3集团企业IT治理内容、工具与实例

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,IT,治理,内容、工具与实例,1,主要内容,IT,治理是什么,为什么要做,IT,治理,IT,治理的五大关键,IT,决策问题（治理对象）,IT,治理机制（治理手段）,企业如何实施,IT,治理,2,1. IT,治理的本质,IT,治理,属于公司治理的组成部分，是,指导和控制,IT,资源的结构，关系和过程，通过平衡风险和回报获取,IT,价值，以实现企业目标,。,价值,实现,，风险控制是,IT,治理的,两个,核心,。,打个比方来说：,“管理”相当于列车行驶时怎么开快火车,;,“治理”,则是规定谁来做决策、铺设怎样轨道，谁来和怎么约束火车在轨道内安全行驶,因此，虽然是硬币的两面，但是治理却更具统筹效应。,3,2,为什么要,IT,治理,2005,年，,麻省理工,CISR,研究中心,与,Gallup,咨询机构合作，,Ross,和,Weill,教授通过实证研究表明,IT,治理有助于企业获取高,IT,投资回报,，好的,IT,治理模式可为企业增加,20%,以上的,利润,2010,年,4,月,2,日，,2010,年中国企业信息化指数调研报告,显示中国企业,IT,治理普遍欠佳。,尤其,IT,规划、,IT,制度体系和,IT,评估缺失现象严重,4,IT,治理缺失的八大症状：,一是缺乏,IT,建设整体规划、执行随意性较强，标准化和规范化等基础工作不到位，导致出现大量信息孤岛，使公司面临繁重的系统整合工作,;,二是业务部门与技术部门经常出现“两张皮”现象，使到沟通交流困难,;,三是,IT,预算缺乏完整性，计划外项目过多,;,四是项目投资出现失误或投资回报不高,;,五是项目管理缺乏控制手段，项目延期交付时有发生,;,六是,IT,事故责任不清，技术部门承担责任过大,;,七是一些,IT,系统建成后没人进行后续跟踪运维、推广和使用,;,八是缺少,IT,审计环节，不清楚,IT,价值何在，认为,IT,只是工具，缺乏约束机制。,5,为什么要做,IT,治理,-,两大直接驱动力,价值,-,提高企业信息化成熟度,+,支撑企业战略,风险,- IT,过程控制,+,外部合规,价值提升与风险控制：,IT,治理的最终目标,6,IT,治理整体框架体系,典型的,IT,治理主体：,董事会与执行层,业务部门管理者,IT,部门管理人员,治理目标,治理组织结构,治理流程,治理关系机制,治理机制,治理对象,合 规,绩 效,实现战略,IT,投资,IT,基础设施,IT,应用,IT,架构,IT,原则,IT,决策权安排,7,IT,投资的分类：,把信息技术投资分为四类资产，分别是,:,交易流程,信息管理流程,战略性开发或创新,基础架构,任何一项,IT,投资都可能是这四类资产的任何组合。,8,IT,治理的五大对象,：,1.,我们应当花多少钱,?,2,哪些业务流程应当获得资金,?,3,哪些,IT,能力应当面向整个公司,?,4 IT,服务要有多好,?,5.,谁来承担责任,9,IT,治理五大对象间关系,IT,原则的决策,高层关于企业如何使用,IT的陈述,IT,架构决策,组织从一系列政策、关系以及技术选择中捕获的数据、应用和基础设施的逻辑，以达到预期的商业、技术的标准化和一体化,IT,基础设施决策,集中协调、共享,IT服务可以给企业的IT能力提供基础,IT,投资和优先顺序决策,关于应该在,IT的那些方面投资以及投资多少的决策。包括项目的审批和论证技术,业务应用需求决策,为购买或内部开发,IT应用确定业务需求,10,2,IT,治理机制,11,IT,决策权力部署方式,12,建立健全,IT,流程管控体系,-IT,治理机制,13,典型,IT,治理机制,治理结构,S1,IT战略委员会,S2,IT安全委员会,S3,IT指导委员会,S4,CIO直接向CEO负责,S5,CIO在执行层中的地位,治理流程,P1,IT战略规划,P2,IT绩效管理流程（平衡积分卡）,P3,项目组合管理,P4,IT预算管理,P5,IT项目治理与跟踪,沟通机制,R1,IT领导力,R2,业务,/IT关系经理,R3,委员会正式会议,14,实现,IT,治理的工具,/,方法,15,信息系统审计的诞生,1,在美国、日本、英国、加拿大等发达国家，信息系统审计已经发展到相当程度，信息系统审计的理念也已深入人心。,从国外,ISA,发展历史来看，它是与企业信息化的过程紧密联系的，是企业信息化的必然要求。,1954 60,年代,70,年代,80,年代,90,年代,信息的收集、处理、传递和存储都是由人来完成,计算机出现之前,对计算机有初步认识,计算机应用蔓延,信息系统在企业普及,集成信息系统，,MRP,，,MRPII,应用在财务，库存，统计方面,会计电算化出现,计算机欺诈舞弊事件出现,财务数据的采集是由整个信息系统实时完成,信息系统网络化，,大型化,电子数据处理审计,1969,年，电子数据处理审计师协会（,EDPAA,）在美国洛杉矾成立,完全手工审计,手工审计,+,纸质文档审计,开始重视对信息系统的审计,信息系统审计师成为职业,1994,年，,EDPAA,更名为信息系统审计与控制协会（,ISACA,）,信息系统成为企业重要资产,如何确保网络平台上的信息系统的安全、可靠和有效变得越来越重要。