IT治理及其架构模型研究 - 图文-

1、首都经济贸易大学硕士学位论文IT治理及其架构模型研究姓名:李长征申请学位级别:硕士专业:信息经济指导教师:杨一平20040301 幽3-1IT与业务战略融台IT治理与业务目标一致IT治理要从组织目标和信息化战略中抽取信息需求和功能理框架和系统整体模型,为进一步系统设计和实施奠定基础,保化的业务目标。IT治理有效利用信息资源目前信息化工程超期、IT客户的需求没有满足、IT平台不为突出,通过IT治理可以对信息资源的管理职责进行有效管理支持业务决策。IT治理风险管理由于企业越来越依赖于信息技术和网络,新的风险不断涌现没有管理,不符合现有法律和规章制度、没有识别对IT服务的险管理,通过制定信息资源的保

2、护级别,强调关键的信息技术资 理环境。COBlT为每一个过程提供了关键目标指示(KGIS、关键键成功要素(CSFs,与ITIL过程相结合可以建立ITIL过程管理的基某些企业综合两个标准提出了更易理解的适用于本企业环境的IT (二COBIT和ISO/IEC17799的比较ISO/IEC17799强调信息安全管理体系的有效性、经济性、全性,目的是为希望达到一定管理效果的组织提供一种高质量、高特点就是广泛但不深入,而且仅作参考之用。与ISO/IEC17799不同,COBIT完全基于IT,其IT准则反映IT资源包括人、系统、数据等相关资源,IT管理则是在IT准则规划处理。COBIT在PO、AI、Ds、

3、M四个方面确定了34个处理制目标。此外对每个过程还有评审工具。如图36COBIT原理所 图3-6cOBIT原理资料来源:PWC-26- 图3-9IT备要素的有机融台COBIT、ITIL、IsO/IEcl7799和PRINcE2在管理IT上述各方面COBIT重点在于IT控制和IT度量ITIL重点在niT过程管理,强调IT支持,fDIT交付ISO/IECl7799重点在于IT安全控制PRINCE2重点在于项目管理,强调项目的可控性,明确项具体职责,同时实现项目管理质量的不断改进。 3.10四个标准的有机融台整合Cobit、ITIL、ISO/IECl7799、PRINCE2以及目前盛行的建了IT治理

4、架构模型。 圈3-11IT治理架构模型4普华永道PWC正致力于Cobit,ITIL.IS017799三个标准的整合研究.Gartner致-3l- (六对信息系统进行独立审计用户耐IT想法ITILIS017799 CobitPrince2信息系统审计。1是一个获取并评价证据,以判断信息系统是数据的完整以及有效率地利用组织的资源并有效果地实现组织目IT技术与审计理论及方法为信息时代信息的使用者提供合理的保在信息时代,组织为预防不良事件的发生必须将其内部控制各个方面,包括企业内部网与因特网在内的任何直接或间接影响要资料的数据或处理系统,因为该系统与包括合作伙伴在内的系。此外,这些公司还必须对与其互通

5、业务数据的合作伙伴的内对于经营惯例、交易处理的完整性、信息保护和如何对信息系统风险管理方面,组织可以通过内部审计或外部审计达到上述目的信息系统审计主要由以下部分组成:l、信息系统的管理、息系统的管理、计划与组织方面的策略、政策、标准、程序和技术基础设施与操作实务评价组织在技术与操作基础设施效性及效率,以确保其充分支持组织的商业目标。3、资产的保”关于信息系统审计的更多内容请参见孙强、李长征等编写的信息系统审计一安迪顾问信息化管理丛书 -35. IT治理及其架构模型研究作者:李长征学位授予单位:首都经济贸易大学相似文献(9条1.学位论文白珣基于IT治理的企业IT风险管理框架的研究2008近年来,

6、从美国的安然公司破产到世通公司的财务丑闻,从中国的银广夏、蓝田到中科创等违规案的公开无疑都将注意力集中在财务报告的各个方面。作为美国公司的舞弊和给美国国会带来的相关压力的结果,萨班斯奥克利法案于2002年夏天通过。美国证券交易委员会(SEC和纽约证券交易所(NYSE随后制定的规则和管制,对于上市公司的公司治理、内部控制产生了重大的影响。 法案的302节要求CEO和CFO就他们的内部控制系统进行报告,并在提交给SEC的财务报表上签字以此作为保证,因此,这部法律将迫使高级执行官确保其内部控制系统的适当;而法案的404节要求公司要:(1陈述管理层建立和保持适当的内部控制和财务报告的责任;(2在上市公

