I治理及其輔助手段情況匯報(bào)

IT治理及其輔助手段研究情況匯報(bào)孫強(qiáng)

賽迪培訓(xùn)中心賽迪顧問股份有限公司二00三年八月十四日匯報(bào)內(nèi)容IT治理的四個(gè)輔助手段IT治理的現(xiàn)實(shí)性和必要性建議匯報(bào)內(nèi)容IT治理的四個(gè)輔助手段IT治理的現(xiàn)實(shí)性和必要性建議當(dāng)前信息化建設(shè)熱點(diǎn)問題IT與業(yè)務(wù)的融合信息系統(tǒng)工程監(jiān)理的發(fā)展信息中心的轉(zhuǎn)制與走向IT治理、公司治理及企業(yè)管理的關(guān)系信息主管CIO的治理結(jié)構(gòu)IS審計(jì)對(duì)IT投資有效的監(jiān)督和控制作用規(guī)范、標(biāo)準(zhǔn)化的IT服務(wù)管理流程的重要性IT治理是IT、經(jīng)濟(jì)學(xué)及管理學(xué)業(yè)界中一個(gè)新的概念，用于描述企業(yè)或政府是否采用有效的機(jī)制，使得IT的應(yīng)用能夠完成組織賦予它的使命，同時(shí)平衡信息技術(shù)與過程的風(fēng)險(xiǎn)、確保實(shí)現(xiàn)組織的戰(zhàn)略目標(biāo)。IT治理的使命保持IT與業(yè)務(wù)目標(biāo)一致，推動(dòng)業(yè)務(wù)發(fā)展，促使收益最大化，合理利用IT資源，適當(dāng)管理與IT相關(guān)的風(fēng)險(xiǎn)。IT治理的輔助手段IT項(xiàng)目管理IS（信息系統(tǒng)）審計(jì)、咨詢、監(jiān)理信息安全管理IT服務(wù)管理IT項(xiàng)目管理IT項(xiàng)目具有投資大、周期長(zhǎng)、高風(fēng)險(xiǎn)、科技含量高、所涉及領(lǐng)域?qū)挼奶攸c(diǎn)，項(xiàng)目管理水平是關(guān)系IT項(xiàng)目成功的關(guān)鍵成功因素之一。IT項(xiàng)目管理認(rèn)證和培訓(xùn)可全面提升IT項(xiàng)目建設(shè)管理人員規(guī)劃、組織與管理方面的能力。IS審計(jì)IS審計(jì)是指根據(jù)公認(rèn)的標(biāo)準(zhǔn)和指導(dǎo)規(guī)范對(duì)信息系統(tǒng)及其業(yè)務(wù)應(yīng)用的效能、效率、安全性進(jìn)行監(jiān)測(cè)、評(píng)估和控制的過程，以完成組織的戰(zhàn)略目標(biāo)，同時(shí)最經(jīng)濟(jì)的使用資源。這一定義既包括信息系統(tǒng)的外部審計(jì)的鑒證目標(biāo)——即對(duì)被審計(jì)單位的信息系統(tǒng)保護(hù)資產(chǎn)安全及數(shù)據(jù)完整的鑒證，又包含內(nèi)部審計(jì)的管理目標(biāo)——即不僅包括被審計(jì)信息系統(tǒng)保護(hù)資產(chǎn)安全及數(shù)據(jù)完整而且包括信息系統(tǒng)的有效性目標(biāo)。IS審計(jì)對(duì)象審計(jì)對(duì)象變革管理數(shù)據(jù)中心運(yùn)維信息安全網(wǎng)絡(luò)管理基礎(chǔ)設(shè)施數(shù)據(jù)庫(kù)管理硬件管理績(jī)效與容量問題管理災(zāi)難回復(fù)與業(yè)務(wù)持續(xù)軟件管理通信技術(shù)支持服務(wù)系統(tǒng)開發(fā)IS審計(jì)的的過程1.理解客客戶業(yè)務(wù)、、系統(tǒng)、環(huán)環(huán)境等2.識(shí)別并并評(píng)估風(fēng)險(xiǎn)險(xiǎn)3.檢查是是否存在足足夠的控制制來補(bǔ)償這這些風(fēng)險(xiǎn)4.對(duì)控制制進(jìn)行測(cè)試試和評(píng)價(jià)5.