集团企业的IT治理内容、工具与实例

集团企业的IT治理内容、工具与实例主要内容IT治理是什么为什么要做IT治理IT治理的五大关键IT决策问题〔治理对象〕IT治理机制〔治理手段〕企业如何实施IT治理1.IT治理的本质IT治理属于公司治理的组成局部，是指导和控制IT资源的结构，关系和过程，通过平衡风险和回报获取IT价值，以实现企业目标。价值实现，风险控制是IT治理的两个核心。打个比方来说：“管理〞相当于列车行驶时怎么开快火车;“治理〞那么是规定谁来做决策、铺设怎样轨道，谁来和怎么约束火车在轨道内平安行驶因此，虽然是硬币的两面，但是治理却更具统筹效应。2为什么要IT治理2024年，麻省理工CISR研究中心与Gallup咨询机构合作，Ross和Weill教授通过实证研究说明IT治理有助于企业获取高IT投资回报，好的IT治理模式可为企业增加20%以上的利润2024年4月2日，?2024年中国企业信息化指数调研报告?显示中国企业IT治理普遍欠佳。尤其IT规划、IT制度体系和IT评估缺失现象严重IT治理缺失的八大病症：一是缺乏IT建设整体规划、执行随意性较强，标准化和标准化等根底工作不到位，导致出现大量信息孤岛，使公司面临繁重的系统整合工作;二是业务部门与技术部门经常出现“两张皮〞现象，使到沟通交流困难;三是IT预算缺乏完整性，方案外工程过多;四是工程投资出现失误或投资回报不高;五是工程管理缺乏控制手段，工程延期交付时有发生;六是IT事故责任不清，技术部门承担责任过大;七是一些IT系统建成后没人进行后续跟踪运维、推广和使用;八是缺少IT审计环节，不清楚IT价值何在，认为IT只是工具，缺乏约束机制。为什么要做IT治理---两大直接驱动力价值----提高企业信息化成熟度+支撑企业战略风险----IT过程控制+外部合规价值提升与风险控制：IT治理的最终目标IT治理整体框架体系典型的IT治理主体：董事会与执行层

业务部门管理者IT部门管理人员治理目标治理组织结构治理流程治理关系机制治理机制治理对象合规绩效实现战略IT投资IT基础设施IT应用IT架构IT原则IT决策权安排IT投资的分类：把信息技术投资分为四类资产，分别是:交易流程信息管理流程战略性开发或创新根底架构任何一项IT投资都可能是这四类资产的任何组合。IT治理的五大对象：1.我们应当花多少钱?2哪些业务流程应当获得资金?3哪些IT能力应当面向整个公司?4IT效劳要有多好?5.谁来承担责任IT治理五大对象间关系IT原则的决策高层关于企业如何使用IT的陈述IT架构决策组织从一系列政策、关系以及技术选择中捕获的数据、应用和基础设施的逻辑，以达到预期的商业、技术的标准化和一体化IT基础设施决策集中协调、共享IT服务可以给企业的IT能力提供基础IT投资和优先顺序决策关于应该在IT的那些方面投资以及投资多少的决策。包括项目的审批和论证技术业务应用需求决策为购买或内部开发IT应用确定业务需求2

IT治理机制IT决策权力部署方式

决策原型IT原则IT架构IT基础设施战略业务应用需求IT投资输入决策输入决策输入决策输入决策输入决策高级业务主管负责制√√高级IT主管负责制√√√业务部门负责制√总部与业务部门共同负责制√√√√√√IT与业务部门负责制√√√√√√√建立健全IT流程管控体系----IT治理机制典型IT治理机制治理结构S1IT战略委员会S2IT安全委员会S3IT指导委员会S4CIO直接向CEO负责S5CIO在执行层中的地位治理流程P1IT战略规划P2IT绩效管理流程（平衡积分卡）P3项目组合管理P4IT预算管理P5IT项目治理与跟踪沟通机制R1IT领导力R2业务/IT关系经理R3委员会正式会议实现IT治理的工具/方法信息系统审计的诞生1在美国、日本、英国、加拿大等兴旺国家，信息系统审计已经开展到相当程度，信息系统审计的理念也已深入人心。从国外ISA开展历史来看，它是与企业信息化的过程紧密联系的，是企业信息化的必然要求。195460年代70年代80年代90年代

