IT治理的目标与范围(-61张)课件.ppt

1、NANJING AUDIT UNIVERSITY第二章第二章 IT治理治理 第一节第一节 IT治理概述治理概述 两个例子两个例子:1、2002年年5月月29日上午时分左右，南京火车站电脑售票系统突然日上午时分左右，南京火车站电脑售票系统突然 发生死机故障，整个车站售票处于瘫痪状态，车站售票大厅内人满发生死机故障，整个车站售票处于瘫痪状态，车站售票大厅内人满 为患，众多旅客不得不改乘其它交通工具离开南京。车站领导和计为患，众多旅客不得不改乘其它交通工具离开南京。车站领导和计 算机技术人员告诉记者是由于电脑升级换代，调试时线路发生故障，算机技术人员告诉记者是由于电脑升级换代，调试时线路发生故障，才

2、引发了此次系统瘫痪的。才引发了此次系统瘫痪的。2、9月月5日广东省工行因系统故障，全线停业一个半小时。日广东省工行因系统故障，全线停业一个半小时。这两个例子说明什么？这两个例子说明什么？IT是技术，是资源，是服务，更是成本是技术，是资源，是服务，更是成本NANJING AUDIT UNIVERSITY企业需要将企业需要将IT应用于业务领域，通常需要提出以下问题：应用于业务领域，通常需要提出以下问题：企业所需要的企业所需要的IT服务是什么？服务是什么？这些这些IT服务需要多少成本？服务需要多少成本？企业企业IT应用中的决策机制如何？应用中的决策机制如何？企业企业IT应用中的则、权、利如何分配？应

3、用中的则、权、利如何分配？企业的企业的IT应用应达到什么样的水平？应用应达到什么样的水平？企业如何管理好自己的企业如何管理好自己的IT资源？资源？企业如何做好企业如何做好IT的风险管理？的风险管理？所有这些问题都离不开一个概念所有这些问题都离不开一个概念IT治理。治理。第二章第二章 IT治理治理NANJING AUDIT UNIVERSITY 据国外一份统计数据表明企业中据国外一份统计数据表明企业中IT系统出现故障有几大原因：系统出现故障有几大原因：1、恶意代码攻击恶意代码攻击;2、缺乏有效的监控制度和手段缺乏有效的监控制度和手段;3、IT设备本身的性能问题设备本身的性能问题;4、应用系统应用

4、系统/数据本身存在问题数据本身存在问题;5、员工缺少技能培训员工缺少技能培训;6、不同部门的不同部门的IT人员之间缺乏协调人员之间缺乏协调;7、缺少运营管理方法论的指导缺少运营管理方法论的指导;8、员工不按规足员工不按规足/流程操作。流程操作。可以看到在这些原因中都和管理与流程存在很大关系，要做好组织可以看到在这些原因中都和管理与流程存在很大关系，要做好组织 中的中的IT风险控制和信息安全风险控制和信息安全离不开离不开IT治理。治理。第二章第二章 IT治理治理NANJING AUDIT UNIVERSITY 一、何谓一、何谓IT治理？治理？IT governance(IT治理治理)是国际是国际

5、IT领域中的新概念，用于描述企业或政府领域中的新概念，用于描述企业或政府 是否采用有效的机制使是否采用有效的机制使IT的应用能够完成组织赋予它的使命的应用能够完成组织赋予它的使命,同时同时,平衡平衡 信息技术与过程的风险信息技术与过程的风险,确保实现组织的战略目标确保实现组织的战略目标.Roberts.Roussey(美国南加州大学教授美国南加州大学教授)定义：定义：(参见教材参见教材)从从利益相关者收益角度利益相关者收益角度 德勤德勤(德勤公司德勤公司)定义定义:(参见教材参见教材)从内部审计与控制角度从内部审计与控制角度 ISACA定义定义:(参见教材参见教材)从内部审计与控制角度从内部审

6、计与控制角度 我国定义我国定义:(参见教材参见教材)第二章第二章 IT治理治理NANJING AUDIT UNIVERSITY第二章第二章 IT治理治理 从从IT的各种定义可总结出有关的各种定义可总结出有关IT治理的共同点：治理的共同点：1、IT治理必须与企业战略目标一致；治理必须与企业战略目标一致；2、IT治理管理执行人员和利益相关者的责任（以董事会为代表）；治理管理执行人员和利益相关者的责任（以董事会为代表）；3、IT治理保护利益相关者的权益，使风险透明化，指导和控制治理保护利益相关者的权益，使风险透明化，指导和控制IT投投 资、机遇、利益、风险；资、机遇、利益、风险；4、IT治理包括管理

