IT治理(陈伟)

1、-1-IT IT 治理治理第三届北大CIO班 -2-l企业管理模式企业管理模式一、从企业风险管理到一、从企业风险管理到IT风险控制风险控制-3-l企业管理常见风险企业管理常见风险战略定位不明组织架构紊乱业务流程松散激励机制不足信息技术缺乏资金管理低效对企业实施风险管理对企业实施风险管理目标：企业风险管理的目标目标：企业风险管理的目标是控制企业的风险，保护企业的是控制企业的风险，保护企业的核心竞争力，风险管理是未来企核心竞争力，风险管理是未来企业发展的主旋律。业发展的主旋律。-4-l企业风险管理的背景企业风险管理的背景2002年美国国会发布了SOX萨班斯奥克斯利法案要求所有上市公司都必须建立有效

2、的内部控制框架。 2004年9月30日中国银监会发布了商业银行内部控制评价办法，2006年银监会发布电子银行业务管理办法 、电子银行安全评估指引 、银行业金融机构信息系统风险管理指引和银行业金融机构内部审计指引。2006年6月国资委发布中央企业全面风险管理；2006年6月5日，上海证券交易所发布了上海证券交易所上市公司内部控制指引；2006年9月28日 深交所发布深圳证券交易所上市公司内部控制指引 财政部近日发起成立企业内部控制标准委员会，其目的是为推动企业完善治理结构和内部约束机制，中国式的SOX法即将出台。-5-l企业风险管理框架（企业风险管理框架（ COSO ）目标：从各种角度来考虑因素

3、：从相联的各种过程来考虑地点：在组织的各个层次考虑-6-lCOSO风险管理框架的启发风险管理框架的启发要站在企业管理者的角度来看待风险，企业风险是由包括IT风险在内的其他风险组合而成。强调“人”的重要性，组织中的每一个人对风险管理都负有责任；强调“软控制”的作用。“软控制”主要指那些属于精神层面的事物，如高级管理阶层的管理风格、管理哲学、企业文化、内部控制意识等，“软控制”影响人的行为。强调风险管理是一个“动态过程”，风险管理是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的PDCA过程。明确指出内部控制只能做到“合理”保证，目标达成的可能性受许多先天条件不足及各种“不确定性”的影响

4、。 没有不花钱的内部控制，也不存在完美无缺的内部控制。 -7-l企业风险管理组成结构企业风险管理组成结构l风险管理策略风险管理策略组织对风险的态度，对风险管理的承诺l风险控制过程风险控制过程组织具体管理风险步骤、做法及工具l风险管理基础风险管理基础组织内支持风险管理的人员、组织、技术等，来协助驱动风险管理风险模型举例-8-lIT风险控制是企业风险管理中的重要组成部分风险控制是企业风险管理中的重要组成部分公司层控制公司层控制应用层控制应用层控制基础层控制基础层控制IT控制层控制层COSO控制框架控制框架ISMS、ITSM、BCP、CMMI、-9-lIT面临哪些风险与挑战？面临哪些风险与挑战？在信

5、息与信息系统上的投资规模与成本都在不断扩大，高投入带来了高风险；企业对IT系统的依赖性越来越强的同时，面临不断增多的系统薄弱性和各种各样的威胁，IT系统的停机将造成业务受到巨大损失、声誉下降、竞争优势丧失；IT 应用与业务需求之间逻辑错位，IT设施最后成了摆设，IT建设缺乏绩效评估机制；IT项目的高失败率，使得企业无法实现其预期的创新与利益，不能实现对IT的投资回报，或者不通对投资回报进行测量； 不断发展的科技潜力显著地改变组织形式与商业模型，在创造出新的机遇并降低了成本的同时，也使得商业竞争不断加剧;ERP失败案例交易失误-10-l信息系统风险的类型信息系统风险的类型IT治理风险治理风险信息

6、化建设仍然属于“人治时代”，信息化的随意性较大，企业还没有就信息化形成相关的制度。IT可用性风险可用性风险业务对IT不断增强的依赖性和脆弱的基础设施及管理流程，使得IT系统的停机对组织的业务造成巨大损失、声誉下降、竞争优势丧失。信息安全风险信息安全风险技术的发展及互联网的便利性，使得信息安全形势日益严峻，黑客攻击频繁、病毒泛滥，造成许多商业网站、政府网站被入侵，虚拟资金被盗，敏感机密信息被泄露。IT绩效风险绩效风险如果规划不当、控制不严，IT系统不能带来预期的业务价值，巨额的信息化投入很可能造成新一轮的“投资黑洞”。合规性风险合规性风险法律、法规对IT的监管要求越来越严格，不能符合合规性要求将

7、使企业面临较大的风险。-11-l控制信息化的风险需要制度与管理创新控制信息化的风险需要制度与管理创新决定信息系统是否有效运转的决定因素不是信息技术，而是制度、组织结构、规则与标准，最终是人。信息化需要合理有效的制度安排，建立良好的管理控制体系是企业信息系统建设成功的重要保证。应该逐步完善企业的IT治理机制，实现IT与战略、管理、业务运营、信息安全的深度融合。这样一方面使信息系统为企业创造价值并保护持续性，另一方面控制信息化的风险与降低成本。构筑信息时代新的“游戏规则”，“规则”是“游戏”是重要组成部分。信息化最大的风险：控制制度-治理机制的缺失-12-l建立建立PDCA的风险控制体系的风险控制

