集團企業(yè)的IT治理內(nèi)容、工具與實例和股份制改造與現(xiàn)代企業(yè)制度

IT治理內(nèi)容、工具與實例主要內(nèi)容IT治理是什么為什么要做IT治理IT治理的五大關(guān)鍵IT決策問題（治理對象）IT治理機制（治理手段）企業(yè)如何實施IT治理1.IT治理的本質(zhì)IT治理屬于公司治理的組成部分，是指導和控制IT資源的結(jié)構(gòu)，關(guān)系和過程，通過平衡風險和回報獲取IT價值，以實現(xiàn)企業(yè)目標。價值實現(xiàn)，風險控制是IT治理的兩個核心。打個比方來說：“管理”相當于列車行駛時怎么開快火車;“治理”則是規(guī)定誰來做決策、鋪設(shè)怎樣軌道，誰來和怎么約束火車在軌道內(nèi)安全行駛因此，雖然是硬幣的兩面，但是治理卻更具統(tǒng)籌效應。2為什么要IT治理2005年，麻省理工CISR研究中心與Gallup咨詢機構(gòu)合作，Ross和Weill教授通過實證研究表明IT治理有助于企業(yè)獲取高IT投資回報，好的IT治理模式可為企業(yè)增加20%以上的利潤2010年4月2日，《2010年中國企業(yè)信息化指數(shù)調(diào)研報告》顯示中國企業(yè)IT治理普遍欠佳。尤其IT規(guī)劃、IT制度體系和IT評估缺失現(xiàn)象嚴重IT治理缺失的八大癥狀：一是缺乏IT建設(shè)整體規(guī)劃、執(zhí)行隨意性較強，標準化和規(guī)范化等基礎(chǔ)工作不到位，導致出現(xiàn)大量信息孤島，使公司面臨繁重的系統(tǒng)整合工作;二是業(yè)務(wù)部門與技術(shù)部門經(jīng)常出現(xiàn)“兩張皮”現(xiàn)象，使到溝通交流困難;三是IT預算缺乏完整性，計劃外項目過多;四是項目投資出現(xiàn)失誤或投資回報不高;五是項目管理缺乏控制手段，項目延期交付時有發(fā)生;六是IT事故責任不清，技術(shù)部門承擔責任過大;七是一些IT系統(tǒng)建成后沒人進行后續(xù)跟蹤運維、推廣和使用;八是缺少IT審計環(huán)節(jié)，不清楚IT價值何在，認為IT只是工具，缺乏約束機制。為什么要做IT治理---兩大直接驅(qū)動力價值----提高企業(yè)信息化成熟度+支撐企業(yè)戰(zhàn)略風險----IT過程控制+外部合規(guī)價值提升與風險控制：IT治理的最終目標IT治理整體框架體系典型的IT治理主體：董事會與執(zhí)行層

業(yè)務(wù)部門管理者IT部門管理人員治理目標治理組織結(jié)構(gòu)治理流程治理關(guān)系機制治理機制治理對象合規(guī)績效實現(xiàn)戰(zhàn)略IT投資IT基礎(chǔ)設(shè)施IT應用IT架構(gòu)IT原則IT決策權(quán)安排IT投資的分類：把信息技術(shù)投資分為四類資產(chǎn)，分別是:交易流程信息管理流程戰(zhàn)略性開發(fā)或創(chuàng)新基礎(chǔ)架構(gòu)任何一項IT投資都可能是這四類資產(chǎn)的任何組合。IT治理的五大對象：1.我們應當花多少錢?2哪些業(yè)務(wù)流程應當獲得資金?3哪些IT能力應當面向整個公司?4IT服務(wù)要有多好?5.誰來承擔責任IT治理五大對象間關(guān)系IT原則的決策高層關(guān)于企業(yè)如何使用IT的陳述IT架構(gòu)決策組織從一系列政策、關(guān)系以及技術(shù)選擇中捕獲的數(shù)據(jù)、應用和基礎(chǔ)設(shè)施的邏輯，以達到預期的商業(yè)、技術(shù)的標準化和一體化IT基礎(chǔ)設(shè)施決策集中協(xié)調(diào)、共享IT服務(wù)可以給企業(yè)的IT能力提供基礎(chǔ)IT投資和優(yōu)先順序決策關(guān)于應該在IT的那些方面投資以及投資多少的決策。包括項目的審批和論證技術(shù)業(yè)務(wù)應用需求決策為購買或內(nèi)部開發(fā)IT應用確定業(yè)務(wù)需求2

