IT治理與管理實務

1、第二章IT治理與管理A. IT治理A1.公司治理指所有者、經營者和監(jiān)督者之間通過公司權力機關（股東大會）、經營決策與執(zhí)行機關（董事會、經理）、監(jiān)督機關（監(jiān)事會）而形成權責明確、相互制約、協(xié)調運轉和科學決策的聯(lián)系，并依法律、法規(guī)、規(guī)章和公司章程等規(guī)定予以制度化的統(tǒng)一機制；公司治理強調企業(yè)中權力、角色的合理分配和對股東的平等對待；信息披露與透明；董事會的職責；為企業(yè)提供合理的戰(zhàn)略指南；董事會對管理層進行有效的監(jiān)督，董事會必須向企業(yè)和股東負責。公司治理框架中一個很重要內容就是要建立內部控制體系管理和報告業(yè)務風險。A2.IT治理IT治理是一個綜合術語，它包括信息系統(tǒng)、技術和通訊，業(yè)務、法律相關事務，所

2、有利益相關方、董事會、高級管理層、流程所有人、IT供應商、用戶和審計師。治理有助于確保IT和企業(yè)目標保持一致。有效的公司治理注重個人和團隊在特定領域中最有效的專門技能和經驗。長期以來，僅作為組織戰(zhàn)略促進因素的信息技術，現(xiàn)在被看作是整體戰(zhàn)略的一部分。CEO、COO、CFO、CIO和CTO在IT與企業(yè)目標間能達成戰(zhàn)略一致是關鍵成功因素。通過經濟、有效地使用安全、可靠的信息和應用技術， IT治理能有助于實現(xiàn)這個關鍵成功因素。信息技術對企業(yè)的成功是如此重要，因此，不能把其職責放給IT管理人員或IT專家，而必須得到整個高級管理層的關注。IT治理的定義ITGI : IT治理是董事會和最高管理層的職責，是企

3、業(yè)治理的重要組成部分。IT治理由領導、組織結構以及相關流程組成，這些流程能保證組織的IT有效支持及促進組織戰(zhàn)略目標的實現(xiàn)。IT治理一般關注兩方面的問題：IT增加商業(yè)價值和IT風險得到控制。前者通過使IT戰(zhàn)略與業(yè)務保持一致來達到，后者通過向企業(yè)分配責任來驅動。IT治理的關鍵因素是IT與業(yè)務保持一致，以實現(xiàn)業(yè)務價值。IT治理的主要流程有：IT資源管理、績效測評和合規(guī)管理IT治理回答下述問題在IT戰(zhàn)略決策中哪些利益相關者有發(fā)言權？誰決定IT投資及其優(yōu)先級順序？應當建立哪些IT委員會，由什么人組成？其職責是什么？向誰報告？CIO的角色和職責有哪些？如何控制IT使其滿足業(yè)務需求？如何評價IT職能的績效？

4、IT治理的目標指導IT工作，確保IT績效滿足IT目標、符合企業(yè)目標要求，實現(xiàn)預期利潤幫助企業(yè)開拓商機，實現(xiàn)利益最大化充分利用IT資源適當控制IT相關風險IT治理與公司治理公司治理主要關注利益相關者權益和管理，包括一系列責任和條例，由最高管理層（董事會）和執(zhí)行 管理層實施；公司治理目的是提供戰(zhàn)略方向，保證目標能夠實現(xiàn)，風險適當管理，企業(yè)資源合理使用；IT治理是公司治理的重要組成部分，是董事會或最高管理層的責任；IT治理由領導、組織結構以及相關流程組成，這些流程能保證組織的IT能有效支持及促進組織戰(zhàn)略目標的實現(xiàn)，同時控制風險、降低成本、提高績效。公司治理可以驅動和調整IT治理，同時，IT能夠為公司

5、治理提供關鍵的輸入，形成戰(zhàn)略計劃的一個重要組成部分公司治理和IT治理都是“他律”機制，是如何“管好管理者”的機制，其目標也是一致的：達到業(yè)務 持續(xù)運營，并增加組織的長期獲利機會。IT治理與IT管理IT管理是公司的信息及信息系統(tǒng)的運營，確定IT目標以及實現(xiàn)此目標所采取的行動而IT治理是指最高管理層（董事會）利用它來監(jiān)督管理層在IT戰(zhàn)略上的過程、結構和聯(lián)系，以確保這種運營處于正確的軌道之上。簡言之，是“對管理的管理”IT管理就是在既定的IT治理模式下，管理層為實現(xiàn)公司的目標而采取的行動缺乏良好IT治理模式的公司，即使有“很好”的IT管理體系（而這實際上是不可能的），就像一座地基不牢固的大廈同樣，沒