8、体系设定风险管理流程设定风险管理流程q目的及目标q共同语言q结构决策资料决策资料订立策略订立策略q 避 免q 利 用q 接 受q转移q减低评估风险评估风险q验明q来源q量度不断的改善不断的改善管理能力管理能力设计或引进设计或引进管理能力管理能力监察风险监察风险管理表现管理表现用制度体系来建立风险控制框架-13-l IT IT风险的控制框架风险的控制框架战略层战略层IT治理治理ISMS战术层战术层IT治理治理-14-l你的组织是如何治理你的组织是如何治理IT的？的？各种回答各种回答-“什么是IT治理?以前没有听说过。它有具体的概念和定义吗?”“是不是公司治理?它与公司治理有区别吗?”-“IT工作

9、一直是公司战略中的重点，具体的工作我不太清楚,分管副总知道。”-“我们公司老板舍得花钱，老板说了：只要系统不出事，要人给人，要钱给钱！”“公司非常重视IT,老板亲自抓!技术人员地位很高,常常参与公司的高层决策。” -“我们每年年处都制订很好的IT计划，按计划执行就行，年终再检查。”-“技术开发，基本上都依靠外包。能搞掂就继续合同，出问题就换一家” -“公司很少讨论IT治理，系统只要不出事就好，出事了技术主管就麻烦大了！”二、战略层的二、战略层的IT治理治理反映出的问题反映出的问题（1）IT资源在公司的战略资产中地位受到一定的重视，但是具体情况不清楚；（2）缺乏IT治理明确的概念描述和参数指标；

10、（3）IT治理需要的明确责任与职能不清晰。 -15-lIT治理的重要作用治理的重要作用没有良好的IT治理结构和持之以恒的评估反馈机制，IT资源无法成为公司的有效战略资产，甚至成为巨大的资源损耗。在采用相同战略目标的情况下，具有良好IT治理的企业，其利润要比那些治理低下的企业高出20%。而对世界范围内250家企业的调查表明，只有38%的高级主管能够精确描述他们的IT治理。引自彼得.维尔和珍妮.罗斯的IT治理研究-16-l什么什么IT治理？治理？德勤定义如下: IT 治理是一个含义广泛的术语，包括信息系统、技术、通讯、商业、所有利益相关者、合法性和其他问题。其主要任务是：保持IT 与业务目标一致，

11、推动业务发展，促使收益最大化，合理利用IT 资源，IT 相关风险的适当管理。ISACA定义：IT 治理是一个由关系和过程所构成的体制，用于指导和控制企业，通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。-17-lIT治理可以分为五个域治理可以分为五个域二个核心：一是IT要向业务提交价值，二是降低风险。前者由IT与业务的战略一致性驱动，后者由企业内部建立的责任驱动；这两者都需要获得足够的资源并进行绩效测量，以保证获得预期结果。 -18-lIT治理风险在战略层面和战术层面的表现治理风险在战略层面和战术层面的表现战略层面 IT原则、架构、基础设施、应用需求及IT投资的决策权归属及责任担当

12、框架的建立。战术层面利用国际认可的最佳实施规范建立IT控制框架。lIT治理成熟度治理成熟度-19-lIT治理的战略层面治理的战略层面在企业战略层面上，要综合公司治理结构、企业战略规划，使IT治理作为公司治理的一部分，在治理结构上体现IT的位置与作用。建立有效确定IT决策权归属和责任分配的框架，包括有效的治理制度安排与治理机制的设计。企业战略和组织企业战略和组织IT组织和期望行为关系治理安排关系治理安排实物治理安排实物治理安排人力资源治理安排人力资源治理安排知识产权治理安排知识产权治理安排财务治理安排财务治理安排IT治理安排治理安排IT治理机制IT决策业务绩效目标业务绩效目标IT度量指标和责任协

13、调什么？如何协调？IT治理设计框架治理设计框架-20-战略层面的IT治理要解决的问题： 为了保证有效地管理与使用IT，应当做出怎样的决策； 谁来做出这些决策？ 如何做出决策及对决策进行监控？-21-（一）五种关键的（一）五种关键的IT决策决策IT原则的决策原则的决策高层关于企业如何使用IT的陈述IT架构决策架构决策 组织从一系列政策、关系以及技术选择中捕获的数据、应用和基础设施的逻辑，以达到预期的商业、技术的标准化和一体化IT基础设施决策基础设施决策集中协调、共享IT服务可以给企业的IT能力提供基础IT投资和优先顺序决策投资和优先顺序决策 关于应该在IT的哪些方面投资以及投资多少的决策。包括项

14、目的审批和论证技术业务应用需求决策业务应用需求决策 为购买或内部开发IT应用确定业务需求-22-lIT原则原则对于IT在该企业如何运用的一系列最高陈述。IT原则一旦清晰地表述出来，就成了企业管理要素中的一部分，可以被讨论、修改和引用。IT原则至少要阐述三个对IT的预期： 企业期望的运行模式是什么？ IT如何支持期望的运行模式？ 组织中如何资助IT？-23-lIT架构架构指导IT投资和设计决策的IT框架，是建立企业信息系统的综合蓝图，是对企业不同的信息视图进行架构描述的综合。-24-lIT基础设施基础设施IT基础设施是所有业务规划的有效IT能力（技术和人力）的基础，是共享、可靠的服务，可用于多个

