信息系统审计南京审计学院cha.ppt

第二章 IT治理,第一节 IT治理概述 两个例子: 1、2002年5月29日上午时分左右，南京火车站电脑售票系统突然 发生死机故障，整个车站售票处于瘫痪状态，车站售票大厅内人满 为患，众多旅客不得不改乘其它交通工具离开南京。车站领导和计 算机技术人员告诉记者是由于电脑升级换代，调试时线路发生故障， 才引发了此次系统瘫痪的。 2、9月5日广东省工行因系统故障，全线停业一个半小时。 这两个例子说明什么？,IT是技术，是资源，是服务，更是成本,企业需要将IT应用于业务领域，通常需要提出以下问题： 企业所需要的IT服务是什么？ 这些IT服务需要多少成本？ 企业IT应用中的决策机制如何？ 企业IT应用中的则、权、利如何分配？ 企业的IT应用应达到什么样的水平？ 企业如何管理好自己的IT资源？ 企业如何做好IT的风险管理？ ,所有这些问题都离不开一个概念IT治理。,第二章 IT治理,据国外一份统计数据表明企业中IT系统出现故障有几大原因： 1、恶意代码攻击 ; 2、缺乏有效的监控制度和手段; 3、IT设备本身的性能问题; 4、应用系统/数据本身存在问题; 5、员工缺少技能培训; 6、不同部门的IT人员之间缺乏协调; 7、缺少运营管理方法论的指导; 8、员工不按规足/流程操作。 可以看到在这些原因中都和管理与流程存在很大关系，要做好组织 中的IT风险控制和信息安全离不开IT治理。,第二章 IT治理,一、何谓IT治理？ IT governance(IT治理)是国际IT领域中的新概念，用于描述企业或政府 是否采用有效的机制使IT的应用能够完成组织赋予它的使命,同时,平衡 信息技术与过程的风险,确保实现组织的战略目标. Roberts.Roussey(美国南加州大学教授)定义：(参见教材) 从利益相关者收益角度 德勤(德勤公司)定义: (参见教材) 从内部审计与控制角度 ISACA定义: (参见教材) 从内部审计与控制角度 我国定义: (参见教材),第二章 IT治理,第二章 IT治理,从IT的各种定义可总结出有关IT治理的共同点： 1、 IT治理必须与企业战略目标一致； 2、 IT治理管理执行人员和利益相关者的责任（以董事会为代表）； 3、 IT治理保护利益相关者的权益，使风险透明化，指导和控制IT投 资、机遇、利益、风险； 4、 IT治理包括管理层、组织结构、过程，以确保IT维持和拓展组织 战略目标； 5、应该合理利用企业的信息资源，有效地集成与协调； 6、确保IT及时按照目标交付，有合适的功能和期望的收益，是一个 一致性和价值传递的基本构建模块，有明确的期望值和衡量手段； 7、引导IT战略平衡系统的投资，支持企业， 变革企业，或者创建一 个信息基础架构，保证业务增长，并在一个新的领域竞争； 8、对于核心IT资源做出合理的决策，进入新的市场，驱动竞争策略， 创造总的收入增长，改善客户满意度，维系客户关系。,无论这些定义从哪个角度关注IT治理，但都涉及信息系统、技术及 连通性、商业活动、法律相关事宜以及所有利益相关者公司董事、高 级管理人员、业务流程的执行者、IT供应商、IT的使用者以及审计人员 等。IT治理对象。同时，也是IT治理审计对象。,IT治理的使命：保持IT与业务目标一致，推动业务发展，促使收益最大 化，合理利用IT资源，适当管理与IT相关的风险。,从本质上讲，IT治理： 是一种制度设计； 是一种有效机制； 是一种IT资源的管理和分配； 是一种风险管理和控制； 是一种认识问题； 是一个过程。,第二章 IT治理,二、IT治理与IT管理、公司治理的关系 1、 IT治理与IT管理的关系。主要体现在： （1）IT治理是指最高管理层（董事会）利用它来监督管理层在IT战 略上的过程、结构和联系，以确保这种运营处于正确的轨道之上。 IT管理是公司的信息及信息系统的运营，确定IT目标以及实现 此目标所采取的行动； （2）IT治理与IT管理的关系，是指导关系，即先与后，上与下的关系。 （3）IT治理强调构建良好的管理环境，而IT管理强调对IT资源的运营。,第二章 IT治理,2、IT治理与公司治理的关系 公司治理：是一种对公司管理和运营进行监督和控制的体系。它不仅 规定了公司的各个参与者，而且明确了决策公司事务时所应遵循 的规则和程序。 公司治理直接影响企业的经营和发展，如：安然、世界通信，等事件,第二章 IT治理,完善的公司治理结构的保障：有效的内部控制。 公司治理所要解决的问题： 如何使企业参与各方将各自的要素投入企业并共同实施行为，塑 造企业的核心能力、获取竞争优势并获得收益； 如何协调这一过程中各方的利益和责任，以便更有利于企业核心 能力的塑造、维护和发挥作用,其中涉及要素：IT资源 由此涉及：IT治理问题,IT治理与公司治理的关系： 公司治理和IT治理都是市场 (含政府)他律的机制，是如何“管好管理者” 的机制，其目标也是一致的：达到业务永续运营，并增加组织的长 期获利机会。 公司治理驱动和调整IT治理；IT影响企业的战略竞争机遇。 公司治理侧重于企业整体规划； IT治理侧重于企业中信息资源的有效利 用和管理。 处理好IT治理与公司治理的关系，应解决：,第二章 IT治理,1、认识上，要将信息技术不仅视为技术，更是业务 ； 2、战略上，促进IT战略与公司战略的整合，使IT成为公司战略的中心， 保证公司战略从制订之初就具备竞争力； 3、实施上，通过IT治理，主要从风险回避方面保证公司治理的落实。,第二章 IT治理,第二节 IT治理的目标和范围 一、IT治理的目标,IT治理应着眼于以下目标： 1、与业务目标一致 原则：服从于企业战略，不能背离 2、有效利用信息资源 IT治理的使命：通过及时、有效的IT治理，促进信息的价值转化 3、风险管理 通过IT治理：构建风险管理制度及风险应对决策； 使风险透明化； 有效的风险投资、管理和控制； 风险的防范措施。 实现：平衡信息技术与过程的风险，确保组织目标的实现,第二章 IT治理,案例：如何根据企业战略制定IT战略 某物流配送公司的发展战略框架如下图：,第二章 IT治理,根据该公司的发展战略框架确定需重点解决的问题： (1)集成物流分散点，降低营运成本与费用； (2)建立库存控制机制与准则，避免内部控制和监管的失灵； (3)集成和标准化订单业务流程； (4)建立追究责任制，完善安全管理； (5)推动商务运作，加强对外合作与联盟； (6)满足现有客户，扩展新客户； (7)完善货款追踪到位机制。,第二章 IT治理,根据目标和问题，确定IT建设内容，即IT战略目标： (1)联网各分散物流点的执行系统，由总部统一监控与管理； (2)构建JIT配送平台，确保零库存； (3)采用物流执行系统，从而组成完整的订单，并持续改进客户的响应速 度，同时，该系统可以帮助客户将订单转变成可以发运的品项，从而 降低运输费用； (4)完善客户订单与发货品的追踪系统，使客户能够及时获取货项信息； (5)建立电子商务平台，通过网络实现配送外协等合作，提高与供应商、 政府部门之间配合的效率; (6)建立客户关系管理系统，通过Web网站、E-Mail系统、呼叫中心、自 动传真回复系统等，向客户提供365天24小时的不间断服务； (7)搭建财务管理系统，保证财务部门及所有受支持的部门都能获得精、 快的财务信息，以便有效地进行业务决策及监控现金的收支情况。 根据以上所确定的IT建设内容，并形成了该公司的IT蓝图（见图）,第二章 IT治理,第二章 IT治理,二、IT治理的范围 IT治理范围可从不同角度划分： 1、从治理的组织范围看：覆盖企业全部范围，包括最高管理层、执行管 理层，乃至虚拟组织、战略联盟，等 2、从治理的内容范围看：包括治理目标、治理结构、组织的整体战略、 组织运营管理、风险与价值、成本与控制、审计与监督、服务 标准和规范等方面的内容。