IT治理培训课件

IT治理陈伟第三届北大CIO班chenwei@1IT治理陈伟第三届北大CIO班chenwei@ci企业管理模式企业在确认自身战略目标的基础上，对组织架构、业务流程、以及业绩评估三个元素进行整合，并取得信息技术的充分配合与支持，才能全面提升管理水平。

经营战略

信息技术

业绩评估

业务流程组织架构

环环市场境境业行一、从企业风险管理到IT风险控制2企业管理模式经营战略信息技术业绩评估企业管理常见风险战略定位不明组织架构紊乱业务流程松散激励机制不足信息技术缺乏资金管理低效对企业实施风险管理目标：企业风险管理的目标是控制企业的风险，保护企业的核心竞争力，风险管理是未来企业发展的主旋律。3企业管理常见风险对企业实施风险管理3企业风险管理的背景2002年美国国会发布了SOX《萨班斯—奥克斯利法案》要求所有上市公司都必须建立有效的内部控制框架。2004年9月30日中国银监会发布了《商业银行内部控制评价办法》，2006年银监会发布《电子银行业务管理办法》、《电子银行安全评估指引》、《银行业金融机构信息系统风险管理指引》和《银行业金融机构内部审计指引》。2006年6月国资委发布《中央企业全面风险管理》；2006年6月5日，上海证券交易所发布了《上海证券交易所上市公司内部控制指引》；2006年9月28日深交所发布《深圳证券交易所上市公司内部控制指引》财政部近日发起成立企业内部控制标准委员会，其目的是为推动企业完善治理结构和内部约束机制，中国式的SOX法即将出台。4企业风险管理的背景4企业风险管理框架（COSO）目标：从各种角度来考虑因素：从相联的各种过程来考虑地点：在组织的各个层次考虑5企业风险管理框架（COSO）目标：从各种角度来考虑因素：COSO风险管理框架的启发要站在企业管理者的角度来看待风险，企业风险是由包括IT风险在内的其他风险组合而成。强调“人”的重要性，组织中的每一个人对风险管理都负有责任；强调“软控制”的作用。“软控制”主要指那些属于精神层面的事物，如高级管理阶层的管理风格、管理哲学、企业文化、内部控制意识等，“软控制”影响人的行为。强调风险管理是一个“动态过程”，风险管理是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的PDCA过程。明确指出内部控制只能做到“合理”保证，目标达成的可能性受许多先天条件不足及各种“不确定性”的影响。没有不花钱的内部控制，也不存在完美无缺的内部控制。6COSO风险管理框架的启发6企业风险管理组成结构风险管理策略组织对风险的态度，对风险管理的承诺风险控制过程组织具体管理风险步骤、做法及工具风险管理基础组织内支持风险管理的人员、组织、技术等，来协助驱动风险管理风险模型举例7企业风险管理组成结构风险管理策略风险控制过程风险管理基础风险IT风险控制是企业风险管理中的重要组成部分公司层控制应用层控制基础层控制IT控制层COSO控制框架ISMS、ITSM、BCP、CMMI、……8公司层控制应用层控制基础层控制IT控制层COSO控制框架ISIT面临哪些风险与挑战？在信息与信息系统上的投资规模与成本都在不断扩大，高投入带来了高风险；企业对IT系统的依赖性越来越强的同时，面临不断增多的系统薄弱性和各种各样的威胁，IT系统的停机将造成业务受到巨大损失、声誉下降、竞争优势丧失；IT应用与业务需求之间逻辑错位，IT设施最后成了摆设，IT建设缺乏绩效评估机制；IT项目的高失败率，使得企业无法实现其预期的创新与利益，不能实现对IT的投资回报，或者不通对投资回报进行测量；不断发展的科技潜力显著地改变组织形式与商业模型，在创造出新的机遇并降低了成本的同时，也使得商业竞争不断加剧;……ERP失败案例交易失误9IT面临哪些风险与挑战？ERP失败案例交易失误9信息系统风险的类型IT治理风险－信息化建设仍然属于“人治时代”，信息化的随意性较大，企业还没有就信息化形成相关的制度。IT可用性风险－业务对IT不断增强的依赖性和脆弱的基础设施及管理流程，使得IT系统的停机对组织的业务造成巨大损失、声誉下降、竞争优势丧失。信息安全风险－技术的发展及互联网的便利性，使得信息安全形势日益严峻，黑客攻击频繁、病毒泛滥，造成许多商业网站、政府网站被入侵，虚拟资金被盗，敏感机密信息被泄露。IT绩效风险－如果规划不当、控制不严，IT系统不能带来预期的业务价值，巨额的信息化投入很可能造成新一轮的“投资黑洞”。合规性风险－法律、法规对IT的监管要求越来越严格，不能符合合规性要求将使企业面临较大的风险。10信息系统风险的类型10控制信息化的风险需要制度与管理创新决定信息系统是否有效运转的决定因素不是信息技术，而是制度、组织结构、规则与标准，最终是人。信息化需要合理有效的制度安排，建立良好的管理控制体系是企业信息系统建设成功的重要保证。应该逐步完善企业的IT治理机制，实现IT与战略、管理、业务运营、信息安全的深度融合。这样一方面使信息系统为企业创造价值并保护持续性，另一方面控制信息化的风险与降低成本。构筑信息时代新的“游戏规则”，“规则”是“游戏”是重要组成部分。信息化最大的风险：控制制度--治理机制的缺失11控制信息化的风险需要制度与管理创新信息化最大的风险：控制制度建立PDCA的风险控制体系设定风险管理流程目的及目标共同语言结构决策资料订立策略

避免利用接受转移减低评估风险验明来源量度不断的改善管理能力设计或引进管理能力监察风险管理表现用制度体系来建立风险控制框架12建立PDCA的风险控制体系设定风险管理流程目的及目标订立策略IT风险的控制框架战略层IT治理ISMS战术层IT治理13IT风险的控制框架战略层IT治理ISMS战术层IT治理13你的组织是如何治理IT的？各种回答--“什么是IT治理?以前没有听说过。它有具体的概念和定义吗?”“是不是公司治理?它与公司治理有区别吗?”--“IT工作一直是公司战略中的重点，具体的工作我不太清楚,分管副总知道。”--“我们公司老板舍得花钱，老板说了：只要系统不出事，要人给人，要钱给钱！”“公司非常重视IT,老板亲自抓!技术人员地位很高,常常参与公司的高层决策。”