15、应用。IT基础设施变化频繁的业务应用系统共享的、标准的应用，变化较少，例如：会计系统、HRM、ERP等长时间保持稳定的服务，例如共享的客户数据加管理、PC/LAN知识、技能、政策、标准和经验约束组件等人务基础组织计算机、路由器、操作系统、数据库软件、信用卡机等日常设备-25-IT基础设施的10个能力群-26-l业务应用需求业务应用需求业务需求是促进IT发展的源动力，准确、及时地识别组织的业务需求，并使之成为信息化建设与调整的依据，这是降低IT风险的可靠保证。需求识别的困难性-27-战略规划计划预算项目投资绩效管理企业运营：生产、管理、控制对战术层的支持对战略层的支持l如何增强企业核心竞争力？l

16、如何寻找新的利润增长点？l如何促进企业成长为知识型、学习型的组织？l如何建立有效的企业风险控制机制？信息技术进一步为业务创造新的价值不同层次的业务需求招商银行的IT扛杆作用-28-lIT投资和优先顺序决策投资和优先顺序决策IT投资决策要解决的问题 IT要花多少钱？ 把钱花在什么上面？ 如何协调不同投资者的需求？IT投资决策的依据 考虑日常运维的支撑需要和企业的发展战略的推动需要 投资合理性论证和计划 为投资寻求支持 企业范围内的IT体系架构 回顾每年的实际开销 对预算所做修正案的审查-29-IT投资预算和项目优先级排列的一般过程形成IT预算报告-30-（二）决策权分配的（二）决策权分配的IT治

17、理原型治理原型l决策的制定者：决策的制定者：按照政治治理模式选择较接近的IT治理制度安排；成立IT 治理委员会，定期召开会议，就企业战略与IT 战略的互动、IT原则、IT架构、IT投资等等议题进行讨论并做出决策。模型模型谁拥有决策权或输入权？谁拥有决策权或输入权？业务君主制一群业务主管或者单个主管（CXOs）。包括高级业务主管委员会（可能包括CIO）。不包括独立设备的IT主管。IT君主制一个或一群IT主管。封建制业务单位领导，关键流程负责人或其代表。联邦制核心级主管和业务团队（例如，业务单位或流程）；可能也包括作为额外参与者的IT主管。相当于中央政府和州政府的协同工作方式。IT双寡头制IT主管

18、和其他团队（如CxO或业务单位或流程负责人）。无政府制每一个单独的使用者。-31-32-IT双寡头制 是一种双方参与的治理安排。其决策特征为：由IT主管人员和企业内的其他团体之间达成的一种双边协议。 用更加简单的管理结构实现很多联邦制模式下所能达到的目标。 在技术含量较低的IT决策领域（IT原则、业务应用需求和IT投资）很多组织更喜欢使用IT双寡头模式进行决策。-33-通用的治理模式 MIT Sloan School 2003年对23个国家的256家企业进行研究后，根据统计分析得出一个通用的IT治理模式。决策决策原型原型IT原则原则IT架构架构IT基础设施基础设施战略战略业务应用业务应用需求需

19、求IT投资投资输入决策输入决策输入决策输入决策输入决策业务君主制业务君主制0270607112130IT君主制君主制118207310590809封建制封建制03001211803联邦制联邦制831446459681309327IT双寡头制双寡头制1536341530231727630无政府制无政府制0001010301无数据或无数据或不知道不知道1201020200单位：百分比，每列相加为100%-34-l什么是什么是IT治理机制治理机制企业通过一系列的结构、流程和沟通来实施IT治理计划，设计周详、容易理解和清晰的机制，促进了期望IT行为的产生。常见的三类IT治理机制 决策结构负责制定IT决

20、策的组织单元和角色，比如委员会、 执行团队和业务与IT关系经理。 工作流程用于保证日常行为和IT政策相一致，并提供返回到决策的输入信息的正式流程。包括IT投资建议和评估流程、架构例外流程、服务水平协议、费用分摊和指标。 沟通方法传播IT治理原则、政策和IT决策制定流程结果的公告、建议、渠道和培训努力等。（三）实施（三）实施IT治理的机制治理的机制-35-l决策结构决策结构业务君主制的决策结构 通常以执行委员会的形式出现，一般有： CEO与一个小型高层执行者团队合作，保证IT与公司目标一致。 高层管理团队中的一个小组专门负责IT问题。 把CIO作为执行团队的一员，可以强化业务君主制理解IT在业务

21、战略上所起作用的能力，也强化执行团队的IT治理能力。-36-联邦制的决策结构 如果一个高级执行团队从各个业务吸收人员，则他们采用的是联邦制的决策结构。 联邦制可以平衡企业和业务部门的优先权，可以为IT治理决策提供有价值的输入。 大多数联邦制的IT组织设计的核心就是对数据和IT基础设施共享的要求。-37-IT君主制的决策结构 IT领导团队 可以由IT职能领导（运营、架构、应用等）和业务部门的CIO组成，通常负责制定基础设施和架构的决策。 要解决业务部门由于规模不同而带来能力不同，所造成需求不同的问题，IT领导团队的选择权可能也不一样。 超过85%的企业拥有正式的IT领导团队。拥有IT领导团队的企