,第二章 IT治理,第三节 IT治理的关键问题 一、IT治理的关键问题,IT治理的关键问题表现在： 1、 IT投资是否与企业经营在战略目标(Strategy)，策略(Tactic)和运 营(即operation)层面相融合，从而构筑必要的核心竞争力； 2、IT治理是否有助于合理的制度安排真正发挥其作用； 3、在长期的IT应用中，是否持续地创造商业价值； 4、是否有有效的风险管理机制。 其中最关键的问题是第一点：IT治理应体现以“组织战略目标为中心”思想。,第二章 IT治理,搞好IT治理必须解决的问题： 1、IT关键领域谁做决策和如何决策。 5个IT关键领域：A、信息技术原则； B、信息技术结构； C、信息技术基础设施； D、企业应用需要； E、信息技术投资及优先顺序。 2、信息化中的责、权、利问题； 3、信息化建设中的风险评估和绩效评价问题； 4、信息系统控制与信息技术管理体系问题。,第二章 IT治理,信息化建设中的风险管理及评估流程： 1) 确立可承受的IT风险损失价值； 2) IT风险识别；（列举清单法、专家判断法、工作分解分析法、信息检索 法、访谈法、流程图和鱼刺图法） 3) IT风险预测； 4) IT风险日常管理与控制； 5) IT盈利与损失统计； 6) 风险再评级。,第二章 IT治理,绩效评价方法（业绩衡量）IT平衡计分卡法。主要从以下几个方面衡量： (1) IT价值贡献； (2) 客户满意度； (3) 内部处理过程； (4) 学习与创新。,(1) IT价值贡献： 主要用于评价IT投资对企业的价值综合影响，IT是否满足企业的战略需 要以及是否支付预期的财务收益，评价IT价值贡献度的时候，需要考 虑以下问题： ?IT战略和组织战略需要集成的程度； ?整体IT组合如何很好地进行管理； ?IT花费是否与预期指出集成； ?最大化业务价值和IT成本效益。,第二章 IT治理,(2) 客户满意度； 主要从用户的视角评价IT提供的服务与支持在满足用户方面达到的水 平。在评估IT对客户满意度的影响的时候，需要考虑如下问题： ?业务单元与IT人员是否很好地集成到信息系统开发与获取的项目中； ?客户对支付的IT产品与服务是否满意； ?用户对IT应用的接收和掌握情况。,(3) 内部处理过程 IT内部过程关注IT部门 两个基本过程的改进和度量：系统开发过程以及 系统运营过程，此外也关注其他过程，如问题管理、用户教育、人员管 理、通信渠道的使用等。在评价IT内部过程，主要考虑以下问题： ?交付的产品质量是否符合通用标准； ?交付的产品是否使用可普遍接受的方法与工具； ?用于支持主要过程改进的IT资源是否充分； ?基础设施是否为业务需要提供了可靠支持； ?企业IT基础设施是否得到维护。,第二章 IT治理,(4) 学习与创新 主要用于评价IT组织的技能水平以及持续学习和革新的能力。在评价IT 学习与革新能力的时候，主要考虑以下问题： ?是否有正确的技能与人员来保证质量； ?是否追踪对企业业务发展有重要意义的新技术的方向； ?是否使用认可的方法来构建与管理IT项目； ?是否为员工提供适当的工具、培训、执行任务的动机。,二、IT治理缺失的症状 1、各自为政，缺乏统一、全局的IT战略规划； 2、信息化建设领导者错位，IT应用方案和企业业务需求之间逻辑错位； 3、决策的技术经济论证不足； 4、信息资源的合理应用是信息化的薄弱环节； 5、利益冲突和信息的不透明； 6、IT安全治理和风险管理缺位； 7、非技术性的障碍； 8、重硬件购买，轻软件和咨询服务； 9、信息化建设找不到重心。,第二章 IT治理,建立有效的IT治理需从5个领域进行： 1、IT战略一致性； 2、IT价值交付； 3、IT资源管理； 4、IT风险管理； 5、IT性能评价。,第二章 IT治理,第四节 IT治理框架和标准 一、IT治理框架 构建IT治理架购包含三个方面: 组织机构、流程、沟通机制,1、组织结构。由谁负责决策，组织结构的形式如何？