IT治理：一种对现实难题的探索

,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,1,信息系统（,IS,）审计是指根据公认的标准和指导规范对信息系统及其业务应用的效能、效率、安全性进行监测、评估和控制的过程，以完成组织的战略目标，同时最经济的使用资源。,2,审计对象,变革管理,数据中心运维,信息安全,网络管理,基础设施,数据库管理,硬件管理,绩效与容量,问题管理,灾难回复与业务持续,软件管理,通信,技术支持服务,系统开发,3,1.,理解客户业务、系统、环境等,2.,识别并评估风险,(risk),3.,检查是否存在足够的控制（,control,）来补偿这些风险,4.,对控制进行测试和评价,5.,提出审计结论和报告,4,商业环境更加复杂多变,业务重组、裁员、外包、充分授权、扁平化组织和分布式处理等等,信息和信息技术对于很多组织意味着最重要的资产，这导致,IT,本身已经或潜在成为一个巨大的威胁，随,IT,而来的风险、利益和机会使得,IT,治理成为公司和政府治理中很关键的一个方面。,5,首先，各自为政。,其次，信息化建设领导者错位，,IT,应用方案和企业业务需求之间逻辑错位。 。,第三，决策的技术经济论证不足。,第四，信息资源的合理应用一直是我国信息化的薄弱环节。,第五，利益冲突和信息的不透明。,6,第六，,IT,安全治理和风险管理缺位。,第七，非技术性的障碍。,第八，重硬件购买，轻软件和咨询服务。,7,第九，信息化建设找不到重心。,在做正确的事吗？,例如，信息化到底是什么？我们究竟应该走多远？,这些事是在用正确的方法吗？,例如，企业在最普通而又最关键的部分进行计算机管理就不是信息化吗？关键成功要素是什么？不能达到我们目标的风险是什么？,这些事被做好了吗？,例如，有没有一个测量标准用于判断何时肯定会出现错误？其他的组织在做什么？我们应该怎样进行测量与比较？,我们得到受益了吗？,那么，,IT,成本与利润比例多少算是合适？,有没有贯通风险、控制需要和技术问题这三者之间的桥梁？,8,总之，一个治理机制不完善的企业很难对外部竞争有积极的反应，从而很难有十分高的经营效率；相反，市场竞争的效率也来自于企业治理机制的完善，如果市场中的企业治理机制普遍不完善，企业之间就不可能进行充分有效的市场竞争。市场竞争最终要通过企业自身治理机制的改善才能使企业经营效率提高。,9,德勤定义如下,: IT,治理是一个含义广泛的术语，包括信息系统、技术、通讯、商业、所有利益相关者、合法性和其他问题。其主要任务是：保持,IT,与业务目标一致，推动业务发展，促使收益最大化，合理利用,IT,资源，,IT,相关风险的适当管理。,10,Robert s. Roussey,（美国南加州大学教授）认为：,IT,治理用于描述被委托治理实体的人员在监督、检查、控制和指导实体的过程中如何看待信息技术。,IT,的应用对于组织能否达到它的远景、使命、战略目标至关重要。,11,国际信息系统审计与控制协会,(ISACA),定义如下：,IT,治理是一个由关系和过程所构成的体制，用于指导和控制企业，通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。,12,大力推动银行流程化与流程标准化的管理，建立全行级的跨部门的,IT,治理决策机构来决定,IT,项目实施的顺序，加强全行的管理与流程执行的纪律，与,IT,行业的供应商结成战略联盟,将战略伙伴的价值并入到价值链。,13,IT,治理必须与企业战略目标一致，,IT,对于企业非常关键，也是战略规划的组成，影响战略竞争。,IT,治理和其它治理主体一样，是管理执行人员和利益相关者的责任（以董事会为代表）。,IT,治理保护利益相关者的权益，使风险透明化，指导和控制,IT,投资、机遇、利益、风险。,信息技术治理包括管理层、组织结构、过程，以确保,IT,维持和拓展组织战略目标。