集團(tuán)企業(yè)的IT治理內(nèi)容、工具與實(shí)例

集團(tuán)企業(yè)的IT治理內(nèi)容、工具與實(shí)例主要內(nèi)容IT治理是什么為什么要做IT治理IT治理的五大關(guān)鍵IT決策問題（治理對象）IT治理機(jī)制（治理手段）企業(yè)如何實(shí)施IT治理1.IT治理的本質(zhì)IT治理屬于公司治理的組成部分，是指導(dǎo)和控制IT資源的結(jié)構(gòu)，關(guān)系和過程，通過平衡風(fēng)險(xiǎn)和回報(bào)獲取IT價(jià)值，以實(shí)現(xiàn)企業(yè)目標(biāo)。價(jià)值實(shí)現(xiàn)，風(fēng)險(xiǎn)控制是IT治理的兩個(gè)核心。打個(gè)比方來說：“管理”相當(dāng)于列車行駛時(shí)怎么開快火車;“治理”則是規(guī)定誰來做決策、鋪設(shè)怎樣軌道，誰來和怎么約束火車在軌道內(nèi)安全行駛因此，雖然是硬幣的兩面，但是治理卻更具統(tǒng)籌效應(yīng)。2為什么要IT治理2005年，麻省理工CISR研究中心與Gallup咨詢機(jī)構(gòu)合作，Ross和Weill教授通過實(shí)證研究表明IT治理有助于企業(yè)獲取高IT投資回報(bào)，好的IT治理模式可為企業(yè)增加20%以上的利潤2010年4月2日，《2010年中國企業(yè)信息化指數(shù)調(diào)研報(bào)告》顯示中國企業(yè)IT治理普遍欠佳。尤其IT規(guī)劃、IT制度體系和IT評估缺失現(xiàn)象嚴(yán)重IT治理缺失的八大癥狀：一是缺乏IT建設(shè)整體規(guī)劃、執(zhí)行隨意性較強(qiáng)，標(biāo)準(zhǔn)化和規(guī)范化等基礎(chǔ)工作不到位，導(dǎo)致出現(xiàn)大量信息孤島，使公司面臨繁重的系統(tǒng)整合工作;二是業(yè)務(wù)部門與技術(shù)部門經(jīng)常出現(xiàn)“兩張皮”現(xiàn)象，使到溝通交流困難;三是IT預(yù)算缺乏完整性，計(jì)劃外項(xiàng)目過多;四是項(xiàng)目投資出現(xiàn)失誤或投資回報(bào)不高;五是項(xiàng)目管理缺乏控制手段，項(xiàng)目延期交付時(shí)有發(fā)生;六是IT事故責(zé)任不清，技術(shù)部門承擔(dān)責(zé)任過大;七是一些IT系統(tǒng)建成后沒人進(jìn)行后續(xù)跟蹤運(yùn)維、推廣和使用;八是缺少IT審計(jì)環(huán)節(jié)，不清楚IT價(jià)值何在，認(rèn)為IT只是工具，缺乏約束機(jī)制。為什么要做IT治理---兩大直接驅(qū)動(dòng)力價(jià)值----提高企業(yè)信息化成熟度+支撐企業(yè)戰(zhàn)略風(fēng)險(xiǎn)----IT過程控制+外部合規(guī)價(jià)值提升與風(fēng)險(xiǎn)控制：IT治理的最終目標(biāo)IT治理整體框架體系典型的IT治理主體：董事會(huì)與執(zhí)行層

