I治理的目标与范围

第二章IT治理

第一节IT治理概述两个例子:1、2002年5月29日上午８时３０分左右，南京火车站电脑售票系统突然发生死机故障，整个车站售票处于瘫痪状态，车站售票大厅内人满为患，众多旅客不得不改乘其它交通工具离开南京。车站领导和计算机技术人员告诉记者是由于电脑升级换代，调试时线路发生故障，才引发了此次系统瘫痪的。

2、9月5日广东省工行因系统故障，全线停业一个半小时。

这两个例子说明什么？

IT是技术，是资源，是服务，更是成本企业需要将IT应用于业务领域，通常需要提出以下问题：企业所需要的IT服务是什么？这些IT服务需要多少成本？企业IT应用中的决策机制如何？企业IT应用中的则、权、利如何分配？企业的IT应用应达到什么样的水平？企业如何管理好自己的IT资源？企业如何做好IT的风险管理？

…

所有这些问题都离不开一个概念———IT治理。第二章IT治理

据国外一份统计数据表明企业中IT系统出现故障有几大原因：

1、恶意代码攻击;2、缺乏有效的监控制度和手段;3、IT设备本身的性能问题;4、应用系统/数据本身存在问题;5、员工缺少技能培训;6、不同部门的IT人员之间缺乏协调;7、缺少运营管理方法论的指导;

8、员工不按规足/流程操作。

可以看到在这些原因中都和管理与流程存在很大关系，要做好组织中的IT风险控制和信息安全离不开IT治理。第二章IT治理

一、何谓IT治理？ITgovernance(IT治理)是国际IT领域中的新概念，用于描述企业或政府是否采用有效的机制使IT的应用能够完成组织赋予它的使命,同时,平衡信息技术与过程的风险,确保实现组织的战略目标.

Roberts.Roussey(美国南加州大学教授)定义：(参见教材)

从利益相关者收益角度

德勤(德勤公司)定义:

(参见教材)从内部审计与控制角度

ISACA定义:

(参见教材)从内部审计与控制角度

我国定义:

(参见教材)

第二章IT治理第二章IT治理

从IT的各种定义可总结出有关IT治理的共同点：

1、

IT治理必须与企业战略目标一致；

2、

IT治理管理执行人员和利益相关者的责任（以董事会为代表）；

3、

IT治理保护利益相关者的权益，使风险透明化，指导和控制IT投资、机遇、利益、风险；

4、IT治理包括管理层、组织结构、过程，以确保IT维持和拓展组织战略目标；

5、应该合理利用企业的信息资源，有效地集成与协调；

6、确保IT及时按照目标交付，有合适的功能和期望的收益，是一个一致性和价值传递的基本构建模块，有明确的期望值和衡量手段；

7、引导IT战略平衡系统的投资，支持企业，变革企业，或者创建一个信息基础架构，保证业务增长，并在一个新的领域竞争；

8、对于核心IT资源做出合理的决策，进入新的市场，驱动竞争策略，创造总的收入增长，改善客户满意度，维系客户关系。

无论这些定义从哪个角度关注IT治理，但都涉及信息系统、技术及连通性、商业活动、法律相关事宜以及所有利益相关者—公司董事、高级管理人员、业务流程的执行者、IT供应商、IT的使用者以及审计人员等。———IT治理对象。同时，也是IT治理审计对象。

IT治理的使命：保持IT与业务目标一致，推动业务发展，促使收益最大化，合理利用IT资源，适当管理与IT相关的风险。

从本质上讲，IT治理：

是一种制度设计；是一种有效机制；是一种IT资源的管理和分配；是一种风险管理和控制；是一种认识问题；是一个过程。

第二章IT治理二、IT治理与IT管理、公司治理的关系

1、IT治理与IT管理的关系。主要体现在：（1）IT治理是指最高管理层（董事会）利用它来监督管理层在IT战略上的过程、结构和联系，以确保这种运营处于正确的轨道之上。

