集團(tuán)企業(yè)的IT治理內(nèi)容、工具與實(shí)例

集團(tuán)企業(yè)的IT治理內(nèi)容、工具與實(shí)例主要內(nèi)容IT治理是什么為什么要做IT治理IT治理的五大關(guān)鍵IT決策問題〔治理對(duì)象〕IT治理機(jī)制〔治理手段〕企業(yè)如何實(shí)施IT治理1.IT治理的本質(zhì)IT治理屬于公司治理的組成局部，是指導(dǎo)和控制IT資源的結(jié)構(gòu)，關(guān)系和過程，通過平衡風(fēng)險(xiǎn)和回報(bào)獲取IT價(jià)值，以實(shí)現(xiàn)企業(yè)目標(biāo)。價(jià)值實(shí)現(xiàn)，風(fēng)險(xiǎn)控制是IT治理的兩個(gè)核心。打個(gè)比方來說：“管理〞相當(dāng)于列車行駛時(shí)怎么開快火車;“治理〞那么是規(guī)定誰來做決策、鋪設(shè)怎樣軌道，誰來和怎么約束火車在軌道內(nèi)平安行駛因此，雖然是硬幣的兩面，但是治理卻更具統(tǒng)籌效應(yīng)。2為什么要IT治理2024年，麻省理工CISR研究中心與Gallup咨詢機(jī)構(gòu)合作，Ross和Weill教授通過實(shí)證研究說明IT治理有助于企業(yè)獲取高IT投資回報(bào)，好的IT治理模式可為企業(yè)增加20%以上的利潤(rùn)2024年4月2日，?2024年中國(guó)企業(yè)信息化指數(shù)調(diào)研報(bào)告?顯示中國(guó)企業(yè)IT治理普遍欠佳。尤其IT規(guī)劃、IT制度體系和IT評(píng)估缺失現(xiàn)象嚴(yán)重IT治理缺失的八大病癥：一是缺乏IT建設(shè)整體規(guī)劃、執(zhí)行隨意性較強(qiáng)，標(biāo)準(zhǔn)化和標(biāo)準(zhǔn)化等根底工作不到位，導(dǎo)致出現(xiàn)大量信息孤島，使公司面臨繁重的系統(tǒng)整合工作;二是業(yè)務(wù)部門與技術(shù)部門經(jīng)常出現(xiàn)“兩張皮〞現(xiàn)象，使到溝通交流困難;三是IT預(yù)算缺乏完整性，方案外工程過多;四是工程投資出現(xiàn)失誤或投資回報(bào)不高;五是工程管理缺乏控制手段，工程延期交付時(shí)有發(fā)生;六是IT事故責(zé)任不清，技術(shù)部門承擔(dān)責(zé)任過大;七是一些IT系統(tǒng)建成后沒人進(jìn)行后續(xù)跟蹤運(yùn)維、推廣和使用;八是缺少IT審計(jì)環(huán)節(jié)，不清楚IT價(jià)值何在，認(rèn)為IT只是工具，缺乏約束機(jī)制。為什么要做IT治理---兩大直接驅(qū)動(dòng)力價(jià)值----提高企業(yè)信息化成熟度+支撐企業(yè)戰(zhàn)略風(fēng)險(xiǎn)----IT過程控制+外部合規(guī)價(jià)值提升與風(fēng)險(xiǎn)控制：IT治理的最終目標(biāo)IT治理整體框架體系典型的IT治理主體：董事會(huì)與執(zhí)行層

業(yè)務(wù)部門管理者IT部門管理人員治理目標(biāo)治理組織結(jié)構(gòu)治理流程治理關(guān)系機(jī)制治理機(jī)制治理對(duì)象合規(guī)績(jī)效實(shí)現(xiàn)戰(zhàn)略IT投資IT基礎(chǔ)設(shè)施IT應(yīng)用IT架構(gòu)IT原則IT決策權(quán)安排IT投資的分類：把信息技術(shù)投資分為四類資產(chǎn)，分別是:交易流程信息管理流程戰(zhàn)略性開發(fā)或創(chuàng)新根底架構(gòu)任何一項(xiàng)IT投資都可能是這四類資產(chǎn)的任何組合。IT治理的五大對(duì)象：1.我們應(yīng)當(dāng)花多少錢?2哪些業(yè)務(wù)流程應(yīng)當(dāng)獲得資金?3哪些IT能力應(yīng)當(dāng)面向整個(gè)公司?4IT效勞要有多好?5.誰來承擔(dān)責(zé)任IT治理五大對(duì)象間關(guān)系IT原則的決策高層關(guān)于企業(yè)如何使用IT的陳述IT架構(gòu)決策組織從一系列政策、關(guān)系以及技術(shù)選擇中捕獲的數(shù)據(jù)、應(yīng)用和基礎(chǔ)設(shè)施的邏輯，以達(dá)到預(yù)期的商業(yè)、技術(shù)的標(biāo)準(zhǔn)化和一體化IT基礎(chǔ)設(shè)施決策集中協(xié)調(diào)、共享IT服務(wù)可以給企業(yè)的IT能力提供基礎(chǔ)IT投資和優(yōu)先順序決策關(guān)于應(yīng)該在IT的那些方面投資以及投資多少的決策。包括項(xiàng)目的審批和論證技術(shù)業(yè)務(wù)應(yīng)用需求決策為購(gòu)買或內(nèi)部開發(fā)IT應(yīng)用確定業(yè)務(wù)需求2