業(yè)務(wù)部門管理者IT部門管理人員治理目標(biāo)治理組織結(jié)構(gòu)治理流程治理關(guān)系機(jī)制治理機(jī)制治理對象合規(guī)績效實(shí)現(xiàn)戰(zhàn)略IT投資IT基礎(chǔ)設(shè)施IT應(yīng)用IT架構(gòu)IT原則IT決策權(quán)安排IT投資的分類：把信息技術(shù)投資分為四類資產(chǎn)，分別是:交易流程信息管理流程戰(zhàn)略性開發(fā)或創(chuàng)新基礎(chǔ)架構(gòu)任何一項(xiàng)IT投資都可能是這四類資產(chǎn)的任何組合。IT治理的五大對象：1.我們應(yīng)當(dāng)花多少錢?2哪些業(yè)務(wù)流程應(yīng)當(dāng)獲得資金?3哪些IT能力應(yīng)當(dāng)面向整個(gè)公司?4IT服務(wù)要有多好?5.誰來承擔(dān)責(zé)任IT治理五大對象間關(guān)系IT原則的決策高層關(guān)于企業(yè)如何使用IT的陳述IT架構(gòu)決策組織從一系列政策、關(guān)系以及技術(shù)選擇中捕獲的數(shù)據(jù)、應(yīng)用和基礎(chǔ)設(shè)施的邏輯，以達(dá)到預(yù)期的商業(yè)、技術(shù)的標(biāo)準(zhǔn)化和一體化IT基礎(chǔ)設(shè)施決策集中協(xié)調(diào)、共享IT服務(wù)可以給企業(yè)的IT能力提供基礎(chǔ)IT投資和優(yōu)先順序決策關(guān)于應(yīng)該在IT的那些方面投資以及投資多少的決策。包括項(xiàng)目的審批和論證技術(shù)業(yè)務(wù)應(yīng)用需求決策為購買或內(nèi)部開發(fā)IT應(yīng)用確定業(yè)務(wù)需求2

IT治理機(jī)制IT決策權(quán)力部署方式

決策原型IT原則IT架構(gòu)IT基礎(chǔ)設(shè)施戰(zhàn)略業(yè)務(wù)應(yīng)用需求IT投資輸入決策輸入決策輸入決策輸入決策輸入決策高級業(yè)務(wù)主管負(fù)責(zé)制√√高級IT主管負(fù)責(zé)制√√√業(yè)務(wù)部門負(fù)責(zé)制√總部與業(yè)務(wù)部門共同負(fù)責(zé)制√√√√√√IT與業(yè)務(wù)部門負(fù)責(zé)制√√√√√√√建立健全I(xiàn)T流程管控體系----IT治理機(jī)制典型IT治理機(jī)制治理結(jié)構(gòu)S1IT戰(zhàn)略委員會(huì)S2IT安全委員會(huì)S3IT指導(dǎo)委員會(huì)S4CIO直接向CEO負(fù)責(zé)S5CIO在執(zhí)行層中的地位治理流程P1IT戰(zhàn)略規(guī)劃P2IT績效管理流程（平衡積分卡）P3項(xiàng)目組合管理P4IT預(yù)算管理P5IT項(xiàng)目治理與跟蹤溝通機(jī)制R1IT領(lǐng)導(dǎo)力R2業(yè)務(wù)/IT關(guān)系經(jīng)理R3委員會(huì)正式會(huì)議實(shí)現(xiàn)IT治理的工具/方法信息系統(tǒng)審計(jì)的誕生1在美國、日本、英國、加拿大等發(fā)達(dá)國家，信息系統(tǒng)審計(jì)已經(jīng)發(fā)展到相當(dāng)程度，信息系統(tǒng)審計(jì)的理念也已深入人心。從國外ISA發(fā)展歷史來看，它是與企業(yè)信息化的過程緊密聯(lián)系的，是企業(yè)信息化的必然要求。195460年代70年代80年代90年代

信息的收集、處理、傳遞和存儲(chǔ)都是由人來完成計(jì)算機(jī)出現(xiàn)之前對計(jì)算機(jī)有初步認(rèn)識(shí)計(jì)算機(jī)應(yīng)用蔓延信息系統(tǒng)在企業(yè)普及集成信息系統(tǒng)，MRP，MRPII應(yīng)用在財(cái)務(wù)，庫存，統(tǒng)計(jì)方面會(huì)計(jì)電算化出現(xiàn)計(jì)算機(jī)欺詐舞弊事件出現(xiàn)財(cái)務(wù)數(shù)據(jù)的采集是由整個(gè)信息系統(tǒng)實(shí)時(shí)完成信息系統(tǒng)網(wǎng)絡(luò)化，大型化電子數(shù)據(jù)處理審計(jì)1969年，電子數(shù)據(jù)處理審計(jì)師協(xié)會(huì)（EDPAA）在美國洛杉礬成立完全手工審計(jì)手工審計(jì)

