IT治理培訓(xùn)課件

1、-1-IT IT 治理治理 陳偉陳偉第三屆北大CIO班 -2-l企業(yè)管理模式企業(yè)管理模式一、從企業(yè)風(fēng)險(xiǎn)管理到一、從企業(yè)風(fēng)險(xiǎn)管理到IT風(fēng)險(xiǎn)控制風(fēng)險(xiǎn)控制-3-l企業(yè)管理常見風(fēng)險(xiǎn)企業(yè)管理常見風(fēng)險(xiǎn)戰(zhàn)略定位不明組織架構(gòu)紊亂業(yè)務(wù)流程松散激勵(lì)機(jī)制不足信息技術(shù)缺乏資金管理低效對(duì)企業(yè)實(shí)施風(fēng)險(xiǎn)管理對(duì)企業(yè)實(shí)施風(fēng)險(xiǎn)管理目標(biāo)：企業(yè)風(fēng)險(xiǎn)管理的目標(biāo)目標(biāo)：企業(yè)風(fēng)險(xiǎn)管理的目標(biāo)是控制企業(yè)的風(fēng)險(xiǎn)，保護(hù)企業(yè)的是控制企業(yè)的風(fēng)險(xiǎn)，保護(hù)企業(yè)的核心競(jìng)爭(zhēng)力，風(fēng)險(xiǎn)管理是未來企核心競(jìng)爭(zhēng)力，風(fēng)險(xiǎn)管理是未來企業(yè)發(fā)展的主旋律。業(yè)發(fā)展的主旋律。-4-l企業(yè)風(fēng)險(xiǎn)管理的背景企業(yè)風(fēng)險(xiǎn)管理的背景2002年美國國會(huì)發(fā)布了SOX薩班斯奧克斯利法案要求所有上市公司都必

2、須建立有效的內(nèi)部控制框架。 2004年9月30日中國銀監(jiān)會(huì)發(fā)布了商業(yè)銀行內(nèi)部控制評(píng)價(jià)辦法，2006年銀監(jiān)會(huì)發(fā)布電子銀行業(yè)務(wù)管理辦法 、電子銀行安全評(píng)估指引 、銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引和銀行業(yè)金融機(jī)構(gòu)內(nèi)部審計(jì)指引。2006年6月國資委發(fā)布中央企業(yè)全面風(fēng)險(xiǎn)管理；2006年6月5日，上海證券交易所發(fā)布了上海證券交易所上市公司內(nèi)部控制指引；2006年9月28日 深交所發(fā)布深圳證券交易所上市公司內(nèi)部控制指引 財(cái)政部近日發(fā)起成立企業(yè)內(nèi)部控制標(biāo)準(zhǔn)委員會(huì)，其目的是為推動(dòng)企業(yè)完善治理結(jié)構(gòu)和內(nèi)部約束機(jī)制，中國式的SOX法即將出臺(tái)。-5-l企業(yè)風(fēng)險(xiǎn)管理框架（企業(yè)風(fēng)險(xiǎn)管理框架（ COSO ）目標(biāo)：從各種角度

3、來考慮因素：從相聯(lián)的各種過程來考慮地點(diǎn)：在組織的各個(gè)層次考慮-6-lCOSO風(fēng)險(xiǎn)管理框架的啟發(fā)風(fēng)險(xiǎn)管理框架的啟發(fā)要站在企業(yè)管理者的角度來看待風(fēng)險(xiǎn)，企業(yè)風(fēng)險(xiǎn)是由包括IT風(fēng)險(xiǎn)在內(nèi)的其他風(fēng)險(xiǎn)組合而成。強(qiáng)調(diào)“人”的重要性，組織中的每一個(gè)人對(duì)風(fēng)險(xiǎn)管理都負(fù)有責(zé)任；強(qiáng)調(diào)“軟控制”的作用?！败浛刂啤敝饕改切儆诰駥用娴氖挛?，如高級(jí)管理階層的管理風(fēng)格、管理哲學(xué)、企業(yè)文化、內(nèi)部控制意識(shí)等，“軟控制”影響人的行為。強(qiáng)調(diào)風(fēng)險(xiǎn)管理是一個(gè)“動(dòng)態(tài)過程”，風(fēng)險(xiǎn)管理是一個(gè)發(fā)現(xiàn)問題、解決問題、發(fā)現(xiàn)新問題、解決新問題的循環(huán)往復(fù)的PDCA過程。明確指出內(nèi)部控制只能做到“合理”保證，目標(biāo)達(dá)成的可能性受許多先天條件不足及各種“不確定

4、性”的影響。 沒有不花錢的內(nèi)部控制，也不存在完美無缺的內(nèi)部控制。 -7-l企業(yè)風(fēng)險(xiǎn)管理組成結(jié)構(gòu)企業(yè)風(fēng)險(xiǎn)管理組成結(jié)構(gòu)l風(fēng)險(xiǎn)管理策略風(fēng)險(xiǎn)管理策略組織對(duì)風(fēng)險(xiǎn)的態(tài)度，對(duì)風(fēng)險(xiǎn)管理的承諾l風(fēng)險(xiǎn)控制過程風(fēng)險(xiǎn)控制過程組織具體管理風(fēng)險(xiǎn)步驟、做法及工具l風(fēng)險(xiǎn)管理基礎(chǔ)風(fēng)險(xiǎn)管理基礎(chǔ)組織內(nèi)支持風(fēng)險(xiǎn)管理的人員、組織、技術(shù)等，來協(xié)助驅(qū)動(dòng)風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)模型舉例-8-lIT風(fēng)險(xiǎn)控制是企業(yè)風(fēng)險(xiǎn)管理中的重要組成部分風(fēng)險(xiǎn)控制是企業(yè)風(fēng)險(xiǎn)管理中的重要組成部分公司層控制公司層控制應(yīng)用層控制應(yīng)用層控制基礎(chǔ)層控制基礎(chǔ)層控制IT控制層控制層COSO控制框架控制框架ISMS、ITSM、BCP、CMMI、-9-lIT面臨哪些風(fēng)險(xiǎn)與挑戰(zhàn)？面臨哪些風(fēng)險(xiǎn)與

5、挑戰(zhàn)？在信息與信息系統(tǒng)上的投資規(guī)模與成本都在不斷擴(kuò)大，高投入帶來了高風(fēng)險(xiǎn)；企業(yè)對(duì)IT系統(tǒng)的依賴性越來越強(qiáng)的同時(shí)，面臨不斷增多的系統(tǒng)薄弱性和各種各樣的威脅，IT系統(tǒng)的停機(jī)將造成業(yè)務(wù)受到巨大損失、聲譽(yù)下降、競(jìng)爭(zhēng)優(yōu)勢(shì)喪失；IT 應(yīng)用與業(yè)務(wù)需求之間邏輯錯(cuò)位，IT設(shè)施最后成了擺設(shè)，IT建設(shè)缺乏績效評(píng)估機(jī)制；IT項(xiàng)目的高失敗率，使得企業(yè)無法實(shí)現(xiàn)其預(yù)期的創(chuàng)新與利益，不能實(shí)現(xiàn)對(duì)IT的投資回報(bào)，或者不通對(duì)投資回報(bào)進(jìn)行測(cè)量； 不斷發(fā)展的科技潛力顯著地改變組織形式與商業(yè)模型，在創(chuàng)造出新的機(jī)遇并降低了成本的同時(shí)，也使得商業(yè)競(jìng)爭(zhēng)不斷加劇;ERP失敗案例交易失誤-10-l信息系統(tǒng)風(fēng)險(xiǎn)的類型信息系統(tǒng)風(fēng)險(xiǎn)的類型IT治理風(fēng)險(xiǎn)治

6、理風(fēng)險(xiǎn)信息化建設(shè)仍然屬于“人治時(shí)代”，信息化的隨意性較大，企業(yè)還沒有就信息化形成相關(guān)的制度。IT可用性風(fēng)險(xiǎn)可用性風(fēng)險(xiǎn)業(yè)務(wù)對(duì)IT不斷增強(qiáng)的依賴性和脆弱的基礎(chǔ)設(shè)施及管理流程，使得IT系統(tǒng)的停機(jī)對(duì)組織的業(yè)務(wù)造成巨大損失、聲譽(yù)下降、競(jìng)爭(zhēng)優(yōu)勢(shì)喪失。信息安全風(fēng)險(xiǎn)信息安全風(fēng)險(xiǎn)技術(shù)的發(fā)展及互聯(lián)網(wǎng)的便利性，使得信息安全形勢(shì)日益嚴(yán)峻，黑客攻擊頻繁、病毒泛濫，造成許多商業(yè)網(wǎng)站、政府網(wǎng)站被入侵，虛擬資金被盜，敏感機(jī)密信息被泄露。IT績效風(fēng)險(xiǎn)績效風(fēng)險(xiǎn)如果規(guī)劃不當(dāng)、控制不嚴(yán)，IT系統(tǒng)不能帶來預(yù)期的業(yè)務(wù)價(jià)值，巨額的信息化投入很可能造成新一輪的“投資黑洞”。合規(guī)性風(fēng)險(xiǎn)合規(guī)性風(fēng)險(xiǎn)法律、法規(guī)對(duì)IT的監(jiān)管要求越來越嚴(yán)格，不能符合合