IT治理機制IT決策權(quán)力部署方式

決策原型IT原則IT架構(gòu)IT基礎(chǔ)設(shè)施戰(zhàn)略業(yè)務(wù)應用需求IT投資輸入決策輸入決策輸入決策輸入決策輸入決策高級業(yè)務(wù)主管負責制√√高級IT主管負責制√√√業(yè)務(wù)部門負責制√總部與業(yè)務(wù)部門共同負責制√√√√√√IT與業(yè)務(wù)部門負責制√√√√√√√建立健全IT流程管控體系----IT治理機制典型IT治理機制治理結(jié)構(gòu)S1IT戰(zhàn)略委員會S2IT安全委員會S3IT指導委員會S4CIO直接向CEO負責S5CIO在執(zhí)行層中的地位治理流程P1IT戰(zhàn)略規(guī)劃P2IT績效管理流程（平衡積分卡）P3項目組合管理P4IT預算管理P5IT項目治理與跟蹤溝通機制R1IT領(lǐng)導力R2業(yè)務(wù)/IT關(guān)系經(jīng)理R3委員會正式會議實現(xiàn)IT治理的工具/方法信息系統(tǒng)審計的誕生1在美國、日本、英國、加拿大等發(fā)達國家，信息系統(tǒng)審計已經(jīng)發(fā)展到相當程度，信息系統(tǒng)審計的理念也已深入人心。從國外ISA發(fā)展歷史來看，它是與企業(yè)信息化的過程緊密聯(lián)系的，是企業(yè)信息化的必然要求。195460年代70年代80年代90年代

信息的收集、處理、傳遞和存儲都是由人來完成計算機出現(xiàn)之前對計算機有初步認識計算機應用蔓延信息系統(tǒng)在企業(yè)普及集成信息系統(tǒng)，MRP，MRPII應用在財務(wù)，庫存，統(tǒng)計方面會計電算化出現(xiàn)計算機欺詐舞弊事件出現(xiàn)財務(wù)數(shù)據(jù)的采集是由整個信息系統(tǒng)實時完成信息系統(tǒng)網(wǎng)絡(luò)化，大型化電子數(shù)據(jù)處理審計1969年，電子數(shù)據(jù)處理審計師協(xié)會（EDPAA）在美國洛杉礬成立完全手工審計手工審計

+紙質(zhì)文檔審計開始重視對信息系統(tǒng)的審計信息系統(tǒng)審計師成為職業(yè)1994年，EDPAA更名為信息系統(tǒng)審計與控制協(xié)會（ISACA）信息系統(tǒng)成為企業(yè)重要資產(chǎn)如何確保網(wǎng)絡(luò)平臺上的信息系統(tǒng)的安全、可靠和有效變得越來越重要。