提出審審計(jì)結(jié)論和和報(bào)告IT治理與與IS審計(jì)計(jì)的關(guān)系獨(dú)立的IS審計(jì)是公公司治理與與IT治理理制度的重重要環(huán)節(jié)之之一。目的的是確定、、解除被審審計(jì)單位的的受托責(zé)任任和加強(qiáng)對(duì)對(duì)被審計(jì)單單位的管理理與控制。。所以IS審計(jì)是實(shí)實(shí)現(xiàn)IT治治理的手段段之一。IS審計(jì)的的作用鑒證作用。。是指通過過審計(jì)，合合理地保證證被審計(jì)單單位信息系系統(tǒng)及其處處理、產(chǎn)生生的信息的的真實(shí)性、、完整性與與可靠性。。促進(jìn)作用。。體現(xiàn)在兩兩個(gè)方面：（1）是指信息系系統(tǒng)審計(jì)可可以促進(jìn)被被審計(jì)單位位更有效地地融入到社社會(huì)經(jīng)濟(jì)生生活中，審審計(jì)報(bào)告可可以增強(qiáng)大大家對(duì)其信信息的信任任程度；（（2）是指指審計(jì)可以以促進(jìn)被審審計(jì)單位改改進(jìn)內(nèi)部控控制，加強(qiáng)強(qiáng)管理，提提高信息系系統(tǒng)實(shí)現(xiàn)組組織目標(biāo)的的效率、效效果。IS審計(jì)的的業(yè)務(wù)范圍圍立足于組織織的戰(zhàn)略目目標(biāo)，為有有效的實(shí)現(xiàn)現(xiàn)組織戰(zhàn)略略目標(biāo)而采采取的一切切活動(dòng)過程程都在審計(jì)計(jì)師的業(yè)務(wù)務(wù)之內(nèi)。業(yè)業(yè)務(wù)范圍包包括：對(duì)信信息系統(tǒng)的的戰(zhàn)略規(guī)劃劃與組織的的審計(jì)；技技術(shù)基礎(chǔ)平平臺(tái)建設(shè)的的審計(jì)；應(yīng)應(yīng)用系統(tǒng)建建設(shè)審計(jì)；；信息系統(tǒng)統(tǒng)管理和運(yùn)運(yùn)營(yíng)審計(jì)；；風(fēng)險(xiǎn)管理理與應(yīng)用控控制審計(jì)；；信息系統(tǒng)統(tǒng)是否符合合國(guó)家或國(guó)國(guó)際標(biāo)準(zhǔn)的的審計(jì)以及及網(wǎng)譽(yù)審計(jì)計(jì)、電子簽簽名審計(jì)等等。IS審計(jì)的的目的合理保證信信息系統(tǒng)能能夠保護(hù)資資產(chǎn)的安全全、數(shù)據(jù)的的完整、系系統(tǒng)有效地地實(shí)現(xiàn)組織織目標(biāo)并有有效率的利利用組織資資源，其關(guān)關(guān)注的核心心是資產(chǎn)保保護(hù)與信息息系統(tǒng)的效效率、效果果。重點(diǎn)是對(duì)信信息系統(tǒng)的的運(yùn)營(yíng)審計(jì)計(jì)，向公眾眾出具審計(jì)計(jì)報(bào)告，鑒鑒證信息系系統(tǒng)能否保保護(hù)企業(yè)資資產(chǎn)安全，，其產(chǎn)生、、傳遞的信信息是否完完整，整個(gè)個(gè)系統(tǒng)是否否有效地實(shí)實(shí)現(xiàn)組織目目標(biāo)并有效效率的利用用組織資源源。IS審計(jì)的的服務(wù)對(duì)象象是所有的信信息使用者者。包括被審計(jì)計(jì)單位的股股東、合作作伙伴、政政府機(jī)構(gòu)和和一般社會(huì)會(huì)公眾。IS審計(jì)的的方法信息系統(tǒng)審審計(jì)審計(jì)的的方法主要要是搜集證證據(jù)的方法法。包括檢查、、觀察、分分析性復(fù)合合、查詢及及函證等方方法，并利利用統(tǒng)計(jì)技技術(shù)、計(jì)算算機(jī)技術(shù)完完成證據(jù)的的搜集與評(píng)評(píng)價(jià)。