信息化绩效评价

Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,Click to edit Master title style,IT,治理、,IT,审计、信息化绩效评价、,IT,管控、,IT,服务管理、信息安全管理,王东红,1,IT治理的含义,IT,治理的定义,IT,治理的使命,IT,治理的内容,IT,治理的全景试图,实施,IT,治理所带来的好处,什么是,IT,治理,？,IT,治理用于描述企业或政府是否采用有效的机制（就是为鼓励,IT,应用的期望行为而明确决策权归属和责任承担的框架），使得,IT,的应用能够完成组织赋予它的使命，同时平衡信息技术与过程的风险、确保实现组织的战略目标。,Governance=Accountability,治理和管理的区别就在于：治理是决定由谁来进行决策，管理则是制定和执行这些决策。,IT治理的使命,保持,IT,与业务目标一致，推动业务发展，促使收益最大化，合理利用,IT,资源，适当管理与,IT,相关的风险。,IT治理的目标,帮助管理层建立以组织战略为导向，以外界环境为依据，以业务与,IT,整合为重心的观念，正确定位,IT,部门在整个组织的作用。最终能够针对不同业务发展要求，整合信息资源，制定并执行,IT,战略，推动组织发展。,IT治理的主要特点,健全的组织架构,(,健全的组织架构是正确决策的保障,),清晰的职责边界,(,清晰的职责边界是确保各治理主体独立运作、有效制衡的基础,),明确的决策规则和程序,(,如果说职责边界是明确由谁做出决策，决策规则和程序就是明确怎么做出决策。,),有效的激励和监督机制,(,当激励与约束机制不能和组织的目标相联系时，,IT,治理是非常低效的,),透明度,(,治理的流程越透明，治理的信心也就越足,),有效的IT治理需要解决三方面的问题,一是解决目的性问题，即,IT,治理需要做出哪些决策？,企业,IT,决策主要包括五项：,IT,原则、,IT,架构、,IT,基础设施、,IT,商业应用、,IT,投资,二是解决组织性问题。,三是解决系统性问题，即,IT,治理中如何制定和监控这些决策？,企业需要通过一系列的治理机制,结构、流程和沟通实现治理计划（如中国网通集团企业信息化管理控制体系）,IT治理与IT管理,IT,治理,IT,管理,执行主体,股东及董事会,(,投资人,),企业管理层,目标,实现利益相关者利益的平衡,实现效率最大化,主要任务,IT,资源投入、使用过程中的权责配置,IT,资源的有效利用,在企业发挥中的地位,确定企业,IT,应用的基本框架，以确保,IT,管理处于正确的轨道,在现有,IT,治理框架下确定企业具体的发挥路径及手段,运行基础,良好的公司治理框架,良好的企业管理基础,实施方法,COBIT,ITILISO17799CMMIPMBok,等,IT,部门在组织中的演变,时间,IT,部门的成熟度,技术提供者,服务提供者,战略合作伙伴,IT,基础架构管理,(ITIM),IT,服务管理,(ITSM),IT,治理,(ITG),服务提供者,战略合作伙伴,IT,的作用是提高效率,IT,预算是由外部基准驱动的,IT,与业务分离,IT,是一项成本中心，应该加以控制,IT,管理者是技术专家,IT,的作用是促进业务增长,IT,预算是由业务战略驱动的,IT,与业务密不可分,IT,是一项投资，应该加强管理,IT,管理者是提供解决业务问题方案的专家,研究平台,:,中国,IT,治理研究中心,实施,方法,咨询,培训,/,认证,企业,论坛平台,:G2,峰会,出版平台,:,中国,IT,治理智库,中国IT治理领域生态图,中国网通、中国移动、东风汽车、中化集团、北京市高级人民法院；据公开统计报道，中国实施,IT,治理的企业不超过,20,家,培训企业：北京信诚致远、上海品易、上海信息化中心等。