集團企業(yè)it治理內容工具與實例講課教案

1、集團企業(yè)IT治理內容工具與實例1. IT治理的本質IT治理屬于公司治理的組成部分，是指導和控制IT資源的結構，關系和過程，通過平衡風險和回報獲取IT價值，以實現(xiàn)企業(yè)目標。價值實現(xiàn)，風險控制是IT治理的兩個核心。打個比方來說： “管理”相當于列車行駛時怎么開快火車;“治理治理”則是規(guī)定誰來做決策、鋪設怎樣軌道，誰來和怎么約束火車在軌道內安全行駛因此，雖然是硬幣的兩面，但是治理卻更具統(tǒng)籌效應。2 為什么要IT治理2005年，麻省理工CISR研究中心與Gallup咨詢機構合作，Ross 和Weill教授通過實證研究表明IT治理有助于企業(yè)獲取高IT投資回報，好的IT治理模式可為企業(yè)增加20%以上的利潤

2、利潤2010年4月2日，2010年中國企業(yè)信息化指數調研報告顯示中國企業(yè)IT治理普遍欠佳。尤其IT規(guī)劃、IT制度體系和IT評估缺失現(xiàn)象嚴重IT治理缺失的八大癥狀：一是缺乏IT建設整體規(guī)劃、執(zhí)行隨意性較強，標準化和規(guī)范化等基礎工作不到位，導致出現(xiàn)大量信息孤島，使公司面臨繁重的系統(tǒng)整合工作;二是業(yè)務部門與技術部門經常出現(xiàn)“兩張皮”現(xiàn)象，使到溝通交流困難;三是IT預算缺乏完整性，計劃外項目過多;四是項目投資出現(xiàn)失誤或投資回報不高;五是項目管理缺乏控制手段，項目延期交付時有發(fā)生;六是IT事故責任不清，技術部門承擔責任過大;七是一些IT系統(tǒng)建成后沒人進行后續(xù)跟蹤運維、推廣和使用;八是缺少IT審計環(huán)節(jié)，不

3、清楚IT價值何在，認為IT只是工具，缺乏約束機制。為什么要做IT治理-兩大直接驅動力價值- 提高企業(yè)信息化成熟度 + 支撐企業(yè)戰(zhàn)略風險- IT過程控制 + 外部合規(guī)價值提升與風險控制：價值提升與風險控制：ITIT治理的最終目標治理的最終目標 IT治理整體框架體系典型的IT治理主體：董事會與執(zhí)行層 業(yè)務部門管理者IT部門管理人員治理目標治理組織結構治理流程治理關系機制 治理機制治理對象合 規(guī)績 效實現(xiàn)戰(zhàn)略IT投資IT基礎設施IT應用IT架構IT原則I T決策權安排IT投資的分類：把信息技術投資分為四類資產，分別是: 交易流程信息管理流程戰(zhàn)略性開發(fā)或創(chuàng)新基礎架構任何一項IT投資都可能是這四類資產的

4、任何組合。IT治理的五大對象：1.我們應當花多少錢?2 哪些業(yè)務流程應當獲得資金?3 哪些IT能力應當面向整個公司?4 IT服務要有多好?5.誰來承擔責任IT治理五大對象間關系ITIT原則的決策原則的決策高層關于企業(yè)如何使用IT的陳述ITIT架構決策架構決策組織從一系列政策、關系以及技術選擇中捕獲的數據、應用和基礎設施的邏輯，以達到預期的商業(yè)、技術的標準化和一體化ITIT基礎設施決策基礎設施決策集中協(xié)調、共享IT服務可以給企業(yè)的IT能力提供基礎ITIT投資和優(yōu)先順序決策投資和優(yōu)先順序決策關于應該在IT的那些方面投資以及投資多少的決策。包括項目的審批和論證技術業(yè)務應用需求決策業(yè)務應用需求決策為購

5、買或內部開發(fā)IT應用確定業(yè)務需求2 IT治理機制IT決策權力部署方式 決策決策原型原型ITIT原則原則ITIT架構架構ITIT基礎設施戰(zhàn)略基礎設施戰(zhàn)略業(yè)務應用需求業(yè)務應用需求ITIT投資投資輸入輸入決策決策輸入輸入決策決策輸入輸入決策決策輸入輸入決策決策輸入輸入決策決策高級業(yè)務主管負高級業(yè)務主管負責制責制高級高級IT主管負責主管負責制制業(yè)務部門負責制業(yè)務部門負責制總部與業(yè)務部門總部與業(yè)務部門共同負責制共同負責制ITIT與業(yè)務部門負與業(yè)務部門負責制責制建立健全IT流程管控體系-IT治理機制典型IT治理機制治理結構S1IT戰(zhàn)略委員會S2IT安全委員會S3IT指導委員會S4CIO直接向CEO負責S5

