IT治理(陳偉)

1、-1-IT IT 治理治理第三屆北大CIO班 -2-l企業(yè)管理模式企業(yè)管理模式一、從企業(yè)風(fēng)險管理到一、從企業(yè)風(fēng)險管理到IT風(fēng)險控制風(fēng)險控制-3-l企業(yè)管理常見風(fēng)險企業(yè)管理常見風(fēng)險戰(zhàn)略定位不明組織架構(gòu)紊亂業(yè)務(wù)流程松散激勵機制不足信息技術(shù)缺乏資金管理低效對企業(yè)實施風(fēng)險管理對企業(yè)實施風(fēng)險管理目標(biāo)：企業(yè)風(fēng)險管理的目標(biāo)目標(biāo)：企業(yè)風(fēng)險管理的目標(biāo)是控制企業(yè)的風(fēng)險，保護企業(yè)的是控制企業(yè)的風(fēng)險，保護企業(yè)的核心競爭力，風(fēng)險管理是未來企核心競爭力，風(fēng)險管理是未來企業(yè)發(fā)展的主旋律。業(yè)發(fā)展的主旋律。-4-l企業(yè)風(fēng)險管理的背景企業(yè)風(fēng)險管理的背景2002年美國國會發(fā)布了SOX薩班斯奧克斯利法案要求所有上市公司都必須建立有效

2、的內(nèi)部控制框架。 2004年9月30日中國銀監(jiān)會發(fā)布了商業(yè)銀行內(nèi)部控制評價辦法，2006年銀監(jiān)會發(fā)布電子銀行業(yè)務(wù)管理辦法 、電子銀行安全評估指引 、銀行業(yè)金融機構(gòu)信息系統(tǒng)風(fēng)險管理指引和銀行業(yè)金融機構(gòu)內(nèi)部審計指引。2006年6月國資委發(fā)布中央企業(yè)全面風(fēng)險管理；2006年6月5日，上海證券交易所發(fā)布了上海證券交易所上市公司內(nèi)部控制指引；2006年9月28日 深交所發(fā)布深圳證券交易所上市公司內(nèi)部控制指引 財政部近日發(fā)起成立企業(yè)內(nèi)部控制標(biāo)準(zhǔn)委員會，其目的是為推動企業(yè)完善治理結(jié)構(gòu)和內(nèi)部約束機制，中國式的SOX法即將出臺。-5-l企業(yè)風(fēng)險管理框架（企業(yè)風(fēng)險管理框架（ COSO ）目標(biāo)：從各種角度來考慮因素

3、：從相聯(lián)的各種過程來考慮地點：在組織的各個層次考慮-6-lCOSO風(fēng)險管理框架的啟發(fā)風(fēng)險管理框架的啟發(fā)要站在企業(yè)管理者的角度來看待風(fēng)險，企業(yè)風(fēng)險是由包括IT風(fēng)險在內(nèi)的其他風(fēng)險組合而成。強調(diào)“人”的重要性，組織中的每一個人對風(fēng)險管理都負(fù)有責(zé)任；強調(diào)“軟控制”的作用。“軟控制”主要指那些屬于精神層面的事物，如高級管理階層的管理風(fēng)格、管理哲學(xué)、企業(yè)文化、內(nèi)部控制意識等，“軟控制”影響人的行為。強調(diào)風(fēng)險管理是一個“動態(tài)過程”，風(fēng)險管理是一個發(fā)現(xiàn)問題、解決問題、發(fā)現(xiàn)新問題、解決新問題的循環(huán)往復(fù)的PDCA過程。明確指出內(nèi)部控制只能做到“合理”保證，目標(biāo)達成的可能性受許多先天條件不足及各種“不確定性”的影響

4、。 沒有不花錢的內(nèi)部控制，也不存在完美無缺的內(nèi)部控制。 -7-l企業(yè)風(fēng)險管理組成結(jié)構(gòu)企業(yè)風(fēng)險管理組成結(jié)構(gòu)l風(fēng)險管理策略風(fēng)險管理策略組織對風(fēng)險的態(tài)度，對風(fēng)險管理的承諾l風(fēng)險控制過程風(fēng)險控制過程組織具體管理風(fēng)險步驟、做法及工具l風(fēng)險管理基礎(chǔ)風(fēng)險管理基礎(chǔ)組織內(nèi)支持風(fēng)險管理的人員、組織、技術(shù)等，來協(xié)助驅(qū)動風(fēng)險管理風(fēng)險模型舉例-8-lIT風(fēng)險控制是企業(yè)風(fēng)險管理中的重要組成部分風(fēng)險控制是企業(yè)風(fēng)險管理中的重要組成部分公司層控制公司層控制應(yīng)用層控制應(yīng)用層控制基礎(chǔ)層控制基礎(chǔ)層控制IT控制層控制層COSO控制框架控制框架ISMS、ITSM、BCP、CMMI、-9-lIT面臨哪些風(fēng)險與挑戰(zhàn)？面臨哪些風(fēng)險與挑戰(zhàn)？在信

5、息與信息系統(tǒng)上的投資規(guī)模與成本都在不斷擴大，高投入帶來了高風(fēng)險；企業(yè)對IT系統(tǒng)的依賴性越來越強的同時，面臨不斷增多的系統(tǒng)薄弱性和各種各樣的威脅，IT系統(tǒng)的停機將造成業(yè)務(wù)受到巨大損失、聲譽下降、競爭優(yōu)勢喪失；IT 應(yīng)用與業(yè)務(wù)需求之間邏輯錯位，IT設(shè)施最后成了擺設(shè)，IT建設(shè)缺乏績效評估機制；IT項目的高失敗率，使得企業(yè)無法實現(xiàn)其預(yù)期的創(chuàng)新與利益，不能實現(xiàn)對IT的投資回報，或者不通對投資回報進行測量； 不斷發(fā)展的科技潛力顯著地改變組織形式與商業(yè)模型，在創(chuàng)造出新的機遇并降低了成本的同時，也使得商業(yè)競爭不斷加劇;ERP失敗案例交易失誤-10-l信息系統(tǒng)風(fēng)險的類型信息系統(tǒng)風(fēng)險的類型IT治理風(fēng)險治理風(fēng)險信息

6、化建設(shè)仍然屬于“人治時代”，信息化的隨意性較大，企業(yè)還沒有就信息化形成相關(guān)的制度。IT可用性風(fēng)險可用性風(fēng)險業(yè)務(wù)對IT不斷增強的依賴性和脆弱的基礎(chǔ)設(shè)施及管理流程，使得IT系統(tǒng)的停機對組織的業(yè)務(wù)造成巨大損失、聲譽下降、競爭優(yōu)勢喪失。信息安全風(fēng)險信息安全風(fēng)險技術(shù)的發(fā)展及互聯(lián)網(wǎng)的便利性，使得信息安全形勢日益嚴(yán)峻，黑客攻擊頻繁、病毒泛濫，造成許多商業(yè)網(wǎng)站、政府網(wǎng)站被入侵，虛擬資金被盜，敏感機密信息被泄露。IT績效風(fēng)險績效風(fēng)險如果規(guī)劃不當(dāng)、控制不嚴(yán)，IT系統(tǒng)不能帶來預(yù)期的業(yè)務(wù)價值，巨額的信息化投入很可能造成新一輪的“投資黑洞”。合規(guī)性風(fēng)險合規(guī)性風(fēng)險法律、法規(guī)對IT的監(jiān)管要求越來越嚴(yán)格，不能符合合規(guī)性要求將