22、业具有更高的治理绩效。 架构委员会 由技术专家组成，负责制订标准，在某些情况下可批准例外项目。在大多数情况下，架构委员会的角色是对IT领导团队提供架构建议，但有时也可成为治理决策主体。 架构委员会与业务部门经营者紧密协作时，它不仅能有效地引进技术标准，还能预测对于有价值的新技术的需求。-38-双寡头制的决策结构 决策团队如IT理事会同时包含IT人员和业务人员，把两者融合起来，能够在重要决策中把业务战略和IT联合起来。 70%的企业拥有包含业务成员和IT成员的IT理事会，85%的企业拥有包含IT成员的流程团队，85%的企业拥有IT和业务关系经理。 双寡头制的核心是找出既代表业务，又代表IT部门的

23、高级领导组合，使他们能够在认识到每个业务部门需求的同时，支持整个企业IT项目实施。-39-l治理工作流程治理工作流程保证对IT进行有效管理和使IT应用得以推广的IT管理技术。治理工作流程应当能使委员会的每个人都向治理决策提供输入，又能将他们的IT决策结果发布出去。治理工作流程包括以下6个流程： IT投资批准流程 架构例外流程 服务水平协议 费用分摊机制 项目追踪 业务价值的正式追踪-40-l沟通方法沟通方法阐明有关IT治理决策和流程以及整个企业范围内的相关期望行为。管理层越是对现有的IT治理机制、工作方式、预期的效果进行正式地沟通，他们的治理就越有效。沟通方式有以下5种： 高级管理层的公告 正

24、式的委员会 CIO或IT治理办公室 与不守常规者的共事 基于网络的门户-41-l影响力高且具有挑战性的机制影响力高且具有挑战性的机制-42-l建立有效建立有效IT治理机制的原则治理机制的原则从三种类型中选择适用的治理机制；限制决策制定结构需要决策结构中各类人员的交叉在企业的多个层面上设置相应的机制明确责任-43-l对对IT治理绩效的评估治理绩效的评估组织IT治理安排鼓励期望行为的程度和组织最终达到绩效目标的程度。评估治理绩效时要评估五个因素，利用下表进行对照比较。 （四）对（四）对IT治理的评估治理的评估-44-l一流治理绩效企业的七个特征一流治理绩效企业的七个特征更多领导层的管理者们可以描述

25、IT治理更多地利用五种沟通机制高层管理者更直接地参与IT治理IT投资具有更加清晰的业务目标更多差异化的业务战略较少的非授权例外和较多的得到正式批准的例外治理变更的次数逐年减少-45-l什么样的治理安排最有效什么样的治理安排最有效不同治理安排下，“最好”和“最差”的治理绩效-46-谁做出更好的决策？-47-最成功的三种IT决策模式-48-l案例研究案例研究Delta航空公司的IT决策国内证券公司的IT治理模式道富公司的IT治理设计-49-lIT治理的实施框架治理的实施框架为了实施有效的IT治理，除了在战略层建立决策权归属和职责担当的框架外，还要对企业的战术运行层制定一套适用的IT控制框架，以确保

26、IT支持业务目标，确保资源得到了可靠的使用、风险受到了合理的管理。三、战术层的三、战术层的IT治理治理-50-lCOBIT是什么？是什么？ISACA制定的COBIT(Control Objectives for Information and related Technology)是一个在国际上公认的、先进的和权威的安全与信息技术管理和控制标准，它在商业风险、控制需要和技术问题之间架起了一座桥梁，以满足管理的多方面需要。（一）（一）IT治理工具治理工具COBIT-51-lCOBIT基本的准则基本的准则国际上通用的、得到普遍认可的IT控制最佳实务标准，是实施IT治理的重要基础；适用企业建立全局信

27、息系统时参照使用，与具体的技术无关；从业务对信息的需求出发，面向企业管理层和业务过程的所有者；-52-lCOBIT的背景的背景第一版由信息系统审计与控制基金会（ISACF）于1996年发布。第二版于1998年出版，修订了高层控制目标与详细控制目标，增加了实施工具集（Implementation Tool Set）信息系统审计与控制基金会（ISACA）及其相关的基金会在1998年创立 IT治理研究院(ITGI)，由ITGI制定并发布了COBIT第三版，加入了管理指南，以及扩展和加强了对IT治理的关注；COBIT基于ISACF的建立的IT控制目标，参照了其他控制框架、行业标准； ITGI于2005

28、年底发布了COBIT第四版，这一版对IT某些过程进行了调整，强调了IT控制与IT治理五个领域的对应关系-53-lCOBIT的目标使用者的目标使用者管理层-帮助他们在不可预知的IT环境中平衡风险和控制之间的矛盾(采用控制措施需要投入资金)。用户-对内部或第三方提供的IT服务，获得在安全与控制方面的保证。审计师-证实他们的观点，在内部控制问题上为管理层提出建议。-54-lCOBIT能给组织带来的利益能给组织带来的利益有助于大幅提高组织对IT治理的接受程度，减少实施IT治理所需的时间；对IT审计方法与审计方案标准化，为正式的IT审计与检查提供指南，为识别所有的主要风险区域提供可靠的参考；IT运行管理