+紙質(zhì)文檔審計(jì)開始重視對信息系統(tǒng)的審計(jì)信息系統(tǒng)審計(jì)師成為職業(yè)1994年，EDPAA更名為信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（ISACA）信息系統(tǒng)成為企業(yè)重要資產(chǎn)如何確保網(wǎng)絡(luò)平臺(tái)上的信息系統(tǒng)的安全、可靠和有效變得越來越重要。

信息系統(tǒng)審計(jì)的誕生

1

信息系統(tǒng)審計(jì)信息系統(tǒng)/技術(shù)信息技術(shù)作為企業(yè)發(fā)展的“銀彈”，投資額度不斷加大，投資失敗的風(fēng)險(xiǎn)日漸成了企業(yè)難以承受之重信息系統(tǒng)成為企業(yè)運(yùn)作，甚至是賴以生存的基礎(chǔ)，其安全、穩(wěn)定和可靠性需要得以保障審計(jì)審計(jì)面臨的環(huán)境發(fā)生變化，信息系統(tǒng)是很多被審單位內(nèi)部管理與控制的關(guān)鍵工具，審計(jì)的內(nèi)容和重點(diǎn)發(fā)生變化。ISA審計(jì)成為控制審計(jì)風(fēng)險(xiǎn)的必然要求（假電子數(shù)據(jù)真審？）“逐步開展對關(guān)系國計(jì)民生的重大行業(yè)、部門的聯(lián)網(wǎng)審計(jì)和信息系統(tǒng)審計(jì)，全面提高計(jì)算機(jī)應(yīng)用水平”+引自：《審計(jì)署2006至2010年審計(jì)工作發(fā)展規(guī)劃》信息系統(tǒng)審計(jì)是我國審計(jì)發(fā)展的新路徑1信息化時(shí)代，我國的信息系統(tǒng)審計(jì)具備極大的需求和迫切性：信息系統(tǒng)審計(jì)被列入“金審工程”二期的試點(diǎn)范圍（2007.5，審計(jì)署信息系統(tǒng)審計(jì)研討會(huì)）信息系統(tǒng)審計(jì)成為審計(jì)署2008年度重大研究課題之一。審計(jì)署信息系統(tǒng)審計(jì)培訓(xùn)開班（2008.5.28）審計(jì)署提出要基本形成符合中國國情的信息系統(tǒng)審計(jì)的理論和方法。（中國審計(jì)報(bào)）部分審計(jì)機(jī)關(guān)將2008年作為信息系統(tǒng)審計(jì)的探索之年。（中國審計(jì)報(bào)）相關(guān)部門正在積極醞釀并研究制定信息系統(tǒng)審計(jì)準(zhǔn)則和指南但是“我們的信息系統(tǒng)審計(jì)仍處于探索階段”（石愛中語）COSO框架COSO—ERM框架和1992年的COSO報(bào)告一樣，也主要在“控制活動(dòng)”和“信息溝通”中對IT控制做出相關(guān)規(guī)定。但是因?yàn)闀r(shí)隔12年，信息技術(shù)已經(jīng)有翻天覆地的變化，所以該框架在技術(shù)上對IT控制（包括一般控制和應(yīng)用控制）作了更為廣泛、科學(xué)的描述?？刂苹顒?dòng)，指為確保風(fēng)險(xiǎn)管理策略有效執(zhí)行而制定的制度和程序，包括核準(zhǔn)、授權(quán)、驗(yàn)證、調(diào)整、復(fù)核、定期盤點(diǎn)、記錄核對、職能分工、資產(chǎn)保全、績效考核等。

