集團(tuán)企業(yè)it治理內(nèi)容工具與實(shí)例講課教案

1、集團(tuán)企業(yè)IT治理內(nèi)容工具與實(shí)例1. IT治理的本質(zhì)IT治理屬于公司治理的組成部分，是指導(dǎo)和控制IT資源的結(jié)構(gòu)，關(guān)系和過程，通過平衡風(fēng)險和回報獲取IT價值，以實(shí)現(xiàn)企業(yè)目標(biāo)。價值實(shí)現(xiàn)，風(fēng)險控制是IT治理的兩個核心。打個比方來說： “管理”相當(dāng)于列車行駛時怎么開快火車;“治理治理”則是規(guī)定誰來做決策、鋪設(shè)怎樣軌道，誰來和怎么約束火車在軌道內(nèi)安全行駛因此，雖然是硬幣的兩面，但是治理卻更具統(tǒng)籌效應(yīng)。2 為什么要IT治理2005年，麻省理工CISR研究中心與Gallup咨詢機(jī)構(gòu)合作，Ross 和Weill教授通過實(shí)證研究表明IT治理有助于企業(yè)獲取高IT投資回報，好的IT治理模式可為企業(yè)增加20%以上的利潤

2、利潤2010年4月2日，2010年中國企業(yè)信息化指數(shù)調(diào)研報告顯示中國企業(yè)IT治理普遍欠佳。尤其IT規(guī)劃、IT制度體系和IT評估缺失現(xiàn)象嚴(yán)重IT治理缺失的八大癥狀：一是缺乏IT建設(shè)整體規(guī)劃、執(zhí)行隨意性較強(qiáng)，標(biāo)準(zhǔn)化和規(guī)范化等基礎(chǔ)工作不到位，導(dǎo)致出現(xiàn)大量信息孤島，使公司面臨繁重的系統(tǒng)整合工作;二是業(yè)務(wù)部門與技術(shù)部門經(jīng)常出現(xiàn)“兩張皮”現(xiàn)象，使到溝通交流困難;三是IT預(yù)算缺乏完整性，計劃外項目過多;四是項目投資出現(xiàn)失誤或投資回報不高;五是項目管理缺乏控制手段，項目延期交付時有發(fā)生;六是IT事故責(zé)任不清，技術(shù)部門承擔(dān)責(zé)任過大;七是一些IT系統(tǒng)建成后沒人進(jìn)行后續(xù)跟蹤運(yùn)維、推廣和使用;八是缺少IT審計環(huán)節(jié)，不

3、清楚IT價值何在，認(rèn)為IT只是工具，缺乏約束機(jī)制。為什么要做IT治理-兩大直接驅(qū)動力價值- 提高企業(yè)信息化成熟度 + 支撐企業(yè)戰(zhàn)略風(fēng)險- IT過程控制 + 外部合規(guī)價值提升與風(fēng)險控制：價值提升與風(fēng)險控制：ITIT治理的最終目標(biāo)治理的最終目標(biāo) IT治理整體框架體系典型的IT治理主體：董事會與執(zhí)行層 業(yè)務(wù)部門管理者IT部門管理人員治理目標(biāo)治理組織結(jié)構(gòu)治理流程治理關(guān)系機(jī)制 治理機(jī)制治理對象合 規(guī)績 效實(shí)現(xiàn)戰(zhàn)略IT投資IT基礎(chǔ)設(shè)施IT應(yīng)用IT架構(gòu)IT原則I T決策權(quán)安排IT投資的分類：把信息技術(shù)投資分為四類資產(chǎn)，分別是: 交易流程信息管理流程戰(zhàn)略性開發(fā)或創(chuàng)新基礎(chǔ)架構(gòu)任何一項IT投資都可能是這四類資產(chǎn)的