7、司的财政年度末,对内部控制结构和财务报告程序的效果的评估。现在NYSE第一次要求所有登记上市的公司都要有内部审计的职能。 1994年经过修订的COSO报告诞生了, COSO报告也被人们形象地称作内部控制的“圣经”。 2004年9月,COSO又提出了企业风险管理整体框架,它既是对内部控制整体框架的超越,也标志着内部控制的转型,在内涵界定、目标体系、构成要素等方面都进行了拓展和延伸。而COBIT作为国际上通用的信息系统审计的标准自1996年诞生以来已经更新到了第四版,其中更加强化了其对IT风险控制的目标内容,为信息系统审计界提出了许多新的课题。于此同时世界范围内多个影响范围广大的信息化安全标准都提

8、出了自己的风险管理的控制框架,一时间呈现出百花争鸣的景象,文中将会涉及到几个比较有影响的内部控制框架如ITIL、ISOl7799、CMMI、Prince2、NIST、ITGI。 多数框架提出了IT治理的理念,或者在IT治理的前提下研究IT风险的内部控制。似乎IT治理已经成为了企业治理的重要方向。的确,在当今的全球商业环境中,信息的重要性被广泛接受,信息系统在各类组织中得到了广泛的应用。许多组织对其信息系统不断增长的依赖性,加上在信息系统上运作业务的风险、收益和机会,使IT治理成为了公司治理越来越关键的一部分。目前,IT治理理论已经成为内部控制和信息系统审计领域的研究热点。 企业对IT的依赖性越

9、来越强,却没有太多合理的IT风险管理框架来为信息化过程保驾护航,这导致了不断增长的对风险管理框架的需求。本文研究的目的在于为于信息化成熟度较高的企业建立一个针对信息技术部门的风险管理框架。 本文研究的另一个重要内容在于收集和整合IT风险管理的需求,并将其融成一个系统的整体。 本文的第一章介绍了风险管理框架产生的背景、必要性,同时也概述了IT治理的一些概念。 第二章则从国内国外两个方面介绍了风险管理框架的需求,主要侧重于规则需求方面。 第三章介绍了国际流行的控制框架和标准。 第四章从对比和综合两个角度深入的对各个内部控制框架进行了分析。 随后在此基础上第五章构建了新的风险管理框架并对其进行了分析

10、,同时提出了实施的办法。 文章的第六章在最后通过一个政务软件的案例来看在新框架的指导下对组织的IT技术内部控制审计有哪些启示。 最后是结论。2.学位论文乔丽萍企业IT治理和信息系统风险控制方法的研究2003本文从IT治理、风险控制等方面对企业的IT资源投入及运用过程中的风险进行管理和控制,并建立一套完整的风险管理和控制体系,用于企业风险管理和控制过程中去,从而在保证信息系统目标与企业的商业目标相一致的前提下,对信息系统风险实施控制,达到信息的质量要求、信用要求以及安全要求的准则.同时通过案例研究,探讨建立信息系统风险管理和控制体系的方法步骤以及需要注意的问题,从而更进一步深化了其在实际中的应用

11、.3.期刊论文周常兰.陈宝峰.Zhou Changlan.Chen Baofeng ISCA模型IT治理视角下的解析-会计研究2009(2本文在会计管理信息化的ISCA模型基础上,从当前我国会计管理信息化发展中面临的问题出发,结合国际上IT治理方面的理论和方法,从IT治理的视角对ISCA模型进行了解析.认为当前我国会计管理信息化应从注重技术和设备转向注重提高治理水平、重视总体规划和组织保证;解析了建立信息系统内部控制制度的内涵、主体和依据,从信息化流程和会计审计流程两个角度较全面地介绍并辨析了当前主要的相关规范或标准,提出企业实施标准认证是完善信息系统内部控制制度的重要途径;区分了信息系统审计

12、的三大主体并明确了各主体工作的相关重点.4.学位论文强益IT治理在陕西“金财工程”中的应用研究2008随着信息技术的迅猛发展,“信息化带动工业化、工业化促进信息化”的战略深入人心,信息化程度的高低,已经成为衡量一个国家或地区现代化水平的重要标志。当前,我国信息化建设已经发展到深化、整合、转型与创新的关键时期。从政府推动信息化发展的主导地位和政府管理对信息化依赖程度不断增加,使政府信息化成为经济信息化和社会信息化的前提。政府财政管理信息化即“金财工程”作为电子政务工程的重要组成部分,它的推进和实施,促进了国家信息化战略目标的实现,为财政改革的深化和财政管理水平的提高提供了有力的技术支撑。 随着“