信息溝通，指產(chǎn)生服務(wù)于規(guī)劃、執(zhí)行、監(jiān)督等管理活動(dòng)的信息并適時(shí)向使用者提供的過程。COBITITIL服務(wù)支持流程事故管理問題管理變更管理版本管理配置管理服務(wù)提供流程可用性管理能力管理財(cái)務(wù)管理連續(xù)性管理服務(wù)水平管理ITIL流程間的關(guān)聯(lián)ISO27001標(biāo)準(zhǔn)ISO27001標(biāo)準(zhǔn)不是一個(gè)技術(shù)性的信息安全操作手冊，而一個(gè)通用的信息安全管理指南。它提出了11個(gè)安全要素，39個(gè)控制目標(biāo)和133種控制措施。ISO17799中的11個(gè)要素分別是：◆

安全策略（Securitypolicy）；

◆

信息安全組織（Organizationofinformationsecurity）；

◆

資產(chǎn)管理（Assetmanagement）；

◆

人力資源安全（Humanresourcesecurity）；

◆

物理和環(huán)境安全（Physicalandenvironmentalsecurity）；◆

通信和操作管理（Communicationandoperationmanagement）；

◆

訪問控制（Accesscontrol）；

◆

信息系統(tǒng)獲取、開發(fā)和維護(hù)（Informationsystemsacquisition,developmentandmaintenance）；

◆

信息安全事件管理（Informationsecurityincidentmanagement）；

◆

業(yè)務(wù)連續(xù)性管理（Businesscontinuitymanagement）；

◆

符合性（Compliance）。

5.企業(yè)如何實(shí)施IT治理-----16字方針整體規(guī)劃，分步實(shí)施，關(guān)注試點(diǎn)，持續(xù)優(yōu)化--Thinkbig,dosmall,Dobig

5.企業(yè)如何實(shí)施IT治理-----16字方針整體規(guī)劃，分步實(shí)施，關(guān)注試點(diǎn)，持續(xù)優(yōu)化--Thinkbig,dosmall,Dobig

5.企業(yè)如何實(shí)施IT治理-----16字方針整體規(guī)劃，分步實(shí)施，關(guān)注試點(diǎn)，持續(xù)優(yōu)化--Thinkbig,dosmall,Dobig

5.企業(yè)如何實(shí)施IT治理-----16字方針整體規(guī)劃，分步實(shí)施，關(guān)注試點(diǎn)，持續(xù)優(yōu)化--Thinkbig,dosmall,Dobig外部合規(guī)要求：《中央企業(yè)全面風(fēng)險(xiǎn)管理指引》《國資委信息化水平評價(jià)》《企業(yè)內(nèi)部控制基本規(guī)范》《上海證券交易所上市公司內(nèi)部控制指引》美國SOX法案合規(guī)施工總承包企業(yè)特級資質(zhì)標(biāo)準(zhǔn)《國資委信息化水平評價(jià)》--合規(guī)2企業(yè)內(nèi)部控制應(yīng)用指引內(nèi)部控制應(yīng)用指引中的計(jì)算機(jī)信息系統(tǒng)具體規(guī)范則提出：企業(yè)在建立并實(shí)施計(jì)算機(jī)信息系統(tǒng)內(nèi)部控制制度中，至少應(yīng)當(dāng)強(qiáng)化對以下關(guān)鍵方面或者關(guān)鍵環(huán)節(jié)的風(fēng)險(xiǎn)控制，并采取相應(yīng)的控制措施：（一）權(quán)責(zé)分配和職責(zé)分工應(yīng)當(dāng)明確，重大信息系統(tǒng)事項(xiàng)應(yīng)履行審批程序；（二）信息系統(tǒng)開發(fā)、變更和維護(hù)流程應(yīng)當(dāng)清晰，授權(quán)審批程序應(yīng)當(dāng)明確；（三）信息系統(tǒng)應(yīng)當(dāng)建立訪問安全制度，操作權(quán)限、信息使用、信息管理應(yīng)當(dāng)有明確規(guī)定；（四）硬件管理事項(xiàng)和審批程序應(yīng)當(dāng)科學(xué)合理；（五）會(huì)計(jì)電算化流程應(yīng)當(dāng)規(guī)范，會(huì)計(jì)電算化操作管理、硬件、軟件和數(shù)據(jù)管理、會(huì)計(jì)電算化檔案管理和會(huì)計(jì)電算化賬務(wù)處理等制度應(yīng)當(dāng)完善?！渡虾ＷC券交易所上市公司內(nèi)部控制指引》--合規(guī)4第四條公司董事會(huì)對公司內(nèi)控制度的建立健全、有效實(shí)施及其檢查監(jiān)督負(fù)責(zé)，董事會(huì)及其全體成員應(yīng)保證內(nèi)部控制相關(guān)信息披露內(nèi)容的真實(shí)、準(zhǔn)確、完整。第十條公司使用計(jì)算機(jī)信息系統(tǒng)的，還應(yīng)制定信息管理的內(nèi)控制度。