,14,应该合理利用企业的信息资源，有效地集成与协调。,确保,IT,及时按照目标交付，有合适的功能和期望的收益，是一个一致性和价值传递的基本构建模块，有明确的期望值和衡量手段。,引导,IT,战略平衡系统的投资，支持企业， 变革企业，或者创建一个信息基础架构，保证业务增长，并在一个新的领域竞争。,对于核心,IT,资源做出合理的决策，进入新的市场，驱动竞争策略，创造总的收入增长，改善客户满意度，维系客户关系。,15,IT,治理,与业务目标一致,IT,治理,有效利用信息资源,IT,治理,风险管理,16,IT,治理要从组织目标和信息化战略中抽取信息需求和功能需求，形成总体的,IT,治理框架和系统整体模型，为进一步系统设计和实施奠定基础，保证信息技术跟上持续变化的业务目标。,17,目前信息化工程超期、,IT,客户的需求没有满足、,IT,平台不支持业务应用等问题较为突出，通过,IT,治理可以对信息资源的管理职责进行有效管理，保证投资的回收，并支持决策。,18,IT,治理强调风险管理，通过制定信息资源的保护级别，强调关键的信息技术资源，有效实施监控，事故处理。,IT,治理使企业适应外部环境变化，为企业内部实现对业务流程中资源的有效利用，从而达到改善管理效率和水平的重要手段。,19,IT,治理的目标将帮助管理层建立以组织战略为导向,以外界环境为依据,以业务与,IT,整合为中心的观念，正确定位,IT,部门在整个组织中的作用。最终能够针对不同业务发展要求，整合信息资源，制定并执行推动组织发展的,IT,战略。,20,发现信息技术本身的问题,了解管理者如何处理,IT,问题,自我评估,IT,管理的效果,21,例如，是否经常向最高管理层（董事会）定期汇报,IT,风险；,IT,是否是最高管理层（董事会）议程中的一个常用的术语，它是否以结构化形式表达；最高管理层（董事会）是否就商业目标与信息技术一致性进行阐明和沟通；最高管理层（董事会）对主要,IT,投资是否有清楚的观点，包括风险和回报；最高管理层（董事会）是否定期得到主要,IT,过程的报告；最高管理层（董事会）在获取,IT,目标和限制,IT,风险时是否得到独立的保证。,返回,22,例如，,IT,和组织战略目标的一致性程度怎么样；怎样衡量,IT,的交付价值；执行管理人员采取什么样的战略动机来管理,IT,；与企业的运营与成长管理相关的问题；企业是否清楚其商业目标与技术的关系：领先、跟随者还是滞后者；企业对风险（风险规避和风险承担）是否清楚；有没有最新的企业相关,IT,风险的清单，采取哪些行动处理这些风险。,返回,23,例如,IT,项目未能实现期望价值的概率；终端用户是否满意,IT,服务的质量；是否有足够的,IT,资源、基础设施、竞争力来满足战略目标；信息技术平均操作失误的原因；,IT,没有推动业务改善而是阻碍业务的次数。,返回,24,IT,治理和其它治理活动一样，集中在最高管理层（董事会）和执行管理层。,好的,IT,治理实践需要在企业全部范围内推行。,IT,治理使得最高管理层（董事会）和执行经理的一系列活动成为可能。这些活动主要包括：,IT,的目标，新技术的机遇和风险，关键过程与核心竞争力。如指导信息技术的职能和对企业的影响，分配责任，定义操作，业绩衡量，管理风险和获得保证的约束等。,25,公司治理主要关注利益相关者权益和管理，包括一系列责任和条例，由最高管理层（董事会）和执行管理者实施，目标是提供战略方向，保证目标能够实现，风险适当管理，企业的资源合理使用。,26,公司治理，驱动和调整,IT,治理。同时，,IT,能够提供关键的输入，形成战略计划的一个重要组成部分，这被认为是公司治理的一个重要功能,IT,影响企业的战略竞争机遇。,IT,治理的一个关键性问题是：公司的,IT,投资是否与战略目标相一致，从而构筑必要的核心竞争力。