IT治理概述课件

第二章IT治理

第一节IT治理概述两个例子:1、2002年5月29日上午８时３０分左右，南京火车站电脑售票系统突然发生死机故障，整个车站售票处于瘫痪状态，车站售票大厅内人满为患，众多旅客不得不改乘其它交通工具离开南京。车站领导和计算机技术人员告诉记者是由于电脑升级换代，调试时线路发生故障，才引发了此次系统瘫痪的。

2、9月5日广东省工行因系统故障，全线停业一个半小时。

这两个例子说明什么？

IT是技术，是资源，是服务，更是成本企业需要将IT应用于业务领域，通常需要提出以下问题：企业所需要的IT服务是什么？这些IT服务需要多少成本？企业IT应用中的决策机制如何？企业IT应用中的则、权、利如何分配？企业的IT应用应达到什么样的水平？企业如何管理好自己的IT资源？企业如何做好IT的风险管理？

…

所有这些问题都离不开一个概念———IT治理。第二章IT治理据国外一份统计数据表明企业中IT系统出现故障有几大原因：1、恶意代码攻击;2、缺乏有效的监控制度和手段;3、IT设备本身的性能问题;4、应用系统/数据本身存在问题;5、员工缺少技能培训;6、不同部门的IT人员之间缺乏协调;7、缺少运营管理方法论的指导;

8、员工不按规足/流程操作。

可以看到在这些原因中都和管理与流程存在很大关系，要做好组织中的IT风险控制和信息安全离不开IT治理。第二章IT治理第二章IT治理

从IT的各种定义可总结出有关IT治理的共同点：1、

IT治理必须与企业战略目标一致；

2、

IT治理管理执行人员和利益相关者的责任（以董事会为代表）；3、

IT治理保护利益相关者的权益，使风险透明化，指导和控制IT投资、机遇、利益、风险；

4、IT治理包括管理层、组织结构、过程，以确保IT维持和拓展组织战略目标；

5、应该合理利用企业的信息资源，有效地集成与协调；

6、确保IT及时按照目标交付，有合适的功能和期望的收益，是一个一致性和价值传递的基本构建模块，有明确的期望值和衡量手段；7、引导IT战略平衡系统的投资，支持企业，变革企业，或者创建一个信息基础架构，保证业务增长，并在一个新的领域竞争；

8、对于核心IT资源做出合理的决策，进入新的市场，驱动竞争策略，创造总的收入增长，改善客户满意度，维系客户关系。

无论这些定义从哪个角度关注IT治理，但都涉及信息系统、技术及连通性、商业活动、法律相关事宜以及所有利益相关者—公司董事、高级管理人员、业务流程的执行者、IT供应商、IT的使用者以及审计人员等。———IT治理对象。同时，也是IT治理审计对象。

IT治理的使命：保持IT与业务目标一致，推动业务发展，促使收益最大化，合理利用IT资源，适当管理与IT相关的风险。

从本质上讲，IT治理：

是一种制度设计；是一种有效机制；是一种IT资源的管理和分配；是一种风险管理和控制；是一种认识问题；是一个过程。

第二章IT治理二、IT治理与IT管理、公司治理的关系1、IT治理与IT管理的关系。主要体现在：（1）IT治理是指最高管理层（董事会）利用它来监督管理层在IT战略上的过程、结构和联系，以确保这种运营处于正确的轨道之上。IT管理是公司的信息及信息系统的运营，确定IT目标以及实现此目标所采取的行动；（2）IT治理与IT管理的关系，是指导关系，即先与后，上与下的关系。

（3）IT治理强调构建良好的管理环境，而IT管理强调对IT资源的运营。

第二章IT治理其中涉及要素：IT资源由此涉及：IT治理问题IT治理与公司治理的关系：

公司治理和IT治理都是市场(含政府)他律的机制，是如何“管好管理者”的机制，其目标也是一致的：达到业务永续运营，并增加组织的长期获利机会。公司治理驱动和调整IT治理；IT影响企业的战略竞争机遇。公司治理侧重于企业整体规划；IT治理侧重于企业中信息资源的有效利用和管理。