7、层、组织结构、过程，以确保治理包括管理层、组织结构、过程，以确保IT维持和拓展组织维持和拓展组织 战略目标；战略目标；5、应该合理利用企业的信息资源，有效地集成与协调；应该合理利用企业的信息资源，有效地集成与协调；6、确保确保IT及时按照目标交付，有合适的功能和期望的收益，是一个及时按照目标交付，有合适的功能和期望的收益，是一个 一致性和价值传递的基本构建模块，有明确的期望值和衡量手段；一致性和价值传递的基本构建模块，有明确的期望值和衡量手段；7、引导引导IT战略平衡系统的投资，支持企业，战略平衡系统的投资，支持企业，变革企业，或者创建一变革企业，或者创建一 个信息基础架构，保证业务增长，并在

8、一个新的领域竞争；个信息基础架构，保证业务增长，并在一个新的领域竞争；8、对于核心对于核心IT资源做出合理的决策，进入新的市场，驱动竞争策略，资源做出合理的决策，进入新的市场，驱动竞争策略，创造总的收入增长，改善客户满意度，维系客户关系。创造总的收入增长，改善客户满意度，维系客户关系。NANJING AUDIT UNIVERSITY 无论这些定义从哪个角度关注无论这些定义从哪个角度关注IT治理，但都治理，但都涉及涉及信息系统、技术及信息系统、技术及 连通性、商业活动、法律相关事宜以及所有利益相关者连通性、商业活动、法律相关事宜以及所有利益相关者公司董事、高公司董事、高 级管理人员、业务流程的执

9、行者、级管理人员、业务流程的执行者、IT供应商、供应商、IT的使用者以及审计人员的使用者以及审计人员 等。等。IT治理对象。同时，也是治理对象。同时，也是IT治理审计对象。治理审计对象。IT治理的使命：治理的使命：保持保持IT与业务目标一致，推动业务发展，促使收益最大与业务目标一致，推动业务发展，促使收益最大 化，合理利用化，合理利用IT资源，适当管理与资源，适当管理与IT相关的风险。相关的风险。从本质上讲，从本质上讲，IT治理：治理：是一种制度设计；是一种制度设计；是一种有效机制；是一种有效机制；是一种是一种IT资源的管理和分配；资源的管理和分配；是一种风险管理和控制；是一种风险管理和控制；

10、是一种认识问题；是一种认识问题；是一个过程。是一个过程。第二章第二章 IT治理治理NANJING AUDIT UNIVERSITY二、二、IT治理与治理与IT管理、公司治理的关系管理、公司治理的关系 1、IT治理与治理与IT管理的关系。主要体现在：管理的关系。主要体现在：（1）IT治理是指最高管理层（董事会）利用它来监督管理层在治理是指最高管理层（董事会）利用它来监督管理层在IT战战 略上的过程、结构和联系，以确保这种运营处于正确的轨道之上。略上的过程、结构和联系，以确保这种运营处于正确的轨道之上。IT管理是公司的信息及信息系统的运营，确定管理是公司的信息及信息系统的运营，确定IT目标以及实现

11、目标以及实现 此目标所采取的行动；此目标所采取的行动；（2）IT治理与治理与IT管理的关系，是指导关系，即先与后，上与下的关系。管理的关系，是指导关系，即先与后，上与下的关系。（3）IT治理强调构建良好的管理环境，而治理强调构建良好的管理环境，而IT管理强调对管理强调对IT资源的运营。资源的运营。第二章第二章 IT治理治理NANJING AUDIT UNIVERSITY 2、IT治理与公司治理的关系治理与公司治理的关系 公司治理：公司治理：是一种对公司管理和运营进行监督和控制的体系。它不仅是一种对公司管理和运营进行监督和控制的体系。它不仅 规定了公司的各个参与者，而且明确了决策公司事务时所应遵

12、循规定了公司的各个参与者，而且明确了决策公司事务时所应遵循 的规则和程序。的规则和程序。公司治理直接影响企业的经营和发展，如：公司治理直接影响企业的经营和发展，如：安然、世界通信，等事件安然、世界通信，等事件 第二章第二章 IT治理治理 完善的公司治理结构的保障：完善的公司治理结构的保障：有效的内部控制。有效的内部控制。公司治理所要解决的问题：公司治理所要解决的问题：如何使企业参与各方将各自的要素投入企业并共同实施行为，塑如何使企业参与各方将各自的要素投入企业并共同实施行为，塑 造企业的核心能力、获取竞争优势并获得收益；造企业的核心能力、获取竞争优势并获得收益；如何协调这一过程中各方的利益和责