4、任何組合。IT治理的五大對象：1.我們應(yīng)當(dāng)花多少錢?2 哪些業(yè)務(wù)流程應(yīng)當(dāng)獲得資金?3 哪些IT能力應(yīng)當(dāng)面向整個公司?4 IT服務(wù)要有多好?5.誰來承擔(dān)責(zé)任IT治理五大對象間關(guān)系ITIT原則的決策原則的決策高層關(guān)于企業(yè)如何使用IT的陳述ITIT架構(gòu)決策架構(gòu)決策組織從一系列政策、關(guān)系以及技術(shù)選擇中捕獲的數(shù)據(jù)、應(yīng)用和基礎(chǔ)設(shè)施的邏輯，以達(dá)到預(yù)期的商業(yè)、技術(shù)的標(biāo)準(zhǔn)化和一體化ITIT基礎(chǔ)設(shè)施決策基礎(chǔ)設(shè)施決策集中協(xié)調(diào)、共享IT服務(wù)可以給企業(yè)的IT能力提供基礎(chǔ)ITIT投資和優(yōu)先順序決策投資和優(yōu)先順序決策關(guān)于應(yīng)該在IT的那些方面投資以及投資多少的決策。包括項目的審批和論證技術(shù)業(yè)務(wù)應(yīng)用需求決策業(yè)務(wù)應(yīng)用需求決策為購

5、買或內(nèi)部開發(fā)IT應(yīng)用確定業(yè)務(wù)需求2 IT治理機(jī)制IT決策權(quán)力部署方式 決策決策原型原型ITIT原則原則ITIT架構(gòu)架構(gòu)ITIT基礎(chǔ)設(shè)施戰(zhàn)略基礎(chǔ)設(shè)施戰(zhàn)略業(yè)務(wù)應(yīng)用需求業(yè)務(wù)應(yīng)用需求ITIT投資投資輸入輸入決策決策輸入輸入決策決策輸入輸入決策決策輸入輸入決策決策輸入輸入決策決策高級業(yè)務(wù)主管負(fù)高級業(yè)務(wù)主管負(fù)責(zé)制責(zé)制高級高級IT主管負(fù)責(zé)主管負(fù)責(zé)制制業(yè)務(wù)部門負(fù)責(zé)制業(yè)務(wù)部門負(fù)責(zé)制總部與業(yè)務(wù)部門總部與業(yè)務(wù)部門共同負(fù)責(zé)制共同負(fù)責(zé)制ITIT與業(yè)務(wù)部門負(fù)與業(yè)務(wù)部門負(fù)責(zé)制責(zé)制建立健全I(xiàn)T流程管控體系-IT治理機(jī)制典型IT治理機(jī)制治理結(jié)構(gòu)S1IT戰(zhàn)略委員會S2IT安全委員會S3IT指導(dǎo)委員會S4CIO直接向CEO負(fù)責(zé)S5

6、CIO在執(zhí)行層中的地位治理流程P1IT戰(zhàn)略規(guī)劃P2IT績效管理流程（平衡積分卡）P3項目組合管理P4IT預(yù)算管理P5IT項目治理與跟蹤溝通機(jī)制R1IT領(lǐng)導(dǎo)力R2業(yè)務(wù)/IT關(guān)系經(jīng)理R3委員會正式會議實(shí)現(xiàn)IT治理的工具/方法信息系統(tǒng)審計的誕生 1在美國、日本、英國、加拿大等發(fā)達(dá)國家，信息系統(tǒng)審計已經(jīng)發(fā)展到相當(dāng)程度，信息系統(tǒng)審計的理念也已深入人心。從國外ISA發(fā)展歷史來看，它是與企業(yè)信息化的過程緊密聯(lián)系的，是企業(yè)信息化的必然要求。 1954 60 1954 60年代年代 7070年代年代 8080年代年代 9090年代年代 信息的收集、處理、傳遞和存儲都是由人來完成計算機(jī)出現(xiàn)之前對計算機(jī)有初步認(rèn)識計