,27,公司治理和,IT,治理的关系,公司治理,IT,治理,驱动和设定,IT,治理活动,公司治理活动,从下面获取信息,28,概括地说，公司治理和,IT,治理都是市场（含政府）他律的机制，是如何“管好管理者”的机制，其目标也是一致的：达到业务永续运营，并增加组织的长期获利机会。,企业治理侧重于企业整体规划，,IT,治理侧重于企业中信息资源的有效利用和管理。,29,“,斯达模式”这一被誉为国企摆脱困境、改革发展的创新模式，正说明了公司治理和,IT,治理的重要性和互动关系。“黑纸”利用合资契机，对产权体制进行了改革，并按照现代企业制度要求，建立与市场竞争相适应的公司治理机制，明晰了企业产权，优化了生产要素配置，转变了职工观念，为斯达大力进行信息化改造创造了有力条件。反过来，信息化也促进了公司的现代化管理。,30,IT,管理是公司的信息及信息系统的运营，确定,IT,目标以及实现此目标所采取的行动；而,IT,治理是指最高管理层（董事会）利用它来监督管理层在,IT,战略上的过程、结构和联系，以确保这种运营处于正确的轨道之上。,31,COBIT,（,Control Objectives for Information and related Technology,），代表信息及相关技术的控制目标，是,IT,治理的一个开放性标准，由美国,IT,治理研究院开发与推广,目前已成为国际上公认的最先进、最全面、最权威的,IT,管理和控制的标准。,该标准为,IT,的治理、安全与控制提供了一个一般适用的公认的标准，以辅助管理层进行,IT,治理。该标准体系已在世界一百多个国家的重要组织与企业中运用，指导这些组织有效利用信息资源，有效地管理与信息相关的风险。,32,组织战略目标,IT,治理,C,OBI,T,信息,规划与组织,获得与实施,交付与支持,监控,IT,资源,33,获得和实施,交付与支持,规划与组织,监控,IT,开发,IT,运维,业务战略,IT,战略,34,定义,IT,战略规划,定义信息体系结构 确定技术方向,定义,IT,组织与关系 管理,IT,投资,传达管理目标和方向 人力资源管理,确保与外部需求的一致性 风险评估,项目管理 质量管理,35,确定自动化的解决方案,获取并维护应用程序软件,获取并维护技术基础设施,程序开发与维护,系统安装与鉴定,变革管理,36,定义并管理服务水平 管理第三方的服务,管理性能与容量 确保服务的连续性,确保系统安全 确定并分配成本,教育并忠告客户 配置管理,处理问题与例外 数据管理,设施管理 操作管理,37,过程监控,评价内部控制的适当性,获取独立保证,提供独立的审计,38,意义：,COBIT,实现了企业目标与,IT,治理目标之间的桥梁作用。,管理框架,管理指南,控制目标,审计指南,工具集,图,2 COBIT,的管理模型,关键成功因素,成熟度模型,关键目标指标,关键性能指标,COBIT,体系框架,39,COBIT,是一个非常有用的工具，也非常易于理解和实施，可以帮助在管理层、,IT,与审计之间交流的鸿沟上搭建桥梁，提供了彼此之间沟通的共同语言。,通过实施,COBIT,，增加了管理层对控制的感知及支持。,COBIT,帮助管理层懂得控制如何影响商业功能。,40,COBIT,使,IT,管理工作简易并量化，减轻对复杂信息系统管理工作的难度，并且可以应用在每天都在发生的各种新问题中。,COBIT,提供了一种国际通用的,IT,管理及问题解决方案，普遍适用于各种不同的商业项目和审计，并且它既包容了我们当前的情况，也提供将来可能会使用到的指导方针。,41,COBIT,有助于提高信息系统审计师的影响力，依据,COBIT,出具的信息系统审计报告更容易得到管理层的肯定。,COBIT,框架可以能够帮助决定过程责任，提高,IT,治理水平。,42,通过关键成功因素、成熟度模型、关键目标指标、关键性能指标四个方面的有机作用，使企业中的信息资源得到有效的管理。,43,关键成功因素为管理部门控制信息技术及其处理过程提供了实施指南。