--“我们每年年处都制订很好的IT计划，按计划执行就行，年终再检查。”--“技术开发，基本上都依靠外包。能搞掂就继续合同，出问题就换一家……”--“公司很少讨论IT治理，系统只要不出事就好，出事了技术主管就麻烦大了！”……二、战略层的IT治理反映出的问题（1）IT资源在公司的战略资产中地位受到一定的重视，但是具体情况不清楚；（2）缺乏IT治理明确的概念描述和参数指标；（3）IT治理需要的明确责任与职能不清晰。14你的组织是如何治理IT的？各种回答二、战略层的IT治理反映出IT治理的重要作用没有良好的IT治理结构和持之以恒的评估反馈机制，IT资源无法成为公司的有效战略资产，甚至成为巨大的资源损耗。在采用相同战略目标的情况下，具有良好IT治理的企业，其利润要比那些治理低下的企业高出20%。而对世界范围内250家企业的调查表明，只有38%的高级主管能够精确描述他们的IT治理。－引自彼得.维尔和珍妮.罗斯的IT治理研究15IT治理的重要作用－引自彼得.维尔和珍妮.罗斯的IT治理研究什么IT治理？德勤定义如下:IT治理是一个含义广泛的术语，包括信息系统、技术、通讯、商业、所有利益相关者、合法性和其他问题。其主要任务是：保持IT与业务目标一致，推动业务发展，促使收益最大化，合理利用IT资源，IT相关风险的适当管理。ISACA定义：IT治理是一个由关系和过程所构成的体制，用于指导和控制企业，通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。ITGovernance16什么IT治理？ITGovernance16IT治理可以分为五个域二个核心：一是IT要向业务提交价值，二是降低风险。前者由IT与业务的战略一致性驱动，后者由企业内部建立的责任驱动；这两者都需要获得足够的资源并进行绩效测量，以保证获得预期结果。

17IT治理可以分为五个域17IT治理风险在战略层面和战术层面的表现战略层面—IT原则、架构、基础设施、应用需求及IT投资的决策权归属及责任担当框架的建立。战术层面—利用国际认可的最佳实施规范建立IT控制框架。IT治理成熟度18IT治理风险在战略层面和战术层面的表现18IT治理的战略层面在企业战略层面上，要综合公司治理结构、企业战略规划，使IT治理作为公司治理的一部分，在治理结构上体现IT的位置与作用。建立有效确定IT决策权归属和责任分配的框架，包括有效的治理制度安排与治理机制的设计。企业战略和组织IT组织和期望行为关系治理安排实物治理安排人力资源治理安排知识产权治理安排财务治理安排IT治理安排IT治理机制IT决策业务绩效目标IT度量指标和责任协调什么？如何协调？IT治理设计框架19IT治理的战略层面企业战略和组织IT组织和期望行为关系治理安战略层面的IT治理要解决的问题：为了保证有效地管理与使用IT，应当做出怎样的决策；谁来做出这些决策？如何做出决策及对决策进行监控？20战略层面的IT治理要解决的问题：20（一）五种关键的IT决策IT原则的决策高层关于企业如何使用IT的陈述IT架构决策

组织从一系列政策、关系以及技术选择中捕获的数据、应用和基础设施的逻辑，以达到预期的商业、技术的标准化和一体化IT基础设施决策集中协调、共享IT服务可以给企业的IT能力提供基础IT投资和优先顺序决策

关于应该在IT的哪些方面投资以及投资多少的决策。包括项目的审批和论证技术业务应用需求决策

为购买或内部开发IT应用确定业务需求21（一）五种关键的IT决策IT原则的决策IT架构决策IT基础设IT原则对于IT在该企业如何运用的一系列最高陈述。IT原则一旦清晰地表述出来，就成了企业管理要素中的一部分，可以被讨论、修改和引用。IT原则至少要阐述三个对IT的预期：企业期望的运行模式是什么？IT如何支持期望的运行模式？组织中如何资助IT？22IT原则22IT架构指导IT投资和设计决策的IT框架，是建立企业信息系统的综合蓝图，是对企业不同的信息视图进行架构描述的综合。23IT架构23IT基础设施IT基础设施是所有业务规划的有效IT能力（技术和人力）的基础，是共享、可靠的服务，可用于多个应用。IT基础设施变化频繁的业务应用系统共享的、标准的应用，变化较少，例如：会计系统、HRM、ERP等长时间保持稳定的服务，例如共享的客户数据加管理、PC/LAN知识、技能、政策、标准和经验约束组件等人务基础组织计算机、路由器、操作系统、数据库软件、信用卡机等日常设备24IT基础设施IT基础设施变化频繁的业务应用系统共享的、标准的IT基础设施的10个能力群25IT基础设施的10个能力群25业务应用需求业务需求是促进IT发展的源动力，准确、及时地识别组织的业务需求，并使之成为信息化建设与调整的依据，这是降低IT风险的可靠保证。需求识别的困难性26业务应用需求需求识别的困难性26战略规划计划预算项目投资绩效管理企业运营：生产、管理、控制对战术层的支持对战略层的支持如何增强企业核心竞争力？如何寻找新的利润增长点？如何促进企业成长为知识型、学习型的组织？如何建立有效的企业风险控制机制？信息技术进一步为业务创造新的价值不同层次的业务需求招商银行的IT扛杆作用27战略规划计划预算项目投资绩效管理企业运营：生产、管理、控制对IT投资和优先顺序决策IT投资决策要解决的问题IT要花多少钱？把钱花在什么上面？如何协调不同投资者的需求？IT投资决策的依据考虑日常运维的支撑需要和企业的发展战略的推动需要投资合理性论证和计划为投资寻求支持企业范围内的IT体系架构回顾每年的实际开销对预算所做修正案的审查28IT投资和优先顺序决策28IT投资预算和项目优先级排列的一般过程形成IT预算报告29IT投资预算和项目优先级排列的一般过程形成IT预算报告29（二）决策权分配的IT治理原型决策的制定者：按照政治治理模式选择较接近的IT治理制度安排；成立IT治理委员会，定期召开会议，就企业战略与IT战略的互动、IT原则、IT架构、IT投资等等议题进行讨论并做出决策。模型谁拥有决策权或输入权？业务君主制一群业务主管或者单个主管（CXOs）。包括高级业务主管委员会（可能包括CIO）。不包括独立设备的IT主管。IT君主制一个或一群IT主管。封建制业务单位领导，关键流程负责人或其代表。联邦制核心级主管和业务团队（例如，业务单位或流程）；可能也包括作为额外参与者的IT主管。相当于中央政府和州政府的协同工作方式。IT双寡头制IT主管和其他团队（如CxO或业务单位或流程负责人）。无政府制每一个单独的使用者。30（二）决策权分配的IT治理原型决策的制定者：模型谁拥有决策权公司高级管理层公司IT经理或业务部门IT经理业务部门领导或关键业务流程拥有者业务君主制★IT君主制★封建制★联邦制★★★★★IT双寡头制★★★★无政府制31公司高级管理层公司IT经理或业务部门领导或关键业务流程拥有者IT双寡头制是一种双方参与的治理安排。其决策特征为：由IT主管人员和企业内的其他团体之间达成的一种双边协议。用更加简单的管理结构实现很多联邦制模式下所能达到的目标。在技术含量较低的IT决策领域（IT原则、业务应用需求和IT投资）很多组织更喜欢使用IT双寡头模式进行决策。32IT双寡头制32通用的治理模式MITSloanSchool2003年对23个国家的256家企业进行研究后，根据统计分析得出一个通用的IT治理模式。决策原型IT原则IT架构IT基础设施战略业务应用需求IT投资输入决策输入决策输入决策输入决策输入决策业务君主制0270607112130IT君主制118207310590809封建制03001211803联邦制831446459681309327IT双寡头制1536341530231727630无政府制0001010301无数据或不知道1201020200－单位：百分比，每列相加为100%33通用的治理模式决策IT原则IT架构IT基础设施业务应用IT投什么是IT治理机制企业通过一系列的结构、流程和沟通来实施IT治理计划，设计周详、容易理解和清晰的机制，促进了期望IT行为的产生。常见的三类IT治理机制决策结构－负责制定IT决策的组织单元和角色，比如委员会、执行团队和业务与IT关系经理。工作流程－用于保证日常行为和IT政策相一致，并提供返回到决策的输入信息的正式流程。包括IT投资建议和评估流程、架构例外流程、服务水平协议、费用分摊和指标。沟通方法－传播IT治理原则、政策和IT决策制定流程结果的公告、建议、渠道和培训努力等。（三）实施IT治理的机制34什么是IT治理机制（三）实施IT治理的机制34决策结构业务君主制的决策结构通常以执行委员会的形式出现，一般有：CEO与一个小型高层执行者团队合作，保证IT与公司目标一致。高层管理团队中的一个小组专门负责IT问题。把CIO作为执行团队的一员，可以强化业务君主制理解IT在业务战略上所起作用的能力，也强化执行团队的IT治理能力。35决策结构35联邦制的决策结构如果一个高级执行团队从各个业务吸收人员，则他们采用的是联邦制的决策结构。联邦制可以平衡企业和业务部门的优先权，可以为IT治理决策提供有价值的输入。大多数联邦制的IT组织设计的核心就是对数据和IT基础设施共享的要求。36联邦制的决策结构36IT君主制的决策结构IT领导团队可以由IT职能领导（运营、架构、应用等）和业务部门的CIO组成，通常负责制定基础设施和架构的决策。要解决业务部门由于规模不同而带来能力不同，所造成需求不同的问题，IT领导团队的选择权可能也不一样。超过85%的企业拥有正式的IT领导团队。拥有IT领导团队的企业具有更高的治理绩效。架构委员会由技术专家组成，负责制订标准，在某些情况下可批准例外项目。在大多数情况下，架构委员会的角色是对IT领导团队提供架构建议，但有时也可成为治理决策主体。架构委员会与业务部门经营者紧密协作时，它不仅能有效地引进技术标准，还能预测对于有价值的新技术的需求。37IT君主制的决策结构37双寡头制的决策结构决策团队如IT理事会同时包含IT人员和业务人员，把两者融合起来，能够在重要决策中把业务战略和IT联合起来。70%的企业拥有包含业务成员和IT成员的IT理事会，85%的企业拥有包含IT成员的流程团队，85%的企业拥有IT和业务关系经理。双寡头制的核心是找出既代表业务，又代表IT部门的高级领导组合，使他们能够在认识到每个业务部门需求的同时，支持整个企业IT项目实施。38双寡头制的决策结构38治理工作流程保证对IT进行有效管理和使IT应用得以推广的IT管理技术。治理工作流程应当能使委员会的每个人都向治理决策提供输入，又能将他们的IT决策结果发布出去。治理工作流程包括以下6个流程：IT投资批准流程架构例外流程服务水平协议费用分摊机制项目追踪业务价值的正式追踪39治理工作流程39沟通方法阐明有关IT治理决策和流程以及整个企业范围内的相关期望行为。管理层越是对现有的IT治理机制、工作方式、预期的效果进行正式地沟通，他们的治理就越有效。沟通方式有以下5种：高级管理层的公告正式的委员会CIO或IT治理办公室与不守常规者的共事基于网络的门户40沟通方法40影响力高且具有挑战性的机制41影响力高且具有挑战性的机制41建立有效IT治理机制的原则从三种类型中选择适用的治理机制；限制决策制定结构需要决策结构中各类人员的交叉在企业的多个层面上设置相应的机制明确责任42建立有效IT治理机制的原则42对IT治理绩效的评估组织IT治理安排鼓励期望行为的程度和组织最终达到绩效目标的程度。评估治理绩效时要评估五个因素，利用下表进行对照比较。

