I治理及其輔助手段情況匯報

IT治理及其輔助手段研究情況匯報孫強

賽迪培訓(xùn)中心賽迪顧問股份有限公司二00三年八月十四日匯報內(nèi)容IT治理的四個輔助手段IT治理的現(xiàn)實性和必要性建議匯報內(nèi)容IT治理的四個輔助手段IT治理的現(xiàn)實性和必要性建議當(dāng)前信息化建設(shè)熱點問題IT與業(yè)務(wù)的融合信息系統(tǒng)工程監(jiān)理的發(fā)展信息中心的轉(zhuǎn)制與走向IT治理、公司治理及企業(yè)管理的關(guān)系信息主管CIO的治理結(jié)構(gòu)IS審計對IT投資有效的監(jiān)督和控制作用規(guī)范、標(biāo)準(zhǔn)化的IT服務(wù)管理流程的重要性IT治理是IT、經(jīng)濟學(xué)及管理學(xué)業(yè)界中一個新的概念，用于描述企業(yè)或政府是否采用有效的機制，使得IT的應(yīng)用能夠完成組織賦予它的使命，同時平衡信息技術(shù)與過程的風(fēng)險、確保實現(xiàn)組織的戰(zhàn)略目標(biāo)。IT治理的使命保持IT與業(yè)務(wù)目標(biāo)一致，推動業(yè)務(wù)發(fā)展，促使收益最大化，合理利用IT資源，適當(dāng)管理與IT相關(guān)的風(fēng)險。IT治理的輔助手段IT項目管理IS（信息系統(tǒng)）審計、咨詢、監(jiān)理信息安全管理IT服務(wù)管理IT項目管理IT項目具有投資大、周期長、高風(fēng)險、科技含量高、所涉及領(lǐng)域?qū)挼奶攸c，項目管理水平是關(guān)系IT項目成功的關(guān)鍵成功因素之一。IT項目管理認(rèn)證和培訓(xùn)可全面提升IT項目建設(shè)管理人員規(guī)劃、組織與管理方面的能力。IS審計IS審計是指根據(jù)公認(rèn)的標(biāo)準(zhǔn)和指導(dǎo)規(guī)范對信息系統(tǒng)及其業(yè)務(wù)應(yīng)用的效能、效率、安全性進行監(jiān)測、評估和控制的過程，以完成組織的戰(zhàn)略目標(biāo)，同時最經(jīng)濟的使用資源。這一定義既包括信息系統(tǒng)的外部審計的鑒證目標(biāo)——即對被審計單位的信息系統(tǒng)保護資產(chǎn)安全及數(shù)據(jù)完整的鑒證，又包含內(nèi)部審計的管理目標(biāo)——即不僅包括被審計信息系統(tǒng)保護資產(chǎn)安全及數(shù)據(jù)完整而且包括信息系統(tǒng)的有效性目標(biāo)。IS審計對象審計對象變革管理數(shù)據(jù)中心運維信息安全網(wǎng)絡(luò)管理基礎(chǔ)設(shè)施數(shù)據(jù)庫管理硬件管理績效與容量問題管理災(zāi)難回復(fù)與業(yè)務(wù)持續(xù)軟件管理通信技術(shù)支持服務(wù)系統(tǒng)開發(fā)IS審計的的過程1.理解客客戶業(yè)務(wù)、、系統(tǒng)、環(huán)環(huán)境等2.識別并并評估風(fēng)險險3.檢查是是否存在足足夠的控制制來補償這這些風(fēng)險4.對控制制進行測試試和評價5.提出審審計結(jié)論和和報告IT治理與與IS審計計的關(guān)系獨立的IS審計是公公司治理與與IT治理理制度的重重要環(huán)節(jié)之之一。目的的是確定、、解除被審審計單位的的受托責(zé)任任和加強對對被審計單單位的管理理與控制。。所以IS審計是實實現(xiàn)IT治治理的手段段之一。IS審計的的作用鑒證作用。。是指通過過審計，合合理地保證證被審計單單位信息系系統(tǒng)及其處處理、產(chǎn)生生的信息的的真實性、、完整性與與可靠性。。促進作用。。體現(xiàn)在兩兩個方面：（1）是指信息系系統(tǒng)審計可可以促進被被審計單位位更有效地地融入到社社會經(jīng)濟生生活中，審審計報告可可以增強大大家對其信信息的信任任程度；（（2）是指指審計可以以促進被審審計單位改改進內(nèi)部控控制，加強強管理，提提高信息系系統(tǒng)實現(xiàn)組組織目標(biāo)的的效率、效效果。