7、規(guī)性要求將使企業(yè)面臨較大的風(fēng)險(xiǎn)。-11-l控制信息化的風(fēng)險(xiǎn)需要制度與管理創(chuàng)新控制信息化的風(fēng)險(xiǎn)需要制度與管理創(chuàng)新決定信息系統(tǒng)是否有效運(yùn)轉(zhuǎn)的決定因素不是信息技術(shù)，而是制度、組織結(jié)構(gòu)、規(guī)則與標(biāo)準(zhǔn)，最終是人。信息化需要合理有效的制度安排，建立良好的管理控制體系是企業(yè)信息系統(tǒng)建設(shè)成功的重要保證。應(yīng)該逐步完善企業(yè)的IT治理機(jī)制，實(shí)現(xiàn)IT與戰(zhàn)略、管理、業(yè)務(wù)運(yùn)營、信息安全的深度融合。這樣一方面使信息系統(tǒng)為企業(yè)創(chuàng)造價(jià)值并保護(hù)持續(xù)性，另一方面控制信息化的風(fēng)險(xiǎn)與降低成本。構(gòu)筑信息時(shí)代新的“游戲規(guī)則”，“規(guī)則”是“游戲”是重要組成部分。信息化最大的風(fēng)險(xiǎn)：控制制度-治理機(jī)制的缺失-12-l建立建立PDCA的風(fēng)險(xiǎn)控制體系

8、的風(fēng)險(xiǎn)控制體系設(shè)定風(fēng)險(xiǎn)管理流程設(shè)定風(fēng)險(xiǎn)管理流程q目的及目標(biāo)q共同語言q結(jié)構(gòu)決策資料決策資料訂立策略訂立策略q 避 免q 利 用q 接 受q轉(zhuǎn)移q減低評(píng)估風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)q驗(yàn)明q來源q量度不斷的改善不斷的改善管理能力管理能力設(shè)計(jì)或引進(jìn)設(shè)計(jì)或引進(jìn)管理能力管理能力監(jiān)察風(fēng)險(xiǎn)監(jiān)察風(fēng)險(xiǎn)管理表現(xiàn)管理表現(xiàn)用制度體系來建立風(fēng)險(xiǎn)控制框架-13-l IT IT風(fēng)險(xiǎn)的控制框架風(fēng)險(xiǎn)的控制框架戰(zhàn)略層戰(zhàn)略層IT治理治理ISMS戰(zhàn)術(shù)層戰(zhàn)術(shù)層IT治理治理-14-l你的組織是如何治理你的組織是如何治理IT的？的？各種回答各種回答-“什么是IT治理?以前沒有聽說過。它有具體的概念和定義嗎?”“是不是公司治理?它與公司治理有區(qū)別嗎?”-

9、“IT工作一直是公司戰(zhàn)略中的重點(diǎn)，具體的工作我不太清楚,分管副總知道?！?“我們公司老板舍得花錢，老板說了：只要系統(tǒng)不出事，要人給人，要錢給錢！”“公司非常重視IT,老板親自抓!技術(shù)人員地位很高,常常參與公司的高層決策?！?-“我們每年年處都制訂很好的IT計(jì)劃，按計(jì)劃執(zhí)行就行，年終再檢查?！?“技術(shù)開發(fā)，基本上都依靠外包。能搞掂就繼續(xù)合同，出問題就換一家” -“公司很少討論IT治理，系統(tǒng)只要不出事就好，出事了技術(shù)主管就麻煩大了！”二、戰(zhàn)略層的二、戰(zhàn)略層的IT治理治理反映出的問題反映出的問題（1）IT資源在公司的戰(zhàn)略資產(chǎn)中地位受到一定的重視，但是具體情況不清楚；（2）缺乏IT治理明確的概念描述和

10、參數(shù)指標(biāo)；（3）IT治理需要的明確責(zé)任與職能不清晰。 -15-lIT治理的重要作用治理的重要作用沒有良好的IT治理結(jié)構(gòu)和持之以恒的評(píng)估反饋機(jī)制，IT資源無法成為公司的有效戰(zhàn)略資產(chǎn)，甚至成為巨大的資源損耗。在采用相同戰(zhàn)略目標(biāo)的情況下，具有良好IT治理的企業(yè)，其利潤要比那些治理低下的企業(yè)高出20%。而對(duì)世界范圍內(nèi)250家企業(yè)的調(diào)查表明，只有38%的高級(jí)主管能夠精確描述他們的IT治理。引自彼得.維爾和珍妮.羅斯的IT治理研究-16-l什么什么IT治理？治理？德勤定義如下: IT 治理是一個(gè)含義廣泛的術(shù)語，包括信息系統(tǒng)、技術(shù)、通訊、商業(yè)、所有利益相關(guān)者、合法性和其他問題。其主要任務(wù)是：保持IT 與業(yè)務(wù)

11、目標(biāo)一致，推動(dòng)業(yè)務(wù)發(fā)展，促使收益最大化，合理利用IT 資源，IT 相關(guān)風(fēng)險(xiǎn)的適當(dāng)管理。ISACA定義：IT 治理是一個(gè)由關(guān)系和過程所構(gòu)成的體制，用于指導(dǎo)和控制企業(yè)，通過平衡信息技術(shù)與過程的風(fēng)險(xiǎn)、增加價(jià)值來確保實(shí)現(xiàn)企業(yè)的目標(biāo)。-17-lIT治理可以分為五個(gè)域治理可以分為五個(gè)域二個(gè)核心：一是IT要向業(yè)務(wù)提交價(jià)值，二是降低風(fēng)險(xiǎn)。前者由IT與業(yè)務(wù)的戰(zhàn)略一致性驅(qū)動(dòng)，后者由企業(yè)內(nèi)部建立的責(zé)任驅(qū)動(dòng)；這兩者都需要獲得足夠的資源并進(jìn)行績效測(cè)量，以保證獲得預(yù)期結(jié)果。 -18-lIT治理風(fēng)險(xiǎn)在戰(zhàn)略層面和戰(zhàn)術(shù)層面的表現(xiàn)治理風(fēng)險(xiǎn)在戰(zhàn)略層面和戰(zhàn)術(shù)層面的表現(xiàn)戰(zhàn)略層面 IT原則、架構(gòu)、基礎(chǔ)設(shè)施、應(yīng)用需求及IT投資的決策權(quán)歸屬

12、及責(zé)任擔(dān)當(dāng)框架的建立。戰(zhàn)術(shù)層面利用國際認(rèn)可的最佳實(shí)施規(guī)范建立IT控制框架。lIT治理成熟度治理成熟度-19-lIT治理的戰(zhàn)略層面治理的戰(zhàn)略層面在企業(yè)戰(zhàn)略層面上，要綜合公司治理結(jié)構(gòu)、企業(yè)戰(zhàn)略規(guī)劃，使IT治理作為公司治理的一部分，在治理結(jié)構(gòu)上體現(xiàn)IT的位置與作用。建立有效確定IT決策權(quán)歸屬和責(zé)任分配的框架，包括有效的治理制度安排與治理機(jī)制的設(shè)計(jì)。企業(yè)戰(zhàn)略和組織企業(yè)戰(zhàn)略和組織IT組織和期望行為關(guān)系治理安排關(guān)系治理安排實(shí)物治理安排實(shí)物治理安排人力資源治理安排人力資源治理安排知識(shí)產(chǎn)權(quán)治理安排知識(shí)產(chǎn)權(quán)治理安排財(cái)務(wù)治理安排財(cái)務(wù)治理安排IT治理安排治理安排IT治理機(jī)制IT決策業(yè)務(wù)績效目標(biāo)業(yè)務(wù)績效目標(biāo)IT度量指

13、標(biāo)和責(zé)任協(xié)調(diào)什么？如何協(xié)調(diào)？IT治理設(shè)計(jì)框架治理設(shè)計(jì)框架-20-戰(zhàn)略層面的IT治理要解決的問題： 為了保證有效地管理與使用IT，應(yīng)當(dāng)做出怎樣的決策； 誰來做出這些決策？ 如何做出決策及對(duì)決策進(jìn)行監(jiān)控？-21-（一）五種關(guān)鍵的（一）五種關(guān)鍵的IT決策決策IT原則的決策原則的決策高層關(guān)于企業(yè)如何使用IT的陳述IT架構(gòu)決策架構(gòu)決策 組織從一系列政策、關(guān)系以及技術(shù)選擇中捕獲的數(shù)據(jù)、應(yīng)用和基礎(chǔ)設(shè)施的邏輯，以達(dá)到預(yù)期的商業(yè)、技術(shù)的標(biāo)準(zhǔn)化和一體化IT基礎(chǔ)設(shè)施決策基礎(chǔ)設(shè)施決策集中協(xié)調(diào)、共享IT服務(wù)可以給企業(yè)的IT能力提供基礎(chǔ)IT投資和優(yōu)先順序決策投資和優(yōu)先順序決策 關(guān)于應(yīng)該在IT的哪些方面投資以及投資多少的決

