集團(tuán)企業(yè)it治理內(nèi)容、工具與實(shí)例

1、集團(tuán)企業(yè)的IT治理,內(nèi)容、工具與實(shí)例,主要內(nèi)容,IT治理是什么為什么要做IT治理IT治理的五大關(guān)鍵IT決策問題（治理對(duì)象）IT治理機(jī)制（治理手段）企業(yè)如何實(shí)施IT治理,1. IT治理的本質(zhì),IT治理屬于公司治理的組成部分，是指導(dǎo)和控制IT資源的結(jié)構(gòu)，關(guān)系和過程，通過平衡風(fēng)險(xiǎn)和回報(bào)獲取IT價(jià)值，以實(shí)現(xiàn)企業(yè)目標(biāo)。價(jià)值實(shí)現(xiàn)，風(fēng)險(xiǎn)控制是IT治理的兩個(gè)核心。,打個(gè)比方來說： “管理”相當(dāng)于列車行駛時(shí)怎么開快火車;“治理”則是規(guī)定誰

2、來做決策、鋪設(shè)怎樣軌道，誰來和怎么約束火車在軌道內(nèi)安全行駛因此，雖然是硬幣的兩面，但是治理卻更具統(tǒng)籌效應(yīng)。,2 為什么要IT治理,2005年，麻省理工CISR研究中心與Gallup咨詢機(jī)構(gòu)合作，Ross 和Weill教授通過實(shí)證研究表明IT治理有助于企業(yè)獲取高IT投資回報(bào)，好的IT治理模式可為企業(yè)增加20%以上的利潤2010年4月2日，《2010年中國企業(yè)信息化指數(shù)調(diào)研報(bào)告》顯示中國企業(yè)IT治理普遍欠佳。尤其IT規(guī)劃、IT

3、制度體系和IT評(píng)估缺失現(xiàn)象嚴(yán)重,IT治理缺失的八大癥狀：,一是缺乏IT建設(shè)整體規(guī)劃、執(zhí)行隨意性較強(qiáng)，標(biāo)準(zhǔn)化和規(guī)范化等基礎(chǔ)工作不到位，導(dǎo)致出現(xiàn)大量信息孤島，使公司面臨繁重的系統(tǒng)整合工作;二是業(yè)務(wù)部門與技術(shù)部門經(jīng)常出現(xiàn)“兩張皮”現(xiàn)象，使到溝通交流困難;三是IT預(yù)算缺乏完整性，計(jì)劃外項(xiàng)目過多;四是項(xiàng)目投資出現(xiàn)失誤或投資回報(bào)不高;五是項(xiàng)目管理缺乏控制手段，項(xiàng)目延期交付時(shí)有發(fā)生;六是IT事故責(zé)任不清，技術(shù)部門承擔(dān)責(zé)任過大;七是一些IT

4、系統(tǒng)建成后沒人進(jìn)行后續(xù)跟蹤運(yùn)維、推廣和使用;八是缺少IT審計(jì)環(huán)節(jié)，不清楚IT價(jià)值何在，認(rèn)為IT只是工具，缺乏約束機(jī)制。,為什么要做IT治理---兩大直接驅(qū)動(dòng)力,價(jià)值---- 提高企業(yè)信息化成熟度 + 支撐企業(yè)戰(zhàn)略風(fēng)險(xiǎn)---- IT過程控制 + 外部合規(guī)價(jià)值提升與風(fēng)險(xiǎn)控制：IT治理的最終目標(biāo),IT治理整體框架體系,典型的IT治理主體：董事會(huì)與執(zhí)行層 業(yè)務(wù)部門管理者IT部門管理人員,IT投資的分類

5、：,把信息技術(shù)投資分為四類資產(chǎn)，分別是: 交易流程信息管理流程戰(zhàn)略性開發(fā)或創(chuàng)新基礎(chǔ)架構(gòu)任何一項(xiàng)IT投資都可能是這四類資產(chǎn)的任何組合。,IT治理的五大對(duì)象：,1.我們應(yīng)當(dāng)花多少錢?2 哪些業(yè)務(wù)流程應(yīng)當(dāng)獲得資金?3 哪些IT能力應(yīng)當(dāng)面向整個(gè)公司?4 IT服務(wù)要有多好?5.誰來承擔(dān)責(zé)任,IT治理五大對(duì)象間關(guān)系,2 IT治理機(jī)制,IT決策權(quán)力部署方式,建立健全I(xiàn)T流程管控體系----IT治理機(jī)制,典型IT治理機(jī)制,實(shí)現(xiàn)IT治