7、算機(jī)應(yīng)用蔓延信息系統(tǒng)在企業(yè)普及集成信息系統(tǒng)，MRP，MRPII應(yīng)用在財務(wù)，庫存，統(tǒng)計方面會計電算化出現(xiàn)計算機(jī)欺詐舞弊事件出現(xiàn)財務(wù)數(shù)據(jù)的采集是由整個信息系統(tǒng)實(shí)時完成 信息系統(tǒng)網(wǎng)絡(luò)化， 大型化電子數(shù)據(jù)處理審計1969年，電子數(shù)據(jù)處理審計師協(xié)會（EDPAA）在美國洛杉礬成立 完全手工審計手工審計 + +紙質(zhì)文檔審計開始重視對信息系統(tǒng)的審計信息系統(tǒng)審計師成為職業(yè)1994年，EDPAA更名為信息系統(tǒng)審計與控制協(xié)會（ISACA） 信息系統(tǒng)成為企業(yè)重要資產(chǎn) 如何確保網(wǎng)絡(luò)平臺上的信息系統(tǒng)的安全、可靠和有效變得越來越重要。 信息系統(tǒng)審計的誕生 1 信息系統(tǒng)審計信息系統(tǒng)審計信息系統(tǒng)信息系統(tǒng)/ /技術(shù)技術(shù)信息技術(shù)作

8、為企業(yè)發(fā)展的“銀彈”，投資額度不斷加大，投資失敗的風(fēng)險日漸成了企業(yè)難以承受之重 信息系統(tǒng)成為企業(yè)運(yùn)作，甚至是賴以生存的基礎(chǔ)，其安全、穩(wěn)定和可靠性需要得以保障審計審計審計面臨的環(huán)境發(fā)生變化，信息系統(tǒng)是很多被審單位內(nèi)部管理與控制的關(guān)鍵工具，審計的內(nèi)容和重點(diǎn)發(fā)生變化。ISA審計成為控制審計風(fēng)險的必然要求 （假電子數(shù)據(jù)真審？）“逐步開展對關(guān)系國計民生的重大行業(yè)、部門的聯(lián)網(wǎng)審計和信息系統(tǒng)審計，全面提高計算機(jī)應(yīng)用水平”+ +引自：審計署2006至2010年審計工作發(fā)展規(guī)劃信息系統(tǒng)審計是我國審計發(fā)展的新路徑 1 信息化時代，我國的信息系統(tǒng)審計具備極大的需求和迫切性：信息系統(tǒng)審計被列入“金審工程”二期的試點(diǎn)范

9、圍（2007.5，審計署信息系統(tǒng)審計研討會）信息系統(tǒng)審計成為審計署2008年度重大研究課題之一。 審計署信息系統(tǒng)審計培訓(xùn)開班（2008.5.28）審計署提出要基本形成符合中國國情的信息系統(tǒng)審計的理論和方法。 （中國審計報）部分審計機(jī)關(guān)將2008年作為信息系統(tǒng)審計的探索之年。（中國審計報）相關(guān)部門正在積極醞釀并研究制定信息系統(tǒng)審計準(zhǔn)則和指南但是“我們的信息系統(tǒng)審計仍處于探索階段”（石愛中語）COSO框架COSOERM框架和1992年的COSO報告一樣，也主要在“控制活動”和“信息溝通”中對IT控制做出相關(guān)規(guī)定。但是因為時隔12年，信息技術(shù)已經(jīng)有翻天覆地的變化，所以該框架在技術(shù)上對IT控制（包括一

10、般控制和應(yīng)用控制）作了更為廣泛、科學(xué)的描述?？刂苹顒?，指為確保風(fēng)險管理策略有效執(zhí)行而制定的制度和程序，包括核準(zhǔn)、授權(quán)、驗證、調(diào)整、復(fù)核、定期盤點(diǎn)、記錄核對、職能分工、資產(chǎn)保全、績效考核等。信息溝通，指產(chǎn)生服務(wù)于規(guī)劃、執(zhí)行、監(jiān)督等管理活動的信息并適時向使用者提供的過程。COBITITIL服務(wù)支持流程事故管理 問題管理變更管理 版本管理 配置管理服務(wù)提供流程可用性管理 能力管理財務(wù)管理 連續(xù)性管理 服務(wù)水平管理ITIL流程間的關(guān)聯(lián)ISO27001標(biāo)準(zhǔn)ISO27001標(biāo)準(zhǔn)不是一個技術(shù)性的信息安全操作手冊，而一個通用的信息安全管理指南。它提出 了11個安全要素，39個控制目標(biāo)和133種控制措施。ISO