IT管理是公司的信息及信息系统的运营，确定IT目标以及实现此目标所采取的行动；（2）IT治理与IT管理的关系，是指导关系，即先与后，上与下的关系。

（3）IT治理强调构建良好的管理环境，而IT管理强调对IT资源的运营。

第二章IT治理2、IT治理与公司治理的关系公司治理：是一种对公司管理和运营进行监督和控制的体系。它不仅规定了公司的各个参与者，而且明确了决策公司事务时所应遵循的规则和程序。

公司治理直接影响企业的经营和发展，如：安然、世界通信，等事件

第二章IT治理

完善的公司治理结构的保障：有效的内部控制。公司治理所要解决的问题：

如何使企业参与各方将各自的要素投入企业并共同实施行为，塑造企业的核心能力、获取竞争优势并获得收益；如何协调这一过程中各方的利益和责任，以便更有利于企业核心能力的塑造、维护和发挥作用

其中涉及要素：IT资源由此涉及：IT治理问题IT治理与公司治理的关系：

公司治理和IT治理都是市场(含政府)他律的机制，是如何“管好管理者”的机制，其目标也是一致的：达到业务永续运营，并增加组织的长期获利机会。公司治理驱动和调整IT治理；IT影响企业的战略竞争机遇。公司治理侧重于企业整体规划；IT治理侧重于企业中信息资源的有效利用和管理。

