IT治理及其辅助手段研究情况汇报(PPT 47)

,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,赛迪培训中心,二,00,三年八月十四日,1,IT,治理的四个辅助手段,IT,治理的现实性和必要性,建议,2,IT,治理的四个辅助手段,IT,治理的现实性和必要性,建议,3,IT,与业务的融合,信息系统工程监理的发展,信息中心的转制与走向,IT,治理、公司治理及企业管理的关系,信息主管,CIO,的治理结构,IS,审计对,IT,投资有效的监督和控制作用,规范、标准化的,IT,服务管理流程的重要性,4,是,IT,、经济学及管理学业界中一个新的概念，用于描述企业或政府是否采用有效的机制，使得,IT,的应用能够完成组织赋予它的使命，同时平衡信息技术与过程的风险、确保实现组织的战略目标。,5,保持,IT,与业务目标一致，推动业务发展，促使收益最大化，合理利用,IT,资源，适当管理与,IT,相关的风险。,6,IT,项目管理,IS,（信息系统）审计、咨询、监理,信息安全管理,IT,服务管理,7,IT,项目具有投资大、周期长、高风险、科技含量高、所涉及领域宽的特点，项目管理水平是关系,IT,项目成功的关键成功因素之一。,IT,项目管理认证和培训可全面提升,IT,项目建设管理人员规划、组织与管理方面的能力。,8,IS,审计是指根据公认的标准和指导规范对信息系统及其业务应用的效能、效率、安全性进行监测、评估和控制的过程，以完成组织的战略目标，同时最经济的使用资源。,这一定义既包括信息系统的外部审计的鉴证目标,即对被审计单位的信息系统保护资产安全及数据完整的鉴证，又包含内部审计的管理目标,即不仅包括被审计信息系统保护资产安全及数据完整而且包括信息系统的有效性目标。,9,审计对象,变革管理,数据中心运维,信息安全,网络管理,基础设施,数据库管理,硬件管理,绩效与容量,问题管理,灾难回复与业务持续,软件管理,通信,技术支持服务,系统开发,10,1.,理解客户业务、系统、环境等,2.,识别并评估风险,3.,检查是否存在足够的控制来补偿这些风险,4.,对控制进行测试和评价,5.,提出审计结论和报告,11,独立的,IS,审计是公司治理与,IT,治理制度的重要环节之一。目的是确定、解除被审计单位的受托责任和加强对被审计单位的管理与控制。所以,IS,审计是实现,IT,治理的手段之一。,12,鉴证作用。是指通过审计，合理地保证被审计单位信息系统及其处理、产生的信息的真实性、完整性与可靠性。,促进作用。体现在两个方面,：（,1,）,是指信息系统审计可以促进被审计单位更有效地融入到社会经济生活中，审计报告可以增强大家对其信息的信任程度；（,2,）是指审计可以促进被审计单位改进内部控制，加强管理，提高信息系统实现组织目标的效率、效果。,13,立足于组织的战略目标，为有效的实现组织战略目标而采取的一切活动过程都在审计师的业务之内。业务范围包括：对信息系统的战略规划与组织的审计；技术基础平台建设的审计；应用系统建设审计；信息系统管理和运营审计；风险管理与应用控制审计；信息系统是否符合国家或国际标准的审计以及网誉审计、电子签名审计等。,14,合理保证信息系统能够保护资产的安全、数据的完整、系统有效地实现组织目标并有效率的利用组织资源，其关注的核心是资产保护与信息系统的效率、效果。,重点是对信息系统的运营审计，向公众出具审计报告，鉴证信息系统能否保护企业资产安全，其产生、传递的信息是否完整，整个系统是否有效地实现组织目标并有效率的利用组织资源。,15,是所有的信息使用者。,包括被审计单位的股东、合作伙伴、政府机构和一般社会公众。,16,信息系统审计审计的方法主要是搜集证据的方法。,包括检查、观察、分析性复合、查询及函证等方法，并利用统计技术、计算机技术完成证据的搜集与评价。,17,作用不同（监理：控制和协调）,范围不同（监理：实施阶段）,目的不同（监理：进度、质量、投资）,方法不同（监理：项目管理）,对象不同（监理：业主和承建单位）,18,三分技术 七分管理,信息安全管理保护信息不受广泛威胁地损害，确保业务的持续性，将商业损失降至最小，使投资收益最大并创造新的战略机遇。,19,ISO17799,（根据,BS7799,第一部分制定）作为确定控制范围的参考标杆，在一般情况下，这些控制是使用信息系统所必须的。该标准适应任何规模的组织。它把信息作为一种资产，并且在信息时代，信息资产已经成为最有价值的资产，因此需要恰当地保护它。,20,安全方针；,安全组织；,资产分类与控制；,人员安全；,物理与环境安全；,计算机与网络管理；,系统访问控制；,系统开发与维护；,业务持续管理；,合规性。,21,22,IT,服务管理事实上的国际标准：,ITIL,国际上先进企业在推进信息化的进程中，针对,“,IT,服务质量不佳的问题,”,，对,IT,服务的提供方式、提供内容以及服务管理等方面的内容，逐渐总结、提炼，形成了一整套富有成效的方法、规范和程序， 并由英国商务部提炼成为,ITIL,。,23,ITIL,作为一种以流程为基础、以客户为导向的,IT,服务管理指导框架，它摆脱了传统,IT,管理以技术管理为焦点的弊端，实现了从技术管理到流程管理，再到服务管理的转化。,业务与,IT,融合。,改善,IT,的投资回报率,。,24,25,ITIL,可以提高,IT,部门营运效率,25-300%,；,ITIL,是一个公共开发且公共使用的框架。任何组织都可以使用,ITIL,，或者以,ITIL,为基础开发自己的服务管理方法论和方案。,ITIL,个人资格认证是全球公认的,CIO,证书，也被称为是,IT,界的,MBA,。