7、使企業(yè)面臨較大的風(fēng)險。-11-l控制信息化的風(fēng)險需要制度與管理創(chuàng)新控制信息化的風(fēng)險需要制度與管理創(chuàng)新決定信息系統(tǒng)是否有效運轉(zhuǎn)的決定因素不是信息技術(shù)，而是制度、組織結(jié)構(gòu)、規(guī)則與標(biāo)準(zhǔn)，最終是人。信息化需要合理有效的制度安排，建立良好的管理控制體系是企業(yè)信息系統(tǒng)建設(shè)成功的重要保證。應(yīng)該逐步完善企業(yè)的IT治理機制，實現(xiàn)IT與戰(zhàn)略、管理、業(yè)務(wù)運營、信息安全的深度融合。這樣一方面使信息系統(tǒng)為企業(yè)創(chuàng)造價值并保護持續(xù)性，另一方面控制信息化的風(fēng)險與降低成本。構(gòu)筑信息時代新的“游戲規(guī)則”，“規(guī)則”是“游戲”是重要組成部分。信息化最大的風(fēng)險：控制制度-治理機制的缺失-12-l建立建立PDCA的風(fēng)險控制體系的風(fēng)險控制

8、體系設(shè)定風(fēng)險管理流程設(shè)定風(fēng)險管理流程q目的及目標(biāo)q共同語言q結(jié)構(gòu)決策資料決策資料訂立策略訂立策略q 避 免q 利 用q 接 受q轉(zhuǎn)移q減低評估風(fēng)險評估風(fēng)險q驗明q來源q量度不斷的改善不斷的改善管理能力管理能力設(shè)計或引進設(shè)計或引進管理能力管理能力監(jiān)察風(fēng)險監(jiān)察風(fēng)險管理表現(xiàn)管理表現(xiàn)用制度體系來建立風(fēng)險控制框架-13-l IT IT風(fēng)險的控制框架風(fēng)險的控制框架戰(zhàn)略層戰(zhàn)略層IT治理治理ISMS戰(zhàn)術(shù)層戰(zhàn)術(shù)層IT治理治理-14-l你的組織是如何治理你的組織是如何治理IT的？的？各種回答各種回答-“什么是IT治理?以前沒有聽說過。它有具體的概念和定義嗎?”“是不是公司治理?它與公司治理有區(qū)別嗎?”-“IT工作

9、一直是公司戰(zhàn)略中的重點，具體的工作我不太清楚,分管副總知道?！?“我們公司老板舍得花錢，老板說了：只要系統(tǒng)不出事，要人給人，要錢給錢！”“公司非常重視IT,老板親自抓!技術(shù)人員地位很高,常常參與公司的高層決策?！?-“我們每年年處都制訂很好的IT計劃，按計劃執(zhí)行就行，年終再檢查?！?“技術(shù)開發(fā)，基本上都依靠外包。能搞掂就繼續(xù)合同，出問題就換一家” -“公司很少討論IT治理，系統(tǒng)只要不出事就好，出事了技術(shù)主管就麻煩大了！”二、戰(zhàn)略層的二、戰(zhàn)略層的IT治理治理反映出的問題反映出的問題（1）IT資源在公司的戰(zhàn)略資產(chǎn)中地位受到一定的重視，但是具體情況不清楚；（2）缺乏IT治理明確的概念描述和參數(shù)指標(biāo)；

10、（3）IT治理需要的明確責(zé)任與職能不清晰。 -15-lIT治理的重要作用治理的重要作用沒有良好的IT治理結(jié)構(gòu)和持之以恒的評估反饋機制，IT資源無法成為公司的有效戰(zhàn)略資產(chǎn)，甚至成為巨大的資源損耗。在采用相同戰(zhàn)略目標(biāo)的情況下，具有良好IT治理的企業(yè)，其利潤要比那些治理低下的企業(yè)高出20%。而對世界范圍內(nèi)250家企業(yè)的調(diào)查表明，只有38%的高級主管能夠精確描述他們的IT治理。引自彼得.維爾和珍妮.羅斯的IT治理研究-16-l什么什么IT治理？治理？德勤定義如下: IT 治理是一個含義廣泛的術(shù)語，包括信息系統(tǒng)、技術(shù)、通訊、商業(yè)、所有利益相關(guān)者、合法性和其他問題。其主要任務(wù)是：保持IT 與業(yè)務(wù)目標(biāo)一致，

11、推動業(yè)務(wù)發(fā)展，促使收益最大化，合理利用IT 資源，IT 相關(guān)風(fēng)險的適當(dāng)管理。ISACA定義：IT 治理是一個由關(guān)系和過程所構(gòu)成的體制，用于指導(dǎo)和控制企業(yè)，通過平衡信息技術(shù)與過程的風(fēng)險、增加價值來確保實現(xiàn)企業(yè)的目標(biāo)。-17-lIT治理可以分為五個域治理可以分為五個域二個核心：一是IT要向業(yè)務(wù)提交價值，二是降低風(fēng)險。前者由IT與業(yè)務(wù)的戰(zhàn)略一致性驅(qū)動，后者由企業(yè)內(nèi)部建立的責(zé)任驅(qū)動；這兩者都需要獲得足夠的資源并進行績效測量，以保證獲得預(yù)期結(jié)果。 -18-lIT治理風(fēng)險在戰(zhàn)略層面和戰(zhàn)術(shù)層面的表現(xiàn)治理風(fēng)險在戰(zhàn)略層面和戰(zhàn)術(shù)層面的表現(xiàn)戰(zhàn)略層面 IT原則、架構(gòu)、基礎(chǔ)設(shè)施、應(yīng)用需求及IT投資的決策權(quán)歸屬及責(zé)任擔(dān)當(dāng)

12、框架的建立。戰(zhàn)術(shù)層面利用國際認(rèn)可的最佳實施規(guī)范建立IT控制框架。lIT治理成熟度治理成熟度-19-lIT治理的戰(zhàn)略層面治理的戰(zhàn)略層面在企業(yè)戰(zhàn)略層面上，要綜合公司治理結(jié)構(gòu)、企業(yè)戰(zhàn)略規(guī)劃，使IT治理作為公司治理的一部分，在治理結(jié)構(gòu)上體現(xiàn)IT的位置與作用。建立有效確定IT決策權(quán)歸屬和責(zé)任分配的框架，包括有效的治理制度安排與治理機制的設(shè)計。企業(yè)戰(zhàn)略和組織企業(yè)戰(zhàn)略和組織IT組織和期望行為關(guān)系治理安排關(guān)系治理安排實物治理安排實物治理安排人力資源治理安排人力資源治理安排知識產(chǎn)權(quán)治理安排知識產(chǎn)權(quán)治理安排財務(wù)治理安排財務(wù)治理安排IT治理安排治理安排IT治理機制IT決策業(yè)務(wù)績效目標(biāo)業(yè)務(wù)績效目標(biāo)IT度量指標(biāo)和責(zé)任協(xié)

13、調(diào)什么？如何協(xié)調(diào)？IT治理設(shè)計框架治理設(shè)計框架-20-戰(zhàn)略層面的IT治理要解決的問題： 為了保證有效地管理與使用IT，應(yīng)當(dāng)做出怎樣的決策； 誰來做出這些決策？ 如何做出決策及對決策進行監(jiān)控？-21-（一）五種關(guān)鍵的（一）五種關(guān)鍵的IT決策決策IT原則的決策原則的決策高層關(guān)于企業(yè)如何使用IT的陳述IT架構(gòu)決策架構(gòu)決策 組織從一系列政策、關(guān)系以及技術(shù)選擇中捕獲的數(shù)據(jù)、應(yīng)用和基礎(chǔ)設(shè)施的邏輯，以達到預(yù)期的商業(yè)、技術(shù)的標(biāo)準(zhǔn)化和一體化IT基礎(chǔ)設(shè)施決策基礎(chǔ)設(shè)施決策集中協(xié)調(diào)、共享IT服務(wù)可以給企業(yè)的IT能力提供基礎(chǔ)IT投資和優(yōu)先順序決策投資和優(yōu)先順序決策 關(guān)于應(yīng)該在IT的哪些方面投資以及投資多少的決策。包括項