处理好IT治理与公司治理的关系，应解决：

第二章IT治理1、认识上，要将信息技术不仅视为技术，更是业务；2、战略上，促进IT战略与公司战略的整合，使IT成为公司战略的中心，保证公司战略从制订之初就具备竞争力；3、实施上，通过IT治理，主要从风险回避方面保证公司治理的落实。

第二章IT治理

第二节IT治理的目标和范围一、IT治理的目标

IT治理应着眼于以下目标：1、与业务目标一致原则：服从于企业战略，不能背离2、有效利用信息资源IT治理的使命：通过及时、有效的IT治理，促进信息的价值转化3、风险管理通过IT治理：构建风险管理制度及风险应对决策；使风险透明化；有效的风险投资、管理和控制；风险的防范措施。实现：平衡信息技术与过程的风险，确保组织目标的实现

第二章IT治理根据该公司的发展战略框架确定需重点解决的问题：(1)集成物流分散点，降低营运成本与费用；(2)建立库存控制机制与准则，避免内部控制和监管的失灵；(3)集成和标准化订单业务流程；(4)建立追究责任制，完善安全管理；(5)推动商务运作，加强对外合作与联盟；(6)满足现有客户，扩展新客户；(7)完善货款追踪到位机制。第二章IT治理根据目标和问题，确定IT建设内容，即IT战略目标：(1)联网各分散物流点的执行系统，由总部统一监控与管理；(2)构建JIT配送平台，确保零库存；(3)采用物流执行系统，从而组成完整的订单，并持续改进客户的响应速度，同时，该系统可以帮助客户将订单转变成可以发运的品项，从而降低运输费用；(4)完善客户订单与发货品的追踪系统，使客户能够及时获取货项信息；(5)建立电子商务平台，通过网络实现配送外协等合作，提高与供应商、政府部门之间配合的效率;(6)建立客户关系管理系统，通过Web网站、E-Mail系统、呼叫中心、自动传真回复系统等，向客户提供365天×24小时的不间断服务；(7)搭建财务管理系统，保证财务部门及所有受支持的部门都能获得精、快的财务信息，以便有效地进行业务决策及监控现金的收支情况。根据以上所确定的IT建设内容，并形成了该公司的IT蓝图（见图）

第二章IT治理发货品管理成本管理安全管理订单管理配送管理客户管理反向物流管理第三方管理呼叫中心市场分析人力资源管理、财务管理协同办公平台管理第二章IT治理第三节IT治理的关键问题一、IT治理的关键问题IT治理的关键问题表现在：1、IT投资是否与企业经营在战略目标(Strategy)，策略(Tactic)和运营(即operation)层面相融合，从而构筑必要的核心竞争力；2、IT治理是否有助于合理的制度安排真正发挥其作用；3、在长期的IT应用中，是否持续地创造商业价值；4、是否有有效的风险管理机制。其中最关键的问题是第一点：IT治理应体现以“组织战略目标为中心”思想。

第二章IT治理搞好IT治理必须解决的问题：1、IT关键领域谁做决策和如何决策。5个IT关键领域：A、信息技术原则；B、信息技术结构；C、信息技术基础设施；D、企业应用需要；E、信息技术投资及优先顺序。2、信息化中的责、权、利问题；3、信息化建设中的风险评估和绩效评价问题；4、信息系统控制与信息技术管理体系问题。

第二章IT治理

信息化建设中的风险管理及评估流程：

1)确立可承受的IT风险损失价值；2)IT风险识别；（列举清单法、专家判断法、工作分解分析法、信息检索法、访谈法、流程图和鱼刺图法）3)IT风险预测；4)IT风险日常管理与控制；5)IT盈利与损失统计；6)风险再评级。

