第二章IT治理與管理

1、第二章IT治理與管理A. IT治理A1.公司治理指所有者、經(jīng)營者和監(jiān)督者之間通過公司權(quán)力機關(guān)（股東大會）、經(jīng)營決策與執(zhí)行機關(guān)（董事會、經(jīng)理）、監(jiān)督機關(guān)（監(jiān)事會）而形成權(quán)責(zé)明 確、相互制約、協(xié)調(diào)運轉(zhuǎn)和科學(xué)決策的聯(lián)系，并依法律、法規(guī)、規(guī)章和公 司章程等規(guī)定予以制度化的統(tǒng)一機制；公司治理強調(diào)企業(yè)中權(quán)力、角色的合理分配和對股東的平等對待；信息披露與透明；董事會的職責(zé)；為企業(yè)提供合理的戰(zhàn)略指南；董事會對管理層進行有效的監(jiān)督，董事會必須向企業(yè)和股東負責(zé)。公司治理框架中一個很重要內(nèi)容就是要建立內(nèi)部控制體系管理和報告業(yè)務(wù)風(fēng)險。A2.IT治理IT 治理是一個綜合術(shù)語，它包括信息系統(tǒng)、技術(shù)和通訊，業(yè)務(wù)、法律相關(guān)事

2、務(wù)，所有利益相關(guān)方、董事會、高級管理層、流程所有人、IT供應(yīng)商、用戶和審計師。治理有助于確保IT和企業(yè)目標保持一致。有效的公司治理注重個人和團隊在特定領(lǐng)域中最有效的專門技能和經(jīng)驗。長期以來，僅作為組織戰(zhàn)略促進因素的信息技術(shù)，現(xiàn)在被看作是整體戰(zhàn)略的一部分。CEO COO CFO CIO和CTO在 IT與企業(yè)目標間能達成戰(zhàn)略一致是關(guān)鍵成功因素。通過經(jīng)濟、有效地使用安全、可靠的信息和應(yīng)用技術(shù)，IT治理能有助于實現(xiàn)這個關(guān)鍵成功因素。信息技術(shù)對企業(yè)的成功是如此重要，因此，不能把其職責(zé)放給IT管理人員或IT專家，而必 須得到整個高級管理層的關(guān)注。IT治理的定義ITGI : IT治理是董事會和最高管理層的職

3、責(zé)，是企業(yè)治理的重要組 成部分。IT治理由領(lǐng)導(dǎo)、組織結(jié)構(gòu)以及相關(guān)流程組成，這些流程能保證組 織的IT有效支持及促進組織戰(zhàn)略目標的實現(xiàn)。IT治理一般關(guān)注兩方面的問題：IT增加商業(yè)價值和IT風(fēng)險得到控制 前者通過使IT戰(zhàn)略與業(yè)務(wù)保持一致來達到，后者通過向企業(yè)分配責(zé)任來驅(qū) 動。IT治理的關(guān)鍵因素是IT與業(yè)務(wù)保持一致，以實現(xiàn)業(yè)務(wù)價值。IT治理的主要流程有：IT資源管理、績效測評和合規(guī)管理IT治理回答下述問題在IT戰(zhàn)略決策中哪些利益相關(guān)者有發(fā)言權(quán)？誰決定IT投資及其優(yōu)先級順序？應(yīng)當建立哪些IT委員會，由什么人組成？其職責(zé)是什么？向誰報告？CIO 的角色和職責(zé)有哪些？如何控制IT使其滿足業(yè)務(wù)需求？如何評價

4、IT職能的績效?IT治理的目標指導(dǎo)IT工作，確保IT績效滿足IT目標、符合企業(yè)目標要求，實現(xiàn)預(yù)期利潤幫助企業(yè)開拓商機，實現(xiàn)利益最大化充分利用IT資源適當控制IT相關(guān)風(fēng)險IT治理與公司治理公司治理主要關(guān)注利益相關(guān)者權(quán)益和管理，包括一系列責(zé)任和條例，由最高管理層（董事會）和執(zhí)行管理層實施；公司治理目的是提供戰(zhàn)略方向，保證目標能夠?qū)崿F(xiàn)，風(fēng)險適當管理，企業(yè)資源合理使用；IT 治理是公司治理的重要組成部分，是董事會或最高管理層的責(zé)任；IT 治理由領(lǐng)導(dǎo)、組織結(jié)構(gòu)以及相關(guān)流程組成，這些流程能保證組織的IT能有效支持及促進組織戰(zhàn)略目標的實現(xiàn)，同時控制風(fēng)險、降低成本、 提高績效公司治理可以驅(qū)動和調(diào)整IT治理，同