14、策。包括項(xiàng)目的審批和論證技術(shù)業(yè)務(wù)應(yīng)用需求決策業(yè)務(wù)應(yīng)用需求決策 為購買或內(nèi)部開發(fā)IT應(yīng)用確定業(yè)務(wù)需求-22-lIT原則原則對(duì)于IT在該企業(yè)如何運(yùn)用的一系列最高陳述。IT原則一旦清晰地表述出來，就成了企業(yè)管理要素中的一部分，可以被討論、修改和引用。IT原則至少要闡述三個(gè)對(duì)IT的預(yù)期： 企業(yè)期望的運(yùn)行模式是什么？ IT如何支持期望的運(yùn)行模式？ 組織中如何資助IT？-23-lIT架構(gòu)架構(gòu)指導(dǎo)IT投資和設(shè)計(jì)決策的IT框架，是建立企業(yè)信息系統(tǒng)的綜合藍(lán)圖，是對(duì)企業(yè)不同的信息視圖進(jìn)行架構(gòu)描述的綜合。-24-lIT基礎(chǔ)設(shè)施基礎(chǔ)設(shè)施IT基礎(chǔ)設(shè)施是所有業(yè)務(wù)規(guī)劃的有效IT能力（技術(shù)和人力）的基礎(chǔ)，是共享、可靠的服務(wù)，

15、可用于多個(gè)應(yīng)用。IT基礎(chǔ)設(shè)施變化頻繁的業(yè)務(wù)應(yīng)用系統(tǒng)共享的、標(biāo)準(zhǔn)的應(yīng)用，變化較少，例如：會(huì)計(jì)系統(tǒng)、HRM、ERP等長時(shí)間保持穩(wěn)定的服務(wù)，例如共享的客戶數(shù)據(jù)加管理、PC/LAN知識(shí)、技能、政策、標(biāo)準(zhǔn)和經(jīng)驗(yàn)約束組件等人務(wù)基礎(chǔ)組織計(jì)算機(jī)、路由器、操作系統(tǒng)、數(shù)據(jù)庫軟件、信用卡機(jī)等日常設(shè)備-25-IT基礎(chǔ)設(shè)施的10個(gè)能力群-26-l業(yè)務(wù)應(yīng)用需求業(yè)務(wù)應(yīng)用需求業(yè)務(wù)需求是促進(jìn)IT發(fā)展的源動(dòng)力，準(zhǔn)確、及時(shí)地識(shí)別組織的業(yè)務(wù)需求，并使之成為信息化建設(shè)與調(diào)整的依據(jù)，這是降低IT風(fēng)險(xiǎn)的可靠保證。需求識(shí)別的困難性-27-戰(zhàn)略規(guī)劃計(jì)劃預(yù)算項(xiàng)目投資績效管理企業(yè)運(yùn)營：生產(chǎn)、管理、控制對(duì)戰(zhàn)術(shù)層的支持對(duì)戰(zhàn)略層的支持l如何增強(qiáng)企業(yè)核心

16、競(jìng)爭(zhēng)力？l如何尋找新的利潤增長點(diǎn)？l如何促進(jìn)企業(yè)成長為知識(shí)型、學(xué)習(xí)型的組織？l如何建立有效的企業(yè)風(fēng)險(xiǎn)控制機(jī)制？信息技術(shù)進(jìn)一步為業(yè)務(wù)創(chuàng)造新的價(jià)值不同層次的業(yè)務(wù)需求招商銀行的IT扛桿作用-28-lIT投資和優(yōu)先順序決策投資和優(yōu)先順序決策IT投資決策要解決的問題 IT要花多少錢？ 把錢花在什么上面？ 如何協(xié)調(diào)不同投資者的需求？IT投資決策的依據(jù) 考慮日常運(yùn)維的支撐需要和企業(yè)的發(fā)展戰(zhàn)略的推動(dòng)需要 投資合理性論證和計(jì)劃 為投資尋求支持 企業(yè)范圍內(nèi)的IT體系架構(gòu) 回顧每年的實(shí)際開銷 對(duì)預(yù)算所做修正案的審查-29-IT投資預(yù)算和項(xiàng)目優(yōu)先級(jí)排列的一般過程形成IT預(yù)算報(bào)告-30-（二）決策權(quán)分配的（二）決策權(quán)分

17、配的IT治理原型治理原型l決策的制定者：決策的制定者：按照政治治理模式選擇較接近的IT治理制度安排；成立IT 治理委員會(huì)，定期召開會(huì)議，就企業(yè)戰(zhàn)略與IT 戰(zhàn)略的互動(dòng)、IT原則、IT架構(gòu)、IT投資等等議題進(jìn)行討論并做出決策。模型模型誰擁有決策權(quán)或輸入權(quán)？誰擁有決策權(quán)或輸入權(quán)？業(yè)務(wù)君主制一群業(yè)務(wù)主管或者單個(gè)主管（CXOs）。包括高級(jí)業(yè)務(wù)主管委員會(huì)（可能包括CIO）。不包括獨(dú)立設(shè)備的IT主管。IT君主制一個(gè)或一群IT主管。封建制業(yè)務(wù)單位領(lǐng)導(dǎo)，關(guān)鍵流程負(fù)責(zé)人或其代表。聯(lián)邦制核心級(jí)主管和業(yè)務(wù)團(tuán)隊(duì)（例如，業(yè)務(wù)單位或流程）；可能也包括作為額外參與者的IT主管。相當(dāng)于中央政府和州政府的協(xié)同工作方式。IT雙寡頭

18、制IT主管和其他團(tuán)隊(duì)（如CxO或業(yè)務(wù)單位或流程負(fù)責(zé)人）。無政府制每一個(gè)單獨(dú)的使用者。-31-公司高級(jí)管理層公司高級(jí)管理層公司公司IT經(jīng)理或經(jīng)理或業(yè)務(wù)部門業(yè)務(wù)部門IT經(jīng)理經(jīng)理業(yè)務(wù)部門領(lǐng)導(dǎo)或關(guān)業(yè)務(wù)部門領(lǐng)導(dǎo)或關(guān)鍵業(yè)務(wù)流程擁有者鍵業(yè)務(wù)流程擁有者業(yè)務(wù)君主制業(yè)務(wù)君主制IT君主制君主制封建制封建制聯(lián)邦制聯(lián)邦制IT雙寡頭制雙寡頭制無政府制無政府制-32-IT雙寡頭制 是一種雙方參與的治理安排。其決策特征為：由IT主管人員和企業(yè)內(nèi)的其他團(tuán)體之間達(dá)成的一種雙邊協(xié)議。 用更加簡(jiǎn)單的管理結(jié)構(gòu)實(shí)現(xiàn)很多聯(lián)邦制模式下所能達(dá)到的目標(biāo)。 在技術(shù)含量較低的IT決策領(lǐng)域（IT原則、業(yè)務(wù)應(yīng)用需求和IT投資）很多組織更喜歡使用IT雙寡

19、頭模式進(jìn)行決策。-33-通用的治理模式 MIT Sloan School 2003年對(duì)23個(gè)國家的256家企業(yè)進(jìn)行研究后，根據(jù)統(tǒng)計(jì)分析得出一個(gè)通用的IT治理模式。決策決策原型原型IT原則原則IT架構(gòu)架構(gòu)IT基礎(chǔ)設(shè)施基礎(chǔ)設(shè)施戰(zhàn)略戰(zhàn)略業(yè)務(wù)應(yīng)用業(yè)務(wù)應(yīng)用需求需求IT投資投資輸入決策輸入決策輸入決策輸入決策輸入決策業(yè)務(wù)君主制業(yè)務(wù)君主制0270607112130IT君主制君主制118207310590809封建制封建制03001211803聯(lián)邦制聯(lián)邦制831446459681309327IT雙寡頭制雙寡頭制1536341530231727630無政府制無政府制0001010301無數(shù)據(jù)或無數(shù)據(jù)或不知道不知

