集團企業(yè)的IT治理內(nèi)容、工具與實例

集團企業(yè)的IT治理內(nèi)容、工具與實例主要內(nèi)容IT治理是什么為什么要做IT治理IT治理的五大關(guān)鍵IT決策問題〔治理對象〕IT治理機制〔治理手段〕企業(yè)如何實施IT治理1.IT治理的本質(zhì)IT治理屬于公司治理的組成局部，是指導(dǎo)和控制IT資源的結(jié)構(gòu)，關(guān)系和過程，通過平衡風險和回報獲取IT價值，以實現(xiàn)企業(yè)目標。價值實現(xiàn)，風險控制是IT治理的兩個核心。打個比方來說：“管理〞相當于列車行駛時怎么開快火車;“治理〞那么是規(guī)定誰來做決策、鋪設(shè)怎樣軌道，誰來和怎么約束火車在軌道內(nèi)平安行駛因此，雖然是硬幣的兩面，但是治理卻更具統(tǒng)籌效應(yīng)。2為什么要IT治理2024年，麻省理工CISR研究中心與Gallup咨詢機構(gòu)合作，Ross和Weill教授通過實證研究說明IT治理有助于企業(yè)獲取高IT投資回報，好的IT治理模式可為企業(yè)增加20%以上的利潤2024年4月2日，?2024年中國企業(yè)信息化指數(shù)調(diào)研報告?顯示中國企業(yè)IT治理普遍欠佳。尤其IT規(guī)劃、IT制度體系和IT評估缺失現(xiàn)象嚴重IT治理缺失的八大病癥：一是缺乏IT建設(shè)整體規(guī)劃、執(zhí)行隨意性較強，標準化和標準化等根底工作不到位，導(dǎo)致出現(xiàn)大量信息孤島，使公司面臨繁重的系統(tǒng)整合工作;二是業(yè)務(wù)部門與技術(shù)部門經(jīng)常出現(xiàn)“兩張皮〞現(xiàn)象，使到溝通交流困難;三是IT預(yù)算缺乏完整性，方案外工程過多;四是工程投資出現(xiàn)失誤或投資回報不高;五是工程管理缺乏控制手段，工程延期交付時有發(fā)生;六是IT事故責任不清，技術(shù)部門承擔責任過大;七是一些IT系統(tǒng)建成后沒人進行后續(xù)跟蹤運維、推廣和使用;八是缺少IT審計環(huán)節(jié)，不清楚IT價值何在，認為IT只是工具，缺乏約束機制。為什么要做IT治理---兩大直接驅(qū)動力價值----提高企業(yè)信息化成熟度+支撐企業(yè)戰(zhàn)略風險----IT過程控制+外部合規(guī)價值提升與風險控制：IT治理的最終目標IT治理整體框架體系典型的IT治理主體：董事會與執(zhí)行層

業(yè)務(wù)部門管理者IT部門管理人員治理目標治理組織結(jié)構(gòu)治理流程治理關(guān)系機制治理機制治理對象合規(guī)績效實現(xiàn)戰(zhàn)略IT投資IT基礎(chǔ)設(shè)施IT應(yīng)用IT架構(gòu)IT原則IT決策權(quán)安排IT投資的分類：把信息技術(shù)投資分為四類資產(chǎn)，分別是:交易流程信息管理流程戰(zhàn)略性開發(fā)或創(chuàng)新根底架構(gòu)任何一項IT投資都可能是這四類資產(chǎn)的任何組合。IT治理的五大對象：1.我們應(yīng)當花多少錢?2哪些業(yè)務(wù)流程應(yīng)當獲得資金?3哪些IT能力應(yīng)當面向整個公司?4IT效勞要有多好?5.誰來承擔責任IT治理五大對象間關(guān)系IT原則的決策高層關(guān)于企業(yè)如何使用IT的陳述IT架構(gòu)決策組織從一系列政策、關(guān)系以及技術(shù)選擇中捕獲的數(shù)據(jù)、應(yīng)用和基礎(chǔ)設(shè)施的邏輯，以達到預(yù)期的商業(yè)、技術(shù)的標準化和一體化IT基礎(chǔ)設(shè)施決策集中協(xié)調(diào)、共享IT服務(wù)可以給企業(yè)的IT能力提供基礎(chǔ)IT投資和優(yōu)先順序決策關(guān)于應(yīng)該在IT的那些方面投資以及投資多少的決策。包括項目的審批和論證技術(shù)業(yè)務(wù)應(yīng)用需求決策為購買或內(nèi)部開發(fā)IT應(yīng)用確定業(yè)務(wù)需求2