14、目的審批和論證技術(shù)業(yè)務(wù)應(yīng)用需求決策業(yè)務(wù)應(yīng)用需求決策 為購買或內(nèi)部開發(fā)IT應(yīng)用確定業(yè)務(wù)需求-22-lIT原則原則對于IT在該企業(yè)如何運用的一系列最高陳述。IT原則一旦清晰地表述出來，就成了企業(yè)管理要素中的一部分，可以被討論、修改和引用。IT原則至少要闡述三個對IT的預(yù)期： 企業(yè)期望的運行模式是什么？ IT如何支持期望的運行模式？ 組織中如何資助IT？-23-lIT架構(gòu)架構(gòu)指導(dǎo)IT投資和設(shè)計決策的IT框架，是建立企業(yè)信息系統(tǒng)的綜合藍圖，是對企業(yè)不同的信息視圖進行架構(gòu)描述的綜合。-24-lIT基礎(chǔ)設(shè)施基礎(chǔ)設(shè)施IT基礎(chǔ)設(shè)施是所有業(yè)務(wù)規(guī)劃的有效IT能力（技術(shù)和人力）的基礎(chǔ)，是共享、可靠的服務(wù)，可用于多個

15、應(yīng)用。IT基礎(chǔ)設(shè)施變化頻繁的業(yè)務(wù)應(yīng)用系統(tǒng)共享的、標(biāo)準(zhǔn)的應(yīng)用，變化較少，例如：會計系統(tǒng)、HRM、ERP等長時間保持穩(wěn)定的服務(wù)，例如共享的客戶數(shù)據(jù)加管理、PC/LAN知識、技能、政策、標(biāo)準(zhǔn)和經(jīng)驗約束組件等人務(wù)基礎(chǔ)組織計算機、路由器、操作系統(tǒng)、數(shù)據(jù)庫軟件、信用卡機等日常設(shè)備-25-IT基礎(chǔ)設(shè)施的10個能力群-26-l業(yè)務(wù)應(yīng)用需求業(yè)務(wù)應(yīng)用需求業(yè)務(wù)需求是促進IT發(fā)展的源動力，準(zhǔn)確、及時地識別組織的業(yè)務(wù)需求，并使之成為信息化建設(shè)與調(diào)整的依據(jù)，這是降低IT風(fēng)險的可靠保證。需求識別的困難性-27-戰(zhàn)略規(guī)劃計劃預(yù)算項目投資績效管理企業(yè)運營：生產(chǎn)、管理、控制對戰(zhàn)術(shù)層的支持對戰(zhàn)略層的支持l如何增強企業(yè)核心競爭力？l

16、如何尋找新的利潤增長點？l如何促進企業(yè)成長為知識型、學(xué)習(xí)型的組織？l如何建立有效的企業(yè)風(fēng)險控制機制？信息技術(shù)進一步為業(yè)務(wù)創(chuàng)造新的價值不同層次的業(yè)務(wù)需求招商銀行的IT扛桿作用-28-lIT投資和優(yōu)先順序決策投資和優(yōu)先順序決策IT投資決策要解決的問題 IT要花多少錢？ 把錢花在什么上面？ 如何協(xié)調(diào)不同投資者的需求？IT投資決策的依據(jù) 考慮日常運維的支撐需要和企業(yè)的發(fā)展戰(zhàn)略的推動需要 投資合理性論證和計劃 為投資尋求支持 企業(yè)范圍內(nèi)的IT體系架構(gòu) 回顧每年的實際開銷 對預(yù)算所做修正案的審查-29-IT投資預(yù)算和項目優(yōu)先級排列的一般過程形成IT預(yù)算報告-30-（二）決策權(quán)分配的（二）決策權(quán)分配的IT治

17、理原型治理原型l決策的制定者：決策的制定者：按照政治治理模式選擇較接近的IT治理制度安排；成立IT 治理委員會，定期召開會議，就企業(yè)戰(zhàn)略與IT 戰(zhàn)略的互動、IT原則、IT架構(gòu)、IT投資等等議題進行討論并做出決策。模型模型誰擁有決策權(quán)或輸入權(quán)？誰擁有決策權(quán)或輸入權(quán)？業(yè)務(wù)君主制一群業(yè)務(wù)主管或者單個主管（CXOs）。包括高級業(yè)務(wù)主管委員會（可能包括CIO）。不包括獨立設(shè)備的IT主管。IT君主制一個或一群IT主管。封建制業(yè)務(wù)單位領(lǐng)導(dǎo)，關(guān)鍵流程負(fù)責(zé)人或其代表。聯(lián)邦制核心級主管和業(yè)務(wù)團隊（例如，業(yè)務(wù)單位或流程）；可能也包括作為額外參與者的IT主管。相當(dāng)于中央政府和州政府的協(xié)同工作方式。IT雙寡頭制IT主管

18、和其他團隊（如CxO或業(yè)務(wù)單位或流程負(fù)責(zé)人）。無政府制每一個單獨的使用者。-31-32-IT雙寡頭制 是一種雙方參與的治理安排。其決策特征為：由IT主管人員和企業(yè)內(nèi)的其他團體之間達成的一種雙邊協(xié)議。 用更加簡單的管理結(jié)構(gòu)實現(xiàn)很多聯(lián)邦制模式下所能達到的目標(biāo)。 在技術(shù)含量較低的IT決策領(lǐng)域（IT原則、業(yè)務(wù)應(yīng)用需求和IT投資）很多組織更喜歡使用IT雙寡頭模式進行決策。-33-通用的治理模式 MIT Sloan School 2003年對23個國家的256家企業(yè)進行研究后，根據(jù)統(tǒng)計分析得出一個通用的IT治理模式。決策決策原型原型IT原則原則IT架構(gòu)架構(gòu)IT基礎(chǔ)設(shè)施基礎(chǔ)設(shè)施戰(zhàn)略戰(zhàn)略業(yè)務(wù)應(yīng)用業(yè)務(wù)應(yīng)用需求需

19、求IT投資投資輸入決策輸入決策輸入決策輸入決策輸入決策業(yè)務(wù)君主制業(yè)務(wù)君主制0270607112130IT君主制君主制118207310590809封建制封建制03001211803聯(lián)邦制聯(lián)邦制831446459681309327IT雙寡頭制雙寡頭制1536341530231727630無政府制無政府制0001010301無數(shù)據(jù)或無數(shù)據(jù)或不知道不知道1201020200單位：百分比，每列相加為100%-34-l什么是什么是IT治理機制治理機制企業(yè)通過一系列的結(jié)構(gòu)、流程和溝通來實施IT治理計劃，設(shè)計周詳、容易理解和清晰的機制，促進了期望IT行為的產(chǎn)生。常見的三類IT治理機制 決策結(jié)構(gòu)負(fù)責(zé)制定IT決

