是一種對(duì)公司管理和運(yùn)營進(jìn)行監(jiān)督和控制的體系。它不僅 規(guī)定了公司的各個(gè)參與者，而且明確了決策公司事務(wù)時(shí)所應(yīng)遵循規(guī)定了公司的各個(gè)參與者，而且明確了決策公司事務(wù)時(shí)所應(yīng)遵循 的規(guī)則和程序。的規(guī)則和程序。 公司治理直接影響企業(yè)的經(jīng)營和發(fā)展，如：公司治理直接影響企業(yè)的經(jīng)營和發(fā)展，如：安然、世界通信，等事件安然、世界通信，等事件 第二章第二章 IT治理治理 完善的公司治理結(jié)構(gòu)的保障：完善的公司治理結(jié)構(gòu)的保障：有效的內(nèi)部控制。有效的內(nèi)部控制。 公司治理所要解決的問題：公司治理所要解決的問題： 如何使企業(yè)參與各方將各自的要素投入企業(yè)并共同實(shí)施行為，塑如何使企業(yè)參與各方將各自的要素投入

13、企業(yè)并共同實(shí)施行為，塑 造企業(yè)的核心能力、獲取競爭優(yōu)勢(shì)并獲得收益；造企業(yè)的核心能力、獲取競爭優(yōu)勢(shì)并獲得收益； 如何協(xié)調(diào)這一過程中各方的利益和責(zé)任，以便更有利于企業(yè)核心如何協(xié)調(diào)這一過程中各方的利益和責(zé)任，以便更有利于企業(yè)核心 能力的塑造、維護(hù)和發(fā)揮作用能力的塑造、維護(hù)和發(fā)揮作用 NANJING AUDIT UNIVERSITY 其中涉及要素：其中涉及要素：IT資源資源 由此涉及：由此涉及：IT治理問題治理問題 IT治理與公司治理的關(guān)系：治理與公司治理的關(guān)系： 公司治理和公司治理和IT治理都是市場(chǎng)治理都是市場(chǎng) (含政府含政府)他律的機(jī)制，是如何他律的機(jī)制，是如何“管好管理者管好管理者” 的機(jī)制，其

14、目標(biāo)也是一致的：達(dá)到業(yè)務(wù)永續(xù)運(yùn)營，并增加組織的長的機(jī)制，其目標(biāo)也是一致的：達(dá)到業(yè)務(wù)永續(xù)運(yùn)營，并增加組織的長 期獲利機(jī)會(huì)。期獲利機(jī)會(huì)。 公司治理驅(qū)動(dòng)和調(diào)整公司治理驅(qū)動(dòng)和調(diào)整IT治理；治理；IT影響企業(yè)的戰(zhàn)略競爭機(jī)遇。影響企業(yè)的戰(zhàn)略競爭機(jī)遇。 公司治理側(cè)重于企業(yè)整體規(guī)劃；公司治理側(cè)重于企業(yè)整體規(guī)劃； IT治理側(cè)重于企業(yè)中信息資源的有效利治理側(cè)重于企業(yè)中信息資源的有效利 用和管理。用和管理。 處理好處理好IT治治理與公司治理的關(guān)系，應(yīng)解決：理與公司治理的關(guān)系，應(yīng)解決： 第二章第二章 IT治理治理NANJING AUDIT UNIVERSITY 1、認(rèn)識(shí)上，要將信息技術(shù)不僅視為技術(shù)，更是業(yè)務(wù)認(rèn)識(shí)上，要

15、將信息技術(shù)不僅視為技術(shù)，更是業(yè)務(wù) ； 2、戰(zhàn)略上，促進(jìn)戰(zhàn)略上，促進(jìn)IT戰(zhàn)略與公司戰(zhàn)略的整合，使戰(zhàn)略與公司戰(zhàn)略的整合，使IT成為公司戰(zhàn)略的中心，成為公司戰(zhàn)略的中心， 保證公司戰(zhàn)略從制訂之初就具備競爭力；保證公司戰(zhàn)略從制訂之初就具備競爭力； 3、實(shí)施上，通過實(shí)施上，通過IT治理，主要從風(fēng)險(xiǎn)回避方面保證公司治理的落實(shí)。治理，主要從風(fēng)險(xiǎn)回避方面保證公司治理的落實(shí)。 第二章第二章 IT治理治理 第二節(jié)第二節(jié) IT治理的目標(biāo)和范圍治理的目標(biāo)和范圍 一、一、IT治理的目標(biāo)治理的目標(biāo) NANJING AUDIT UNIVERSITY IT治理應(yīng)著眼于以下目標(biāo)：治理應(yīng)著眼于以下目標(biāo)： 1、與業(yè)務(wù)目標(biāo)一致與業(yè)務(wù)目

16、標(biāo)一致 原則：原則：服從于企業(yè)戰(zhàn)略，不能背離服從于企業(yè)戰(zhàn)略，不能背離 2、有效利用信息資源有效利用信息資源 IT治理的使命：治理的使命：通過及時(shí)、有效的通過及時(shí)、有效的IT治理，促進(jìn)信息的價(jià)值轉(zhuǎn)化治理，促進(jìn)信息的價(jià)值轉(zhuǎn)化 3、風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理 通過通過IT治理：治理：構(gòu)建風(fēng)險(xiǎn)管理制度及風(fēng)險(xiǎn)應(yīng)對(duì)決策；構(gòu)建風(fēng)險(xiǎn)管理制度及風(fēng)險(xiǎn)應(yīng)對(duì)決策； 使風(fēng)險(xiǎn)透明化；使風(fēng)險(xiǎn)透明化； 有效的風(fēng)險(xiǎn)投資、管理和控制；有效的風(fēng)險(xiǎn)投資、管理和控制； 風(fēng)險(xiǎn)的防范措施。風(fēng)險(xiǎn)的防范措施。 實(shí)現(xiàn)：實(shí)現(xiàn)：平衡信息技術(shù)與過程的風(fēng)險(xiǎn)，確保組織目標(biāo)的實(shí)現(xiàn)平衡信息技術(shù)與過程的風(fēng)險(xiǎn)，確保組織目標(biāo)的實(shí)現(xiàn) 第二章第二章 IT治理治理NANJING

17、AUDIT UNIVERSITY 案例：如何根據(jù)企業(yè)戰(zhàn)略制定案例：如何根據(jù)企業(yè)戰(zhàn)略制定IT戰(zhàn)略戰(zhàn)略 某物流配送公司的發(fā)展戰(zhàn)略框架如下圖：某物流配送公司的發(fā)展戰(zhàn)略框架如下圖： 遠(yuǎn)景：遠(yuǎn)景：致力于成為國內(nèi)精致力于成為國內(nèi)精益物流的先鋒益物流的先鋒使命：使命：建立國家級(jí)的物流配送建立國家級(jí)的物流配送基地，以便捷客戶為己任基地，以便捷客戶為己任價(jià)值觀：價(jià)值觀：以人為本，追求卓越，以人為本，追求卓越，責(zé)任為先責(zé)任為先總體戰(zhàn)略目標(biāo)：總體戰(zhàn)略目標(biāo)：解決企業(yè)長期存在的物流管理分散、庫存難于控制、訂單匯總滯解決企業(yè)長期存在的物流管理分散、庫存難于控制、訂單匯總滯后等方面的懸而未決的難題，推動(dòng)商務(wù)，實(shí)現(xiàn)企業(yè)價(jià)值最