组织结构中各成 员的责任分别是什么？,第二章 IT治理,（1）IT治理最高管理层(董事会)： IT战略的总体制定与决策者，负责 指引信息化的方向与战略制定 ，平衡支持企业和使企业成长的投 资。,（ 2）IT治理委员会。向董事会负责，解决设计标准的问题，负责确 立IT战略方向，决定和建立资金杠杆，批准所有主要的发展项 目并监督结果。 IT治理委员会责任：(1)政策制定；(2)控制(预算通过，项目权 威，绩效评价)；(3)绩效度量和报告。,（ 3）CIO。CIO岗位的职责: 发起制定、组织完成企业IT战略规划; 开发企业应用，协调企业和部门的应用开发; 保障IT基础设施和 体系架构的运行及投资; 决定IT服务和技能服务； 建立关键的IT 供应商和咨询顾问间的战略伙伴关系； 提供技术支持使企业增加收 入和盈利能力; 维护客户满意度； 向用户提供培训。,第二章 IT治理,（ 4）管理者。管理者的职责是：将IT风险管理责任和控制落实到企业中； 将战略，策略，目标等落实到企业日常工作中，并使信息技术的组织 与企业目标一致； 促进信息的创造与共享； 通过衡量公司业绩和竞 争优势来测度信息技术的效果 ； 关注重要的增值的信息技术过程； 关注与规划和管理IT资产、风险、工程项目、客户和供应商相关的 核心竞争能力，等。,（ 5）信息技术人员。负责项目的开发与实施； 负责项目技术指导与实现； 负责信息系统的日常运行与维护； 为业务部门和管理人员提供技术 服务支持。,第二章 IT治理,（ 6）外部和内部审计人员。信息系统的管理、规划与组织评价； 评价组 织在技术与操作基础设施的管理和实施方面的有效性及效率； 对逻 辑、环境与信息技术基础设施的安全性进行评价； 对灾难恢复与业 务持续计划评价； 对应用系统的开发、获得、实施与维护方面所 采用的方法和流程进行评价； 业务流程评价与风险管理评价。,2、流程。IT投资决策是如何作出的？在决策流程中，投资建议、投资 评估、批准投资和区分优先级是如何进行的？,第二章 IT治理,3、沟通。这些决策和流程的结果效能如果度量，如何监控风险？又如 何得到沟通？在相关利益者之间投资决策采用何种机制加以沟通？,第二章 IT治理,二、IT治理标准 有关IT治理的标准主要有： 1、信息及其相关技术的管理体系模型和最佳实务一COBIT ； 2、IT基础架构库ITIL (Information Technology Infrastructure Library) ； 3、ISO/IEC17799:2000（信息安全管理实务准则 ） 4、PRINCE2（有关项目管理支持服务标准） 5、TICKIT（软件质量管理系统保证标准）； 6、NIST80O（公认安防信息技术系统原则和实务）； 7、COSO综合性框架； 三种较为流行的IT治理评价方法： CobIT成熟度模型、PW方法 、 CBSO法,第二章 IT治理,三、COBIT简介： COBIT（信息及相关技术的控制目标），是有关IT治理的一个开放标准。 该标准是国际公认的最先进、最权威的安全与信息技术管理和控制的标准。 该标准为IT的治理、安全与控制提供了一个一般适用的公认的标准。 该标准为组织有效的利用信息资源，有效管理、控制与信息相关的风险提 供指导。 COBIT将IT 过程，IT资源及信息与企业的策略与目标联系起来，形成一个 三维的体系结构 （参见P.52图） COBIT的体系框架包括四大部分：控制目标、管理指南、审计指南、工具集 （参见P.54图）,第二章 IT治理,第二章 IT治理,IT准则维：反映了企业使用IT的战略目标 。 标准包括：有效性、效率性、机密性、完整性、可用性、一致性、可靠性等 IT资源维：描述了IT治理过程的主要资源对象。 对象包括：人员、应用系统、技术、设施和数据等 IT过程维：是对信息及相关资源进行规划与处理的过程。 提供了：从信息系统生命周期的四大域确定了34个信息技术处理过程，每 个处理过程包括详细的控制目标和与控制目标相联系的审计指南。