29、人员通过COBIT可以了解审计师的关注点，有助于利用审计结果作为实施改善行动的机会；是实现IT治理目标的驱动力，可以帮助组织完善IT实务和IT过程；为组织提供了一个经济的、可持续完善的控制框架，提供一个有价值的参照基准，使得管理层对控制的决策可以基于一个可信的来源；有助于在业务与IT之间搭起沟通的桥梁，完善业务人员与IT管理人员的关系-55-lCOBIT产品簇产品簇COBIT框架控制目标控制实务审计指南实施指南管理指南IT治理总论PracticesResponsibilitiesExecutives & BoardsExecutives & BoardsPracticesRes

30、ponsibilitiesExecutives & BoardsExecutives & BoardsPracticesResponsibilitiesExecutives & BoardsExecutives & Boards治理实务治理实务职责职责董事会与执行管理层董事会与执行管理层Business and Technology ManagementBusiness and Technology Managementw wPerformance measuresPerformance measuresw wCritical success factorsCr

31、itical success factorsw wMaturity modelsMaturity modelsBusiness and Technology ManagementBusiness and Technology Managementw wPerformance measuresPerformance measuresw wCritical success factorsCritical success factorsw wMaturity modelsMaturity modelsBusiness and Technology ManagementBusiness and Tec

32、hnology Managementw wPerformance measuresPerformance measuresw wCritical success factorsCritical success factorsw wMaturity modelsMaturity models业务与技术管理层业务与技术管理层w w绩效测量绩效测量w w关键成功因素关键成功因素w w成熟度模型成熟度模型Audit, control and security professional Audit, control and security professional What is the ITWhat

33、 is the ITControl Framework ?Control Framework ?How to assess the ITHow to assess the ITControl Framework ?Control Framework ?How to introduce itHow to introduce itin the enterprise ?in the enterprise ?Audit, control and security professional Audit, control and security professional What is the ITWh

34、at is the ITControl Framework ?Control Framework ?How to assess the ITHow to assess the ITControl Framework ?Control Framework ?How to introduce itHow to introduce itin the enterprise ?in the enterprise ?Audit, control and security professional Audit, control and security professional What is the IT

35、What is the ITControl Framework ?Control Framework ?How to assess the ITHow to assess the ITControl Framework ?Control Framework ?How to introduce itHow to introduce itin the enterprise ?in the enterprise ?审计、控制和安全从业人员审计、控制和安全从业人员如何制定如何制定IT控控制框架制框架 ?如何评估如何评估IT控控制框架制框架 ?如何在组织中建如何在组织中建立立IT控制框架控制框架 ?-5

36、6-lCOBIT原理原理COBIT框架的出发点 要实现对IT的控制，就要考虑支持业务目标或业务需求的信息，考虑运用IT相关资源后得到的信息，对IT资源要通过恰当的IT过程来进行管理。-57-COBIT如何满足业务要求机密性完整性可用性有效性(效能)经济性(效率)机密性完整性可用性合规性可靠性(信息)质量成本交付运行的有效性和经济性信息的可靠性与法律、法规的符合性质量需求信誉需求安全需求-58-COBIT信息标准的定义 有效性处理与业务过程相关的信息，并以及时、正确、一致和可用的方式交付。 经济性以最优化资源使用的方式（最具生产力的和经济的方式）来提供信息。 机密性保护敏感信息不被非授权泄露。

37、完整性与信息的准确性和完全性相关，同时也与符合业务价值和业务预期的正确性有关。 可用性在无论是在当前还是将来，业务过程所需要的信息要随时可用，同时还关系到对必要资源和相关能力的保护。 符合性处理与业务流程相关的法规、法律及合同的符合性问题，即遵循外部强加的各种业务标准。 信息可靠性为管理层运行业务实体、行使其财务和符合性报告的职责而提供合适的信息。-59-COBIT中识别的IT资源定义如下： 数据是指广义形式的（即组织内部与外部）、结构化的和非结构化的、图形的、声音的数据对象。 应用系统可以理解为人工程序和计算机程序的总和。 技术涵盖硬件、操作系统、数据库管理系统、网络、多媒体等。 设备指所有

38、用来存放和支持信息系统的资源。 人员员工在计划、组织、采购、交付、支持和监控信息系统和服务时，所应具备的技能、意识和生产力。-60-COBIT框架结构 COBIT由IT的域、过程、活动三级自然组合而成，这与组织结构的责任域相适应，通常也与可以应用到IT过程的管理周期或生命周期相一致 IT系统IT域IT过程IT 控制目标关键成功因素结果测量关键绩效指标成熟度模型IT 控制实践-61-COBIT框架三维表示 可以用以下三个标准维组成：1、信息标准，2、IT 资源，3、IT 过程。这三个维度在COBIT立方块中可表示成下图： -62-COBIT的四个域 计划和组织这个域涵盖了战略和战术，其目的是要识

