1、集团企业的集团企业的ITIT治理治理内容、工具与实例内容、工具与实例主要内容1.IT治理是什么2.为什么要做IT治理3.IT治理的五大关键IT决策问题(治理对象)4.IT治理机制(治理手段)5.企业如何实施IT治理1.IT治理的本质IT治理属于公司治理的组成部分,是指导和控制IT资源的结构,关系和过程,通过平衡风险和回报获取IT价值,以实现企业目标。价值实现,风险控制是IT治理的两个核心。打个比方来说:“管理”相当于列车行驶时怎么开快火车;“治理治理”则是规定谁来做决策、铺设怎样轨道,谁来和怎么约束火车在轨道内安全行驶因此,虽然是硬币的两面,但是治理却更具统筹效应。2 为什么要IT治理2005
2、年,麻省理工CISR研究中心与Gallup咨询机构合作,Ross 和Weill教授通过实证研究表明IT治理有助于企业获取高IT投资回报,好的IT治理模式可为企业增加20%以上的利润利润2010年4月2日,2010年中国企业信息化指数调研报告显示中国企业IT治理普遍欠佳。尤其IT规划、IT制度体系和IT评估缺失现象严重IT治理缺失的八大症状:一是缺乏IT建设整体规划、执行随意性较强,标准化和规范化等基础工作不到位,导致出现大量信息孤岛,使公司面临繁重的系统整合工作;二是业务部门与技术部门经常出现“两张皮”现象,使到沟通交流困难;三是IT预算缺乏完整性,计划外项目过多;四是项目投资出现失误或投资回
3、报不高;五是项目管理缺乏控制手段,项目延期交付时有发生;六是IT事故责任不清,技术部门承担责任过大;七是一些IT系统建成后没人进行后续跟踪运维、推广和使用;八是缺少IT审计环节,不清楚IT价值何在,认为IT只是工具,缺乏约束机制。为什么要做IT治理-两大直接驱动力价值-提高企业信息化成熟度 +支撑企业战略风险-IT过程控制 +外部合规价值提升与风险控制:价值提升与风险控制:ITIT治理的最终目标治理的最终目标 IT治理整体框架体系典型的IT治理主体:董事会与执行层 业务部门管理者IT部门管理人员治理目标治理组织结构治理流程治理关系机制 治理机制治理对象合 规绩 效实现战略IT投资IT基础设施I
4、T应用IT架构IT原则I T决策权安排IT投资的分类:把信息技术投资分为四类资产,分别是:交易流程信息管理流程战略性开发或创新基础架构任何一项IT投资都可能是这四类资产的任何组合。IT治理的五大对象:1.我们应当花多少钱?2 哪些业务流程应当获得资金?3 哪些IT能力应当面向整个公司?4 IT服务要有多好?5.谁来承担责任IT治理五大对象间关系ITIT原则的决策原则的决策高层关于企业如何使用IT的陈述ITIT架构决策架构决策组织从一系列政策、关系以及技术选择中捕获的数据、应用和基础设施的逻辑,以达到预期的商业、技术的标准化和一体化ITIT基础设施决策基础设施决策集中协调、共享IT服务可以给企业
5、的IT能力提供基础ITIT投资和优先顺序决策投资和优先顺序决策关于应该在IT的那些方面投资以及投资多少的决策。包括项目的审批和论证技术业务应用需求决策业务应用需求决策为购买或内部开发IT应用确定业务需求2 IT治理机制IT决策权力部署方式 决策决策原型原型ITIT原则原则ITIT架构架构ITIT基础设施战略基础设施战略业务应用需求业务应用需求ITIT投资投资输入输入决策决策输入输入决策决策输入输入决策决策输入输入决策决策输入输入决策决策高级业务主管高级业务主管负责制负责制高级高级IT主管负主管负责制责制业务部门负责业务部门负责制制总部与业务部总部与业务部门共同负责制门共同负责制ITIT与业务部
6、门与业务部门负责制负责制建立健全IT流程管控体系-IT治理机制典型IT治理机制治理结构S1IT战略委员会S2IT安全委员会S3IT指导委员会S4CIO直接向CEO负责S5CIO在执行层中的地位治理流程P1IT战略规划P2IT绩效管理流程(平衡积分卡)P3项目组合管理P4IT预算管理P5IT项目治理与跟踪沟通机制R1IT领导力R2业务/IT关系经理R3委员会正式会议实现IT治理的工具/方法信息系统审计的诞生 1在美国、日本、英国、加拿大等发达国家,信息系统审计已经发展到相当程度,信息系统审计的理念也已深入人心。从国外ISA发展历史来看,它是与企业信息化的过程紧密联系的,是企业信息化的必然要求。1