IS審計(jì)與與監(jiān)理的關(guān)關(guān)系作用不同（（監(jiān)理：控控制和協(xié)調(diào)調(diào)）范圍不同（（監(jiān)理：實(shí)實(shí)施階段））目的不同（（監(jiān)理：進(jìn)進(jìn)度、質(zhì)量量、投資））方法不同（（監(jiān)理：項(xiàng)項(xiàng)目管理））對(duì)象不同（（監(jiān)理：業(yè)業(yè)主和承建建單位）信息安全管管理三分技術(shù)七七分管理理信息安全管管理保護(hù)信信息不受廣廣泛威脅地地?fù)p害，確確保業(yè)務(wù)的的持續(xù)性，，將商業(yè)損損失降至最最小，使投投資收益最最大并創(chuàng)造造新的戰(zhàn)略略機(jī)遇。ISO17799ISO17799（根據(jù)BS7799第一部分制制定）作為為確定控制制范圍的參參考標(biāo)桿，，在一般情情況下，這這些控制是是使用信息息系統(tǒng)所必必須的。該該標(biāo)準(zhǔn)適應(yīng)應(yīng)任何規(guī)模模的組織。。它把信息息作為一種種資產(chǎn)，并并且在信息息時(shí)代，信信息資產(chǎn)已已經(jīng)成為最最有價(jià)值的的資產(chǎn)，因因此需要恰恰當(dāng)?shù)乇Ｗo(hù)護(hù)它。信息安全管管理的十個(gè)個(gè)方面安全方針；；安全組織；；資產(chǎn)分類與與控制；人員安全；；物理與環(huán)境境安全；計(jì)算機(jī)與網(wǎng)網(wǎng)絡(luò)管理；；系統(tǒng)訪問控控制；系統(tǒng)開發(fā)與與維護(hù)；業(yè)務(wù)持續(xù)管管理；合規(guī)性。IT服務(wù)管管理IT服務(wù)管管理事實(shí)上上的國(guó)際標(biāo)標(biāo)準(zhǔn)：ITIL國(guó)際上先進(jìn)進(jìn)企業(yè)在推推進(jìn)信息化化的進(jìn)程中中，針對(duì)““IT服務(wù)務(wù)質(zhì)量不佳佳的問題””，對(duì)IT服務(wù)的提提供方式、、提供內(nèi)容容以及服務(wù)務(wù)管理等方方面的內(nèi)容容，逐漸總總結(jié)、提煉煉，形成了了一整套富富有成效的的方法、規(guī)規(guī)范和程序序，并由由英國(guó)商務(wù)務(wù)部提煉成成為ITIL。IT服務(wù)管管理的作用用ITIL作作為一種以以流程為基基礎(chǔ)、以客客戶為導(dǎo)向向的IT服服務(wù)管理指指導(dǎo)框架，，它擺脫了了傳統(tǒng)IT管理以技技術(shù)管理為為焦點(diǎn)的弊弊端，實(shí)現(xiàn)現(xiàn)了從技術(shù)術(shù)管理到流流程管理，，再到服務(wù)務(wù)管理的轉(zhuǎn)轉(zhuǎn)化。業(yè)務(wù)與IT融合。改善IT的的投資回報(bào)報(bào)率。ITIL模模型示意圖圖ITIL的的意義ITIL可可以提高IT部門營(yíng)營(yíng)運(yùn)效率25-300%；；ITIL是是一個(gè)公共共開發(fā)且公公共使用的的框架。任任何組織都都可以使用用ITIL，或者以以ITIL為基礎(chǔ)開開發(fā)自己的的服務(wù)管理理方法論和和方案。ITIL個(gè)個(gè)人資格認(rèn)認(rèn)證是全球球公認(rèn)的CIO證書書，也被稱稱為是IT界的MBA。匯報(bào)內(nèi)容IT治理的的四個(gè)輔助助手段IT治理的的現(xiàn)實(shí)性和和必要性建議IT治理的的定義IT治理是是一個(gè)由關(guān)關(guān)系和過程程所構(gòu)成的的體制，用用于指導(dǎo)和和控制企業(yè)業(yè)，通過平平衡信息技技術(shù)與過程程的風(fēng)險(xiǎn)、、增加價(jià)值值來確保實(shí)實(shí)現(xiàn)企業(yè)的的目標(biāo)。IT治理的的核心問題題IT戰(zhàn)略目目標(biāo)必須與與企業(yè)戰(zhàn)略略目標(biāo)保持持一致IT治理包包括治理委委員會(huì)、治治理結(jié)構(gòu)、、治理流程程和企業(yè)文文化等。