,第二章 IT治理,四大域：计划与组织； 采集与实施； 交付与支持； 监控,34个信息技术处理过程（从四大域）包括：(参见教材P.53表） 计划与组织：定义IT战略、定义信息体系结构、确定技术方向、定义IT 组织与关系、管理IT投资、管理目标和方向、人力资源管理、确保 与外部需求的一致性、风险评估、项目管理、质量管理,采集与实施：确定自动化的解决方案、获取并维护应用程序、获取并维 护技术基础设施、系统安装与鉴定、变革管理,交付与支持：定义并管理服务水平、管理第三方的服务、管理性能与容 量、确保服务的连续性、确保系统安全、确定并分配成本、教育并 培训客户、配置管理、处理问题和突发事件、数据管理、设施管理、 运营管理,第二章 IT治理,监控：过程监控、评价内部控制的适当性、获取独立保证、提供独立的 审计 控制目标中： 计划和组织目标：判别哪些IT策略最有助于业务目标的实现；应设置何种 组织结构，建立何种技术基础结构，如何对IT策略的实现进行计划、 协调与管理。,采集和实施目标：为了实现IT战略，如何定义、开发、获取、实施IT解决 方案，并把这一方案集成到业务过程中。如何解决系统的变迁与维护， 以使系统的生命周期得以延续。 交付与支持目标：如何解决系统交付所需的服务，包括操作安全性、连续 性、人员培训以及需建立的支持过程，还包括实际数据处理，通常按 应用控制进行分类。 监控目标：评估IT过程质量，评估IT过程与控制需求相符的程度,第二章 IT治理,第二章 IT治理,管理指南： COBIT给出了：度量IT过程的指标体系、度量的尺度以及度量的基准点 。 4个指标：成熟度模型CMM，以及关键成功因素CSF、关键目标指标KGI、 关键性能指标KPI,4个指标简介： 1、成熟度模型CMM 功能：确定IT控制的基准。从而认清企业所处的行业地位，如何测定和 比较 2、关键成功因素CSF 功能：勾画IT控制轮廓。从而描绘重要的、控制的关键成功因素 3、关键目标指标KGI 功能：识别IT处理过程的目标。从而认识哪些是必须做到的，不能达成 目标的风险有哪些 4、关键性能指标KPI 功能：测定IT处理过程的性能。从而评价IT输出和实际绩效，评价处理 过程执行好坏的程度,第二章 IT治理,案例1：关键成功因素CSF 1、IT治理活动与公司治理相结合，并有公司领导的参与； 2、IT治理专注于公司目标、战略，使用技术提高业务水平，及满足业务 需求的足够可用的资源和能力； 3、IT治理活动应该目标明确，制度规范和实施有效，并落实到人； 4、实施最佳管理实践以提高资源的有效利用，提供IT过程的效率； 5、建立组织以充分监督，根据标准程序评估风险，及监督和追究控制缺 陷和风险； 6、建立内部控制准则以避免内部控制和监管的失灵； 7、IT问题管理、变革管理和配置管理等，是集成和关联的； 8、建立审计委员会。,第二章 IT治理,案例2：关键目标指标KGI 1、加强绩效和成本管理； 2、提高主要的IT投资的回报； 3、提高响应市场速度； 4、增加质量，创新和风险管理； 5、适当集成和标准化业务流程； 6、扩展新客户，满足现有客户； 7、可用的适当带宽，计算能力和IT交付机制； 8、在预算范围内及时满足客户的需求和期望； 9、不违反法律、法规，行业标准和各类合同； 10、清楚承担的风险，这种风险应与组织整体风险状况相一致； 11、进行IT治理成熟度标杆比较； 12、创造传递服务的新渠道。,第二章 IT治理,案例3：关键性能指标KPI 1、提高了IT流程的成效（成本、交付能力）； 2、增加了用于改善流程的IT计划； 3、增加了IT基础设施的利用率； 4、增加了客户满意度； 5、增加了员工工作效率和士气； 6、增加用于管理公司的知识和信息的可用性； 7、增加IT治理和公司治理的联系； 8、使用平衡计分卡测量时，绩效得到提高。