IT治理及其輔助手段研究情況匯報(bào)

IT治理及其輔助手段研究情況匯報(bào)孫強(qiáng)

賽迪培訓(xùn)中心賽迪參謀股份有限公司二00三年八月十四日匯報(bào)內(nèi)容IT治理的四個(gè)輔助手段IT治理的現(xiàn)實(shí)性和必要性建議匯報(bào)內(nèi)容IT治理的四個(gè)輔助手段IT治理的現(xiàn)實(shí)性和必要性建議當(dāng)前信息化建設(shè)熱點(diǎn)問題IT與業(yè)務(wù)的融合信息系統(tǒng)工程監(jiān)理的開展信息中心的轉(zhuǎn)制與走向IT治理、公司治理及企業(yè)管理的關(guān)系信息主管CIO的治理結(jié)構(gòu)IS審計(jì)對(duì)IT投資有效的監(jiān)督和控制作用標(biāo)準(zhǔn)、標(biāo)準(zhǔn)化的IT效勞管理流程的重要性IT治理是IT、經(jīng)濟(jì)學(xué)及管理學(xué)業(yè)界中一個(gè)新的概念，用于描述企業(yè)或政府是否采用有效的機(jī)制，使得IT的應(yīng)用能夠完成組織賦予它的使命，同時(shí)平衡信息技術(shù)與過程的風(fēng)險(xiǎn)、確保實(shí)現(xiàn)組織的戰(zhàn)略目標(biāo)。IT治理的使命保持IT與業(yè)務(wù)目標(biāo)一致，推動(dòng)業(yè)務(wù)開展，促使收益最大化，合理利用IT資源，適當(dāng)管理與IT相關(guān)的風(fēng)險(xiǎn)。IT治理的輔助手段IT工程管理IS〔信息系統(tǒng)〕審計(jì)、咨詢、監(jiān)理信息平安管理IT效勞管理IT工程管理IT工程具有投資大、周期長(zhǎng)、高風(fēng)險(xiǎn)、科技含量高、所涉及領(lǐng)域?qū)挼奶攸c(diǎn)，工程管理水平是關(guān)系IT工程成功的關(guān)鍵成功因素之一。IT工程管理認(rèn)證和培訓(xùn)可全面提升IT工程建設(shè)管理人員規(guī)劃、組織與管理方面的能力。IS審計(jì)IS審計(jì)是指根據(jù)公認(rèn)的標(biāo)準(zhǔn)和指導(dǎo)標(biāo)準(zhǔn)對(duì)信息系統(tǒng)及其業(yè)務(wù)應(yīng)用的效能、效率、平安性進(jìn)行監(jiān)測(cè)、評(píng)估和控制的過程，以完成組織的戰(zhàn)略目標(biāo)，同時(shí)最經(jīng)濟(jì)的使用資源。這一定義既包括信息系統(tǒng)的外部審計(jì)的鑒證目標(biāo)——即對(duì)被審計(jì)單位的信息系統(tǒng)保護(hù)資產(chǎn)平安及數(shù)據(jù)完整的鑒證，又包含內(nèi)部審計(jì)的管理目標(biāo)——即不僅包括被審計(jì)信息系統(tǒng)保護(hù)資產(chǎn)平安及數(shù)據(jù)完整而且包括信息系統(tǒng)的有效性目標(biāo)。IS審計(jì)對(duì)象審計(jì)對(duì)象變革管理數(shù)據(jù)中心運(yùn)維信息平安網(wǎng)絡(luò)管理根底設(shè)施數(shù)據(jù)庫管理硬件管理績(jī)效與容量問題管理災(zāi)難回復(fù)與業(yè)務(wù)持續(xù)軟件管理通信技術(shù)支持效勞系統(tǒng)開發(fā)IS審計(jì)的過程1.理解客戶業(yè)務(wù)、系統(tǒng)、環(huán)境等2.識(shí)別并評(píng)估風(fēng)險(xiǎn)3.檢查是否存在足夠的控制來補(bǔ)償這些風(fēng)險(xiǎn)4.對(duì)控制進(jìn)行測(cè)試和評(píng)價(jià)5.提出審計(jì)結(jié)論和報(bào)告IT治理與IS審計(jì)的關(guān)系獨(dú)立的IS審計(jì)是公司治理與IT治理制度的重要環(huán)節(jié)之一。目的是確定、解除被審計(jì)單位的受托責(zé)任和加強(qiáng)對(duì)被審計(jì)單位的管理與控制。所以IS審計(jì)是實(shí)現(xiàn)IT治理的手段之一。IS審計(jì)的作用鑒證作用。是指通過審計(jì)，合理地保證被審計(jì)單位信息系統(tǒng)及其處理、產(chǎn)生的信息的真實(shí)性、完整性與可靠性。促進(jìn)作用。表達(dá)在兩個(gè)方面：〔1〕是指信息系統(tǒng)審計(jì)可以促進(jìn)被審計(jì)單位更有效地融入到社會(huì)經(jīng)濟(jì)生活中，審計(jì)報(bào)告可以增強(qiáng)大家對(duì)其信息的信任程度；〔2〕是指審計(jì)可以促進(jìn)被審計(jì)單位改進(jìn)內(nèi)部控制，加強(qiáng)管理，提高信息系統(tǒng)實(shí)現(xiàn)組織目標(biāo)的效率、效果。IS審計(jì)的業(yè)務(wù)范圍立足于組織的戰(zhàn)略目標(biāo)，為有效的實(shí)現(xiàn)組織戰(zhàn)略目標(biāo)而采取的一切活動(dòng)過程都在審計(jì)師的業(yè)務(wù)之內(nèi)。業(yè)務(wù)范圍包括：對(duì)信息系統(tǒng)的戰(zhàn)略規(guī)劃與組織的審計(jì)；技術(shù)根底平臺(tái)建設(shè)的審計(jì)；應(yīng)用系統(tǒng)建設(shè)審計(jì)；信息系統(tǒng)管理和運(yùn)營審計(jì)；風(fēng)險(xiǎn)管理與應(yīng)用控制審計(jì)；信息系統(tǒng)是否符合國家或國際標(biāo)準(zhǔn)的審計(jì)以及網(wǎng)譽(yù)審計(jì)、電子簽名審計(jì)等。