,培训证书：,1,、,CobiT Foundation(180,张左右,),2,、,CGEIT,北京信诚致远,1,、,CobiT,2,、,CobiTITIL27001,整合实施,3,、部分公司内部使用的方法,培训与认证-中国IT治理人才培训体系,课程系列,课程名称,基础知识,中级提升,卓越管理,公司治理与,IT,治理系列,CobiT,CobiT,理念教育,(1,天,),CobiT Foundation(3,天,),CobiT Workshop,实施演练,(3,天,),IT,内部控制,IT,领导力提升,(2,天,),集团企业信息化管控体系建设,(2,天,),IT,治理与企业核心竞争力提升,(1,天,),信息系统审计系列,信息系统审计,CISA,考前特训,(5,天,),数据中心审计,(2,天,),ERP,审计,(2,天,),IT,服务管理系列,ITIL,ITIL,理念教育,(1,天,),ITIL Foundation(3,天,),ITIL Practitioner,(3,天,),ITIL Manager(12,天,),ITIL,与,ISO20000,实施方法与案例研讨,(2,天,),ISO20000,ISO20000,理念教育,(1,天,),ISO20000 Foundation,(3,天,),ISO 20000,内审员,(2,天,),ISO20000,体系实施,(,天,),信息安全管理系列,信息安全管理,信息安全理念教育,(1,天,),ISO27001,主任审核员,(5,天,),ISO27001,体系实施,(3,天,),IT,项目管理系列,IT,项目管理,IT,需求管理,(2,天,),计算机信息系统（中级）项目经理,(7,天,),计算机信息系统（高级）项目经理,(5,天,),信息化绩效评价系列,信息化绩效评价,电子政务绩效评价理念教育,(1,天,),企业信息化绩效评价理念教育,(1,天,),电子政务绩效评价,(2,天,),企业信息化绩效评价,(2,天,),信息化投资回报高级研讨班,(2,天,),IT,风险与价值系列,IT,风险与价值,IT,风险管理理念教育,(1,天,),IT,风险管理与价值实现,(2,天,),IT,风险管理实施方法与案例研讨,(2,天,),实施,方,方法,CC,ontrol,OBOB,jectives,I,for,I,nformation,T,andRelated,T,echnology,CobiT,名字,的,的由,来,来,Cobit,是什,么,么？,Cobit,是关,于,于,“,IT,控制,”,的治,理,理和,控,控制,的,的框,架,架。,Cobit,是在,控,控制,的,的需,要,要、,技,技术,问,问题,和,和商,业,业风,险,险这,三,三者,鸿,鸿沟,之,之间,架,架起,的,的一,座,座桥,梁,梁。,Cobit,聚焦,在,在,“,whatneedstobeachieved,”,而不,是,是,“,howtoachieve,”,。,Cobit,面向,管,管理,层,层、,用,用户,、,、信,息,息系,统,统审,计,计师,、,、业,务,务经,理,理、,内,内控,及,及安,全,全人,员,员等,。,。,Cobit,是一,个,个可,实,实施,、,、可,裁,裁减,的,的框,架,架。,CobiT,更多,的,的关,注,注于,控,控制,而,而非,执,执行,；,；,以业,务,务为,关,关注,焦,焦点,（,business-focused,）,度量,驱,驱动,（,measurement-driven,）,CobiT,特性,基于,控,控制,（,controls-based,）,流程,导,导向,（,process-oriented,）,COBIT,特性,发展,历,历史,2007,年,1,月,CobiT,更新,到,到了,4.1,从,1992,年起,，,，世,界,界整,体,体环,境,境变,化,化巨,大,大,关键,业,业务,流,流程,对,对,IT,的依,赖,赖性,更,更强,管理者,对,对,IT,成本、,价,价值、,风,风险有,更,更多的,关,关注,董事层,对,对治理,的,的更多,关,关注,IT,最佳实,践,践和标,准,准的日,益,益完善,管理者,、,、,IT,部门和,审,审计师,的,的综合,使,使用,持续符,合,合法规,研究、,建,建立、,宣,宣传并,不,不断提,升,升一个,权,权威的,、,、最新,的,的、国,际,际公认,的,的,IT,治理控,制,制框架,，,，使之,为,为企业,广,广泛接,受,受，并,成,成为业,务,务经理,、,、,IT,专业人,员,员和风,险,险控制,人,人员的,行,行为指,南,南。