20、策的組織單元和角色，比如委員會、 執(zhí)行團隊和業(yè)務(wù)與IT關(guān)系經(jīng)理。 工作流程用于保證日常行為和IT政策相一致，并提供返回到?jīng)Q策的輸入信息的正式流程。包括IT投資建議和評估流程、架構(gòu)例外流程、服務(wù)水平協(xié)議、費用分?jǐn)偤椭笜?biāo)。 溝通方法傳播IT治理原則、政策和IT決策制定流程結(jié)果的公告、建議、渠道和培訓(xùn)努力等。（三）實施（三）實施IT治理的機制治理的機制-35-l決策結(jié)構(gòu)決策結(jié)構(gòu)業(yè)務(wù)君主制的決策結(jié)構(gòu) 通常以執(zhí)行委員會的形式出現(xiàn)，一般有： CEO與一個小型高層執(zhí)行者團隊合作，保證IT與公司目標(biāo)一致。 高層管理團隊中的一個小組專門負(fù)責(zé)IT問題。 把CIO作為執(zhí)行團隊的一員，可以強化業(yè)務(wù)君主制理解IT在業(yè)務(wù)

21、戰(zhàn)略上所起作用的能力，也強化執(zhí)行團隊的IT治理能力。-36-聯(lián)邦制的決策結(jié)構(gòu) 如果一個高級執(zhí)行團隊從各個業(yè)務(wù)吸收人員，則他們采用的是聯(lián)邦制的決策結(jié)構(gòu)。 聯(lián)邦制可以平衡企業(yè)和業(yè)務(wù)部門的優(yōu)先權(quán)，可以為IT治理決策提供有價值的輸入。 大多數(shù)聯(lián)邦制的IT組織設(shè)計的核心就是對數(shù)據(jù)和IT基礎(chǔ)設(shè)施共享的要求。-37-IT君主制的決策結(jié)構(gòu) IT領(lǐng)導(dǎo)團隊 可以由IT職能領(lǐng)導(dǎo)（運營、架構(gòu)、應(yīng)用等）和業(yè)務(wù)部門的CIO組成，通常負(fù)責(zé)制定基礎(chǔ)設(shè)施和架構(gòu)的決策。 要解決業(yè)務(wù)部門由于規(guī)模不同而帶來能力不同，所造成需求不同的問題，IT領(lǐng)導(dǎo)團隊的選擇權(quán)可能也不一樣。 超過85%的企業(yè)擁有正式的IT領(lǐng)導(dǎo)團隊。擁有IT領(lǐng)導(dǎo)團隊的企

22、業(yè)具有更高的治理績效。 架構(gòu)委員會 由技術(shù)專家組成，負(fù)責(zé)制訂標(biāo)準(zhǔn)，在某些情況下可批準(zhǔn)例外項目。在大多數(shù)情況下，架構(gòu)委員會的角色是對IT領(lǐng)導(dǎo)團隊提供架構(gòu)建議，但有時也可成為治理決策主體。 架構(gòu)委員會與業(yè)務(wù)部門經(jīng)營者緊密協(xié)作時，它不僅能有效地引進技術(shù)標(biāo)準(zhǔn)，還能預(yù)測對于有價值的新技術(shù)的需求。-38-雙寡頭制的決策結(jié)構(gòu) 決策團隊如IT理事會同時包含IT人員和業(yè)務(wù)人員，把兩者融合起來，能夠在重要決策中把業(yè)務(wù)戰(zhàn)略和IT聯(lián)合起來。 70%的企業(yè)擁有包含業(yè)務(wù)成員和IT成員的IT理事會，85%的企業(yè)擁有包含IT成員的流程團隊，85%的企業(yè)擁有IT和業(yè)務(wù)關(guān)系經(jīng)理。 雙寡頭制的核心是找出既代表業(yè)務(wù)，又代表IT部門的

23、高級領(lǐng)導(dǎo)組合，使他們能夠在認(rèn)識到每個業(yè)務(wù)部門需求的同時，支持整個企業(yè)IT項目實施。-39-l治理工作流程治理工作流程保證對IT進行有效管理和使IT應(yīng)用得以推廣的IT管理技術(shù)。治理工作流程應(yīng)當(dāng)能使委員會的每個人都向治理決策提供輸入，又能將他們的IT決策結(jié)果發(fā)布出去。治理工作流程包括以下6個流程： IT投資批準(zhǔn)流程 架構(gòu)例外流程 服務(wù)水平協(xié)議 費用分?jǐn)倷C制 項目追蹤 業(yè)務(wù)價值的正式追蹤-40-l溝通方法溝通方法闡明有關(guān)IT治理決策和流程以及整個企業(yè)范圍內(nèi)的相關(guān)期望行為。管理層越是對現(xiàn)有的IT治理機制、工作方式、預(yù)期的效果進行正式地溝通，他們的治理就越有效。溝通方式有以下5種： 高級管理層的公告 正

24、式的委員會 CIO或IT治理辦公室 與不守常規(guī)者的共事 基于網(wǎng)絡(luò)的門戶-41-l影響力高且具有挑戰(zhàn)性的機制影響力高且具有挑戰(zhàn)性的機制-42-l建立有效建立有效IT治理機制的原則治理機制的原則從三種類型中選擇適用的治理機制；限制決策制定結(jié)構(gòu)需要決策結(jié)構(gòu)中各類人員的交叉在企業(yè)的多個層面上設(shè)置相應(yīng)的機制明確責(zé)任-43-l對對IT治理績效的評估治理績效的評估組織IT治理安排鼓勵期望行為的程度和組織最終達到績效目標(biāo)的程度。評估治理績效時要評估五個因素，利用下表進行對照比較。 （四）對（四）對IT治理的評估治理的評估-44-l一流治理績效企業(yè)的七個特征一流治理績效企業(yè)的七個特征更多領(lǐng)導(dǎo)層的管理者們可以描述

25、IT治理更多地利用五種溝通機制高層管理者更直接地參與IT治理IT投資具有更加清晰的業(yè)務(wù)目標(biāo)更多差異化的業(yè)務(wù)戰(zhàn)略較少的非授權(quán)例外和較多的得到正式批準(zhǔn)的例外治理變更的次數(shù)逐年減少-45-l什么樣的治理安排最有效什么樣的治理安排最有效不同治理安排下，“最好”和“最差”的治理績效-46-誰做出更好的決策？-47-最成功的三種IT決策模式-48-l案例研究案例研究Delta航空公司的IT決策國內(nèi)證券公司的IT治理模式道富公司的IT治理設(shè)計-49-lIT治理的實施框架治理的實施框架為了實施有效的IT治理，除了在戰(zhàn)略層建立決策權(quán)歸屬和職責(zé)擔(dān)當(dāng)?shù)目蚣芡?，還要對企業(yè)的戰(zhàn)術(shù)運行層制定一套適用的IT控制框架，以確保

26、IT支持業(yè)務(wù)目標(biāo)，確保資源得到了可靠的使用、風(fēng)險受到了合理的管理。三、戰(zhàn)術(shù)層的三、戰(zhàn)術(shù)層的IT治理治理-50-lCOBIT是什么？是什么？ISACA制定的COBIT(Control Objectives for Information and related Technology)是一個在國際上公認(rèn)的、先進的和權(quán)威的安全與信息技術(shù)管理和控制標(biāo)準(zhǔn)，它在商業(yè)風(fēng)險、控制需要和技術(shù)問題之間架起了一座橋梁，以滿足管理的多方面需要。（一）（一）IT治理工具治理工具COBIT-51-lCOBIT基本的準(zhǔn)則基本的準(zhǔn)則國際上通用的、得到普遍認(rèn)可的IT控制最佳實務(wù)標(biāo)準(zhǔn)，是實施IT治理的重要基礎(chǔ)；適用企業(yè)建立全局信

