IT治理：一种对现实难题的探索,孙强 ,什么是信息系统审计,信息系统（IS）审计是指根据公认的标准和指导规范对信息系统及其业务应用的效能、效率、安全性进行监测、评估和控制的过程，以完成组织的战略目标，同时最经济的使用资源。,IS 审计对象,审计对象,变革管理,数据中心运维,信息安全,网络管理,基础设施,数据库管理,硬件管理,绩效与容量,问题管理,灾难回复与业务持续,软件管理,通信,技术支持服务,系统开发,信息系统审计的过程,1.理解客户业务、系统、环境等 2.识别并评估风险(risk) 3.检查是否存在足够的控制（control）来补偿这些风险 4.对控制进行测试和评价 5.提出审计结论和报告,背景：这个世界发生了什么？,商业环境更加复杂多变业务重组、裁员、外包、充分授权、扁平化组织和分布式处理等等 信息和信息技术对于很多组织意味着最重要的资产，这导致IT本身已经或潜在成为一个巨大的威胁，随IT而来的风险、利益和机会使得IT治理成为公司和政府治理中很关键的一个方面。,IT治理缺失的九大症状,首先，各自为政。 其次，信息化建设领导者错位，IT应用方案和企业业务需求之间逻辑错位。 。 第三，决策的技术经济论证不足。 第四，信息资源的合理应用一直是我国信息化的薄弱环节。 第五，利益冲突和信息的不透明。,IT治理缺失的九大症状,第六，IT安全治理和风险管理缺位。 第七，非技术性的障碍。 第八，重硬件购买，轻软件和咨询服务。,IT治理缺失的九大症状,第九，信息化建设找不到重心。 在做正确的事吗？ 例如，信息化到底是什么？我们究竟应该走多远？ 这些事是在用正确的方法吗？ 例如，企业在最普通而又最关键的部分进行计算机管理就不是信息化吗？关键成功要素是什么？不能达到我们目标的风险是什么？ 这些事被做好了吗？ 例如，有没有一个测量标准用于判断何时肯定会出现错误？其他的组织在做什么？我们应该怎样进行测量与比较？ 我们得到受益了吗？ 那么，IT成本与利润比例多少算是合适？ 有没有贯通风险、控制需要和技术问题这三者之间的桥梁？,IT治理缺失的九大症状,总之，一个治理机制不完善的企业很难对外部竞争有积极的反应，从而很难有十分高的经营效率；相反，市场竞争的效率也来自于企业治理机制的完善，如果市场中的企业治理机制普遍不完善，企业之间就不可能进行充分有效的市场竞争。市场竞争最终要通过企业自身治理机制的改善才能使企业经营效率提高。,IT治理的定义,德勤定义如下: IT治理是一个含义广泛的术语，包括信息系统、技术、通讯、商业、所有利益相关者、合法性和其他问题。其主要任务是：保持IT与业务目标一致，推动业务发展，促使收益最大化，合理利用IT资源，IT相关风险的适当管理。,IT治理的定义,Robert s. Roussey （美国南加州大学教授）认为：IT治理用于描述被委托治理实体的人员在监督、检查、控制和指导实体的过程中如何看待信息技术。IT的应用对于组织能否达到它的远景、使命、战略目标至关重要。,IT治理的定义,国际信息系统审计与控制协会 (ISACA)定义如下：IT治理是一个由关系和过程所构成的体制，用于指导和控制企业，通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。,IBM给中国银行业的白皮书 中建议,大力推动银行流程化与流程标准化的管理，建立全行级的跨部门的IT治理决策机构来决定IT项目实施的顺序，加强全行的管理与流程执行的纪律，与IT行业的供应商结成战略联盟,将战略伙伴的价值并入到价值链。,关于IT治理定义的共同点,IT治理必须与企业战略目标一致，IT对于企业非常关键，也是战略规划的组成，影响战略竞争。 IT治理和其它治理主体一样，是管理执行人员和利益相关者的责任（以董事会为代表）。 IT治理保护利益相关者的权益，使风险透明化，指导和控制IT投资、机遇、利益、风险。 