IT治理：一种对现实难题的探索.ppt

IT治理：一种对现实难题的探索,孙强sun6869,什么是信息系统审计,信息系统（IS）审计是指根据公认的标准和指导规范对信息系统及其业务应用的效能、效率、安全性进行监测、评估和控制的过程，以完成组织的战略目标，同时最经济的使用资源。,IS审计对象,审计对象,变革管理,数据中心运维,信息安全,网络管理,基础设施,数据库管理,硬件管理,绩效与容量,问题管理,灾难回复与业务持续,软件管理,通信,技术支持服务,系统开发,信息系统审计的过程,1.理解客户业务、系统、环境等2.识别并评估风险(risk)3.检查是否存在足够的控制（control）来补偿这些风险4.对控制进行测试和评价5.提出审计结论和报告,背景：这个世界发生了什么？,商业环境更加复杂多变业务重组、裁员、外包、充分授权、扁平化组织和分布式处理等等信息和信息技术对于很多组织意味着最重要的资产，这导致IT本身已经或潜在成为一个巨大的威胁，随IT而来的风险、利益和机会使得IT治理成为公司和政府治理中很关键的一个方面。,IT治理缺失的九大症状,首先，各自为政。其次，信息化建设领导者错位，IT应用方案和企业业务需求之间逻辑错位。第三，决策的技术经济论证不足。第四，信息资源的合理应用一直是我国信息化的薄弱环节。第五，利益冲突和信息的不透明。,IT治理缺失的九大症状,第六，IT安全治理和风险管理缺位。第七，非技术性的障碍。第八，重硬件购买，轻软件和咨询服务。,IT治理缺失的九大症状,第九，信息化建设找不到重心。在做正确的事吗？例如，信息化到底是什么？我们究竟应该走多远？这些事是在用正确的方法吗？例如，企业在最普通而又最关键的部分进行计算机管理就不是信息化吗？关键成功要素是什么？不能达到我们目标的风险是什么？这些事被做好了吗？例如，有没有一个测量标准用于判断何时肯定会出现错误？其他的组织在做什么？我们应该怎样进行测量与比较？我们得到受益了吗？那么，IT成本与利润比例多少算是合适？有没有贯通风险、控制需要和技术问题这三者之间的桥梁？,IT治理缺失的九大症状,总之，一个治理机制不完善的企业很难对外部竞争有积极的反应，从而很难有十分高的经营效率；相反，市场竞争的效率也来自于企业治理机制的完善，如果市场中的企业治理机制普遍不完善，企业之间就不可能进行充分有效的市场竞争。市场竞争最终要通过企业自身治理机制的改善才能使企业经营效率提高。,IT治理的定义,德勤定义如下:IT治理是一个含义广泛的术语，包括信息系统、技术、通讯、商业、所有利益相关者、合法性和其他问题。其主要任务是：保持IT与业务目标一致，推动业务发展，促使收益最大化，合理利用IT资源，IT相关风险的适当管理。,IT治理的定义,Roberts.Roussey（美国南加州大学教授）认为：IT治理用于描述被委托治理实体的人员在监督、检查、控制和指导实体的过程中如何看待信息技术。IT的应用对于组织能否达到它的远景、使命、战略目标至关重要。,IT治理的定义,国际信息系统审计与控制协会(ISACA)定义如下：IT治理是一个由关系和过程所构成的体制，用于指导和控制企业，通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。,IBM给中国银行业的白皮书中建议,大力推动银行流程化与流程标准化的管理，建立全行级的跨部门的IT治理决策机构来决定IT项目实施的顺序，加强全行的管理与流程执行的纪律，与IT行业的供应商结成战略联盟,将战略伙伴的价值并入到价值链。,关于IT治理定义的共同点,IT治理必须与企业战略目标一致，IT对于企业非常关键，也是战略规划的组成，影响战略竞争。IT治理和其它治理主体一样，是管理执行人员和利益相关者的责任（以董事会为代表）。IT治理保护利益相关者的权益，使风险透明化，指导和控制IT投资、机遇、利益、风险。信息技术治理包括管理层、组织结构、过程，以确保IT维持和拓展组织战略目标。,关于IT治理定义的共同点（续）,应该合理利用企业的信息资源，有效地集成与协调。