5、時，IT能夠為公司治理提供 關(guān)鍵的輸入，形成戰(zhàn)略計劃的一個重要組成部分公司治理和IT治理都是“他律”機制，是如何“管好管理者”的 機制，其目標也是一致的：達到業(yè)務(wù)持續(xù)運營，并增加組織的長期獲利機 會。IT治理與IT管理IT管理是公司的信息及信息系統(tǒng)的運營，確定IT目標以及實現(xiàn)此目標所采取的行動而IT治理是指最高管理層（董事會）利用它來監(jiān)督管理層在IT戰(zhàn)略 上的過程、結(jié)構(gòu)和聯(lián)系，以確保這種運營處于正確的軌道之上。簡言之， 是“對管理的管理”IT管理就是在既定的IT治理模式下，管理層為實現(xiàn)公司的目標而采 取的行動缺乏良好IT治理模式的公司，即使有“很好”的IT管理體系（而這 實際上是不可能的），就

6、像一座地基不牢固的大廈同樣，沒有公司IT管理體系的暢通，單純的治理模式也只能是一個 美好的藍圖，而缺乏實際的內(nèi)容IT 治理的層次在企業(yè)戰(zhàn)略層上?IT 治理要與公司治理結(jié)構(gòu)、企業(yè)戰(zhàn)略規(guī)劃進行集成，使 IT 治理作 為公司治理的一部分；?在治理結(jié)構(gòu)上體現(xiàn) IT 的位置與作用， 使 IT 議題要進入董事會 （或 者是監(jiān)事會、最高管理當局）下的戰(zhàn)略委員會、審計委員會、安全委員會；?董事會要確保 IT 的執(zhí)行與監(jiān)管分開， 監(jiān)管機制要獨立并持續(xù)運行、 溝通與反饋機制要持續(xù)有效；?IT 治理要求向董事會和最高管理層分配職責(zé)，并要求其完成一系 列活動。在企業(yè)戰(zhàn)術(shù)面上?雖然 IT 治理集中在董事會最高管理層，

7、但由于 IT 治理的復(fù)雜性和 專業(yè)性，治理層必須依賴企業(yè)在戰(zhàn)術(shù)層面上提供必要的控制框架來保證治 理職責(zé)的落實；?為了保證 IT 與業(yè)務(wù)目標一致， 充分利用有限的 IT 資源，提高績效， 降低風(fēng)險與控制成本，按照國際普遍接受的企業(yè)內(nèi)部控制標準，在戰(zhàn)術(shù)層 面建立有效的 IT 控制框架并監(jiān)督實施。-COBIT、ITIL、ISO17799需求識別、數(shù)據(jù)標準化、項目管理IT治理域一些著名的機構(gòu)(Gartner、CSC AICPA/CICA、CIO Magazine )通過 調(diào)查認為最受IT管理層關(guān)注的問題，已經(jīng)從技術(shù)領(lǐng)域逐漸轉(zhuǎn)向管理相關(guān)領(lǐng) 域；這些問題可以歸結(jié)為五個IT治理域：戰(zhàn)略一致、價值交付、風(fēng)險管