信息技术治理包括管理层、组织结构、过程，以确保IT维持和拓展组织战略目标。,关于IT治理定义的共同点（续）,应该合理利用企业的信息资源，有效地集成与协调。 确保IT及时按照目标交付，有合适的功能和期望的收益，是一个一致性和价值传递的基本构建模块，有明确的期望值和衡量手段。 引导IT战略平衡系统的投资，支持企业， 变革企业，或者创建一个信息基础架构，保证业务增长，并在一个新的领域竞争。 对于核心IT资源做出合理的决策，进入新的市场，驱动竞争策略，创造总的收入增长，改善客户满意度，维系客户关系。,IT治理的目标,IT治理与业务目标一致 IT治理有效利用信息资源 IT治理风险管理,IT治理与业务目标一致,IT治理要从组织目标和信息化战略中抽取信息需求和功能需求，形成总体的IT治理框架和系统整体模型，为进一步系统设计和实施奠定基础，保证信息技术跟上持续变化的业务目标。,IT治理有效利用信息资源,目前信息化工程超期、 IT客户的需求没有满足、IT平台不支持业务应用等问题较为突出，通过IT治理可以对信息资源的管理职责进行有效管理，保证投资的回收，并支持决策。,IT治理风险管理,IT治理强调风险管理，通过制定信息资源的保护级别，强调关键的信息技术资源，有效实施监控，事故处理。IT治理使企业适应外部环境变化，为企业内部实现对业务流程中资源的有效利用，从而达到改善管理效率和水平的重要手段。,IT治理的目标,IT治理的目标将帮助管理层建立以组织战略为导向, 以外界环境为依据, 以业务与IT整合为中心的观念，正确定位IT部门在整个组织中的作用。最终能够针对不同业务发展要求，整合信息资源，制定并执行推动组织发展的IT战略。,IT治理解决哪些问题,发现信息技术本身的问题 了解管理者如何处理IT问题 自我评估IT管理的效果,IT治理解决哪些问题,例如，是否经常向最高管理层（董事会）定期汇报IT风险；IT是否是最高管理层（董事会）议程中的一个常用的术语，它是否以结构化形式表达；最高管理层（董事会）是否就商业目标与信息技术一致性进行阐明和沟通；最高管理层（董事会）对主要IT投资是否有清楚的观点，包括风险和回报；最高管理层（董事会）是否定期得到主要IT过程的报告；最高管理层（董事会）在获取IT目标和限制IT风险时是否得到独立的保证。 返回,IT治理解决哪些问题,例如，IT和组织战略目标的一致性程度怎么样；怎样衡量IT的交付价值；执行管理人员采取什么样的战略动机来管理IT；与企业的运营与成长管理相关的问题；企业是否清楚其商业目标与技术的关系：领先、跟随者还是滞后者；企业对风险（风险规避和风险承担）是否清楚；有没有最新的企业相关IT风险的清单，采取哪些行动处理这些风险。 返回,IT治理解决哪些问题,例如IT项目未能实现期望价值的概率；终端用户是否满意IT服务的质量；是否有足够的IT资源、基础设施、竞争力来满足战略目标；信息技术平均操作失误的原因；IT没有推动业务改善而是阻碍业务的次数。 返回,IT治理的范围,IT治理和其它治理活动一样，集中在最高管理层（董事会）和执行管理层。 好的IT治理实践需要在企业全部范围内推行。 IT治理使得最高管理层（董事会）和执行经理的一系列活动成为可能。这些活动主要包括：IT的目标，新技术的机遇和风险，关键过程与核心竞争力。如指导信息技术的职能和对企业的影响，分配责任，定义操作，业绩衡量，管理风险和获得保证的约束等。,公司治理和IT治理,公司治理主要关注利益相关者权益和管理，包括一系列责任和条例，由最高管理层（董事会）和执行管理者实施，目标是提供战略方向，保证目标能够实现，风险适当管理，企业的资源合理使用。,公司治理和IT治理,公司治理，驱动和调整IT治理。同时，IT能够提供关键的输入，形成战略计划的一个重要组成部分，这被认为是公司治理的一个重要功能IT影响企业的战略竞争机遇。 