IT治理機(jī)制IT決策權(quán)力部署方式

決策原型IT原則IT架構(gòu)IT基礎(chǔ)設(shè)施戰(zhàn)略業(yè)務(wù)應(yīng)用需求IT投資輸入決策輸入決策輸入決策輸入決策輸入決策高級(jí)業(yè)務(wù)主管負(fù)責(zé)制√√高級(jí)IT主管負(fù)責(zé)制√√√業(yè)務(wù)部門負(fù)責(zé)制√總部與業(yè)務(wù)部門共同負(fù)責(zé)制√√√√√√IT與業(yè)務(wù)部門負(fù)責(zé)制√√√√√√√建立健全I(xiàn)T流程管控體系----IT治理機(jī)制典型IT治理機(jī)制治理結(jié)構(gòu)S1IT戰(zhàn)略委員會(huì)S2IT安全委員會(huì)S3IT指導(dǎo)委員會(huì)S4CIO直接向CEO負(fù)責(zé)S5CIO在執(zhí)行層中的地位治理流程P1IT戰(zhàn)略規(guī)劃P2IT績(jī)效管理流程（平衡積分卡）P3項(xiàng)目組合管理P4IT預(yù)算管理P5IT項(xiàng)目治理與跟蹤溝通機(jī)制R1IT領(lǐng)導(dǎo)力R2業(yè)務(wù)/IT關(guān)系經(jīng)理R3委員會(huì)正式會(huì)議實(shí)現(xiàn)IT治理的工具/方法信息系統(tǒng)審計(jì)的誕生1在美國(guó)、日本、英國(guó)、加拿大等興旺國(guó)家，信息系統(tǒng)審計(jì)已經(jīng)開展到相當(dāng)程度，信息系統(tǒng)審計(jì)的理念也已深入人心。從國(guó)外ISA開展歷史來看，它是與企業(yè)信息化的過程緊密聯(lián)系的，是企業(yè)信息化的必然要求。195460年代70年代80年代90年代

信息的收集、處理、傳遞和存儲(chǔ)都是由人來完成計(jì)算機(jī)出現(xiàn)之前對(duì)計(jì)算機(jī)有初步認(rèn)識(shí)計(jì)算機(jī)應(yīng)用蔓延信息系統(tǒng)在企業(yè)普及集成信息系統(tǒng)，MRP，MRPII應(yīng)用在財(cái)務(wù)，庫(kù)存，統(tǒng)計(jì)方面會(huì)計(jì)電算化出現(xiàn)計(jì)算機(jī)欺詐舞弊事件出現(xiàn)財(cái)務(wù)數(shù)據(jù)的采集是由整個(gè)信息系統(tǒng)實(shí)時(shí)完成信息系統(tǒng)網(wǎng)絡(luò)化，大型化電子數(shù)據(jù)處理審計(jì)1969年，電子數(shù)據(jù)處理審計(jì)師協(xié)會(huì)（EDPAA）在美國(guó)洛杉礬成立完全手工審計(jì)手工審計(jì)

+紙質(zhì)文檔審計(jì)開始重視對(duì)信息系統(tǒng)的審計(jì)信息系統(tǒng)審計(jì)師成為職業(yè)1994年，EDPAA更名為信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（ISACA）信息系統(tǒng)成為企業(yè)重要資產(chǎn)如何確保網(wǎng)絡(luò)平臺(tái)上的信息系統(tǒng)的安全、可靠和有效變得越來越重要。