8、 理、資源管理和績效考評，其中有兩個核心，一是IT要向業(yè)務(wù)交付價值，二是降低風(fēng)險。前者由IT與業(yè)務(wù)的戰(zhàn)略一致驅(qū)動， 后者由企業(yè)內(nèi)部建立的 責(zé)任分工驅(qū)動；這兩者都需要獲得足夠的資源并進行績效考評，以保證獲得預(yù)期的 結(jié)果；這五個域都受利益相關(guān)者價值驅(qū)動，其中價值交付、降低風(fēng)險是結(jié) 果，戰(zhàn)略一致績效考評是驅(qū)動力，IT資源管理為治理提供支持。五個IT治理域：?戰(zhàn)略一致-強調(diào)IT與業(yè)務(wù)保持一致，提供協(xié)調(diào)的解決方案。?價值交付-確保IT實現(xiàn)了預(yù)期戰(zhàn)略收益，集中關(guān)注成本的優(yōu)化，提 供IT的固有價值。?風(fēng)險管理-將風(fēng)險管理職責(zé)嵌入組織中，包括IT資產(chǎn)的保護、災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性。?資源管理-對IT資源（應(yīng)用系

9、統(tǒng)、信息、基礎(chǔ)設(shè)施和人員）的優(yōu)化 投資并適當管理，關(guān)鍵問題在于知識和基礎(chǔ)設(shè)施的優(yōu)化。?績效考評-追蹤并監(jiān)控戰(zhàn)略實施、資源使用、流程績效、服務(wù)交付以 及諸如平衡記分卡的使用等， 監(jiān)督IT服務(wù)質(zhì)量。沒有績效測量就無法對以 上四個域進行有效管理。IT治理的關(guān)鍵因素IT治理的關(guān)鍵因素就是要使IT與業(yè)務(wù)融合，以實現(xiàn)組織的業(yè)務(wù)價值。 通過IT治理框架和最佳實踐的應(yīng)用，在組織內(nèi)促成目標實現(xiàn)。IT治理框架和最佳實踐是由一系列組織結(jié)構(gòu)、流程及相關(guān)機制組成。關(guān)鍵的IT治理因素包括：IT戰(zhàn)略委員會、風(fēng)險管理和標準IT平衡 記分卡。審計師在IT治理中的職責(zé)審計是組織成功實施IT治理的一個重要角色，對于向高級管理層提供

10、 建議，幫助改善IT治理質(zhì)量和效果而言，審計處在最佳的位置；通過引入審計師獨立的、 中立的觀點，可以對IT治理績進行持續(xù)有效的監(jiān)督、分析、評估，以指導(dǎo)與改進與IT治理相關(guān)的IT過程；IS審計師的要對IT治理的各個方面進行評估?IS職能與組織使命、愿景、價值、目標和戰(zhàn)略的一致性?法律、環(huán)境、信息質(zhì)量、委托、安全和隱私方面的要求?組織的控制環(huán)境?IS環(huán)境的固有風(fēng)險A3.IT戰(zhàn)略委員會是董事會實施其IT治理目標的重要機制，一般隸屬于董事會，由 董事會成員及非董事會成員組成，它主要職責(zé)是協(xié)助董事會治理和監(jiān)督企 業(yè)的IT相關(guān)事務(wù)；IT戰(zhàn)略委員會應(yīng)當保證在組織中以結(jié)構(gòu)化的方式來實施IT治理，而且董事會可以

11、獲得足夠的信息來實現(xiàn)IT治理的最終目標。組織在執(zhí)行經(jīng)理層設(shè)置IT指導(dǎo)委員會來處理關(guān)系到整個組織的IT事務(wù)，比如：追蹤IT投資、設(shè)定項目優(yōu)先級、分配IT資源等。指導(dǎo)委員會職責(zé)分析表是 CISA應(yīng)當掌握的知識A4.IT平衡記分卡（BSC 績效測評是企業(yè)管理中的重要因素，沒有績效測評就無法對業(yè)務(wù)進行有效管理， 但隨著企業(yè)創(chuàng)造價值的方式由有形資產(chǎn)逐漸轉(zhuǎn)向無形資產(chǎn)，對無形資產(chǎn)的衡量，不能采用傳統(tǒng)的針對有形資產(chǎn)的財務(wù)數(shù)據(jù)方式；平衡記分卡是目前企業(yè)管理中較流行的績效測量工具，它可以把 企業(yè)戰(zhàn)略轉(zhuǎn)化為實際的行為，從而實現(xiàn)企業(yè)目標；這種績效測評系統(tǒng)超出了傳統(tǒng)的財務(wù)記帳方式，它不僅衡量財務(wù) 數(shù)據(jù)，還要對業(yè)務(wù)過程與