,是信息技术处理过程中的最关键的要素，是战略性的、技术性的过程或活动，勾画出了,IT,的控制轮廓。,关键成功因素平衡所有的,IT,资源，它由关键绩效指标评价。,成熟度模型,关键成功因素,关键目标指标,关键绩效指标,44,关键目标指标是通过创建和维护一套处理和控制适当业务成效的系统。,该业务指导并监督,IT,传递的商业价值。关键目标指标通过识别测定处理结果，营运过程的输出，在平衡记分卡上测定。,关键目标指标是处理目标的一种表达，明确要取得什么目标，并描绘处理的结果，进行事后评判，直接体现处理过程的完成成功与否，间接体现处理带给经营活动的价值。,成熟度模型,关键成功因素,关键目标指标,关键绩效指标,45,关键绩效指标是指对关键成功因素进行评价，通过监测某,IT,处理过程的执行情况，告诉管理层该处理是否满足其经营需求。,关键绩效指标是,IT,处理过程的性能指标，表现为,IT,的实际业绩。通过有效性、效率、保密性、完整性、可用性、一致性、可靠性等指标来测定,IT,的绩效。,关键绩效指标是处理过程执行程度的测定，预期将来成败的可能性，是先导性目标，可以事先给出成功的预示。,成熟度模型,关键成功因素,关键目标指标,关键绩效指标,46,IT,成熟度模型制定了一个基准，组织可能根据上面的指标确定自己的等级，从而了解自身目前的境界。,在此基础上确定组织的关键成功因素，通过关键绩效指标进行监控，并衡量组织是否能达到关键目标指标中所设定的目标。,成熟度模型,关键成功因素,关键目标指标,关键绩效指标,47,0,1,2,3,4,5,不存在,初始级,可重复的,已定义的,已管理的,已优化的,公司当前状态,国际标准指南,行业最佳做法,公司战略,符号意义说明,级别意义说明,0 -,没有任何管理流程,1 -,流程是初始的、混乱的,2 -,流程遵循通常模式,3 -,流程已文档化,4 -,流程得到控制和测量,5 -,遵循并自动采用最佳做法,IT,治理成熟度模型,48,0,不存在。完全不存在可辨识的信息治理流程。组织并不到这一问题，因此关于此问题并无交流。,49,1,初始级。有证据表明，组织已意识到存在,IT,治理问题并需要研究，尚无标准流程，但有些个人或在有些具体情况下进行了尝试。,治理方法混乱，但对于问题和研究方法有零星的、不一致的交流。,也可能意识到需要以产出为导向，在相关企业流程中追求,IT,的价值。,没有标准的评价过程，只在组织中发生某些事件带来损失或不利时，,IT,治理才得以应用。,50,2,可重复级 。管理者认可基本的,IT,治理方法、评价技术，但整个组织并未采纳,IT,治理流程，组织中不存在与管理标准相关的正规培训和交流，仅凭个人反应。,个人在不同的,IT,项目和流程中推行管理流程，他们选择并运用有限的管理工具收集相应信息，但由于缺乏专业知识，可能不能充分发挥,IT,治理的功能。,51,3,已定义级。流程被标准化、形成文档并贯穿到战略和运作计划以及管理流程之中，管理与标准流程相一致。,开始了非正式的培训，工具得以标准化，整个组织认同,IT,与商业利益平衡的观念。然而，只是个人接受培训、执行标准，只是偶尔分析问题的根本原因，大部分流程还是根据基本准则进行管理，出现的偏离很少被管理者发现，因为这些偏离主要由于个人原因造成。尽管存在一些问题，可以清楚地评价关键流程的绩效，并根据关键绩效指标对有关人员进行奖罚。,52,4,已管理级。通过正规培训，各个层次全面理解了,IT,治理。人们清楚地知道谁是顾客，而且通过服务水平协议，来定义和监督相应的责任。责任清楚，也落实到流程中的具体人员。,IT,流程与业务密切相关，与,IT,战略密切相关。,所有流程参与者了解风险，也了解,IT,的重要性和,IT,提供的机遇。,管理者明确必须对哪些无效的流程采取行动。必要时改进流程，并强制执行最佳内部实践（准则）；确定持续改进措施；以成熟的技术和强制性的标准工具为基础，有限制地、有策略地使用新技术；有所需要地各个方面地内部专家。