信息系統(tǒng)審計(jì)的誕生

1

信息系統(tǒng)審計(jì)信息系統(tǒng)/技術(shù)信息技術(shù)作為企業(yè)發(fā)展的“銀彈”，投資額度不斷加大，投資失敗的風(fēng)險(xiǎn)日漸成了企業(yè)難以承受之重信息系統(tǒng)成為企業(yè)運(yùn)作，甚至是賴以生存的基礎(chǔ)，其安全、穩(wěn)定和可靠性需要得以保障審計(jì)審計(jì)面臨的環(huán)境發(fā)生變化，信息系統(tǒng)是很多被審單位內(nèi)部管理與控制的關(guān)鍵工具，審計(jì)的內(nèi)容和重點(diǎn)發(fā)生變化。ISA審計(jì)成為控制審計(jì)風(fēng)險(xiǎn)的必然要求（假電子數(shù)據(jù)真審？）“逐步開展對(duì)關(guān)系國(guó)計(jì)民生的重大行業(yè)、部門的聯(lián)網(wǎng)審計(jì)和信息系統(tǒng)審計(jì)，全面提高計(jì)算機(jī)應(yīng)用水平〞+引自：?審計(jì)署2024至2024年審計(jì)工作開展規(guī)劃?信息系統(tǒng)審計(jì)是我國(guó)審計(jì)開展的新路徑1信息化時(shí)代，我國(guó)的信息系統(tǒng)審計(jì)具備極大的需求和迫切性：信息系統(tǒng)審計(jì)被列入“金審工程〞二期的試點(diǎn)范圍〔2024.5，審計(jì)署信息系統(tǒng)審計(jì)研討會(huì)〕信息系統(tǒng)審計(jì)成為審計(jì)署2024年度重大研究課題之一。審計(jì)署信息系統(tǒng)審計(jì)培訓(xùn)開班〔2024.5.28〕審計(jì)署提出要根本形成符合中國(guó)國(guó)情的信息系統(tǒng)審計(jì)的理論和方法?！仓袊?guó)審計(jì)報(bào)〕局部審計(jì)機(jī)關(guān)將2024年作為信息系統(tǒng)審計(jì)的探索之年?！仓袊?guó)審計(jì)報(bào)〕相關(guān)部門正在積極醞釀并研究制定信息系統(tǒng)審計(jì)準(zhǔn)那么和指南但是“我們的信息系統(tǒng)審計(jì)仍處于探索階段〞〔石愛中語〕COSO框架COSO—ERM框架和1992年的COSO報(bào)告一樣，也主要在“控制活動(dòng)〞和“信息溝通〞中對(duì)IT控制做出相關(guān)規(guī)定。但是因?yàn)闀r(shí)隔12年，信息技術(shù)已經(jīng)有翻天覆地的變化，所以該框架在技術(shù)上對(duì)IT控制〔包括一般控制和應(yīng)用控制〕作了更為廣泛、科學(xué)的描述。控制活動(dòng)，指為確保風(fēng)險(xiǎn)管理策略有效執(zhí)行而制定的制度和程序，包括核準(zhǔn)、授權(quán)、驗(yàn)證、調(diào)整、復(fù)核、定期盤點(diǎn)、記錄核對(duì)、職能分工、資產(chǎn)保全、績(jī)效考核等。

信息溝通，指產(chǎn)生效勞于規(guī)劃、執(zhí)行、監(jiān)督等管理活動(dòng)的信息并適時(shí)向使用者提供的過程。COBITITIL服務(wù)支持流程事故管理問題管理變更管理版本管理配置管理服務(wù)提供流程可用性管理能力管理財(cái)務(wù)管理連續(xù)性管理服務(wù)水平管理ITIL流程間的關(guān)聯(lián)ISO27001標(biāo)準(zhǔn)ISO27001標(biāo)準(zhǔn)不是一個(gè)技術(shù)性的信息平安操作手冊(cè)，而一個(gè)通用的信息平安管理指南。它提出了11個(gè)平安要素，39個(gè)控制目標(biāo)和133種控制措施。ISO17799中的11個(gè)要素分別是：◆平安策略〔Securitypolicy〕；◆信息平安組織〔Organizationofinformationsecurity〕；◆資產(chǎn)管理〔Assetmanagement〕；◆人力資源平安〔Humanresourcesecurity〕；◆物理和環(huán)境平安〔Physicalandenvironmentalsecurity〕；◆通信和操作管理〔Communicationandoperationmanagement〕；◆訪問控制〔Accesscontrol〕；◆信息系統(tǒng)獲取、開發(fā)和維護(hù)〔Informationsystemsacquisition,developmentandmaintenance〕；◆信息平安事件管理〔Informationsecurityincidentmanagement〕；◆業(yè)務(wù)連續(xù)性管理〔Businesscontinuitymanagement〕；◆符合性〔Compliance〕。