确保IT及时按照目标交付，有合适的功能和期望的收益，是一个一致性和价值传递的基本构建模块，有明确的期望值和衡量手段。引导IT战略平衡系统的投资，支持企业，变革企业，或者创建一个信息基础架构，保证业务增长，并在一个新的领域竞争。对于核心IT资源做出合理的决策，进入新的市场，驱动竞争策略，创造总的收入增长，改善客户满意度，维系客户关系。,IT治理的目标,IT治理与业务目标一致IT治理有效利用信息资源IT治理风险管理,IT治理与业务目标一致,IT治理要从组织目标和信息化战略中抽取信息需求和功能需求，形成总体的IT治理框架和系统整体模型，为进一步系统设计和实施奠定基础，保证信息技术跟上持续变化的业务目标。,IT治理有效利用信息资源,目前信息化工程超期、IT客户的需求没有满足、IT平台不支持业务应用等问题较为突出，通过IT治理可以对信息资源的管理职责进行有效管理，保证投资的回收，并支持决策。,IT治理风险管理,IT治理强调风险管理，通过制定信息资源的保护级别，强调关键的信息技术资源，有效实施监控，事故处理。IT治理使企业适应外部环境变化，为企业内部实现对业务流程中资源的有效利用，从而达到改善管理效率和水平的重要手段。,IT治理的目标,IT治理的目标将帮助管理层建立以组织战略为导向,以外界环境为依据,以业务与IT整合为中心的观念，正确定位IT部门在整个组织中的作用。最终能够针对不同业务发展要求，整合信息资源，制定并执行推动组织发展的IT战略。,IT治理解决哪些问题,发现信息技术本身的问题了解管理者如何处理IT问题自我评估IT管理的效果,IT治理解决哪些问题,例如，是否经常向最高管理层（董事会）定期汇报IT风险；IT是否是最高管理层（董事会）议程中的一个常用的术语，它是否以结构化形式表达；最高管理层（董事会）是否就商业目标与信息技术一致性进行阐明和沟通；最高管理层（董事会）对主要IT投资是否有清楚的观点，包括风险和回报；最高管理层（董事会）是否定期得到主要IT过程的报告；最高管理层（董事会）在获取IT目标和限制IT风险时是否得到独立的保证。返回,IT治理解决哪些问题,例如，IT和组织战略目标的一致性程度怎么样；怎样衡量IT的交付价值；执行管理人员采取什么样的战略动机来管理IT；与企业的运营与成长管理相关的问题；企业是否清楚其商业目标与技术的关系：领先、跟随者还是滞后者；企业对风险（风险规避和风险承担）是否清楚；有没有最新的企业相关IT风险的清单，采取哪些行动处理这些风险。返回,IT治理解决哪些问题,例如IT项目未能实现期望价值的概率；终端用户是否满意IT服务的质量；是否有足够的IT资源、基础设施、竞争力来满足战略目标；信息技术平均操作失误的原因；IT没有推动业务改善而是阻碍业务的次数。返回,IT治理的范围,IT治理和其它治理活动一样，集中在最高管理层（董事会）和执行管理层。好的IT治理实践需要在企业全部范围内推行。IT治理使得最高管理层（董事会）和执行经理的一系列活动成为可能。这些活动主要包括：IT的目标，新技术的机遇和风险，关键过程与核心竞争力。如指导信息技术的职能和对企业的影响，分配责任，定义操作，业绩衡量，管理风险和获得保证的约束等。,公司治理和IT治理,公司治理主要关注利益相关者权益和管理，包括一系列责任和条例，由最高管理层（董事会）和执行管理者实施，目标是提供战略方向，保证目标能够实现，风险适当管理，企业的资源合理使用。,公司治理和IT治理,公司治理，驱动和调整IT治理。同时，IT能够提供关键的输入，形成战略计划的一个重要组成部分，这被认为是公司治理的一个重要功能IT影响企业的战略竞争机遇。IT治理的一个关键性问题是：公司的IT投资是否与战略目标相一致，从而构筑必要的核心竞争力。,公司治理和IT治理,公司治理和IT治理的关系,公司治理和IT治理,概括地说，公司治理和IT治理都是市场（含政府）他律的机制，是如何“管好管理者”的机制，其目标也是一致的：达到业务永续运营，并增加组织的长期获利机会。企业治理侧重于企业整体规划，IT治理侧重于企业中信息资源的有效利用和管理。,公司治理和IT治理的典范,“斯达模式”这一被誉为国企摆脱困境、改革发展的创新模式，正说明了公司治理和IT治理的重要性和互动关系。