7、954 60 1954 60年代年代 7070年代年代 8080年代年代 9090年代年代 信息的收集、处理、传递和存储都是由人来完成计算机出现之前对计算机有初步认识计算机应用蔓延信息系统在企业普及集成信息系统,MRP,MRPII应用在财务,库存,统计方面会计电算化出现计算机欺诈舞弊事件出现财务数据的采集是由整个信息系统实时完成 信息系统网络化,大型化电子数据处理审计1969年,电子数据处理审计师协会(EDPAA)在美国洛杉矾成立 完全手工审计手工审计 +纸质文档审计开始重视对信息系统的审计信息系统审计师成为职业1994年,EDPAA更名为信息系统审计与控制协会(ISACA)信息系统成为企业重
8、要资产 如何确保网络平台上的信息系统的安全、可靠和有效变得越来越重要。信息系统审计的诞生 1 信息系统审计信息系统审计信息系统信息系统/技术技术信息技术作为企业发展的“银弹”,投资额度不断加大,投资失败的风险日渐成了企业难以承受之重 信息系统成为企业运作,甚至是赖以生存的基础,其安全、稳定和可靠性需要得以保障审计审计审计面临的环境发生变化,信息系统是很多被审单位内部管理与控制的关键工具,审计的内容和重点发生变化。ISA审计成为控制审计风险的必然要求(假电子数据真审?)“逐步开展对关系国计民生的重大行业、部门的联网审计和信息系统审计,全面提高计算机应用水平”+引自:审计署2006至2010年审计
9、工作发展规划信息系统审计是我国审计发展的新路径 1 信息化时代,我国的信息系统审计具备极大的需求和迫切性:信息系统审计被列入“金审工程”二期的试点范围(2007.5,审计署信息系统审计研讨会)信息系统审计成为审计署2008年度重大研究课题之一。审计署信息系统审计培训开班(2008.5.28)审计署提出要基本形成符合中国国情的信息系统审计的理论和方法。(中国审计报)部分审计机关将2008年作为信息系统审计的探索之年。(中国审计报)相关部门正在积极酝酿并研究制定信息系统审计准则和指南但是“我们的信息系统审计仍处于探索阶段”(石爱中语)COSO框架COSOERM框架和1992年的COSO报告一样,也
10、主要在“控制活动”和“信息沟通”中对IT控制做出相关规定。但是因为时隔12年,信息技术已经有翻天覆地的变化,所以该框架在技术上对IT控制(包括一般控制和应用控制)作了更为广泛、科学的描述。控制活动,指为确保风险管理策略有效执行而制定的制度和程序,包括核准、授权、验证、调整、复核、定期盘点、记录核对、职能分工、资产保全、绩效考核等。信息沟通,指产生服务于规划、执行、监督等管理活动的信息并适时向使用者提供的过程。COBITITIL服务支持流程事故管理 问题管理变更管理 版本管理 配置管理服务提供流程可用性管理 能力管理财务管理 连续性管理 服务水平管理ITIL流程间的关联ISO27001标准ISO
11、27001标准不是一个技术性的信息安全操作手册,而一个通用的信息安全管理指南。它提出 了11个安全要素,39个控制目标和133种控制措施。ISO17799中的11个要素分别是:安全策略(Security policy);信息安全组织(Organization of information security);资产管理(Asset management);人力资源安全(Human resource security);物理和环境安全(Physical and environmental security);通信和操作管理(Communication and operation managemen
12、t);访问控制(Access control);信息系统获取、开发和维护(Information systems acquisition,development and maintenance);信息安全事件管理(Information security incident management);业务连续性管理(Business continuity management);符合性(Compliance)。5.企业如何实施IT治理-16字方针整体规划,分步实施,关注试点,持续优化-Think big,do small,Do big5.企业如何实施IT治理-16字方针整体规划,分步实施,关注试点