IS審計的的業(yè)務(wù)范圍圍立足于組織織的戰(zhàn)略目目標(biāo)，為有有效的實現(xiàn)現(xiàn)組織戰(zhàn)略略目標(biāo)而采采取的一切切活動過程程都在審計計師的業(yè)務(wù)務(wù)之內(nèi)。業(yè)業(yè)務(wù)范圍包包括：對信信息系統(tǒng)的的戰(zhàn)略規(guī)劃劃與組織的的審計；技技術(shù)基礎(chǔ)平平臺建設(shè)的的審計；應(yīng)應(yīng)用系統(tǒng)建建設(shè)審計；；信息系統(tǒng)統(tǒng)管理和運運營審計；；風(fēng)險管理理與應(yīng)用控控制審計；；信息系統(tǒng)統(tǒng)是否符合合國家或國國際標(biāo)準(zhǔn)的的審計以及及網(wǎng)譽審計計、電子簽簽名審計等等。IS審計的的目的合理保證信信息系統(tǒng)能能夠保護資資產(chǎn)的安全全、數(shù)據(jù)的的完整、系系統(tǒng)有效地地實現(xiàn)組織織目標(biāo)并有有效率的利利用組織資資源，其關(guān)關(guān)注的核心心是資產(chǎn)保保護與信息息系統(tǒng)的效效率、效果果。重點是對信信息系統(tǒng)的的運營審計計，向公眾眾出具審計計報告，鑒鑒證信息系系統(tǒng)能否保保護企業(yè)資資產(chǎn)安全，，其產(chǎn)生、、傳遞的信信息是否完完整，整個個系統(tǒng)是否否有效地實實現(xiàn)組織目目標(biāo)并有效效率的利用用組織資源源。IS審計的的服務(wù)對象象是所有的信信息使用者者。包括被審計計單位的股股東、合作作伙伴、政政府機構(gòu)和和一般社會會公眾。IS審計的的方法信息系統(tǒng)審審計審計的的方法主要要是搜集證證據(jù)的方法法。包括檢查、、觀察、分分析性復(fù)合合、查詢及及函證等方方法，并利利用統(tǒng)計技技術(shù)、計算算機技術(shù)完完成證據(jù)的的搜集與評評價。IS審計與與監(jiān)理的關(guān)關(guān)系作用不同（（監(jiān)理：控控制和協(xié)調(diào)調(diào)）范圍不同（（監(jiān)理：實實施階段））目的不同（（監(jiān)理：進進度、質(zhì)量量、投資））方法不同（（監(jiān)理：項項目管理））對象不同（（監(jiān)理：業(yè)業(yè)主和承建建單位）信息安全管管理三分技術(shù)七七分管理理信息安全管管理保護信信息不受廣廣泛威脅地地?fù)p害，確確保業(yè)務(wù)的的持續(xù)性，，將商業(yè)損損失降至最最小，使投投資收益最最大并創(chuàng)造造新的戰(zhàn)略略機遇。ISO17799ISO17799（根據(jù)BS7799第一部分制制定）作為為確定控制制范圍的參參考標(biāo)桿，，在一般情情況下，這這些控制是是使用信息息系統(tǒng)所必必須的。該該標(biāo)準(zhǔn)適應(yīng)應(yīng)任何規(guī)模模的組織。。它把信息息作為一種種資產(chǎn)，并并且在信息息時代，信信息資產(chǎn)已已經(jīng)成為最最有價值的的資產(chǎn)，因因此需要恰恰當(dāng)?shù)乇Ｗo護它。信息安全管管理的十個個方面安全方針；；安全組織；；資產(chǎn)分類與與控制；人員安全；；物理與環(huán)境境安全；計算機與網(wǎng)網(wǎng)絡(luò)管理；；系統(tǒng)訪問控控制；系統(tǒng)開發(fā)與與維護；業(yè)務(wù)持續(xù)管管理；合規(guī)性。IT服務(wù)管管理IT服務(wù)管管理事實上上的國際標(biāo)標(biāo)準(zhǔn)：ITIL國際上先進進企業(yè)在推推進信息化化的進程中中，針對““IT服務(wù)務(wù)質(zhì)量不佳佳的問題””，對IT服務(wù)的提提供方式、、提供內(nèi)容容以及服務(wù)務(wù)管理等方方面的內(nèi)容容，逐漸總總結(jié)、提煉煉，形成了了一整套富富有成效的的方法、規(guī)規(guī)范和程序序，并由由英國商務(wù)務(wù)部提煉成成為ITIL。