信息系統(tǒng)審計的誕生

1

信息系統(tǒng)審計信息系統(tǒng)/技術(shù)信息技術(shù)作為企業(yè)發(fā)展的“銀彈”，投資額度不斷加大，投資失敗的風險日漸成了企業(yè)難以承受之重信息系統(tǒng)成為企業(yè)運作，甚至是賴以生存的基礎(chǔ)，其安全、穩(wěn)定和可靠性需要得以保障審計審計面臨的環(huán)境發(fā)生變化，信息系統(tǒng)是很多被審單位內(nèi)部管理與控制的關(guān)鍵工具，審計的內(nèi)容和重點發(fā)生變化。ISA審計成為控制審計風險的必然要求（假電子數(shù)據(jù)真審？）“逐步開展對關(guān)系國計民生的重大行業(yè)、部門的聯(lián)網(wǎng)審計和信息系統(tǒng)審計，全面提高計算機應用水平”+引自：《審計署2006至2010年審計工作發(fā)展規(guī)劃》信息系統(tǒng)審計是我國審計發(fā)展的新路徑1信息化時代，我國的信息系統(tǒng)審計具備極大的需求和迫切性：信息系統(tǒng)審計被列入“金審工程”二期的試點范圍（2007.5，審計署信息系統(tǒng)審計研討會）信息系統(tǒng)審計成為審計署2008年度重大研究課題之一。審計署信息系統(tǒng)審計培訓開班（2008.5.28）審計署提出要基本形成符合中國國情的信息系統(tǒng)審計的理論和方法。（中國審計報）部分審計機關(guān)將2008年作為信息系統(tǒng)審計的探索之年。（中國審計報）相關(guān)部門正在積極醞釀并研究制定信息系統(tǒng)審計準則和指南但是“我們的信息系統(tǒng)審計仍處于探索階段”（石愛中語）COSO框架COSO—ERM框架和1992年的COSO報告一樣，也主要在“控制活動”和“信息溝通”中對IT控制做出相關(guān)規(guī)定。但是因為時隔12年，信息技術(shù)已經(jīng)有翻天覆地的變化，所以該框架在技術(shù)上對IT控制（包括一般控制和應用控制）作了更為廣泛、科學的描述?？刂苹顒?，指為確保風險管理策略有效執(zhí)行而制定的制度和程序，包括核準、授權(quán)、驗證、調(diào)整、復核、定期盤點、記錄核對、職能分工、資產(chǎn)保全、績效考核等。

信息溝通，指產(chǎn)生服務(wù)于規(guī)劃、執(zhí)行、監(jiān)督等管理活動的信息并適時向使用者提供的過程。COBITITIL服務(wù)支持流程事故管理問題管理變更管理版本管理配置管理服務(wù)提供流程可用性管理能力管理財務(wù)管理連續(xù)性管理服務(wù)水平管理ITIL流程間的關(guān)聯(lián)ISO27001標準ISO27001標準不是一個技術(shù)性的信息安全操作手冊，而一個通用的信息安全管理指南。它提出了11個安全要素，39個控制目標和133種控制措施。ISO17799中的11個要素分別是：◆

安全策略（Securitypolicy）；

◆

信息安全組織（Organizationofinformationsecurity）；

◆

資產(chǎn)管理（Assetmanagement）；

◆

人力資源安全（Humanresourcesecurity）；

◆

物理和環(huán)境安全（Physicalandenvironmentalsecurity）；◆

通信和操作管理（Communicationandoperationmanagement）；

◆

訪問控制（Accesscontrol）；

◆

信息系統(tǒng)獲取、開發(fā)和維護（Informationsystemsacquisition,developmentandmaintenance）；

◆

信息安全事件管理（Informationsecurityincidentmanagement）；

◆

業(yè)務(wù)連續(xù)性管理（Businesscontinuitymanagement）；

◆

符合性（Compliance）。

5.企業(yè)如何實施IT治理-----16字方針整體規(guī)劃，分步實施，關(guān)注試點，持續(xù)優(yōu)化--Thinkbig,dosmall,Dobig

5.企業(yè)如何實施IT治理-----16字方針整體規(guī)劃，分步實施，關(guān)注試點，持續(xù)優(yōu)化--Thinkbig,dosmall,Dobig

5.企業(yè)如何實施IT治理-----16字方針整體規(guī)劃，分步實施，關(guān)注試點，持續(xù)優(yōu)化--Thinkbig,dosmall,Dobig