20、道1201020200單位：百分比，每列相加為100%-34-l什么是什么是IT治理機(jī)制治理機(jī)制企業(yè)通過一系列的結(jié)構(gòu)、流程和溝通來實(shí)施IT治理計(jì)劃，設(shè)計(jì)周詳、容易理解和清晰的機(jī)制，促進(jìn)了期望IT行為的產(chǎn)生。常見的三類IT治理機(jī)制 決策結(jié)構(gòu)負(fù)責(zé)制定IT決策的組織單元和角色，比如委員會(huì)、 執(zhí)行團(tuán)隊(duì)和業(yè)務(wù)與IT關(guān)系經(jīng)理。 工作流程用于保證日常行為和IT政策相一致，并提供返回到?jīng)Q策的輸入信息的正式流程。包括IT投資建議和評(píng)估流程、架構(gòu)例外流程、服務(wù)水平協(xié)議、費(fèi)用分?jǐn)偤椭笜?biāo)。 溝通方法傳播IT治理原則、政策和IT決策制定流程結(jié)果的公告、建議、渠道和培訓(xùn)努力等。（三）實(shí)施（三）實(shí)施IT治理的機(jī)制治理的機(jī)制

21、-35-l決策結(jié)構(gòu)決策結(jié)構(gòu)業(yè)務(wù)君主制的決策結(jié)構(gòu) 通常以執(zhí)行委員會(huì)的形式出現(xiàn)，一般有： CEO與一個(gè)小型高層執(zhí)行者團(tuán)隊(duì)合作，保證IT與公司目標(biāo)一致。 高層管理團(tuán)隊(duì)中的一個(gè)小組專門負(fù)責(zé)IT問題。 把CIO作為執(zhí)行團(tuán)隊(duì)的一員，可以強(qiáng)化業(yè)務(wù)君主制理解IT在業(yè)務(wù)戰(zhàn)略上所起作用的能力，也強(qiáng)化執(zhí)行團(tuán)隊(duì)的IT治理能力。-36-聯(lián)邦制的決策結(jié)構(gòu) 如果一個(gè)高級(jí)執(zhí)行團(tuán)隊(duì)從各個(gè)業(yè)務(wù)吸收人員，則他們采用的是聯(lián)邦制的決策結(jié)構(gòu)。 聯(lián)邦制可以平衡企業(yè)和業(yè)務(wù)部門的優(yōu)先權(quán)，可以為IT治理決策提供有價(jià)值的輸入。 大多數(shù)聯(lián)邦制的IT組織設(shè)計(jì)的核心就是對(duì)數(shù)據(jù)和IT基礎(chǔ)設(shè)施共享的要求。-37-IT君主制的決策結(jié)構(gòu) IT領(lǐng)導(dǎo)團(tuán)隊(duì) 可以由I

22、T職能領(lǐng)導(dǎo)（運(yùn)營、架構(gòu)、應(yīng)用等）和業(yè)務(wù)部門的CIO組成，通常負(fù)責(zé)制定基礎(chǔ)設(shè)施和架構(gòu)的決策。 要解決業(yè)務(wù)部門由于規(guī)模不同而帶來能力不同，所造成需求不同的問題，IT領(lǐng)導(dǎo)團(tuán)隊(duì)的選擇權(quán)可能也不一樣。 超過85%的企業(yè)擁有正式的IT領(lǐng)導(dǎo)團(tuán)隊(duì)。擁有IT領(lǐng)導(dǎo)團(tuán)隊(duì)的企業(yè)具有更高的治理績效。 架構(gòu)委員會(huì) 由技術(shù)專家組成，負(fù)責(zé)制訂標(biāo)準(zhǔn)，在某些情況下可批準(zhǔn)例外項(xiàng)目。在大多數(shù)情況下，架構(gòu)委員會(huì)的角色是對(duì)IT領(lǐng)導(dǎo)團(tuán)隊(duì)提供架構(gòu)建議，但有時(shí)也可成為治理決策主體。 架構(gòu)委員會(huì)與業(yè)務(wù)部門經(jīng)營者緊密協(xié)作時(shí)，它不僅能有效地引進(jìn)技術(shù)標(biāo)準(zhǔn)，還能預(yù)測(cè)對(duì)于有價(jià)值的新技術(shù)的需求。-38-雙寡頭制的決策結(jié)構(gòu) 決策團(tuán)隊(duì)如IT理事會(huì)同時(shí)包含IT人

23、員和業(yè)務(wù)人員，把兩者融合起來，能夠在重要決策中把業(yè)務(wù)戰(zhàn)略和IT聯(lián)合起來。 70%的企業(yè)擁有包含業(yè)務(wù)成員和IT成員的IT理事會(huì)，85%的企業(yè)擁有包含IT成員的流程團(tuán)隊(duì)，85%的企業(yè)擁有IT和業(yè)務(wù)關(guān)系經(jīng)理。 雙寡頭制的核心是找出既代表業(yè)務(wù)，又代表IT部門的高級(jí)領(lǐng)導(dǎo)組合，使他們能夠在認(rèn)識(shí)到每個(gè)業(yè)務(wù)部門需求的同時(shí)，支持整個(gè)企業(yè)IT項(xiàng)目實(shí)施。-39-l治理工作流程治理工作流程保證對(duì)IT進(jìn)行有效管理和使IT應(yīng)用得以推廣的IT管理技術(shù)。治理工作流程應(yīng)當(dāng)能使委員會(huì)的每個(gè)人都向治理決策提供輸入，又能將他們的IT決策結(jié)果發(fā)布出去。治理工作流程包括以下6個(gè)流程： IT投資批準(zhǔn)流程 架構(gòu)例外流程 服務(wù)水平協(xié)議 費(fèi)用分

24、攤機(jī)制 項(xiàng)目追蹤 業(yè)務(wù)價(jià)值的正式追蹤-40-l溝通方法溝通方法闡明有關(guān)IT治理決策和流程以及整個(gè)企業(yè)范圍內(nèi)的相關(guān)期望行為。管理層越是對(duì)現(xiàn)有的IT治理機(jī)制、工作方式、預(yù)期的效果進(jìn)行正式地溝通，他們的治理就越有效。溝通方式有以下5種： 高級(jí)管理層的公告 正式的委員會(huì) CIO或IT治理辦公室 與不守常規(guī)者的共事 基于網(wǎng)絡(luò)的門戶-41-l影響力高且具有挑戰(zhàn)性的機(jī)制影響力高且具有挑戰(zhàn)性的機(jī)制-42-l建立有效建立有效IT治理機(jī)制的原則治理機(jī)制的原則從三種類型中選擇適用的治理機(jī)制；限制決策制定結(jié)構(gòu)需要決策結(jié)構(gòu)中各類人員的交叉在企業(yè)的多個(gè)層面上設(shè)置相應(yīng)的機(jī)制明確責(zé)任-43-l對(duì)對(duì)IT治理績效的評(píng)估治理績效的

25、評(píng)估組織IT治理安排鼓勵(lì)期望行為的程度和組織最終達(dá)到績效目標(biāo)的程度。評(píng)估治理績效時(shí)要評(píng)估五個(gè)因素，利用下表進(jìn)行對(duì)照比較。 （四）對(duì)（四）對(duì)IT治理的評(píng)估治理的評(píng)估-44-l一流治理績效企業(yè)的七個(gè)特征一流治理績效企業(yè)的七個(gè)特征更多領(lǐng)導(dǎo)層的管理者們可以描述IT治理更多地利用五種溝通機(jī)制高層管理者更直接地參與IT治理IT投資具有更加清晰的業(yè)務(wù)目標(biāo)更多差異化的業(yè)務(wù)戰(zhàn)略較少的非授權(quán)例外和較多的得到正式批準(zhǔn)的例外治理變更的次數(shù)逐年減少-45-l什么樣的治理安排最有效什么樣的治理安排最有效不同治理安排下，“最好”和“最差”的治理績效-46-誰做出更好的決策？-47-最成功的三種IT決策模式-48-l案例研究

26、案例研究Delta航空公司的IT決策國內(nèi)證券公司的IT治理模式道富公司的IT治理設(shè)計(jì)-49-lIT治理的實(shí)施框架治理的實(shí)施框架為了實(shí)施有效的IT治理，除了在戰(zhàn)略層建立決策權(quán)歸屬和職責(zé)擔(dān)當(dāng)?shù)目蚣芡?，還要對(duì)企業(yè)的戰(zhàn)術(shù)運(yùn)行層制定一套適用的IT控制框架，以確保IT支持業(yè)務(wù)目標(biāo)，確保資源得到了可靠的使用、風(fēng)險(xiǎn)受到了合理的管理。三、戰(zhàn)術(shù)層的三、戰(zhàn)術(shù)層的IT治理治理-50-lCOBIT是什么？是什么？ISACA制定的COBIT(Control Objectives for Information and related Technology)是一個(gè)在國際上公認(rèn)的、先進(jìn)的和權(quán)威的安全與信息技術(shù)管理和控制標(biāo)準(zhǔn)，