信息管理的內(nèi)控制度至少應(yīng)涵蓋下列內(nèi)容：（一）信息處理部門與使用部門權(quán)責(zé)的劃分；（二）信息處理部門的功能及職責(zé)劃分（三）系統(tǒng)開發(fā)及程序修改的控制；（四）程序及資料的存取、數(shù)據(jù)處理的控制；（五）檔案、設(shè)備、信息的安全控制；IT治理成熟度診斷成熟度診斷的六個(gè)方面：IT權(quán)責(zé)體系IT戰(zhàn)略IT投資IT運(yùn)維服務(wù)風(fēng)險(xiǎn)與合規(guī)IT人力資源成熟度模型的使用成熟度提供了一種簡單實(shí)用的管理工具，組織可以用于評估現(xiàn)狀，了解自身目前所處的地位，行業(yè)標(biāo)桿和國際最佳實(shí)踐的水平。根據(jù)企業(yè)現(xiàn)狀和行業(yè)標(biāo)桿、國際最佳實(shí)踐對比找出未來改進(jìn)的方向，結(jié)合業(yè)務(wù)需求，將主要精力投入到關(guān)鍵的管理領(lǐng)域。成熟度模型等級有助于向管理層清晰地展示IT管理存在的缺陷，將組織的管理水平與國際最佳實(shí)踐相對照，從而確定組織的發(fā)展目標(biāo)。服務(wù)臺(tái)·制定了制度文檔?！び蠷emedy和聯(lián)友自己開發(fā)的服務(wù)平臺(tái)支撐。