处理好IT治理与公司治理的关系，应解决：

第二章IT治理1、认识上，要将信息技术不仅视为技术，更是业务；

2、战略上，促进IT战略与公司战略的整合，使IT成为公司战略的中心，保证公司战略从制订之初就具备竞争力；

3、实施上，通过IT治理，主要从风险回避方面保证公司治理的落实。

第二章IT治理

第二节IT治理的目标和范围一、IT治理的目标IT治理应着着眼于以以下目标标：1、与业务目目标一致致原则：服从于企企业战略略，不能能背离2、有效利用用信息资资源IT治理的使使命：通过及时时、有效效的IT治理，促促进信息息的价值值转化3、风险管理理通过IT治理：构建风险险管理制制度及风风险应对对决策；；使风险透透明化；；有效的风风险投资资、管理理和控制制；风险的防防范措施施。实现：平衡信息息技术与与过程的的风险，，确保组组织目标标的实现现第二章IT治理案例：如如何根据据企业战战略制定定IT战略某物流配配送公司司的发展展战略框框架如下下图：远景：致力于成为国内精益物流的先锋使命：建立国家级的物流配送基地，以便捷客户为己任价值观：以人为本，追求卓越，责任为先总体战略目标：解决企业长期存在的物流管理分散、库存难于控制、订单汇总滞后等方面的悬而未决的难题，推动商务，实现企业价值最大化第二章IT治理根据该公公司的发发展战略略框架确确定需重重点解决决的问题题：(1)集成物流流分散点点，降低低营运成成本与费费用；(2)建立库存存控制机机制与准准则，避避免内部部控制和和监管的的失灵；；(3)集成和标标准化订订单业务务流程；；(4)建立追究究责任制制，完善善安全管管理；(5)推动商务务运作，，加强对对外合作作与联盟盟；(6)满足现有有客户，，扩展新新客户；；(7)完善货款款追踪到到位机制制。第二章IT治理根据目标标和问题题，确定定IT建设内容容，即IT战略目标标：(1)联网各分分散物流流点的执执行系统统，由总总部统一一监控与与管理；；(2)构建JIT配送平台台，确保保零库存存；(3)采用物流流执行系系统，从从而组成成完整的的订单，，并持续续改进客客户的响响应速度，同时时，该系系统可以以帮助客客户将订订单转变变成可以以发运的的品项，，从而降低运输输费用；；(4)完善客户户订单与与发货品品的追踪踪系统，，使客户户能够及及时获取取货项信信息；(5)建立电子子商务平平台，通通过网络络实现配配送外协协等合作作，提高高与供应应商、政府部门之间间配合的效率率;(6)建立客户关系系管理系统，，通过Web网站、E-Mail系统、呼叫中中心、自动传真回复系系统等，向客客户提供365天×24小时的不间断断服务；(7)搭建财务管理理系统，保证证财务部门及及所有受支持持的部门都能能获得精、快的财务信息息，以便有效效地进行业务务决策及监控控现金的收支支情况。根据以上所确确定的IT建设内容，并并形成了该公公司的IT蓝图（见图））第二章IT治理发货品管理成本管理安全管理订单管理配送管理客户管理反向物流管理第三方管理呼叫中心市场分析人力资源管理、财务管理协同办公平台管理第二章IT治理二、IT治理的范围IT治理范围可从从不同角度划划分：1、从治理的组组织范围看：：覆盖企业全部部范围，包括括最高管理层层、执行管理层，乃至虚虚拟组织、战战略联盟，等等2、从治理的内内容范围看：：包括治理目标标、治理结构构、组织的整整体战略、组织运营管理理、风险与价价值、成本与与控制、审计计与监督、服服务标准和规范等等方面的内容容。第二章IT治理第三节IT治理的关键问问题一、IT治理的关键问问题IT治理的关键问问题表现在：：1、IT投资是否与企企业经营在战战略目标(Strategy)，策略(Tactic)和运营(即operation)层面相融合，，从而构筑必必要的核心竞竞争力；2、IT治理是否有助助于合理的制制度安排真正正发挥其作用用；3、在长期的IT应用中，是否否持续地创造造商业价值；；4、是否有有效的的风险管理机机制。其中最关键的的问题是第一一点：IT治理应体现以以“组织战略略目标为中心心”思想。第二章IT治理搞好IT治理必须解决决的问题：1、IT关键领域谁做做决策和如何何决策。5个IT关键领域：A、信息技术原则则；B、信息技术结构构；C、信息技术基础础设施；D、企业应用需要要；E、信息技术投资资及优先顺序序。