IT治理機制IT決策權(quán)力部署方式

決策原型IT原則IT架構(gòu)IT基礎(chǔ)設(shè)施戰(zhàn)略業(yè)務(wù)應(yīng)用需求IT投資輸入決策輸入決策輸入決策輸入決策輸入決策高級業(yè)務(wù)主管負責制√√高級IT主管負責制√√√業(yè)務(wù)部門負責制√總部與業(yè)務(wù)部門共同負責制√√√√√√IT與業(yè)務(wù)部門負責制√√√√√√√建立健全IT流程管控體系----IT治理機制典型IT治理機制治理結(jié)構(gòu)S1IT戰(zhàn)略委員會S2IT安全委員會S3IT指導(dǎo)委員會S4CIO直接向CEO負責S5CIO在執(zhí)行層中的地位治理流程P1IT戰(zhàn)略規(guī)劃P2IT績效管理流程（平衡積分卡）P3項目組合管理P4IT預(yù)算管理P5IT項目治理與跟蹤溝通機制R1IT領(lǐng)導(dǎo)力R2業(yè)務(wù)/IT關(guān)系經(jīng)理R3委員會正式會議實現(xiàn)IT治理的工具/方法信息系統(tǒng)審計的誕生1在美國、日本、英國、加拿大等興旺國家，信息系統(tǒng)審計已經(jīng)開展到相當程度，信息系統(tǒng)審計的理念也已深入人心。從國外ISA開展歷史來看，它是與企業(yè)信息化的過程緊密聯(lián)系的，是企業(yè)信息化的必然要求。195460年代70年代80年代90年代

信息的收集、處理、傳遞和存儲都是由人來完成計算機出現(xiàn)之前對計算機有初步認識計算機應(yīng)用蔓延信息系統(tǒng)在企業(yè)普及集成信息系統(tǒng)，MRP，MRPII應(yīng)用在財務(wù)，庫存，統(tǒng)計方面會計電算化出現(xiàn)計算機欺詐舞弊事件出現(xiàn)財務(wù)數(shù)據(jù)的采集是由整個信息系統(tǒng)實時完成信息系統(tǒng)網(wǎng)絡(luò)化，大型化電子數(shù)據(jù)處理審計1969年，電子數(shù)據(jù)處理審計師協(xié)會（EDPAA）在美國洛杉礬成立完全手工審計手工審計

+紙質(zhì)文檔審計開始重視對信息系統(tǒng)的審計信息系統(tǒng)審計師成為職業(yè)1994年，EDPAA更名為信息系統(tǒng)審計與控制協(xié)會（ISACA）信息系統(tǒng)成為企業(yè)重要資產(chǎn)如何確保網(wǎng)絡(luò)平臺上的信息系統(tǒng)的安全、可靠和有效變得越來越重要。

信息系統(tǒng)審計的誕生

1

信息系統(tǒng)審計信息系統(tǒng)/技術(shù)信息技術(shù)作為企業(yè)發(fā)展的“銀彈”，投資額度不斷加大，投資失敗的風險日漸成了企業(yè)難以承受之重信息系統(tǒng)成為企業(yè)運作，甚至是賴以生存的基礎(chǔ)，其安全、穩(wěn)定和可靠性需要得以保障審計審計面臨的環(huán)境發(fā)生變化，信息系統(tǒng)是很多被審單位內(nèi)部管理與控制的關(guān)鍵工具，審計的內(nèi)容和重點發(fā)生變化。ISA審計成為控制審計風險的必然要求（假電子數(shù)據(jù)真審？）“逐步開展對關(guān)系國計民生的重大行業(yè)、部門的聯(lián)網(wǎng)審計和信息系統(tǒng)審計，全面提高計算機應(yīng)用水平〞+引自：?審計署2024至2024年審計工作開展規(guī)劃?信息系統(tǒng)審計是我國審計開展的新路徑1信息化時代，我國的信息系統(tǒng)審計具備極大的需求和迫切性：信息系統(tǒng)審計被列入“金審工程〞二期的試點范圍〔2024.5，審計署信息系統(tǒng)審計研討會〕信息系統(tǒng)審計成為審計署2024年度重大研究課題之一。審計署信息系統(tǒng)審計培訓開班〔2024.5.28〕審計署提出要根本形成符合中國國情的信息系統(tǒng)審計的理論和方法?！仓袊鴮徲媹蟆尘植繉徲嫏C關(guān)將2024年作為信息系統(tǒng)審計的探索之年?！仓袊鴮徲媹蟆诚嚓P(guān)部門正在積極醞釀并研究制定信息系統(tǒng)審計準那么和指南但是“我們的信息系統(tǒng)審計仍處于探索階段〞〔石愛中語〕COSO框架COSO—ERM框架和1992年的COSO報告一樣，也主要在“控制活動〞和“信息溝通〞中對IT控制做出相關(guān)規(guī)定。但是因為時隔12年，信息技術(shù)已經(jīng)有翻天覆地的變化，所以該框架在技術(shù)上對IT控制〔包括一般控制和應(yīng)用控制〕作了更為廣泛、科學的描述?？刂苹顒?，指為確保風險管理策略有效執(zhí)行而制定的制度和程序，包括核準、授權(quán)、驗證、調(diào)整、復(fù)核、定期盤點、記錄核對、職能分工、資產(chǎn)保全、績效考核等。

