3集团企业IT治理内容、工具与实例.ppt

1、IT治理,内容、工具与实例,主要内容,IT治理是什么 为什么要做IT治理 IT治理的五大关键IT决策问题（治理对象） IT治理机制（治理手段） 企业如何实施IT治理,1. IT治理的本质,IT治理属于公司治理的组成部分，是指导和控制IT资源的结构，关系和过程，通过平衡风险和回报获取IT价值，以实现企业目标。价值实现，风险控制是IT治理的两个核心。,打个比方来说： “管理”相当于列车行驶时怎么开快火车; “治理”则是规定谁来做决策、铺设怎样轨道，谁来和怎么约束火车在轨道内安全行驶 因此，虽然是硬币的两面，但是治理却更具统筹效应。,2 为什么要IT治理,2005年，麻省理工CISR研究中心与Gal

2、lup咨询机构合作，Ross 和Weill教授通过实证研究表明IT治理有助于企业获取高IT投资回报，好的IT治理模式可为企业增加20%以上的利润 2010年4月2日，2010年中国企业信息化指数调研报告显示中国企业IT治理普遍欠佳。 尤其IT规划、IT制度体系和IT评估缺失现象严重,IT治理缺失的八大症状：,一是缺乏IT建设整体规划、执行随意性较强，标准化和规范化等基础工作不到位，导致出现大量信息孤岛，使公司面临繁重的系统整合工作; 二是业务部门与技术部门经常出现“两张皮”现象，使到沟通交流困难; 三是IT预算缺乏完整性，计划外项目过多; 四是项目投资出现失误或投资回报不高; 五是项目管理缺乏

3、控制手段，项目延期交付时有发生; 六是IT事故责任不清，技术部门承担责任过大; 七是一些IT系统建成后没人进行后续跟踪运维、推广和使用; 八是缺少IT审计环节，不清楚IT价值何在，认为IT只是工具，缺乏约束机制。,为什么要做IT治理-两大直接驱动力,价值- 提高企业信息化成熟度 + 支撑企业战略 风险- IT过程控制 + 外部合规 价值提升与风险控制：IT治理的最终目标,IT治理整体框架体系,典型的IT治理主体： 董事会与执行层 业务部门管理者 IT部门管理人员,IT投资的分类：,把信息技术投资分为四类资产，分别是: 交易流程 信息管理流程 战略性开发或创新 基础架构 任何一项IT投资都可能是

4、这四类资产的任何组合。,IT治理的五大对象：,1.我们应当花多少钱? 2 哪些业务流程应当获得资金? 3 哪些IT能力应当面向整个公司? 4 IT服务要有多好? 5.谁来承担责任,IT治理五大对象间关系,2 IT治理机制,IT决策权力部署方式,建立健全IT流程管控体系-IT治理机制,典型IT治理机制,实现IT治理的工具/方法,信息系统审计的诞生 1,在美国、日本、英国、加拿大等发达国家，信息系统审计已经发展到相当程度，信息系统审计的理念也已深入人心。 从国外ISA发展历史来看，它是与企业信息化的过程紧密联系的，是企业信息化的必然要求。,信息系统审计的诞生 1,信息系统审计,信息系统/技术,审计

5、,“逐步开展对关系国计民生的重大行业、部门的联网审计和信息系统审计，全面提高计算机应用水平”,+,引自：审计署2006至2010年审计工作发展规划,信息系统审计是我国审计发展的新路径 1,信息化时代，我国的信息系统审计具备极大的需求和迫切性： 信息系统审计被列入“金审工程”二期的试点范围（2007.5，审计署信息系统审计研讨会） 信息系统审计成为审计署2008年度重大研究课题之一。 审计署信息系统审计培训开班（2008.5.28） 审计署提出要基本形成符合中国国情的信息系统审计的理论和方法。 （中国审计报） 部分审计机关将2008年作为信息系统审计的探索之年。（中国审计报） 相关部门正在积极酝

6、酿并研究制定信息系统审计准则和指南 但是“我们的信息系统审计仍处于探索阶段”（石爱中语）,COSO框架,COSOERM框架和1992年的COSO报告一样，也主要在“控制活动”和“信息沟通”中对IT控制做出相关规定。 但是因为时隔12年，信息技术已经有翻天覆地的变化，所以该框架在技术上对IT控制（包括一般控制和应用控制）作了更为广泛、科学的描述。 控制活动，指为确保风险管理策略有效执行而制定的制度和程序，包括核准、授权、验证、调整、复核、定期盘点、记录核对、职能分工、资产保全、绩效考核等。 信息沟通，指产生服务于规划、执行、监督等管理活动的信息并适时向使用者提供的过程。,COBIT,ITIL,I

7、TIL流程间的关联,ISO27001标准,ISO27001标准不是一个技术性的信息安全操作手册，而一个通用的信息安全管理指南。它提出 了11个安全要素，39个控制目标和133种控制措施。ISO17799中的11个要素分别是： 安全策略（Security policy）； 信息安全组织（Organization of information security）； 资产管理（Asset management）； 人力资源安全 （Human resource security）； 物理和环境安全（Physical and environmental security）；, 通信和操作管理（Commu

8、nication and operation management）； 访问控制（Access control）； 信息系统获取、开发和维护（Information systems acquisition, development and maintenance）； 信息安全事件管理（Information security incident management）； 业务连续性管理（Business continuity management）； 符合性（Compliance）。,5. 企业如何实施IT治理-16字方针,整体规划，分步实施，关注试点，持续优化,-Think big, do s

9、mall, Do big,5. 企业如何实施IT治理-16字方针,整体规划，分步实施，关注试点，持续优化,-Think big, do small, Do big,5. 企业如何实施IT治理-16字方针,整体规划，分步实施，关注试点，持续优化,-Think big, do small, Do big,5. 企业如何实施IT治理-16字方针,整体规划，分步实施，关注试点，持续优化,-Think big, do small, Do big,外部合规要求：,中央企业全面风险管理指引 国资委信息化水平评价 企业内部控制基本规范 上海证券交易所上市公司内部控制指引 美国SOX法案合规 施工总承包企业特级

10、资质标准,国资委信息化水平评价-合规2,企业内部控制应用指引,内部控制应用指引中的计算机信息系统具体规范则提出：企业在建立并实施计算机信息系统内部控制制度中，至少应当强化对以下关键方面或者关键环节的风险控制，并采取相应的控制措施： （一）权责分配和职责分工应当明确，重大信息系统事项应履行审批程序； （二）信息系统开发、变更和维护流程应当清晰，授权审批程序应当明确； （三）信息系统应当建立访问安全制度，操作权限、信息使用、信息管理应当有明确规定； （四）硬件管理事项和审批程序应当科学合理； （五）会计电算化流程应当规范，会计电算化操作管理、硬件、软件和数据管理、会计电算化档案管理和会计电算化账务处理等制度应当完善。,上海证券交易所上市公司内部控制指引-合规4,第四条 公司董事会对公司内控制度的建立健全、有效实施及其检查监督负责，董事会及其全体成员应保证内部控制相关信息披露内容的真实、准确、完整。 第十条 公司使用计算机信息系统的，还应制定信息管理的内控制度。 信息管理的内控制度至少应涵盖下列内容： （一）信息处理部门与使用部门权责的划分； （二）信息处理部门的功能及职责划分 （三）系统开发及程序修改的控制； （四）程序及资料的存取、数据处理的控制； （五）档案、设备、信息的安全控制；,IT治理成熟度诊