2、信息化中的责责、权、利问问题；3、信息化建设中中的风险评估估和绩效评价价问题；4、信息系统控制制与信息技术术管理体系问问题。第二章IT治理信息化建设中中的风险管理理及评估流程程：1)确立可承受的的IT风险损失价值值；2)IT风险识别；（（列举清单法、、专家判断法法、工作分解解分析法、信信息检索法、访谈法、、流程图和鱼鱼刺图法）3)IT风险预测；4)IT风险日常管理理与控制；5)IT盈利与损失统统计；6)风险再评级。。第二章IT治理绩效评价方法法（业绩衡量量）——IT平衡计分卡法法。主要从以以下几个方面衡量量：(1)IT价值贡献；(2)客户满意度；；(3)内部处理过程程；(4)学习与创新。。(1)IT价值贡献：主要用于评价价IT投资对企业的的价值综合影影响，IT是否满足企业业的战略需要以及是否支支付预期的财财务收益，评评价IT价值贡献度的的时候，需要要考虑以下问题：：?IT战略和组织战战略需要集成成的程度；?整体IT组合如何很好好地进行管理理；?IT花费是否与预预期指出集成成；?最大化业务价价值和IT成本——效益。第二章IT治理(2)客户满意度；；主要从用户的的视角评价IT提供的服务与与支持在满足足用户方面达达到的水平。在评估IT对客户满意度度的影响的时时候，需要考考虑如下问题题：?业务单元与IT人员是否很好好地集成到信信息系统开发发与获取的项项目中；?客户对支付的的IT产品与服务是是否满意；?用户对IT应用的接收和和掌握情况。。(3)内部处理过程程IT内部过程关注注IT部门两个基基本过程的改改进和度量：：系统开发过过程以及系统运营过程程，此外也关关注其他过程程，如问题管管理、用户教教育、人员管管理、通信渠道道的使用等。。在评价IT内部过程，主主要考虑以下下问题：?交付的产品质质量是否符合合通用标准；；?交付的产品是是否使用可普普遍接受的方方法与工具；；?用于支持主要要过程改进的的IT资源是否充分分；?基础设施是否否为业务需要要提供了可靠靠支持；?企业IT基础设设施是是否得得到维维护。。第二章章IT治理(4)学习与与创新新主要用用于评评价IT组织的的技能能水平平以及及持续续学习习和革革新的的能力力。在在评价价IT学习与与革新新能力力的时时候，，主要要考虑虑以下下问题题：?是否有有正确确的技技能与与人员员来保保证质质量；；?是否追追踪对对企业业业务务发展展有重重要意意义的的新技技术的的方向向；?是否使使用认认可的的方法法来构构建与与管理理IT项目；；?是否为为员工工提供供适当当的工工具、、培训训、执执行任任务的的动机机。二、IT治理缺缺失的的症状状1、各自为为政，，缺乏乏统一一、全全局的的IT战略规规划；；2、信息化化建设设领导导者错错位，，IT应用方方案和和企业业业务务需求求之间间逻辑辑错位位；3、决策的的技术术经济济论证证不足足；4、信息资资源的的合理理应用用是信信息化化的薄薄弱环环节；；5、利益冲冲突和和信息息的不不透明明；6、IT安全治治理和和风险险管理理缺位位；7、非技术术性的的障碍碍；8、重硬件件购买买，轻轻软件件和咨咨询服服务；；9、信息化化建设设找不不到重重心。。第二章章IT治理建立有有效的的IT治理需需从5个领域域进行行：1、IT战略一一致性性；2、IT价值交交付；；3、IT资源管管理；；4、IT风险管管理；；5、IT性能评评价。。第二章章IT治理第四节节IT治理框框架和和标准准一、IT治理框框架构建IT治理架架购包包含三三个方方面:组织机机构、、流程程、沟沟通机机制1、组织结结构。。由谁谁负责责决策策，组组织结结构的的形式式如何何？组组织结结构中中各成成员的责责任分分别是是什么么？第二章章IT治理（1）IT治理最最高管管理层层(董事会会)：IT战略的的总体体制定定与决决策者者，负负责指引信信息化化的方方向与与战略略制定定，，平衡衡支持持企业业和使使企业业成长长的投投资。（2）IT治理委委员会会。向董事事会负负责，，解决决设计计标准准的问问题，，负责责确立IT战略方方向，，决定定和建建立资资金杠杠杆，，批准准所有有主要要的发发展项项目并监监督结结果。。IT治理委委员会会责任任：(1)政策制制定；；(2)控制(预算通通过，，项目目权威，绩绩效评评价)；(3)绩效度度量和和报告告。（3）CIO。