13、任，以便更有利于企业核心如何协调这一过程中各方的利益和责任，以便更有利于企业核心 能力的塑造、维护和发挥作用能力的塑造、维护和发挥作用 NANJING AUDIT UNIVERSITY 其中涉及要素：其中涉及要素：IT资源资源 由此涉及：由此涉及：IT治理问题治理问题 IT治理与公司治理的关系：治理与公司治理的关系：公司治理和公司治理和IT治理都是市场治理都是市场 (含政府含政府)他律的机制，是如何他律的机制，是如何“管好管理者管好管理者”的机制，其目标也是一致的：达到业务永续运营，并增加组织的长的机制，其目标也是一致的：达到业务永续运营，并增加组织的长 期获利机会。期获利机会。公司治理驱动和

14、调整公司治理驱动和调整IT治理；治理；IT影响企业的战略竞争机遇。影响企业的战略竞争机遇。公司治理侧重于企业整体规划；公司治理侧重于企业整体规划；IT治理侧重于企业中信息资源的有效利治理侧重于企业中信息资源的有效利 用和管理。用和管理。处理好处理好IT治治理与公司治理的关系，应解决：理与公司治理的关系，应解决：第二章第二章 IT治理治理NANJING AUDIT UNIVERSITY 1、认识上，要将信息技术不仅视为技术，更是业务认识上，要将信息技术不仅视为技术，更是业务；2、战略上，促进战略上，促进IT战略与公司战略的整合，使战略与公司战略的整合，使IT成为公司战略的中心，成为公司战略的中心

15、，保证公司战略从制订之初就具备竞争力；保证公司战略从制订之初就具备竞争力；3、实施上，通过实施上，通过IT治理，主要从风险回避方面保证公司治理的落实。治理，主要从风险回避方面保证公司治理的落实。第二章第二章 IT治理治理 第二节第二节 IT治理的目标和范围治理的目标和范围 一、一、IT治理的目标治理的目标 NANJING AUDIT UNIVERSITY IT治理应着眼于以下目标：治理应着眼于以下目标：1、与业务目标一致与业务目标一致 原则：原则：服从于企业战略，不能背离服从于企业战略，不能背离 2、有效利用信息资源有效利用信息资源 IT治理的使命：治理的使命：通过及时、有效的通过及时、有效的

16、IT治理，促进信息的价值转化治理，促进信息的价值转化 3、风险管理风险管理 通过通过IT治理：治理：构建风险管理制度及风险应对决策；构建风险管理制度及风险应对决策；使风险透明化；使风险透明化；有效的风险投资、管理和控制；有效的风险投资、管理和控制；风险的防范措施。风险的防范措施。实现：实现：平衡信息技术与过程的风险，确保组织目标的实现平衡信息技术与过程的风险，确保组织目标的实现 第二章第二章 IT治理治理NANJING AUDIT UNIVERSITY 案例：如何根据企业战略制定案例：如何根据企业战略制定IT战略战略 某物流配送公司的发展战略框架如下图：某物流配送公司的发展战略框架如下图：远景

17、：远景：致力于成为国内精致力于成为国内精益物流的先锋益物流的先锋使命：使命：建立国家级的物流配送建立国家级的物流配送基地，以便捷客户为己任基地，以便捷客户为己任价值观：价值观：以人为本，追求卓越，以人为本，追求卓越，责任为先责任为先总体战略目标：总体战略目标：解决企业长期存在的物流管理分散、库存难于控制、订单汇总滞解决企业长期存在的物流管理分散、库存难于控制、订单汇总滞后等方面的悬而未决的难题，推动商务，实现企业价值最大化后等方面的悬而未决的难题，推动商务，实现企业价值最大化第二章第二章 IT治理治理NANJING AUDIT UNIVERSITY 根据该公司的发展战略框架确定需重点解决的问题

18、：根据该公司的发展战略框架确定需重点解决的问题：(1)集成物流分散点，降低营运成本与费用；集成物流分散点，降低营运成本与费用；(2)建立库存控制机制与准则，避免内部控制和监管的失灵；建立库存控制机制与准则，避免内部控制和监管的失灵；(3)集成和标准化订单业务流程；集成和标准化订单业务流程；(4)建立追究责任制，完善安全管理；建立追究责任制，完善安全管理；(5)推动商务运作，加强对外合作与联盟；推动商务运作，加强对外合作与联盟；(6)满足现有客户，扩展新客户；满足现有客户，扩展新客户；(7)完善货款追踪到位机制。完善货款追踪到位机制。第二章第二章 IT治理治理NANJING AUDIT UNIV

19、ERSITY 根据目标和问题，确定根据目标和问题，确定IT建设内容，即建设内容，即IT战略目标：战略目标：(1)联网各分散物流点的执行系统，由总部统一监控与管理；联网各分散物流点的执行系统，由总部统一监控与管理；(2)构建构建JIT配送平台，确保零库存；配送平台，确保零库存；(3)采用物流执行系统，从而组成完整的订单，并持续改进客户的响应速采用物流执行系统，从而组成完整的订单，并持续改进客户的响应速 度，同时，该系统可以帮助客户将订单转变成可以发运的品项，从而度，同时，该系统可以帮助客户将订单转变成可以发运的品项，从而 降低运输费用；降低运输费用；(4)完善客户订单与发货品的追踪系统，使客户能