IT治理的一个关键性问题是：公司的IT投资是否与战略目标相一致，从而构筑必要的核心竞争力。,公司治理和IT治理,公司治理和IT治理的关系,公司治理和IT治理,概括地说，公司治理和IT治理都是市场（含政府）他律的机制，是如何“管好管理者”的机制，其目标也是一致的：达到业务永续运营，并增加组织的长期获利机会。 企业治理侧重于企业整体规划，IT治理侧重于企业中信息资源的有效利用和管理。,公司治理和IT治理的典范,“斯达模式”这一被誉为国企摆脱困境、改革发展的创新模式，正说明了公司治理和IT治理的重要性和互动关系。“黑纸”利用合资契机，对产权体制进行了改革，并按照现代企业制度要求，建立与市场竞争相适应的公司治理机制，明晰了企业产权，优化了生产要素配置，转变了职工观念，为斯达大力进行信息化改造创造了有力条件。反过来，信息化也促进了公司的现代化管理。,IT治理和IT管理,IT管理是公司的信息及信息系统的运营，确定IT目标以及实现此目标所采取的行动；而IT治理是指最高管理层（董事会）利用它来监督管理层在IT战略上的过程、结构和联系，以确保这种运营处于正确的轨道之上。,IT治理模型,COBIT （Control Objectives for Information and related Technology），代表信息及相关技术的控制目标，是IT治理的一个开放性标准，由美国IT治理研究院开发与推广,目前已成为国际上公认的最先进、最全面、最权威的IT管理和控制的标准。 该标准为IT的治理、安全与控制提供了一个一般适用的公认的标准，以辅助管理层进行IT治理。该标准体系已在世界一百多个国家的重要组织与企业中运用，指导这些组织有效利用信息资源，有效地管理与信息相关的风险。,COBIT模型,COBIT四个域的相互关系,COBIT规划与组织,定义IT战略规划 定义信息体系结构 确定技术方向 定义IT组织与关系 管理IT投资 传达管理目标和方向 人力资源管理 确保与外部需求的一致性 风险评估 项目管理 质量管理,COBIT获得与实施,确定自动化的解决方案 获取并维护应用程序软件 获取并维护技术基础设施 程序开发与维护 系统安装与鉴定 变革管理,COBIT交付与支持,定义并管理服务水平 管理第三方的服务 管理性能与容量 确保服务的连续性 确保系统安全 确定并分配成本 教育并忠告客户 配置管理 处理问题与例外 数据管理 设施管理 操作管理,COBIT监控,过程监控 评价内部控制的适当性 获取独立保证 提供独立的审计,COBIT体系框架,意义：COBIT实现了企业目标与IT治理目标之间的桥梁作用。,COBIT的主要优点,COBIT是一个非常有用的工具，也非常易于理解和实施，可以帮助在管理层、IT与审计之间交流的鸿沟上搭建桥梁，提供了彼此之间沟通的共同语言。 通过实施COBIT，增加了管理层对控制的感知及支持。COBIT帮助管理层懂得控制如何影响商业功能。,COBIT的主要优点（续）,COBIT使IT管理工作简易并量化，减轻对复杂信息系统管理工作的难度，并且可以应用在每天都在发生的各种新问题中。 COBIT提供了一种国际通用的IT管理及问题解决方案，普遍适用于各种不同的商业项目和审计，并且它既包容了我们当前的情况，也提供将来可能会使用到的指导方针。,COBIT的主要优点（续）,COBIT有助于提高信息系统审计师的影响力，依据COBIT出具的信息系统审计报告更容易得到管理层的肯定。 COBIT框架可以能够帮助决定过程责任，提高IT治理水平。,COBIT在组织中的应用指南,通过关键成功因素、成熟度模型、关键目标指标、关键性能指标四个方面的有机作用，使企业中的信息资源得到有效的管理。,关键成功因素为管理部门控制信息技术及其处理过程提供了实施指南。 是信息