,26,IT,治理的四个辅助手段,IT,治理的现实性和必要性,建议,27,IT,治理是一个由关系和过程所构成的体制，用于指导和控制企业，通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。,28,IT,战略目标必须与企业战略目标保持一致,IT,治理包括治理委员会、治理结构、治理流程和企业文化等。,IT,治理使风险透明化，从而保护利益相关者的权益。,IT,治理可用来指导控制,IT,投资、机遇、收益及风险。,IT,治理对核心,IT,资源做出合理的制度安排，这将成为进入新的市场、进行有效竞争、实现总收入增长、改善客户满意度及维系客户关系的制度保障。,29,IT,治理,与业务目标一致,IT,治理,有效利用信息资源,IT,治理,风险管理,IT,治理的目标将帮助管理层建立以组织战略为导向,以外界环境为依据,以业务与,IT,整合为中心的观念，正确定位,IT,部门在整个组织中的作用。,30,IT,治理集中在管理高层。,善治的,IT,治理实践需要在企业全部范围内推行。,IT,治理使得最高管理层和执行经理的一系列活动成为可能。这些活动主要包括：,IT,的目标，新技术的机遇和风险，关键过程与核心竞争力。如指导信息技术的职能和对企业的影响，分配责任，定义操作，业绩衡量，管理风险和获得保证的约束等。,31,公司治理，驱动和调整,IT,治理。同时，,IT,能够提供关键的输入，形成战略计划的一个重要组成部分，这被认为是公司治理的一个重要功能,IT,影响企业的战略竞争机遇。,IT,治理的一个关键性问题是：公司的,IT,投资是否与战略目标相一致，从而构筑必要的核心竞争力。,32,概括地说，公司治理和,IT,治理都是市场（含政府）他律的机制，是如何,“,管好管理者,”,的机制，其目标也是一致的：达到业务永续运营，并增加组织的长期获利机会。,公司治理侧重于企业整体规划，,IT,治理侧重于企业中信息资源的有效利用和管理。,33,“,斯达模式,”,这一被誉为国企摆脱困境、改革发展的创新模式，正说明了公司治理和,IT,治理的重要性和互动关系。,“,黑纸,”,按照现代企业制度要求，建立与市场竞争相适应的公司治理机制，明晰了企业产权，优化了生产要素配置，转变了职工观念，为斯达大力进行信息化改造创造了有力条件。反过来，信息化也促进了公司的现代化管理。,34,IT,管理是公司的信息及信息系统的运营，确定,IT,目标以及实现此目标所采取的行动；而,IT,治理是指最高管理层（董事会）利用它来监督管理层在,IT,战略上的过程、结构和联系，以确保这种运营处于正确的轨道之上。,35,COBIT,目前已成为国际上公认的,IT,管理与控制标准,该标准为,IT,的治理、安全与控制提供了一个一般适用的公认的标准，以辅助管理层进行,IT,治理。该标准体系已在世界一百多个国家的重要组织与企业中运用，指导这些组织有效利用信息资源，有效地管理与信息相关的风险。,36,IT,治理架构,Provide Direction,Compare,Measure Performance,IT Activities,Increase automation (make the business,effective),Decrease cost,(make the enterprise efficient),Manage risks,(security, reliability and compliance),IT is aligned with the,business,IT enables the,business and,maximises benefits,IT resources are used,responsibly,IT-related risks are,managed appropriately,Set Objectives,37,组织战略目标,IT,治理,C,OBI,T,信息,规划与组织,获得与实施,交付与支持,监控,IT,资源,38,获得和实施,交付与支持,规划与组织,监控,IT,开发,IT,运维,业务战略,IT,战略,39,IT,治理的四个辅助手段,IT,治理的现实性和必要性,建议,40,观念转变：在最高管理层（董事会）树立和维护,IT,战略地位的思想认识，建立企业战略与,IT,战略的互动观念，阐明,IT,应担当的角色，从业务的视角创造信息技术指导原则，如信息化规划本质上可以定位成从业务战略到信息战略的实现。,业务驱动：从组织的业务战略出发而不是从系统的需求出发，可以避免脱离目标而进行建设的困境。从业务的变革出发而不是从技术的变革出发，有利于充分利用组织的现有资源来满足关键需求，从而避免建设的信息系统无法有效地支持组织的决策,。,41,治理环境,加强,IT,治理实质上是一个政府和企业机构必须携手面对的问题。政府必须扮演一个重要的推动角色，并且尤其需要强调的是政府制定规则比较合理的方法是通过听证会或知情会上下协商、交互式地制定规则,.,这样才能解决规则的充分合法性、可执行行性问题,.,值得一提的是：组织采行优良,IT,治理机制的行动，将减轻政府部门在制订国民经济和社会信息化中所扮演的角色责任。,42,治理结构,试行建立,IT,治理委员会,明确规定,IT,管理过程的责任,43,信息系统的管理、规划与组织,信息系统技术基础设施与操作实务,资产的保护,灾难恢复与业务持续计划,应用系统开发、获得、实施与维护,业务流程评价与风险管理,44,行业内部自律机制：,外部约束：,法律规范。,政府的行政监管：包括信息产业部（业务监督、违纪处理等）、证券监管部门等（上市公司,IS,审计有关情况进行监督）。,公共监管机构：制定相关执业准则,对,IS,审计师的独立性、职业道德和工作质量进行审查等。,社会舆论监督。,45,46,衷心感谢,苟仲文副部长的关心和支持！,47,