信息的收集、处理、传递和存储都是由人来完成计算机出现之前对计算机有初步认识计算机应用蔓延信息系统在企业普及集成信息系统，MRP，MRPII应用在财务，库存，统计方面会计电算化出现计算机欺诈舞弊事件出现财务数据的采集是由整个信息系统实时完成信息系统网络化，大型化电子数据处理审计1969年，电子数据处理审计师协会（EDPAA）在美国洛杉矾成立完全手工审计手工审计

+纸质文档审计开始重视对信息系统的审计信息系统审计师成为职业1994年，EDPAA更名为信息系统审计与控制协会（ISACA）信息系统成为企业重要资产如何确保网络平台上的信息系统的安全、可靠和有效变得越来越重要。

信息系统审计的诞生

1

信息系统审计信息系统/技术信息技术作为企业发展的“银弹”，投资额度不断加大，投资失败的风险日渐成了企业难以承受之重信息系统成为企业运作，甚至是赖以生存的基础，其安全、稳定和可靠性需要得以保障审计审计面临的环境发生变化，信息系统是很多被审单位内部管理与控制的关键工具，审计的内容和重点发生变化。ISA审计成为控制审计风险的必然要求（假电子数据真审？）“逐步开展对关系国计民生的重大行业、部门的联网审计和信息系统审计，全面提高计算机应用水平〞+引自：?审计署2024至2024年审计工作开展规划?信息系统审计是我国审计开展的新路径1信息化时代，我国的信息系统审计具备极大的需求和迫切性：信息系统审计被列入“金审工程〞二期的试点范围〔2024.5，审计署信息系统审计研讨会〕信息系统审计成为审计署2024年度重大研究课题之一。审计署信息系统审计培训开班〔2024.5.28〕审计署提出要根本形成符合中国国情的信息系统审计的理论和方法。〔中国审计报〕局部审计机关将2024年作为信息系统审计的探索之年。〔中国审计报〕相关部门正在积极酝酿并研究制定信息系统审计准那么和指南但是“我们的信息系统审计仍处于探索阶段〞〔石爱中语〕COSO框架COSO—ERM框架和1992年的COSO报告一样，也主要在“控制活动〞和“信息沟通〞中对IT控制做出相关规定。但是因为时隔12年，信息技术已经有翻天覆地的变化，所以该框架在技术上对IT控制〔包括一般控制和应用控制〕作了更为广泛、科学的描述。控制活动，指为确保风险管理策略有效执行而制定的制度和程序，包括核准、授权、验证、调整、复核、定期盘点、记录核对、职能分工、资产保全、绩效考核等。

信息沟通，指产生效劳于规划、执行、监督等管理活动的信息并适时向使用者提供的过程。COBITITIL服务支持流程事故管理问题管理变更管理版本管理配置管理服务提供流程可用性管理能力管理财务管理连续性管理服务水平管理ITIL流程间的关联ISO27001标准ISO27001标准不是一个技术性的信息平安操作手册，而一个通用的信息平安管理指南。它提出了11个平安要素，39个控制目标和133种控制措施。ISO17799中的11个要素分别是：◆平安策略〔Securitypolicy〕；◆信息平安组织〔Organizationofinformationsecurity〕；◆资产管理〔Assetmanagement〕；◆人力资源平安〔Humanresourcesecurity〕；◆物理和环境平安〔Physicalandenvironmentalsecurity〕；◆通信和操作管理〔Communicationandoperationmanagement〕；◆访问控制〔Accesscontrol〕；◆信息系统获取、开发和维护〔Informationsystemsacquisition,developmentandmaintenance〕；◆信息平安事件管理〔Informationsecurityincidentmanagement〕；◆业务连续性管理〔Businesscontinuitymanagement〕；◆符合性〔Compliance〕。