18、大化后等方面的懸而未決的難題，推動(dòng)商務(wù)，實(shí)現(xiàn)企業(yè)價(jià)值最大化第二章第二章 IT治理治理NANJING AUDIT UNIVERSITY 根據(jù)該公司的發(fā)展戰(zhàn)略框架確定需重點(diǎn)解決的問題：根據(jù)該公司的發(fā)展戰(zhàn)略框架確定需重點(diǎn)解決的問題： (1)集成物流分散點(diǎn)，降低營運(yùn)成本與費(fèi)用；集成物流分散點(diǎn)，降低營運(yùn)成本與費(fèi)用； (2)建立庫存控制機(jī)制與準(zhǔn)則，避免內(nèi)部控制和監(jiān)管的失靈；建立庫存控制機(jī)制與準(zhǔn)則，避免內(nèi)部控制和監(jiān)管的失靈； (3)集成和標(biāo)準(zhǔn)化訂單業(yè)務(wù)流程；集成和標(biāo)準(zhǔn)化訂單業(yè)務(wù)流程； (4)建立追究責(zé)任制，完善安全管理；建立追究責(zé)任制，完善安全管理； (5)推動(dòng)商務(wù)運(yùn)作，加強(qiáng)對(duì)外合作與聯(lián)盟；推動(dòng)商務(wù)運(yùn)作，加

19、強(qiáng)對(duì)外合作與聯(lián)盟； (6)滿足現(xiàn)有客戶，擴(kuò)展新客戶；滿足現(xiàn)有客戶，擴(kuò)展新客戶； (7)完善貨款追蹤到位機(jī)制。完善貨款追蹤到位機(jī)制。第二章第二章 IT治理治理NANJING AUDIT UNIVERSITY 根據(jù)目標(biāo)和問題，確定根據(jù)目標(biāo)和問題，確定IT建設(shè)內(nèi)容，即建設(shè)內(nèi)容，即IT戰(zhàn)略目標(biāo)：戰(zhàn)略目標(biāo)： (1)聯(lián)網(wǎng)各分散物流點(diǎn)的執(zhí)行系統(tǒng)，由總部統(tǒng)一監(jiān)控與管理；聯(lián)網(wǎng)各分散物流點(diǎn)的執(zhí)行系統(tǒng)，由總部統(tǒng)一監(jiān)控與管理； (2)構(gòu)建構(gòu)建JIT配送平臺(tái)，確保零庫存；配送平臺(tái)，確保零庫存； (3)采用物流執(zhí)行系統(tǒng)，從而組成完整的訂單，并持續(xù)改進(jìn)客戶的響應(yīng)速采用物流執(zhí)行系統(tǒng)，從而組成完整的訂單，并持續(xù)改進(jìn)客戶的響應(yīng)速

20、 度，同時(shí)，該系統(tǒng)可以幫助客戶將訂單轉(zhuǎn)變成可以發(fā)運(yùn)的品項(xiàng)，從而度，同時(shí)，該系統(tǒng)可以幫助客戶將訂單轉(zhuǎn)變成可以發(fā)運(yùn)的品項(xiàng)，從而 降低運(yùn)輸費(fèi)用；降低運(yùn)輸費(fèi)用； (4)完善客戶訂單與發(fā)貨品的追蹤系統(tǒng)，使客戶能夠及時(shí)獲取貨項(xiàng)信息；完善客戶訂單與發(fā)貨品的追蹤系統(tǒng)，使客戶能夠及時(shí)獲取貨項(xiàng)信息； (5)建立電子商務(wù)平臺(tái)，通過網(wǎng)絡(luò)實(shí)現(xiàn)配送外協(xié)等合作，提高與供應(yīng)商、建立電子商務(wù)平臺(tái)，通過網(wǎng)絡(luò)實(shí)現(xiàn)配送外協(xié)等合作，提高與供應(yīng)商、 政府部門之間配合的效率政府部門之間配合的效率; (6)建立客戶關(guān)系管理系統(tǒng)，通過建立客戶關(guān)系管理系統(tǒng)，通過Web網(wǎng)站、網(wǎng)站、E-Mail系統(tǒng)、呼叫中心、自系統(tǒng)、呼叫中心、自 動(dòng)傳真回復(fù)系統(tǒng)等

21、，向客戶提供動(dòng)傳真回復(fù)系統(tǒng)等，向客戶提供365天天24小時(shí)的不間斷服務(wù)；小時(shí)的不間斷服務(wù)； (7)搭建財(cái)務(wù)管理系統(tǒng)，保證財(cái)務(wù)部門及所有受支持的部門都能獲得精、搭建財(cái)務(wù)管理系統(tǒng)，保證財(cái)務(wù)部門及所有受支持的部門都能獲得精、 快的財(cái)務(wù)信息，以便有效地進(jìn)行業(yè)務(wù)決策及監(jiān)控現(xiàn)金的收支情況。快的財(cái)務(wù)信息，以便有效地進(jìn)行業(yè)務(wù)決策及監(jiān)控現(xiàn)金的收支情況。 根據(jù)以上所確定的根據(jù)以上所確定的IT建設(shè)內(nèi)容，并形成了該公司的建設(shè)內(nèi)容，并形成了該公司的IT藍(lán)圖（見圖）藍(lán)圖（見圖） 第二章第二章 IT治理治理NANJING AUDIT UNIVERSITY發(fā)貨品管理發(fā)貨品管理成本管理成本管理 安全管理安全管理 訂單管理訂單管

22、理 配送管理配送管理 客戶管理客戶管理反向物流管理反向物流管理 第三方管理第三方管理 呼叫中心呼叫中心 市場(chǎng)分析市場(chǎng)分析 人人力力資資源源管管理理、財(cái)財(cái)務(wù)務(wù)管管理理協(xié)協(xié)同同辦辦公公平平臺(tái)臺(tái)管管理理第二章第二章 IT治理治理NANJING AUDIT UNIVERSITY 二、二、IT治理的范圍治理的范圍 IT治理范圍可從不同角度劃分：治理范圍可從不同角度劃分： 1、從治理的組織范圍看：、從治理的組織范圍看：覆蓋企業(yè)全部范圍，包括最高管理層、執(zhí)行管覆蓋企業(yè)全部范圍，包括最高管理層、執(zhí)行管 理層，乃至虛擬組織、戰(zhàn)略聯(lián)盟，等理層，乃至虛擬組織、戰(zhàn)略聯(lián)盟，等 2、從治理的內(nèi)容范圍看：、從治理的內(nèi)容范圍

23、看：包括治理目標(biāo)、治理結(jié)構(gòu)、組織的整體戰(zhàn)略、包括治理目標(biāo)、治理結(jié)構(gòu)、組織的整體戰(zhàn)略、 組織運(yùn)營管理、風(fēng)險(xiǎn)與價(jià)值、成本與控制、審計(jì)與監(jiān)督、服務(wù)組織運(yùn)營管理、風(fēng)險(xiǎn)與價(jià)值、成本與控制、審計(jì)與監(jiān)督、服務(wù) 標(biāo)準(zhǔn)和規(guī)范等方面的內(nèi)容。標(biāo)準(zhǔn)和規(guī)范等方面的內(nèi)容。 第二章第二章 IT治理治理NANJING AUDIT UNIVERSITY 第三節(jié)第三節(jié) IT治理的關(guān)鍵問題治理的關(guān)鍵問題 一、一、IT治理的關(guān)鍵問題治理的關(guān)鍵問題 IT治理的關(guān)鍵問題表現(xiàn)在：治理的關(guān)鍵問題表現(xiàn)在： 1、 IT投資是否與企業(yè)經(jīng)營在戰(zhàn)略目標(biāo)投資是否與企業(yè)經(jīng)營在戰(zhàn)略目標(biāo)(Strategy)，策略，策略(Tactic)和運(yùn)和運(yùn) 營營(即即op