27、它在商業(yè)風(fēng)險(xiǎn)、控制需要和技術(shù)問題之間架起了一座橋梁，以滿足管理的多方面需要。（一）（一）IT治理工具治理工具COBIT-51-lCOBIT基本的準(zhǔn)則基本的準(zhǔn)則國際上通用的、得到普遍認(rèn)可的IT控制最佳實(shí)務(wù)標(biāo)準(zhǔn)，是實(shí)施IT治理的重要基礎(chǔ)；適用企業(yè)建立全局信息系統(tǒng)時(shí)參照使用，與具體的技術(shù)無關(guān)；從業(yè)務(wù)對(duì)信息的需求出發(fā)，面向企業(yè)管理層和業(yè)務(wù)過程的所有者；-52-lCOBIT的背景的背景第一版由信息系統(tǒng)審計(jì)與控制基金會(huì)（ISACF）于1996年發(fā)布。第二版于1998年出版，修訂了高層控制目標(biāo)與詳細(xì)控制目標(biāo)，增加了實(shí)施工具集（Implementation Tool Set）信息系統(tǒng)審計(jì)與控制基金會(huì)（ISAC

28、A）及其相關(guān)的基金會(huì)在1998年創(chuàng)立 IT治理研究院(ITGI)，由ITGI制定并發(fā)布了COBIT第三版，加入了管理指南，以及擴(kuò)展和加強(qiáng)了對(duì)IT治理的關(guān)注；COBIT基于ISACF的建立的IT控制目標(biāo)，參照了其他控制框架、行業(yè)標(biāo)準(zhǔn)； ITGI于2005年底發(fā)布了COBIT第四版，這一版對(duì)IT某些過程進(jìn)行了調(diào)整，強(qiáng)調(diào)了IT控制與IT治理五個(gè)領(lǐng)域的對(duì)應(yīng)關(guān)系-53-lCOBIT的目標(biāo)使用者的目標(biāo)使用者管理層-幫助他們?cè)诓豢深A(yù)知的IT環(huán)境中平衡風(fēng)險(xiǎn)和控制之間的矛盾(采用控制措施需要投入資金)。用戶-對(duì)內(nèi)部或第三方提供的IT服務(wù)，獲得在安全與控制方面的保證。審計(jì)師-證實(shí)他們的觀點(diǎn)，在內(nèi)部控制問題上為管理

29、層提出建議。-54-lCOBIT能給組織帶來的利益能給組織帶來的利益有助于大幅提高組織對(duì)IT治理的接受程度，減少實(shí)施IT治理所需的時(shí)間；對(duì)IT審計(jì)方法與審計(jì)方案標(biāo)準(zhǔn)化，為正式的IT審計(jì)與檢查提供指南，為識(shí)別所有的主要風(fēng)險(xiǎn)區(qū)域提供可靠的參考；IT運(yùn)行管理人員通過COBIT可以了解審計(jì)師的關(guān)注點(diǎn)，有助于利用審計(jì)結(jié)果作為實(shí)施改善行動(dòng)的機(jī)會(huì)；是實(shí)現(xiàn)IT治理目標(biāo)的驅(qū)動(dòng)力，可以幫助組織完善IT實(shí)務(wù)和IT過程；為組織提供了一個(gè)經(jīng)濟(jì)的、可持續(xù)完善的控制框架，提供一個(gè)有價(jià)值的參照基準(zhǔn)，使得管理層對(duì)控制的決策可以基于一個(gè)可信的來源；有助于在業(yè)務(wù)與IT之間搭起溝通的橋梁，完善業(yè)務(wù)人員與IT管理人員的關(guān)系-55-lC

30、OBIT產(chǎn)品簇產(chǎn)品簇COBIT框架控制目標(biāo)控制實(shí)務(wù)審計(jì)指南實(shí)施指南管理指南IT治理總論P(yáng)racticesResponsibilitiesExecutives & BoardsExecutives & BoardsPracticesResponsibilitiesExecutives & BoardsExecutives & BoardsPracticesResponsibilitiesExecutives & BoardsExecutives & Boards治理實(shí)務(wù)治理實(shí)務(wù)職責(zé)職責(zé)董事會(huì)與執(zhí)行管理層董事會(huì)與執(zhí)行管理層Business and T

31、echnology ManagementBusiness and Technology Managementw wPerformance measuresPerformance measuresw wCritical success factorsCritical success factorsw wMaturity modelsMaturity modelsBusiness and Technology ManagementBusiness and Technology Managementw wPerformance measuresPerformance measuresw wCriti

32、cal success factorsCritical success factorsw wMaturity modelsMaturity modelsBusiness and Technology ManagementBusiness and Technology Managementw wPerformance measuresPerformance measuresw wCritical success factorsCritical success factorsw wMaturity modelsMaturity models業(yè)務(wù)與技術(shù)管理層業(yè)務(wù)與技術(shù)管理層w w績效測(cè)量績效測(cè)量w

33、w關(guān)鍵成功因素關(guān)鍵成功因素w w成熟度模型成熟度模型Audit, control and security professional Audit, control and security professional What is the ITWhat is the ITControl Framework ?Control Framework ?How to assess the ITHow to assess the ITControl Framework ?Control Framework ?How to introduce itHow to introduce itin the ent

34、erprise ?in the enterprise ?Audit, control and security professional Audit, control and security professional What is the ITWhat is the ITControl Framework ?Control Framework ?How to assess the ITHow to assess the ITControl Framework ?Control Framework ?How to introduce itHow to introduce itin the e

35、nterprise ?in the enterprise ?Audit, control and security professional Audit, control and security professional What is the ITWhat is the ITControl Framework ?Control Framework ?How to assess the ITHow to assess the ITControl Framework ?Control Framework ?How to introduce itHow to introduce itin the

36、 enterprise ?in the enterprise ?審計(jì)、控制和安全從業(yè)人員審計(jì)、控制和安全從業(yè)人員如何制定如何制定IT控控制框架制框架 ?如何評(píng)估如何評(píng)估IT控控制框架制框架 ?如何在組織中建如何在組織中建立立IT控制框架控制框架 ?-56-lCOBIT原理原理COBIT框架的出發(fā)點(diǎn) 要實(shí)現(xiàn)對(duì)IT的控制，就要考慮支持業(yè)務(wù)目標(biāo)或業(yè)務(wù)需求的信息，考慮運(yùn)用IT相關(guān)資源后得到的信息，對(duì)IT資源要通過恰當(dāng)?shù)腎T過程來進(jìn)行管理。-57-COBIT如何滿足業(yè)務(wù)要求機(jī)密性完整性可用性有效性(效能)經(jīng)濟(jì)性(效率)機(jī)密性完整性可用性合規(guī)性可靠性(信息)質(zhì)量成本交付運(yùn)行的有效性和經(jīng)濟(jì)性信息的可靠性與法

37、律、法規(guī)的符合性質(zhì)量需求信譽(yù)需求安全需求-58-COBIT信息標(biāo)準(zhǔn)的定義 有效性處理與業(yè)務(wù)過程相關(guān)的信息，并以及時(shí)、正確、一致和可用的方式交付。 經(jīng)濟(jì)性以最優(yōu)化資源使用的方式（最具生產(chǎn)力的和經(jīng)濟(jì)的方式）來提供信息。 機(jī)密性保護(hù)敏感信息不被非授權(quán)泄露。 完整性與信息的準(zhǔn)確性和完全性相關(guān)，同時(shí)也與符合業(yè)務(wù)價(jià)值和業(yè)務(wù)預(yù)期的正確性有關(guān)。 可用性在無論是在當(dāng)前還是將來，業(yè)務(wù)過程所需要的信息要隨時(shí)可用，同時(shí)還關(guān)系到對(duì)必要資源和相關(guān)能力的保護(hù)。 符合性處理與業(yè)務(wù)流程相關(guān)的法規(guī)、法律及合同的符合性問題，即遵循外部強(qiáng)加的各種業(yè)務(wù)標(biāo)準(zhǔn)。 信息可靠性為管理層運(yùn)行業(yè)務(wù)實(shí)體、行使其財(cái)務(wù)和符合性報(bào)告的職責(zé)而提供合適的信息

38、。-59-COBIT中識(shí)別的IT資源定義如下： 數(shù)據(jù)是指廣義形式的（即組織內(nèi)部與外部）、結(jié)構(gòu)化的和非結(jié)構(gòu)化的、圖形的、聲音的數(shù)據(jù)對(duì)象。 應(yīng)用系統(tǒng)可以理解為人工程序和計(jì)算機(jī)程序的總和。 技術(shù)涵蓋硬件、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、網(wǎng)絡(luò)、多媒體等。 設(shè)備指所有用來存放和支持信息系統(tǒng)的資源。 人員員工在計(jì)劃、組織、采購、交付、支持和監(jiān)控信息系統(tǒng)和服務(wù)時(shí)，所應(yīng)具備的技能、意識(shí)和生產(chǎn)力。-60-COBIT框架結(jié)構(gòu) COBIT由IT的域、過程、活動(dòng)三級(jí)自然組合而成，這與組織結(jié)構(gòu)的責(zé)任域相適應(yīng)，通常也與可以應(yīng)用到IT過程的管理周期或生命周期相一致 IT系統(tǒng)IT域IT過程IT 控制目標(biāo)關(guān)鍵成功因素結(jié)果測(cè)量關(guān)鍵績效