5.企業(yè)如何實施IT治理-----16字方針整體規(guī)劃，分步實施，關(guān)注試點，持續(xù)優(yōu)化--Thinkbig,dosmall,Dobig外部合規(guī)要求：《中央企業(yè)全面風險管理指引》《國資委信息化水平評價》《企業(yè)內(nèi)部控制基本規(guī)范》《上海證券交易所上市公司內(nèi)部控制指引》美國SOX法案合規(guī)施工總承包企業(yè)特級資質(zhì)標準《國資委信息化水平評價》--合規(guī)2企業(yè)內(nèi)部控制應用指引內(nèi)部控制應用指引中的計算機信息系統(tǒng)具體規(guī)范則提出：企業(yè)在建立并實施計算機信息系統(tǒng)內(nèi)部控制制度中，至少應當強化對以下關(guān)鍵方面或者關(guān)鍵環(huán)節(jié)的風險控制，并采取相應的控制措施：（一）權(quán)責分配和職責分工應當明確，重大信息系統(tǒng)事項應履行審批程序；（二）信息系統(tǒng)開發(fā)、變更和維護流程應當清晰，授權(quán)審批程序應當明確；（三）信息系統(tǒng)應當建立訪問安全制度，操作權(quán)限、信息使用、信息管理應當有明確規(guī)定；（四）硬件管理事項和審批程序應當科學合理；（五）會計電算化流程應當規(guī)范，會計電算化操作管理、硬件、軟件和數(shù)據(jù)管理、會計電算化檔案管理和會計電算化賬務(wù)處理等制度應當完善?！渡虾ＷC券交易所上市公司內(nèi)部控制指引》--合規(guī)4第四條公司董事會對公司內(nèi)控制度的建立健全、有效實施及其檢查監(jiān)督負責，董事會及其全體成員應保證內(nèi)部控制相關(guān)信息披露內(nèi)容的真實、準確、完整。第十條公司使用計算機信息系統(tǒng)的，還應制定信息管理的內(nèi)控制度。

信息管理的內(nèi)控制度至少應涵蓋下列內(nèi)容：（一）信息處理部門與使用部門權(quán)責的劃分；（二）信息處理部門的功能及職責劃分（三）系統(tǒng)開發(fā)及程序修改的控制；（四）程序及資料的存取、數(shù)據(jù)處理的控制；（五）檔案、設(shè)備、信息的安全控制；IT治理成熟度診斷成熟度診斷的六個方面：IT權(quán)責體系IT戰(zhàn)略IT投資IT運維服務(wù)風險與合規(guī)IT人力資源成熟度模型的使用成熟度提供了一種簡單實用的管理工具，組織可以用于評估現(xiàn)狀，了解自身目前所處的地位，行業(yè)標桿和國際最佳實踐的水平。根據(jù)企業(yè)現(xiàn)狀和行業(yè)標桿、國際最佳實踐對比找出未來改進的方向，結(jié)合業(yè)務(wù)需求，將主要精力投入到關(guān)鍵的管理領(lǐng)域。成熟度模型等級有助于向管理層清晰地展示IT管理存在的缺陷，將組織的管理水平與國際最佳實踐相對照，從而確定組織的發(fā)展目標。服務(wù)臺·制定了制度文檔?！び蠷emedy和聯(lián)友自己開發(fā)的服務(wù)平臺支撐。