“黑纸”利用合资契机，对产权体制进行了改革，并按照现代企业制度要求，建立与市场竞争相适应的公司治理机制，明晰了企业产权，优化了生产要素配置，转变了职工观念，为斯达大力进行信息化改造创造了有力条件。反过来，信息化也促进了公司的现代化管理。,IT治理和IT管理,IT管理是公司的信息及信息系统的运营，确定IT目标以及实现此目标所采取的行动；而IT治理是指最高管理层（董事会）利用它来监督管理层在IT战略上的过程、结构和联系，以确保这种运营处于正确的轨道之上。,IT治理模型,COBIT（ControlObjectivesforInformationandrelatedTechnology），代表信息及相关技术的控制目标，是IT治理的一个开放性标准，由美国IT治理研究院开发与推广,目前已成为国际上公认的最先进、最全面、最权威的IT管理和控制的标准。该标准为IT的治理、安全与控制提供了一个一般适用的公认的标准，以辅助管理层进行IT治理。该标准体系已在世界一百多个国家的重要组织与企业中运用，指导这些组织有效利用信息资源，有效地管理与信息相关的风险。,COBIT模型,COBIT四个域的相互关系,COBIT规划与组织,定义IT战略规划定义信息体系结构确定技术方向定义IT组织与关系管理IT投资传达管理目标和方向人力资源管理确保与外部需求的一致性风险评估项目管理质量管理,COBIT获得与实施,确定自动化的解决方案获取并维护应用程序软件获取并维护技术基础设施程序开发与维护系统安装与鉴定变革管理,COBIT交付与支持,定义并管理服务水平管理第三方的服务管理性能与容量确保服务的连续性确保系统安全确定并分配成本教育并忠告客户配置管理处理问题与例外数据管理设施管理操作管理,COBIT监控,过程监控评价内部控制的适当性获取独立保证提供独立的审计,COBIT体系框架,意义：COBIT实现了企业目标与IT治理目标之间的桥梁作用。,COBIT的主要优点,COBIT是一个非常有用的工具，也非常易于理解和实施，可以帮助在管理层、IT与审计之间交流的鸿沟上搭建桥梁，提供了彼此之间沟通的共同语言。通过实施COBIT，增加了管理层对控制的感知及支持。COBIT帮助管理层懂得控制如何影响商业功能。,COBIT的主要优点（续）,COBIT使IT管理工作简易并量化，减轻对复杂信息系统管理工作的难度，并且可以应用在每天都在发生的各种新问题中。COBIT提供了一种国际通用的IT管理及问题解决方案，普遍适用于各种不同的商业项目和审计，并且它既包容了我们当前的情况，也提供将来可能会使用到的指导方针。,COBIT的主要优点（续）,COBIT有助于提高信息系统审计师的影响力，依据COBIT出具的信息系统审计报告更容易得到管理层的肯定。COBIT框架可以能够帮助决定过程责任，提高IT治理水平。,COBIT在组织中的应用指南,通过关键成功因素、成熟度模型、关键目标指标、关键性能指标四个方面的有机作用，使企业中的信息资源得到有效的管理。,关键成功因素为管理部门控制信息技术及其处理过程提供了实施指南。是信息技术处理过程中的最关键的要素，是战略性的、技术性的过程或活动，勾画出了IT的控制轮廓。关键成功因素平衡所有的IT资源，它由关键绩效指标评价。,成熟度模型,关键成功因素,关键目标指标,关键绩效指标,关键目标指标是通过创建和维护一套处理和控制适当业务成效的系统。该业务指导并监督IT传递的商业价值。关键目标指标通过识别测定处理结果，营运过程的输出，在平衡记分卡上测定。关键目标指标是处理目标的一种表达，明确要取得什么目标，并描绘处理的结果，进行事后评判，直接体现处理过程的完成成功与否，间接体现处理带给经营活动的价值。,成熟度模型,关键成功因素,关键目标指标,关键绩效指标,关键绩效指标是指对关键成功因素进行评价，通过监测某IT处理过程的执行情况，告诉管理层该处理是否满足其经营需求。关键绩效指标是IT处理过程的性能指标，表现为IT的实际业绩。通过有效性、效率、保密性、完整性、可用性、一致性、可靠性等指标来测定IT的绩效。