20、够及时获取货项信息；完善客户订单与发货品的追踪系统，使客户能够及时获取货项信息；(5)建立电子商务平台，通过网络实现配送外协等合作，提高与供应商、建立电子商务平台，通过网络实现配送外协等合作，提高与供应商、政府部门之间配合的效率政府部门之间配合的效率;(6)建立客户关系管理系统，通过建立客户关系管理系统，通过Web网站、网站、E-Mail系统、呼叫中心、自系统、呼叫中心、自 动传真回复系统等，向客户提供动传真回复系统等，向客户提供365天天24小时的不间断服务；小时的不间断服务；(7)搭建财务管理系统，保证财务部门及所有受支持的部门都能获得精、搭建财务管理系统，保证财务部门及所有受支持的部门都

21、能获得精、快的财务信息，以便有效地进行业务决策及监控现金的收支情况。快的财务信息，以便有效地进行业务决策及监控现金的收支情况。根据以上所确定的根据以上所确定的IT建设内容，并形成了该公司的建设内容，并形成了该公司的IT蓝图（见图）蓝图（见图）第二章第二章 IT治理治理NANJING AUDIT UNIVERSITY发货品管理发货品管理成本管理成本管理 安全管理安全管理 订单管理订单管理 配送管理配送管理 客户管理客户管理反向物流管理反向物流管理 第三方管理第三方管理 呼叫中心呼叫中心 市场分析市场分析 人人力力资资源源管管理理、财财务务管管理理协协同同办办公公平平台台管管理理第二章第二章 IT

22、治理治理NANJING AUDIT UNIVERSITY 二、二、IT治理的范围治理的范围 IT治理范围可从不同角度划分：治理范围可从不同角度划分：1、从治理的组织范围看：、从治理的组织范围看：覆盖企业全部范围，包括最高管理层、执行管覆盖企业全部范围，包括最高管理层、执行管 理层，乃至虚拟组织、战略联盟，等理层，乃至虚拟组织、战略联盟，等 2、从治理的内容范围看：、从治理的内容范围看：包括治理目标、治理结构、组织的整体战略、包括治理目标、治理结构、组织的整体战略、组织运营管理、风险与价值、成本与控制、审计与监督、服务组织运营管理、风险与价值、成本与控制、审计与监督、服务 标准和规范等方面的内容

23、。标准和规范等方面的内容。第二章第二章 IT治理治理NANJING AUDIT UNIVERSITY 第三节第三节 IT治理的关键问题治理的关键问题 一、一、IT治理的关键问题治理的关键问题 IT治理的关键问题表现在：治理的关键问题表现在：1、IT投资是否与企业经营在战略目标投资是否与企业经营在战略目标(Strategy)，策略，策略(Tactic)和运和运 营营(即即operation)层面相融合，从而构筑必要的核心竞争力；层面相融合，从而构筑必要的核心竞争力；2、IT治理是否有助于合理的制度安排真正发挥其作用；治理是否有助于合理的制度安排真正发挥其作用；3、在长期的在长期的IT应用中，是否

24、持续地创造商业价值；应用中，是否持续地创造商业价值；4、是否有有效的风险管理机制。是否有有效的风险管理机制。其中最关键的问题是第一点：其中最关键的问题是第一点：IT治理应体现以治理应体现以“组织战略目标为中心组织战略目标为中心”思想。思想。第二章第二章 IT治理治理NANJING AUDIT UNIVERSITY 搞好搞好IT治理必须解决的问题：治理必须解决的问题：1、IT关键领域谁做决策和如何决策。关键领域谁做决策和如何决策。5个个IT关键领域：关键领域：A、信息技术原则；信息技术原则；B、信息技术结构；信息技术结构；C、信息技术基础设施；信息技术基础设施；D、企业应用需要；企业应用需要；E

25、、信息技术投资及优先顺序。信息技术投资及优先顺序。2、信息化中的责、权、利问题；信息化中的责、权、利问题；3、信息化建设中的风险评估和绩效评价问题；信息化建设中的风险评估和绩效评价问题；4、信息系统控制与信息技术管理体系问题。信息系统控制与信息技术管理体系问题。第二章第二章 IT治理治理NANJING AUDIT UNIVERSITY 信息化建设中的风险管理及评估流程：信息化建设中的风险管理及评估流程：1)确立可承受的确立可承受的IT风险损失价值；风险损失价值；2)IT风险识别；（风险识别；（列举清单法、专家判断法、工作分解分析法、信息检索列举清单法、专家判断法、工作分解分析法、信息检索 法、