24、eration)層面相融合，從而構(gòu)筑必要的核心競爭力；層面相融合，從而構(gòu)筑必要的核心競爭力； 2、IT治理是否有助于合理的制度安排真正發(fā)揮其作用；治理是否有助于合理的制度安排真正發(fā)揮其作用； 3、在長期的在長期的IT應(yīng)用中，是否持續(xù)地創(chuàng)造商業(yè)價(jià)值；應(yīng)用中，是否持續(xù)地創(chuàng)造商業(yè)價(jià)值； 4、是否有有效的風(fēng)險(xiǎn)管理機(jī)制。是否有有效的風(fēng)險(xiǎn)管理機(jī)制。 其中最關(guān)鍵的問題是第一點(diǎn)：其中最關(guān)鍵的問題是第一點(diǎn)：IT治理應(yīng)體現(xiàn)以治理應(yīng)體現(xiàn)以“組織戰(zhàn)略目標(biāo)為中心組織戰(zhàn)略目標(biāo)為中心”思想。思想。 第二章第二章 IT治理治理NANJING AUDIT UNIVERSITY 搞好搞好IT治理必須解決的問題：治理必須解決的問題

25、： 1、IT關(guān)鍵領(lǐng)域誰做決策和如何決策。關(guān)鍵領(lǐng)域誰做決策和如何決策。 5個(gè)個(gè)IT關(guān)鍵領(lǐng)域：關(guān)鍵領(lǐng)域：A、信息技術(shù)原則；信息技術(shù)原則； B、信息技術(shù)結(jié)構(gòu)；信息技術(shù)結(jié)構(gòu)； C、信息技術(shù)基礎(chǔ)設(shè)施；信息技術(shù)基礎(chǔ)設(shè)施； D、企業(yè)應(yīng)用需要；企業(yè)應(yīng)用需要； E、信息技術(shù)投資及優(yōu)先順序。信息技術(shù)投資及優(yōu)先順序。 2、信息化中的責(zé)、權(quán)、利問題；信息化中的責(zé)、權(quán)、利問題； 3、信息化建設(shè)中的風(fēng)險(xiǎn)評(píng)估和績效評(píng)價(jià)問題；信息化建設(shè)中的風(fēng)險(xiǎn)評(píng)估和績效評(píng)價(jià)問題； 4、信息系統(tǒng)控制與信息技術(shù)管理體系問題。信息系統(tǒng)控制與信息技術(shù)管理體系問題。 第二章第二章 IT治理治理NANJING AUDIT UNIVERSITY 信息化建

26、設(shè)中的風(fēng)險(xiǎn)管理及評(píng)估流程：信息化建設(shè)中的風(fēng)險(xiǎn)管理及評(píng)估流程： 1) 確立可承受的確立可承受的IT風(fēng)險(xiǎn)損失價(jià)值；風(fēng)險(xiǎn)損失價(jià)值； 2) IT風(fēng)險(xiǎn)識(shí)別；（風(fēng)險(xiǎn)識(shí)別；（列舉清單法、專家判斷法、工作分解分析法、信息檢索列舉清單法、專家判斷法、工作分解分析法、信息檢索 法、訪談法、流程圖和魚刺圖法）法、訪談法、流程圖和魚刺圖法） 3) IT風(fēng)險(xiǎn)預(yù)測(cè)；風(fēng)險(xiǎn)預(yù)測(cè)； 4) IT風(fēng)險(xiǎn)日常管理與控制；風(fēng)險(xiǎn)日常管理與控制； 5) IT盈利與損失統(tǒng)計(jì)；盈利與損失統(tǒng)計(jì)； 6) 風(fēng)險(xiǎn)再評(píng)級(jí)。風(fēng)險(xiǎn)再評(píng)級(jí)。 第二章第二章 IT治理治理 績效評(píng)價(jià)方法（業(yè)績衡量）績效評(píng)價(jià)方法（業(yè)績衡量）IT平衡計(jì)分卡法。主要從以下平衡計(jì)分卡法。主

27、要從以下幾個(gè)方面衡量：幾個(gè)方面衡量： (1) IT價(jià)值貢獻(xiàn)；價(jià)值貢獻(xiàn)； (2) 客戶滿意度；客戶滿意度； (3) 內(nèi)部處理過程；內(nèi)部處理過程； (4) 學(xué)習(xí)與創(chuàng)新。學(xué)習(xí)與創(chuàng)新。 NANJING AUDIT UNIVERSITY (1) IT價(jià)值貢獻(xiàn)：價(jià)值貢獻(xiàn)： 主要用于評(píng)價(jià)主要用于評(píng)價(jià)IT投資對(duì)企業(yè)的價(jià)值綜合影響，投資對(duì)企業(yè)的價(jià)值綜合影響，IT是否滿足企業(yè)的戰(zhàn)略需是否滿足企業(yè)的戰(zhàn)略需 要以及是否支付預(yù)期的財(cái)務(wù)收益，評(píng)價(jià)要以及是否支付預(yù)期的財(cái)務(wù)收益，評(píng)價(jià)IT價(jià)值貢獻(xiàn)度的時(shí)候，需要考價(jià)值貢獻(xiàn)度的時(shí)候，需要考 慮以下問題：慮以下問題： ?IT戰(zhàn)略和組織戰(zhàn)略需要集成的程度；戰(zhàn)略和組織戰(zhàn)略需要集成的程度

28、； ?整體整體IT組合如何很好地進(jìn)行管理；組合如何很好地進(jìn)行管理； ?IT花費(fèi)是否與預(yù)期指出集成；花費(fèi)是否與預(yù)期指出集成； ?最大化業(yè)務(wù)價(jià)值和最大化業(yè)務(wù)價(jià)值和IT成本成本效益。效益。 第二章第二章 IT治理治理 (2) 客戶滿意度；客戶滿意度； 主要從用戶的視角評(píng)價(jià)主要從用戶的視角評(píng)價(jià)IT提供的服務(wù)與支持在滿足用戶方面達(dá)到的水提供的服務(wù)與支持在滿足用戶方面達(dá)到的水 平。在評(píng)估平。在評(píng)估IT對(duì)客戶滿意度的影響的時(shí)候，需要考慮如下問題：對(duì)客戶滿意度的影響的時(shí)候，需要考慮如下問題： ?業(yè)務(wù)單元與業(yè)務(wù)單元與IT人員是否很好地集成到信息系統(tǒng)開發(fā)與獲取的項(xiàng)目中；人員是否很好地集成到信息系統(tǒng)開發(fā)與獲取的項(xiàng)目

29、中； ?客戶對(duì)支付的客戶對(duì)支付的IT產(chǎn)品與服務(wù)是否滿意；產(chǎn)品與服務(wù)是否滿意； ?用戶對(duì)用戶對(duì)IT應(yīng)用的接收和掌握情況。應(yīng)用的接收和掌握情況。 NANJING AUDIT UNIVERSITY (3) 內(nèi)部處理過程內(nèi)部處理過程 IT內(nèi)部過程關(guān)注內(nèi)部過程關(guān)注IT部門部門 兩個(gè)基本過程的改進(jìn)和度量：系統(tǒng)開發(fā)過程以及兩個(gè)基本過程的改進(jìn)和度量：系統(tǒng)開發(fā)過程以及 系統(tǒng)運(yùn)營過程，此外也關(guān)注其他過程，如問題管理、用戶教育、人員管系統(tǒng)運(yùn)營過程，此外也關(guān)注其他過程，如問題管理、用戶教育、人員管 理、通信渠道的使用等。在評(píng)價(jià)理、通信渠道的使用等。在評(píng)價(jià)IT內(nèi)部過程，主要考慮以下問題：內(nèi)部過程，主要考慮以下問題： ?