第二章IT治理绩效评价方法（业绩衡量）——IT平衡计分卡法。主要从以下几个方面衡量：(1)IT价值贡献；(2)客户满意度；(3)内部处理过程；(4)学习与创新。

(3)内部处理过程

IT内部过程关注IT部门两个基本过程的改进和度量：系统开发过程以及系统运营过程，此外也关注其他过程，如问题管理、用户教育、人员管理、通信渠道的使用等。在评价IT内部过程，主要考虑以下问题：?交付的产品质量是否符合通用标准；?交付的产品是否使用可普遍接受的方法与工具；?用于支持主要过程改进的IT资源是否充分；?基础设施是否为业务需要提供了可靠支持；?企业IT基础设施是否得到维护。

第二章IT治理

(4)学习与创新

主要用于评价IT组织的技能水平以及持续学习和革新的能力。在评价IT学习与革新能力的时候，主要考虑以下问题：?是否有正确的技能与人员来保证质量；?是否追踪对企业业务发展有重要意义的新技术的方向；?是否使用认可的方法来构建与管理IT项目；?是否为员工提供适当的工具、培训、执行任务的动机。

二、IT治理缺失的症状

1、各自为政，缺乏统一、全局的IT战略规划；2、信息化建设领导者错位，IT应用方案和企业业务需求之间逻辑错位；3、决策的技术经济论证不足；4、信息资源的合理应用是信息化的薄弱环节；5、利益冲突和信息的不透明；6、IT安全治理和风险管理缺位；7、非技术性的障碍；8、重硬件购买，轻软件和咨询服务；9、信息化建设找不到重心。

第二章IT治理建立有效的IT治理需从5个领域进行：1、IT战略一致性；

2、IT价值交付；

3、IT资源管理；

4、IT风险管理；

5、IT性能评价。

第二章IT治理第四节IT治理框架和标准一、IT治理框架

构建IT治理架购包含三个方面:

组织机构、流程、沟通机制

（3）CIO。CIO岗位的职责:发起制定、组织完成企业IT战略规划;开发企业应用，协调企业和部门的应用开发;保障IT基础设施和体系架构的运行及投资;决定IT服务和技能服务；建立关键的IT供应商和咨询顾问间的战略伙伴关系；提供技术支持使企业增加收入和盈利能力;维护客户满意度；向用户提供培训。

第二章IT治理（4）管理者。管理者的职责是：将IT风险管理责任和控制落实到企业中；将战略，策略，目标等落实到企业日常工作中，并使信息技术的组织与企业目标一致；促进信息的创造与共享；通过衡量公司业绩和竞争优势来测度信息技术的效果；关注重要的增值的信息技术过程；关注与规划和管理IT资产、风险、工程项目、客户和供应商相关的核心竞争能力，等。（5）信息技术人员。负责项目的开发与实施；负责项目技术指导与实现；负责信息系统的日常运行与维护；为业务部门和管理人员提供技术服务支持。第二章IT治理（6）外部和内部审计人员。信息系统的管理、规划与组织评价；评价组织在技术与操作基础设施的管理和实施方面的有效性及效率；对逻辑、环境与信息技术基础设施的安全性进行评价；对灾难恢复与业务持续计划评价；对应用系统的开发、获得、实施与维护方面所采用的方法和流程进行评价；业务流程评价与风险管理评价。第二章IT治理三、COBIT简介：COBIT（信息及相关技术的控制目标），是有关IT治理的一个开放标准。该标准是国际公认的最先进、最权威的安全与信息技术管理和控制的标准。该标准为IT的治理、安全与控制提供了一个一般适用的公认的标准。该标准为组织有效的利用信息资源，有效管理、控制与信息相关的风险提供指导。COBIT将IT过程，IT资源及信息与企业的策略与目标联系起来，形成一个三维的体系结构（参见P.52图）

COBIT的体系框架包括四大部分：控制目标、管理指南、审计指南、工具集（参见P.54图）第二章IT治理第二章IT治理IT准则维：反映了企业使用IT的战略目标。标准包括：有效性、效率性、机密性、完整性、可用性、一致性、可靠性等IT资源维：描述了IT治理过程的主要资源对象。对象包括：人员、应用系统、技术、设施和数据等IT过程维：是对信息及相关资源进行规划与处理的过程。提供了：从信息系统生命周期的四大域确定了34个信息技术处理过程，每个处理过程包括详细的控制目标和与控制目标相联系的审计指南。