26、访谈法、流程图和鱼刺图法）法、访谈法、流程图和鱼刺图法）3)IT风险预测；风险预测；4)IT风险日常管理与控制；风险日常管理与控制；5)IT盈利与损失统计；盈利与损失统计；6)风险再评级。风险再评级。第二章第二章 IT治理治理 绩效评价方法（业绩衡量）绩效评价方法（业绩衡量）IT平衡计分卡法。主要从以下平衡计分卡法。主要从以下几个方面衡量：几个方面衡量：(1)IT价值贡献；价值贡献；(2)客户满意度；客户满意度；(3)内部处理过程；内部处理过程；(4)学习与创新。学习与创新。NANJING AUDIT UNIVERSITY (1)IT价值贡献：价值贡献：主要用于评价主要用于评价IT投资对企业的

27、价值综合影响，投资对企业的价值综合影响，IT是否满足企业的战略需是否满足企业的战略需 要以及是否支付预期的财务收益，评价要以及是否支付预期的财务收益，评价IT价值贡献度的时候，需要考价值贡献度的时候，需要考 虑以下问题：虑以下问题：?IT战略和组织战略需要集成的程度；战略和组织战略需要集成的程度；?整体整体IT组合如何很好地进行管理；组合如何很好地进行管理；?IT花费是否与预期指出集成；花费是否与预期指出集成；?最大化业务价值和最大化业务价值和IT成本成本效益。效益。第二章第二章 IT治理治理 (2)客户满意度；客户满意度；主要从用户的视角评价主要从用户的视角评价IT提供的服务与支持在满足用户

28、方面达到的水提供的服务与支持在满足用户方面达到的水 平。在评估平。在评估IT对客户满意度的影响的时候，需要考虑如下问题：对客户满意度的影响的时候，需要考虑如下问题：?业务单元与业务单元与IT人员是否很好地集成到信息系统开发与获取的项目中；人员是否很好地集成到信息系统开发与获取的项目中；?客户对支付的客户对支付的IT产品与服务是否满意；产品与服务是否满意；?用户对用户对IT应用的接收和掌握情况。应用的接收和掌握情况。NANJING AUDIT UNIVERSITY (3)内部处理过程内部处理过程 IT内部过程关注内部过程关注IT部门部门 两个基本过程的改进和度量：系统开发过程以及两个基本过程的改

29、进和度量：系统开发过程以及 系统运营过程，此外也关注其他过程，如问题管理、用户教育、人员管系统运营过程，此外也关注其他过程，如问题管理、用户教育、人员管 理、通信渠道的使用等。在评价理、通信渠道的使用等。在评价IT内部过程，主要考虑以下问题：内部过程，主要考虑以下问题：?交付的产品质量是否符合通用标准；交付的产品质量是否符合通用标准；?交付的产品是否使用可普遍接受的方法与工具；交付的产品是否使用可普遍接受的方法与工具；?用于支持主要过程改进的用于支持主要过程改进的IT资源是否充分；资源是否充分；?基础设施是否为业务需要提供了可靠支持；基础设施是否为业务需要提供了可靠支持；?企业企业IT基础设施

30、是否得到维护。基础设施是否得到维护。第二章第二章 IT治理治理 (4)学习与创新学习与创新 主要用于评价主要用于评价IT组织的技能水平以及持续学习和革新的能力。在评价组织的技能水平以及持续学习和革新的能力。在评价IT 学习与革新能力的时候，主要考虑以下问题：学习与革新能力的时候，主要考虑以下问题：?是否有正确的技能与人员来保证质量；是否有正确的技能与人员来保证质量；?是否追踪对企业业务发展有重要意义的新技术的方向；是否追踪对企业业务发展有重要意义的新技术的方向；?是否使用认可的方法来构建与管理是否使用认可的方法来构建与管理IT项目；项目；?是否为员工提供适当的工具、培训、执行任务的动机。是否为

31、员工提供适当的工具、培训、执行任务的动机。NANJING AUDIT UNIVERSITY 二、二、IT治理缺失的症状治理缺失的症状 1、各自为政，缺乏统一、全局的各自为政，缺乏统一、全局的IT战略规划；战略规划；2、信息化建设领导者错位，信息化建设领导者错位，IT应用方案和企业业务需求之间逻辑错位；应用方案和企业业务需求之间逻辑错位；3、决策的技术经济论证不足；决策的技术经济论证不足；4、信息资源的合理应用是信息化的薄弱环节；信息资源的合理应用是信息化的薄弱环节；5、利益冲突和信息的不透明；利益冲突和信息的不透明；6、IT安全治理和风险管理缺位；安全治理和风险管理缺位；7、非技术性的障碍；非