IT服務(wù)管管理的作用用ITIL作作為一種以以流程為基基礎(chǔ)、以客客戶為導(dǎo)向向的IT服服務(wù)管理指指導(dǎo)框架，，它擺脫了了傳統(tǒng)IT管理以技技術(shù)管理為為焦點的弊弊端，實現(xiàn)現(xiàn)了從技術(shù)術(shù)管理到流流程管理，，再到服務(wù)務(wù)管理的轉(zhuǎn)轉(zhuǎn)化。業(yè)務(wù)與IT融合。改善IT的的投資回報報率。ITIL模模型示意圖圖ITIL的的意義ITIL可可以提高IT部門營營運效率25-300%；；ITIL是是一個公共共開發(fā)且公公共使用的的框架。任任何組織都都可以使用用ITIL，或者以以ITIL為基礎(chǔ)開開發(fā)自己的的服務(wù)管理理方法論和和方案。ITIL個個人資格認(rèn)認(rèn)證是全球球公認(rèn)的CIO證書書，也被稱稱為是IT界的MBA。匯報內(nèi)容IT治理的的四個輔助助手段IT治理的的現(xiàn)實性和和必要性建議IT治理的的定義IT治理是是一個由關(guān)關(guān)系和過程程所構(gòu)成的的體制，用用于指導(dǎo)和和控制企業(yè)業(yè)，通過平平衡信息技技術(shù)與過程程的風(fēng)險、、增加價值值來確保實實現(xiàn)企業(yè)的的目標(biāo)。IT治理的的核心問題題IT戰(zhàn)略目目標(biāo)必須與與企業(yè)戰(zhàn)略略目標(biāo)保持持一致IT治理包包括治理委委員會、治治理結(jié)構(gòu)、、治理流程程和企業(yè)文文化等。IT治理使使風(fēng)險透明明化，從而而保護利益益相關(guān)者的的權(quán)益。IT治理可可用來指導(dǎo)導(dǎo)控制IT投資、機機遇、收益益及風(fēng)險。。IT治理對對核心IT資源做出出合理的制制度安排，，這將成為為進入新的的市場、進進行有效競競爭、實現(xiàn)現(xiàn)總收入增增長、改善善客戶滿意意度及維系系客戶關(guān)系系的制度保保障。IT治理的的目標(biāo)IT治理———與業(yè)務(wù)務(wù)目標(biāo)一致致IT治理———有效利利用信息資資源IT治理———風(fēng)險管管理IT治理的的目標(biāo)將幫幫助管理層層建立以組組織戰(zhàn)略為為導(dǎo)向,以以外界環(huán)環(huán)境為依據(jù)據(jù),以業(yè)業(yè)務(wù)與IT整合為中中心的觀念念，正確定定位IT部部門在整個個組織中的的作用。IT治理的的范圍IT治理集集中在管理理高層。善治的IT治理實踐踐需要在企企業(yè)全部范范圍內(nèi)推行行。IT治理使使得最高管管理層和執(zhí)執(zhí)行經(jīng)理的的一系列活活動成為可可能。這些些活動主要要包括：IT的目標(biāo)標(biāo)，新技術(shù)術(shù)的機遇和和風(fēng)險，關(guān)關(guān)鍵過程與與核心競爭爭力。如指指導(dǎo)信息技技術(shù)的職能能和對企業(yè)業(yè)的影響，，分配責(zé)任任，定義操操作，業(yè)績績衡量，管管理風(fēng)險和和獲得保證證的約束等等。公司治理和和IT治理理公司治理，，驅(qū)動和調(diào)調(diào)整IT治治理。同時時，IT能能夠提供關(guān)關(guān)鍵的輸入入，形成戰(zhàn)戰(zhàn)略計劃的的一個重要要組成部分分，這被認(rèn)認(rèn)為是公司司治理的一一個重要功功能——IT影響企企業(yè)的戰(zhàn)略略競爭機遇遇。IT治理的的一個關(guān)鍵鍵性問題是是：公司的的IT投資資是否與戰(zhàn)戰(zhàn)略目標(biāo)相相一致，從從而構(gòu)筑必必要的核心心競爭力。。公司治理和和IT治理理概括地說，，公司治理理和IT治治理都是市市場（含政政府）他律律的機制，，是如何““管好管理理者”的機機制，其目目標(biāo)也是一一致的：達(dá)達(dá)到業(yè)務(wù)永永續(xù)運營，，并增加組組織的長期期獲利機會會。公司治理側(cè)側(cè)重于企業(yè)業(yè)整體規(guī)劃劃，IT治治理側(cè)重于于企業(yè)中信信息資源的的有效利用用和管理。。