IT治理及其輔助手段研究情況匯報

IT治理及其輔助手段研究情況匯報孫強(qiáng)

賽迪培訓(xùn)中心賽迪參謀股份有限公司二00三年八月十四日匯報內(nèi)容IT治理的四個輔助手段IT治理的現(xiàn)實(shí)性和必要性建議匯報內(nèi)容IT治理的四個輔助手段IT治理的現(xiàn)實(shí)性和必要性建議當(dāng)前信息化建設(shè)熱點(diǎn)問題IT與業(yè)務(wù)的融合信息系統(tǒng)工程監(jiān)理的開展信息中心的轉(zhuǎn)制與走向IT治理、公司治理及企業(yè)管理的關(guān)系信息主管CIO的治理結(jié)構(gòu)IS審計對IT投資有效的監(jiān)督和控制作用標(biāo)準(zhǔn)、標(biāo)準(zhǔn)化的IT效勞管理流程的重要性IT治理是IT、經(jīng)濟(jì)學(xué)及管理學(xué)業(yè)界中一個新的概念，用于描述企業(yè)或政府是否采用有效的機(jī)制，使得IT的應(yīng)用能夠完成組織賦予它的使命，同時平衡信息技術(shù)與過程的風(fēng)險、確保實(shí)現(xiàn)組織的戰(zhàn)略目標(biāo)。IT治理的使命保持IT與業(yè)務(wù)目標(biāo)一致，推動業(yè)務(wù)開展，促使收益最大化，合理利用IT資源，適當(dāng)管理與IT相關(guān)的風(fēng)險。IT治理的輔助手段IT工程管理IS〔信息系統(tǒng)〕審計、咨詢、監(jiān)理信息平安管理IT效勞管理IT工程管理IT工程具有投資大、周期長、高風(fēng)險、科技含量高、所涉及領(lǐng)域?qū)挼奶攸c(diǎn)，工程管理水平是關(guān)系IT工程成功的關(guān)鍵成功因素之一。IT工程管理認(rèn)證和培訓(xùn)可全面提升IT工程建設(shè)管理人員規(guī)劃、組織與管理方面的能力。IS審計IS審計是指根據(jù)公認(rèn)的標(biāo)準(zhǔn)和指導(dǎo)標(biāo)準(zhǔn)對信息系統(tǒng)及其業(yè)務(wù)應(yīng)用的效能、效率、平安性進(jìn)行監(jiān)測、評估和控制的過程，以完成組織的戰(zhàn)略目標(biāo)，同時最經(jīng)濟(jì)的使用資源。這一定義既包括信息系統(tǒng)的外部審計的鑒證目標(biāo)——即對被審計單位的信息系統(tǒng)保護(hù)資產(chǎn)平安及數(shù)據(jù)完整的鑒證，又包含內(nèi)部審計的管理目標(biāo)——即不僅包括被審計信息系統(tǒng)保護(hù)資產(chǎn)平安及數(shù)據(jù)完整而且包括信息系統(tǒng)的有效性目標(biāo)。IS審計對象審計對象變革管理數(shù)據(jù)中心運(yùn)維信息平安網(wǎng)絡(luò)管理根底設(shè)施數(shù)據(jù)庫管理硬件管理績效與容量問題管理災(zāi)難回復(fù)與業(yè)務(wù)持續(xù)軟件管理通信技術(shù)支持效勞系統(tǒng)開發(fā)IS審計的過程1.理解客戶業(yè)務(wù)、系統(tǒng)、環(huán)境等2.識別并評估風(fēng)險3.檢查是否存在足夠的控制來補(bǔ)償這些風(fēng)險4.對控制進(jìn)行測試和評價5.提出審計結(jié)論和報告IT治理與IS審計的關(guān)系獨(dú)立的IS審計是公司治理與IT治理制度的重要環(huán)節(jié)之一。目的是確定、解除被審計單位的受托責(zé)任和加強(qiáng)對被審計單位的管理與控制。所以IS審計是實(shí)現(xiàn)IT治理的手段之一。IS審計的作用鑒證作用。是指通過審計，合理地保證被審計單位信息系統(tǒng)及其處理、產(chǎn)生的信息的真實(shí)性、完整性與可靠性。促進(jìn)作用。表達(dá)在兩個方面：〔1〕是指信息系統(tǒng)審計可以促進(jìn)被審計單位更有效地融入到社會經(jīng)濟(jì)生活中，審計報告可以增強(qiáng)大家對其信息的信任程度；〔2〕是指審計可以促進(jìn)被審計單位改進(jìn)內(nèi)部控制，加強(qiáng)管理，提高信息系統(tǒng)實(shí)現(xiàn)組織目標(biāo)的效率、效果。IS審計的業(yè)務(wù)范圍立足于組織的戰(zhàn)略目標(biāo)，為有效的實(shí)現(xiàn)組織戰(zhàn)略目標(biāo)而采取的一切活動過程都在審計師的業(yè)務(wù)之內(nèi)。業(yè)務(wù)范圍包括：對信息系統(tǒng)的戰(zhàn)略規(guī)劃與組織的審計；技術(shù)根底平臺建設(shè)的審計；應(yīng)用系統(tǒng)建設(shè)審計；信息系統(tǒng)管理和運(yùn)營審計；風(fēng)險管理與應(yīng)用控制審計；信息系統(tǒng)是否符合國家或國際標(biāo)準(zhǔn)的審計以及網(wǎng)譽(yù)審計、電子簽名審計等。