11、17799中的11個要素分別是： 安全策略（Security policy）； 信息安全組織（Organization of information security）； 資產(chǎn)管理（Asset management）； 人力資源安全 （Human resource security）； 物理和環(huán)境安全（Physical and environmental security）； 通信和操作管理（Communication and operation management）； 訪問控制（Access control）； 信息系統(tǒng)獲取、開發(fā)和維護(hù)（Information systems acquis

12、ition, development and maintenance）； 信息安全事件管理（Information security incident management）； 業(yè)務(wù)連續(xù)性管理（Business continuity management）； 符合性（Compliance）。5. 企業(yè)如何實(shí)施IT治理-16字方針整體規(guī)劃，分步實(shí)施，關(guān)注試點(diǎn)，持續(xù)優(yōu)化-Think big, do small, Do big外部合規(guī)要求：中央企業(yè)全面風(fēng)險管理指引國資委信息化水平評價國資委信息化水平評價企業(yè)內(nèi)部控制基本規(guī)范企業(yè)內(nèi)部控制基本規(guī)范上海證券交易所上市公司內(nèi)部控制指引上海證券交易所上市公司內(nèi)

13、部控制指引美國SOX法案合規(guī)施工總承包企業(yè)特級資質(zhì)標(biāo)準(zhǔn)國資委信息化水平評價-合規(guī)2企業(yè)內(nèi)部控制應(yīng)用指引內(nèi)部控制應(yīng)用指引中的計算機(jī)信息系統(tǒng)具體規(guī)范則提出：企業(yè)在建立并實(shí)施計算機(jī)信息系統(tǒng)內(nèi)部控制制度中，至少應(yīng)當(dāng)強(qiáng)化對以下關(guān)鍵方面或者關(guān)鍵環(huán)節(jié)的風(fēng)險控制，并采取相應(yīng)的控制措施：（一）權(quán)責(zé)分配和職責(zé)分工應(yīng)當(dāng)明確，重大信息系統(tǒng)事項應(yīng)履行審批程序；（二）信息系統(tǒng)開發(fā)、變更和維護(hù)流程應(yīng)當(dāng)清晰，授權(quán)審批程序應(yīng)當(dāng)明確；（三）信息系統(tǒng)應(yīng)當(dāng)建立訪問安全制度，操作權(quán)限、信息使用、信息管理應(yīng)當(dāng)有明確規(guī)定；（四）硬件管理事項和審批程序應(yīng)當(dāng)科學(xué)合理；（五）會計電算化流程應(yīng)當(dāng)規(guī)范，會計電算化操作管理、硬件、軟件和數(shù)據(jù)管理、會計

14、電算化檔案管理和會計電算化賬務(wù)處理等制度應(yīng)當(dāng)完善。上海證券交易所上市公司內(nèi)部控制指引上海證券交易所上市公司內(nèi)部控制指引- -合規(guī)合規(guī)4 4第四條第四條 公司董事會對公司內(nèi)控制度的建立健全、有效實(shí)施及其檢查監(jiān)督負(fù)責(zé)，董事會及其全體成員應(yīng)保證內(nèi)部控制相關(guān)信息披露內(nèi)容的真實(shí)、準(zhǔn)確、完整。第十條第十條 公司使用計算機(jī)信息系統(tǒng)的，還應(yīng)制定信息管理的內(nèi)控制度。 信息管理的內(nèi)控制度至少應(yīng)涵蓋下列內(nèi)容：（一）信息處理部門與使用部門權(quán)責(zé)的劃分；（二）信息處理部門的功能及職責(zé)劃分（三）系統(tǒng)開發(fā)及程序修改的控制；（四）程序及資料的存取、數(shù)據(jù)處理的控制；（五）檔案、設(shè)備、信息的安全控制；IT治理成熟度診斷成熟度診斷的