·有效回訪率56％?！ず魮p率指標(biāo)目前由花都電信提供，不準(zhǔn)確。事件管理·制定了事件管理流程和制度，并對故障進(jìn)行分級。

·事件主要由人工觸發(fā)。沒有從監(jiān)控設(shè)備直接觸發(fā)的事件。問題管理·沒有明確的問題管理流程。

·有與IS部舉行例會(huì)解決問題的機(jī)制;有重大故障詳細(xì)報(bào)告。

·沒有主動(dòng)分析事件、觸發(fā)問題的機(jī)制。配置管理·配置庫中對配置信息的分類層次清楚?！づ渲霉芾淼墓ぞ撸╮emedy）支撐配置管理?！づ渲霉芾硇畔⑤^基礎(chǔ)。變更管理·變更的申請、審批、測試、實(shí)施流程完備?！ぞo急變更流程未見相關(guān)文件。服務(wù)級別管理·有完善的服務(wù)級別管理，并分解到服務(wù)目錄?！め槍Σ煌姆?wù)級別，有相應(yīng)的控制措施?！ざㄆ跒镈FL提供服務(wù)報(bào)告。示例網(wǎng)絡(luò)設(shè)備、系統(tǒng)·一線人員上崗前參加相關(guān)技術(shù)培訓(xùn)?！と狈y(tǒng)一的網(wǎng)絡(luò)、應(yīng)用監(jiān)控平臺(tái)?！ひ阎贫ú糠植僮髁鞒蹋葱纬赏暾w系。數(shù)據(jù)中心·武漢機(jī)房管理較完善，十堰較為混亂?！み\(yùn)維人員對雙機(jī)、均衡、災(zāi)難恢復(fù)等技術(shù)掌握不熟練?！と狈κ录?yīng)急方案。設(shè)備維護(hù)·運(yùn)維工程師具備系統(tǒng)硬軟件維護(hù)的基本技能?！ね蛻舻臏贤ù嬖谝欢ǖ膯栴}。數(shù)據(jù)庫·一線工程師定期對數(shù)據(jù)庫進(jìn)行備份和性能監(jiān)控的工作?！ざ€運(yùn)維SE定期對系統(tǒng)進(jìn)行評估和性能優(yōu)化；·同原廠商建立密切的聯(lián)系，經(jīng)常參加原廠商的技術(shù)培訓(xùn)。示例信息安全戰(zhàn)略與策略·缺乏明確的信息安全體系策略文件組織的安全·沒有公司層面的安全組織；與第三方保持著良好的聯(lián)系資產(chǎn)管理·有資產(chǎn)清單，但資產(chǎn)羅列不全；信息分類不夠細(xì)致人力資源安全·沒有對入職員工進(jìn)行信息安全背景調(diào)查，但簽署了保密協(xié)議；信息安全培訓(xùn)較薄弱；離職時(shí)，缺乏撤銷訪問權(quán)限的流程物理和環(huán)境安全·基本符合國家機(jī)房安全相關(guān)規(guī)定，但十堰機(jī)房需加強(qiáng)管理信息和操作管理·網(wǎng)絡(luò)安全方面部署了較成熟的防護(hù)技術(shù)，但缺乏備份記錄，移動(dòng)介質(zhì)的管理與銷毀流程訪問控制·在用戶訪問管理、網(wǎng)絡(luò)訪問控制、操作系統(tǒng)訪問控制、應(yīng)用系統(tǒng)訪問控制和遠(yuǎn)程工作方面具備了一定的權(quán)限管理辦法系統(tǒng)開發(fā)、獲取與維護(hù)·系統(tǒng)開發(fā)具備較完善的預(yù)防措施，但系統(tǒng)的測試數(shù)據(jù)沒有明確的保護(hù)措施。變更管理缺乏執(zhí)行力信息安全事件管理·信息安全事件管理能滿足業(yè)務(wù)需求，但管理流程還可進(jìn)一步優(yōu)化災(zāi)難恢復(fù)·具有冗余及預(yù)案流程，缺乏業(yè)務(wù)影響分析和風(fēng)險(xiǎn)評估,及意思培訓(xùn)不到位符合性·遵守公司既定的各項(xiàng)策略IT人力資源人力資源地域分布情況技術(shù)經(jīng)驗(yàn)分布情況流動(dòng)情況示例培訓(xùn)情況示例IT治理目標(biāo)---價(jià)值提升，風(fēng)險(xiǎn)控制示例IT治理框架藍(lán)圖示例IT治理實(shí)施計(jì)劃供應(yīng)商門戶信息化規(guī)劃/運(yùn)營管理網(wǎng)絡(luò)平臺(tái)擴(kuò)展推廣為公司統(tǒng)一信息平臺(tái)核心

產(chǎn)品規(guī)劃/協(xié)同研發(fā)管理網(wǎng)絡(luò)平臺(tái)搭建及優(yōu)化信息收集、研發(fā)項(xiàng)目管理財(cái)務(wù)/跟單/質(zhì)量管理應(yīng)用優(yōu)化及推廣時(shí)間20072008網(wǎng)絡(luò)通訊產(chǎn)品研發(fā)管理企業(yè)資源計(jì)劃主要辦公流程電子化知識(shí)管理情報(bào)管理電子郵件辦公自動(dòng)化IT系統(tǒng)管理、安全管理系統(tǒng)層面應(yīng)用層面管理層面宣傳培訓(xùn)、知識(shí)管理、應(yīng)用推廣系統(tǒng)管理員工發(fā)展人事行政管理人力資源管理決策支持

應(yīng)用拓展BI建設(shè)員工門戶客戶門戶企業(yè)門戶200920102011優(yōu)化客戶信息\機(jī)會(huì)\服務(wù)管理客戶關(guān)系管理

示例持續(xù)改進(jìn)，不斷提升IT治理成熟度9、春去春又回，新桃換舊符。在那桃花盛開的地方，在這醉人芬芳的季節(jié)，愿你生活像春天一樣陽光，心情像桃花一樣美麗，日子像桃子一樣甜蜜。1月-251月-25Wednesday,January29,202510、人的志向通常和他們的能力成正比例。22:57:0322:5