关键绩效指标是处理过程执行程度的测定，预期将来成败的可能性，是先导性目标，可以事先给出成功的预示。,成熟度模型,关键成功因素,关键目标指标,关键绩效指标,IT成熟度模型制定了一个基准，组织可能根据上面的指标确定自己的等级，从而了解自身目前的境界。在此基础上确定组织的关键成功因素，通过关键绩效指标进行监控，并衡量组织是否能达到关键目标指标中所设定的目标。,成熟度模型,关键成功因素,关键目标指标,关键绩效指标,0,1,2,3,4,5,不存在,初始级,可重复的,已定义的,已管理的,已优化的,公司当前状态,国际标准指南,行业最佳做法,公司战略,符号意义说明,级别意义说明,0-没有任何管理流程1-流程是初始的、混乱的2-流程遵循通常模式3-流程已文档化4-流程得到控制和测量5-遵循并自动采用最佳做法,IT治理成熟度模型,平衡风险和收益后的IT治理和IT增值流程治理成熟度级别,0不存在。完全不存在可辨识的信息治理流程。组织并不到这一问题，因此关于此问题并无交流。,IT治理成熟度级别,1初始级。有证据表明，组织已意识到存在IT治理问题并需要研究，尚无标准流程，但有些个人或在有些具体情况下进行了尝试。治理方法混乱，但对于问题和研究方法有零星的、不一致的交流。也可能意识到需要以产出为导向，在相关企业流程中追求IT的价值。没有标准的评价过程，只在组织中发生某些事件带来损失或不利时，IT治理才得以应用。,IT治理成熟度级别,2可重复级。管理者认可基本的IT治理方法、评价技术，但整个组织并未采纳IT治理流程，组织中不存在与管理标准相关的正规培训和交流，仅凭个人反应。个人在不同的IT项目和流程中推行管理流程，他们选择并运用有限的管理工具收集相应信息，但由于缺乏专业知识，可能不能充分发挥IT治理的功能。,IT治理成熟度级别,3已定义级。流程被标准化、形成文档并贯穿到战略和运作计划以及管理流程之中，管理与标准流程相一致。开始了非正式的培训，工具得以标准化，整个组织认同IT与商业利益平衡的观念。然而，只是个人接受培训、执行标准，只是偶尔分析问题的根本原因，大部分流程还是根据基本准则进行管理，出现的偏离很少被管理者发现，因为这些偏离主要由于个人原因造成。尽管存在一些问题，可以清楚地评价关键流程的绩效，并根据关键绩效指标对有关人员进行奖罚。,IT治理成熟度级别,4已管理级。通过正规培训，各个层次全面理解了IT治理。人们清楚地知道谁是顾客，而且通过服务水平协议，来定义和监督相应的责任。责任清楚，也落实到流程中的具体人员。IT流程与业务密切相关，与IT战略密切相关。所有流程参与者了解风险，也了解IT的重要性和IT提供的机遇。管理者明确必须对哪些无效的流程采取行动。必要时改进流程，并强制执行最佳内部实践（准则）；确定持续改进措施；以成熟的技术和强制性的标准工具为基础，有限制地、有策略地使用新技术；有所需要地各个方面地内部专家。,IT治理成熟度级别,5优化级。IT治理流程已达到最好的水平；通过持续改进，与其它组织的成熟度比较，业务流程已超越公司外的最佳实践；利用先进的思想和技术进行培训和交流；深入分析所有问题和偏差的根本原因，并能方便地确定和启动有效的行动；以广泛的、集成的和得到优化的方式使用IT自动化工作流，并提供工具提高质量和效果；定义和平衡IT流程的风险和收益，并传达给整个公司；重视外部专家的作用，使用标杆指导IT流程；在组织内监督、自我评价和交流对IT治理的期望，公司治理和IT治理战略紧密相关。,IT治理成熟度模型的优点,IT治理成熟度模型涉及经营需求的各个方面，是一种进行实用性比较的等级制，能以简单方式测定差异，有助于确定有关信息技术管理、安全性。使管理部门相对容易地依据等级制对自己定位，通俗地将是给IT管理打分，并找出需要改善管理的地方。,IT治理成熟度模型的优点（续）,IT治理成熟度是测量管理处理发展程度的一种方法，应该发展到什么程度取决于以上所提的经营需求。这些等级正是一个给定的管理处理的惯例，体现各个成熟层次的典型模式，有助于企业将主要精力投入到关键的管理方面。IT治理成熟度模型等级有助于专业人员向管理层解释IT管理存在的缺陷，并把他们组织的控制惯例与最佳惯例对照起来，从而确定组织的发展目标。