27、息系統(tǒng)時參照使用，與具體的技術(shù)無關(guān)；從業(yè)務(wù)對信息的需求出發(fā)，面向企業(yè)管理層和業(yè)務(wù)過程的所有者；-52-lCOBIT的背景的背景第一版由信息系統(tǒng)審計與控制基金會（ISACF）于1996年發(fā)布。第二版于1998年出版，修訂了高層控制目標(biāo)與詳細(xì)控制目標(biāo)，增加了實施工具集（Implementation Tool Set）信息系統(tǒng)審計與控制基金會（ISACA）及其相關(guān)的基金會在1998年創(chuàng)立 IT治理研究院(ITGI)，由ITGI制定并發(fā)布了COBIT第三版，加入了管理指南，以及擴展和加強了對IT治理的關(guān)注；COBIT基于ISACF的建立的IT控制目標(biāo)，參照了其他控制框架、行業(yè)標(biāo)準(zhǔn)； ITGI于2005

28、年底發(fā)布了COBIT第四版，這一版對IT某些過程進行了調(diào)整，強調(diào)了IT控制與IT治理五個領(lǐng)域的對應(yīng)關(guān)系-53-lCOBIT的目標(biāo)使用者的目標(biāo)使用者管理層-幫助他們在不可預(yù)知的IT環(huán)境中平衡風(fēng)險和控制之間的矛盾(采用控制措施需要投入資金)。用戶-對內(nèi)部或第三方提供的IT服務(wù)，獲得在安全與控制方面的保證。審計師-證實他們的觀點，在內(nèi)部控制問題上為管理層提出建議。-54-lCOBIT能給組織帶來的利益能給組織帶來的利益有助于大幅提高組織對IT治理的接受程度，減少實施IT治理所需的時間；對IT審計方法與審計方案標(biāo)準(zhǔn)化，為正式的IT審計與檢查提供指南，為識別所有的主要風(fēng)險區(qū)域提供可靠的參考；IT運行管理

29、人員通過COBIT可以了解審計師的關(guān)注點，有助于利用審計結(jié)果作為實施改善行動的機會；是實現(xiàn)IT治理目標(biāo)的驅(qū)動力，可以幫助組織完善IT實務(wù)和IT過程；為組織提供了一個經(jīng)濟的、可持續(xù)完善的控制框架，提供一個有價值的參照基準(zhǔn)，使得管理層對控制的決策可以基于一個可信的來源；有助于在業(yè)務(wù)與IT之間搭起溝通的橋梁，完善業(yè)務(wù)人員與IT管理人員的關(guān)系-55-lCOBIT產(chǎn)品簇產(chǎn)品簇COBIT框架控制目標(biāo)控制實務(wù)審計指南實施指南管理指南IT治理總論PracticesResponsibilitiesExecutives & BoardsExecutives & BoardsPracticesRes

30、ponsibilitiesExecutives & BoardsExecutives & BoardsPracticesResponsibilitiesExecutives & BoardsExecutives & Boards治理實務(wù)治理實務(wù)職責(zé)職責(zé)董事會與執(zhí)行管理層董事會與執(zhí)行管理層Business and Technology ManagementBusiness and Technology Managementw wPerformance measuresPerformance measuresw wCritical success factorsCr

31、itical success factorsw wMaturity modelsMaturity modelsBusiness and Technology ManagementBusiness and Technology Managementw wPerformance measuresPerformance measuresw wCritical success factorsCritical success factorsw wMaturity modelsMaturity modelsBusiness and Technology ManagementBusiness and Tec

32、hnology Managementw wPerformance measuresPerformance measuresw wCritical success factorsCritical success factorsw wMaturity modelsMaturity models業(yè)務(wù)與技術(shù)管理層業(yè)務(wù)與技術(shù)管理層w w績效測量績效測量w w關(guān)鍵成功因素關(guān)鍵成功因素w w成熟度模型成熟度模型Audit, control and security professional Audit, control and security professional What is the ITWhat

33、 is the ITControl Framework ?Control Framework ?How to assess the ITHow to assess the ITControl Framework ?Control Framework ?How to introduce itHow to introduce itin the enterprise ?in the enterprise ?Audit, control and security professional Audit, control and security professional What is the ITWh

34、at is the ITControl Framework ?Control Framework ?How to assess the ITHow to assess the ITControl Framework ?Control Framework ?How to introduce itHow to introduce itin the enterprise ?in the enterprise ?Audit, control and security professional Audit, control and security professional What is the IT

35、What is the ITControl Framework ?Control Framework ?How to assess the ITHow to assess the ITControl Framework ?Control Framework ?How to introduce itHow to introduce itin the enterprise ?in the enterprise ?審計、控制和安全從業(yè)人員審計、控制和安全從業(yè)人員如何制定如何制定IT控控制框架制框架 ?如何評估如何評估IT控控制框架制框架 ?如何在組織中建如何在組織中建立立IT控制框架控制框架 ?-5

36、6-lCOBIT原理原理COBIT框架的出發(fā)點 要實現(xiàn)對IT的控制，就要考慮支持業(yè)務(wù)目標(biāo)或業(yè)務(wù)需求的信息，考慮運用IT相關(guān)資源后得到的信息，對IT資源要通過恰當(dāng)?shù)腎T過程來進行管理。-57-COBIT如何滿足業(yè)務(wù)要求機密性完整性可用性有效性(效能)經(jīng)濟性(效率)機密性完整性可用性合規(guī)性可靠性(信息)質(zhì)量成本交付運行的有效性和經(jīng)濟性信息的可靠性與法律、法規(guī)的符合性質(zhì)量需求信譽需求安全需求-58-COBIT信息標(biāo)準(zhǔn)的定義 有效性處理與業(yè)務(wù)過程相關(guān)的信息，并以及時、正確、一致和可用的方式交付。 經(jīng)濟性以最優(yōu)化資源使用的方式（最具生產(chǎn)力的和經(jīng)濟的方式）來提供信息。 機密性保護敏感信息不被非授權(quán)泄露。

37、完整性與信息的準(zhǔn)確性和完全性相關(guān)，同時也與符合業(yè)務(wù)價值和業(yè)務(wù)預(yù)期的正確性有關(guān)。 可用性在無論是在當(dāng)前還是將來，業(yè)務(wù)過程所需要的信息要隨時可用，同時還關(guān)系到對必要資源和相關(guān)能力的保護。 符合性處理與業(yè)務(wù)流程相關(guān)的法規(guī)、法律及合同的符合性問題，即遵循外部強加的各種業(yè)務(wù)標(biāo)準(zhǔn)。 信息可靠性為管理層運行業(yè)務(wù)實體、行使其財務(wù)和符合性報告的職責(zé)而提供合適的信息。-59-COBIT中識別的IT資源定義如下： 數(shù)據(jù)是指廣義形式的（即組織內(nèi)部與外部）、結(jié)構(gòu)化的和非結(jié)構(gòu)化的、圖形的、聲音的數(shù)據(jù)對象。 應(yīng)用系統(tǒng)可以理解為人工程序和計算機程序的總和。 技術(shù)涵蓋硬件、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、網(wǎng)絡(luò)、多媒體等。 設(shè)備指所有

38、用來存放和支持信息系統(tǒng)的資源。 人員員工在計劃、組織、采購、交付、支持和監(jiān)控信息系統(tǒng)和服務(wù)時，所應(yīng)具備的技能、意識和生產(chǎn)力。-60-COBIT框架結(jié)構(gòu) COBIT由IT的域、過程、活動三級自然組合而成，這與組織結(jié)構(gòu)的責(zé)任域相適應(yīng)，通常也與可以應(yīng)用到IT過程的管理周期或生命周期相一致 IT系統(tǒng)IT域IT過程IT 控制目標(biāo)關(guān)鍵成功因素結(jié)果測量關(guān)鍵績效指標(biāo)成熟度模型IT 控制實踐-61-COBIT框架三維表示 可以用以下三個標(biāo)準(zhǔn)維組成：1、信息標(biāo)準(zhǔn)，2、IT 資源，3、IT 過程。這三個維度在COBIT立方塊中可表示成下圖： -62-COBIT的四個域 計劃和組織這個域涵蓋了戰(zhàn)略和戰(zhàn)術(shù)，其目的是要識