,16,信息系统审计的诞生,1,信息系统审计,信息系统,/,技术,信息技术作为企业发展的,“,银弹,”,，投资额度不断加大，投资失败的风险日渐成了企业难以承受之重,信息系统成为企业运作，甚至是赖以生存的基础，其安全、稳定和可靠性需要得以保障,审计,审计面临的环境发生变化，信息系统是很多被审单位内部管理与控制的关键工具，审计的内容和重点发生变化。,ISA,审计成为控制审计风险的必然要求 （假电子数据真审？）,“逐步开展对关系国计民生的重大行业、部门的联网审计和信息系统审计，全面提高计算机应用水平”,+,引自：,审计署,2006,至,2010,年审计工作发展规划,17,信息系统审计是我国审计发展的新路径,1,信息化时代，我国的信息系统审计具备极大的需求和迫切性：,信息系统审计被列入,“,金审工程,”,二期的试点范围（,2007.5,，审计署信息系统审计研讨会）,信息系统审计成为审计署,2008,年度重大研究课题之一。,审计署信息系统审计培训开班（,2008.5.28,）,审计署提出要基本形成符合中国国情的信息系统审计的理论和方法。 （中国审计报）,部分审计机关将,2008,年作为信息系统审计的探索之年。（中国审计报）,相关部门正在积极酝酿并研究制定信息系统审计准则和指南,但是,“,我们的信息系统审计仍处于探索阶段,”,（石爱中语）,18,COSO,框架,COSOERM,框架和,1992,年的,COSO,报告一样，也主要在“控制活动”和“信息沟通”中对,IT,控制做出相关规定。,但是因为时隔,12,年，信息技术已经有翻天覆地的变化，所以该框架在技术上对,IT,控制（包括一般控制和应用控制）作了更为广泛、科学的描述。,控制活动，指为确保风险管理策略有效执行而制定的制度和程序，包括核准、授权、验证、调整、复核、定期盘点、记录核对、职能分工、资产保全、绩效考核等。,信息沟通，指产生服务于规划、执行、监督等管理活动的信息并适时向使用者提供的过程。,19,COBIT,20,ITIL,服务支持流程,事故管理,问题管理,变更管理 版本管理 配置管理,服务提供流程,可用性管理 能力管理,财务管理 连续性管理,服务水平管理,21,ITIL,流程间的关联,22,ISO27001,标准,ISO27001,标准不是一个技术性的信息安全操作手册，而一个通用的信息安全管理指南。它提出 了,11,个安全要素，,39,个控制目标和,133,种控制措施。,ISO17799,中的,11,个要素分别是：,安全策略（,Security policy,）；,信息安全组织（,Organization of information security,）；,资产管理（,Asset management,）；,人力资源安全 （,Human resource security,）；,物理和环境安全（,Physical and environmental security,）；,23,通信和操作管理（,Communication and operation management,）；,访问控制（,Access control,）；,信息系统获取、开发和维护（,Information systems acquisition, development and,maintenance,）；,信息安全事件管理（,Information security incident management,）；,业务连续性管理（,Business continuity management,）；,符合性（,Compliance,）。,24,5.,企业如何实施,IT,治理,-16,字方针,整体规划，分步实施，关注试点，持续优化,-Think big, do small, Do big,25,5.,企业如何实施,IT,治理,-16,字方针,整体规划，分步实施，关注试点，持续优化,-Think big, do small, Do big,26,5.,企业如何实施,IT,治理,-16,字方针,整体规划，分步实施，关注试点，持续优化,-Think big, do small, Do big,27,5.,企业如何实施,IT,治理,-16,字方针,整体规划，分步实施，关注试点，持续优化,-Think big, do small, Do big,28,外部合规要求：,中央企业全面风险管理指引,国资委信息化水平评价,企业内部控制基本规范,上海证券交易所上市公司内部控制指引,美国,SOX,法案合规,施工总承包企业特级资质标准,29,国资委信息化水平评价,-,合规,2,30,企业,内部控制应用指引,内部控制应用指引中的计算机信息系统具体规范则提出：企业在建立并实施计算机信息系统内部控制制度中，至少应当强化对以下关键方面或者关键环节的风险控制，并采取相应的控制措施：,（一）权责分配和职责分工应当明确，重大信息系统事项应履行审批程序；,（二）信息系统开发、变更和维护流程应当清晰，授权审批程序应当明确；,（三）信息系统应当建立访问安全制度，操作权限、信息使用、信息管理应当有明确规定；,（四）硬件管理事项和审批程序应当科学合理；,（五）会计电算化流程应当规范，会计电算化操作管理、硬件、软件和数据管理、会计电算化档案管理和会计电算化账务处理等制度应当完善。