12、基于知識的資產(chǎn)等方面進行測評， 在顧客滿意度、 內(nèi)部流程和創(chuàng)新能力等方面進行了補充，組成了財務(wù)、客戶、過程和學(xué)習(xí) 四個視角。標準 IT 平衡記分卡是 CISA 應(yīng)當掌握的內(nèi)容。平衡記分卡的四個視角： ?財務(wù)視角為使股東滿意，我們需要達到什么樣的財務(wù)目標？ ?客戶視角為實現(xiàn)財務(wù)目標，我們需要服務(wù)什么樣的客戶？ ?過程視角為了提高客戶和利益相關(guān)者的滿意度， 我們需要建立什 么樣的內(nèi)部業(yè)務(wù)過程？?學(xué)習(xí)視角為了達成目標，組織應(yīng)當如何學(xué)習(xí)與創(chuàng)新？為了把平衡記分卡應(yīng)用于 IT ，還應(yīng)使用一個三層構(gòu)架來描述其四個方面的評價要素：使命?成為首選的信息系統(tǒng)供應(yīng)商?經(jīng)濟、有效地交付IT應(yīng)用系統(tǒng)和服務(wù)?IT投資能獲

13、得一個合理的業(yè)務(wù)回報?抓住機遇應(yīng)對未來挑戰(zhàn)戰(zhàn)略?開發(fā)良好的應(yīng)用系統(tǒng)與運營?建立用戶伙伴關(guān)系和良好的客戶服務(wù)?提高服務(wù)水平，優(yōu)化價格結(jié)構(gòu)?控制IT費用?為IT項目賦于業(yè)務(wù)價值?提供新的業(yè)務(wù)能力?培訓(xùn)和教育IT職員，追求卓越?為研究和開發(fā)提供支持措施IT決策?提供一套穩(wěn)定的指標（如 KPI）來指導(dǎo)面向業(yè)務(wù)的IT平衡記分卡實例?是協(xié)調(diào)董事會和管理層實現(xiàn) IT 與業(yè)務(wù)融合最有效的方法；? 目標就是通過建立一種面向董事會的管理報告工具， 使利益相關(guān)者 在 IT 戰(zhàn)略目標上達成一致，以表明 IT 的有效性和增值性，同時便于組織 在 IT 績效、風(fēng)險和能力方面進行溝通。A5. 信息安全治理信息可以定義為 “

14、具有特定意義和目標的數(shù)據(jù)” 。信息在我們當今的 生活中發(fā)揮著越來越重要的作用，已成為所有組織業(yè)務(wù)活動中不可缺少的 組成部分，越來越多的公司已將信息作為其主營業(yè)務(wù)，如Google、 eBay、Microsoft 、網(wǎng)易等。當今已很難找到不接觸信息技術(shù)的企業(yè)，隨著全球網(wǎng)絡(luò)互聯(lián)時代的 到來，在企業(yè)突破其傳統(tǒng)邊界向虛擬世界不斷擴展的背景下，信息安全己 成為重要的治理問題而出現(xiàn)在我們面前。信息犯罪和惡意行為已成為越來越多的高級犯罪分子的選擇?？植?分子和其他敵對社會的人也使用 IT 技術(shù)來宣揚他們的觀點并傳播其恐怖 行為。信息安全治理具有特定的價值驅(qū)動：信息的完整性、服務(wù)的持續(xù)和 信息資產(chǎn)的保護。IT