32、技术性的障碍；8、重硬件购买，轻软件和咨询服务；重硬件购买，轻软件和咨询服务；9、信息化建设找不到重心。信息化建设找不到重心。第二章第二章 IT治理治理NANJING AUDIT UNIVERSITY 建立有效的建立有效的IT治理需从治理需从5个领域进行：个领域进行：1、IT战略一致性；战略一致性；2、IT价值交付；价值交付；3、IT资源管理；资源管理；4、IT风险管理；风险管理；5、IT性能评价。性能评价。第二章第二章 IT治理治理 第四节第四节 IT治理框架和标准治理框架和标准 一、一、IT治理框架治理框架 构建构建IT治理架购包含三个方面治理架购包含三个方面:组织机构、流程、沟通机制组织

33、机构、流程、沟通机制 NANJING AUDIT UNIVERSITY 1、组织结构。由谁负责决策，组织结构的形式如何？组织结构中各成组织结构。由谁负责决策，组织结构的形式如何？组织结构中各成 员的责任分别是什么？员的责任分别是什么？第二章第二章 IT治理治理 （1）IT治理最高管理层治理最高管理层(董事会董事会)：IT战略的总体制定与决策者，负责战略的总体制定与决策者，负责 指引信息化的方向与战略制定指引信息化的方向与战略制定，平衡支持企业和使企业成长的投，平衡支持企业和使企业成长的投 资。资。（2）IT治理委员会。治理委员会。向董事会负责，解决设计标准的问题，负责确向董事会负责，解决设计标

34、准的问题，负责确 立立IT战略方向，决定和建立资金杠杆，批准所有主要的发展项战略方向，决定和建立资金杠杆，批准所有主要的发展项 目并监督结果。目并监督结果。IT治理委员会责任：治理委员会责任：(1)政策制定；政策制定；(2)控制控制(预算通过，项目权预算通过，项目权 威，绩效评价威，绩效评价)；(3)绩效度量和报告。绩效度量和报告。NANJING AUDIT UNIVERSITY （3）CIO。CIO岗位的职责岗位的职责:发起制定、组织完成企业发起制定、组织完成企业IT战略规划战略规划;开发企业应用，协调企业和部门的应用开发开发企业应用，协调企业和部门的应用开发;保障保障IT基础设施和基础设施

35、和 体系架构的运行及投资体系架构的运行及投资;决定决定IT服务和技能服务；服务和技能服务；建立关键的建立关键的IT 供应商和咨询顾问间的战略伙伴关系；供应商和咨询顾问间的战略伙伴关系；提供技术支持使企业增加收提供技术支持使企业增加收 入和盈利能力入和盈利能力;维护客户满意度；维护客户满意度；向用户提供培训。向用户提供培训。第二章第二章 IT治理治理 （4）管理者。管理者的职责是：）管理者。管理者的职责是：将将IT风险管理责任和控制落实到企业中；风险管理责任和控制落实到企业中；将战略，策略，目标等落实到企业日常工作中，并使信息技术的组织将战略，策略，目标等落实到企业日常工作中，并使信息技术的组织

36、 与企业目标一致；与企业目标一致；促进信息的创造与共享；促进信息的创造与共享；通过衡量公司业绩和竞通过衡量公司业绩和竞 争优势来测度信息技术的效果争优势来测度信息技术的效果；关注重要的增值的信息技术过程；关注重要的增值的信息技术过程；关注与规划和管理关注与规划和管理IT资产、风险、工程项目、客户和供应商相关的资产、风险、工程项目、客户和供应商相关的 核心竞争能力，等。核心竞争能力，等。NANJING AUDIT UNIVERSITY （5）信息技术人员。）信息技术人员。负责项目的开发与实施；负责项目的开发与实施；负责项目技术指导与实现；负责项目技术指导与实现；负责信息系统的日常运行与维护；负责

37、信息系统的日常运行与维护；为业务部门和管理人员提供技术为业务部门和管理人员提供技术 服务支持。服务支持。第二章第二章 IT治理治理 （6）外部和内部审计人员。）外部和内部审计人员。信息系统的管理、规划与组织评价；信息系统的管理、规划与组织评价；评价组评价组 织在技术与操作基础设施的管理和实施方面的有效性及效率；织在技术与操作基础设施的管理和实施方面的有效性及效率；对逻对逻 辑、环境与信息技术基础设施的安全性进行评价；辑、环境与信息技术基础设施的安全性进行评价；对灾难恢复与业对灾难恢复与业 务持续计划评价；务持续计划评价；对应用系统的开发、获得、实施与维护方面所对应用系统的开发、获得、实施与维护