5.企业如何实施IT治理-----16字方针整体规划，分步实施，关注试点，持续优化--Thinkbig,dosmall,Dobig

5.企业如何实施IT治理-----16字方针整体规划，分步实施，关注试点，持续优化--Thinkbig,dosmall,Dobig

5.企业如何实施IT治理-----16字方针整体规划，分步实施，关注试点，持续优化--Thinkbig,dosmall,Dobig

5.企业如何实施IT治理-----16字方针整体规划，分步实施，关注试点，持续优化--Thinkbig,dosmall,Dobig外部合规要求：?中央企业全面风险管理指引??国资委信息化水平评价??企业内部控制根本标准??上海证券交易所上市公司内部控制指引?美国SOX法案合规施工总承包企业特级资质标准?国资委信息化水平评价?--合规2企业内部控制应用指引内部控制应用指引中的计算机信息系统具体标准那么提出：企业在建立并实施计算机信息系统内部控制制度中，至少应当强化对以下关键方面或者关键环节的风险控制，并采取相应的控制措施：〔一〕权责分配和职责分工应当明确，重大信息系统事项应履行审批程序；〔二〕信息系统开发、变更和维护流程应当清晰，授权审批程序应当明确；〔三〕信息系统应当建立访问平安制度，操作权限、信息使用、信息管理应当有明确规定；〔四〕硬件管理事项和审批程序应当科学合理；〔五〕会计电算化流程应当标准，会计电算化操作管理、硬件、软件和数据管理、会计电算化档案管理和会计电算化账务处理等制度应当完善。?上海证券交易所上市公司内部控制指引?--合规4第四条公司董事会对公司内控制度的建立健全、有效实施及其检查监督负责，董事会及其全体成员应保证内部控制相关信息披露内容的真实、准确、完整。第十条公司使用计算机信息系统的，还应制定信息管理的内控制度。信息管理的内控制度至少应涵盖以下内容：〔一〕信息处理部门与使用部门权责的划分；〔二〕信息处理部门的功能及职责划分〔三〕系统开发及程序修改的控制；〔四〕程序及资料的存取、数据处理的控制；〔五〕档案、设备、信息的平安控制；IT治理成熟度诊断成熟度诊断的六个方面：IT权责体系IT战略IT投资IT运维效劳风险与合规IT人力资源成熟度模型的使用成熟度提供了一种简单实用的管理工具，组织可以用于评估现状，了解自身目前所处的地位，行业标杆和国际最佳实践的水平。根据企业现状和行业标杆、国际最佳实践对比找出未来改进的方向，结合业务需求，将主要精力投入到关键的管理领域。成熟度模型等级有助于向管理层清晰地展示IT管理存在的缺陷，将组织的管理水平与国际最佳实践相对照，从而确定组织的发展目标。服务台·制定了制度文档。·有Remedy和联友自己开发的服务平台支撑。

·有效回访率56％。·呼损率指标目前由花都电信提供，不准确。事件管理·制定了事件管理流程和制度，并对故障进行分级。

·事件主要由人工触发。没有从监控设备直接触发的事件。问题管理·没有明确的问题管理流程。

·有与IS部举行例会解决问题的机制;有重大故障详细报告。

·没有主动分析事件、触发问题的机制。配置管理·配置库中对配置信息的分类层次清楚。·配置管理的工具（remedy）支撑配置管理。·配置管理信息较基础。变更管理·变更的申请、审批、测试、实施流程完备。·紧急变更流程未见相关文件。服务级别管理·有完善的服务级别管理，并分解到服务目录。·针对不同的服务级别，有相应的控制措施。·定期为DFL提供服务报告。例如网络设备、系统·一线人员上岗前参加相关技术培训。·缺乏统一的网络、应用监控平台。·已制定部分操作流程，未形成完整体系。数据中心·武汉机房管理较完善，十堰较为混乱。·运维人员对双机、均衡、灾难恢复等技术掌握不熟练。·缺乏事件应急方案。设备维护·运维工程师具备系统硬软件维护的基本技能。·同客户的沟通存在一定的问题。数据库·一线工程师定期对数据库进行备份和性能监控的工作。·二线运维SE定期对系统进行评估和性能优化；·同原厂商建立密切的联系，经常参加原厂商的技术培训。例如信息安全战略与策略·缺乏明确的信息安全体系策略文件组织的安全·没有公司层面的安全组织；与第三方保持着良好的联系资产管理·有资产清单，但资产罗列不全；信息分类不够细致人力资源安全·没有对入职员工进行信息安全背景调查，但签署了保密协议；信息安全培训较薄弱；离职时，缺乏撤销访问权限的流程物理和环境安全·基本符合国家机房安全相关规定，但十堰机房需加强管理信息和操作管理·网络安全方面部署了较成熟的防护技术，但缺乏备份记录，移动介质的