39、別出能使IT為實現(xiàn)業(yè)務(wù)目標(biāo)作出最大的貢獻的方法。為實現(xiàn)戰(zhàn)略設(shè)想，需要從不同的角度去計劃、溝通和管理。此外，還應(yīng)當(dāng)建立合理的組織與技術(shù)基礎(chǔ)設(shè)施。 獲取與實施為實現(xiàn)IT戰(zhàn)略，需要識別、開發(fā)或采購IT解決方案，并把它們集成到業(yè)務(wù)過程中去。另外，此域還涵蓋到了對現(xiàn)有系統(tǒng)的更新與維護，以確保這些系統(tǒng)生命周期的持續(xù)性。 交付與支持該域關(guān)注的是所要求服務(wù)的實際交付，它的范圍可以從傳統(tǒng)的安全和可持續(xù)性運行一直到培訓(xùn)的各個方面。為了提供服務(wù)，必須建立必要的支持過程。(該域包含應(yīng)用系統(tǒng)對數(shù)據(jù)的實際處理，通常按應(yīng)用控制分類。) 監(jiān)控與評價要對所有IT過程的質(zhì)量以及與控制需求的符合性進行周期性的評估。該域使管理者可以

40、監(jiān)督組織的控制過程和由內(nèi)部和外部審計所作的獨立保證。-63-控制程度的選擇COBIT總體結(jié)構(gòu)圖 主要的（Primary，簡寫為P）在這個程度上，定義的控制目標(biāo)直接影響相關(guān)信息標(biāo)準(zhǔn)。 次要的（Secondary, 簡寫為S）在這個程度上，定義的控制目標(biāo)只是在較小范圍或以間接方式滿足相關(guān)的信息標(biāo)準(zhǔn)。 空白(Blank)可能適用；但由該過程的其他標(biāo)準(zhǔn)或由其他過程來滿足此需求更合適。-64-COBIT監(jiān)控監(jiān)控信息信息IT資源資源計劃與組織計劃與組織獲取與實施獲取與實施交付與支持交付與支持業(yè)務(wù)目標(biāo)業(yè)務(wù)目標(biāo)IT治理治理有效性有效性 經(jīng)濟性、經(jīng)濟性、機密性、完整性、機密性、完整性、可用性、可靠性、可用性、可

41、靠性、合規(guī)性合規(guī)性人員、應(yīng)用系統(tǒng)、人員、應(yīng)用系統(tǒng)、技術(shù)、設(shè)施、數(shù)據(jù)、技術(shù)、設(shè)施、數(shù)據(jù)、過程監(jiān)控過程監(jiān)控評價內(nèi)部控制適當(dāng)性評價內(nèi)部控制適當(dāng)性獲取獨立保證獲取獨立保證提供獨立審計提供獨立審計定義并管理服務(wù)水平定義并管理服務(wù)水平管理第三方服務(wù)管理第三方服務(wù)管理性能與容量管理性能與容量確保服務(wù)的連續(xù)性確保服務(wù)的連續(xù)性確保系統(tǒng)安全確保系統(tǒng)安全確定并分配成本確定并分配成本教育與培訓(xùn)用戶教育與培訓(xùn)用戶服務(wù)臺及事故管理服務(wù)臺及事故管理配置管理配置管理問題管理問題管理數(shù)據(jù)管理數(shù)據(jù)管理物理環(huán)境管理物理環(huán)境管理運行管理運行管理定義定義IT戰(zhàn)略計劃戰(zhàn)略計劃定義信息體系結(jié)構(gòu)定義信息體系結(jié)構(gòu)確定技術(shù)方向確定技術(shù)方向定義定

42、義IT過程、組織與關(guān)系過程、組織與關(guān)系管理管理IT投資投資傳達管理目標(biāo)與方向傳達管理目標(biāo)與方向人力資源管理人力資源管理質(zhì)量管理質(zhì)量管理風(fēng)險與管理風(fēng)險與管理IT評估評估項目管理項目管理確定確定IT解決方案解決方案獲取與維護應(yīng)用軟件獲取與維護應(yīng)用軟件獲取與維護技術(shù)基礎(chǔ)設(shè)施獲取與維護技術(shù)基礎(chǔ)設(shè)施投入運行與使用投入運行與使用采購采購IT資源資源變更管理變更管理系統(tǒng)安裝與鑒定系統(tǒng)安裝與鑒定COBIT總體結(jié)構(gòu)圖-65-lCOBIT域與過程簡介域與過程簡介規(guī)劃與組織 【描述】 這個域包括戰(zhàn)略和戰(zhàn)術(shù)兩個層面，重點是要關(guān)注IT如何更好地為實現(xiàn)業(yè)務(wù)目標(biāo)作出最大貢獻；對戰(zhàn)略愿景的實現(xiàn)要從不同的角度進行規(guī)劃、溝通和管

43、理；要建立良好的組織架構(gòu)和技術(shù)基礎(chǔ)設(shè)施。 【主題】 戰(zhàn)略和戰(zhàn)術(shù) 遠(yuǎn)景規(guī)劃 組織及其基礎(chǔ)設(shè)施 【問題】 IT戰(zhàn)略與業(yè)務(wù)戰(zhàn)略相一致嗎? 組織的資源是否被優(yōu)化使用? 組織中的每個人理解IT目標(biāo)嗎? IT風(fēng)險是否已被識別并有效管理? IT系統(tǒng)的質(zhì)量滿足業(yè)務(wù)的需求嗎?-66- 【控制目標(biāo)】 PO1制定IT戰(zhàn)略規(guī)劃 PO2確定信息體系架構(gòu) PO3確定技術(shù)方向 PO4定義IT組織與相互關(guān)系 PO5管理IT投資 PO6管理目標(biāo)與方向的溝通協(xié)調(diào) PO7人力資源管理 PO8確保符合外部要求 PO9風(fēng)險評估 PO10項目管理 PO11質(zhì)量管理-67-獲取與實施 【描述】 為實現(xiàn)IT戰(zhàn)略，應(yīng)當(dāng)識別、開發(fā)（或獲?。┖蛯?/p>

44、施IT解決方案，并使IT系統(tǒng)業(yè)務(wù)流程進行融合。另外，這個域還包括對已有系統(tǒng)的變更與維護，以確保系統(tǒng)生命周期活動能持續(xù)進行。 【主題】 IT解決方案 變更與維護 【問題】 新項目能否提供業(yè)務(wù)所需的解決方案? 新的項目能否按時交付，且費用控制在成本之內(nèi)? 當(dāng)實施完畢時，新系統(tǒng)是否正常工作? 變更是否影響了正常的業(yè)務(wù)運行? 【控制目標(biāo)】 AI1確定IT解決方案 AI2獲取并維護應(yīng)用軟件 AI3獲取并維護技術(shù)基礎(chǔ)設(shè)施 AI4IT程序的開發(fā)與維護 AI5系統(tǒng)的安裝與驗收 AI6變更管理-68-運行與支持 【描述】 這個域重點關(guān)注所需服務(wù)的實際交付(從傳統(tǒng)的安全及持續(xù)性方面的運行到各種培訓(xùn)) 。為了保證提