6、有公司IT管理體系的暢通，單純的治理模式也只能是一個美好的藍圖，而缺乏實際的內容IT治理的層次在企業(yè)戰(zhàn)略層上?IT治理要與公司治理結構、企業(yè)戰(zhàn)略規(guī)劃進行集成，使IT治理作為公司治理的一部分；?在治理結構上體現(xiàn)IT的位置與作用，使IT議題要進入董事會（或者是監(jiān)事會、最高管理當局）下 的戰(zhàn)略委員會、審計委員會、安全委員會；?董事會要確保IT的執(zhí)行與監(jiān)管分開，監(jiān)管機制要獨立并持續(xù)運行、溝通與反饋機制要持續(xù)有效；?IT治理要求向董事會和最高管理層分配職責，并要求其完成一系列活動。在企業(yè)戰(zhàn)術面上?雖然IT治理集中在董事會最高管理層，但由于 戰(zhàn)術層面上提供必要的控制框架來保證治理職責的落實；?為了保證IT

7、與業(yè)務目標一致，充分利用有限的際普遍接受的企業(yè)內部控制標準，在戰(zhàn)術層面建立有效的-COBIT、ITIL、ISO17799-需求識別、數(shù)據(jù)標準化、項目管理IT治理的復雜性和專業(yè)性，治理層必須依賴企業(yè)在IT資源，提高績效，降低風險與控制成本，按照國 IT控制框架并監(jiān)督實施。IT治理域一些著名的機構（Gartner、CSC、AICPA/CICA、CIO Magazine ）通過調查認為最受 IT管理層關注的 問題，已經從技術領域逐漸轉向管理相關領域；這些問題可以歸結為五個IT治理域：戰(zhàn)略一致、價值交付、風險管理、資源管理和績效考評，其中有兩個核心，一是IT要向業(yè)務交付價值，二是降低風險。前者由 IT

8、與業(yè)務的戰(zhàn)略一致驅動，后者由企 業(yè)內部建立的責任分工驅動；這兩者都需要獲得足夠的資源并進行績效考評，以保證獲得預期的結果；這五個域都受利益相關者價值驅動，其中價值交付、降低風險是結果，戰(zhàn)略一致績效考評是驅動 力，IT資源管理為治理提供支持。五個IT治理域:?戰(zhàn)略一致-強調IT與業(yè)務保持一致，提供協(xié)調的解決方案。?價值交付-確保IT實現(xiàn)了預期戰(zhàn)略收益，集中關注成本的優(yōu)化，提供IT的固有價值。?風險管理-將風險管理職責嵌入組織中，包括IT資產的保護、災難恢復和業(yè)務連續(xù)性。?資源管理-對IT資源（應用系統(tǒng)、信息、基礎設施和人員）的優(yōu)化投資并適當管理，關鍵問題在于 知識和基礎設施的優(yōu)化。?績效考評-追

9、蹤并監(jiān)控戰(zhàn)略實施、資源使用、流程績效、服務交付以及諸如平衡記分卡的使用等， 監(jiān)督IT服務質量。沒有績效測量就無法對以上四個域進行有效管理。IT治理的關鍵因素IT治理的關鍵因素就是要使IT與業(yè)務融合，以實現(xiàn)組織的業(yè)務價值。通過IT治理框架和最佳實踐的應用，在組織內促成目標實現(xiàn)。IT治理框架和最佳實踐是由一系列組織結構、流程及相關機制組成。關鍵的IT治理因素包括：IT戰(zhàn)略委員會、風險管理和標準IT平衡記分卡。審計師在IT治理中的職責審計是組織成功實施IT治理的一個重要角色，對于向高級管理層提供建議，幫助改善IT治理質量和效果而言，審計處在最佳的位置；通過引入審計師獨立的、中立的觀點，可以對IT治理

10、績進行持續(xù)有效的監(jiān)督、分析、評估，以指導與改進與IT治理相關的IT過程；IS審計師的要對IT治理的各個方面進行評估?IS職能與組織使命、愿景、價值、目標和戰(zhàn)略的一致性?法律、環(huán)境、信息質量、委托、安全和隱私方面的要求?組織的控制環(huán)境?IS環(huán)境的固有風險A3.IT戰(zhàn)略委員會是董事會實施其IT治理目標的重要機制，一般隸屬于董事會，由董事會成員及非董事會成員組成，它 主要職責是協(xié)助董事會治理和監(jiān)督企業(yè)的IT相關事務；IT戰(zhàn)略委員會應當保證在組織中以結構化的方式來實施IT治理，而且董事會可以獲得足夠的信息來實現(xiàn)IT治理的最終目標。組織在執(zhí)行經理層設置IT指導委員會來處理關系到整個組織的IT事務，比如：追蹤 IT投資、設定項目優(yōu)先級、分配IT資源等。指導委員會職責分析表是 CISA應當掌握的知識A4.IT平衡記分卡（BSC）績效測評是企業(yè)管理中的重要因素，沒有績效測評就無法對業(yè)務進行有效管理，但隨著企業(yè)創(chuàng)造價值 的方式由有形資產逐漸轉向無形資產，對無形資產的衡量，不能采用傳統(tǒng)的針對有形資產的財務數(shù)據(jù)方 式；平衡記分卡是目前企業(yè)管理中較流行的績效測量工具，它可以把企業(yè)戰(zhàn)略轉化為實際的行為，從而實 現(xiàn)企業(yè)目標；這種績效測評系統(tǒng)超出了傳統(tǒng)的財務記帳方式