（四）对IT治理的评估43对IT治理绩效的评估（四）对IT治理的评估43一流治理绩效企业的七个特征更多领导层的管理者们可以描述IT治理更多地利用五种沟通机制高层管理者更直接地参与IT治理IT投资具有更加清晰的业务目标更多差异化的业务战略较少的非授权例外和较多的得到正式批准的例外治理变更的次数逐年减少44一流治理绩效企业的七个特征44什么样的治理安排最有效不同治理安排下，“最好”和“最差”的治理绩效45什么样的治理安排最有效45谁做出更好的决策？46谁做出更好的决策？46最成功的三种IT决策模式47最成功的三种IT决策模式47案例研究Delta航空公司的IT决策国内证券公司的IT治理模式道富公司的IT治理设计48案例研究48IT治理的实施框架为了实施有效的IT治理，除了在战略层建立决策权归属和职责担当的框架外，还要对企业的战术运行层制定一套适用的IT控制框架，以确保IT支持业务目标，确保资源得到了可靠的使用、风险受到了合理的管理。三、战术层的IT治理49IT治理的实施框架三、战术层的IT治理49COBIT是什么？ISACA制定的COBIT(ControlObjectivesforInformationandrelatedTechnology)是一个在国际上公认的、先进的和权威的安全与信息技术管理和控制标准，它在商业风险、控制需要和技术问题之间架起了一座桥梁，以满足管理的多方面需要。（一）IT治理工具－COBIT50COBIT是什么？（一）IT治理工具－COBIT50COBIT基本的准则国际上通用的、得到普遍认可的IT控制最佳实务标准，是实施IT治理的重要基础；适用企业建立全局信息系统时参照使用，与具体的技术无关；从业务对信息的需求出发，面向企业管理层和业务过程的所有者；51COBIT基本的准则51COBIT的背景第一版由信息系统审计与控制基金会（ISACF）于1996年发布。第二版于1998年出版，修订了高层控制目标与详细控制目标，增加了实施工具集（ImplementationToolSet）信息系统审计与控制基金会（ISACA）及其相关的基金会在1998年创立IT治理研究院(ITGI)，由ITGI制定并发布了COBIT第三版，加入了管理指南，以及扩展和加强了对IT治理的关注；COBIT基于ISACF的建立的IT控制目标，参照了其他控制框架、行业标准；ITGI于2005年底发布了COBIT第四版，这一版对IT某些过程进行了调整，强调了IT控制与IT治理五个领域的对应关系52COBIT的背景52COBIT的目标使用者管理层-帮助他们在不可预知的IT环境中平衡风险和控制之间的矛盾(采用控制措施需要投入资金)。用户-对内部或第三方提供的IT服务，获得在安全与控制方面的保证。审计师-证实他们的观点，在内部控制问题上为管理层提出建议。53COBIT的目标使用者53COBIT能给组织带来的利益有助于大幅提高组织对IT治理的接受程度，减少实施IT治理所需的时间；对IT审计方法与审计方案标准化，为正式的IT审计与检查提供指南，为识别所有的主要风险区域提供可靠的参考；IT运行管理人员通过COBIT可以了解审计师的关注点，有助于利用审计结果作为实施改善行动的机会；是实现IT治理目标的驱动力，可以帮助组织完善IT实务和IT过程；为组织提供了一个经济的、可持续完善的控制框架，提供一个有价值的参照基准，使得管理层对控制的决策可以基于一个可信的来源；有助于在业务与IT之间搭起沟通的桥梁，完善业务人员与IT管理人员的关系54COBIT能给组织带来的利益54COBIT产品簇