38、方面所 采用的方法和流程进行评价；采用的方法和流程进行评价；业务流程评价与风险管理评价。业务流程评价与风险管理评价。NANJING AUDIT UNIVERSITY 2、流程。流程。IT投资决策是如何作出的？在决策流程中，投资建议、投资投资决策是如何作出的？在决策流程中，投资建议、投资 评估、批准投资和区分优先级是如何进行的？评估、批准投资和区分优先级是如何进行的？第二章第二章 IT治理治理 3、沟通。这些决策和流程的结果效能如果度量，如何监控风险？又如沟通。这些决策和流程的结果效能如果度量，如何监控风险？又如 何得到沟通？在相关利益者之间投资决策采用何种机制加以沟通？何得到沟通？在相关利益者

39、之间投资决策采用何种机制加以沟通？NANJING AUDIT UNIVERSITY第二章第二章 IT治理治理 二二、IT治理标准治理标准 有关有关IT治理的标准主要有：治理的标准主要有：1、信息及其相关技术的管理体系模型和最佳实务一信息及其相关技术的管理体系模型和最佳实务一COBIT；2、IT基础架构库基础架构库ITIL(Information Technology Infrastructure Library)；3、ISO/IEC17799:2000（信息安全管理实务准则（信息安全管理实务准则 ）4、PRINCE2（有关项目管理支持服务标准）（有关项目管理支持服务标准）5、TICKIT（软件

40、质量管理系统保证标准）；（软件质量管理系统保证标准）；6、NIST80O（公认安防信息技术系统原则和实务）；（公认安防信息技术系统原则和实务）；7、COSO综合性框架；综合性框架；三种较为流行的三种较为流行的IT治理评价方法：治理评价方法：CobIT成熟度模型、成熟度模型、PW方法方法、CBSO法法 NANJING AUDIT UNIVERSITY第二章第二章 IT治理治理NANJING AUDIT UNIVERSITY 三三、COBIT简介：简介：COBIT（信息及相关技术的控制目标），是有关（信息及相关技术的控制目标），是有关IT治理的一个开放标准。治理的一个开放标准。该标准该标准是国际公

41、认的最先进、最权威的安全与信息技术管理和控制的标准。是国际公认的最先进、最权威的安全与信息技术管理和控制的标准。该标准该标准为为IT的治理、安全与控制提供了一个一般适用的公认的标准。的治理、安全与控制提供了一个一般适用的公认的标准。该标准该标准为组织有效的利用信息资源，有效管理、控制与信息相关的风险提为组织有效的利用信息资源，有效管理、控制与信息相关的风险提 供指导。供指导。COBIT将将IT 过程，过程，IT资源及信息与企业的策略与目标联系起来，形成一个资源及信息与企业的策略与目标联系起来，形成一个 三维的体系结构三维的体系结构（参见参见P.52图图）COBIT的体系框架包括四大部分：的体系

42、框架包括四大部分：控制目标、管理指南、审计指南、工具集控制目标、管理指南、审计指南、工具集 （参见参见P.54图图）第二章第二章 IT治理治理NANJING AUDIT UNIVERSITY第二章第二章 IT治理治理NANJING AUDIT UNIVERSITY IT准则维：准则维：反映了企业使用反映了企业使用IT的战略目标的战略目标。标准包括：标准包括：有效性、效率性、机密性、完整性、可用性、一致性、可靠性等有效性、效率性、机密性、完整性、可用性、一致性、可靠性等 IT资源维：资源维：描述了描述了IT治理过程的主要资源对象。治理过程的主要资源对象。对象包括：对象包括：人员、应用系统、技术、

43、设施和数据等人员、应用系统、技术、设施和数据等 IT过程维：过程维：是对信息及相关资源进行规划与处理的过程。是对信息及相关资源进行规划与处理的过程。提供了：提供了：从信息系统生命周期的四大域确定了从信息系统生命周期的四大域确定了34个信息技术处理过程，每个信息技术处理过程，每 个处理过程包括详细的控制目标和与控制目标相联系的审计指南。个处理过程包括详细的控制目标和与控制目标相联系的审计指南。第二章第二章 IT治理治理 四大域：四大域：计划与组织；计划与组织；采集与实施；采集与实施；交付与支持；交付与支持；监控监控 34个信息技术处理过程（从四大域）包括：个信息技术处理过程（从四大域）包括：(参

44、见教材参见教材P.53表）表）计划与组织：计划与组织：定义定义IT战略、定义信息体系结构、确定技术方向、定义战略、定义信息体系结构、确定技术方向、定义IT 组织与关系、管理组织与关系、管理IT投资、管理目标和方向、人力资源管理、确保投资、管理目标和方向、人力资源管理、确保 与外部需求的一致性、风险评估、项目管理、质量管理与外部需求的一致性、风险评估、项目管理、质量管理 NANJING AUDIT UNIVERSITY 采集与实施：采集与实施：确定自动化的解决方案、获取并维护应用程序、获取并维确定自动化的解决方案、获取并维护应用程序、获取并维 护技术基础设施、系统安装与鉴定、变革管理护技术基础设