,53,5,优化级。,IT,治理流程已达到最好的水平；,通过持续改进，与其它组织的成熟度比较，业务流程已超越公司外的最佳实践；,利用先进的思想和技术进行培训和交流；深入分析所有问题和偏差的根本原因，并能方便地确定和启动有效的行动；,以广泛的、集成的和得到优化的方式使用,IT,自动化工作流，并提供工具提高质量和效果；,定义和平衡,IT,流程的风险和收益，并传达给整个公司；重视外部专家的作用，使用标杆指导,IT,流程；在组织内监督、自我评价和交流对,IT,治理的期望，公司治理和,IT,治理战略紧密相关。,54,IT,治理成熟度模型涉及经营需求的各个方面，是一种进行实用性比较的等级制，能以简单方式测定差异，有助于确定有关信息技术管理、安全性。,使管理部门相对容易地依据等级制对自己定位，通俗地将是给,IT,管理打分，并找出需要改善管理的地方。,55,IT,治理成熟度是测量管理处理发展程度的一种方法，应该发展到什么程度取决于以上所提的经营需求。这些等级正是一个给定的管理处理的惯例，体现各个成熟层次的典型模式，有助于企业将主要精力投入到关键的管理方面。,IT,治理成熟度模型等级有助于专业人员向管理层解释,IT,管理存在的缺陷，并把他们组织的控制惯例与最佳惯例对照起来，从而确定组织的发展目标。,56,在竞争如此激烈的市场环境中，您的公司或部门在,IT,应用中处于什么水平？,如果您认为有差距，究竟差在哪里？如何去改进？,如果您觉得运作良好，那么您能说出好在哪里？好到何种程度？,如何对,IT,管理进行绩效评估？,57,首先需要转变观念,在最高管理层（董事会）树立和维护,IT,战略地位的思想认识，建立企业战略与,IT,战略的互动观念，阐明,IT,应担当的角色，从业务的视角创造信息技术指导原则，如信息化规划本质上可以定位成从业务战略到信息战略的实现。,从组织的业务战略出发而不是从系统的需求出发，可以避免脱离目标而进行建设的困境。从业务的变革出发而不是从技术的变革出发，有利于充分利用组织的现有资源来满足关键需求，从而避免建设的信息系统无法有效地支持组织的决策。,58,发展外部环境,加强,IT,治理实质上是一个政府和企业机构必须携手面对的问题。政府必须扮演一个重要的推动角色，并且尤其需要强调的是政府制定规则比较合理的方法是通过听证会或知情会上下协商、交互式地制定规则,.,这样才能解决规则的充分合法性、可执行行性问题,.,值得一提的是：组织采行优良,IT,治理机制的行动，将减轻政府部门在制订国民经济和社会信息化中所扮演的角色责任。,59,逐步试行建立,IT,治理委员会,IT,治理委员会与,IT,审计师是,IT,治理最重要得环节。,IT,治理委员会由组织的最高管理层（董事会）及管理执行层包括,IT,管理和业务管理有关部门负责人、管理技术人员组成，定期召开会议，就企业战略与,IT,战略的驱动与设置等议题进行讨论并做出决策，为组织,IT,管理提供导向与支持，把,IT,治理的相关规范融入到组织的内部控制中。,60,明确规定,IT,管理过程的责任,组织最高管理层应确保对管理层、部门、运维人员职责进行规定并形成书面文件。,61,1,、信息系统的管理、规划与组织,2,、信息系统技术基础设施与操作实务,3,、资产的保护,4,、灾难恢复与业务持续计划,5,、应用系统开发、获得、实施与维护,6,、业务流程评价与风险管理,62,案例一：美国参议院,背景,美国参议院的总检察官（,Office of Inspector General,）在寻求改进,IT,运作的方法。总检察官做出的大量初审报告都指出了参议院内部各种,IT,运作的缺陷，例如缺乏指导方针和过程规定（如系统发展生命周期），不理想的系统设计和开发，缺乏规划及绩效度量标准，大型机的混乱管理，缺乏足够的信息安全措施。为控制这种情况，并建立清晰的责任制度，需要采纳一种,IT,监管框架。