39、别出能使IT为实现业务目标作出最大的贡献的方法。为实现战略设想，需要从不同的角度去计划、沟通和管理。此外，还应当建立合理的组织与技术基础设施。 获取与实施为实现IT战略，需要识别、开发或采购IT解决方案，并把它们集成到业务过程中去。另外，此域还涵盖到了对现有系统的更新与维护，以确保这些系统生命周期的持续性。 交付与支持该域关注的是所要求服务的实际交付，它的范围可以从传统的安全和可持续性运行一直到培训的各个方面。为了提供服务，必须建立必要的支持过程。(该域包含应用系统对数据的实际处理，通常按应用控制分类。) 监控与评价要对所有IT过程的质量以及与控制需求的符合性进行周期性的评估。该域使管理者可以

40、监督组织的控制过程和由内部和外部审计所作的独立保证。-63-控制程度的选择COBIT总体结构图 主要的（Primary，简写为P）在这个程度上，定义的控制目标直接影响相关信息标准。 次要的（Secondary, 简写为S）在这个程度上，定义的控制目标只是在较小范围或以间接方式满足相关的信息标准。 空白(Blank)可能适用；但由该过程的其他标准或由其他过程来满足此需求更合适。-64-COBIT监控监控信息信息IT资源资源计划与组织计划与组织获取与实施获取与实施交付与支持交付与支持业务目标业务目标IT治理治理有效性有效性 经济性、经济性、机密性、完整性、机密性、完整性、可用性、可靠性、可用性、可

41、靠性、合规性合规性人员、应用系统、人员、应用系统、技术、设施、数据、技术、设施、数据、过程监控过程监控评价内部控制适当性评价内部控制适当性获取独立保证获取独立保证提供独立审计提供独立审计定义并管理服务水平定义并管理服务水平管理第三方服务管理第三方服务管理性能与容量管理性能与容量确保服务的连续性确保服务的连续性确保系统安全确保系统安全确定并分配成本确定并分配成本教育与培训用户教育与培训用户服务台及事故管理服务台及事故管理配置管理配置管理问题管理问题管理数据管理数据管理物理环境管理物理环境管理运行管理运行管理定义定义IT战略计划战略计划定义信息体系结构定义信息体系结构确定技术方向确定技术方向定义定

42、义IT过程、组织与关系过程、组织与关系管理管理IT投资投资传达管理目标与方向传达管理目标与方向人力资源管理人力资源管理质量管理质量管理风险与管理风险与管理IT评估评估项目管理项目管理确定确定IT解决方案解决方案获取与维护应用软件获取与维护应用软件获取与维护技术基础设施获取与维护技术基础设施投入运行与使用投入运行与使用采购采购IT资源资源变更管理变更管理系统安装与鉴定系统安装与鉴定COBIT总体结构图-65-lCOBIT域与过程简介域与过程简介规划与组织 【描述】 这个域包括战略和战术两个层面，重点是要关注IT如何更好地为实现业务目标作出最大贡献；对战略愿景的实现要从不同的角度进行规划、沟通和管

43、理；要建立良好的组织架构和技术基础设施。 【主题】 战略和战术 远景规划 组织及其基础设施 【问题】 IT战略与业务战略相一致吗? 组织的资源是否被优化使用? 组织中的每个人理解IT目标吗? IT风险是否已被识别并有效管理? IT系统的质量满足业务的需求吗?-66- 【控制目标】 PO1制定IT战略规划 PO2确定信息体系架构 PO3确定技术方向 PO4定义IT组织与相互关系 PO5管理IT投资 PO6管理目标与方向的沟通协调 PO7人力资源管理 PO8确保符合外部要求 PO9风险评估 PO10项目管理 PO11质量管理-67-获取与实施 【描述】 为实现IT战略，应当识别、开发（或获取）和实

44、施IT解决方案，并使IT系统业务流程进行融合。另外，这个域还包括对已有系统的变更与维护，以确保系统生命周期活动能持续进行。 【主题】 IT解决方案 变更与维护 【问题】 新项目能否提供业务所需的解决方案? 新的项目能否按时交付，且费用控制在成本之内? 当实施完毕时，新系统是否正常工作? 变更是否影响了正常的业务运行? 【控制目标】 AI1确定IT解决方案 AI2获取并维护应用软件 AI3获取并维护技术基础设施 AI4IT程序的开发与维护 AI5系统的安装与验收 AI6变更管理-68-运行与支持 【描述】 这个域重点关注所需服务的实际交付(从传统的安全及持续性方面的运行到各种培训) 。为了保证提

45、供服务，必须建立必要的支持流程。另外，这个域还包括应用系统对实际数据的处理过程，应用系统中对数据一般是按敏感性进行分级的。 【主题】 提供所需服务 建立服务支持流程 应用系统的处理过程 【问题】 交付的IT服务是否与业务优先顺序相一致? IT成本是否被优化? 员工是否能安全有效地使用IT系统? IT系统是否具有充分的安全性、完整性和可用性?-69- 【控制目标】 DS1定义并管理服务水平 DS2管理第三方服务 DS3绩效管理与容量管理 DS4确保持续性服务 DS5确保系统安全 DS6确认与分配成本 DS7教育并培训客户 DS8为客户提供帮助和建议 DS9配置管理 DS10 问题管理与紧急事件管