45、施、系统安装与鉴定、变革管理 交付与支持：交付与支持：定义并管理服务水平、管理第三方的服务、管理性能与容定义并管理服务水平、管理第三方的服务、管理性能与容 量、确保服务的连续性、确保系统安全、确定并分配成本、教育并量、确保服务的连续性、确保系统安全、确定并分配成本、教育并 培训客户、配置管理、处理问题和突发事件、数据管理、设施管理、培训客户、配置管理、处理问题和突发事件、数据管理、设施管理、运营管理运营管理 第二章第二章 IT治理治理 监控：监控：过程监控、评价内部控制的适当性、获取独立保证、提供独立的过程监控、评价内部控制的适当性、获取独立保证、提供独立的 审计审计 控制目标中：控制目标中：

46、计划和组织目标：计划和组织目标：判别哪些判别哪些IT策略最有助于业务目标的实现；应设置何种策略最有助于业务目标的实现；应设置何种 组织结构，建立何种技术基础结构，如何对组织结构，建立何种技术基础结构，如何对IT策略的实现进行计划、策略的实现进行计划、协调与管理。协调与管理。NANJING AUDIT UNIVERSITY 采集和实施目标：采集和实施目标：为了实现为了实现IT战略，如何定义、开发、获取、实施战略，如何定义、开发、获取、实施IT解决解决 方案，并把这一方案集成到业务过程中。如何解决系统的变迁与维护，方案，并把这一方案集成到业务过程中。如何解决系统的变迁与维护，以使系统的生命周期得以

47、延续。以使系统的生命周期得以延续。交付与支持目标：交付与支持目标：如何解决系统交付所需的服务，包括操作安全性、连续如何解决系统交付所需的服务，包括操作安全性、连续 性、人员培训以及需建立的支持过程，还包括实际数据处理，通常按性、人员培训以及需建立的支持过程，还包括实际数据处理，通常按 应用控制进行分类。应用控制进行分类。监控目标：监控目标：评估评估IT过程质量，评估过程质量，评估IT过程与控制需求相符的程度过程与控制需求相符的程度 第二章第二章 IT治理治理NANJING AUDIT UNIVERSITY第二章第二章 IT治理治理 管理指南：管理指南：COBIT给出了：给出了：度量度量IT过程

48、的指标体系、度量的尺度以及度量的基准点过程的指标体系、度量的尺度以及度量的基准点。4个指标：个指标：成熟度模型成熟度模型CMM，以及关键成功因素，以及关键成功因素CSF、关键目标指标、关键目标指标KGI、关键性能指标关键性能指标KPI NANJING AUDIT UNIVERSITY 4个指标简介：个指标简介：1、成熟度模型、成熟度模型CMM 功能：功能：确定确定IT控制的基准。从而认清企业所处的行业地位，如何测定和控制的基准。从而认清企业所处的行业地位，如何测定和 比较比较 2、关键成功因素、关键成功因素CSF 功能：功能：勾画勾画IT控制轮廓。从而描绘重要的、控制的关键成功因素控制轮廓。从

49、而描绘重要的、控制的关键成功因素 3、关键目标指标、关键目标指标KGI 功能：功能：识别识别IT处理过程的目标。从而认识哪些是必须做到的，不能达成处理过程的目标。从而认识哪些是必须做到的，不能达成 目标的风险有哪些目标的风险有哪些 4、关键性能指标、关键性能指标KPI 功能：功能：测定测定IT处理过程的性能。从而评价处理过程的性能。从而评价IT输出和实际绩效，评价处理输出和实际绩效，评价处理 过程执行好坏的程度过程执行好坏的程度 第二章第二章 IT治理治理NANJING AUDIT UNIVERSITY案例案例1：关键成功因素：关键成功因素CSF 1、IT治理活动与公司治理相结合，并有公司领导

50、的参与；治理活动与公司治理相结合，并有公司领导的参与；2、IT治理专注于公司目标、战略，使用技术提高业务水平，及满足业务治理专注于公司目标、战略，使用技术提高业务水平，及满足业务 需求的足够可用的资源和能力；需求的足够可用的资源和能力；3、IT治理活动应该目标明确，制度规范和实施有效，并落实到人；治理活动应该目标明确，制度规范和实施有效，并落实到人；4、实施最佳管理实践以提高资源的有效利用，提供实施最佳管理实践以提高资源的有效利用，提供IT过程的效率；过程的效率；5、建立组织以充分监督，根据标准程序评估风险，及监督和追究控制缺建立组织以充分监督，根据标准程序评估风险，及监督和追究控制缺 陷和风