6、CIO在執(zhí)行層中的地位治理流程P1IT戰(zhàn)略規(guī)劃P2IT績效管理流程（平衡積分卡）P3項目組合管理P4IT預算管理P5IT項目治理與跟蹤溝通機制R1IT領導力R2業(yè)務/IT關系經理R3委員會正式會議實現(xiàn)IT治理的工具/方法信息系統(tǒng)審計的誕生 1在美國、日本、英國、加拿大等發(fā)達國家，信息系統(tǒng)審計已經發(fā)展到相當程度，信息系統(tǒng)審計的理念也已深入人心。從國外ISA發(fā)展歷史來看，它是與企業(yè)信息化的過程緊密聯(lián)系的，是企業(yè)信息化的必然要求。 1954 60 1954 60年代年代 7070年代年代 8080年代年代 9090年代年代 信息的收集、處理、傳遞和存儲都是由人來完成計算機出現(xiàn)之前對計算機有初步認識計

7、算機應用蔓延信息系統(tǒng)在企業(yè)普及集成信息系統(tǒng)，MRP，MRPII應用在財務，庫存，統(tǒng)計方面會計電算化出現(xiàn)計算機欺詐舞弊事件出現(xiàn)財務數據的采集是由整個信息系統(tǒng)實時完成 信息系統(tǒng)網絡化， 大型化電子數據處理審計1969年，電子數據處理審計師協(xié)會（EDPAA）在美國洛杉礬成立 完全手工審計手工審計 + +紙質文檔審計開始重視對信息系統(tǒng)的審計信息系統(tǒng)審計師成為職業(yè)1994年，EDPAA更名為信息系統(tǒng)審計與控制協(xié)會（ISACA） 信息系統(tǒng)成為企業(yè)重要資產 如何確保網絡平臺上的信息系統(tǒng)的安全、可靠和有效變得越來越重要。 信息系統(tǒng)審計的誕生 1 信息系統(tǒng)審計信息系統(tǒng)審計信息系統(tǒng)信息系統(tǒng)/ /技術技術信息技術作

8、為企業(yè)發(fā)展的“銀彈”，投資額度不斷加大，投資失敗的風險日漸成了企業(yè)難以承受之重 信息系統(tǒng)成為企業(yè)運作，甚至是賴以生存的基礎，其安全、穩(wěn)定和可靠性需要得以保障審計審計審計面臨的環(huán)境發(fā)生變化，信息系統(tǒng)是很多被審單位內部管理與控制的關鍵工具，審計的內容和重點發(fā)生變化。ISA審計成為控制審計風險的必然要求 （假電子數據真審？）“逐步開展對關系國計民生的重大行業(yè)、部門的聯(lián)網審計和信息系統(tǒng)審計，全面提高計算機應用水平”+ +引自：審計署2006至2010年審計工作發(fā)展規(guī)劃信息系統(tǒng)審計是我國審計發(fā)展的新路徑 1 信息化時代，我國的信息系統(tǒng)審計具備極大的需求和迫切性：信息系統(tǒng)審計被列入“金審工程”二期的試點范

9、圍（2007.5，審計署信息系統(tǒng)審計研討會）信息系統(tǒng)審計成為審計署2008年度重大研究課題之一。 審計署信息系統(tǒng)審計培訓開班（2008.5.28）審計署提出要基本形成符合中國國情的信息系統(tǒng)審計的理論和方法。 （中國審計報）部分審計機關將2008年作為信息系統(tǒng)審計的探索之年。（中國審計報）相關部門正在積極醞釀并研究制定信息系統(tǒng)審計準則和指南但是“我們的信息系統(tǒng)審計仍處于探索階段”（石愛中語）COSO框架COSOERM框架和1992年的COSO報告一樣，也主要在“控制活動”和“信息溝通”中對IT控制做出相關規(guī)定。但是因為時隔12年，信息技術已經有翻天覆地的變化，所以該框架在技術上對IT控制（包括一

10、般控制和應用控制）作了更為廣泛、科學的描述。控制活動，指為確保風險管理策略有效執(zhí)行而制定的制度和程序，包括核準、授權、驗證、調整、復核、定期盤點、記錄核對、職能分工、資產保全、績效考核等。信息溝通，指產生服務于規(guī)劃、執(zhí)行、監(jiān)督等管理活動的信息并適時向使用者提供的過程。COBITITIL服務支持流程事故管理 問題管理變更管理 版本管理 配置管理服務提供流程可用性管理 能力管理財務管理 連續(xù)性管理 服務水平管理ITIL流程間的關聯(lián)ISO27001標準ISO27001標準不是一個技術性的信息安全操作手冊，而一個通用的信息安全管理指南。它提出 了11個安全要素，39個控制目標和133種控制措施。ISO