13、金财工程”的深入发展,财政业务对信息系统依赖程度不断增大,信息化建设与业务不匹配、信息孤岛、信息投资黑洞等财政信息化建设中深层次的矛盾和问题,受到越来越广泛的关注。如何从制度、战略、规范和标准的高度,重新看待IT的定位、作用和价值,将IT战略与业务战略相融合?如何平衡IT投资和风险、提高IT资源使用效益?如何提高IT服务水平以及运维质量等问题逐渐显现。如何解决这些问题?本文认为由美国信息系统审计和控制协会(ISACA提出的IT治理战略值得借鉴。 本论文是在此背景下,结合陕西“金财工程”现状和存在的问题,以提高财政管理科学化、规范化水平为目标,通过分析IT治理基础理论,从政府管理的角度对IT治理

14、的内容体系进行了总结,将lT治理战略引入“金财工程”建设中,从IT资源管理、IT服务管理以及IT安全体系等方面提出了构建“金财工程”IT治理机制的基本策略及其实施方案。期望能解决陕西财政IT管理中存在的问题,为下一步在财政领域开展更深层次的IT治理打下坚实的基础,为我国其他电子政务进行深层次的IT治理实践提供参考。5.期刊论文张程我国信息系统的审计现状及其架构-沿海企业与科技2005(12 文章对信息系统审计的产生原因进行了初步的探讨,论述了对信息系统审计的必要性,提出了其一些基本的概念和定义,指出我国信息系统审计体系框架的目标和结构,并进行了总结与展望6.学位论文夏兆敏IT治理及其在公司组织

15、架构中的应用研究2006随着信息技术的飞速发展,信息系统的应用越来越广泛,信息系统越来越显示出它的优越性与高效性。当今,信息技术(IT产业化和信息化的应用已经步入深化、整合、转型和创新的关键时期,信息技术与信息系统对企业组织形态、治理结构、管理体制、运作流程和商业模式的影响日益深化,企业对信息技术和信息系统得依赖性日益加强。同时,信息技术实施的失败案例也给人们敲响了警钟一并不是所有的信息的发展战略是自然的契合企业的发展战略,而这些往往就是问题的所在。那么,企业开始思考,如何将IT战略与企业战略相融合?如何从公司治理的高度,对企业信息化做出制度安排?如何从战略投资、企业管理变革的角度.降低IT的

16、风险等一些深层次的问题?如何解决这些信息化建设中难题,笔者认为由美国信息系统审计和控制协会提出的IT治理战略值得借鉴。本文主要是在此背景下,阐述IT治理的概念、内容体系、结构、关键决策分析以及简要介绍了IT治理模型一一COBIT的框架结构,同时结合组织架构这一有力的分析框架,识别了有效IT治理的能力,重点研究了 IT治理在企业组织结构中的应用,通过设计组织的角色、流程与关系来帮助企业实现IT治理能力机制,最后,构建了企业基于价值创造的IT治理评估体系,以期帮助企业完善组织架构的设计与实施,成功得开展有效的IT治理,促进公司治理的完善和提升,为企业创造价值。7.学位论文吴颖炯企业ERP环境下的信

17、息系统审计研究2008随着信息技术的不断发展,企业经营管理模式也发生了巨大的变化。以SAP软件为代表的ERP系统已在80%的500强企业深入应用,其功能模块涉及财务会计、销售、采购、人力资源等众多企监核心管理流程。ERP系统给企业精细化管理和科学决策带来便利的同时,也使企业对ERP系统安全可靠运行的要求越来越高。应用数据的完整性、准确性,事务交易的可靠性以及信息系统本身的运营稳定性等众多因素关系羞整个企业的运营正常与否。由于信息系统风险管理不当而产生的内部控制失效、业务数据失真等问题已引起人们特别的关注。美国2002年制订的SOX法案,对上市公司的内部控制提出了很高的要求。而ERP系统实行的流

18、程化管理,打破了原有职能部门的条块分割,使企业的业务运行在一定程度上已由ERP系统来进行控制。基于ERP系统的内部控制以及信息系统审计工作已成为很多大型公司必须面对的课题。企业控制环境和管理模式的根本性变化预示了新经济时代的到来,同时也促进了信息系统审计韭务的快速发展。 为了合理保证信息系统能够保护资产的安全、数据的完整、系统有效地实现组织目标并有效率的利用组织资源,信息系统审计关注的核心是资产保护与信息系统的效率、效果。不仅包括对建设过程的审计,更重要的是对信息系统的运营审计,向公众出具审计报告,鉴定信息系统能否保护企业资产安全,其产生、传递的信息是否完整,整个系统是否有效地实现组织目标并有效率的利用组织