45、供服務(wù)，必須建立必要的支持流程。另外，這個域還包括應(yīng)用系統(tǒng)對實際數(shù)據(jù)的處理過程，應(yīng)用系統(tǒng)中對數(shù)據(jù)一般是按敏感性進行分級的。 【主題】 提供所需服務(wù) 建立服務(wù)支持流程 應(yīng)用系統(tǒng)的處理過程 【問題】 交付的IT服務(wù)是否與業(yè)務(wù)優(yōu)先順序相一致? IT成本是否被優(yōu)化? 員工是否能安全有效地使用IT系統(tǒng)? IT系統(tǒng)是否具有充分的安全性、完整性和可用性?-69- 【控制目標(biāo)】 DS1定義并管理服務(wù)水平 DS2管理第三方服務(wù) DS3績效管理與容量管理 DS4確保持續(xù)性服務(wù) DS5確保系統(tǒng)安全 DS6確認(rèn)與分配成本 DS7教育并培訓(xùn)客戶 DS8為客戶提供幫助和建議 DS9配置管理 DS10 問題管理與緊急事件管

46、理 DS11數(shù)據(jù)管理 DS12設(shè)施管理 DS13運營管理-70-監(jiān)控與評價 【描述】 為了保證系統(tǒng)的質(zhì)量并滿足控制需求，所有的流程應(yīng)被定期評估。這個域要求管理人員對控制過程進行監(jiān)督，并通過獨立的內(nèi)外部審計或其他方式對控制過程完備性提供保證。 【主題】 周期性評估，提供相關(guān)保證； 對控制系統(tǒng)的管理監(jiān)督 績效測量 【問題】 IT的績效如何被度量及如何盡早發(fā)現(xiàn)存在的問題? 是否需要獨立的保證以確保關(guān)鍵區(qū)域按既定目標(biāo)運行? 【控制目標(biāo)】 M1流程監(jiān)控 M2評價內(nèi)部控制的適當(dāng)性 M3獲得獨立保證 M4提供獨立的審計-71-lCOBIT過程及屬性列表過程及屬性列表-72-PO1 PO1 制定制定ITIT戰(zhàn)

47、略規(guī)劃戰(zhàn)略規(guī)劃PO3 確定技術(shù)方向 PO5 管理IT投資 PO9 PO9 風(fēng)險評估風(fēng)險評估 PO10 PO10 項目管理項目管理 AI1確定解決方案 AI2 獲取并維護應(yīng)用軟件 AI5 系統(tǒng)安裝與驗收 AI6 AI6 變更管理變更管理 DS1 定義并管理服務(wù)水平 DS4 確保持續(xù)性服務(wù) DS5 DS5 確保系統(tǒng)安全確保系統(tǒng)安全 DS10 問題管理與緊急事件管理 DS11 DS11 數(shù)據(jù)管理數(shù)據(jù)管理 M1 M1 過程監(jiān)控過程監(jiān)控 3415 7 哪些IT過程更重要？ 通過調(diào)查表明，以下這些過程比較重要：-73-lCOBIT控制框架控制框架定義 COBIT控制框架為企業(yè)過程擁有者提供了一個促進其履行

48、職責(zé)的工具，提供信息化控制指導(dǎo)；它指出這些IT過程影響到哪些信息標(biāo)準(zhǔn)，涉及到哪些IT資源，從而把IT過程、IT資源和信息連接到企業(yè)戰(zhàn)略和目標(biāo)上去。ITIT過程過程的控制業(yè)務(wù)需求業(yè)務(wù)需求以滿足控制描述控制描述通過實現(xiàn)控制實踐控制實踐要考慮-74-導(dǎo)航標(biāo)志 為便于有效地使用具有不同優(yōu)勢點的控制目標(biāo)，提供了一些導(dǎo)航標(biāo)志作為高層控制目標(biāo)的組成部分，COBIT 三維框架中的（過程、IT 資源和信息標(biāo)準(zhǔn)）中的每一維，都提供了一個導(dǎo)航指示標(biāo)志。-75-框架示例-76-lCOBIT控制目標(biāo)控制目標(biāo) COBIT提供了34個高層控制目標(biāo)，每一個目標(biāo)對應(yīng)著一個IT過程；控制目標(biāo)下，又定義了318個具體的控制子目標(biāo)；

49、-77-每個子目標(biāo)從價值交付和風(fēng)險管理的角度，再將子控制目標(biāo)細(xì)化成可執(zhí)行的控制實務(wù)(Control Practice)，并為實施執(zhí)行提供業(yè)務(wù)指導(dǎo)。示例：PO1制定IT戰(zhàn)略計劃1.1 IT作為組織計劃的一部分1.2 IT的長期計劃1.3 IT長期計劃方法和結(jié)構(gòu)1.4 IT長期計劃的變更1.5 IT項目的短期計劃1.6 IT對計劃的宣傳與貫徹1.7 對IT計劃的監(jiān)控和評價1.8 對現(xiàn)存系統(tǒng)的評估 示例：示例：1.7 1.7 引入控制的原因引入控制的原因確認(rèn)IT長期計劃與短期計劃與組織的使命及業(yè)務(wù)目標(biāo)保持一致，并能為業(yè)務(wù)目標(biāo)的實現(xiàn)作出貢獻。對影響組織長期計劃的所有潛在事件進行評價，并及時對IT長期和

50、短期計劃進行調(diào)整，以適當(dāng)變化的要求。識別長期計劃與短期計劃制定與執(zhí)行過程中的偏離現(xiàn)象，以促進管理層采取恰當(dāng)?shù)募m正行動。在必要時，對于制定長期計劃與短期計劃所基于的假設(shè)條件進行驗證和變更示例：示例： 1.7 1.7 控制實踐控制實踐建立正式的監(jiān)控過程，階段性地對IT計劃的反饋信息進行收集、記錄、排序和溝通工作，此外還需要來自IT、組織管理層和關(guān)鍵利益相關(guān)者的信息輸入，然后進行評審工作，評審的內(nèi)容包括：短期計劃目標(biāo)的實現(xiàn)、與計劃相關(guān)的對業(yè)務(wù)風(fēng)險的管理，對業(yè)務(wù)過程可衡量的改善（成本、效率）和IT投資所交付的價值?；谠u審結(jié)果建立正式的評估過程，針對所提議的IT計劃的修改內(nèi)容進行評估，并達成一致意見。

51、建立有效機制，把對業(yè)務(wù)過程的改進點及時反映到IT計劃變更過程中來。示例：示例：1.7 1.7 控制的屬性控制的屬性-78-l定義：定義：COBIT管理指南(Management Guidelines)是一種通用的、面向行動的指南；用于回答下述類型的管理問題： 我們該控制IT到什么程度，成本和收益是否相符? 有沒有一個測量標(biāo)準(zhǔn)用于判斷何時肯定會出現(xiàn)失敗? 怎樣才算是好的性能? 關(guān)鍵成功因素是什么? 哪些是影響我們實現(xiàn)組織目標(biāo)的風(fēng)險，其他的組織在做什么?我們應(yīng)該怎樣進行測量與比較?搭建了貫通業(yè)務(wù)風(fēng)險、控制需要和技術(shù)問題這三者之間的橋梁 利益風(fēng)險（二）（二）COBIT管理指南管理指南-79-l管理指

52、南的組成要素管理指南的組成要素針對COBIT中的每一個IT過程，管理指南提供了以下內(nèi)容： 對此過程的定義及對此過程目標(biāo)的描述; 此過程如何實現(xiàn)對業(yè)務(wù)加速器功能的描述（如何保持對IT過程的控制，以確定是否達成業(yè)務(wù)目標(biāo)）; 與此過程相關(guān)的IT資源和信息標(biāo)準(zhǔn); 關(guān)鍵成功因素（CSF）、關(guān)鍵目標(biāo)指標(biāo)（KGI）、關(guān)鍵績效指標(biāo)（KPI）、IT過程成熟度模型（CMM）通過CMM、CSF 、 KGI、KPI四個方面的有機作用，使企業(yè)中的信息資源得到有效的管理。-80- Control Statements Control Practicesis enabled by and considers IT Proc