COBIT框架控制目标控制实务

审计指南

实施指南

管理指南IT治理总论PracticesResponsibilitiesExecutives&BoardsExecutives&BoardsPracticesResponsibilitiesExecutives&BoardsExecutives&BoardsPracticesResponsibilitiesExecutives&BoardsExecutives&Boards治理实务职责董事会与执行管理层BusinessandTechnologyManagementBusinessandTechnologyManagementwwPerformancemeasuresPerformancemeasureswwCriticalsuccessfactorsCriticalsuccessfactorswwMaturitymodelsMaturitymodelsBusinessandTechnologyManagementBusinessandTechnologyManagementwwPerformancemeasuresPerformancemeasureswwCriticalsuccessfactorsCriticalsuccessfactorswwMaturitymodelsMaturitymodelsBusinessandTechnologyManagementBusinessandTechnologyManagementwwPerformancemeasuresPerformancemeasureswwCriticalsuccessfactorsCriticalsuccessfactorswwMaturitymodelsMaturitymodels业务与技术管理层ww绩效测量ww关键成功因素ww成熟度模型Audit,controlandsecurityprofessionalAudit,controlandsecurityprofessionalWhatistheITWhatistheITControlFramework?ControlFramework?HowtoassesstheITHowtoassesstheITControlFramework?ControlFramework?HowtointroduceitHowtointroduceitintheenterprise?intheenterprise?Audit,controlandsecurityprofessionalAudit,controlandsecurityprofessionalWhatistheITWhatistheITControlFramework?ControlFramework?HowtoassesstheITHowtoassesstheITControlFramework?ControlFramework?HowtointroduceitHowtointroduceitintheenterprise?intheenterprise?Audit,controlandsecurityprofessionalAudit,controlandsecurityprofessionalWhatistheITWhatistheITControlFramework?ControlFramework?HowtoassesstheITHowtoassesstheITControlFramework?ControlFramework?HowtointroduceitHowtointroduceitintheenterprise?intheenterprise?审计、控制和安全从业人员如何制定IT控制框架?如何评估IT控制框架?如何在组织中建立IT控制框架?55COBIT产品簇COBIT框架控制目标控制实务审计指COBIT原理COBIT框架的出发点要实现对IT的控制，就要考虑支持业务目标或业务需求的信息，考虑运用IT相关资源后得到的信息，对IT资源要通过恰当的IT过程来进行管理。56COBIT原理56COBIT如何满足业务要求机密性完整性可用性有效性(效能)经济性(效率)机密性完整性可用性合规性可靠性(信息)质量成本交付运行的有效性和经济性信息的可靠性与法律、法规的符合性质量需求信誉需求安全需求57COBIT如何满足业务要求机密性质量运行的有效性和经济性质量COBIT信息标准的定义有效性—处理与业务过程相关的信息，并以及时、正确、一致和可用的方式交付。经济性—以最优化资源使用的方式（最具生产力的和经济的方式）来提供信息。机密性—保护敏感信息不被非授权泄露。完整性—与信息的准确性和完全性相关，同时也与符合业务价值和业务预期的正确性有关。可用性—在无论是在当前还是将来，业务过程所需要的信息要随时可用，同时还关系到对必要资源和相关能力的保护。符合性—处理与业务流程相关的法规、法律及合同的符合性问题，即遵循外部强加的各种业务标准。信息可靠性—为管理层运行业务实体、行使其财务和符合性报告的职责而提供合适的信息。58COBIT信息标准的定义58COBIT中识别的IT资源定义如下：数据——是指广义形式的（即组织内部与外部）、结构化的和非结构化的、图形的、声音的数据对象。应用系统——可以理解为人工程序和计算机程序的总和。技术——涵盖硬件、操作系统、数据库管理系统、网络、多媒体等。设备——指所有用来存放和支持信息系统的资源。人员——员工在计划、组织、采购、交付、支持和监控信息系统和服务时，所应具备的技能、意识和生产力。59COBIT中识别的IT资源定义如下：59COBIT框架结构COBIT由IT的域、过程、活动三级自然组合而成，这与组织结构的责任域相适应，通常也与可以应用到IT过程的管理周期或生命周期相一致IT系统IT域IT过程IT控制目标关键成功因素结果测量关键绩效指标成熟度模型IT控制实践60COBIT框架结构IT系统IT域IT过程IT控制目标关键成COBIT框架三维表示可以用以下三个标准维组成：1、信息标准，2、IT资源，3、IT过程。这三个维度在COBIT立方块中可表示成下图：4个域—34个过程—