,IT治理成熟度模型的作用,在竞争如此激烈的市场环境中，您的公司或部门在IT应用中处于什么水平？如果您认为有差距，究竟差在哪里？如何去改进？如果您觉得运作良好，那么您能说出好在哪里？好到何种程度？如何对IT管理进行绩效评估？,建立IT治理机制,首先需要转变观念在最高管理层（董事会）树立和维护IT战略地位的思想认识，建立企业战略与IT战略的互动观念，阐明IT应担当的角色，从业务的视角创造信息技术指导原则，如信息化规划本质上可以定位成从业务战略到信息战略的实现。从组织的业务战略出发而不是从系统的需求出发，可以避免脱离目标而进行建设的困境。从业务的变革出发而不是从技术的变革出发，有利于充分利用组织的现有资源来满足关键需求，从而避免建设的信息系统无法有效地支持组织的决策。,建立IT治理机制,发展外部环境加强IT治理实质上是一个政府和企业机构必须携手面对的问题。政府必须扮演一个重要的推动角色，并且尤其需要强调的是政府制定规则比较合理的方法是通过听证会或知情会上下协商、交互式地制定规则.这样才能解决规则的充分合法性、可执行行性问题.值得一提的是：组织采行优良IT治理机制的行动，将减轻政府部门在制订国民经济和社会信息化中所扮演的角色责任。,建立IT治理机制,逐步试行建立IT治理委员会IT治理委员会与IT审计师是IT治理最重要得环节。IT治理委员会由组织的最高管理层（董事会）及管理执行层包括IT管理和业务管理有关部门负责人、管理技术人员组成，定期召开会议，就企业战略与IT战略的驱动与设置等议题进行讨论并做出决策，为组织IT管理提供导向与支持，把IT治理的相关规范融入到组织的内部控制中。,建立IT治理机制,明确规定IT管理过程的责任组织最高管理层应确保对管理层、部门、运维人员职责进行规定并形成书面文件。,对信息系统进行独立审计,1、信息系统的管理、规划与组织2、信息系统技术基础设施与操作实务3、资产的保护4、灾难恢复与业务持续计划5、应用系统开发、获得、实施与维护6、业务流程评价与风险管理,IT治理的成功案例,案例一：美国参议院背景美国参议院的总检察官（OfficeofInspectorGeneral）在寻求改进IT运作的方法。总检察官做出的大量初审报告都指出了参议院内部各种IT运作的缺陷，例如缺乏指导方针和过程规定（如系统发展生命周期），不理想的系统设计和开发，缺乏规划及绩效度量标准，大型机的混乱管理，缺乏足够的信息安全措施。为控制这种情况，并建立清晰的责任制度，需要采纳一种IT监管框架。,IT治理的成功案例,过程首席行政官实施首席行政官迅速认识到COBIT有益于参议院的信息资源及财政机构。于是，首席行政官实施了COBIT，COBIT成为参议院内IT行为的通用治理部分。例如，信息资源部门将COBIT纳入到其系统发展生命周期(SDLC）过程中。IT指导委员会（命名为信息资源管理建议委员会），总检察官是委员会的顾问。,IT治理的成功案例,过程总检察官实施总检察官将COBIT纳入到其政策及IT过程手册中，并使用它作为所有总检察官IT审计行为的通用资源。COBIT成为审计计划过程，职员技巧/知识评估，职员及审计报告过程的培训需求评估的关键因素。,IT治理的成功案例,报告总检察官使用COBIT作为制定审计报告的内部控制及审计原则，使用COBIT主体及控制对象来方便报告的书写。例如，一个审计对象是衡量围绕WindowsNT客户机/服务器的通用控制环境的效果。虽然没有发现严重的缺陷，审计指出了三个需要改进的地方，与相应的COBIT主体相对应。,IT治理的成功案例,总结参议院发现COBIT对于参议院的运作及审计是一个有力的工具。首席行政官及高级管理人员和总检察官进行合作，使用COBIT来改进参议院的运作。作为结果，建立了IT监管框架，包括合理的SDLC方法，IT指导委员会（总检察官是咨询委员），来指导参议院的IT运行。,案例二：科尔顿工业大学,摘要在寻找综合的IT治理方法论过程中，澳大利亚科尔顿工业大学，引入了COBIT。在检查了COBIT的框架之后，该大学