30、交付的產(chǎn)品質(zhì)量是否符合通用標(biāo)準(zhǔn)；交付的產(chǎn)品質(zhì)量是否符合通用標(biāo)準(zhǔn)； ?交付的產(chǎn)品是否使用可普遍接受的方法與工具；交付的產(chǎn)品是否使用可普遍接受的方法與工具； ?用于支持主要過程改進(jìn)的用于支持主要過程改進(jìn)的IT資源是否充分；資源是否充分； ?基礎(chǔ)設(shè)施是否為業(yè)務(wù)需要提供了可靠支持；基礎(chǔ)設(shè)施是否為業(yè)務(wù)需要提供了可靠支持； ?企業(yè)企業(yè)IT基礎(chǔ)設(shè)施是否得到維護(hù)?；A(chǔ)設(shè)施是否得到維護(hù)。 第二章第二章 IT治理治理 (4) 學(xué)習(xí)與創(chuàng)新學(xué)習(xí)與創(chuàng)新 主要用于評(píng)價(jià)主要用于評(píng)價(jià)IT組織的技能水平以及持續(xù)學(xué)習(xí)和革新的能力。在評(píng)價(jià)組織的技能水平以及持續(xù)學(xué)習(xí)和革新的能力。在評(píng)價(jià)IT 學(xué)習(xí)與革新能力的時(shí)候，主要考慮以下問題：學(xué)

31、習(xí)與革新能力的時(shí)候，主要考慮以下問題： ?是否有正確的技能與人員來保證質(zhì)量；是否有正確的技能與人員來保證質(zhì)量； ?是否追蹤對(duì)企業(yè)業(yè)務(wù)發(fā)展有重要意義的新技術(shù)的方向；是否追蹤對(duì)企業(yè)業(yè)務(wù)發(fā)展有重要意義的新技術(shù)的方向； ?是否使用認(rèn)可的方法來構(gòu)建與管理是否使用認(rèn)可的方法來構(gòu)建與管理IT項(xiàng)目；項(xiàng)目； ?是否為員工提供適當(dāng)?shù)墓ぞ?、培?xùn)、執(zhí)行任務(wù)的動(dòng)機(jī)。是否為員工提供適當(dāng)?shù)墓ぞ摺⑴嘤?xùn)、執(zhí)行任務(wù)的動(dòng)機(jī)。 NANJING AUDIT UNIVERSITY 二、二、IT治理缺失的癥狀治理缺失的癥狀 1、各自為政，缺乏統(tǒng)一、全局的各自為政，缺乏統(tǒng)一、全局的IT戰(zhàn)略規(guī)劃；戰(zhàn)略規(guī)劃； 2、信息化建設(shè)領(lǐng)導(dǎo)者錯(cuò)位，信息化建

32、設(shè)領(lǐng)導(dǎo)者錯(cuò)位，IT應(yīng)用方案和企業(yè)業(yè)務(wù)需求之間邏輯錯(cuò)位；應(yīng)用方案和企業(yè)業(yè)務(wù)需求之間邏輯錯(cuò)位； 3、決策的技術(shù)經(jīng)濟(jì)論證不足；決策的技術(shù)經(jīng)濟(jì)論證不足； 4、信息資源的合理應(yīng)用是信息化的薄弱環(huán)節(jié)；信息資源的合理應(yīng)用是信息化的薄弱環(huán)節(jié)； 5、利益沖突和信息的不透明；利益沖突和信息的不透明； 6、IT安全治理和風(fēng)險(xiǎn)管理缺位；安全治理和風(fēng)險(xiǎn)管理缺位； 7、非技術(shù)性的障礙；非技術(shù)性的障礙； 8、重硬件購買，輕軟件和咨詢服務(wù)；重硬件購買，輕軟件和咨詢服務(wù)； 9、信息化建設(shè)找不到重心。信息化建設(shè)找不到重心。 第二章第二章 IT治理治理NANJING AUDIT UNIVERSITY 建立有效的建立有效的IT治理需

33、從治理需從5個(gè)領(lǐng)域進(jìn)行：個(gè)領(lǐng)域進(jìn)行： 1、IT戰(zhàn)略一致性；戰(zhàn)略一致性； 2、IT價(jià)值交付；價(jià)值交付； 3、IT資源管理；資源管理； 4、IT風(fēng)險(xiǎn)管理；風(fēng)險(xiǎn)管理； 5、IT性能評(píng)價(jià)。性能評(píng)價(jià)。 第二章第二章 IT治理治理 第四節(jié)第四節(jié) IT治理框架和標(biāo)準(zhǔn)治理框架和標(biāo)準(zhǔn) 一、一、IT治理框架治理框架 構(gòu)建構(gòu)建IT治理架購包含三個(gè)方面治理架購包含三個(gè)方面: 組織機(jī)構(gòu)、流程、溝通機(jī)制組織機(jī)構(gòu)、流程、溝通機(jī)制 NANJING AUDIT UNIVERSITY 1、組織結(jié)構(gòu)。由誰負(fù)責(zé)決策，組織結(jié)構(gòu)的形式如何？組織結(jié)構(gòu)中各成組織結(jié)構(gòu)。由誰負(fù)責(zé)決策，組織結(jié)構(gòu)的形式如何？組織結(jié)構(gòu)中各成 員的責(zé)任分別是什么？員的

34、責(zé)任分別是什么？ 第二章第二章 IT治理治理 （1）IT治理最高管理層治理最高管理層(董事會(huì)董事會(huì))： IT戰(zhàn)略的總體制定與決策者，負(fù)責(zé)戰(zhàn)略的總體制定與決策者，負(fù)責(zé) 指引信息化的方向與戰(zhàn)略制定指引信息化的方向與戰(zhàn)略制定 ，平衡支持企業(yè)和使企業(yè)成長的投，平衡支持企業(yè)和使企業(yè)成長的投 資。資。 （ 2）IT治理委員會(huì)。治理委員會(huì)。向董事會(huì)負(fù)責(zé)，解決設(shè)計(jì)標(biāo)準(zhǔn)的問題，負(fù)責(zé)確向董事會(huì)負(fù)責(zé)，解決設(shè)計(jì)標(biāo)準(zhǔn)的問題，負(fù)責(zé)確 立立IT戰(zhàn)略方向，決定和建立資金杠桿，批準(zhǔn)所有主要的發(fā)展項(xiàng)戰(zhàn)略方向，決定和建立資金杠桿，批準(zhǔn)所有主要的發(fā)展項(xiàng) 目并監(jiān)督結(jié)果。目并監(jiān)督結(jié)果。 IT治理委員會(huì)責(zé)任：治理委員會(huì)責(zé)任：(1)政策制定

35、；政策制定；(2)控制控制(預(yù)算通過，項(xiàng)目權(quán)預(yù)算通過，項(xiàng)目權(quán) 威，績效評(píng)價(jià)威，績效評(píng)價(jià))；(3)績效度量和報(bào)告。績效度量和報(bào)告。 NANJING AUDIT UNIVERSITY （ 3）CIO。CIO崗位的職責(zé)崗位的職責(zé): 發(fā)起制定、組織完成企業(yè)發(fā)起制定、組織完成企業(yè)IT戰(zhàn)略規(guī)劃戰(zhàn)略規(guī)劃; 開發(fā)企業(yè)應(yīng)用，協(xié)調(diào)企業(yè)和部門的應(yīng)用開發(fā)開發(fā)企業(yè)應(yīng)用，協(xié)調(diào)企業(yè)和部門的應(yīng)用開發(fā); 保障保障IT基礎(chǔ)設(shè)施和基礎(chǔ)設(shè)施和 體系架構(gòu)的運(yùn)行及投資體系架構(gòu)的運(yùn)行及投資; 決定決定IT服務(wù)和技能服務(wù)；服務(wù)和技能服務(wù)； 建立關(guān)鍵的建立關(guān)鍵的IT 供應(yīng)商和咨詢顧問間的戰(zhàn)略伙伴關(guān)系；供應(yīng)商和咨詢顧問間的戰(zhàn)略伙伴關(guān)系； 提供技