46、理 DS11数据管理 DS12设施管理 DS13运营管理-70-监控与评价 【描述】 为了保证系统的质量并满足控制需求，所有的流程应被定期评估。这个域要求管理人员对控制过程进行监督，并通过独立的内外部审计或其他方式对控制过程完备性提供保证。 【主题】 周期性评估，提供相关保证； 对控制系统的管理监督 绩效测量 【问题】 IT的绩效如何被度量及如何尽早发现存在的问题? 是否需要独立的保证以确保关键区域按既定目标运行? 【控制目标】 M1流程监控 M2评价内部控制的适当性 M3获得独立保证 M4提供独立的审计-71-lCOBIT过程及属性列表过程及属性列表-72-PO1 PO1 制定制定ITIT战

47、略规划战略规划PO3 确定技术方向 PO5 管理IT投资 PO9 PO9 风险评估风险评估 PO10 PO10 项目管理项目管理 AI1确定解决方案 AI2 获取并维护应用软件 AI5 系统安装与验收 AI6 AI6 变更管理变更管理 DS1 定义并管理服务水平 DS4 确保持续性服务 DS5 DS5 确保系统安全确保系统安全 DS10 问题管理与紧急事件管理 DS11 DS11 数据管理数据管理 M1 M1 过程监控过程监控 3415 7 哪些IT过程更重要？ 通过调查表明，以下这些过程比较重要：-73-lCOBIT控制框架控制框架定义 COBIT控制框架为企业过程拥有者提供了一个促进其履行

48、职责的工具，提供信息化控制指导；它指出这些IT过程影响到哪些信息标准，涉及到哪些IT资源，从而把IT过程、IT资源和信息连接到企业战略和目标上去。ITIT过程过程的控制业务需求业务需求以满足控制描述控制描述通过实现控制实践控制实践要考虑-74-导航标志 为便于有效地使用具有不同优势点的控制目标，提供了一些导航标志作为高层控制目标的组成部分，COBIT 三维框架中的（过程、IT 资源和信息标准）中的每一维，都提供了一个导航指示标志。-75-框架示例-76-lCOBIT控制目标控制目标 COBIT提供了34个高层控制目标，每一个目标对应着一个IT过程；控制目标下，又定义了318个具体的控制子目标；

49、-77-每个子目标从价值交付和风险管理的角度，再将子控制目标细化成可执行的控制实务(Control Practice)，并为实施执行提供业务指导。示例：PO1制定IT战略计划1.1 IT作为组织计划的一部分1.2 IT的长期计划1.3 IT长期计划方法和结构1.4 IT长期计划的变更1.5 IT项目的短期计划1.6 IT对计划的宣传与贯彻1.7 对IT计划的监控和评价1.8 对现存系统的评估 示例：示例：1.7 1.7 引入控制的原因引入控制的原因确认IT长期计划与短期计划与组织的使命及业务目标保持一致，并能为业务目标的实现作出贡献。对影响组织长期计划的所有潜在事件进行评价，并及时对IT长期和

50、短期计划进行调整，以适当变化的要求。识别长期计划与短期计划制定与执行过程中的偏离现象，以促进管理层采取恰当的纠正行动。在必要时，对于制定长期计划与短期计划所基于的假设条件进行验证和变更示例：示例： 1.7 1.7 控制实践控制实践建立正式的监控过程，阶段性地对IT计划的反馈信息进行收集、记录、排序和沟通工作，此外还需要来自IT、组织管理层和关键利益相关者的信息输入，然后进行评审工作，评审的内容包括：短期计划目标的实现、与计划相关的对业务风险的管理，对业务过程可衡量的改善（成本、效率）和IT投资所交付的价值。基于评审结果建立正式的评估过程，针对所提议的IT计划的修改内容进行评估，并达成一致意见。

51、建立有效机制，把对业务过程的改进点及时反映到IT计划变更过程中来。示例：示例：1.7 1.7 控制的属性控制的属性-78-l定义：定义：COBIT管理指南(Management Guidelines)是一种通用的、面向行动的指南；用于回答下述类型的管理问题： 我们该控制IT到什么程度，成本和收益是否相符? 有没有一个测量标准用于判断何时肯定会出现失败? 怎样才算是好的性能? 关键成功因素是什么? 哪些是影响我们实现组织目标的风险，其他的组织在做什么?我们应该怎样进行测量与比较?搭建了贯通业务风险、控制需要和技术问题这三者之间的桥梁 利益风险（二）（二）COBIT管理指南管理指南-79-l管理指

52、南的组成要素管理指南的组成要素针对COBIT中的每一个IT过程，管理指南提供了以下内容： 对此过程的定义及对此过程目标的描述; 此过程如何实现对业务加速器功能的描述（如何保持对IT过程的控制，以确定是否达成业务目标）; 与此过程相关的IT资源和信息标准; 关键成功因素（CSF）、关键目标指标（KGI）、关键绩效指标（KPI）、IT过程成熟度模型（CMM）通过CMM、CSF 、 KGI、KPI四个方面的有机作用，使企业中的信息资源得到有效的管理。-80- Control Statements Control Practicesis enabled by and considers IT Proc