318个控制目标61COBIT框架三维表示4个域—34个过程—318个控制目COBIT的四个域计划和组织——这个域涵盖了战略和战术，其目的是要识别出能使IT为实现业务目标作出最大的贡献的方法。为实现战略设想，需要从不同的角度去计划、沟通和管理。此外，还应当建立合理的组织与技术基础设施。获取与实施——为实现IT战略，需要识别、开发或采购IT解决方案，并把它们集成到业务过程中去。另外，此域还涵盖到了对现有系统的更新与维护，以确保这些系统生命周期的持续性。交付与支持——该域关注的是所要求服务的实际交付，它的范围可以从传统的安全和可持续性运行一直到培训的各个方面。为了提供服务，必须建立必要的支持过程。(该域包含应用系统对数据的实际处理，通常按应用控制分类。)监控与评价——要对所有IT过程的质量以及与控制需求的符合性进行周期性的评估。该域使管理者可以监督组织的控制过程和由内部和外部审计所作的独立保证。62COBIT的四个域62控制程度的选择COBIT总体结构图主要的（Primary，简写为P）——在这个程度上，定义的控制目标直接影响相关信息标准。次要的（Secondary,简写为S）——在这个程度上，定义的控制目标只是在较小范围或以间接方式满足相关的信息标准。空白(Blank)——可能适用；但由该过程的其他标准或由其他过程来满足此需求更合适。63控制程度的选择COBIT总体结构图63COBIT监控信息IT资源计划与组织获取与实施交付与支持业务目标IT治理有效性经济性、机密性、完整性、可用性、可靠性、合规性人员、应用系统、技术、设施、数据、过程监控评价内部控制适当性获取独立保证提供独立审计定义并管理服务水平管理第三方服务管理性能与容量确保服务的连续性确保系统安全确定并分配成本教育与培训用户服务台及事故管理配置管理问题管理数据管理物理环境管理运行管理定义IT战略计划定义信息体系结构确定技术方向定义IT过程、组织与关系管理IT投资传达管理目标与方向人力资源管理质量管理风险与管理IT评估项目管理确定IT解决方案获取与维护应用软件获取与维护技术基础设施投入运行与使用采购IT资源变更管理系统安装与鉴定COBIT总体结构图64COBIT监控信息IT资源计划与组织获取与实施交付与支持业务COBIT域与过程简介规划与组织【描述】这个域包括战略和战术两个层面，重点是要关注IT如何更好地为实现业务目标作出最大贡献；对战略愿景的实现要从不同的角度进行规划、沟通和管理；要建立良好的组织架构和技术基础设施。【主题】战略和战术远景规划组织及其基础设施【问题】IT战略与业务战略相一致吗?组织的资源是否被优化使用?组织中的每个人理解IT目标吗?IT风险是否已被识别并有效管理?IT系统的质量满足业务的需求吗?65COBIT域与过程简介65【控制目标】PO1制定IT战略规划PO2确定信息体系架构PO3确定技术方向PO4定义IT组织与相互关系PO5管理IT投资PO6管理目标与方向的沟通协调PO7人力资源管理PO8确保符合外部要求PO9风险评估PO10项目管理PO11质量管理66【控制目标】66获取与实施【描述】为实现IT战略，应当识别、开发（或获取）和实施IT解决方案，并使IT系统业务流程进行融合。另外，这个域还包括对已有系统的变更与维护，以确保系统生命周期活动能持续进行。【主题】IT解决方案变更与维护【问题】新项目能否提供业务所需的解决方案?新的项目能否按时交付，且费用控制在成本之内?当实施完毕时，新系统是否正常工作?变更是否影响了正常的业务运行?【控制目标】AI1确定IT解决方案AI2获取并维护应用软件AI3获取并维护技术基础设施AI4IT程序的开发与维护AI5系统的安装与验收AI6变更管理67获取与实施67运行与支持【描述】这个域重点关注所需服务的实际交付(从传统的安全及持续性方面的运行到各种培训)。为了保证提供服务，必须建立必要的支持流程。另外，这个域还包括应用系统对实际数据的处理过程，应用系统中对数据一般是按敏感性进行分级的。【主题】提供所需服务建立服务支持流程应用系统的处理过程【问题】交付的IT服务是否与业务优先顺序相一致?IT成本是否被优化?员工是否能安全有效地使用IT系统?IT系统是否具有充分的安全性、完整性和可用性?68运行与支持68【控制目标】DS1定义并管理服务水平DS2管理第三方服务DS3绩效管理与容量管理DS4确保持续性服务DS5确保系统安全DS6确认与分配成本DS7教育并培训客户DS8为客户提供帮助和建议DS9配置管理DS10问题管理与紧急事件管理DS11数据管理DS12设施管理DS13运营管理69【控制目标】69监控与评价【描述】为了保证系统的质量并满足控制需求，所有的流程应被定期评估。这个域要求管理人员对控制过程进行监督，并通过独立的内外部审计或其他方式对控制过程完备性提供保证。【主题】周期性评估，提供相关保证；对控制系统的管理监督绩效测量【问题】IT的绩效如何被度量及如何尽早发现存在的问题?是否需要独立的保证以确保关键区域按既定目标运行?【控制目标】M1流程监控M2评价内部控制的适当性M3获得独立保证M4提供独立的审计70监控与评价70COBIT过程及属性列表71COBIT过程及属性列表71PO1 制定IT战略规划PO3 确定技术方向PO5 管理IT投资PO9 风险评估PO10 项目管理AI1 确定解决方案AI2 获取并维护应用软件AI5 系统安装与验收AI6 变更管理DS1 定义并管理服务水平DS4 确保持续性服务DS5 确保系统安全DS10 问题管理与紧急事件管理DS11 数据管理M1 过程监控34157哪些IT过程更重要？通过调查表明，以下这些过程比较重要：72PO1 制定IT战略规划34157哪些IT过程更重要？COBIT控制框架定义COBIT控制框架为企业过程拥有者提供了一个促进其履行职责的工具，提供信息化控制指导；它指出这些IT过程影响到哪些信息标准，涉及到哪些IT资源，从而把IT过程、IT资源和信息连接到企业战略和目标上去。IT过程…的控制业务需求以满足控制描述通过…实现控制实践要考虑73COBIT控制框架IT过程…的控制业务需求以满足控制描述通过导航标志为便于有效地使用具有不同优势点的控制目标，提供了一些导航标志作为高层控制目标的组成部分，COBIT三维框架中的（过程、IT资源和信息标准）中的每一维，都提供了一个导航指示标志。74导航标志74框架示例75框架示例75COBIT控制目标

COBIT提供了34个高层控制目标，每一个目标对应着一个IT过程；控制目标下，又定义了318个具体的控制子目标；76COBIT控制目标76每个子目标从价值交付和风险管理的角度，再将子控制目标细化成可执行的控制实务(ControlPractice)，并为实施执行提供业务指导。示例：PO1－制定IT战略计划1.1IT作为组织计划的一部分1.2IT的长期计划1.3IT长期计划—方法和结构1.4IT长期计划的变更1.5IT项目的短期计划1.6IT对计划的宣传与贯彻1.7对IT计划的监控和评价1.8对现存系统的评估示例：1.7引入控制的原因确认IT长期计划与短期计划与组织的使命及业务目标保持一致，并能为业务目标的实现作出贡献。对影响组织长期计划的所有潜在事件进行评价，并及时对IT长期和短期计划进行调整，以适当变化的要求。识别长期计划与短期计划制定与执行过程中的偏离现象，以促进管理层采取恰当的纠正行动。在必要时，对于制定长期计划与短期计划所基于的假设条件进行验证和变更示例：

1.7控制实践建立正式的监控过程，阶段性地对IT计划的反馈信息进行收集、记录、排序和沟通工作，此外还需要来自IT、组织管理层和关键利益相关者的信息输入，然后进行评审工作，评审的内容包括：短期计划目标的实现、与计划相关的对业务风险的管理，对业务过程可衡量的改善（成本、效率）和IT投资所交付的价值。基于评审结果建立正式的评估过程，针对所提议的IT计划的修改内容进行评估，并达成一致意见。建立有效机制，把对业务过程的改进点及时反映到IT计划变更过程中来。示例：1.7控制的属性77每个子目标从价值交付和风险管理的角度，再将子控制目标细化成可定义：COBIT管理指南(ManagementGuidelines)是一种通用的、面向行动的指南；用于回答下述类型的管理问题：我们该控制IT到什么程度，成本和收益是否相符?有没有一个测量标准用于判断何时肯定会出现失败?怎样才算是好的性能?关键成功因素是什么?哪些是影响我们实现组织目标的风险，其他的组织在做什么?我们应该怎样进行测量与比较?搭建了贯通业务风险、控制需要和技术问题这三者之间的桥梁利益风险（二）COBIT管理指南78定义：利益风险（二）COBIT管理指南78管理指南的组成要素针对COBIT中的每一个IT过程，管理指南提供了以下内容：对此过程的定义及对此过程目标的描述;此过程如何实现对业务加速器功能的描述（如何保持对IT过程的控制，以确定是否达成业务目标）;与此过程相关的IT资源和信息标准;关键成功因素（CSF）、关键目标指标（KGI）、关键绩效指标（KPI）、IT过程成熟度模型（CMM）通过CMM、CSF、KGI、KPI四个方面的有机作用，使企业中的信息资源得到有效的管理。79管理指南的组成要素79过程描述关键成功因素(CSFs)

关键目标指标KGIs

关键绩效指标KPIs

信息标准资源0-Managementprocessesarenotappliedatall1-Processesareadhocanddisorganised2-Processesfollowaregularpattern3-Processesaredocumentedandcommunicated4-Processesaremonitoredandmeasured5-Bestpracticesarefollowedandautomated成熟度模型8-106-85-7341管理指南的组成结构某个IT过程的管理指南举例80过程描述关键成功因素关键目标指标KGIs关键绩效指标KPIs管理指南的组成要素之间的关系81管理指南的组成要素之间的关系81成熟度模型对建立、计划和追踪当前的及未来的所需的成熟度进行详细描述RACI表角色与责任(R=职责,A=问责,C=咨询,I=通知)关键角色主要属性：属性参照KPIs战略方向资源能力意识支持政策其他…关键成功因素目标与范围IT过程综述因果关系图…….…….…….…….…….…….…….…….绩效指标对目标的测量KGIs关键实务