36、術(shù)支持使企業(yè)增加收提供技術(shù)支持使企業(yè)增加收 入和盈利能力入和盈利能力; 維護(hù)客戶滿意度；維護(hù)客戶滿意度； 向用戶提供培訓(xùn)。向用戶提供培訓(xùn)。 第二章第二章 IT治理治理 （ 4）管理者。管理者的職責(zé)是：）管理者。管理者的職責(zé)是：將將IT風(fēng)險(xiǎn)管理責(zé)任和控制落實(shí)到企業(yè)中；風(fēng)險(xiǎn)管理責(zé)任和控制落實(shí)到企業(yè)中； 將戰(zhàn)略，策略，目標(biāo)等落實(shí)到企業(yè)日常工作中，并使信息技術(shù)的組織將戰(zhàn)略，策略，目標(biāo)等落實(shí)到企業(yè)日常工作中，并使信息技術(shù)的組織 與企業(yè)目標(biāo)一致；與企業(yè)目標(biāo)一致； 促進(jìn)信息的創(chuàng)造與共享；促進(jìn)信息的創(chuàng)造與共享； 通過衡量公司業(yè)績和競通過衡量公司業(yè)績和競 爭優(yōu)勢(shì)來測(cè)度信息技術(shù)的效果爭優(yōu)勢(shì)來測(cè)度信息技術(shù)的效果 ；

37、 關(guān)注重要的增值的信息技術(shù)過程；關(guān)注重要的增值的信息技術(shù)過程； 關(guān)注與規(guī)劃和管理關(guān)注與規(guī)劃和管理IT資產(chǎn)、風(fēng)險(xiǎn)、工程項(xiàng)目、客戶和供應(yīng)商相關(guān)的資產(chǎn)、風(fēng)險(xiǎn)、工程項(xiàng)目、客戶和供應(yīng)商相關(guān)的 核心競爭能力，等。核心競爭能力，等。 NANJING AUDIT UNIVERSITY （ 5）信息技術(shù)人員。）信息技術(shù)人員。負(fù)責(zé)項(xiàng)目的開發(fā)與實(shí)施；負(fù)責(zé)項(xiàng)目的開發(fā)與實(shí)施； 負(fù)責(zé)項(xiàng)目技術(shù)指導(dǎo)與實(shí)現(xiàn)；負(fù)責(zé)項(xiàng)目技術(shù)指導(dǎo)與實(shí)現(xiàn)； 負(fù)責(zé)信息系統(tǒng)的日常運(yùn)行與維護(hù)；負(fù)責(zé)信息系統(tǒng)的日常運(yùn)行與維護(hù)； 為業(yè)務(wù)部門和管理人員提供技術(shù)為業(yè)務(wù)部門和管理人員提供技術(shù) 服務(wù)支持。服務(wù)支持。 第二章第二章 IT治理治理 （ 6）外部和內(nèi)部審計(jì)人員

38、。）外部和內(nèi)部審計(jì)人員。信息系統(tǒng)的管理、規(guī)劃與組織評(píng)價(jià)；信息系統(tǒng)的管理、規(guī)劃與組織評(píng)價(jià)； 評(píng)價(jià)組評(píng)價(jià)組 織在技術(shù)與操作基礎(chǔ)設(shè)施的管理和實(shí)施方面的有效性及效率；織在技術(shù)與操作基礎(chǔ)設(shè)施的管理和實(shí)施方面的有效性及效率； 對(duì)邏對(duì)邏 輯、環(huán)境與信息技術(shù)基礎(chǔ)設(shè)施的安全性進(jìn)行評(píng)價(jià)；輯、環(huán)境與信息技術(shù)基礎(chǔ)設(shè)施的安全性進(jìn)行評(píng)價(jià)； 對(duì)災(zāi)難恢復(fù)與業(yè)對(duì)災(zāi)難恢復(fù)與業(yè) 務(wù)持續(xù)計(jì)劃評(píng)價(jià)；務(wù)持續(xù)計(jì)劃評(píng)價(jià)； 對(duì)應(yīng)用系統(tǒng)的開發(fā)、獲得、實(shí)施與維護(hù)方面所對(duì)應(yīng)用系統(tǒng)的開發(fā)、獲得、實(shí)施與維護(hù)方面所 采用的方法和流程進(jìn)行評(píng)價(jià)；采用的方法和流程進(jìn)行評(píng)價(jià)； 業(yè)務(wù)流程評(píng)價(jià)與風(fēng)險(xiǎn)管理評(píng)價(jià)。業(yè)務(wù)流程評(píng)價(jià)與風(fēng)險(xiǎn)管理評(píng)價(jià)。 NANJING AUDIT

39、UNIVERSITY 2、流程。流程。IT投資決策是如何作出的？在決策流程中，投資建議、投資投資決策是如何作出的？在決策流程中，投資建議、投資 評(píng)估、批準(zhǔn)投資和區(qū)分優(yōu)先級(jí)是如何進(jìn)行的？評(píng)估、批準(zhǔn)投資和區(qū)分優(yōu)先級(jí)是如何進(jìn)行的？ 第二章第二章 IT治理治理 3、溝通。這些決策和流程的結(jié)果效能如果度量，如何監(jiān)控風(fēng)險(xiǎn)？又如溝通。這些決策和流程的結(jié)果效能如果度量，如何監(jiān)控風(fēng)險(xiǎn)？又如 何得到溝通？在相關(guān)利益者之間投資決策采用何種機(jī)制加以溝通？何得到溝通？在相關(guān)利益者之間投資決策采用何種機(jī)制加以溝通？ NANJING AUDIT UNIVERSITY第二章第二章 IT治理治理 二二、IT治理標(biāo)準(zhǔn)治理標(biāo)準(zhǔn) 有

40、關(guān)有關(guān)IT治理的標(biāo)準(zhǔn)主要有：治理的標(biāo)準(zhǔn)主要有： 1、信息及其相關(guān)技術(shù)的管理體系模型和最佳實(shí)務(wù)一信息及其相關(guān)技術(shù)的管理體系模型和最佳實(shí)務(wù)一COBIT ； 2、IT基礎(chǔ)架構(gòu)庫基礎(chǔ)架構(gòu)庫ITIL (Information Technology Infrastructure Library) ； 3、ISO/IEC17799:2000（信息安全管理實(shí)務(wù)準(zhǔn)則（信息安全管理實(shí)務(wù)準(zhǔn)則 ） 4、PRINCE2（有關(guān)項(xiàng)目管理支持服務(wù)標(biāo)準(zhǔn)）（有關(guān)項(xiàng)目管理支持服務(wù)標(biāo)準(zhǔn)） 5、TICKIT（軟件質(zhì)量管理系統(tǒng)保證標(biāo)準(zhǔn)）；（軟件質(zhì)量管理系統(tǒng)保證標(biāo)準(zhǔn)）； 6、NIST80O（公認(rèn)安防信息技術(shù)系統(tǒng)原則和實(shí)務(wù)）；（公認(rèn)安防信息

41、技術(shù)系統(tǒng)原則和實(shí)務(wù)）； 7、COSO綜合性框架；綜合性框架； 三種較為流行的三種較為流行的IT治理評(píng)價(jià)方法：治理評(píng)價(jià)方法： CobIT成熟度模型、成熟度模型、PW方法方法 、 CBSO法法 NANJING AUDIT UNIVERSITY第二章第二章 IT治理治理NANJING AUDIT UNIVERSITY 三三、COBIT簡介：簡介： COBIT（信息及相關(guān)技術(shù)的控制目標(biāo)），是有關(guān)（信息及相關(guān)技術(shù)的控制目標(biāo)），是有關(guān)IT治理的一個(gè)開放標(biāo)準(zhǔn)。治理的一個(gè)開放標(biāo)準(zhǔn)。 該標(biāo)準(zhǔn)該標(biāo)準(zhǔn)是國際公認(rèn)的最先進(jìn)、最權(quán)威的安全與信息技術(shù)管理和控制的標(biāo)準(zhǔn)。是國際公認(rèn)的最先進(jìn)、最權(quán)威的安全與信息技術(shù)管理和控制的標(biāo)