IS審計(jì)的目的合理保證信息系統(tǒng)能夠保護(hù)資產(chǎn)的平安、數(shù)據(jù)的完整、系統(tǒng)有效地實(shí)現(xiàn)組織目標(biāo)并有效率的利用組織資源，其關(guān)注的核心是資產(chǎn)保護(hù)與信息系統(tǒng)的效率、效果。重點(diǎn)是對(duì)信息系統(tǒng)的運(yùn)營審計(jì)，向公眾出具審計(jì)報(bào)告，鑒證信息系統(tǒng)能否保護(hù)企業(yè)資產(chǎn)平安，其產(chǎn)生、傳遞的信息是否完整，整個(gè)系統(tǒng)是否有效地實(shí)現(xiàn)組織目標(biāo)并有效率的利用組織資源。IS審計(jì)的效勞對(duì)象是所有的信息使用者。 包括被審計(jì)單位的股東、合作伙伴、政府機(jī)構(gòu)和一般社會(huì)公眾。IS審計(jì)的方法信息系統(tǒng)審計(jì)審計(jì)的方法主要是搜集證據(jù)的方法。 包括檢查、觀察、分析性復(fù)合、查詢及函證等方法，并利用統(tǒng)計(jì)技術(shù)、計(jì)算機(jī)技術(shù)完成證據(jù)的搜集與評(píng)價(jià)。IS審計(jì)與監(jiān)理的關(guān)系作用不同〔監(jiān)理：控制和協(xié)調(diào)〕范圍不同〔監(jiān)理：實(shí)施階段〕目的不同〔監(jiān)理：進(jìn)度、質(zhì)量、投資〕方法不同〔監(jiān)理：工程管理〕對(duì)象不同〔監(jiān)理：業(yè)主和承建單位〕信息平安管理三分技術(shù)七分管理信息平安管理保護(hù)信息不受廣泛威脅地?fù)p害，確保業(yè)務(wù)的持續(xù)性，將商業(yè)損失降至最小，使投資收益最大并創(chuàng)造新的戰(zhàn)略機(jī)遇。ISO17799ISO17799〔根據(jù)BS7799第一局部制定〕作為確定控制范圍的參考標(biāo)桿，在一般情況下，這些控制是使用信息系統(tǒng)所必須的。該標(biāo)準(zhǔn)適應(yīng)任何規(guī)模的組織。它把信息作為一種資產(chǎn)，并且在信息時(shí)代，信息資產(chǎn)已經(jīng)成為最有價(jià)值的資產(chǎn)，因此需要恰當(dāng)?shù)乇Ｗo(hù)它。信息平安管理的十個(gè)方面平安方針；平安組織；資產(chǎn)分類與控制；人員平安；物理與環(huán)境平安；計(jì)算機(jī)與網(wǎng)絡(luò)管理；系統(tǒng)訪問控制；系統(tǒng)開發(fā)與維護(hù)；業(yè)務(wù)持續(xù)管理；合規(guī)性。IT效勞管理IT效勞管理事實(shí)上的國際標(biāo)準(zhǔn)：ITIL國際上先進(jìn)企業(yè)在推進(jìn)信息化的進(jìn)程中，針對(duì)“IT效勞質(zhì)量不佳的問題〞，對(duì)IT效勞的提供方式、提供內(nèi)容以及效勞管理等方面的內(nèi)容，逐漸總結(jié)、提煉，形成了一整套富有成效的方法、標(biāo)準(zhǔn)和程序，并由英國商務(wù)部提煉成為ITIL。IT效勞管理的作用ITIL作為一種以流程為根底、以客戶為導(dǎo)向的IT效勞管理指導(dǎo)框架，它擺脫了傳統(tǒng)IT管理以技術(shù)管理為焦點(diǎn)的弊端，實(shí)現(xiàn)了從技術(shù)管理到流程管理，再到效勞管理的轉(zhuǎn)化。業(yè)務(wù)與IT融合。改善IT的投資回報(bào)率。ITIL模型示意圖ITIL的意義ITIL可以提高IT部門營運(yùn)效率25-300%；ITIL是一個(gè)公共開發(fā)且公共使用的框架。任何組織都可以使用ITIL，或者以ITIL為根底開發(fā)自己的效勞管理方法論和方案。ITIL個(gè)人資格認(rèn)證是全球公認(rèn)的CIO證書，也被稱為是IT界的MBA。匯報(bào)內(nèi)容IT治理的四個(gè)輔助手段IT治理的現(xiàn)實(shí)性和必要性建議IT治理的定義IT治理是一個(gè)由關(guān)系和過程所構(gòu)成的體制，用于指導(dǎo)和控制企業(yè)，通過平衡信息技術(shù)與過程的風(fēng)險(xiǎn)、增加價(jià)值來確保實(shí)現(xiàn)企業(yè)的目標(biāo)。IT治理的核心問題IT戰(zhàn)略目標(biāo)必須與企業(yè)戰(zhàn)略目標(biāo)保持一致IT治理包括治理委員會(huì)、治理結(jié)構(gòu)、治理流程和企業(yè)文化等。IT治理使風(fēng)險(xiǎn)透明化，從而保護(hù)利益相關(guān)者的權(quán)益。IT治理可用來指導(dǎo)控制IT投資、機(jī)遇、收益及風(fēng)險(xiǎn)。IT治理對(duì)核心IT資源做出合理的制度安排，這將成為進(jìn)入新的市場(chǎng)、進(jìn)行有效競(jìng)爭(zhēng)、實(shí)現(xiàn)總收入增長(zhǎng)、改善客戶滿意度及維系客戶關(guān)系的制度保障。IT治理的目標(biāo)IT治理——與業(yè)務(wù)目標(biāo)一致IT治理——有效利用信息資源IT治理——風(fēng)險(xiǎn)管理 IT治理的目標(biāo)將幫助管理層建立以組織戰(zhàn)略為導(dǎo)向,以外界環(huán)境為依據(jù),以業(yè)務(wù)與IT整合為中心的觀念，正確定位IT部門在整個(gè)組織中的作用。