15、六個方面：IT權(quán)責(zé)體系IT戰(zhàn)略IT投資IT運(yùn)維服務(wù)風(fēng)險與合規(guī)IT人力資源成熟度模型的使用成熟度提供了一種簡單實(shí)用的管理工具，組織可以用于評估現(xiàn)狀，了解自身目前所處的地位，行業(yè)標(biāo)桿和國際最佳實(shí)踐的水平。根據(jù)企業(yè)現(xiàn)狀和行業(yè)標(biāo)桿、國際最佳實(shí)踐對比找出未來改進(jìn)的方向，結(jié)合業(yè)務(wù)需求，將主要精力投入到關(guān)鍵的管理領(lǐng)域。成熟度模型等級有助于向管理層清晰地展示IT管理存在的缺陷，將組織的管理水平與國際最佳實(shí)踐相對照，從而確定組織的發(fā)展目標(biāo)。服務(wù)臺制定了制度文檔。有Remedy和聯(lián)友自己開發(fā)的服務(wù)平臺支撐。有效回訪率56。 呼損率指標(biāo)目前由花都電信提供，不準(zhǔn)確。事件管理制定了事件管理流程和制度，并對故障進(jìn)行分級。

16、 事件主要由人工觸發(fā)。沒有從監(jiān)控設(shè)備直接觸發(fā)的事件。 問題管理沒有明確的問題管理流程。有與IS部舉行例會解決問題的機(jī)制 ;有重大故障詳細(xì)報告。沒有主動分析事件、觸發(fā)問題的機(jī)制 。配置管理配置庫中對配置信息的分類層次清楚。配置管理的工具（remedy）支撐配置管理。配置管理信息較基礎(chǔ)。變更管理變更的申請、審批、測試、實(shí)施流程完備。緊急變更流程未見相關(guān)文件。服務(wù)級別管理有完善的服務(wù)級別管理，并分解到服務(wù)目錄。針對不同的服務(wù)級別，有相應(yīng)的控制措施。定期為DFL提供服務(wù)報告。評評估估得得分分聯(lián)聯(lián)友友上上海海大大眾眾長長安安信信息息工工商商銀銀行行服務(wù)臺4435事件管理3435問題管理3422配置管理2

17、323變更管理3323服務(wù)級別管理4323一一級級指指標(biāo)標(biāo)及及權(quán)權(quán)重重二二級級指指標(biāo)標(biāo)服服務(wù)務(wù)管管理理運(yùn)運(yùn)維維標(biāo)標(biāo)桿桿比比較較三三級級指指標(biāo)標(biāo)及及權(quán)權(quán)重重運(yùn)運(yùn)維維服服務(wù)務(wù)管管理理012345服務(wù)臺事件管理問題管理配置管理變更管理服務(wù)級別管理聯(lián)友上海大眾長安信息工商銀行示例網(wǎng)絡(luò)設(shè)備、系統(tǒng)一線人員上崗前參加相關(guān)技術(shù)培訓(xùn)。缺乏統(tǒng)一的網(wǎng)絡(luò)、應(yīng)用監(jiān)控平臺。已制定部分操作流程，未形成完整體系。數(shù)據(jù)中心武漢機(jī)房管理較完善，十堰較為混亂。運(yùn)維人員對雙機(jī)、均衡、災(zāi)難恢復(fù)等技術(shù)掌握不熟練。缺乏事件應(yīng)急方案。設(shè)備維護(hù)運(yùn)維工程師具備系統(tǒng)硬軟件維護(hù)的基本技能。同客戶的溝通存在一定的問題。數(shù)據(jù)庫一線工程師定期對數(shù)據(jù)庫進(jìn)行

18、備份和性能監(jiān)控的工作。二線運(yùn)維SE定期對系統(tǒng)進(jìn)行評估和性能優(yōu)化；同原廠商建立密切的聯(lián)系，經(jīng)常參加原廠商的技術(shù)培訓(xùn)。評評估估得得分分東東浦浦中中國國網(wǎng)網(wǎng)通通中中興興通通信信網(wǎng)絡(luò)設(shè)備、系統(tǒng)354數(shù)據(jù)中心354設(shè)備維護(hù)444數(shù)據(jù)庫445一一級級指指標(biāo)標(biāo)及及權(quán)權(quán)重重運(yùn)運(yùn)維維標(biāo)標(biāo)桿桿比比較較技技術(shù)術(shù)管管理理二二級級指指標(biāo)標(biāo)三三級級指指標(biāo)標(biāo)及及權(quán)權(quán)重重運(yùn)維技術(shù)管理運(yùn)維技術(shù)管理012345網(wǎng)絡(luò)設(shè)備、系統(tǒng)數(shù)據(jù)中心設(shè)備維護(hù)數(shù)據(jù)庫東浦中國網(wǎng)通中興通信示例評評估估得得分分東東浦浦上上海海寶寶信信一一汽汽啟啟明明中中興興通通信信信息安全戰(zhàn)略與策略3223組織的安全2324資產(chǎn)管理2223人力資源安全2224物理和環(huán)境