39、指標(biāo)成熟度模型IT 控制實(shí)踐-61-COBIT框架三維表示 可以用以下三個(gè)標(biāo)準(zhǔn)維組成：1、信息標(biāo)準(zhǔn)，2、IT 資源，3、IT 過程。這三個(gè)維度在COBIT立方塊中可表示成下圖： -62-COBIT的四個(gè)域 計(jì)劃和組織這個(gè)域涵蓋了戰(zhàn)略和戰(zhàn)術(shù)，其目的是要識(shí)別出能使IT為實(shí)現(xiàn)業(yè)務(wù)目標(biāo)作出最大的貢獻(xiàn)的方法。為實(shí)現(xiàn)戰(zhàn)略設(shè)想，需要從不同的角度去計(jì)劃、溝通和管理。此外，還應(yīng)當(dāng)建立合理的組織與技術(shù)基礎(chǔ)設(shè)施。 獲取與實(shí)施為實(shí)現(xiàn)IT戰(zhàn)略，需要識(shí)別、開發(fā)或采購IT解決方案，并把它們集成到業(yè)務(wù)過程中去。另外，此域還涵蓋到了對(duì)現(xiàn)有系統(tǒng)的更新與維護(hù)，以確保這些系統(tǒng)生命周期的持續(xù)性。 交付與支持該域關(guān)注的是所要求服務(wù)的實(shí)際

40、交付，它的范圍可以從傳統(tǒng)的安全和可持續(xù)性運(yùn)行一直到培訓(xùn)的各個(gè)方面。為了提供服務(wù)，必須建立必要的支持過程。(該域包含應(yīng)用系統(tǒng)對(duì)數(shù)據(jù)的實(shí)際處理，通常按應(yīng)用控制分類。) 監(jiān)控與評(píng)價(jià)要對(duì)所有IT過程的質(zhì)量以及與控制需求的符合性進(jìn)行周期性的評(píng)估。該域使管理者可以監(jiān)督組織的控制過程和由內(nèi)部和外部審計(jì)所作的獨(dú)立保證。-63-控制程度的選擇COBIT總體結(jié)構(gòu)圖 主要的（Primary，簡(jiǎn)寫為P）在這個(gè)程度上，定義的控制目標(biāo)直接影響相關(guān)信息標(biāo)準(zhǔn)。 次要的（Secondary, 簡(jiǎn)寫為S）在這個(gè)程度上，定義的控制目標(biāo)只是在較小范圍或以間接方式滿足相關(guān)的信息標(biāo)準(zhǔn)。 空白(Blank)可能適用；但由該過程的其他標(biāo)準(zhǔn)或

41、由其他過程來滿足此需求更合適。-64-COBIT監(jiān)控監(jiān)控信息信息IT資源資源計(jì)劃與組織計(jì)劃與組織獲取與實(shí)施獲取與實(shí)施交付與支持交付與支持業(yè)務(wù)目標(biāo)業(yè)務(wù)目標(biāo)IT治理治理有效性有效性 經(jīng)濟(jì)性、經(jīng)濟(jì)性、機(jī)密性、完整性、機(jī)密性、完整性、可用性、可靠性、可用性、可靠性、合規(guī)性合規(guī)性人員、應(yīng)用系統(tǒng)、人員、應(yīng)用系統(tǒng)、技術(shù)、設(shè)施、數(shù)據(jù)、技術(shù)、設(shè)施、數(shù)據(jù)、過程監(jiān)控過程監(jiān)控評(píng)價(jià)內(nèi)部控制適當(dāng)性評(píng)價(jià)內(nèi)部控制適當(dāng)性獲取獨(dú)立保證獲取獨(dú)立保證提供獨(dú)立審計(jì)提供獨(dú)立審計(jì)定義并管理服務(wù)水平定義并管理服務(wù)水平管理第三方服務(wù)管理第三方服務(wù)管理性能與容量管理性能與容量確保服務(wù)的連續(xù)性確保服務(wù)的連續(xù)性確保系統(tǒng)安全確保系統(tǒng)安全確定并分配成本

42、確定并分配成本教育與培訓(xùn)用戶教育與培訓(xùn)用戶服務(wù)臺(tái)及事故管理服務(wù)臺(tái)及事故管理配置管理配置管理問題管理問題管理數(shù)據(jù)管理數(shù)據(jù)管理物理環(huán)境管理物理環(huán)境管理運(yùn)行管理運(yùn)行管理定義定義IT戰(zhàn)略計(jì)劃戰(zhàn)略計(jì)劃定義信息體系結(jié)構(gòu)定義信息體系結(jié)構(gòu)確定技術(shù)方向確定技術(shù)方向定義定義IT過程、組織與關(guān)系過程、組織與關(guān)系管理管理IT投資投資傳達(dá)管理目標(biāo)與方向傳達(dá)管理目標(biāo)與方向人力資源管理人力資源管理質(zhì)量管理質(zhì)量管理風(fēng)險(xiǎn)與管理風(fēng)險(xiǎn)與管理IT評(píng)估評(píng)估項(xiàng)目管理項(xiàng)目管理確定確定IT解決方案解決方案獲取與維護(hù)應(yīng)用軟件獲取與維護(hù)應(yīng)用軟件獲取與維護(hù)技術(shù)基礎(chǔ)設(shè)施獲取與維護(hù)技術(shù)基礎(chǔ)設(shè)施投入運(yùn)行與使用投入運(yùn)行與使用采購采購IT資源資源變更管理變

43、更管理系統(tǒng)安裝與鑒定系統(tǒng)安裝與鑒定COBIT總體結(jié)構(gòu)圖-65-lCOBIT域與過程簡(jiǎn)介域與過程簡(jiǎn)介規(guī)劃與組織 【描述】 這個(gè)域包括戰(zhàn)略和戰(zhàn)術(shù)兩個(gè)層面，重點(diǎn)是要關(guān)注IT如何更好地為實(shí)現(xiàn)業(yè)務(wù)目標(biāo)作出最大貢獻(xiàn)；對(duì)戰(zhàn)略愿景的實(shí)現(xiàn)要從不同的角度進(jìn)行規(guī)劃、溝通和管理；要建立良好的組織架構(gòu)和技術(shù)基礎(chǔ)設(shè)施。 【主題】 戰(zhàn)略和戰(zhàn)術(shù) 遠(yuǎn)景規(guī)劃 組織及其基礎(chǔ)設(shè)施 【問題】 IT戰(zhàn)略與業(yè)務(wù)戰(zhàn)略相一致嗎? 組織的資源是否被優(yōu)化使用? 組織中的每個(gè)人理解IT目標(biāo)嗎? IT風(fēng)險(xiǎn)是否已被識(shí)別并有效管理? IT系統(tǒng)的質(zhì)量滿足業(yè)務(wù)的需求嗎?-66- 【控制目標(biāo)】 PO1制定IT戰(zhàn)略規(guī)劃 PO2確定信息體系架構(gòu) PO3確定技術(shù)方向

44、 PO4定義IT組織與相互關(guān)系 PO5管理IT投資 PO6管理目標(biāo)與方向的溝通協(xié)調(diào) PO7人力資源管理 PO8確保符合外部要求 PO9風(fēng)險(xiǎn)評(píng)估 PO10項(xiàng)目管理 PO11質(zhì)量管理-67-獲取與實(shí)施 【描述】 為實(shí)現(xiàn)IT戰(zhàn)略，應(yīng)當(dāng)識(shí)別、開發(fā)（或獲?。┖蛯?shí)施IT解決方案，并使IT系統(tǒng)業(yè)務(wù)流程進(jìn)行融合。另外，這個(gè)域還包括對(duì)已有系統(tǒng)的變更與維護(hù)，以確保系統(tǒng)生命周期活動(dòng)能持續(xù)進(jìn)行。 【主題】 IT解決方案 變更與維護(hù) 【問題】 新項(xiàng)目能否提供業(yè)務(wù)所需的解決方案? 新的項(xiàng)目能否按時(shí)交付，且費(fèi)用控制在成本之內(nèi)? 當(dāng)實(shí)施完畢時(shí)，新系統(tǒng)是否正常工作? 變更是否影響了正常的業(yè)務(wù)運(yùn)行? 【控制目標(biāo)】 AI1確定IT