IT治理的范圍IT治理集中在管理高層。善治的IT治理實(shí)踐需要在企業(yè)全部范圍內(nèi)推行。IT治理使得最高管理層和執(zhí)行經(jīng)理的一系列活動(dòng)成為可能。這些活動(dòng)主要包括：IT的目標(biāo)，新技術(shù)的機(jī)遇和風(fēng)險(xiǎn)，關(guān)鍵過程與核心競(jìng)爭(zhēng)力。如指導(dǎo)信息技術(shù)的職能和對(duì)企業(yè)的影響，分配責(zé)任，定義操作，業(yè)績(jī)衡量，管理風(fēng)險(xiǎn)和獲得保證的約束等。公司治理和IT治理公司治理，驅(qū)動(dòng)和調(diào)整IT治理。同時(shí)，IT能夠提供關(guān)鍵的輸入，形成戰(zhàn)略方案的一個(gè)重要組成局部，這被認(rèn)為是公司治理的一個(gè)重要功能——IT影響企業(yè)的戰(zhàn)略競(jìng)爭(zhēng)機(jī)遇。IT治理的一個(gè)關(guān)鍵性問題是：公司的IT投資是否與戰(zhàn)略目標(biāo)相一致，從而構(gòu)筑必要的核心競(jìng)爭(zhēng)力。公司治理和IT治理概括地說，公司治理和IT治理都是市場(chǎng)〔含政府〕他律的機(jī)制，是如何“管好管理者〞的機(jī)制，其目標(biāo)也是一致的：到達(dá)業(yè)務(wù)永續(xù)運(yùn)營，并增加組織的長(zhǎng)期獲利時(shí)機(jī)。公司治理側(cè)重于企業(yè)整體規(guī)劃，IT治理側(cè)重于企業(yè)中信息資源的有效利用和管理。公司治理和IT治理的典范“斯達(dá)模式〞這一被譽(yù)為國企擺脫困境、改革開展的創(chuàng)新模式，正說明了公司治理和IT治理的重要性和互動(dòng)關(guān)系?！昂诩埁暟凑宅F(xiàn)代企業(yè)制度要求，建立與市場(chǎng)競(jìng)爭(zhēng)相適應(yīng)的公司治理機(jī)制，明晰了企業(yè)產(chǎn)權(quán)，優(yōu)化了生產(chǎn)要素配置，轉(zhuǎn)變了職工觀念，為斯達(dá)大力進(jìn)行信息化改造創(chuàng)造了有力條件。反過來，信息化也促進(jìn)了公司的現(xiàn)代化管理。