第二章IT治理四大域：计划与组织；采集与实施；交付与支持；监控

34个信息技术处理过程（从四大域）包括：(参见教材P.53表）计划与组织：定义IT战略、定义信息体系结构、确定技术方向、定义IT组织与关系、管理IT投资、管理目标和方向、人力资源管理、确保与外部需求的一致性、风险评估、项目管理、质量管理

采集与实施：确定自动化的解决方案、获取并维护应用程序、获取并维护技术基础设施、系统安装与鉴定、变革管理交付与支持：定义并管理服务水平、管理第三方的服务、管理性能与容量、确保服务的连续性、确保系统安全、确定并分配成本、教育并培训客户、配置管理、处理问题和突发事件、数据管理、设施管理、运营管理

第二章IT治理监控：过程监控、评价内部控制的适当性、获取独立保证、提供独立的审计控制目标中：计划和组织目标：判别哪些IT策略最有助于业务目标的实现；应设置何种组织结构，建立何种技术基础结构，如何对IT策略的实现进行计划、协调与管理。采集和实施目标：为了实现IT战略，如何定义、开发、获取、实施IT解决方案，并把这一方案集成到业务过程中。如何解决系统的变迁与维护，以使系统的生命周期得以延续。交付与支持目标：如何解决系统交付所需的服务，包括操作安全性、连续性、人员培训以及需建立的支持过程，还包括实际数据处理，通常按应用控制进行分类。监控目标：评估IT过程质量，评估IT过程与控制需求相符的程度

第二章IT治理第二章IT治理管理指南：COBIT给出了：度量IT过程的指标体系、度量的尺度以及度量的基准点。

4个指标：成熟度模型CMM，以及关键成功因素CSF、关键目标指标KGI、关键性能指标KPI

4个指标简介：

1、成熟度模型CMM功能：确定IT控制的基准。从而认清企业所处的行业地位，如何测定和比较

2、关键成功因素CSF功能：勾画IT控制轮廓。从而描绘重要的、控制的关键成功因素

3、关键目标指标KGI功能：识别IT处理过程的目标。从而认识哪些是必须做到的，不能达成目标的风险有哪些

4、关键性能指标KPI功能：测定IT处理过程的性能。从而评价IT输出和实际绩效，评价处理过程执行好坏的程度

第二章IT治理案例1：关键成功因素CSF1、IT治理活动与公司治理相结合，并有公司领导的参与；2、IT治理专注于公司目标、战略，使用技术提高业务水平，及满足业务需求的足够可用的资源和能力；3、IT治理活动应该目标明确，制度规范和实施有效，并落实到人；4、实施最佳管理实践以提高资源的有效利用，提供IT过程的效率；5、建立组织以充分监督，根据标准程序评估风险，及监督和追究控制缺陷和风险；6、建立内部控制准则以避免内部控制和监管的失灵；7、IT问题管理、变革管理和配置管理等，是集成和关联的；8、建立审计委员会。第二章IT治理案例2：关键目标指标KGI1、加强绩效和成本管理；2、提高主要的IT投资的回报；3、提高响应市场速度；4、增加质量，创新和风险管理；5、适当集成和标准化业务流程；6、扩展新客户，满足现有客户；7、可用的适当带宽，计算能力和IT交付机制；8、在预算范围内及时满足客户的需求和期望；9、不违反法律、法规，行业标准和各类合同；10、清楚承担的风险，这种风险应与组织整体风险状况相一致；11、进行IT治理成熟度标杆比较；12、创造传递服务的新渠道。第二章IT治理案例3：关键性能指标KPI1、提高了IT流程的成效（成本、交付能力）；2、增加了用于改善流程的IT计划；3、增加了IT基础设施的利用率；4、增加了客户满意度；5、增加了员工工作效率和士气；6、增加用于管理公司的知识和信息的可用性；7、增加IT治理和公司治理的联系；8、使用平衡计分卡测量时，绩效得到提高。第二章IT治理运用：借助于CMM模型，了解IT过程管理所处的状态和自身的薄弱环节，并有针对性地解决自身的问题。借助于CSF、KGI、KPI指标有效地进行IT过程管理。审计指南：为中介评估机构或信息系统审计师对信息系统的控制进行了解、评估和实施审计提供建议与指导。给出了：IT审计的一般方法和要求；根据COBIT的框架，针对信息系统34个高层次控制目标建议了相应的审计步骤；为信息系统审计师具体检验和评价各IT过程是否符合318个具体控制目标给出了详细的审计指南,并指出了各控制目标未达到时会带来的风险及改进控制的建议。第二章IT治理应用工具集：提供了包括管理意识、IT控制诊断、应用指导、常见问题集、、个案研究等工具，以及介绍COBIT的相关课件。目的：工具集的设计主要是让COBIT的应用更加便利，使组织可以快速且成功地掌握如何在不同的工作环境中应用COBIT。第二章IT治理COBIT的主要优点：1、可以帮助在管理层、IT与审计之间交流的鸿沟上搭建桥梁，提供了彼