公司治理和和IT治理理的典范“斯達(dá)模式式”這一被被譽為國企企擺脫困境境、改革發(fā)發(fā)展的創(chuàng)新新模式，正正說明了公公司治理和和IT治理理的重要性性和互動關(guān)關(guān)系。“黑黑紙”按按照現(xiàn)代企企業(yè)制度要要求，建立立與市場競競爭相適應(yīng)應(yīng)的公司治治理機制，，明晰了企企業(yè)產(chǎn)權(quán)，，優(yōu)化了生生產(chǎn)要素配配置，轉(zhuǎn)變變了職工觀觀念，為斯斯達(dá)大力進進行信息化化改造創(chuàng)造造了有力條條件。反過過來，信息息化也促進進了公司的的現(xiàn)代化管管理。IT治理和和IT管理理IT管理是是公司的信信息及信息息系統(tǒng)的運運營，確定定IT目標(biāo)標(biāo)以及實現(xiàn)現(xiàn)此目標(biāo)所所采取的行行動；而IT治理是是指最高管管理層（董董事會）利利用它來監(jiān)監(jiān)督管理層層在IT戰(zhàn)戰(zhàn)略上的過過程、結(jié)構(gòu)構(gòu)和聯(lián)系，，以確保這這種運營處處于正確的的軌道之上上。IT治理模模型COBIT目前已已成為國際際上公認(rèn)的的IT管理理與控制標(biāo)標(biāo)準(zhǔn)該標(biāo)準(zhǔn)為IT的治理理、安全與與控制提供供了一個一一般適用的的公認(rèn)的標(biāo)標(biāo)準(zhǔn)，以輔輔助管理層層進行IT治理。該該標(biāo)準(zhǔn)體系系已在世界界一百多個個國家的重重要組織與與企業(yè)中運運用，指導(dǎo)導(dǎo)這些組織織有效利用用信息資源源，有效地地管理與信信息相關(guān)的的風(fēng)險。IT治理架架構(gòu)ProvideDirectionCompareMeasurePerformanceITActivitiesIncreaseautomation(makethebusinesseffective)Decreasecost(maketheenterpriseefficient)Managerisks(security,reliabilityandcompliance)ITisalignedwiththebusinessITenablesthebusinessandmaximisesbenefitsITresourcesareusedresponsiblyIT-relatedrisksaremanagedappropriatelySetObjectives組織戰(zhàn)略目標(biāo)IT治理COBIT信息規(guī)劃與組織獲得與實施交付與支持監(jiān)控IT資源COBIT模型COBIT四個域的的相互關(guān)系系獲得和實施交付與支持規(guī)劃與組織監(jiān)控IT開發(fā)IT運維業(yè)務(wù)戰(zhàn)略IT戰(zhàn)略匯報內(nèi)容IT治理的的四個輔助助手段IT治理的的現(xiàn)實性和和必要性建議建立IT治治理機制觀念轉(zhuǎn)變：：在最高管管理層（董董事會）樹樹立和維護護IT戰(zhàn)略略地位的思思想認(rèn)識，，建立企業(yè)業(yè)戰(zhàn)略與IT戰(zhàn)略的的互動觀念念，闡明IT應(yīng)擔(dān)當(dāng)當(dāng)?shù)慕巧?，，從業(yè)務(wù)的的視角創(chuàng)造造信息技術(shù)術(shù)指導(dǎo)原則則，如信息息化規(guī)劃本本質(zhì)上可以以定位成從從業(yè)務(wù)戰(zhàn)略略到信息戰(zhàn)戰(zhàn)略的實現(xiàn)現(xiàn)。業(yè)務(wù)驅(qū)動：：從組織的的業(yè)務(wù)戰(zhàn)略略出發(fā)而不不是從系統(tǒng)統(tǒng)的需求出出發(fā)，可以以避免脫離離目標(biāo)而進進行建設(shè)的的困境。從從業(yè)務(wù)的變變革出發(fā)而而不是從技技術(shù)的變革革出發(fā)，有有利于充分分利用組織織的現(xiàn)有資資源來滿足足關(guān)鍵需求求，從而避避免建設(shè)的的信息系統(tǒng)統(tǒng)無法有效效地支持組組織的決策策。建立IT治治理機制治理環(huán)境加強IT治治理實質(zhì)上