42、準(zhǔn)。 該標(biāo)準(zhǔn)該標(biāo)準(zhǔn)為為IT的治理、安全與控制提供了一個(gè)一般適用的公認(rèn)的標(biāo)準(zhǔn)。的治理、安全與控制提供了一個(gè)一般適用的公認(rèn)的標(biāo)準(zhǔn)。 該標(biāo)準(zhǔn)該標(biāo)準(zhǔn)為組織有效的利用信息資源，有效管理、控制與信息相關(guān)的風(fēng)險(xiǎn)提為組織有效的利用信息資源，有效管理、控制與信息相關(guān)的風(fēng)險(xiǎn)提 供指導(dǎo)。供指導(dǎo)。 COBIT將將IT 過程，過程，IT資源及信息與企業(yè)的策略與目標(biāo)聯(lián)系起來，形成一個(gè)資源及信息與企業(yè)的策略與目標(biāo)聯(lián)系起來，形成一個(gè) 三維的體系結(jié)構(gòu)三維的體系結(jié)構(gòu) （參見參見P.52圖圖） COBIT的體系框架包括四大部分：的體系框架包括四大部分：控制目標(biāo)、管理指南、審計(jì)指南、工具集控制目標(biāo)、管理指南、審計(jì)指南、工具集 （參見

43、參見P.54圖圖） 第二章第二章 IT治理治理NANJING AUDIT UNIVERSITY第二章第二章 IT治理治理NANJING AUDIT UNIVERSITY IT準(zhǔn)則維：準(zhǔn)則維：反映了企業(yè)使用反映了企業(yè)使用IT的戰(zhàn)略目標(biāo)的戰(zhàn)略目標(biāo) 。 標(biāo)準(zhǔn)包括：標(biāo)準(zhǔn)包括：有效性、效率性、機(jī)密性、完整性、可用性、一致性、可靠性等有效性、效率性、機(jī)密性、完整性、可用性、一致性、可靠性等 IT資源維：資源維：描述了描述了IT治理過程的主要資源對(duì)象。治理過程的主要資源對(duì)象。 對(duì)象包括：對(duì)象包括：人員、應(yīng)用系統(tǒng)、技術(shù)、設(shè)施和數(shù)據(jù)等人員、應(yīng)用系統(tǒng)、技術(shù)、設(shè)施和數(shù)據(jù)等 IT過程維：過程維：是對(duì)信息及相關(guān)資源進(jìn)行

44、規(guī)劃與處理的過程。是對(duì)信息及相關(guān)資源進(jìn)行規(guī)劃與處理的過程。 提供了：提供了：從信息系統(tǒng)生命周期的四大域確定了從信息系統(tǒng)生命周期的四大域確定了34個(gè)信息技術(shù)處理過程，每個(gè)信息技術(shù)處理過程，每 個(gè)處理過程包括詳細(xì)的控制目標(biāo)和與控制目標(biāo)相聯(lián)系的審計(jì)指南。個(gè)處理過程包括詳細(xì)的控制目標(biāo)和與控制目標(biāo)相聯(lián)系的審計(jì)指南。 第二章第二章 IT治理治理 四大域：四大域：計(jì)劃與組織；計(jì)劃與組織； 采集與實(shí)施；采集與實(shí)施； 交付與支持；交付與支持； 監(jiān)控監(jiān)控 34個(gè)信息技術(shù)處理過程（從四大域）包括：個(gè)信息技術(shù)處理過程（從四大域）包括：(參見教材參見教材P.53表）表） 計(jì)劃與組織：計(jì)劃與組織：定義定義IT戰(zhàn)略、定義信

45、息體系結(jié)構(gòu)、確定技術(shù)方向、定義戰(zhàn)略、定義信息體系結(jié)構(gòu)、確定技術(shù)方向、定義IT 組織與關(guān)系、管理組織與關(guān)系、管理IT投資、管理目標(biāo)和方向、人力資源管理、確保投資、管理目標(biāo)和方向、人力資源管理、確保 與外部需求的一致性、風(fēng)險(xiǎn)評(píng)估、項(xiàng)目管理、質(zhì)量管理與外部需求的一致性、風(fēng)險(xiǎn)評(píng)估、項(xiàng)目管理、質(zhì)量管理 NANJING AUDIT UNIVERSITY 采集與實(shí)施：采集與實(shí)施：確定自動(dòng)化的解決方案、獲取并維護(hù)應(yīng)用程序、獲取并維確定自動(dòng)化的解決方案、獲取并維護(hù)應(yīng)用程序、獲取并維 護(hù)技術(shù)基礎(chǔ)設(shè)施、系統(tǒng)安裝與鑒定、變革管理護(hù)技術(shù)基礎(chǔ)設(shè)施、系統(tǒng)安裝與鑒定、變革管理 交付與支持：交付與支持：定義并管理服務(wù)水平、管理

46、第三方的服務(wù)、管理性能與容定義并管理服務(wù)水平、管理第三方的服務(wù)、管理性能與容 量、確保服務(wù)的連續(xù)性、確保系統(tǒng)安全、確定并分配成本、教育并量、確保服務(wù)的連續(xù)性、確保系統(tǒng)安全、確定并分配成本、教育并 培訓(xùn)客戶、配置管理、處理問題和突發(fā)事件、數(shù)據(jù)管理、設(shè)施管理、培訓(xùn)客戶、配置管理、處理問題和突發(fā)事件、數(shù)據(jù)管理、設(shè)施管理、 運(yùn)營管理運(yùn)營管理 第二章第二章 IT治理治理 監(jiān)控：監(jiān)控：過程監(jiān)控、評(píng)價(jià)內(nèi)部控制的適當(dāng)性、獲取獨(dú)立保證、提供獨(dú)立的過程監(jiān)控、評(píng)價(jià)內(nèi)部控制的適當(dāng)性、獲取獨(dú)立保證、提供獨(dú)立的 審計(jì)審計(jì) 控制目標(biāo)中：控制目標(biāo)中： 計(jì)劃和組織目標(biāo)：計(jì)劃和組織目標(biāo)：判別哪些判別哪些IT策略最有助于業(yè)務(wù)目標(biāo)的

47、實(shí)現(xiàn)；應(yīng)設(shè)置何種策略最有助于業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)；應(yīng)設(shè)置何種 組織結(jié)構(gòu)，建立何種技術(shù)基礎(chǔ)結(jié)構(gòu)，如何對(duì)組織結(jié)構(gòu)，建立何種技術(shù)基礎(chǔ)結(jié)構(gòu)，如何對(duì)IT策略的實(shí)現(xiàn)進(jìn)行計(jì)劃、策略的實(shí)現(xiàn)進(jìn)行計(jì)劃、 協(xié)調(diào)與管理。協(xié)調(diào)與管理。 NANJING AUDIT UNIVERSITY 采集和實(shí)施目標(biāo)：采集和實(shí)施目標(biāo)：為了實(shí)現(xiàn)為了實(shí)現(xiàn)IT戰(zhàn)略，如何定義、開發(fā)、獲取、實(shí)施戰(zhàn)略，如何定義、開發(fā)、獲取、實(shí)施IT解決解決 方案，并把這一方案集成到業(yè)務(wù)過程中。如何解決系統(tǒng)的變遷與維護(hù)，方案，并把這一方案集成到業(yè)務(wù)過程中。如何解決系統(tǒng)的變遷與維護(hù)， 以使系統(tǒng)的生命周期得以延續(xù)。以使系統(tǒng)的生命周期得以延續(xù)。 交付與支持目標(biāo)：交付與支持目標(biāo)：