45、解決方案 AI2獲取并維護(hù)應(yīng)用軟件 AI3獲取并維護(hù)技術(shù)基礎(chǔ)設(shè)施 AI4IT程序的開發(fā)與維護(hù) AI5系統(tǒng)的安裝與驗(yàn)收 AI6變更管理-68-運(yùn)行與支持 【描述】 這個(gè)域重點(diǎn)關(guān)注所需服務(wù)的實(shí)際交付(從傳統(tǒng)的安全及持續(xù)性方面的運(yùn)行到各種培訓(xùn)) 。為了保證提供服務(wù)，必須建立必要的支持流程。另外，這個(gè)域還包括應(yīng)用系統(tǒng)對(duì)實(shí)際數(shù)據(jù)的處理過程，應(yīng)用系統(tǒng)中對(duì)數(shù)據(jù)一般是按敏感性進(jìn)行分級(jí)的。 【主題】 提供所需服務(wù) 建立服務(wù)支持流程 應(yīng)用系統(tǒng)的處理過程 【問題】 交付的IT服務(wù)是否與業(yè)務(wù)優(yōu)先順序相一致? IT成本是否被優(yōu)化? 員工是否能安全有效地使用IT系統(tǒng)? IT系統(tǒng)是否具有充分的安全性、完整性和可用性?-69

46、- 【控制目標(biāo)】 DS1定義并管理服務(wù)水平 DS2管理第三方服務(wù) DS3績效管理與容量管理 DS4確保持續(xù)性服務(wù) DS5確保系統(tǒng)安全 DS6確認(rèn)與分配成本 DS7教育并培訓(xùn)客戶 DS8為客戶提供幫助和建議 DS9配置管理 DS10 問題管理與緊急事件管理 DS11數(shù)據(jù)管理 DS12設(shè)施管理 DS13運(yùn)營管理-70-監(jiān)控與評(píng)價(jià) 【描述】 為了保證系統(tǒng)的質(zhì)量并滿足控制需求，所有的流程應(yīng)被定期評(píng)估。這個(gè)域要求管理人員對(duì)控制過程進(jìn)行監(jiān)督，并通過獨(dú)立的內(nèi)外部審計(jì)或其他方式對(duì)控制過程完備性提供保證。 【主題】 周期性評(píng)估，提供相關(guān)保證； 對(duì)控制系統(tǒng)的管理監(jiān)督 績效測(cè)量 【問題】 IT的績效如何被度量及如何

47、盡早發(fā)現(xiàn)存在的問題? 是否需要獨(dú)立的保證以確保關(guān)鍵區(qū)域按既定目標(biāo)運(yùn)行? 【控制目標(biāo)】 M1流程監(jiān)控 M2評(píng)價(jià)內(nèi)部控制的適當(dāng)性 M3獲得獨(dú)立保證 M4提供獨(dú)立的審計(jì)-71-lCOBIT過程及屬性列表過程及屬性列表-72-PO1 PO1 制定制定ITIT戰(zhàn)略規(guī)劃戰(zhàn)略規(guī)劃PO3 確定技術(shù)方向 PO5 管理IT投資 PO9 PO9 風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估 PO10 PO10 項(xiàng)目管理項(xiàng)目管理 AI1確定解決方案 AI2 獲取并維護(hù)應(yīng)用軟件 AI5 系統(tǒng)安裝與驗(yàn)收 AI6 AI6 變更管理變更管理 DS1 定義并管理服務(wù)水平 DS4 確保持續(xù)性服務(wù) DS5 DS5 確保系統(tǒng)安全確保系統(tǒng)安全 DS10 問題管理

48、與緊急事件管理 DS11 DS11 數(shù)據(jù)管理數(shù)據(jù)管理 M1 M1 過程監(jiān)控過程監(jiān)控 3415 7 哪些IT過程更重要？ 通過調(diào)查表明，以下這些過程比較重要：-73-lCOBIT控制框架控制框架定義 COBIT控制框架為企業(yè)過程擁有者提供了一個(gè)促進(jìn)其履行職責(zé)的工具，提供信息化控制指導(dǎo)；它指出這些IT過程影響到哪些信息標(biāo)準(zhǔn)，涉及到哪些IT資源，從而把IT過程、IT資源和信息連接到企業(yè)戰(zhàn)略和目標(biāo)上去。ITIT過程過程的控制業(yè)務(wù)需求業(yè)務(wù)需求以滿足控制描述控制描述通過實(shí)現(xiàn)控制實(shí)踐控制實(shí)踐要考慮-74-導(dǎo)航標(biāo)志 為便于有效地使用具有不同優(yōu)勢(shì)點(diǎn)的控制目標(biāo)，提供了一些導(dǎo)航標(biāo)志作為高層控制目標(biāo)的組成部分，COB

49、IT 三維框架中的（過程、IT 資源和信息標(biāo)準(zhǔn)）中的每一維，都提供了一個(gè)導(dǎo)航指示標(biāo)志。-75-框架示例-76-lCOBIT控制目標(biāo)控制目標(biāo) COBIT提供了34個(gè)高層控制目標(biāo)，每一個(gè)目標(biāo)對(duì)應(yīng)著一個(gè)IT過程；控制目標(biāo)下，又定義了318個(gè)具體的控制子目標(biāo)；-77-每個(gè)子目標(biāo)從價(jià)值交付和風(fēng)險(xiǎn)管理的角度，再將子控制目標(biāo)細(xì)化成可執(zhí)行的控制實(shí)務(wù)(Control Practice)，并為實(shí)施執(zhí)行提供業(yè)務(wù)指導(dǎo)。示例：PO1制定IT戰(zhàn)略計(jì)劃1.1 IT作為組織計(jì)劃的一部分1.2 IT的長期計(jì)劃1.3 IT長期計(jì)劃方法和結(jié)構(gòu)1.4 IT長期計(jì)劃的變更1.5 IT項(xiàng)目的短期計(jì)劃1.6 IT對(duì)計(jì)劃的宣傳與貫徹1.7

50、對(duì)IT計(jì)劃的監(jiān)控和評(píng)價(jià)1.8 對(duì)現(xiàn)存系統(tǒng)的評(píng)估 示例：示例：1.7 1.7 引入控制的原因引入控制的原因確認(rèn)IT長期計(jì)劃與短期計(jì)劃與組織的使命及業(yè)務(wù)目標(biāo)保持一致，并能為業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)作出貢獻(xiàn)。對(duì)影響組織長期計(jì)劃的所有潛在事件進(jìn)行評(píng)價(jià)，并及時(shí)對(duì)IT長期和短期計(jì)劃進(jìn)行調(diào)整，以適當(dāng)變化的要求。識(shí)別長期計(jì)劃與短期計(jì)劃制定與執(zhí)行過程中的偏離現(xiàn)象，以促進(jìn)管理層采取恰當(dāng)?shù)募m正行動(dòng)。在必要時(shí)，對(duì)于制定長期計(jì)劃與短期計(jì)劃所基于的假設(shè)條件進(jìn)行驗(yàn)證和變更示例：示例： 1.7 1.7 控制實(shí)踐控制實(shí)踐建立正式的監(jiān)控過程，階段性地對(duì)IT計(jì)劃的反饋信息進(jìn)行收集、記錄、排序和溝通工作，此外還需要來自IT、組織管理層和關(guān)鍵利

51、益相關(guān)者的信息輸入，然后進(jìn)行評(píng)審工作，評(píng)審的內(nèi)容包括：短期計(jì)劃目標(biāo)的實(shí)現(xiàn)、與計(jì)劃相關(guān)的對(duì)業(yè)務(wù)風(fēng)險(xiǎn)的管理，對(duì)業(yè)務(wù)過程可衡量的改善（成本、效率）和IT投資所交付的價(jià)值?；谠u(píng)審結(jié)果建立正式的評(píng)估過程，針對(duì)所提議的IT計(jì)劃的修改內(nèi)容進(jìn)行評(píng)估，并達(dá)成一致意見。建立有效機(jī)制，把對(duì)業(yè)務(wù)過程的改進(jìn)點(diǎn)及時(shí)反映到IT計(jì)劃變更過程中來。示例：示例：1.7 1.7 控制的屬性控制的屬性-78-l定義：定義：COBIT管理指南(Management Guidelines)是一種通用的、面向行動(dòng)的指南；用于回答下述類型的管理問題： 我們?cè)摽刂艻T到什么程度，成本和收益是否相符? 有沒有一個(gè)測(cè)量標(biāo)準(zhǔn)用于判斷何時(shí)肯定會(huì)出現(xiàn)