5.企業(yè)如何實(shí)施IT治理-----16字方針整體規(guī)劃，分步實(shí)施，關(guān)注試點(diǎn)，持續(xù)優(yōu)化--Thinkbig,dosmall,Dobig

5.企業(yè)如何實(shí)施IT治理-----16字方針整體規(guī)劃，分步實(shí)施，關(guān)注試點(diǎn)，持續(xù)優(yōu)化--Thinkbig,dosmall,Dobig

5.企業(yè)如何實(shí)施IT治理-----16字方針整體規(guī)劃，分步實(shí)施，關(guān)注試點(diǎn)，持續(xù)優(yōu)化--Thinkbig,dosmall,Dobig

5.企業(yè)如何實(shí)施IT治理-----16字方針整體規(guī)劃，分步實(shí)施，關(guān)注試點(diǎn)，持續(xù)優(yōu)化--Thinkbig,dosmall,Dobig外部合規(guī)要求：?中央企業(yè)全面風(fēng)險(xiǎn)管理指引??國(guó)資委信息化水平評(píng)價(jià)??企業(yè)內(nèi)部控制根本標(biāo)準(zhǔn)??上海證券交易所上市公司內(nèi)部控制指引?美國(guó)SOX法案合規(guī)施工總承包企業(yè)特級(jí)資質(zhì)標(biāo)準(zhǔn)?國(guó)資委信息化水平評(píng)價(jià)?--合規(guī)2企業(yè)內(nèi)部控制應(yīng)用指引內(nèi)部控制應(yīng)用指引中的計(jì)算機(jī)信息系統(tǒng)具體標(biāo)準(zhǔn)那么提出：企業(yè)在建立并實(shí)施計(jì)算機(jī)信息系統(tǒng)內(nèi)部控制制度中，至少應(yīng)當(dāng)強(qiáng)化對(duì)以下關(guān)鍵方面或者關(guān)鍵環(huán)節(jié)的風(fēng)險(xiǎn)控制，并采取相應(yīng)的控制措施：〔一〕權(quán)責(zé)分配和職責(zé)分工應(yīng)當(dāng)明確，重大信息系統(tǒng)事項(xiàng)應(yīng)履行審批程序；〔二〕信息系統(tǒng)開發(fā)、變更和維護(hù)流程應(yīng)當(dāng)清晰，授權(quán)審批程序應(yīng)當(dāng)明確；〔三〕信息系統(tǒng)應(yīng)當(dāng)建立訪問平安制度，操作權(quán)限、信息使用、信息管理應(yīng)當(dāng)有明確規(guī)定；〔四〕硬件管理事項(xiàng)和審批程序應(yīng)當(dāng)科學(xué)合理；〔五〕會(huì)計(jì)電算化流程應(yīng)當(dāng)標(biāo)準(zhǔn)，會(huì)計(jì)電算化操作管理、硬件、軟件和數(shù)據(jù)管理、會(huì)計(jì)電算化檔案管理和會(huì)計(jì)電算化賬務(wù)處理等制度應(yīng)當(dāng)完善。?上海證券交易所上市公司內(nèi)部控制指引?--合規(guī)4第四條公司董事會(huì)對(duì)公司內(nèi)控制度的建立健全、有效實(shí)施及其檢查監(jiān)督負(fù)責(zé)，董事會(huì)及其全體成員應(yīng)保證內(nèi)部控制相關(guān)信息披露內(nèi)容的真實(shí)、準(zhǔn)確、完整。第十條公司使用計(jì)算機(jī)信息系統(tǒng)的，還應(yīng)制定信息管理的內(nèi)控制度。信息管理的內(nèi)控制度至少應(yīng)涵蓋以下內(nèi)容：〔一〕信息處理部門與使用部門權(quán)責(zé)的劃分；〔二〕信息處理部門的功能及職責(zé)劃分〔三〕系統(tǒng)開發(fā)及程序修改的控制；〔四〕程序及資料的存取、數(shù)據(jù)處理的控制；〔五〕檔案、設(shè)備、信息的平安控制；IT治理成熟度診斷成熟度診斷的六個(gè)方面：IT權(quán)責(zé)體系IT戰(zhàn)略IT投資IT運(yùn)維效勞風(fēng)險(xiǎn)與合規(guī)IT人力資源成熟度模型的使用成熟度提供了一種簡(jiǎn)單實(shí)用的管理工具，組織可以用于評(píng)估現(xiàn)狀，了解自身目前所處的地位，行業(yè)標(biāo)桿和國(guó)際最佳實(shí)踐的水平。根據(jù)企業(yè)現(xiàn)狀和行業(yè)標(biāo)桿、國(guó)際最佳實(shí)踐對(duì)比找出未來改進(jìn)的方向，結(jié)合業(yè)務(wù)需求，將主要精力投入到關(guān)鍵的管理領(lǐng)域。成熟度模型等級(jí)有助于向管理層清晰地展示IT管理存在的缺陷，將組織的管理水平與國(guó)際最佳實(shí)踐相對(duì)照，從而確定組織的發(fā)展目標(biāo)。服務(wù)臺(tái)·制定了制度文檔。·有Remedy和聯(lián)友自己開發(fā)的服務(wù)平臺(tái)支撐。