,63,过程,首席行政官实施,首席行政官迅速认识到,COBIT,有益于参议院的信息资源及财政机构。于是，首席行政官实施了,COBIT,，,COBIT,成为参议院内,IT,行为的通用治理部分。例如，信息资源部门将,COBIT,纳入到其系统发展生命周期,(SDLC,）过程中。,IT,指导委员会（命名为信息资源管理建议委员会），总检察官是委员会的顾问。,64,过程,总检察官实施,总检察官将,COBIT,纳入到其政策及,IT,过程手册中，并使用它作为所有总检察官,IT,审计行为的通用资源。,COBIT,成为审计计划过程，职员技巧,/,知识评估，职员及审计报告过程的培训需求评估的关键因素。,65,报告,总检察官使用,COBIT,作为制定审计报告的内部控制及审计原则，使用,COBIT,主体及控制对象来方便报告的书写。例如，一个审计对象是衡量围绕,Windows NT,客户机,/,服务器的通用控制环境的效果。虽然没有发现严重的缺陷，审计指出了三个需要改进的地方，与相应的,COBIT,主体相对应。,66,总结,参议院发现,COBIT,对于参议院的运作及审计是一个有力的工具。首席行政官及高级管理人员和总检察官进行合作，使用,COBIT,来改进参议院的运作。作为结果，建立了,IT,监管框架，包括合理的,SDLC,方法，,IT,指导委员会（总检察官是咨询委员），来指导参议院的,IT,运行。,67,摘要,在寻找综合的,IT,治理方法论过程中，澳大利亚科尔顿工业大学，引入了,COBIT,。在检查了,COBIT,的框架之后，该大学的信息系统部门的总经理意识到,COBIT,将会极大提高接受程度，减少实施,IT,治理规划所需要的时间。,COBIT,是该大学成功取得,IT,治理主要目标的一个重要因素，即实现组织的转型，寻求改善的过程。,68,背景,科尔顿工业大学是西部澳大利亚最大的大学，在校学生超过,31000,人。内部组织结构由副大臣公署,Vice Chancellory,（高级管理和中心管理）以及学术部门（学院和部门）组成。科尔顿信息管理部门,(IMS),支持大学的信息和通讯技术（,ICT,）基础设施。它也负责各种大学申请的实施，为副大臣公署,Vice Chancellory,的员工提供桌面,ICT,支持服务。,IMS,提供中心帮助桌面，处理,ICT,基础设施和计算机问题。,69,过程,科尔顿大学内部审计团队的员工了解到,COBIT,，对其内容印象深刻，并使其引起,IMS,领导层的关注。领导者一直对,IT,治理表示持续的关注，经过认真审视之后，高层委员会决定采用,COBIT,作为学院标准。,70,从,2001,年开始，科尔顿信息管理部门,IMS,质量和政策经理应用,20,多年组织的经验和知识开发了一个衡量每个目标的科尔顿信息管理部门,IMS,成熟度级别，目标是促进思考科尔顿信息管理部门,IMS,如何评价它的,IT,成熟规模。,也是在,2001,年，员工从,COBIT,审计指南中用了多种衡量手段进行了检查,/,审计。尽管不是所有结果都令人满意，但是却有助于员工启动改善审计目标成熟度的策略。,71,2002,年科尔顿大学开发了一个包括,12,个目标的审计新进度。员工持有这样的态度：将审计结果作为改进的机遇，而不是关注结果来责难团队。基于已经完成的检查，这个过程证明非常积极的、有益的。,72,结论,管理者相信,COBIT,提供了一个经济的、持续改进的框架。从这个框架中，员工能够拓展全球标准的方法，自我审计标准，最佳实践，以及需要指导大学改善过程每件事。,COBIT,是一个有用的工具，打破了多年来实践中的“近视”论点。它帮助雇员理解和接受实现任务和责任的改进的方法。总之，,COBIT,非常有价值。,73,信息系统审计与控制论坛,IT,服务管理资源中心,74,Any Questions?Please!,75,祝大家新年快乐！,76,