,使命,COBIT模,型,型,CobiT,通过提,供,供一个,框,框架来,支,支持,IT,治理，,进,进而确,保,保,IT,与业务,保,保持一,致,致,适当管,理,理,IT,风险,IT,保障业,务,务并实,现,现收益,最,最大化,IT,资源的,充,充分管,理,理,CobiT,如,如何支,持,持IT,治,治理,基于以,业,业务为,关,关注焦,点,点的更,好,好协调,实施,CobiT,的益处,为管理,者,者提供,了,了一个,更,更好的,理,理解,IT,是什么,的,的视角,基于流,程,程导向,的,的清晰,的,的所有,者,者关系,及,及职责,易于被,第,第三方,及,及监管,机,机构所,接,接受,基于通,用,用的语,言,言，可,以,以被所,有,有的利,益,益相关,方,方所理,解,解,满足,COSO,对于,IT,控制环,境,境的要,求,求,业务流,程,程,信息,IT,资源,信息,体系,基础设,施,施,人员,效果,效率,机密性,完整性,可用性,符合性,可靠性,信息标,准,准,?,他们匹,配,配吗,?,框架,你需要,什,什么,你能得,到,到什么,Cobit34,个高级,控,控制目,标,标,规划与,组,组织,PO1,制定,IT,战略规,划,划,PO2,确定信,息,息体系,架,架构,PO3,确定技,术,术方向,PO4,确定,IT,流程、,组,组织及,相,相互关,系,系,PO5,管理,IT,投资,PO6,管理目,标,标与方,向,向的协,调,调,PO7,人力资,源,源管理,PO8,质量管,理,理,PO9,IT,风险评,估,估与风,险,险管理,PO10,项目管理,获取与实,施,施,AI 1,确定自动,化,化解决方,案,案,AI 2,应用软件,的,的获取和,维,维护,AI 3,技术基础,设,设施的获,取,取和维护,AI 4,授权操作,和,和使用,AI 5,获取,IT,资源,AI 6,变更管理,AI,7,安装与解,决,决方案和,变,变更审批,交付与支,持,持,DS 1,定义并管,理,理服务水,平,平,DS 2,管理第三,方,方服务,DS 3,绩效管理,与,与容量管,理,理,DS 4,确保服务,的,的持续性,DS 5,确保系统,安,安全,DS 6,确认与分,配,配成本,DS 7,教育并培,训,训客户,DS 8,服务台与,事,事件管理,DS 9,配置管理,DS 10,问题管理,DS 11,数据管理,DS 12,物理环境,管,管理,DS 13,运营管理,监控与评,价,价,M1,IT,绩效监督,与,与评估,M2,内部控制,监,监督与评,估,估,M3,确保法规,遵,遵从,M4,提供,IT,治理,以业务为,关,关注焦点,以业务为,关,关注焦点,IT,资,资源,是指用于,处,处理信息,的,的自动化,用,用户系统,和,和,手工程序,应用,信 息,是指输入,信,信息系统,并,并被信息,系,系统处理,及,及输出的,各,各种类型,的,的数据，,不,不管业务,部,部门是以,何,何种形式,使,使用它。,用于处理,应,应用系统,的,的技术和,设,设施,(,涵盖硬件,、,、操作系,统,统、网络,系,系统和多,媒,媒体等,及其支持,环,环境,),基 础,设,设 施,包括需要,进,进行规划,、,、组织、,采,采购、交,付,付、支持,和,和监控信,息,息系统和,服,服务的人,员,员，根据,需,需要，他,们,们可以是,内,内部的、,外,外包的或,签,签约的人,员,员,人,员,员,IT,资