53、essesThe control of Business Requirementswhich satisfy 過程描述過程描述p pe eo op pl le ea ap pp pl li ic ca at ti io on ns st te ec ch hn no ol lo og gy yf fa ac ci il li it ti ie es sd da at ta a關(guān)鍵成功因素關(guān)鍵成功因素(CSFs)h h h h h h 關(guān)鍵目標(biāo)指標(biāo)關(guān)鍵目標(biāo)指標(biāo)KGIsh h h 關(guān)鍵績效指標(biāo)關(guān)鍵績效指標(biāo)KPIsh h h 信息標(biāo)準(zhǔn)信息標(biāo)準(zhǔn)資源資源 - Management processes a

54、re not applied at all - Processes are ad hoc and disorganised - Processes follow a regular pattern - Processes are documented and communicated - Processes are monitored and measured - Best practices are followed and automated成熟度模型成熟度模型l管理指南的組成結(jié)構(gòu)管理指南的組成結(jié)構(gòu)某個IT過程的管理指南舉例-81-l管理指南的組成要素之間的關(guān)系管理指南的組成要素之間的關(guān)系

55、-82-0 01 12 23 34 45 50 01 12 23 34 45 5成熟度模型成熟度模型對建立、計劃和追蹤當(dāng)前的及未來的所需的成熟度進行詳細(xì)描述RACI 表表角色與責(zé)任(R=職責(zé), A=問責(zé), C=咨詢, I=通知)關(guān)鍵角色關(guān)鍵角色主要屬性：主要屬性：屬性屬性參照參照KPIs戰(zhàn)略方向資源能力意識支持政策其他關(guān)鍵成功因素關(guān)鍵成功因素目標(biāo)與范圍目標(biāo)與范圍IT過程綜述過程綜述因果關(guān)系圖. . .績效指標(biāo)績效指標(biāo)對目標(biāo)的測量對目標(biāo)的測量KGIs關(guān)鍵實務(wù) .-83-0 01 12 23 34 45 50 01 12 23 34 45 5成熟度模型成熟度模型對建立、計劃和追蹤當(dāng)前的及未來的所需

56、的成熟度進行詳細(xì)描述RACI 表表角色與責(zé)任(R=職責(zé), A=問責(zé), C=咨詢, I=通知)關(guān)鍵角色關(guān)鍵角色主要屬性：主要屬性：屬性屬性參照參照KPIs戰(zhàn)略方向資源能力意識支持政策其他關(guān)鍵成功因素關(guān)鍵成功因素目標(biāo)與范圍目標(biāo)與范圍IT過程綜述過程綜述因果關(guān)系圖. . .績效指標(biāo)績效指標(biāo)對目標(biāo)的測量對目標(biāo)的測量KGIs關(guān)鍵實務(wù) .用于詳細(xì)評估的可測量的屬性與組件評估時可參照的業(yè)務(wù)標(biāo)準(zhǔn)及行業(yè)最佳實踐可用于快速評估的初始標(biāo)準(zhǔn)基于通用的組織流程圖對CSF的分解對IT過程的分解對IT過程目標(biāo)的描述對IT過程績效的描述-84-0 01 12 23 34 45 50 01 12 23 34 45 5成熟度模型

57、成熟度模型對建立、計劃和追蹤當(dāng)前的及未來的所需的成熟度進行詳細(xì)描述RACI 表表角色與責(zé)任(R=職責(zé), A=問責(zé), C=咨詢, I=通知)關(guān)鍵角色關(guān)鍵角色主要屬性：主要屬性：戰(zhàn)略方向資源能力意識支持政策其他關(guān)鍵成功因素關(guān)鍵成功因素目標(biāo)與范圍目標(biāo)與范圍IT過程綜述過程綜述因果關(guān)系圖. . .績效指標(biāo)績效指標(biāo)對目標(biāo)的測量對目標(biāo)的測量KGIsKPIs屬性屬性參照參照關(guān)鍵實務(wù) .-85-lIT過程成熟度模型過程成熟度模型(CMM)定義 CMM制定了一個基準(zhǔn)，組織可以確定自己的等級，從而了解自身目前的狀況； 在確定CMM基礎(chǔ)上確定組織的關(guān)鍵成功因素(CSF)，通過關(guān)鍵績效指(KPI) 進行監(jiān)控(事中控制

58、)，并衡量組織是否能達到關(guān)鍵目標(biāo)指標(biāo)(KGI)中所設(shè)定的目標(biāo)(事后控制)； 34個IT過程的每一項都有一個遞增的測量尺度，基于“0”到“5”等級。IT過程成熟度描述CMMCMM-86-l關(guān)鍵成功因素關(guān)鍵成功因素(CSF) 定義 CSF為管理部門實現(xiàn)對IT過程的控制提供指南，它們是實現(xiàn)IT過程目標(biāo)最重要的一系列因素，可以由戰(zhàn)略的、技術(shù)的、組織的或程序的各種活動組成； 它們通常會涉及IT能力和技能，簡短而集中介紹企業(yè)為達到某方面的目標(biāo)必須重視的資源和必須實施的控制。 特征 是IT處理或支持的環(huán)境中最基本的促進因素，是為提高IT過程成功的可能性所要做的最重要的事； 是實現(xiàn)成功所需的一種條件，或是一種

59、可取的活動，具有可觀察或可測量的特征； 關(guān)注獲取、維護和利用IT能力與技能，以IT過程的術(shù)語而非業(yè)務(wù)術(shù)語來描述。CSFCSFCOBIT引入的CSF舉例-87-l關(guān)鍵目標(biāo)指標(biāo)關(guān)鍵目標(biāo)指標(biāo)(KGI)定義： 關(guān)鍵目標(biāo)指標(biāo)是對IT過程要達到何種目標(biāo)的一種表述，或者是對要完成結(jié)果的一種測度； 關(guān)鍵目標(biāo)指標(biāo)(KGI)主要在IT過程實施之后，告訴管理部門該IT處理是否滿足其業(yè)務(wù)需求，通常以信息標(biāo)準(zhǔn)的術(shù)語表述。例如： 信息系統(tǒng)及服務(wù)的可用性； 完整性缺失和機密性風(fēng)險； 信息處理和系統(tǒng)運行的成本有效性； 對可靠性、有效性和符合性的確認(rèn)。 KGIKGIKGI舉例-88-l關(guān)鍵績效指標(biāo)關(guān)鍵績效指標(biāo)(KPI)定義：

60、關(guān)鍵績效指標(biāo)(KPI)描述了在實現(xiàn)IT目標(biāo)的過程中執(zhí)行情況的好壞程度，是判斷目標(biāo)是否有可能實現(xiàn)的主要指標(biāo)，也是測定性能、慣例和技能的指標(biāo)。特征 是對IT過程執(zhí)行程度的測定； 可以預(yù)期將來成敗的可能性，是“先導(dǎo)性”指標(biāo)； 面向過程，由IT驅(qū)動； 以精確的、可測量的術(shù)語表述； 關(guān)注那些被認(rèn)為是對過程至關(guān)重要的資源； 對此指標(biāo)進行測量并依此采取行動，將有助于改進IT過程。KPIKPIKPI舉例-89-建立意識建立意識做出決策做出決策分析價值分析價值和風(fēng)險和風(fēng)險選擇過程選擇過程定義項目定義項目開發(fā)開發(fā) 和實施和實施變更計劃變更計劃把方案集成把方案集成進日常運行進日常運行實務(wù)中去實務(wù)中去建立具體的建立具體的平衡記分卡平衡記分卡進行測量進行測量定義