IT治理使使風(fēng)險(xiǎn)透明明化，從而而保護(hù)利益益相關(guān)者的的權(quán)益。IT治理可可用來指導(dǎo)導(dǎo)控制IT投資、機(jī)機(jī)遇、收益益及風(fēng)險(xiǎn)。。IT治理對(duì)對(duì)核心IT資源做出出合理的制制度安排，，這將成為為進(jìn)入新的的市場(chǎng)、進(jìn)進(jìn)行有效競(jìng)競(jìng)爭(zhēng)、實(shí)現(xiàn)現(xiàn)總收入增增長(zhǎng)、改善善客戶滿意意度及維系系客戶關(guān)系系的制度保保障。IT治理的的目標(biāo)IT治理———與業(yè)務(wù)務(wù)目標(biāo)一致致IT治理———有效利利用信息資資源IT治理———風(fēng)險(xiǎn)管管理IT治理的的目標(biāo)將幫幫助管理層層建立以組組織戰(zhàn)略為為導(dǎo)向,以以外界環(huán)環(huán)境為依據(jù)據(jù),以業(yè)業(yè)務(wù)與IT整合為中中心的觀念念，正確定定位IT部部門在整個(gè)個(gè)組織中的的作用。IT治理的的范圍IT治理集集中在管理理高層。善治的IT治理實(shí)踐踐需要在企企業(yè)全部范范圍內(nèi)推行行。IT治理使使得最高管管理層和執(zhí)執(zhí)行經(jīng)理的的一系列活活動(dòng)成為可可能。這些些活動(dòng)主要要包括：IT的目標(biāo)標(biāo)，新技術(shù)術(shù)的機(jī)遇和和風(fēng)險(xiǎn)，關(guān)關(guān)鍵過程與與核心競(jìng)爭(zhēng)爭(zhēng)力。如指指導(dǎo)信息技技術(shù)的職能能和對(duì)企業(yè)業(yè)的影響，，分配責(zé)任任，定義操操作，業(yè)績(jī)績(jī)衡量，管管理風(fēng)險(xiǎn)和和獲得保證證的約束等等。公司治理和和IT治理理公司治理，，驅(qū)動(dòng)和調(diào)調(diào)整IT治治理。同時(shí)時(shí)，IT能能夠提供關(guān)關(guān)鍵的輸入入，形成戰(zhàn)戰(zhàn)略計(jì)劃的的一個(gè)重要要組成部分分，這被認(rèn)認(rèn)為是公司司治理的一一個(gè)重要功功能——IT影響企企業(yè)的戰(zhàn)略略競(jìng)爭(zhēng)機(jī)遇遇。IT治理的的一個(gè)關(guān)鍵鍵性問題是是：公司的的IT投資資是否與戰(zhàn)戰(zhàn)略目標(biāo)相相一致，從從而構(gòu)筑必必要的核心心競(jìng)爭(zhēng)力。。公司治理和和IT治理理概括地說，，公司治理理和IT治治理都是市市場(chǎng)（含政政府）他律律的機(jī)制，，是如何““管好管理理者”的機(jī)機(jī)制，其目目標(biāo)也是一一致的：達(dá)達(dá)到業(yè)務(wù)永永續(xù)運(yùn)營(yíng)，，并增加組組織的長(zhǎng)期期獲利機(jī)會(huì)會(huì)。公司治理側(cè)側(cè)重于企業(yè)業(yè)整體規(guī)劃劃，IT治治理側(cè)重于于企業(yè)中信信息資源的的有效利用用和管理。。公司治理和和IT治理理的典范“斯達(dá)模式式”這一被被譽(yù)為國(guó)企企擺脫困境境、改革發(fā)發(fā)展的創(chuàng)新新模式，正正說明了公公司治理和和IT治理理的重要性性和互動(dòng)關(guān)關(guān)系。“黑黑紙”按按照現(xiàn)代企企業(yè)制度要要求，建立立與市場(chǎng)競(jìng)競(jìng)爭(zhēng)相適應(yīng)應(yīng)的公司治治理機(jī)制，，明晰了企企業(yè)產(chǎn)權(quán)，，優(yōu)化了生生產(chǎn)要素配配置，轉(zhuǎn)變變了職工觀觀念，為斯斯達(dá)大力進(jìn)進(jìn)行信息化化改造創(chuàng)造造了有力條條件。反過過來，信息息化也促進(jìn)進(jìn)了公司的的現(xiàn)代化管管理。