48、如何解決系統(tǒng)交付所需的服務(wù)，包括操作安全性、連續(xù)如何解決系統(tǒng)交付所需的服務(wù)，包括操作安全性、連續(xù) 性、人員培訓(xùn)以及需建立的支持過程，還包括實(shí)際數(shù)據(jù)處理，通常按性、人員培訓(xùn)以及需建立的支持過程，還包括實(shí)際數(shù)據(jù)處理，通常按 應(yīng)用控制進(jìn)行分類。應(yīng)用控制進(jìn)行分類。 監(jiān)控目標(biāo)：監(jiān)控目標(biāo)：評(píng)估評(píng)估IT過程質(zhì)量，評(píng)估過程質(zhì)量，評(píng)估IT過程與控制需求相符的程度過程與控制需求相符的程度 第二章第二章 IT治理治理NANJING AUDIT UNIVERSITY第二章第二章 IT治理治理 管理指南：管理指南： COBIT給出了：給出了：度量度量IT過程的指標(biāo)體系、度量的尺度以及度量的基準(zhǔn)點(diǎn)過程的指標(biāo)體系、度量的尺

49、度以及度量的基準(zhǔn)點(diǎn) 。 4個(gè)指標(biāo)：個(gè)指標(biāo)：成熟度模型成熟度模型CMM，以及關(guān)鍵成功因素，以及關(guān)鍵成功因素CSF、關(guān)鍵目標(biāo)指標(biāo)、關(guān)鍵目標(biāo)指標(biāo)KGI、 關(guān)鍵性能指標(biāo)關(guān)鍵性能指標(biāo)KPI NANJING AUDIT UNIVERSITY 4個(gè)指標(biāo)簡介：個(gè)指標(biāo)簡介： 1、成熟度模型、成熟度模型CMM 功能：功能：確定確定IT控制的基準(zhǔn)。從而認(rèn)清企業(yè)所處的行業(yè)地位，如何測(cè)定和控制的基準(zhǔn)。從而認(rèn)清企業(yè)所處的行業(yè)地位，如何測(cè)定和 比較比較 2、關(guān)鍵成功因素、關(guān)鍵成功因素CSF 功能：功能：勾畫勾畫IT控制輪廓。從而描繪重要的、控制的關(guān)鍵成功因素控制輪廓。從而描繪重要的、控制的關(guān)鍵成功因素 3、關(guān)鍵目標(biāo)指標(biāo)、關(guān)

50、鍵目標(biāo)指標(biāo)KGI 功能：功能：識(shí)別識(shí)別IT處理過程的目標(biāo)。從而認(rèn)識(shí)哪些是必須做到的，不能達(dá)成處理過程的目標(biāo)。從而認(rèn)識(shí)哪些是必須做到的，不能達(dá)成 目標(biāo)的風(fēng)險(xiǎn)有哪些目標(biāo)的風(fēng)險(xiǎn)有哪些 4、關(guān)鍵性能指標(biāo)、關(guān)鍵性能指標(biāo)KPI 功能：功能：測(cè)定測(cè)定IT處理過程的性能。從而評(píng)價(jià)處理過程的性能。從而評(píng)價(jià)IT輸出和實(shí)際績效，評(píng)價(jià)處理輸出和實(shí)際績效，評(píng)價(jià)處理 過程執(zhí)行好壞的程度過程執(zhí)行好壞的程度 第二章第二章 IT治理治理NANJING AUDIT UNIVERSITY案例案例1：關(guān)鍵成功因素：關(guān)鍵成功因素CSF 1、IT治理活動(dòng)與公司治理相結(jié)合，并有公司領(lǐng)導(dǎo)的參與；治理活動(dòng)與公司治理相結(jié)合，并有公司領(lǐng)導(dǎo)的參與；

51、 2、IT治理專注于公司目標(biāo)、戰(zhàn)略，使用技術(shù)提高業(yè)務(wù)水平，及滿足業(yè)務(wù)治理專注于公司目標(biāo)、戰(zhàn)略，使用技術(shù)提高業(yè)務(wù)水平，及滿足業(yè)務(wù) 需求的足夠可用的資源和能力；需求的足夠可用的資源和能力； 3、IT治理活動(dòng)應(yīng)該目標(biāo)明確，制度規(guī)范和實(shí)施有效，并落實(shí)到人；治理活動(dòng)應(yīng)該目標(biāo)明確，制度規(guī)范和實(shí)施有效，并落實(shí)到人； 4、實(shí)施最佳管理實(shí)踐以提高資源的有效利用，提供實(shí)施最佳管理實(shí)踐以提高資源的有效利用，提供IT過程的效率；過程的效率； 5、建立組織以充分監(jiān)督，根據(jù)標(biāo)準(zhǔn)程序評(píng)估風(fēng)險(xiǎn)，及監(jiān)督和追究控制缺建立組織以充分監(jiān)督，根據(jù)標(biāo)準(zhǔn)程序評(píng)估風(fēng)險(xiǎn)，及監(jiān)督和追究控制缺 陷和風(fēng)險(xiǎn)；陷和風(fēng)險(xiǎn)； 6、建立內(nèi)部控制準(zhǔn)則以避免內(nèi)部

52、控制和監(jiān)管的失靈；建立內(nèi)部控制準(zhǔn)則以避免內(nèi)部控制和監(jiān)管的失靈； 7、IT問題管理、變革管理和配置管理等，是集成和關(guān)聯(lián)的；問題管理、變革管理和配置管理等，是集成和關(guān)聯(lián)的； 8、建立審計(jì)委員會(huì)。建立審計(jì)委員會(huì)。第二章第二章 IT治理治理NANJING AUDIT UNIVERSITY 案例案例2：關(guān)鍵目標(biāo)指標(biāo)：關(guān)鍵目標(biāo)指標(biāo)KGI 1、加強(qiáng)績效和成本管理；加強(qiáng)績效和成本管理； 2、提高主要的提高主要的IT投資的回報(bào)；投資的回報(bào)； 3、提高響應(yīng)市場(chǎng)速度；提高響應(yīng)市場(chǎng)速度； 4、增加質(zhì)量，創(chuàng)新和風(fēng)險(xiǎn)管理；增加質(zhì)量，創(chuàng)新和風(fēng)險(xiǎn)管理； 5、適當(dāng)集成和標(biāo)準(zhǔn)化業(yè)務(wù)流程；適當(dāng)集成和標(biāo)準(zhǔn)化業(yè)務(wù)流程； 6、擴(kuò)展新客戶

53、，滿足現(xiàn)有客戶；擴(kuò)展新客戶，滿足現(xiàn)有客戶； 7、可用的適當(dāng)帶寬，計(jì)算能力和可用的適當(dāng)帶寬，計(jì)算能力和IT交付機(jī)制；交付機(jī)制； 8、在預(yù)算范圍內(nèi)及時(shí)滿足客戶的需求和期望；在預(yù)算范圍內(nèi)及時(shí)滿足客戶的需求和期望； 9、不違反法律、法規(guī)，行業(yè)標(biāo)準(zhǔn)和各類合同；不違反法律、法規(guī)，行業(yè)標(biāo)準(zhǔn)和各類合同； 10、清楚承擔(dān)的風(fēng)險(xiǎn)，這種風(fēng)險(xiǎn)應(yīng)與組織整體風(fēng)險(xiǎn)狀況相一致；清楚承擔(dān)的風(fēng)險(xiǎn)，這種風(fēng)險(xiǎn)應(yīng)與組織整體風(fēng)險(xiǎn)狀況相一致； 11、進(jìn)行進(jìn)行IT治理成熟度標(biāo)桿比較；治理成熟度標(biāo)桿比較； 12、創(chuàng)造傳遞服務(wù)的新渠道。創(chuàng)造傳遞服務(wù)的新渠道。第二章第二章 IT治理治理NANJING AUDIT UNIVERSITY 案例案例3：