19、安全2333通信和操作管理3334訪問控制4434系統(tǒng)開發(fā)、獲取與維護(hù)3344信息安全事件管理4344災(zāi)難恢復(fù)計劃2223符合性4444一一級級指指標(biāo)標(biāo)及及權(quán)權(quán)重重標(biāo)標(biāo)桿桿比比較較運(yùn)運(yùn)維維信信息息安安全全管管理理二二級級指指標(biāo)標(biāo)三三級級指指標(biāo)標(biāo)及及權(quán)權(quán)重重信息安全戰(zhàn)略與策略缺乏明確的信息安全體系策略文件組織的安全沒有公司層面的安全組織；與第三方保持著良好的聯(lián)系資產(chǎn)管理有資產(chǎn)清單，但資產(chǎn)羅 列不全；信息分類不夠細(xì)致人力資源安全沒有對入職員工進(jìn)行信息安全背景調(diào)查，但簽署了保密協(xié)議；信息安全培訓(xùn)較薄弱；離職時，缺乏撤銷訪問權(quán)限的流程物理和環(huán)境安全基本符合國家機(jī)房安全相關(guān)規(guī)定，但十堰機(jī)房需加強(qiáng)管理信息

20、和操作管理網(wǎng)絡(luò)安全方面部署了較成熟的防護(hù)技術(shù)，但缺乏備份記錄，移動介質(zhì)的管理與銷毀流程訪問控制在用戶訪問管理、網(wǎng)絡(luò)訪問控制、操作系統(tǒng)訪問控制、應(yīng)用系統(tǒng)訪問控制和遠(yuǎn)程工作方面具備了一定的權(quán)限管理辦法系統(tǒng)開發(fā)、獲取與維護(hù)系統(tǒng)開發(fā)具備較完善的預(yù)防措施，但系統(tǒng)的測試數(shù)據(jù)沒有明確的保護(hù)措施。變更管理缺乏執(zhí)行力信息安全事件管理信息安全事件管理能滿足業(yè)務(wù)需求，但管理流程還可進(jìn)一步優(yōu)化災(zāi)難恢復(fù)具有冗余及預(yù)案流程，缺乏業(yè)務(wù)影響分析和風(fēng)險評估,及意思培訓(xùn)不到位符合性遵守公司既定的各項策略運(yùn)維信息安全管理運(yùn)維信息安全管理01234信息安全戰(zhàn)略與策略組織的安全資產(chǎn)管理人力資源安全物理和環(huán)境安全通信和操作管理訪問控制系

21、統(tǒng)開發(fā)、獲取與維護(hù)信息安全事件管理災(zāi)難恢復(fù)計劃符合性東浦上海寶信一汽啟明中興通信IT人力資源總計針對DFL總計針對DFL總計針對DFL總計針對DFL總計針對DFL10050605010510402570105項 目 管理人員33質(zhì) 量 管理人員21853222205183223222其他合計備注銷售人員綜合管理人員咨詢?nèi)藛T翻譯人員軟件開發(fā)人員系統(tǒng)集成人員運(yùn)維人員技術(shù)管理十堰襄樊深圳花都武漢地域領(lǐng)域項 目經(jīng) 理分 析設(shè) 計軟 件開 發(fā)測 試實(shí) 施項 目經(jīng) 理設(shè) 計實(shí) 施桌 面網(wǎng) 絡(luò)系 統(tǒng)應(yīng) 用5年 以 上15201558335010873 5年1015203313106553年 以 下253510410423合 計27407018154670201515備 注運(yùn) 維 項 目技 術(shù) 經(jīng) 驗 （ 人 ）工 作經(jīng) 驗軟 件 開 發(fā) 項 目系 統(tǒng) 集 成 項 目