CIO岗位的的职责责:发起制制定、、组织织完成成企业业IT战略规规划;开发企企业应应用，，协调调企业业和部部门的的应用用开发发;保障IT基础设设施和和体系架架构的的运行行及投投资;决定IT服务和和技能能服务务；建建立关关键的的IT供应商商和咨咨询顾顾问间间的战战略伙伙伴关关系；；提提供技技术支支持使使企业业增加加收入和盈盈利能能力;维护客客户满满意度度；向向用用户提提供培培训。。第二章章IT治理（4）管理理者。。管理理者的的职责责是：：将IT风险管管理责责任和和控制制落实实到企企业中中；将战略略，策策略，，目标标等落落实到到企业业日常常工作作中，，并使使信息息技术术的组组织与企业目标标一致；促促进信息息的创造与与共享；通通过过衡量公司司业绩和竞竞争优势来测测度信息技技术的效果果；关关注重重要的增值值的信息技技术过程；；关注与规划划和管理IT资产、风险险、工程项项目、客户户和供应商商相关的核心竞争能能力，等。。（5）信息技术术人员。负责项目的的开发与实实施；负负责项目目技术指导导与实现；；负责信息系系统的日常常运行与维维护；为为业业务部门和和管理人员员提供技术术服务支持。。第二章IT治理（6）外部和内内部审计人人员。信息系统的的管理、规规划与组织织评价；评评价价组织在技术与与操作基础础设施的管管理和实施施方面的有有效性及效效率；对对逻辑、环境与与信息技术术基础设施施的安全性性进行评价价；对对灾难恢恢复与业务持续计划划评价；对对应用系系统的开发发、获得、、实施与维维护方面所所采用的方法法和流程进进行评价；；业业务流程程评价与风风险管理评评价。2、流程。IT投资决策是是如何作出出的？在决决策流程中中，投资建建议、投资资评估、批准准投资和区区分优先级级是如何进进行的？第二章IT治理3、沟通。这些些决策和流流程的结果果效能如果果度量，如如何监控风风险？又如如何得到沟通通？在相关关利益者之之间投资决决策采用何何种机制加加以沟通？？第二章IT治理二、IT治理标准有关IT治理的标准准主要有：：1、信息及其相相关技术的的管理体系系模型和最最佳实务一一COBIT；2、IT基础架构库库ITIL(InformationTechnologyInfrastructureLibrary)；3、ISO/IEC17799:2000（信息安全全管理实务务准则））4、PRINCE2（有关项目目管理支持持服务标准准）5、TICKIT（软件质量量管理系统统保证标准准）；6、NIST80O（公认安防防信息技术术系统原则则和实务））；7、COSO综合合性性框框架架；；三种种较较为为流流行行的的IT治理理评评价价方方法法：：CobIT成熟熟度度模模型型、、PW方法法、、CBSO法第二二章章IT治理理三、COBIT简介介：：COBIT（信信息息及及相相关关技技术术的的控控制制目目标标）），，是是有有关关IT治理理的的一一个个开开放放标标准准。。该标标准准是国国际际公公认认的的最最先先进进、、最最权权威威的的安安全全与与信信息息技技术术管管理理和和控控制制的的标标准准。。该标标准准为IT的治治理理、、安安全全与与控控制制提提供供了了一一个个一一般般适适用用的的公公认认的的标标准准。。该标标准准为组组织织有有效效的的利利用用信信息息资资源源，，有有效效管管理理、、控控制制与与信信息息相相关关的的风风险险提提供指指导导。。COBIT将IT过程程，，IT资源源及及信信息息与与企企业业的的策策略略与与目目标标联联系系起起来来，，形形成成一一个个三维维的的体体系系结结构构（（参见见P.52图）COBIT的体体系系框框架架包包括括四四大大部部分分：：控制制目目标标、、管管理理指指南南、、审审计计指指南南、、工工具具集集（参见见P.54图）第二二章章IT治理理第二二章章IT治理理IT准则则维维：：反映映了了企企业业使使用用IT的战战略略目目标标。。标准包括：：有效性、效效率性、机机密性、完完整性、可可用性、一一致性、可可靠性等IT资源维：描述了IT治理过程的的主要资源源对象。对象包括：：人员、应用用系统、技技术、设施施和数据等等IT过程维：是对信息及及相关资源源进行规划划与处理的的过程。提供了：从信息系统统生命周期期的四大域域确定了34个信息技术术处理过程程，每个处理过程程包括详细细的控制目目标和与控控制目标相相联系的审审计指南。。