,31,上海证券交易所上市公司内部控制指引,-,合规,4,第四条,公司董事会对公司内控制度的建立健全、有效实施及其检查监督负责，董事会及其全体成员应保证内部控制相关信息披露内容的真实、准确、完整。,第十条,公司使用计算机信息系统的，还应制定信息管理的内控制度。,信息管理的内控制度至少应涵盖下列内容：,（一）信息处理部门与使用部门权责的划分；,（二）信息处理部门的功能及职责划分,（三）系统开发及程序修改的控制；,（四）程序及资料的存取、数据处理的控制；,（五）档案、设备、信息的安全控制；,32,IT,治理成熟度诊断,成熟度诊断的六个方面：,IT,权责体系,IT,战略,IT,投资,IT,运维服务,风险与合规,IT,人力资源,33,34,成熟度模型的使用,成熟度提供了一种简单实用的管理工具，组织可以用于评估现状，了解自身目前所处的地位，行业标杆和国际最佳实践的水平。,根据企业现状和行业标杆、国际最佳实践对比找出未来改进的方向，结合业务需求，将主要精力投入到关键的管理领域。,成熟度模型等级有助于向管理层清晰地展示,IT,管理存在的缺陷，将组织的管理水平与国际最佳实践相对照，从而确定组织的发展目标。,35,服务台,制定了制度文档。,有,Remedy,和联友自己开发的服务平台支撑。,有效回访,率,56,。,呼损率指标目前由花都电信提供，不准确,。,事件管理,制定了事件管理流程和制度，并对故障进行分级。,事件主要由人工触发。没有从监控设备直接触发的事件。,问题管理,没有明确的问题管理流程,。,有与,IS,部举行例会解决问题的机制,;,有重大故障详细报告。,没有主动分析事件、触发问题的机制 。,配置管理,配置库中对配置信息的分类层次清楚,。,配置管理的工具（,remedy,）支撑配置管理,。,配置管理,信息较基础。,变更管理,变更的申请、审批、测试、实施流程完备,。,紧急变更流程未见相关文件,。,服务级别管理,有完善的服务级别管理，并分解到服务目录,。,针对不同的服务级别，有相应的控制措施。,定期为,DFL,提供服务报告。,示例,36,网络设备、系统,一线人员上岗前参加相关技术培训。,缺乏统一的网络、应用监控平台。,已制定部分操作流程，未形成完整体系。,数据中心,武汉机房管理较完善，十堰较为混乱。,运维人员对双机、均衡、灾难恢复等技术掌握不熟练。,缺乏事件应急方案。,设备维护,运维工程师具备系统硬软件维护的基本技能。,同客户的沟通存在一定的问题。,数据库,一线工程师定期对数据库进行备份和性能监控的工作。,二线运维,SE,定期对系统进行评估和性能优化；,同原厂商建立密切的联系，经常参加原厂商的技术培训。,示例,37,信息安全战略与策略,缺乏明确的信息安全体系策略文件,组织的安全,没有公司层面的安全组织；与第三方保持着良好的联系,资产管理,有资产清单，但资产罗 列不全；信息分类不够细致,人力资源安全,没有对入职员工进行信息安全背景调查，但签署了保密协议；信息安全培训较薄弱；离职时，缺乏撤销访问权限的流程,物理和环境安全,基本符合国家机房安全相关规定，但十堰机房需加强管理,信息和操作管理,网络安全方面部署了较成熟的防护技术，但缺乏备份记录，移动介质的管理与销毁流程,访问控制,在用户访问管理、网络访问控制、操作系统访问控制、应用系统访问控制和远程工作方面具备了一定的权限管理办法,系统开发、获取与维护,系统开发具备较完善的预防措施，但系统的测试数据没有明确的保护措施。变更管理缺乏执行力,信息安全事件管理,信息安全事件管理能满足业务需求，但管理流程还可进一步优化,灾难恢复,具有冗余及预案流程，缺乏业务影响分析和风险评估,及意思培训不到位,符合性,遵守公司既定的各项策略,38,IT,人力资源,人力资源地域分布情况,技术经验分布情况,流动情况,示例,39,培训情况,示例,40,IT,治理目标,-,价值提升，风险控制,示例,41,IT,治理框架蓝图,示例,42,IT,治理实施计划,供应商门户,信息化规划,/,运营管理,网络平台扩展,推广为公司,统一信息平台核心,产品规划,/,协同研发管理,网络平台搭建及优化,信息收集、研发项目管理,财务,/,跟单,/,质量管理应用优化及推广,时间,200,7,200,8,网络通讯,产品研发管理,企业资源计划,主要办公流程电子化,知识管理,情报管理,电子邮件,办公自动化,IT,系统管理、安全管理,系统层面,应用层面,管理层面,宣传培训、知识管理、应用推广,系统管理,员工发展,人事行政管理,人力资源管理,决策支持,应用拓展,BI,建设,员工门户,客户门户,企业门户,200,9,20,10,20,11,优化,客户信息,机会,服务管理,客户关系管理,示 例,43,持续改进，不断提升,IT,治理成熟度,44,