52、失敗? 怎樣才算是好的性能? 關(guān)鍵成功因素是什么? 哪些是影響我們實(shí)現(xiàn)組織目標(biāo)的風(fēng)險(xiǎn)，其他的組織在做什么?我們應(yīng)該怎樣進(jìn)行測(cè)量與比較?搭建了貫通業(yè)務(wù)風(fēng)險(xiǎn)、控制需要和技術(shù)問題這三者之間的橋梁 利益風(fēng)險(xiǎn)（二）（二）COBIT管理指南管理指南-79-l管理指南的組成要素管理指南的組成要素針對(duì)COBIT中的每一個(gè)IT過程，管理指南提供了以下內(nèi)容： 對(duì)此過程的定義及對(duì)此過程目標(biāo)的描述; 此過程如何實(shí)現(xiàn)對(duì)業(yè)務(wù)加速器功能的描述（如何保持對(duì)IT過程的控制，以確定是否達(dá)成業(yè)務(wù)目標(biāo)）; 與此過程相關(guān)的IT資源和信息標(biāo)準(zhǔn); 關(guān)鍵成功因素（CSF）、關(guān)鍵目標(biāo)指標(biāo)（KGI）、關(guān)鍵績效指標(biāo)（KPI）、IT過程成熟度模型（

53、CMM）通過CMM、CSF 、 KGI、KPI四個(gè)方面的有機(jī)作用，使企業(yè)中的信息資源得到有效的管理。-80- Control Statements Control Practicesis enabled by and considers IT ProcessesThe control of Business Requirementswhich satisfy 過程描述過程描述p pe eo op pl le ea ap pp pl li ic ca at ti io on ns st te ec ch hn no ol lo og gy yf fa ac ci il li it ti ie e

54、s sd da at ta a關(guān)鍵成功因素關(guān)鍵成功因素(CSFs)h h h h h h 關(guān)鍵目標(biāo)指標(biāo)關(guān)鍵目標(biāo)指標(biāo)KGIsh h h 關(guān)鍵績效指標(biāo)關(guān)鍵績效指標(biāo)KPIsh h h 信息標(biāo)準(zhǔn)信息標(biāo)準(zhǔn)資源資源 - Management processes are not applied at all - Processes are ad hoc and disorganised - Processes follow a regular pattern - Processes are documented and communicated - Processes are monitored and m

55、easured - Best practices are followed and automated成熟度模型成熟度模型l管理指南的組成結(jié)構(gòu)管理指南的組成結(jié)構(gòu)某個(gè)IT過程的管理指南舉例-81-l管理指南的組成要素之間的關(guān)系管理指南的組成要素之間的關(guān)系-82-0 01 12 23 34 45 50 01 12 23 34 45 5成熟度模型成熟度模型對(duì)建立、計(jì)劃和追蹤當(dāng)前的及未來的所需的成熟度進(jìn)行詳細(xì)描述RACI 表表角色與責(zé)任(R=職責(zé), A=問責(zé), C=咨詢, I=通知)關(guān)鍵角色關(guān)鍵角色主要屬性：主要屬性：屬性屬性參照參照KPIs戰(zhàn)略方向資源能力意識(shí)支持政策其他關(guān)鍵成功因素關(guān)鍵成功因素目標(biāo)

56、與范圍目標(biāo)與范圍IT過程綜述過程綜述因果關(guān)系圖. . .績效指標(biāo)績效指標(biāo)對(duì)目標(biāo)的測(cè)量對(duì)目標(biāo)的測(cè)量KGIs關(guān)鍵實(shí)務(wù) .-83-0 01 12 23 34 45 50 01 12 23 34 45 5成熟度模型成熟度模型對(duì)建立、計(jì)劃和追蹤當(dāng)前的及未來的所需的成熟度進(jìn)行詳細(xì)描述RACI 表表角色與責(zé)任(R=職責(zé), A=問責(zé), C=咨詢, I=通知)關(guān)鍵角色關(guān)鍵角色主要屬性：主要屬性：屬性屬性參照參照KPIs戰(zhàn)略方向資源能力意識(shí)支持政策其他關(guān)鍵成功因素關(guān)鍵成功因素目標(biāo)與范圍目標(biāo)與范圍IT過程綜述過程綜述因果關(guān)系圖. . .績效指標(biāo)績效指標(biāo)對(duì)目標(biāo)的測(cè)量對(duì)目標(biāo)的測(cè)量KGIs關(guān)鍵實(shí)務(wù) .用于詳細(xì)評(píng)估的可測(cè)量

57、的屬性與組件評(píng)估時(shí)可參照的業(yè)務(wù)標(biāo)準(zhǔn)及行業(yè)最佳實(shí)踐可用于快速評(píng)估的初始標(biāo)準(zhǔn)基于通用的組織流程圖對(duì)CSF的分解對(duì)IT過程的分解對(duì)IT過程目標(biāo)的描述對(duì)IT過程績效的描述-84-0 01 12 23 34 45 50 01 12 23 34 45 5成熟度模型成熟度模型對(duì)建立、計(jì)劃和追蹤當(dāng)前的及未來的所需的成熟度進(jìn)行詳細(xì)描述RACI 表表角色與責(zé)任(R=職責(zé), A=問責(zé), C=咨詢, I=通知)關(guān)鍵角色關(guān)鍵角色主要屬性：主要屬性：戰(zhàn)略方向資源能力意識(shí)支持政策其他關(guān)鍵成功因素關(guān)鍵成功因素目標(biāo)與范圍目標(biāo)與范圍IT過程綜述過程綜述因果關(guān)系圖. . .績效指標(biāo)績效指標(biāo)對(duì)目標(biāo)的測(cè)量對(duì)目標(biāo)的測(cè)量KGIsKPIs屬

58、性屬性參照參照關(guān)鍵實(shí)務(wù) .-85-lIT過程成熟度模型過程成熟度模型(CMM)定義 CMM制定了一個(gè)基準(zhǔn)，組織可以確定自己的等級(jí)，從而了解自身目前的狀況； 在確定CMM基礎(chǔ)上確定組織的關(guān)鍵成功因素(CSF)，通過關(guān)鍵績效指(KPI) 進(jìn)行監(jiān)控(事中控制)，并衡量組織是否能達(dá)到關(guān)鍵目標(biāo)指標(biāo)(KGI)中所設(shè)定的目標(biāo)(事后控制)； 34個(gè)IT過程的每一項(xiàng)都有一個(gè)遞增的測(cè)量尺度，基于“0”到“5”等級(jí)。IT過程成熟度描述CMMCMM-86-l關(guān)鍵成功因素關(guān)鍵成功因素(CSF) 定義 CSF為管理部門實(shí)現(xiàn)對(duì)IT過程的控制提供指南，它們是實(shí)現(xiàn)IT過程目標(biāo)最重要的一系列因素，可以由戰(zhàn)略的、技術(shù)的、組織的或程

59、序的各種活動(dòng)組成； 它們通常會(huì)涉及IT能力和技能，簡(jiǎn)短而集中介紹企業(yè)為達(dá)到某方面的目標(biāo)必須重視的資源和必須實(shí)施的控制。 特征 是IT處理或支持的環(huán)境中最基本的促進(jìn)因素，是為提高IT過程成功的可能性所要做的最重要的事； 是實(shí)現(xiàn)成功所需的一種條件，或是一種可取的活動(dòng)，具有可觀察或可測(cè)量的特征； 關(guān)注獲取、維護(hù)和利用IT能力與技能，以IT過程的術(shù)語而非業(yè)務(wù)術(shù)語來描述。CSFCSFCOBIT引入的CSF舉例-87-l關(guān)鍵目標(biāo)指標(biāo)關(guān)鍵目標(biāo)指標(biāo)(KGI)定義： 關(guān)鍵目標(biāo)指標(biāo)是對(duì)IT過程要達(dá)到何種目標(biāo)的一種表述，或者是對(duì)要完成結(jié)果的一種測(cè)度； 關(guān)鍵目標(biāo)指標(biāo)(KGI)主要在IT過程實(shí)施之后，告訴管理部門該IT

60、處理是否滿足其業(yè)務(wù)需求，通常以信息標(biāo)準(zhǔn)的術(shù)語表述。例如： 信息系統(tǒng)及服務(wù)的可用性； 完整性缺失和機(jī)密性風(fēng)險(xiǎn)； 信息處理和系統(tǒng)運(yùn)行的成本有效性； 對(duì)可靠性、有效性和符合性的確認(rèn)。 KGIKGIKGI舉例-88-l關(guān)鍵績效指標(biāo)關(guān)鍵績效指標(biāo)(KPI)定義： 關(guān)鍵績效指標(biāo)(KPI)描述了在實(shí)現(xiàn)IT目標(biāo)的過程中執(zhí)行情況的好壞程度，是判斷目標(biāo)是否有可能實(shí)現(xiàn)的主要指標(biāo)，也是測(cè)定性能、慣例和技能的指標(biāo)。特征 是對(duì)IT過程執(zhí)行程度的測(cè)定； 可以預(yù)期將來成敗的可能性，是“先導(dǎo)性”指標(biāo)； 面向過程，由IT驅(qū)動(dòng)； 以精確的、可測(cè)量的術(shù)語表述； 關(guān)注那些被認(rèn)為是對(duì)過程至關(guān)重要的資源； 對(duì)此指標(biāo)進(jìn)行測(cè)量并依此采取行動(dòng)，將有助于改進(jìn)IT過程。KPIKPIKPI舉例-