·有效回訪率56％。·呼損率指標目前由花都電信提供，不準確。事件管理·制定了事件管理流程和制度，并對故障進行分級。

·事件主要由人工觸發(fā)。沒有從監(jiān)控設(shè)備直接觸發(fā)的事件。問題管理·沒有明確的問題管理流程。

·有與IS部舉行例會解決問題的機制;有重大故障詳細報告。

·沒有主動分析事件、觸發(fā)問題的機制。配置管理·配置庫中對配置信息的分類層次清楚?！づ渲霉芾淼墓ぞ撸╮emedy）支撐配置管理?！づ渲霉芾硇畔⑤^基礎(chǔ)。變更管理·變更的申請、審批、測試、實施流程完備?！ぞo急變更流程未見相關(guān)文件。服務(wù)級別管理·有完善的服務(wù)級別管理，并分解到服務(wù)目錄。·針對不同的服務(wù)級別，有相應的控制措施?！ざㄆ跒镈FL提供服務(wù)報告。示例網(wǎng)絡(luò)設(shè)備、系統(tǒng)·一線人員上崗前參加相關(guān)技術(shù)培訓?！と狈y(tǒng)一的網(wǎng)絡(luò)、應用監(jiān)控平臺?！ひ阎贫ú糠植僮髁鞒?，未形成完整體系。數(shù)據(jù)中心·武漢機房管理較完善，十堰較為混亂?！み\維人員對雙機、均衡、災難恢復等技術(shù)掌握不熟練?！と狈κ录狈桨?。設(shè)備維護·運維工程師具備系統(tǒng)硬軟件維護的基本技能。·同客戶的溝通存在一定的問題。數(shù)據(jù)庫·一線工程師定期對數(shù)據(jù)庫進行備份和性能監(jiān)控的工作。·二線運維SE定期對系統(tǒng)進行評估和性能優(yōu)化；·同原廠商建立密切的聯(lián)系，經(jīng)常參加原廠商的技術(shù)培訓。示例信息安全戰(zhàn)略與策略·缺乏明確的信息安全體系策略文件組織的安全·沒有公司層面的安全組織；與第三方保持著良好的聯(lián)系資產(chǎn)管理·有資產(chǎn)清單，但資產(chǎn)羅列不全；信息分類不夠細致人力資源安全·沒有對入職員工進行信息安全背景調(diào)查，但簽署了保密協(xié)議；信息安全培訓較薄弱；離職時，缺乏撤銷訪問權(quán)限的流程物理和環(huán)境安全·基本符合國家機房安全相關(guān)規(guī)定，但十堰機房需加強管理信息和操作管理·網(wǎng)絡(luò)安全方面部署了較成熟的防護技術(shù)，但缺乏備份記錄，移動介質(zhì)的管理與銷毀流程訪問控制·在用戶訪問管理、網(wǎng)絡(luò)訪問控制、操作系統(tǒng)訪問控制、應用系統(tǒng)訪問控制和遠程工作方面具備了一定的權(quán)限管理辦法系統(tǒng)開發(fā)、獲取與維護·系統(tǒng)開發(fā)具備較完善的預防措施，但系統(tǒng)的測試數(shù)據(jù)沒有明確的保護措施。變更管理缺乏執(zhí)行力信息安全事件管理·信息安全事件管理能滿足業(yè)務(wù)需求，但管理流程還可進一步優(yōu)化災難恢復·具有冗余及預案流程，缺乏業(yè)務(wù)影響分析和風險評估,及意思培訓不到位符合性·遵守公司既定的各項策略IT人力資源人力資源地域分布情況技術(shù)經(jīng)驗分布情況流動情況示例培訓情況示例IT治理目標---價值提升，風險控制示例IT治理框架藍圖示例IT治理實施計劃供應商門戶信息化規(guī)劃/運營管理網(wǎng)絡(luò)平臺擴展推廣為公司統(tǒng)一信息平臺核心

產(chǎn)品規(guī)劃/協(xié)同研發(fā)管理網(wǎng)絡(luò)平臺搭建及優(yōu)化信息收集、研發(fā)項目管理財務(wù)/跟單/質(zhì)量管理應用優(yōu)化及推廣時間20072008網(wǎng)絡(luò)通訊產(chǎn)品研發(fā)管理企業(yè)資源計劃主要辦公流程電子化知識管理情報管理電子郵件辦公自動化IT系統(tǒng)管理、安全管理系統(tǒng)層面應用層面管理層面宣傳培訓、知識管理、應用推廣系統(tǒng)管理員工發(fā)展人事行政管理人力資源管理決策支持

應用拓展BI建設(shè)員工門戶客戶門戶企業(yè)門戶200920102011優(yōu)化客戶信息\機會\服務(wù)管理客戶關(guān)系管理

示例持續(xù)改進，不斷提升IT治理成熟度?股份制改造與現(xiàn)代企業(yè)制度?