,第二章 IT治理,运用：借助于CMM模型，了解IT过程管理所处的状态和自身的薄弱环节， 并有针对性地解决自身的问题。借助于CSF、KGI、KPI指标有效 地进行IT过程管理。,审计指南：为中介评估机构或信息系统审计师对信息系统的控制进行了解、 评估和实施审计提供建议与指导。 给出了：IT审计的一般方法和要求； 根据COBIT的框架，针对信息系统34个高层次控制目标建议了相 应的审计步骤； 为信息系统审计师具体检验和评价各IT过程是否符合318个具体 控制目标给出了详细的审计指南,并指出了各控制目标未达到时会 带来的风险及改进控制的建议。,第二章 IT治理,应用工具集：提供了包括管理意识、IT控制诊断、应用指导、常见问题集、 、个案研究等工具，以及介绍COBIT的相关课件。 目的：工具集的设计主要是让COBIT的应用更加便利，使组织可以快速且 成功地掌握如何在不同的工作环境中应用COBIT。,第二章 IT治理,COBIT的主要优点： 1、可以帮助在管理层、IT与审计之间交流的鸿沟上搭建桥梁，提供了彼 此之间沟通的共同语言 ； 2、通过实施COBIT，增加了管理层对控制的感知及支持 ； 3、COBIT使IT管理工作简易并量化，减轻对复杂信息系统管理工作的 难度，并且可以应用在每天都在发生的各种新问题中 ；,4、COBIT提供了一种国际通用的IT管理及问题解决方案，普遍适用于各 种不同的商业项目和审计 ； 5、COBIT有助于提高信息系统审计师的影响力； 6、COBIT框架可以能够帮助决定过程责任，提高IT治理水平。 第五节 IT治理机制和方法 一、建立IT治理机制,第二章 IT治理,如何有效地进行IT治理？ 需要建立有效的IT治理机制，因为： 决定信息系统是否有效运转的因素不是信息技术，而是治理机制、管理 模式、制度与规则，流程与标准，最终是人。因此，在这些因素之上， 需要合理有效的制度安排。,建立有效的IT治理机制，要做好以下几方面： 1、实现企业战略与IT战略互动； 2、政府应作为推动者； 3、建立专门化的建立IT治理委员会； 4、保证职责明确 ； 5、信息系统审计。,第二章 IT治理,二、IT治理的方法 1、积极进行IT治理设计 要求：最高管理层（董事会）树立和维护IT战略地位的思想认识， 从组织的战略出发而不是从系统的需求出发，可以避免脱离 目标而进行建设的困境； 发展外部市场监控和审计机制。 包括：构建有效的：IT治理结构；决策制定程序；IT原则、架构、基 础设施、业务应用需求、投资决策程序；风险管理制度；审计 监督程序，等。,第二章 IT治理,2、选择正确的时间进行IT治理设计 选择依据：公司治理的IT需求； 企业的战略目标； 企业的业务需求及变革需求； IT风险管理； 价值的交付 。,3、高层经理人员的参与 高层经理人员：企业的高层管理者、CIO、审计主管，等 角色：参与IT战略的总体制定与决策； 证实IT战略与企业战略一致； 证实IT通过明确的期望和衡量手段交付； 指导IT战略、平衡支持企业和使企业成长的投资； 恰当决策信息资源应着重使用的地方。,第二章 IT治理,4、对目标有所取舍 目标选择：选择核心流程； 业务应用需求； 市场的机会； 商业价值； 效率和服务的比较；,第二章 IT治理,5、制定例外处理流程 关键要素：能够对流程进行清楚地定义，且企业所有的人都能理解； 流程要能使问题可以迅速提交给高层管理者； 例外流程应被采用到企业架构之中。,6、提供相应的激励 措施：有一套激励制度； 有活力的组织和人员； 有利于调动利益各方的积极性； 激励的整体性和持续性； 建立激励的可衡量指标； 激励方式的多样性； 激励与责、权、利相结合。,第二章 IT治理,7、在组织的多个层面设计治理 要求：在高层，应把握IT治理的战略和决策； 在中层，应注重IT治理的组织、管理和实施； 在低层，应注重IT治理的有效执行和协调。 