IS審計的目的合理保證信息系統(tǒng)能夠保護(hù)資產(chǎn)的平安、數(shù)據(jù)的完整、系統(tǒng)有效地實(shí)現(xiàn)組織目標(biāo)并有效率的利用組織資源，其關(guān)注的核心是資產(chǎn)保護(hù)與信息系統(tǒng)的效率、效果。重點(diǎn)是對信息系統(tǒng)的運(yùn)營審計，向公眾出具審計報告，鑒證信息系統(tǒng)能否保護(hù)企業(yè)資產(chǎn)平安，其產(chǎn)生、傳遞的信息是否完整，整個系統(tǒng)是否有效地實(shí)現(xiàn)組織目標(biāo)并有效率的利用組織資源。IS審計的效勞對象是所有的信息使用者。 包括被審計單位的股東、合作伙伴、政府機(jī)構(gòu)和一般社會公眾。IS審計的方法信息系統(tǒng)審計審計的方法主要是搜集證據(jù)的方法。 包括檢查、觀察、分析性復(fù)合、查詢及函證等方法，并利用統(tǒng)計技術(shù)、計算機(jī)技術(shù)完成證據(jù)的搜集與評價。IS審計與監(jiān)理的關(guān)系作用不同〔監(jiān)理：控制和協(xié)調(diào)〕范圍不同〔監(jiān)理：實(shí)施階段〕目的不同〔監(jiān)理：進(jìn)度、質(zhì)量、投資〕方法不同〔監(jiān)理：工程管理〕對象不同〔監(jiān)理：業(yè)主和承建單位〕信息平安管理三分技術(shù)七分管理信息平安管理保護(hù)信息不受廣泛威脅地?fù)p害，確保業(yè)務(wù)的持續(xù)性，將商業(yè)損失降至最小，使投資收益最大并創(chuàng)造新的戰(zhàn)略機(jī)遇。ISO17799ISO17799〔根據(jù)BS7799第一局部制定〕作為確定控制范圍的參考標(biāo)桿，在一般情況下，這些控制是使用信息系統(tǒng)所必須的。該標(biāo)準(zhǔn)適應(yīng)任何規(guī)模的組織。它把信息作為一種資產(chǎn)，并且在信息時代，信息資產(chǎn)已經(jīng)成為最有價值的資產(chǎn)，因此需要恰當(dāng)?shù)乇Ｗo(hù)它。信息平安管理的十個方面平安方針；平安組織；資產(chǎn)分類與控制；人員平安；物理與環(huán)境平安；計算機(jī)與網(wǎng)絡(luò)管理；系統(tǒng)訪問控制；系統(tǒng)開發(fā)與維護(hù)；業(yè)務(wù)持續(xù)管理；合規(guī)性。IT效勞管理IT效勞管理事實(shí)上的國際標(biāo)準(zhǔn)：ITIL國際上先進(jìn)企業(yè)在推進(jìn)信息化的進(jìn)程中，針對“IT效勞質(zhì)量不佳的問題〞，對IT效勞的提供方式、提供內(nèi)容以及效勞管理等方面的內(nèi)容，逐漸總結(jié)、提煉，形成了一整套富有成效的方法、標(biāo)準(zhǔn)和程序，并由英國商務(wù)部提煉成為ITIL。IT效勞管理的作用ITIL作為一種以流程為根底、以客戶為導(dǎo)向的IT效勞管理指導(dǎo)框架，它擺脫了傳統(tǒng)IT管理以技術(shù)管理為焦點(diǎn)的弊端，實(shí)現(xiàn)了從技術(shù)管理到流程管理，再到效勞管理的轉(zhuǎn)化。業(yè)務(wù)與IT融合。改善IT的投資回報率。ITIL模型示意圖ITIL的意義ITIL可以提高IT部門營運(yùn)效率25-300%；ITIL是一個公共開發(fā)且公共使用的框架。任何組織都可以使用ITIL，或者以ITIL為根底開發(fā)自己的效勞管理方法論和方案。ITIL個人資格認(rèn)證是全球公認(rèn)的CIO證書，也被稱為是IT界的MBA。匯報內(nèi)容IT治理的四個輔助手段IT治理的現(xiàn)實(shí)性和必要性建議IT治理的定義IT治理是一個由關(guān)系和過程所構(gòu)成的體制，用于指導(dǎo)和控制企業(yè)，通過平衡信息技術(shù)與過程的風(fēng)險、增加價值來確保實(shí)現(xiàn)企業(yè)的目標(biāo)。IT治理的核心問題IT戰(zhàn)略目標(biāo)必須與企業(yè)戰(zhàn)略目標(biāo)保持一致IT治理包括治理委員會、治理結(jié)構(gòu)、治理流程和企業(yè)文化等。IT治理使風(fēng)險透明化，從而保護(hù)利益相關(guān)者的權(quán)益。IT治理可用來指導(dǎo)控制IT投資、機(jī)遇、收益及風(fēng)險。IT治理對核心IT資源做出合理的制度安排，這將成為進(jìn)入新的市場、進(jìn)行有效競爭、實(shí)現(xiàn)總收入增長、改善客戶滿意度及維系客戶關(guān)系的制度保障。IT治理的目標(biāo)IT治理——與業(yè)務(wù)目標(biāo)一致IT治理——有效利用信息資源IT治理——風(fēng)險管理 IT治理的目標(biāo)將幫助管理層建立以組織戰(zhàn)略為導(dǎo)向,以外界環(huán)境為依據(jù),以業(yè)務(wù)與IT整合為中心的觀念，正確定位IT部門在整個組織中的作用。