15、安全定位于安全技術(shù)，通常由 CIO 級別的人推動；信息安全著眼于信息所涉及的風(fēng)險、收益和流程，必須由執(zhí)行管理層和董事會的支持， 信息安全治理是董事會和執(zhí)行經(jīng)理的職責(zé)。信息安全治理能帶來的收益?落實在向公眾或監(jiān)管部門提供不準確信息，在保護隱私信息（如泄露信用卡或其他敏感客戶信息）中未保持應(yīng)有的謹慎等方面，組織及其 管理者應(yīng)當承擔(dān)的公民或法律責(zé)任?提供對政策和標準的符合性保證?通過降低風(fēng)險至既定的可接受水平，減少業(yè)務(wù)運營的不確定性， 提高可預(yù)見性?為有限的安全資源的最優(yōu)化分配提供結(jié)構(gòu)和框架?為關(guān)鍵決策不基于錯誤信息提供適當水平的保證?為風(fēng)險管理、流程改善和事件快速響應(yīng)的效果與效率提供一個穩(wěn)定的基礎(chǔ)

16、?明確重大業(yè)務(wù)活動期間（如公司合并及購并、業(yè)務(wù)流程恢復(fù)、法 律回應(yīng)等）的信息保護責(zé)任有效的信息安全治理可達到如下效果：?戰(zhàn)略一致-使信息安全與業(yè)務(wù)戰(zhàn)略保持一致以支持組織目標。?風(fēng)險管理-管理和實施適當?shù)拇胧┮越档惋L(fēng)險并減少對信息資源的潛在影響至可接受水平。?價值交付-優(yōu)化安全投資以支持業(yè)務(wù)目標。?績效測評-衡量、監(jiān)督和報告信息安全流程，以確保實現(xiàn)SMART目標（確定的、可度量的、可實現(xiàn)的、相關(guān)的和符合時間要求的） 。?資源管理- 有效利用信息安全知識與基礎(chǔ)設(shè)施。?流程整合-關(guān)注組織安全管理保證流程的整合。業(yè)務(wù)流程保證的最新概念：?整合是一個把所有相關(guān)保證因素綜合在一起考慮，來確保流程能環(huán) 環(huán)相

17、扣整體運營的概念。要實現(xiàn)整合，應(yīng)當考慮以下內(nèi)容：-確定組織中的所有保證職能-與其他保證職能建立正式的銜接關(guān)系-協(xié)調(diào)所有保證職能，實現(xiàn)更加完整的安全- 明確各保證職能接合部位的角色與職責(zé)信息安全治理 是企業(yè)治理的一部分，企業(yè)治理為安全活動提供戰(zhàn)略方針并確保其目標的實現(xiàn)， 企業(yè)安全治理則確保能適當?shù)毓芾硇畔踩L(fēng)險并合理使用企業(yè)信息資源。為實現(xiàn)有效的信息安全治理，管理層必須制定和維護一個框架，以指導(dǎo)建立和管理一個支持業(yè)務(wù)目標的全面的信息安全流程。該治理框架一般由以下內(nèi)容組成：?在本質(zhì)上與業(yè)務(wù)目標相銜接的全面的安全戰(zhàn)略?對戰(zhàn)略、控制和法規(guī)進行全面落實的政策?確保規(guī)程和指南能與政策保持一致的一整套標準

18、?不存在利益沖突的一套有效的安全組織架構(gòu)?對符合性進行監(jiān)督并能反饋其效果的制度化的監(jiān)督流程組織必須在治理層面為領(lǐng)導(dǎo)者分配企業(yè)安全職責(zé)，而不是由那些缺乏權(quán)力、責(zé)任和資源的其他人員來充當并強迫其執(zhí)行。各層級的安全職責(zé)： 董事會與最高管理層?有效的信息安全治理只有通過董事會及最高管理層參與批準政策、適當?shù)谋O(jiān)督和衡量指標、報告和趨勢分析來實現(xiàn)。執(zhí)行管理層?制定有效的信息安全戰(zhàn)略、實施有效的安全治理指導(dǎo)委員會?為確保安全程序與業(yè)務(wù)目標的一致性提供持續(xù)的基礎(chǔ)，也是實現(xiàn)向有益于形成最佳安全文化的行為改變的手段。首席信息安全官?不管是專職的CISO還是由CIO CTO等角色來兼任，組織應(yīng)當在高級管理層設(shè)置首席信息安全官A6.企業(yè)架構(gòu) （EA En terprise Architecture）所謂企業(yè)架構(gòu)就是通