6、理的工具/方法,信息系統(tǒng)審計(jì)的誕生 1,在美國、日本、英國、加拿大等發(fā)達(dá)國家，信息系統(tǒng)審計(jì)已經(jīng)發(fā)展到相當(dāng)程度，信息系統(tǒng)審計(jì)的理念也已深入人心。從國外ISA發(fā)展歷史來看，它是與企業(yè)信息化的過程緊密聯(lián)系的，是企業(yè)信息化的必然要求。,信息系統(tǒng)審計(jì)的誕生 1,信息系統(tǒng)審計(jì),信息系統(tǒng)/技術(shù),審計(jì),“逐步開展對(duì)關(guān)系國計(jì)民生的重大行業(yè)、部門的聯(lián)網(wǎng)審計(jì)和信息系統(tǒng)

7、審計(jì)，全面提高計(jì)算機(jī)應(yīng)用水平”,+,,,引自：《審計(jì)署2006至2010年審計(jì)工作發(fā)展規(guī)劃》,信息系統(tǒng)審計(jì)是我國審計(jì)發(fā)展的新路徑 1,信息化時(shí)代，我國的信息系統(tǒng)審計(jì)具備極大的需求和迫切性：信息系統(tǒng)審計(jì)被列入“金審工程”二期的試點(diǎn)范圍（2007.5，審計(jì)署信息系統(tǒng)審計(jì)研討會(huì)）信息系統(tǒng)審計(jì)成為審計(jì)署2008年度重大研究課題之一。 審計(jì)署信息系統(tǒng)審計(jì)培訓(xùn)開班（2008.5.28）審計(jì)署提出要基本形成符合中國國情的信息系統(tǒng)審計(jì)

8、的理論和方法。 （中國審計(jì)報(bào)）部分審計(jì)機(jī)關(guān)將2008年作為信息系統(tǒng)審計(jì)的探索之年。（中國審計(jì)報(bào)）相關(guān)部門正在積極醞釀并研究制定信息系統(tǒng)審計(jì)準(zhǔn)則和指南但是“我們的信息系統(tǒng)審計(jì)仍處于探索階段”（石愛中語）,Coso框架,COSO—ERM框架和1992年的COSO報(bào)告一樣，也主要在“控制活動(dòng)”和“信息溝通”中對(duì)IT控制做出相關(guān)規(guī)定。但是因?yàn)闀r(shí)隔12年，信息技術(shù)已經(jīng)有翻天覆地的變化，所以該框架在技術(shù)上對(duì)IT控制（包括一般控制和應(yīng)用

9、控制）作了更為廣泛、科學(xué)的描述。　控制活動(dòng)，指為確保風(fēng)險(xiǎn)管理策略有效執(zhí)行而制定的制度和程序，包括核準(zhǔn)、授權(quán)、驗(yàn)證、調(diào)整、復(fù)核、定期盤點(diǎn)、記錄核對(duì)、職能分工、資產(chǎn)保全、績效考核等。 信息溝通，指產(chǎn)生服務(wù)于規(guī)劃、執(zhí)行、監(jiān)督等管理活動(dòng)的信息并適時(shí)向使用者提供的過程。,COBIT,ITIL,ITIL流程間的關(guān)聯(lián),ISO27001標(biāo)準(zhǔn),ISO27001標(biāo)準(zhǔn)不是一個(gè)技術(shù)性的信息安全操作手冊(cè)，而一個(gè)通用的信息安全管理指南。它提出 了1

10、1個(gè)安全要素，39個(gè)控制目標(biāo)和133種控制措施。ISO17799中的11個(gè)要素分別是：◆ 安全策略（Security policy）； ◆ 信息安全組織（Organization of information security）； ◆ 資產(chǎn)管理（Asset management）； ◆ 人力資源安全 （Human resource security）； ◆ 物理和環(huán)境安全（Physical a

11、nd environmental security）；,,◆ 通信和操作管理（Communication and operation management）； ◆ 訪問控制（Access control）； ◆ 信息系統(tǒng)獲取、開發(fā)和維護(hù)（Information systems acquisition, development and maintenance）； ◆ 信息安全事件管理（Informatio