…….输入IT过程输出角色与职责评估82成熟度模型RACI表关键角色主要属性：属性参照KPIs战略成熟度模型对建立、计划和追踪当前的及未来的所需的成熟度进行详细描述RACI表角色与责任(R=职责,A=问责,C=咨询,I=通知)关键角色主要属性：属性参照KPIs战略方向资源能力意识支持政策其他…关键成功因素目标与范围IT过程综述因果关系图…….…….…….…….…….…….…….…….绩效指标对目标的测量KGIs关键实务

…….用于详细评估的可测量的属性与组件评估时可参照的业务标准及行业最佳实践可用于快速评估的初始标准基于通用的组织流程图对CSF的分解对IT过程的分解对IT过程目标的描述对IT过程绩效的描述83成熟度模型RACI表关键角色主要属性：属性参照KPIs战略成熟度模型对建立、计划和追踪当前的及未来的所需的成熟度进行详细描述RACI表角色与责任(R=职责,A=问责,C=咨询,I=通知)关键角色主要属性：战略方向资源能力意识支持政策其他…关键成功因素目标与范围IT过程综述因果关系图…….…….…….…….…….…….…….…….绩效指标对目标的测量KGIsKPIs属性参照关键实务

…….我需要什么？我必须做什么？我需要提供什么？如何测量工作绩效？如何委派工作？由谁来执行？如何评估？84成熟度模型RACI表关键角色主要属性：战略方向关键成功因素IT过程成熟度模型(CMM)定义CMM制定了一个基准，组织可以确定自己的等级，从而了解自身目前的状况；在确定CMM基础上确定组织的关键成功因素(CSF)，通过关键绩效指(KPI)进行监控(事中控制)，并衡量组织是否能达到关键目标指标(KGI)中所设定的目标(事后控制)；34个IT过程的每一项都有一个递增的测量尺度，基于“0”到“5”等级。IT过程成熟度描述CMM85IT过程成熟度模型(CMM)IT过程成熟度描述CMM85关键成功因素(CSF)定义CSF为管理部门实现对IT过程的控制提供指南，它们是实现IT过程目标最重要的一系列因素，可以由战略的、技术的、组织的或程序的各种活动组成；它们通常会涉及IT能力和技能，简短而集中介绍企业为达到某方面的目标必须重视的资源和必须实施的控制。特征是IT处理或支持的环境中最基本的促进因素，是为提高IT过程成功的可能性所要做的最重要的事；是实现成功所需的一种条件，或是一种可取的活动，具有可观察或可测量的特征；关注获取、维护和利用IT能力与技能，以IT过程的术语而非业务术语来描述。CSFCOBIT引入的CSF举例86关键成功因素(CSF)CSFCOBIT引入的CSF举例86关键目标指标(KGI)定义：关键目标指标是对IT过程要达到何种目标的一种表述，或者是对要完成结果的一种测度；关键目标指标(KGI)主要在IT过程实施之后，告诉管理部门该IT处理是否满足其业务需求，通常以信息标准的术语表述。例如：

信息系统及服务的可用性；完整性缺失和机密性风险；信息处理和系统运行的成本有效性；对可靠性、有效性和符合性的确认。KGIKGI举例87关键目标指标(KGI)KGIKGI举例87关键绩效指标(KPI)定义：关键绩效指标(KPI)描述了在实现IT目标的过程中执行情况的好坏程度，是判断目标是否有可能实现的主要指标，也是测定性能、惯例和技能的指标。特征是对IT过程执行程度的测定；可以预期将来成败的可能性，是“先导性”指标；面向过程，由IT驱动；以精确的、可测量的术语表述；关注那些被认为是对过程至关重要的资源；对此指标进行测量并依此采取行动，将有助于改进IT过程。KPIKPI举例88关键绩效指标(KPI)KPIKPI举例88建立意识做出决策分析价值和风险选择过程确定需求定义项目开发和实施变更计划规划具体方案把方案集成进日常运行实务中去建立具体的平衡记分卡进行测量实施具体方案定义当前状态定义愿景目标分析存在的差距规划解决方案IT治理实施路线图可持续的解决方案：建立政策和目标实施政策、职责、过程和程序根据政策及外部最佳实施测量绩效采取纠正及预防性措施并持续完善反馈实施后的评审：对变更项目进行测量对其他改进项目提供反馈（二）COBIT的应用之一：建立IT过程控制框架89建立意识分析价值和风险选择过程确定需求定义项目开发和实施第一阶段：确定需求主要过程理解IT治理项目的背景，为IT治理实施项目设置可测量的业务目标，增强IT治理意识，定义合理的项目组织；理解业务目标，并了解如何把业务目标转化为IT目标；理解存在的潜在风险，以及他们是如何影响IT目标的；确定要实施的IT改进项目应涉及的范围，识别要实施和完善的IT过程。建立意识做出决策分析价值和风险选择过程确定需求90第一阶段：确定需求建立意识分析价值和风险选择过程确定需求9如何利用COBIT？COBIT管理指南提供了关键目标指标（KGI），关键成功因素（CSF），这两者可用来定义IT目标。COBIT控制目标（CO）和控制实践（CP）为建立关键的控制环境提供了指南；COBIT框架中描述的信息质量标准有助于定义业务价值和定义降低业务风险的需求；IT资源标准有助于决定组织需要什么样的资源来管理所提供的信息，以满足业务价值和业务风险的需要；IT过程标准有助于组织选择适合自身的IT过程。第一阶段详述91如何利用COBIT？第一阶段详述91第二阶段：规划解决方案主要过程对所选择的IT过程评估其成熟度当前状况（As-is），制定适宜的未来目标(To-be)，；基于COBIT中控制目标（CO）和控制实践（CP）中的成熟度属性（CMM），对当前状况与未来目标之间进行差距分析，把差距转化成改进的机会。如何利用COBIT？这个阶段用到了COBIT中的管理指南中的关键成功因素（CSF）和成熟度模型（CMM）。定义当前状态定义愿景目标分析存在的差距规划解决方案第二阶段详述92第二阶段：规划解决方案定义当前状态定义愿景目标分析存在第三阶段：规划具体方案主要过程对所有可行的改进方案进行比较与识别，并转换成合理的、具体可实施的项目计划；在得到管理层的批准后，这些所有这些项目应当集成为一个总的改进策略，并制定相应的行动计划为具体实施作好准备。如何利用COBIT？利用COBIT控制目标（CO）和控制实践（CP）来对具体改进项目的优先级进行排序，还可利用COBIT管理指南中的KPI、KGI这两个指标来对IT过程进行度量，以判断其达成目标的程度。定义项目开发和实施变更计划规划具体方案第三阶段详述93第三阶段：规划具体方案定义项目开发和实施变更计划规划具体方第四阶段：实施具体方案主要过程把计划好的项目方案落实到日常运行实务中去，以推动具体项目的实施；以IT平衡记分卡的方式，对实施后的IT过程进行评审与监督，以此作为反馈来保证IT过程的持续可靠运行。如何利用COBIT？在此阶段，可以利用COBIT管理指南中KGI和KPI来建立IT平衡记分卡，进行项目实施后的评审。把方案集成进日常运行实务中去建立具体的平衡记分卡进行测量实施具体方案第四阶段详述94第四阶段：实施具体方案把方案集成进日常运行实务中去建立具体COBIT审计指南审计指南是COBIT提供的一个补充工具，以方便审计师在审计和评估活动中使用COBIT框架与控制目标；由于审计指南与COBIT框架和详细控制目标集成在一起，因此审计指南为审计师准备审计计划、审计方案提供了指引；COBIT为IT的安全与控制提供了明确的政策和良好的实践，因此扎根于控制目标的审计指南使审计师可以从审计结论中得出合理的审计建议，并参照权威的标准来完善控制过程。（三）COBIT的应用之二：IT审计95COBIT审计指南（三）COBIT的应用之二：IT审计95审计模型审计的目标是：为管理层提供控制合理性的保证何处存在重要的控制弱点，证实由此产生的风险建议管理层采取纠正措施。审计过程的公认结构是：识别与文档工作评价符合性测试实质性测试96审计模型96审计指南三层结构第一层通用IT审计方法COBIT框架审计前的准备对控制的观察一般性审计指南第二层过程审计指南详细审计指南第三层补充详细的控制目标的审计关注点当地条件地区特定标准行业标准与特定平台相关的因素所使用的详细控制技术97审计指南三层结构第一层COBIT框架第二层详细审计指南第三层审计前的准备定义审计范围相关的业务过程支持业务过程的平台、系统及系统间的互联角色、责任及组织结构识别与业务过程相关的信息需求与业务过程的相关性识别固有的IT风险和各种级别的控制最近在业务与技术环境中发生的变量与事件有关审计、鉴定和自我评估的结果管理层使用的IT监督措施选择要审计的IT过程和平台IT过程资源设定审计策略控制与风险步骤与任务决策点审计过程详述98审计前的准备定义审计范围相关的业务过程识别与业务过程相关的信审计的一般过程--获得对业务需求有关的风险、和相应的控制方法的理解;----评价规定的控制的适宜性;------评估符合性，通过测试规定的控制是否按规定、一致的、持续的起作用;--------证实，通过分析技术和/或咨询可选的来源，证实控制目标的风险不存在。一般性审计指南99审计的一般过程--获得对业务需求有关的风险、和相应的控制方法COBIT推荐的IT审计方法审计指南示例100COBIT推荐的IT审计方法审计指南示例100案例研究A公司利用COBIT建立控制框架B银行的信息系统审计101案例研究101演讲完毕，谢谢观看！演讲完毕，谢谢观看！IT治理陈伟第三届北大CIO班chenwei@103IT治理陈伟第三届北大CIO班chenwei@ci企业管理模式企业在确认自身战略目标的基础上，对组织架构、业务流程、以及业绩评估三个元素进行整合，并取得信息技术的充分配合与支持，才能全面提升管理水平。