13、,持续优化-Think big,do small,Do big5.企业如何实施IT治理-16字方针整体规划,分步实施,关注试点,持续优化-Think big,do small,Do big5.企业如何实施IT治理-16字方针整体规划,分步实施,关注试点,持续优化-Think big,do small,Do big外部合规要求:1.中央企业全面风险管理指引2.2.国资委信息化水平评价国资委信息化水平评价3.3.企业内部控制基本规范企业内部控制基本规范4.4.上海证券交易所上市公司内部控制指引上海证券交易所上市公司内部控制指引5.美国SOX法案合规6.施工总承包企业特级资质标准国资委信息化水平评价
14、-合规2企业内部控制应用指引内部控制应用指引中的计算机信息系统具体规范则提出:企业在建立并实施计算机信息系统内部控制制度中,至少应当强化对以下关键方面或者关键环节的风险控制,并采取相应的控制措施:(一)权责分配和职责分工应当明确,重大信息系统事项应履行审批程序;(二)信息系统开发、变更和维护流程应当清晰,授权审批程序应当明确;(三)信息系统应当建立访问安全制度,操作权限、信息使用、信息管理应当有明确规定;(四)硬件管理事项和审批程序应当科学合理;(五)会计电算化流程应当规范,会计电算化操作管理、硬件、软件和数据管理、会计电算化档案管理和会计电算化账务处理等制度应当完善。上海证券交易所上市公司内
15、部控制指引上海证券交易所上市公司内部控制指引-合规合规4 4第四条第四条 公司董事会对公司内控制度的建立健全、有效实施及其检查监督负责,董事会及其全体成员应保证内部控制相关信息披露内容的真实、准确、完整。第十条第十条 公司使用计算机信息系统的,还应制定信息管理的内控制度。信息管理的内控制度至少应涵盖下列内容:(一)信息处理部门与使用部门权责的划分;(二)信息处理部门的功能及职责划分(三)系统开发及程序修改的控制;(四)程序及资料的存取、数据处理的控制;(五)档案、设备、信息的安全控制;IT治理成熟度诊断成熟度诊断的六个方面:IT权责体系IT战略IT投资IT运维服务风险与合规IT人力资源成熟度模
16、型的使用成熟度提供了一种简单实用的管理工具,组织可以用于评估现状,了解自身目前所处的地位,行业标杆和国际最佳实践的水平。根据企业现状和行业标杆、国际最佳实践对比找出未来改进的方向,结合业务需求,将主要精力投入到关键的管理领域。成熟度模型等级有助于向管理层清晰地展示IT管理存在的缺陷,将组织的管理水平与国际最佳实践相对照,从而确定组织的发展目标。服务台制定了制度文档。有Remedy和联友自己开发的服务平台支撑。有效回访率56。呼损率指标目前由花都电信提供,不准确。事件管理制定了事件管理流程和制度,并对故障进行分级。事件主要由人工触发。没有从监控设备直接触发的事件。问题管理没有明确的问题管理流程。
17、有与IS部举行例会解决问题的机制;有重大故障详细报告。没有主动分析事件、触发问题的机制。配置管理配置库中对配置信息的分类层次清楚。配置管理的工具(remedy)支撑配置管理。配置管理信息较基础。变更管理变更的申请、审批、测试、实施流程完备。紧急变更流程未见相关文件。服务级别管理有完善的服务级别管理,并分解到服务目录。针对不同的服务级别,有相应的控制措施。定期为DFL提供服务报告。评估得分评估得分联友联友上海大众上海大众长安信息长安信息工商银行工商银行服务台4435事件管理3435问题管理3422配置管理2323变更管理3323服务级别管理4323一级指标及权重一级指标及权重二级指标二级指标服务
18、管理服务管理运维运维标杆比较标杆比较三级指标及权重三级指标及权重运运维维服服务务管管理理012345服务台事件管理问题管理配置管理变更管理服务级别管理联友上海大众长安信息工商银行示例网络设备、系统一线人员上岗前参加相关技术培训。缺乏统一的网络、应用监控平台。已制定部分操作流程,未形成完整体系。数据中心武汉机房管理较完善,十堰较为混乱。运维人员对双机、均衡、灾难恢复等技术掌握不熟练。缺乏事件应急方案。设备维护运维工程师具备系统硬软件维护的基本技能。同客户的沟通存在一定的问题。数据库一线工程师定期对数据库进行备份和性能监控的工作。二线运维SE定期对系统进行评估和性能优化;同原厂商建立密切的联系,经