IT治理和IT管理IT管理是公司的信息及信息系統(tǒng)的運(yùn)營，確定IT目標(biāo)以及實(shí)現(xiàn)此目標(biāo)所采取的行動(dòng)；而IT治理是指最高管理層〔董事會(huì)〕利用它來監(jiān)督管理層在IT戰(zhàn)略上的過程、結(jié)構(gòu)和聯(lián)系，以確保這種運(yùn)營處于正確的軌道之上。

IT治理模型COBIT目前已成為國際上公認(rèn)的IT管理與控制標(biāo)準(zhǔn)該標(biāo)準(zhǔn)為IT的治理、平安與控制提供了一個(gè)一般適用的公認(rèn)的標(biāo)準(zhǔn)，以輔助管理層進(jìn)行IT治理。該標(biāo)準(zhǔn)體系已在世界一百多個(gè)國家的重要組織與企業(yè)中運(yùn)用，指導(dǎo)這些組織有效利用信息資源，有效地管理與信息相關(guān)的風(fēng)險(xiǎn)。IT治理架構(gòu)ProvideDirectionCompareMeasurePerformanceITActivitiesIncreaseautomation(makethebusinesseffective)Decreasecost(maketheenterpriseefficient)Managerisks(security,reliabilityandcompliance)ITisalignedwiththebusinessITenablesthebusinessand

maximisesbenefitsITresourcesareusedresponsiblyIT-relatedrisksaremanagedappropriatelySetObjectives組織戰(zhàn)略目標(biāo)IT治理COBIT信息規(guī)劃與組織獲得與實(shí)施交付與支持監(jiān)控IT資源COBIT模型COBIT四個(gè)域的相互關(guān)系獲得和實(shí)施交付與支持規(guī)劃與組織監(jiān)控IT開發(fā)IT運(yùn)維業(yè)務(wù)戰(zhàn)略IT戰(zhàn)略匯報(bào)內(nèi)容IT治理的四個(gè)輔助手段IT治理的現(xiàn)實(shí)性和必要性建議

建立IT治理機(jī)制觀念轉(zhuǎn)變：在最高管理層〔董事會(huì)〕樹立和維護(hù)IT戰(zhàn)略地位的思想認(rèn)識(shí)，建立企業(yè)戰(zhàn)略與IT戰(zhàn)略的互動(dòng)觀念，說明IT應(yīng)擔(dān)當(dāng)?shù)慕巧?，從業(yè)務(wù)的視角創(chuàng)造信息技術(shù)指導(dǎo)原那么，如信息化規(guī)劃本質(zhì)上可以定位成從業(yè)務(wù)戰(zhàn)略到信息戰(zhàn)略的實(shí)現(xiàn)。業(yè)務(wù)驅(qū)動(dòng)：從組織的業(yè)務(wù)戰(zhàn)略出發(fā)而不是從系統(tǒng)的需求出發(fā)，可以防止脫離目標(biāo)而進(jìn)行建設(shè)的困境。從業(yè)務(wù)的變革出發(fā)而不是從技術(shù)的變革出發(fā)，有利于充分利用組織的現(xiàn)有資源來滿足關(guān)鍵需求，從而防止建設(shè)的信息系統(tǒng)無法有效地支持組織的決策。

建立IT治理機(jī)制治理環(huán)境加強(qiáng)IT治理實(shí)質(zhì)上是一個(gè)政府和企業(yè)機(jī)構(gòu)必須攜手面對(duì)的問題。政府必須扮演一個(gè)重要的推動(dòng)角色，并且尤其需要強(qiáng)調(diào)的是政府制定規(guī)那么比較合理的方法是通過聽證會(huì)或知情會(huì)上下協(xié)商、交互式地制定規(guī)那么.這樣才能解決規(guī)那么的充分合法性、可執(zhí)行行性問題.值得一提的是：組織采行優(yōu)良IT治理機(jī)制的行動(dòng)，將減輕政府部門在制訂國民經(jīng)濟(jì)和社會(huì)信息化中所扮演的角色責(zé)任。建立IT治理機(jī)制治理結(jié)構(gòu)試行建立IT治理委員會(huì)明確規(guī)定IT管理