IT治理的范圍IT治理集中在管理高層。善治的IT治理實(shí)踐需要在企業(yè)全部范圍內(nèi)推行。IT治理使得最高管理層和執(zhí)行經(jīng)理的一系列活動成為可能。這些活動主要包括：IT的目標(biāo)，新技術(shù)的機(jī)遇和風(fēng)險，關(guān)鍵過程與核心競爭力。如指導(dǎo)信息技術(shù)的職能和對企業(yè)的影響，分配責(zé)任，定義操作，業(yè)績衡量，管理風(fēng)險和獲得保證的約束等。公司治理和IT治理公司治理，驅(qū)動和調(diào)整IT治理。同時，IT能夠提供關(guān)鍵的輸入，形成戰(zhàn)略方案的一個重要組成局部，這被認(rèn)為是公司治理的一個重要功能——IT影響企業(yè)的戰(zhàn)略競爭機(jī)遇。IT治理的一個關(guān)鍵性問題是：公司的IT投資是否與戰(zhàn)略目標(biāo)相一致，從而構(gòu)筑必要的核心競爭力。公司治理和IT治理概括地說，公司治理和IT治理都是市場〔含政府〕他律的機(jī)制，是如何“管好管理者〞的機(jī)制，其目標(biāo)也是一致的：到達(dá)業(yè)務(wù)永續(xù)運(yùn)營，并增加組織的長期獲利時機(jī)。公司治理側(cè)重于企業(yè)整體規(guī)劃，IT治理側(cè)重于企業(yè)中信息資源的有效利用和管理。公司治理和IT治理的典范“斯達(dá)模式〞這一被譽(yù)為國企擺脫困境、改革開展的創(chuàng)新模式，正說明了公司治理和IT治理的重要性和互動關(guān)系?！昂诩埁暟凑宅F(xiàn)代企業(yè)制度要求，建立與市場競爭相適應(yīng)的公司治理機(jī)制，明晰了企業(yè)產(chǎn)權(quán)，優(yōu)化了生產(chǎn)要素配置，轉(zhuǎn)變了職工觀念，為斯達(dá)大力進(jìn)行信息化改造創(chuàng)造了有力條件。反過來，信息化也促進(jìn)了公司的現(xiàn)代化管理。