第二章IT治理四大域：计划与组织织；采采集与实施施；交交付与支支持；监监控控34个信息技术术处理过程程（从四大大域）包括括：(参见教材P.53表）计划与组织织：定义IT战略、定义义信息体系系结构、确确定技术方方向、定义义IT组织与关系系、管理IT投资、管理理目标和方方向、人力力资源管理理、确保与外部需求求的一致性性、风险评评估、项目目管理、质质量管理采集与实施施：确定自动化化的解决方方案、获取取并维护应应用程序、、获取并维维护技术基础础设施、系系统安装与与鉴定、变变革管理交付与支持持：定义并管理理服务水平平、管理第第三方的服服务、管理理性能与容容量、确保服服务的连续续性、确保保系统安全全、确定并并分配成本本、教育并并培训客户、、配置管理理、处理问问题和突发发事件、数数据管理、、设施管理理、运营管理第二章IT治理监控：过程监控、评评价内部控制制的适当性、、获取独立保保证、提供独独立的审计控制目标中：：计划和组织目目标：判别哪些IT策略最有助于于业务目标的的实现；应设设置何种组织结构，建建立何种技术术基础结构，，如何对IT策略的实现进进行计划、协调与管理。。采集和实施目目标：为了实现IT战略，如何定定义、开发、、获取、实施施IT解决方案，并把这这一方案集成成到业务过程程中。如何解解决系统的变变迁与维护，，以使系统的生生命周期得以以延续。交付与支持目目标：如何解决系统统交付所需的的服务，包括括操作安全性性、连续性、人员培训训以及需建立立的支持过程程，还包括实实际数据处理理，通常按应用控制进行行分类。监控目标：评估IT过程质量，评评估IT过程与控制需需求相符的程程度第二章IT治理第二章IT治理管理指南：COBIT给出了：度量IT过程的指标体体系、度量的的尺度以及度度量的基准点点。4个指标：成熟度模型CMM，以及关键成成功因素CSF、关键目标指指标KGI、关键性能指标标KPI4个指标简介：：1、成熟度模型型CMM功能：确定IT控制的基准。。从而认清企企业所处的行行业地位，如如何测定和比较2、关键成功因因素CSF功能：勾画IT控制轮廓。从从而描绘重要要的、控制的的关键成功因因素3、关键目标指指标KGI功能：识别IT处理过程的目目标。从而认认识哪些是必必须做到的，，不能达成目标的风险有有哪些4、关键性能指指标KPI功能：测定IT处理过程的性性能。从而评评价IT输出和实际绩绩效，评价处处理过程执行好坏坏的程度第二章IT治理案例1：关键成功因因素CSF1、IT治理活动与公公司治理相结结合，并有公公司领导的参参与；2、IT治理专注于公公司目标、战战略，使用技技术提高业务务水平，及满满足业务需求的足够可可用的资源和和能力；3、IT治理活动应该该目标明确，，制度规范和和实施有效，，并落实到人人；4、实施最佳管理理实践以提高高资源的有效效利用，提供供IT过程的效率；；5、建立组织以充充分监督，根根据标准程序序评估风险，，及监督和追追究控制缺陷和风险；6、建立内部控制制准则以避免免内部控制和和监管的失灵灵；7、IT问题管理、变变革管理和配配置管理等，，是集成和关关联的；8、建立审计委员员会。第二章IT治理案例2：关键目标指指标KGI1、加强绩效和成成本管理；2、提高主要的IT投资的回报；；3、提高响应市场场速度；4、增加质量，创创新和风险管管理；5、适当集成和标标准化业务流流程；6、扩展新客户，，满足现有客客户；7、可用的适当带带宽，计算能能力和IT交付机制；8、在预算范围内内及时满足客客户的需求和和期望；9、不违反法律、、法规，行业业标准和各类类合同；10、清楚承担的风风险，这种风风险应与组织织整体风险状状况相一致；；11、进行IT治理成熟度标标杆比较；12、创造传递服务务的新渠道。。第二章IT治理案例3：关键性能指指标KPI1、提高了IT流程的成效（（成本、交付付能力）；2、增加了用于改改善流程的IT计划；3、增加了IT基础设施的利利用率；4、增加了客户满满意度；5、增加了员工工工作效率和士士气；6、增加用于管理理公司的知识识和信息的可可用性；7、增加IT治理和公司治治理的联系；；8、使用平衡计分分卡测量时，，绩效得到提提高。第二章IT治理运用：借助于CMM模型，了解IT过程管理所处处的状态和自自身的薄弱环环节，并有针对性地地解决自身的的问题。