12、n security incident management）； ◆ 業(yè)務(wù)連續(xù)性管理（Business continuity management）； ◆ 符合性（Compliance）。,5. 企業(yè)如何實(shí)施IT治理-----16字方針,整體規(guī)劃，分步實(shí)施，關(guān)注試點(diǎn)，持續(xù)優(yōu)化,--Think big, do small, Do big,5. 企業(yè)如何實(shí)施IT治理-----16字方針,整體規(guī)劃，分步實(shí)施，關(guān)注試點(diǎn)，持續(xù)

13、優(yōu)化,--Think big, do small, Do big,5. 企業(yè)如何實(shí)施IT治理-----16字方針,整體規(guī)劃，分步實(shí)施，關(guān)注試點(diǎn)，持續(xù)優(yōu)化,--Think big, do small, Do big,5. 企業(yè)如何實(shí)施IT治理-----16字方針,整體規(guī)劃，分步實(shí)施，關(guān)注試點(diǎn)，持續(xù)優(yōu)化,--Think big, do small, Do big,外部合規(guī)要求：,《中央企業(yè)全面風(fēng)險(xiǎn)管理指引》《國資委信息化水平評(píng)價(jià)》《企業(yè)

14、內(nèi)部控制基本規(guī)范》《上海證券交易所上市公司內(nèi)部控制指引》美國SOX法案合規(guī)施工總承包企業(yè)特級(jí)資質(zhì)標(biāo)準(zhǔn),《國資委信息化水平評(píng)價(jià)》--合規(guī)2,企業(yè)內(nèi)部控制應(yīng)用指引,內(nèi)部控制應(yīng)用指引中的計(jì)算機(jī)信息系統(tǒng)具體規(guī)范則提出：企業(yè)在建立并實(shí)施計(jì)算機(jī)信息系統(tǒng)內(nèi)部控制制度中，至少應(yīng)當(dāng)強(qiáng)化對(duì)以下關(guān)鍵方面或者關(guān)鍵環(huán)節(jié)的風(fēng)險(xiǎn)控制，并采取相應(yīng)的控制措施：（一）權(quán)責(zé)分配和職責(zé)分工應(yīng)當(dāng)明確，重大信息系統(tǒng)事項(xiàng)應(yīng)履行審批程序；（二）信息系統(tǒng)開發(fā)、變更和維護(hù)流程應(yīng)

15、當(dāng)清晰，授權(quán)審批程序應(yīng)當(dāng)明確；（三）信息系統(tǒng)應(yīng)當(dāng)建立訪問安全制度，操作權(quán)限、信息使用、信息管理應(yīng)當(dāng)有明確規(guī)定；（四）硬件管理事項(xiàng)和審批程序應(yīng)當(dāng)科學(xué)合理；（五）會(huì)計(jì)電算化流程應(yīng)當(dāng)規(guī)范，會(huì)計(jì)電算化操作管理、硬件、軟件和數(shù)據(jù)管理、會(huì)計(jì)電算化檔案管理和會(huì)計(jì)電算化賬務(wù)處理等制度應(yīng)當(dāng)完善。,《上海證券交易所上市公司內(nèi)部控制指引》--合規(guī)4,第四條 公司董事會(huì)對(duì)公司內(nèi)控制度的建立健全、有效實(shí)施及其檢查監(jiān)督負(fù)責(zé)，董事會(huì)及其全體成員應(yīng)保證內(nèi)部控制相

16、關(guān)信息披露內(nèi)容的真實(shí)、準(zhǔn)確、完整。第十條 公司使用計(jì)算機(jī)信息系統(tǒng)的，還應(yīng)制定信息管理的內(nèi)控制度。 信息管理的內(nèi)控制度至少應(yīng)涵蓋下列內(nèi)容：　?。ㄒ唬┬畔⑻幚聿块T與使用部門權(quán)責(zé)的劃分；　　（二）信息處理部門的功能及職責(zé)劃分　?。ㄈ┫到y(tǒng)開發(fā)及程序修改的控制；　?。ㄋ模┏绦蚣百Y料的存取、數(shù)據(jù)處理的控制；　?。ㄎ澹n案、設(shè)備、信息的安全控制；,IT治理成熟度診斷,成熟度診斷的六個(gè)方面：IT權(quán)責(zé)體系IT戰(zhàn)略IT投資IT運(yùn)維服