11、17799中的11個要素分別是： 安全策略（Security policy）； 信息安全組織（Organization of information security）； 資產管理（Asset management）； 人力資源安全 （Human resource security）； 物理和環(huán)境安全（Physical and environmental security）； 通信和操作管理（Communication and operation management）； 訪問控制（Access control）； 信息系統(tǒng)獲取、開發(fā)和維護（Information systems acquis

12、ition, development and maintenance）； 信息安全事件管理（Information security incident management）； 業(yè)務連續(xù)性管理（Business continuity management）； 符合性（Compliance）。5. 企業(yè)如何實施IT治理-16字方針整體規(guī)劃，分步實施，關注試點，持續(xù)優(yōu)化-Think big, do small, Do big外部合規(guī)要求：中央企業(yè)全面風險管理指引國資委信息化水平評價國資委信息化水平評價企業(yè)內部控制基本規(guī)范企業(yè)內部控制基本規(guī)范上海證券交易所上市公司內部控制指引上海證券交易所上市公司內

13、部控制指引美國SOX法案合規(guī)施工總承包企業(yè)特級資質標準國資委信息化水平評價-合規(guī)2企業(yè)內部控制應用指引內部控制應用指引中的計算機信息系統(tǒng)具體規(guī)范則提出：企業(yè)在建立并實施計算機信息系統(tǒng)內部控制制度中，至少應當強化對以下關鍵方面或者關鍵環(huán)節(jié)的風險控制，并采取相應的控制措施：（一）權責分配和職責分工應當明確，重大信息系統(tǒng)事項應履行審批程序；（二）信息系統(tǒng)開發(fā)、變更和維護流程應當清晰，授權審批程序應當明確；（三）信息系統(tǒng)應當建立訪問安全制度，操作權限、信息使用、信息管理應當有明確規(guī)定；（四）硬件管理事項和審批程序應當科學合理；（五）會計電算化流程應當規(guī)范，會計電算化操作管理、硬件、軟件和數據管理、會計

14、電算化檔案管理和會計電算化賬務處理等制度應當完善。上海證券交易所上市公司內部控制指引上海證券交易所上市公司內部控制指引- -合規(guī)合規(guī)4 4第四條第四條 公司董事會對公司內控制度的建立健全、有效實施及其檢查監(jiān)督負責，董事會及其全體成員應保證內部控制相關信息披露內容的真實、準確、完整。第十條第十條 公司使用計算機信息系統(tǒng)的，還應制定信息管理的內控制度。 信息管理的內控制度至少應涵蓋下列內容：（一）信息處理部門與使用部門權責的劃分；（二）信息處理部門的功能及職責劃分（三）系統(tǒng)開發(fā)及程序修改的控制；（四）程序及資料的存取、數據處理的控制；（五）檔案、設備、信息的安全控制；IT治理成熟度診斷成熟度診斷的

15、六個方面：IT權責體系IT戰(zhàn)略IT投資IT運維服務風險與合規(guī)IT人力資源成熟度模型的使用成熟度提供了一種簡單實用的管理工具，組織可以用于評估現(xiàn)狀，了解自身目前所處的地位，行業(yè)標桿和國際最佳實踐的水平。根據企業(yè)現(xiàn)狀和行業(yè)標桿、國際最佳實踐對比找出未來改進的方向，結合業(yè)務需求，將主要精力投入到關鍵的管理領域。成熟度模型等級有助于向管理層清晰地展示IT管理存在的缺陷，將組織的管理水平與國際最佳實踐相對照，從而確定組織的發(fā)展目標。服務臺制定了制度文檔。有Remedy和聯(lián)友自己開發(fā)的服務平臺支撐。有效回訪率56。 呼損率指標目前由花都電信提供，不準確。事件管理制定了事件管理流程和制度，并對故障進行分級。

16、 事件主要由人工觸發(fā)。沒有從監(jiān)控設備直接觸發(fā)的事件。 問題管理沒有明確的問題管理流程。有與IS部舉行例會解決問題的機制 ;有重大故障詳細報告。沒有主動分析事件、觸發(fā)問題的機制 。配置管理配置庫中對配置信息的分類層次清楚。配置管理的工具（remedy）支撐配置管理。配置管理信息較基礎。變更管理變更的申請、審批、測試、實施流程完備。緊急變更流程未見相關文件。服務級別管理有完善的服務級別管理，并分解到服務目錄。針對不同的服務級別，有相應的控制措施。定期為DFL提供服務報告。評評估估得得分分聯(lián)聯(lián)友友上上海海大大眾眾長長安安信信息息工工商商銀銀行行服務臺4435事件管理3435問題管理3422配置管理2