IT治理和IT管理IT管理是公司的信息及信息系統(tǒng)的運(yùn)營，確定IT目標(biāo)以及實(shí)現(xiàn)此目標(biāo)所采取的行動；而IT治理是指最高管理層〔董事會〕利用它來監(jiān)督管理層在IT戰(zhàn)略上的過程、結(jié)構(gòu)和聯(lián)系，以確保這種運(yùn)營處于正確的軌道之上。

IT治理模型COBIT目前已成為國際上公認(rèn)的IT管理與控制標(biāo)準(zhǔn)該標(biāo)準(zhǔn)為IT的治理、平安與控制提供了一個一般適用的公認(rèn)的標(biāo)準(zhǔn)，以輔助管理層進(jìn)行IT治理。該標(biāo)準(zhǔn)體系已在世界一百多個國家的重要組織與企業(yè)中運(yùn)用，指導(dǎo)這些組織有效利用信息資源，有效地管理與信息相關(guān)的風(fēng)險。IT治理架構(gòu)ProvideDirectionCompareMeasurePerformanceITActivitiesIncreaseautomation(makethebusinesseffective)Decreasecost(maketheenterpriseefficient)Managerisks(security,reliabilityandcompliance)ITisalignedwiththebusinessITenablesthebusinessand

maximisesbenefitsITresourcesareusedresponsiblyIT-relatedrisksaremanagedappropriatelySetObjectives組織戰(zhàn)略目標(biāo)IT治理COBIT信息規(guī)劃與組織獲得與實(shí)施交付與支持監(jiān)控IT資源COBIT模型COBIT四個域的相互關(guān)系獲得和實(shí)施交付與支持規(guī)劃與組織監(jiān)控IT開發(fā)IT運(yùn)維業(yè)務(wù)戰(zhàn)略IT戰(zhàn)略匯報內(nèi)容IT治理的四個輔助手段IT治理的現(xiàn)實(shí)性和必要性建議

建立IT治理機(jī)制觀念轉(zhuǎn)變：在最高管理層〔董事會〕樹立和維護(hù)IT戰(zhàn)略地位的思想認(rèn)識，建立企業(yè)戰(zhàn)略與IT戰(zhàn)略的互動觀念，說明IT應(yīng)擔(dān)當(dāng)?shù)慕巧?，從業(yè)務(wù)的視角創(chuàng)造信息技術(shù)指導(dǎo)原那么，如信息化規(guī)劃本質(zhì)上可以定位成從業(yè)務(wù)戰(zhàn)略到信息戰(zhàn)略的實(shí)現(xiàn)。業(yè)務(wù)驅(qū)動：從組織的業(yè)務(wù)戰(zhàn)略出發(fā)而不是從系統(tǒng)的需求出發(fā)，可以防止脫離目標(biāo)而進(jìn)行建設(shè)的困境。從業(yè)務(wù)的變革出發(fā)而不是從技術(shù)的變革出發(fā)，有利于充分利用組織的現(xiàn)有資源來滿足關(guān)鍵需求，從而防止建設(shè)的信息系統(tǒng)無法有效地支持組織的決策。

建立IT治理機(jī)制治理環(huán)境加強(qiáng)IT治理實(shí)質(zhì)上是一個政府和企業(yè)機(jī)構(gòu)必須攜手面對的問題。政府必須扮演一個重要的推動角色，并且尤其需要強(qiáng)調(diào)的是政府制定規(guī)那么比較合理的方法是通過聽證會或知情會上下協(xié)商、交互式地制定規(guī)那么.這樣才能解決規(guī)那么的充分合法性、可執(zhí)行行性問題.值得一提的是：組織采行優(yōu)良IT治理機(jī)制的行動，將減輕政府部門在制訂國民經(jīng)濟(jì)和社會信息化中所扮演的角色責(zé)任。建立IT治理機(jī)制治理結(jié)構(gòu)試行建立IT治理委員會明確規(guī)定IT管理