此之间沟通的共同语言；2、通过实施COBIT，增加了管理层对控制的感知及支持；3、COBIT使IT管理工作简易并量化，减轻对复杂信息系统管理工作的难度，并且可以应用在每天都在发生的各种新问题中；

4、COBIT提供了一种国际通用的IT管理及问题解决方案，普遍适用于各种不同的商业项目和审计；5、COBIT有助于提高信息系统审计师的影响力；6、COBIT框架可以能够帮助决定过程责任，提高IT治理水平。

第五节IT治理机制和方法一、建立IT治理机制第二章IT治理如何有效地进行IT治理？需要——建立有效的IT治理机制，因为：

决定信息系统是否有效运转的因素不是信息技术，而是治理机制、管理模式、制度与规则，流程与标准，最终是人。因此，在这些因素之上，需要合理有效的制度安排。

建立有效的IT治理机制，要做好以下几方面：1、实现企业战略与IT战略互动；2、政府应作为推动者；3、建立专门化的建立IT治理委员会；4、保证职责明确；5、信息系统审计。

第二章IT治理二、IT治理的方法1、积极进行IT治理设计要求：最高管理层（董事会）树立和维护IT战略地位的思想认识，从组织的战略出发而不是从系统的需求出发，可以避免脱离目标而进行建设的困境；发展外部市场监控和审计机制。

包括：构建有效的：IT治理结构；决策制定程序；IT原则、架构、基础设施、业务应用需求、投资决策程序；风险管理制度；审计监督程序，等。

第二章IT治理2、选择正确的时间进行IT治理设计选择依据：公司治理的IT需求；企业的战略目标；企业的业务需求及变革需求；IT风险管理；价值的交付。3、高层经理人员的参与高层经理人员：企业的高层管理者、CIO、审计主管，等角色：参与IT战略的总体制定与决策；证实IT战略与企业战略一致；证实IT通过明确的期望和衡量手段交付；指导IT战略、平衡支持企业和使企业成长的投资；恰当决策信息资源应着重使用的地方。

第二章IT治理4、对目标有所取舍目标选择：选择核心流程；业务应用需求；市场的机会；商业价值；效率和服务的比较；

第二章IT治理5、制定例外处理流程关键要素：能够对流程进行清楚地定义，且企业所有的人都能理解；

流程要能使问题可以迅速提交给高层管理者；

例外流程应被采用到企业架构之中。6、提供相应的激励措施：有一套激励制度；有活力的组织和人员；有利于调动利益各方的积极性；激励的整体性和持续性；建立激励的可衡量指标；激励方式的多样性；激励与责、权、利相结合。

第二章IT治理7、在组织的多个层面设计治理要求：在高层，应把握IT治理的战略和决策；在中层，应注重IT治理的组织、管理和实施；在低层，应注重IT治理的有效执行和协调。注意点：做好自上而下的领导关系；做好自下而上的反馈关系；把握好各层面之间的沟通协调；注意责、权、利之间的一致性。8、加强透明度和教育主要体现：通过各种方式加强沟通和交流；加强IT治理意识和技能的培训。