“深化國有企業(yè)公司制股份制改革，健全現(xiàn)代企業(yè)制度，優(yōu)化國有經(jīng)濟布局和結(jié)構(gòu)，增強國有經(jīng)濟活力、控制力、影響力?！?一、股份經(jīng)濟的產(chǎn)生和發(fā)展（一）什么是股份經(jīng)濟

股份經(jīng)濟又稱股份制或股份制經(jīng)濟，它是指以入股的方式把分散的，屬于不同人所有的生產(chǎn)要素集中起來，統(tǒng)一使用，合理經(jīng)營，自負盈虧，按股分紅的一種財產(chǎn)組織形式。它的典型形式就是股份公司。（二）股份經(jīng)濟的產(chǎn)生和發(fā)展（三）股份經(jīng)濟在我國的產(chǎn)生和發(fā)展情況?二、股份經(jīng)濟的特征和作用（一）股份經(jīng)濟的特征1.經(jīng)營聯(lián)合性2.投資主體多元性3.產(chǎn)權(quán)關(guān)系明確性4.兩權(quán)分離性5.權(quán)利證券性6.投資風險性7.經(jīng)營管理科學性（二）股份經(jīng)濟的性質(zhì)?（三）股份經(jīng)濟的積極作用1.可以籌集大量的資金2.能夠把不同生產(chǎn)要素的所有者聯(lián)合起來3.促進資金的合理流動和增值4.有利于發(fā)展國際間的經(jīng)濟技術(shù)交流與合作5.有利于政企分開和促進國有企業(yè)轉(zhuǎn)換經(jīng)營機制?三、股份公司和股票（一）股份公司的兩種主要形式1.股份有限公司及其特征（1）公司是法人（2）股東不得少于法定數(shù)目（3）股份有限公司是典型的資合公司（4）股份有限公司的資本總額平分為金額相等的股份（5）股份可以自由轉(zhuǎn)讓、交易（6）股東只承擔有限責任（7）賬目公開?2.有限責任公司及其特征（1）股東人數(shù)較少（2）公司的資本不必劃分為等額的股份（3）公司的股份不允許上市流通、轉(zhuǎn)讓（4）公司設(shè)立程序簡單（5）公司賬目不公開（6）公司股東負有限責任?（二）股票

1.股票的基本特征權(quán)利性流通性價格與面值的差異性風險性非返還性

?2、股票與債券的區(qū)別收益不同；本金與期限不同；反映經(jīng)濟關(guān)系不同；市場價格表現(xiàn)不同。?3、股票的種類

按股東享有權(quán)利和承擔風險的大小不同可分為普通股和優(yōu)先股；按票面有無記名可分為記名股票和不記名股票；按股票有無票面金額可分為有票面金額股票和無票面金額股票?4、股票價格與股票價格指數(shù)1、股票價格股票價格=股息收入/銀行存款利息率2、股票價格指數(shù)股票價格指數(shù)是用來衡量整個股市價格水平的標準或尺度，它可以反映出股市價格中各種股票的平均變動情況，是股市變動的晴雨表，也是反映經(jīng)濟運行情況的晴雨表。世界幾種著名股票價格指數(shù)：道·瓊斯指數(shù)；日經(jīng)指數(shù)；金融時報指數(shù)；恒生指數(shù)。?5、股票發(fā)行與交易（1）股