53、essesThe control of Business Requirementswhich satisfy 过程描述过程描述p pe eo op pl le ea ap pp pl li ic ca at ti io on ns st te ec ch hn no ol lo og gy yf fa ac ci il li it ti ie es sd da at ta a关键成功因素关键成功因素(CSFs)h h h h h h 关键目标指标关键目标指标KGIsh h h 关键绩效指标关键绩效指标KPIsh h h 信息标准信息标准资源资源 - Management processes a

54、re not applied at all - Processes are ad hoc and disorganised - Processes follow a regular pattern - Processes are documented and communicated - Processes are monitored and measured - Best practices are followed and automated成熟度模型成熟度模型l管理指南的组成结构管理指南的组成结构某个IT过程的管理指南举例-81-l管理指南的组成要素之间的关系管理指南的组成要素之间的关系

55、-82-0 01 12 23 34 45 50 01 12 23 34 45 5成熟度模型成熟度模型对建立、计划和追踪当前的及未来的所需的成熟度进行详细描述RACI 表表角色与责任(R=职责, A=问责, C=咨询, I=通知)关键角色关键角色主要属性：主要属性：属性属性参照参照KPIs战略方向资源能力意识支持政策其他关键成功因素关键成功因素目标与范围目标与范围IT过程综述过程综述因果关系图. . .绩效指标绩效指标对目标的测量对目标的测量KGIs关键实务 .-83-0 01 12 23 34 45 50 01 12 23 34 45 5成熟度模型成熟度模型对建立、计划和追踪当前的及未来的所需

56、的成熟度进行详细描述RACI 表表角色与责任(R=职责, A=问责, C=咨询, I=通知)关键角色关键角色主要属性：主要属性：属性属性参照参照KPIs战略方向资源能力意识支持政策其他关键成功因素关键成功因素目标与范围目标与范围IT过程综述过程综述因果关系图. . .绩效指标绩效指标对目标的测量对目标的测量KGIs关键实务 .用于详细评估的可测量的属性与组件评估时可参照的业务标准及行业最佳实践可用于快速评估的初始标准基于通用的组织流程图对CSF的分解对IT过程的分解对IT过程目标的描述对IT过程绩效的描述-84-0 01 12 23 34 45 50 01 12 23 34 45 5成熟度模型

57、成熟度模型对建立、计划和追踪当前的及未来的所需的成熟度进行详细描述RACI 表表角色与责任(R=职责, A=问责, C=咨询, I=通知)关键角色关键角色主要属性：主要属性：战略方向资源能力意识支持政策其他关键成功因素关键成功因素目标与范围目标与范围IT过程综述过程综述因果关系图. . .绩效指标绩效指标对目标的测量对目标的测量KGIsKPIs属性属性参照参照关键实务 .-85-lIT过程成熟度模型过程成熟度模型(CMM)定义 CMM制定了一个基准，组织可以确定自己的等级，从而了解自身目前的状况； 在确定CMM基础上确定组织的关键成功因素(CSF)，通过关键绩效指(KPI) 进行监控(事中控制

58、)，并衡量组织是否能达到关键目标指标(KGI)中所设定的目标(事后控制)； 34个IT过程的每一项都有一个递增的测量尺度，基于“0”到“5”等级。IT过程成熟度描述CMMCMM-86-l关键成功因素关键成功因素(CSF) 定义 CSF为管理部门实现对IT过程的控制提供指南，它们是实现IT过程目标最重要的一系列因素，可以由战略的、技术的、组织的或程序的各种活动组成； 它们通常会涉及IT能力和技能，简短而集中介绍企业为达到某方面的目标必须重视的资源和必须实施的控制。 特征 是IT处理或支持的环境中最基本的促进因素，是为提高IT过程成功的可能性所要做的最重要的事； 是实现成功所需的一种条件，或是一种

59、可取的活动，具有可观察或可测量的特征； 关注获取、维护和利用IT能力与技能，以IT过程的术语而非业务术语来描述。CSFCSFCOBIT引入的CSF举例-87-l关键目标指标关键目标指标(KGI)定义： 关键目标指标是对IT过程要达到何种目标的一种表述，或者是对要完成结果的一种测度； 关键目标指标(KGI)主要在IT过程实施之后，告诉管理部门该IT处理是否满足其业务需求，通常以信息标准的术语表述。例如： 信息系统及服务的可用性； 完整性缺失和机密性风险； 信息处理和系统运行的成本有效性； 对可靠性、有效性和符合性的确认。 KGIKGIKGI举例-88-l关键绩效指标关键绩效指标(KPI)定义：

60、关键绩效指标(KPI)描述了在实现IT目标的过程中执行情况的好坏程度，是判断目标是否有可能实现的主要指标，也是测定性能、惯例和技能的指标。特征 是对IT过程执行程度的测定； 可以预期将来成败的可能性，是“先导性”指标； 面向过程，由IT驱动； 以精确的、可测量的术语表述； 关注那些被认为是对过程至关重要的资源； 对此指标进行测量并依此采取行动，将有助于改进IT过程。KPIKPIKPI举例-89-建立意识建立意识做出决策做出决策分析价值分析价值和风险和风险选择过程选择过程定义项目定义项目开发开发 和实施和实施变更计划变更计划把方案集成把方案集成进日常运行进日常运行实务中去实务中去建立具体的建立具体的平衡记分卡平衡记分卡进行测量进行测量定义