·有效回訪率56％?！ず魮p率指標(biāo)目前由花都電信提供，不準(zhǔn)確。事件管理·制定了事件管理流程和制度，并對(duì)故障進(jìn)行分級(jí)。

·事件主要由人工觸發(fā)。沒有從監(jiān)控設(shè)備直接觸發(fā)的事件。問題管理·沒有明確的問題管理流程。

·有與IS部舉行例會(huì)解決問題的機(jī)制;有重大故障詳細(xì)報(bào)告。

·沒有主動(dòng)分析事件、觸發(fā)問題的機(jī)制。配置管理·配置庫(kù)中對(duì)配置信息的分類層次清楚?！づ渲霉芾淼墓ぞ撸╮emedy）支撐配置管理?！づ渲霉芾硇畔⑤^基礎(chǔ)。變更管理·變更的申請(qǐng)、審批、測(cè)試、實(shí)施流程完備?！ぞo急變更流程未見相關(guān)文件。服務(wù)級(jí)別管理·有完善的服務(wù)級(jí)別管理，并分解到服務(wù)目錄?！め槍?duì)不同的服務(wù)級(jí)別，有相應(yīng)的控制措施。·定期為DFL提供服務(wù)報(bào)告。例如網(wǎng)絡(luò)設(shè)備、系統(tǒng)·一線人員上崗前參加相關(guān)技術(shù)培訓(xùn)?！と狈y(tǒng)一的網(wǎng)絡(luò)、應(yīng)用監(jiān)控平臺(tái)。·已制定部分操作流程，未形成完整體系。數(shù)據(jù)中心·武漢機(jī)房管理較完善，十堰較為混亂?！み\(yùn)維人員對(duì)雙機(jī)、均衡、災(zāi)難恢復(fù)等技術(shù)掌握不熟練?！と狈κ录?yīng)急方案。設(shè)備維護(hù)·運(yùn)維工程師具備系統(tǒng)硬軟件維護(hù)的基本技能?！ね蛻舻臏贤ù嬖谝欢ǖ膯栴}。數(shù)據(jù)庫(kù)·一線工程師定期對(duì)數(shù)據(jù)庫(kù)進(jìn)行備份和性能監(jiān)控的工作。·二線運(yùn)維SE定期對(duì)系統(tǒng)進(jìn)行評(píng)估和性能優(yōu)化；·同原廠商建立密切的聯(lián)系，經(jīng)常參加原廠商的技術(shù)培訓(xùn)。例如信息安全戰(zhàn)略與策略·缺乏明確的信息安全體系策略文件組織的安全·沒有公司層面的安全組織；與第三方保持著良好的聯(lián)系資產(chǎn)管理·有資產(chǎn)清單，但資產(chǎn)羅列不全；信息分類不夠細(xì)致人力資源安全·沒有對(duì)入職員工進(jìn)行信息安全背景調(diào)查，但簽署了保密協(xié)議；信息安全培訓(xùn)較薄弱；離職時(shí)，缺乏撤銷訪問權(quán)限的流程物理和環(huán)境安全·基本符合國(guó)家機(jī)房安全相關(guān)規(guī)定，但十堰機(jī)房需加強(qiáng)管理信息和操作管理·網(wǎng)絡(luò)安全方面部署了較成熟的防護(hù)技術(shù)，但缺乏備份記錄，移動(dòng)介質(zhì)的