借助助于CSF、KGI、KPI指标有效地进行IT过程管理。审计指南：为中介评估机机构或信息系系统审计师对对信息系统的的控制进行了了解、评估和实施审审计提供建议议与指导。给出了：IT审计的一般方方法和要求；；根据COBIT的框架架，针针对信信息系系统34个高层层次控控制目目标建建议了了相应的审审计步步骤；；为信息息系统统审计计师具具体检检验和和评价价各IT过程是是否符符合318个具体体控制目目标给给出了了详细细的审审计指指南,并指出出了各各控制制目标标未达达到时时会带来的的风险险及改改进控控制的的建议议。第二章章IT治理应用工工具集集：提供了了包括括管理理意识识、IT控制诊诊断、、应用用指导导、常常见问问题集集、、个案案研究究等工工具，，以及及介绍绍COBIT的相关关课件件。目的：：工具集集的设设计主主要是是让COBIT的应用用更加加便利利，使使组织织可以以快速速且成功地地掌握握如何何在不不同的的工作作环境境中应应用COBIT。第二章章IT治理COBIT的主要优点点：1、可以帮助在在管理层、、IT与审计之间间交流的鸿鸿沟上搭建建桥梁，提提供了彼此之间沟通通的共同语语言；2、通过实施COBIT，增加了管管理层对控控制的感知知及支持；；3、COBIT使IT管理工作简简易并量化化，减轻对对复杂信息息系统管理理工作的难度，并且且可以应用用在每天都都在发生的的各种新问问题中；；4、COBIT提供了一种种国际通用用的IT管理及问题题解决方案案，普遍适适用于各种不同的商商业项目和和审计；；5、COBIT有助于提高高信息系统统审计师的的影响力；；6、COBIT框架可以能能够帮助决决定过程责责任，提高高IT治理水平。。第五节IT治理机制和和方法一、建立IT治理机制第二章IT治理如何有效地地进行IT治理？需要——建立有效的的IT治理机制，，因为：决定信息系系统是否有有效运转的的因素不是是信息技术术，而是治治理机制、、管理模式、制度度与规则，，流程与标标准，最终终是人。因因此，在这这些因素之之上，需要合理有有效的制度度安排。建立有效的的IT治理机制，，要做好以以下几方面面：1、实现企业战战略与IT战略互动；；2、政府应作为为推动者；；3、建立专门化化的建立IT治理委员会会；4、保证职责明明确；5、信息系统审审计。第二章IT治理二、IT治理的方法法1、积极进行行IT治理设计要求：最高管理层层（董事会会）树立和和维护IT战略地位的的思想认识识，从组织的战战略出发而而不是从系系统的需求求出发，可可以避免脱脱离目标而进行行建设的困困境；发展外部市市场监控和和审计机制制。包括：构建建有效的：：IT治理结构；；决策制定定程序；IT原则、架构构、基础设施、业业务应用需需求、投资资决策程序序；风险管管理制度；；审计监督程序，，等。第二章IT治理2、选择正确确的时间进进行IT治理设计选择依据：：公司治理的的IT需求；企业的战略略目标；企业的业务务需求及变变革需求；；IT风险管理；；价值的交付付。3、高层经理理人员的参参与高层经理人人员：企业的高层层管理者、、CIO、审计主管管，等角色：参与IT战略的总体体制定与决决策；证实IT战略与企业业战略一致致；证实IT通过明确的的期望和衡衡量手段交交付；指导IT战略、平衡衡支持企业业和使企业业成长的投投资；恰当决策信信息资源应应着重使用用的地方。。第二章IT治理4、对目标有有所取舍目标选择：：选择核心流流程；业务应用需需求；市场的机会会；商业价值；；效率和服务务的比较；；第二章IT治理5、制定例外外处理流程程关键要素素：能够对流流程进行行清楚地地定义，，且企业业所有的的人都能能理解；；流流程要要能使问问题可以以迅速提提交给高高层管理理者；例例外流程程应被采采用到企企业架构构之中。。6、提供相相应的激激励措施：有一套激激励制度度；有活力的的组织和和人员；；有利于调调动利益益各方的的积极性性；激励的整整体性和和持续性性；建立激励励的可衡衡量指标标；激励方式式的多样样性；激励与责责、权、、利相结结合。第二章IT治理7、在组织织的多个个层面设设计治理理要求：在高层，，应把握握IT治理的战战略和决决策；在中层，，应注重重IT治理的组组织、管管理和实实施；在低层，，应注重重IT治理的有有效执行行和协调调。