17、323變更管理3323服務級別管理4323一一級級指指標標及及權權重重二二級級指指標標服服務務管管理理運運維維標標桿桿比比較較三三級級指指標標及及權權重重運運維維服服務務管管理理012345服務臺事件管理問題管理配置管理變更管理服務級別管理聯(lián)友上海大眾長安信息工商銀行示例網絡設備、系統(tǒng)一線人員上崗前參加相關技術培訓。缺乏統(tǒng)一的網絡、應用監(jiān)控平臺。已制定部分操作流程，未形成完整體系。數據中心武漢機房管理較完善，十堰較為混亂。運維人員對雙機、均衡、災難恢復等技術掌握不熟練。缺乏事件應急方案。設備維護運維工程師具備系統(tǒng)硬軟件維護的基本技能。同客戶的溝通存在一定的問題。數據庫一線工程師定期對數據庫進行

18、備份和性能監(jiān)控的工作。二線運維SE定期對系統(tǒng)進行評估和性能優(yōu)化；同原廠商建立密切的聯(lián)系，經常參加原廠商的技術培訓。評評估估得得分分東東浦浦中中國國網網通通中中興興通通信信網絡設備、系統(tǒng)354數據中心354設備維護444數據庫445一一級級指指標標及及權權重重運運維維標標桿桿比比較較技技術術管管理理二二級級指指標標三三級級指指標標及及權權重重運維技術管理運維技術管理012345網絡設備、系統(tǒng)數據中心設備維護數據庫東浦中國網通中興通信示例評評估估得得分分東東浦浦上上海海寶寶信信一一汽汽啟啟明明中中興興通通信信信息安全戰(zhàn)略與策略3223組織的安全2324資產管理2223人力資源安全2224物理和環(huán)境

19、安全2333通信和操作管理3334訪問控制4434系統(tǒng)開發(fā)、獲取與維護3344信息安全事件管理4344災難恢復計劃2223符合性4444一一級級指指標標及及權權重重標標桿桿比比較較運運維維信信息息安安全全管管理理二二級級指指標標三三級級指指標標及及權權重重信息安全戰(zhàn)略與策略缺乏明確的信息安全體系策略文件組織的安全沒有公司層面的安全組織；與第三方保持著良好的聯(lián)系資產管理有資產清單，但資產羅 列不全；信息分類不夠細致人力資源安全沒有對入職員工進行信息安全背景調查，但簽署了保密協(xié)議；信息安全培訓較薄弱；離職時，缺乏撤銷訪問權限的流程物理和環(huán)境安全基本符合國家機房安全相關規(guī)定，但十堰機房需加強管理信息

20、和操作管理網絡安全方面部署了較成熟的防護技術，但缺乏備份記錄，移動介質的管理與銷毀流程訪問控制在用戶訪問管理、網絡訪問控制、操作系統(tǒng)訪問控制、應用系統(tǒng)訪問控制和遠程工作方面具備了一定的權限管理辦法系統(tǒng)開發(fā)、獲取與維護系統(tǒng)開發(fā)具備較完善的預防措施，但系統(tǒng)的測試數據沒有明確的保護措施。變更管理缺乏執(zhí)行力信息安全事件管理信息安全事件管理能滿足業(yè)務需求，但管理流程還可進一步優(yōu)化災難恢復具有冗余及預案流程，缺乏業(yè)務影響分析和風險評估,及意思培訓不到位符合性遵守公司既定的各項策略運維信息安全管理運維信息安全管理01234信息安全戰(zhàn)略與策略組織的安全資產管理人力資源安全物理和環(huán)境安全通信和操作管理訪問控制系

21、統(tǒng)開發(fā)、獲取與維護信息安全事件管理災難恢復計劃符合性東浦上海寶信一汽啟明中興通信IT人力資源總計針對DFL總計針對DFL總計針對DFL總計針對DFL總計針對DFL10050605010510402570105項 目 管理人員33質 量 管理人員21853222205183223222其他合計備注銷售人員綜合管理人員咨詢人員翻譯人員軟件開發(fā)人員系統(tǒng)集成人員運維人員技術管理十堰襄樊深圳花都武漢地域領域項 目經 理分 析設 計軟 件開 發(fā)測 試實 施項 目經 理設 計實 施桌 面網 絡系 統(tǒng)應 用5年 以 上15201558335010873 5年1015203313106553年 以 下253510410423合 計27407018154670201515備 注運 維 項 目技 術 經 驗 （ 人 ）工 作經 驗軟 件 開 發(fā) 項 目系 統(tǒng) 集 成 項 目