经营战略

信息技术

业绩评估

业务流程组织架构

环环市场境境业行一、从企业风险管理到IT风险控制104企业管理模式经营战略信息技术业绩评估企业管理常见风险战略定位不明组织架构紊乱业务流程松散激励机制不足信息技术缺乏资金管理低效对企业实施风险管理目标：企业风险管理的目标是控制企业的风险，保护企业的核心竞争力，风险管理是未来企业发展的主旋律。105企业管理常见风险对企业实施风险管理3企业风险管理的背景2002年美国国会发布了SOX《萨班斯—奥克斯利法案》要求所有上市公司都必须建立有效的内部控制框架。2004年9月30日中国银监会发布了《商业银行内部控制评价办法》，2006年银监会发布《电子银行业务管理办法》、《电子银行安全评估指引》、《银行业金融机构信息系统风险管理指引》和《银行业金融机构内部审计指引》。2006年6月国资委发布《中央企业全面风险管理》；2006年6月5日，上海证券交易所发布了《上海证券交易所上市公司内部控制指引》；2006年9月28日深交所发布《深圳证券交易所上市公司内部控制指引》财政部近日发起成立企业内部控制标准委员会，其目的是为推动企业完善治理结构和内部约束机制，中国式的SOX法即将出台。106企业风险管理的背景4企业风险管理框架（COSO）目标：从各种角度来考虑因素：从相联的各种过程来考虑地点：在组织的各个层次考虑107企业风险管理框架（COSO）目标：从各种角度来考虑因素：COSO风险管理框架的启发要站在企业管理者的角度来看待风险，企业风险是由包括IT风险在内的其他风险组合而成。强调“人”的重要性，组织中的每一个人对风险管理都负有责任；强调“软控制”的作用。“软控制”主要指那些属于精神层面的事物，如高级管理阶层的管理风格、管理哲学、企业文化、内部控制意识等，“软控制”影响人的行为。强调风险管理是一个“动态过程”，风险管理是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的PDCA过程。明确指出内部控制只能做到“合理”保证，目标达成的可能性受许多先天条件不足及各种“不确定性”的影响。没有不花钱的内部控制，也不存在完美无缺的内部控制。108COSO风险管理框架的启发6企业风险管理组成结构风险管理策略组织对风险的态度，对风险管理的承诺风险控制过程组织具体管理风险步骤、做法及工具风险管理基础组织内支持风险管理的人员、组织、技术等，来协助驱动风险管理风险模型举例109企业风险管理组成结构风险管理策略风险控制过程风险管理基础风险IT风险控制是企业风险管理中的重要组成部分公司层控制应用层控制基础层控制IT控制层COSO控制框架ISMS、ITSM、BCP、CMMI、……110公司层控制应用层控制基础层控制IT控制层COSO控制框架ISIT面临哪些风险与挑战？在信息与信息系统上的投资规模与成本都在不断扩大，高投入带来了高风险；企业对IT系统的依赖性越来越强的同时，面临不断增多的系统薄弱性和各种各样的威胁，IT系统的停机将造成业务受到巨大损失、声誉下降、竞争优势丧失；IT应用与业务需求之间逻辑错位，IT设施最后成了摆设，IT建设缺乏绩效评估机制；IT项目的高失败率，使得企业无法实现其预期的创新与利益，不能实现对IT的投资回报，或者不通对投资回报进行测量；不断发展的科技潜力显著地改变组织形式与商业模型，在创造出新的机遇并降低了成本的同时，也使得商业竞争不断加剧;……ERP失败案例交易失误111IT面临哪些风险与挑战？ERP失败案例交易失误9信息系统风险的类型IT治理风险－信息化建设仍然属于“人治时代”，信息化的随意性较大，企业还没有就信息化形成相关的制度。IT可用性风险－业务对IT不断增强的依赖性和脆弱的基础设施及管理流程，使得IT系统的停机对组织的业务造成巨大损失、声誉下降、竞争优势丧失。信息安全风险－技术的发展及互联网的便利性，使得信息安全形势日益严峻，黑客攻击频繁、病毒泛滥，造成许多商业网站、政府网站被入侵，虚拟资金被盗，敏感机密信息被泄露。IT绩效风险－如果规划不当、控制不严，IT系统不能带来预期的业务价值，巨额的信息化投入很可能造成新一轮的“投资黑洞”。合规性风险－法律、法规对IT的监管要求越来越严格，不能符合合规性要求将使企业面临较大的风险。112信息系统风险的类型10控制信息化的风险需要制度与管理创新决定信息系统是否有效运转的决定因素不是信息技术，而是制度、组织结构、规则与标准，最终是人。信息化需要合理有效的制度安排，建立良好的管理控制体系是企业信息系统建设成功的重要保证。应该逐步完善企业的IT治理机制，实现IT与战略、管理、业务运营、信息安全的深度融合。这样一方面使信息系统为企业创造价值并保护持续性，另一方面控制信息化的风险与降低成本。构筑信息时代新的“游戏规则”，“规则”是“游戏”是重要组成部分。信息化最大的风险：控制制度--治理机制的缺失113控制信息化的风险需要制度与管理创新信息化最大的风险：控制制度建立PDCA的风险控制体系设定风险管理流程目的及目标共同语言结构决策资料订立策略