9、运用相同的机制治理多个关键资产第二章IT治理三、IT治理的基本程序1、在业务目标的驱动下，制定IT战略，并保证IT战略与业务战略目标的匹配；2、挖掘业务需求，完善信息系统建设，使IT真正为业务提升、管理创新贡献价值；3、实施IT项目管理与风险管理；4、进行IT绩效评估。IT治理是一个循序渐进的往复循环的过程第二章IT治理

第六节IT治理成熟度模型

如何对IT治理状况进行评价？——涉及：评价方法

目前较为流行IT治理的评价方法有三种：

IT成熟度模型、PW方法、CBSO法

IT成熟度模型介绍：

IT成熟度模型制定了一个基准，组织可能根据上面的指标确定自己的等级，从而了解定位自己企业的IT治理在业界所处的位置，确定未来努力的方向。

第二章IT治理平衡风险和收益后的IT治理和IT增值流程治理成熟度级别如下：不存在级（0级）：完全不存在可辨识的信息治理流程。初始级（1级）：初始的混乱的。

可重复级（2级）：重复的但模糊的。已定义级（3级）：已定义流程。已管理级（4级）：已管理和可测量的。优化级（5级）：全面满足IT治理的要求并持续改进。

第二章IT治理IT治理成熟度模型方法的优点与作用：1、是一种进行实用性比较的等级制，能以简单方式测定差异，有助于确定有关信息技术管理、安全性。2、是测量管理处理发展程度的一种方法，有助于企业将主要精力投入到关键的管理方面。3、有助于专业人员向管理层解释IT管理存在的缺陷，从而确定组织的发展目标。4、将有助于解决以下在IT部门中普遍存在的问题：

（1）在竞争激烈的市场环境中，您的公司或部门在IT应用中处于什么水平？

（2）如果您认为有差距，究竟差在哪里？如何去改进？

（3）如果您觉得运作良好，那么您能说出好在哪里？好到何种程度？

（4）如何对IT管理进行绩效评估？第二章IT治理

第七节审计IT治理架构一、审计IT治理架构和实施如果一个企业信息系统存在以下具有潜在风险的特征：（参见P.65）1、最终用户态度不友好；2、过多的成本；3、预算超支；4、较高的员工离职率；5、缺乏经验的员工；

6、经常出现硬件/软件故障；7、用户请求被积压，没有得到及时响应；8、迟缓的计算机相应时间；9、大量的废止或暂停的开发项目；10、未受支持或未经授权的硬件/软件采购；11、经常性的硬件/软件升级；12、对例外报告没有采取跟踪处理措施；13、缺乏动力；14、缺乏持续性计划；15、依赖一个到两个关键员工；16、缺乏充分的培训。这表明，该企业存在IT治理问题，需要建立、改善、提高其IT治理能力。

如何指出其存在的IT治理问题，以便提出改进建议？需要：IT治理审计第二章IT治理IT治理审计的实施：1、审核文挡文档包括：信息技术战略、计划和预算；安全政策文档；组织/职能图；工作描述；指导委员会报告；系统开发和程序变更流程；操作程序；人力资源手册。审核要点：完整、合理、合法合规审核目的：检查相关文挡存在哪些问题和不足？哪些需要改进完善？第二章IT治理2、对被审核文挡进行进一步评估主要包括：文挡是否如实反映了管理层的思想，并得到了授权；文挡是否适用于当前状况，并能得到及时更新。审核目的：通过证实文挡的真实可靠性、有效性等进一步获取有关审计证据，以便为对企业的IT治理状况进行分析、评价提供依据。

3、现场调查（面谈和观察）主要包括：通过面谈从中了解有关信息系统的实际情况；通过观察对信息系统的真实情况进行证实、判断调查目的：证实文挡与实际的一致性；发现实际存在问题；进一步获取相关证据。

第二章IT治理4、得出结论，提出审计建议依据：IT治理相关标准、模型等企业战略目标、公司治理目标等

二、审核合同

在IT治理中，做好IT服