IT治理和和IT管理理IT管理是是公司的信信息及信息息系統(tǒng)的運(yùn)運(yùn)營(yíng)，確定定IT目標(biāo)標(biāo)以及實(shí)現(xiàn)現(xiàn)此目標(biāo)所所采取的行行動(dòng)；而IT治理是是指最高管管理層（董董事會(huì)）利利用它來監(jiān)監(jiān)督管理層層在IT戰(zhàn)戰(zhàn)略上的過過程、結(jié)構(gòu)構(gòu)和聯(lián)系，，以確保這這種運(yùn)營(yíng)處處于正確的的軌道之上上。IT治理模模型COBIT目前已已成為國(guó)際際上公認(rèn)的的IT管理理與控制標(biāo)標(biāo)準(zhǔn)該標(biāo)準(zhǔn)為IT的治理理、安全與與控制提供供了一個(gè)一一般適用的的公認(rèn)的標(biāo)標(biāo)準(zhǔn)，以輔輔助管理層層進(jìn)行IT治理。該該標(biāo)準(zhǔn)體系系已在世界界一百多個(gè)個(gè)國(guó)家的重重要組織與與企業(yè)中運(yùn)運(yùn)用，指導(dǎo)導(dǎo)這些組織織有效利用用信息資源源，有效地地管理與信信息相關(guān)的的風(fēng)險(xiǎn)。IT治理架架構(gòu)ProvideDirectionCompareMeasurePerformanceITActivitiesIncreaseautomation(makethebusinesseffective)Decreasecost(maketheenterpriseefficient)Managerisks(security,reliabilityandcompliance)ITisalignedwiththebusinessITenablesthebusinessandmaximisesbenefitsITresourcesareusedresponsiblyIT-relatedrisksaremanagedappropriatelySetObjectives組織戰(zhàn)略目標(biāo)IT治理COBIT信息規(guī)劃與組織獲得與實(shí)施交付與支持監(jiān)控IT資源COBIT模型COBIT四個(gè)域的的相互關(guān)系系獲得和實(shí)施交付與支持規(guī)劃與組織監(jiān)控IT開發(fā)IT運(yùn)維業(yè)務(wù)戰(zhàn)略IT戰(zhàn)略匯報(bào)內(nèi)容IT治理的的四個(gè)輔助助手段IT治理的的現(xiàn)實(shí)性和和必要性建議建立IT治治理機(jī)制觀念轉(zhuǎn)變：：在最高管管理層（董董事會(huì)）樹樹立和維護(hù)護(hù)IT戰(zhàn)略略地位的思思想認(rèn)識(shí)，，建立企業(yè)業(yè)戰(zhàn)略與IT戰(zhàn)略的的互動(dòng)觀念念，闡明IT應(yīng)擔(dān)當(dāng)當(dāng)?shù)慕巧?，，從業(yè)務(wù)的的視角創(chuàng)造造信息技術(shù)術(shù)指導(dǎo)原則則，如信息息化規(guī)劃本本質(zhì)上可以以定位成從從業(yè)務(wù)戰(zhàn)略略到信息戰(zhàn)戰(zhàn)略的實(shí)現(xiàn)現(xiàn)。業(yè)務(wù)驅(qū)動(dòng)：：從組織的的業(yè)務(wù)戰(zhàn)略略出發(fā)而不不是從系統(tǒng)統(tǒng)的需求出出發(fā)，可以以避免脫離離目標(biāo)而進(jìn)進(jìn)行建設(shè)的的困境。從從業(yè)務(wù)的變變革出發(fā)而而不是從技技術(shù)的變革革出發(fā)，有有利于充分分利用組織織的現(xiàn)有資資源來滿足足關(guān)鍵需求求，從而避避免建設(shè)的的信息系統(tǒng)統(tǒng)無法有效效地支持組組織的決策策。建立IT治治理機(jī)制治理環(huán)境加強(qiáng)IT治治理實(shí)質(zhì)上