54、關(guān)鍵性能指標(biāo)：關(guān)鍵性能指標(biāo)KPI 1、提高了提高了IT流程的成效（成本、交付能力）；流程的成效（成本、交付能力）； 2、增加了用于改善流程的增加了用于改善流程的IT計(jì)劃；計(jì)劃； 3、增加了增加了IT基礎(chǔ)設(shè)施的利用率；基礎(chǔ)設(shè)施的利用率； 4、增加了客戶滿意度；增加了客戶滿意度； 5、增加了員工工作效率和士氣；增加了員工工作效率和士氣； 6、增加用于管理公司的知識(shí)和信息的可用性；增加用于管理公司的知識(shí)和信息的可用性； 7、增加增加IT治理和公司治理的聯(lián)系；治理和公司治理的聯(lián)系； 8、使用平衡計(jì)分卡測(cè)量時(shí)，績效得到提高。使用平衡計(jì)分卡測(cè)量時(shí)，績效得到提高。第二章第二章 IT治理治理NANJING A

55、UDIT UNIVERSITY 運(yùn)用：運(yùn)用：借助于借助于CMM模型，了解模型，了解IT過程管理所處的狀態(tài)和自身的薄弱環(huán)節(jié)，過程管理所處的狀態(tài)和自身的薄弱環(huán)節(jié)， 并有針對(duì)性地解決自身的問題。借助于并有針對(duì)性地解決自身的問題。借助于CSF、KGI、KPI指標(biāo)有效指標(biāo)有效 地進(jìn)行地進(jìn)行IT過程管理。過程管理。 審計(jì)指南：審計(jì)指南：為中介評(píng)估機(jī)構(gòu)或信息系統(tǒng)審計(jì)師對(duì)信息系統(tǒng)的控制進(jìn)行了解、為中介評(píng)估機(jī)構(gòu)或信息系統(tǒng)審計(jì)師對(duì)信息系統(tǒng)的控制進(jìn)行了解、 評(píng)估和實(shí)施審計(jì)提供建議與指導(dǎo)。評(píng)估和實(shí)施審計(jì)提供建議與指導(dǎo)。 給出了：給出了：IT審計(jì)的一般方法和要求；審計(jì)的一般方法和要求； 根據(jù)根據(jù)COBIT的框架，針對(duì)信

56、息系統(tǒng)的框架，針對(duì)信息系統(tǒng)34個(gè)高層次控制目標(biāo)建議了相個(gè)高層次控制目標(biāo)建議了相 應(yīng)的審計(jì)步驟；應(yīng)的審計(jì)步驟； 為信息系統(tǒng)審計(jì)師具體檢驗(yàn)和評(píng)價(jià)各為信息系統(tǒng)審計(jì)師具體檢驗(yàn)和評(píng)價(jià)各IT過程是否符合過程是否符合318個(gè)具體個(gè)具體 控制目標(biāo)給出了詳細(xì)的審計(jì)指南控制目標(biāo)給出了詳細(xì)的審計(jì)指南,并指出了各控制目標(biāo)未達(dá)到時(shí)會(huì)并指出了各控制目標(biāo)未達(dá)到時(shí)會(huì) 帶來的風(fēng)險(xiǎn)及改進(jìn)控制的建議。帶來的風(fēng)險(xiǎn)及改進(jìn)控制的建議。 第二章第二章 IT治理治理NANJING AUDIT UNIVERSITY 應(yīng)用工具集：應(yīng)用工具集：提供了包括管理意識(shí)、提供了包括管理意識(shí)、IT控制診斷、應(yīng)用指導(dǎo)、常見問題集、控制診斷、應(yīng)用指導(dǎo)、常見問題

57、集、 、個(gè)案研究等工具，以及介紹、個(gè)案研究等工具，以及介紹COBIT的相關(guān)課件。的相關(guān)課件。 目的：目的：工具集的設(shè)計(jì)主要是讓工具集的設(shè)計(jì)主要是讓COBIT的應(yīng)用更加便利，使組織可以快速且的應(yīng)用更加便利，使組織可以快速且 成功地掌握如何在不同的工作環(huán)境中應(yīng)用成功地掌握如何在不同的工作環(huán)境中應(yīng)用COBIT。 第二章第二章 IT治理治理 COBIT的主要優(yōu)點(diǎn)：的主要優(yōu)點(diǎn)： 1、可以幫助在管理層、可以幫助在管理層、IT與審計(jì)之間交流的鴻溝上搭建橋梁，提供了彼與審計(jì)之間交流的鴻溝上搭建橋梁，提供了彼 此之間溝通的共同語言此之間溝通的共同語言 ； 2、通過實(shí)施通過實(shí)施COBIT，增加了管理層對(duì)控制的感知

58、及支持，增加了管理層對(duì)控制的感知及支持 ； 3、COBIT使使IT管理工作簡易并量化，減輕對(duì)復(fù)雜信息系統(tǒng)管理工作的管理工作簡易并量化，減輕對(duì)復(fù)雜信息系統(tǒng)管理工作的 難度，并且可以應(yīng)用在每天都在發(fā)生的各種新問題中難度，并且可以應(yīng)用在每天都在發(fā)生的各種新問題中 ； NANJING AUDIT UNIVERSITY 4、COBIT提供了一種國際通用的提供了一種國際通用的IT管理及問題解決方案，普遍適用于各管理及問題解決方案，普遍適用于各 種不同的商業(yè)項(xiàng)目和審計(jì)種不同的商業(yè)項(xiàng)目和審計(jì) ； 5、COBIT有助于提高信息系統(tǒng)審計(jì)師的影響力；有助于提高信息系統(tǒng)審計(jì)師的影響力； 6、COBIT框架可以能夠幫助

59、決定過程責(zé)任，提高框架可以能夠幫助決定過程責(zé)任，提高IT治理水平。治理水平。 第五節(jié)第五節(jié) IT治理機(jī)制和方法治理機(jī)制和方法 一、建立一、建立IT治理機(jī)制治理機(jī)制 第二章第二章 IT治理治理NANJING AUDIT UNIVERSITY 如何有效地進(jìn)行如何有效地進(jìn)行IT治理？治理？ 需要需要建立有效的建立有效的IT治理機(jī)制，因?yàn)椋褐卫頇C(jī)制，因?yàn)椋?決定信息系統(tǒng)是否有效運(yùn)轉(zhuǎn)的因素不是信息技術(shù)，而是治理機(jī)制、管理決定信息系統(tǒng)是否有效運(yùn)轉(zhuǎn)的因素不是信息技術(shù)，而是治理機(jī)制、管理 模式、制度與規(guī)則，流程與標(biāo)準(zhǔn)，最終是人。因此，在這些因素之上，模式、制度與規(guī)則，流程與標(biāo)準(zhǔn)，最終是人。因此，在這些因素之上

60、， 需要合理有效的制度安排。需要合理有效的制度安排。 建立有效的建立有效的IT治理機(jī)制，要做好以下幾方面：治理機(jī)制，要做好以下幾方面： 1、實(shí)現(xiàn)企業(yè)戰(zhàn)略與實(shí)現(xiàn)企業(yè)戰(zhàn)略與IT戰(zhàn)略互動(dòng)；戰(zhàn)略互動(dòng)； 2、政府應(yīng)作為推動(dòng)者；政府應(yīng)作為推動(dòng)者； 3、建立專門化的建立建立專門化的建立IT治理委員會(huì)；治理委員會(huì)； 4、保證職責(zé)明確保證職責(zé)明確 ； 5、信息系統(tǒng)審計(jì)。信息系統(tǒng)審計(jì)。 第二章第二章 IT治理治理NANJING AUDIT UNIVERSITY 二、二、IT治理的方法治理的方法 1、積極進(jìn)行、積極進(jìn)行IT治理設(shè)計(jì)治理設(shè)計(jì) 要求：要求：最高管理層（董事會(huì)）樹立和維護(hù)最高管理層（董事會(huì)）樹立和維護(hù)IT