注意点：：做好自上上而下的的领导关关系；做好自下下而上的的反馈关关系；把握好各各层面之之间的沟沟通协调调；注意责、、权、利利之间的的一致性性。8、加强透透明度和和教育主要体现现：通过各种种方式加加强沟通通和交流流；加强IT治理意识识和技能能的培训训。9、运用相相同的机机制治理理多个关关键资产产第二章IT治理三、IT治理的基基本程序序1、在业务目目标的驱驱动下，，制定IT战略，并并保证IT战略与业业务战略略目标的匹配；；2、挖掘业务务需求，，完善信信息系统统建设，，使IT真正为业业务提升升、管理理创新贡献价价值；3、实施IT项目管理理与风险险管理；；4、进行IT绩效评估估。IT治理是一一个循序序渐进的的往复循循环的过过程第二章IT治理第六节IT治理成熟熟度模型型如何对IT治理状况况进行评评价？——涉及：评价方法法目前较为为流行IT治理的评评价方法法有三种种：IT成熟度模模型、PW方法、CBSO法IT成熟度模模型介绍绍：IT成熟度模模型制定定了一个个基准，，组织可可能根据据上面的的指标确确定自己己的等级，，从而了了解定位位自己企企业的IT治理在业业界所处处的位置置，确定定未来努力的方方向。第二章IT治理平衡风险险和收益益后的IT治理和IT增值流程程治理成成熟度级级别如下下：不存在级级（0级）：完全不存存在可辨辨识的信信息治理理流程。。初始级（（1级）：初始的混乱的的。可重复级（2级）：重复的但模糊糊的。已定义级（3级）：已定义流程。。已管理级（4级）：已管理和可测测量的。优化级（5级）：全面满足IT治理的要求并并持续改进。。第二章IT治理IT治理成熟度模模型方法的优优点与作用：：1、是一种进行实实用性比较的的等级制，能能以简单方式式测定差异，，有助于确定有关信息技技术管理、安安全性。2、是测量管理处处理发展程度度的一种方法法，有助于企企业将主要精精力投入到关键的管理方方面。3、有助于专业人人员向管理层层解释IT管理存在的缺缺陷，从而确确定组织的发发展目标。4、将有助于解决决以下在IT部门中普遍存存在的问题：：（1）在竞争激烈的的市场环境中中，您的公司司或部门在IT应用中处于什什么水平？（2）如果您认为有有差距，究竟竟差在哪里？？如何去改进进？（3）如果您觉得运运作良好，那那么您能说出出好在哪里？？好到何种程程度？（4）如何对IT管理进行绩效效评估？第二章IT治理第七节审审计IT治理架构一、审计IT治理架构和实实施如果一个企业业信息系统存存在以下具有有潜在风险的的特征：（参参见P.65）1、最终用户态度度不友好；2、过多的成本；；3、预算超支；4、较高的员工离离职率；5、缺乏经验的员员工；6、经常出现硬件件/软件故障；7、用户请求被积积压，没有得得到及时响应应；8、迟缓的计算机机相应时间；；9、大量的废止或或暂停的开发发项目；10、未受支持或未未经授权的硬硬件/软件采购；11、经常性的硬件件/软件升级；12、对例外报告没没有采取跟踪踪处理措施；；13、缺乏动力；14、缺乏持续性计计划；15、依赖一个到两两个关键员工工；16、缺乏充分的培培训。这表明，该企业存在IT治理问题，需需要建立、改改善、提高其其IT治理能力。如何指出其存存在的IT治理问题，以以便提出改进进建议？需要：IT治理审计第二章IT治理IT治理审计的实实施：1、审核文挡文档包括：信息技术战略略、计划和预预算；安全政策文档档；组织/职能图；工作描述；指导委员会报报告；系统开发和程程序变更流程程；操作程序；人力资源手册册。审核要点：完整、合理、、合法合规审核目的：检查相关文挡挡存在哪些问问题和不足？？哪些需要改改进完善？第二章IT治理2、对被审核文文挡进行进一一步评估主要包括：文挡是否如实实反映了管理理层的思想，，并得到了授授权；文挡是否适用用于当前状况况，并能得到到及时更新。。审核目的：通过证实文挡挡的真实可靠靠性、有效性性等进一步获获取有关审计证据，以便便为对企业的的IT治理状况进行行分析、评价价提供依据。3、现场调查（（面谈和观察察）主要包括：通过面谈从中中了解有关信信息系统的实实际情况；通过观察对信信息系统的真真实情况进行行证实、判断断调查目的：证实文挡与实实际的一致性性；发现实际存在在问题；进一步获取相相关证据。第二章IT治理4、得出结论，，提出审计建建议依据：IT