19、常参加原厂商的技术培训。评估得分评估得分东浦东浦中国网通中国网通中兴通信中兴通信网络设备、系统354数据中心354设备维护444数据库445一级指标及权重一级指标及权重运维运维标杆比较标杆比较技术管理技术管理二级指标二级指标三级指标及权重三级指标及权重运维技术管理运维技术管理012345网络设备、系统数据中心设备维护数据库东浦中国网通中兴通信示例评评估估得得分分东东浦浦上上海海宝宝信信一一汽汽启启明明中中兴兴通通信信信息安全战略与策略3223组织的安全2324资产管理2223人力资源安全2224物理和环境安全2333通信和操作管理3334访问控制4434系统开发、获取与维护3344信息安全事件
20、管理4344灾难恢复计划2223符合性4444一一级级指指标标及及权权重重标标杆杆比比较较运运维维信信息息安安全全管管理理二二级级指指标标三三级级指指标标及及权权重重信息安全战略与策略缺乏明确的信息安全体系策略文件组织的安全没有公司层面的安全组织;与第三方保持着良好的联系资产管理有资产清单,但资产罗 列不全;信息分类不够细致人力资源安全没有对入职员工进行信息安全背景调查,但签署了保密协议;信息安全培训较薄弱;离职时,缺乏撤销访问权限的流程物理和环境安全基本符合国家机房安全相关规定,但十堰机房需加强管理信息和操作管理网络安全方面部署了较成熟的防护技术,但缺乏备份记录,移动介质的管理与销毁流程访问
21、控制在用户访问管理、网络访问控制、操作系统访问控制、应用系统访问控制和远程工作方面具备了一定的权限管理办法系统开发、获取与维护系统开发具备较完善的预防措施,但系统的测试数据没有明确的保护措施。变更管理缺乏执行力信息安全事件管理信息安全事件管理能满足业务需求,但管理流程还可进一步优化灾难恢复具有冗余及预案流程,缺乏业务影响分析和风险评估,及意思培训不到位符合性遵守公司既定的各项策略运维信息安全管理运维信息安全管理01234信息安全战略与策略组织的安全资产管理人力资源安全物理和环境安全通信和操作管理访问控制系统开发、获取与维护信息安全事件管理灾难恢复计划符合性东浦上海宝信一汽启明中兴通信IT人力资
22、源总计针对DFL总计针对DFL总计针对DFL总计针对DFL总计针对DFL10050605010510402570105项 目 管理人员33质 量 管理人员21853222205183223222其他合计备注销售人员综合管理人员咨询人员翻译人员软件开发人员系统集成人员运维人员技术管理十堰襄樊深圳花都武汉地域领域项 目经 理分 析设 计软 件开 发测 试实 施项 目经 理设 计实 施桌 面网 络系 统应 用5年 以 上15201558335010873 5年1015203313106553年 以 下253510410423合 计27407018154670201515备 注运 维 项 目技 术 经
23、 验(人)工 作经 验软 件 开 发 项 目系 统 集 成 项 目人力资源地域分布情况人力资源地域分布情况技术经验分布情况技术经验分布情况辞 职 分 类比 例3年 以 上 经 验 06年 辞 职03年 以 下 经 验 06年 辞 职1%备 注流动情况流动情况示例ITIL/ISO2000桌面网络系统数据库业务能力和开发运维15010050403040CMMI流程开发工具 测试工具 数据库开发150502040ISO27001意识教育网络安全(路由器、防火墙)信息安全3030领导力评价项目管理管理者培训1030培训预算备注公司在2006年培训预算为:100 万元,占公司收入%。绩效评价203010
24、0业务培训(人次)培训情况培训情况工作经验5年以上35年3年以下合计备注以前在东风体系的工作经验(人)人数606020140示例IT治理目标-价值提升,风险控制示例IT治理框架蓝图示例IT治理实施计划供应商门户信息化规划/运营管理网络平台扩展推广为公司统一信息平台核心 产品规划/协同研发管理网络平台搭建及优化信息收集、研发项目管理财务/跟单/质量管理应用优化及推广时间20072008网络通讯产品研发管理企业资源计划主要办公流程电子化知识管理情报管理电子邮件办公自动化IT系统管理、安全管理系统层面应用层面管理层面宣传培训、知识管理、应用推广系统管理员工发展人事行政管理人力资源管理决策支持 应用拓展BI建设员工门户客户门户企业门户200920102011优化客户信息机会服务管理客户关系管理 示 例持续改进,不断提升IT治理成熟度