信息溝通，指產(chǎn)生效勞于規(guī)劃、執(zhí)行、監(jiān)督等管理活動的信息并適時向使用者提供的過程。COBITITIL服務(wù)支持流程事故管理問題管理變更管理版本管理配置管理服務(wù)提供流程可用性管理能力管理財務(wù)管理連續(xù)性管理服務(wù)水平管理ITIL流程間的關(guān)聯(lián)ISO27001標準ISO27001標準不是一個技術(shù)性的信息平安操作手冊，而一個通用的信息平安管理指南。它提出了11個平安要素，39個控制目標和133種控制措施。ISO17799中的11個要素分別是：◆平安策略〔Securitypolicy〕；◆信息平安組織〔Organizationofinformationsecurity〕；◆資產(chǎn)管理〔Assetmanagement〕；◆人力資源平安〔Humanresourcesecurity〕；◆物理和環(huán)境平安〔Physicalandenvironmentalsecurity〕；◆通信和操作管理〔Communicationandoperationmanagement〕；◆訪問控制〔Accesscontrol〕；◆信息系統(tǒng)獲取、開發(fā)和維護〔Informationsystemsacquisition,developmentandmaintenance〕；◆信息平安事件管理〔Informationsecurityincidentmanagement〕；◆業(yè)務(wù)連續(xù)性管理〔Businesscontinuitymanagement〕；◆符合性〔Compliance〕。

5.企業(yè)如何實施IT治理-----16字方針整體規(guī)劃，分步實施，關(guān)注試點，持續(xù)優(yōu)化--Thinkbig,dosmall,Dobig

5.企業(yè)如何實施IT治理-----16字方針整體規(guī)劃，分步實施，關(guān)注試點，持續(xù)優(yōu)化--Thinkbig,dosmall,Dobig

5.企業(yè)如何實施IT治理-----16字方針整體規(guī)劃，分步實施，關(guān)注試點，持續(xù)優(yōu)化--Thinkbig,dosmall,Dobig

5.企業(yè)如何實施IT治理-----16字方針整體規(guī)劃，分步實施，關(guān)注試點，持續(xù)優(yōu)化--Thinkbig,dosmall,Dobig外部合規(guī)要求：?中央企業(yè)全面風險管理指引??國資委信息化水平評價??企業(yè)內(nèi)部控制根本標準??上海證券交易所上市公司內(nèi)部控制指引?美國SOX法案合規(guī)施工總承包企業(yè)特級資質(zhì)標準?國資委信息化水平評價?--合規(guī)2企業(yè)內(nèi)部控制應(yīng)用指引內(nèi)部控制應(yīng)用指引中的計算機信息系統(tǒng)具體標準那么提出：企業(yè)在建立并實施計算機信息系統(tǒng)內(nèi)部控制制度中，至少應(yīng)當強化對以下關(guān)鍵方面或者關(guān)鍵環(huán)節(jié)的風險控制，并采取相應(yīng)的控制措施：〔一〕權(quán)責分配和職責分工應(yīng)當明確，重大信息系統(tǒng)事項應(yīng)履行審批程序；〔二〕信息系統(tǒng)開發(fā)、變更和維護流程應(yīng)當清晰，授權(quán)審批程序應(yīng)當明確；〔三〕信息系統(tǒng)應(yīng)當建立訪問平安制度，操作權(quán)限、信息使用、信息管理應(yīng)當有明確規(guī)定；〔四〕硬件管理事項和審批程序應(yīng)當科學合理；〔五〕會計電算化流程應(yīng)當標準，會計電算化操作管理、硬件、軟件和數(shù)據(jù)管理、會計電算化檔案管理和會計電算化賬務(wù)處理等制度應(yīng)當完善。?上海證券交易所上市公司內(nèi)部控制指引?--合規(guī)4第四條公司董事會對公司內(nèi)控制度的建立健全、有效實施及其檢查監(jiān)督負責，董事會及其全體成員應(yīng)保證內(nèi)部控制相關(guān)信息披露內(nèi)容的真實、準確、完整。第十條公司使用計算機信息系統(tǒng)的，還應(yīng)制定信息管理的內(nèi)控制度。信息管理的內(nèi)控制度至少應(yīng)涵蓋以下內(nèi)容：〔一〕信息處理部門與使用部門權(quán)責的劃分；〔二〕信息處理部門的功能及職責劃分〔三〕系統(tǒng)開發(fā)及程序修改的控制；〔四〕程序及資料的存取、數(shù)據(jù)處理的控制；〔五〕檔案、設(shè)備、信息的平安控制；IT治理成熟度診斷成熟度診斷的六個方面：IT權(quán)責體系IT戰(zhàn)略IT投資IT運維效勞風險與合規(guī)IT人力資源成熟度模型的使用成熟度提供了一種簡單實用的管理工具，組織可以用于評估現(xiàn)狀，了解自身目前所處的地位，行業(yè)標桿和國際最佳實踐的水平。根據(jù)企業(yè)現(xiàn)狀和行業(yè)標桿、國際最佳實踐對比找出未來改進的方向，結(jié)合業(yè)務(wù)需求，將主要精力投入到關(guān)鍵的管理領(lǐng)域。成熟度模型等級有助于向管理層清晰地展示IT管理存在的缺陷，將組織的管理水平與國際最佳實踐相對照，從而確定組織的發(fā)展目標。服務(wù)臺·制定了制度文檔?！び蠷emedy和聯(lián)友自己開發(fā)的服務(wù)平臺支撐。