避免利用接受转移减低评估风险验明来源量度不断的改善管理能力设计或引进管理能力监察风险管理表现用制度体系来建立风险控制框架114建立PDCA的风险控制体系设定风险管理流程目的及目标订立策略IT风险的控制框架战略层IT治理ISMS战术层IT治理115IT风险的控制框架战略层IT治理ISMS战术层IT治理13你的组织是如何治理IT的？各种回答--“什么是IT治理?以前没有听说过。它有具体的概念和定义吗?”“是不是公司治理?它与公司治理有区别吗?”--“IT工作一直是公司战略中的重点，具体的工作我不太清楚,分管副总知道。”--“我们公司老板舍得花钱，老板说了：只要系统不出事，要人给人，要钱给钱！”“公司非常重视IT,老板亲自抓!技术人员地位很高,常常参与公司的高层决策。”

--“我们每年年处都制订很好的IT计划，按计划执行就行，年终再检查。”--“技术开发，基本上都依靠外包。能搞掂就继续合同，出问题就换一家……”--“公司很少讨论IT治理，系统只要不出事就好，出事了技术主管就麻烦大了！”……二、战略层的IT治理反映出的问题（1）IT资源在公司的战略资产中地位受到一定的重视，但是具体情况不清楚；（2）缺乏IT治理明确的概念描述和参数指标；（3）IT治理需要的明确责任与职能不清晰。116你的组织是如何治理IT的？各种回答二、战略层的IT治理反映出IT治理的重要作用没有良好的IT治理结构和持之以恒的评估反馈机制，IT资源无法成为公司的有效战略资产，甚至成为巨大的资源损耗。在采用相同战略目标的情况下，具有良好IT治理的企业，其利润要比那些治理低下的企业高出20%。而对世界范围内250家企业的调查表明，只有38%的高级主管能够精确描述他们的IT治理。－引自彼得.维尔和珍妮.罗斯的IT治理研究117IT治理的重要作用－引自彼得.维尔和珍妮.罗斯的IT治理研究什么IT治理？德勤定义如下:IT治理是一个含义广泛的术语，包括信息系统、技术、通讯、商业、所有利益相关者、合法性和其他问题。其主要任务是：保持IT与业务目标一致，推动业务发展，促使收益最大化，合理利用IT资源，IT相关风险的适当管理。ISACA定义：IT治理是一个由关系和过程所构成的体制，用于指导和控制企业，通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。ITGovernance118什么IT治理？ITGovernance16IT治理可以分为五个域二个核心：一是IT要向业务提交价值，二是降低风险。前者由IT与业务的战略一致性驱动，后者由企业内部建立的责任驱动；这两者都需要获得足够的资源并进行绩效测量，以保证获得预期结果。

119IT治理可以分为五个域17IT治理风险在战略层面和战术层面的表现战略层面—IT原则、架构、基础设施、应用需求及IT投资的决策权归属及责任担当框架的建立。战术层面—利用国际认可的最佳实施规范建立IT控制框架。IT治理成熟度120IT治理风险在战略层面和战术层面的表现18IT治理的战略层面在企业战略层面上，要综合公司治理结构、企业战略规划，使IT治理作为公司治理的一部分，在治理结构上体现IT的位置与作用。建立有效确定IT决策权归属和责任分配的框架，包括有效的治理制度安排与治理机制的设计。企业战略和组织IT组织和期望行为关系治理安排实物治理安排人力资源治理安排知识产权治理安排财务治理安排IT治理安排IT治理机制IT决策业务绩效目标IT度量指标和责任协调什么？如何协调？IT治理设计框架121IT治理的战略层面企业战略和组织IT组织和期望行为关系治理安战略层面的IT治理要解决的问题：为了保证有效地管理与使用IT，应当做出怎样的决策；谁来做出这些决策？如何做出决策及对决策进行监控？122战略层面的IT治理要解决的问题：20（一）五种关键的IT决策IT原则的决策高层关于企业如何使用IT的陈述IT架构决策

组织从一系列政策、关系以及技术选择中捕获的数据、应用和基础设施的逻辑，以达到预期的商业、技术的标准化和一体化IT基础设施决策集中协调、共享IT服务可以给企业的IT能力提供基础IT投资和优先顺序决策

关于应该在IT的哪些方面投资以及投资多少的决策。包括项目的审批和论证技术业务应用需求决策

为购买或内部开发IT应用确定业务需求123（一）五种关键的IT决策IT原则的决策IT架构决策IT基础设IT原则对于IT在该企业如何运用的一系列最高陈述。IT原则一旦清晰地表述出来，就成了企业管理要素中的一部分，可以被讨论、修改和引用。IT原则至少要阐述三个对IT的预期：企业期望的运行模式是什么？IT如何支持期望的运行模式？组织中如何资助IT？124IT原则22IT架构指导IT投资和设计决策的IT框架，是建立企业信息系统的综合蓝图，是对企业不同的信息视图进行架构描述的综合。125IT架构23IT基础设施IT基础设施是所有业务规划的有效IT能力（技术和人力）的基础，是共享、可靠的服务，可用于多个应用。IT基础设施变化频繁的业务应用系统共享的、标准的应用，变化较少，例如：会计系统、HRM、ERP等长时间保持稳定的服务，例如共享的客户数据加管理、PC/LAN知识、技能、政策、标准和经验约束组件等人务基础组织计算机、路由器、操作系统、数据库软件、信用卡机等日常设备126IT基础设施IT基础设施变化频繁的业务应用系统共享的、标准的IT基础设施的10个能力群127IT基础设施的10个能力群25业务应用需求业务需求是促进IT发展的源动力，准确、及时地识别组织的业务需求，并使之成为信息化建设与调整的依据，这是降低IT风险的可靠保证。需求识别的困难性128业务应用需求需求识别的困难性26战略规划计划预算项目投资绩效管理企业运营：生产、管理、控制对战术层的支持对战略层的支持如何增强企业核心竞争力？如何寻找新的利润增长点？如何促进企业成长为知识型、学习型的组织？如何建立有效的企业风险控制机制？信息技术进一步为业务创造新的价值不同层次的业务需求招商银行的IT扛杆作用129战略规划计划预算项目投资绩效管理企业运营：生产、管理、控制对IT投资和优先顺序决策IT投资决策要解决的问题IT要花多少钱？把钱花在什么上面？如何协调不同投资者的需求？IT投资决策的依据考虑日常运维的支撑需