注意点：做好自上而下的领导关系； 做好自下而上的反馈关系； 把握好各层面之间的沟通协调； 注意责、权、利之间的一致性。,8、加强透明度和教育 主要体现：通过各种方式加强沟通和交流； 加强IT治理意识和技能的培训。 9、运用相同的机制治理多个关键资产,第二章 IT治理,三、IT治理的基本程序 1、在业务目标的驱动下，制定IT战略，并保证IT战略与业务战略目标 的匹配； 2、挖掘业务需求，完善信息系统建设，使IT真正为业务提升、管理创 新贡献价值； 3、实施IT项目管理与风险管理； 4、进行IT绩效评估。 IT治理是一个循序渐进的往复循环的过程,第二章 IT治理,第六节 IT治理成熟度模型 如何对IT治理状况进行评价？涉及：评价方法,目前较为流行IT治理的评价方法有三种： IT成熟度模型、PW方法、CBSO法 IT成熟度模型介绍： IT成熟度模型制定了一个基准，组织可能根据上面的指标确定自己 的等级，从而了解定位自己企业的IT治理在业界所处的位置，确定未来 努力的方向。,第二章 IT治理,平衡风险和收益后的IT治理和IT增值流程治理成熟度级别如下： 不存在级（0级）：完全不存在可辨识的信息治理流程。 初始级（1级）： 初始的混乱的。 可重复级（2级）：重复的但模糊的。 已定义级（3级）： 已定义流程。 已管理级（4级）： 已管理和可测量的。 优化级（5级）： 全面满足IT治理的要求并持续改进。,第二章 IT治理,IT治理成熟度模型方法的优点与作用 ： 1、是一种进行实用性比较的等级制，能以简单方式测定差异，有助于确 定有关信息技术管理、安全性。 2、是测量管理处理发展程度的一种方法，有助于企业将主要精力投入到 关键的管理方面。 3、有助于专业人员向管理层解释IT管理存在的缺陷，从而确定组织的发 展目标。 4、将有助于解决以下在IT部门中普遍存在的问题： （1）在竞争激烈的市场环境中，您的公司或部门在IT应用中处于什么 水平？ （2）如果您认为有差距，究竟差在哪里？如何去改进？ （3）如果您觉得运作良好，那么您能说出好在哪里？好到何种程度？ （4）如何对IT管理进行绩效评估？,第二章 IT治理,第七节 审计IT治理架构 一、审计IT治理架构和实施 如果一个企业信息系统存在以下具有潜在风险的特征：（参见P.65） 1、最终用户态度不友好； 2、过多的成本； 3、预算超支； 4、较高的员工离职率； 5、缺乏经验的员工； 6、经常出现硬件/软件故障； 7、用户请求被积压，没有得到及时响应； 8、迟缓的计算机相应时间； 9、大量的废止或暂停的开发项目； 10、未受支持或未经授权的硬件/软件采购； 11、经常性的硬件/软件升级； 12、对例外报告没有采取跟踪处理措施； 13、缺乏动力； 14、缺乏持续性计划； 15、依赖一个到两个关键员工；16、缺乏充分的培训。 这表明，该企业存在IT治理问题，需要建立、改善、提高其IT治理能力。 如何指出其存在的IT治理问题，以便提出改进建议？ 需要：IT治理审计,第二章 IT治理,IT治理审计的实施： 1、审核文挡 文档包括：信息技术战略、计划和预算； 安全政策文档； 组织/职能图； 工作描述； 指导委员会报告； 系统开发和程序变更流程； 操作程序； 人力资源手册。 审核要点：完整、合理、合法合规 审核目的：检查相关文挡存在哪些问题和不足？哪些需要改进完善？,第二章 IT治理,2、对被审核文挡进行进一步评估 主要包括：文挡是否如实反映了管理层的思想，并得到了授权； 文挡是否适用于当前状况，并能得到及时更新。 审核目的：通过证实文挡的真实可靠性、有效性等进一步获取有关审 计证据，以便为对企业的IT治理状况进行分析、评价提供 依据。,3、现场调查（面谈和观察） 主要包括：通过面谈从中了解有关信息系统的实际情况； 通过观察对信息系统的真实情况进行证实、判断 调查目的：证实文挡与实际的一致性； 发现实际存在问题； 进一步获取相关证据。,第二章 IT治理,4、得出结论，提出审计建议 依