·有效回訪率56％?！ず魮p率指標目前由花都電信提供，不準確。事件管理·制定了事件管理流程和制度，并對故障進行分級。

·事件主要由人工觸發(fā)。沒有從監(jiān)控設(shè)備直接觸發(fā)的事件。問題管理·沒有明確的問題管理流程。

·有與IS部舉行例會解決問題的機制;有重大故障詳細報告。

·沒有主動分析事件、觸發(fā)問題的機制。配置管理·配置庫中對配置信息的分類層次清楚?！づ渲霉芾淼墓ぞ撸╮emedy）支撐配置管理?！づ渲霉芾硇畔⑤^基礎(chǔ)。變更管理·變更的申請、審批、測試、實施流程完備?！ぞo急變更流程未見相關(guān)文件。服務(wù)級別管理·有完善的服務(wù)級別管理，并分解到服務(wù)目錄?！め槍Σ煌姆?wù)級別，有相應(yīng)的控制措施?！ざㄆ跒镈FL提供服務(wù)報告。例如網(wǎng)絡(luò)設(shè)備、系統(tǒng)·一線人員上崗前參加相關(guān)技術(shù)培訓?！と狈y(tǒng)一的網(wǎng)絡(luò)、應(yīng)用監(jiān)控平臺?！ひ阎贫ú糠植僮髁鞒?，未形成完整體系。數(shù)據(jù)中心·武漢機房管理較完善，十堰較為混亂?！み\維人員對雙機、均衡、災(zāi)難恢復(fù)等技術(shù)掌握不熟練?！と狈κ录?yīng)急方案。設(shè)備維護·運維工程師具備系統(tǒng)硬軟件維護的基本技能?！ね蛻舻臏贤ù嬖谝欢ǖ膯栴}。數(shù)據(jù)庫·一線工程師定期對數(shù)據(jù)庫進行備份和性能監(jiān)控的工作?！ざ€運維SE定期對系統(tǒng)進行評估和性能優(yōu)化；·同原廠商建立密切的聯(lián)系，經(jīng)常參加原廠商的技術(shù)培訓。例如信息安全戰(zhàn)略與策略·缺乏明確的信息安全體系策略文件組織的安全·沒有公司層面的安全組織；與第三方保持著良好的聯(lián)系資產(chǎn)管理·有資產(chǎn)清單，但資產(chǎn)羅列不全；信息分類不夠細致人力資源安全·沒有對入職員工進行信息安全背景調(diào)查，但簽署了保密協(xié)議；信息安全培訓較薄弱；離職時，缺乏撤銷訪問權(quán)限的流程物理和環(huán)境安全·基本符合國家機房安全相關(guān)規(guī)定，但十堰機房需加強管理信息和操作管理·網(wǎng)絡(luò)安全方面部署了較成熟的防護技術(shù)，但缺乏備份記錄，移動介質(zhì)的