第二章IT治理

第一節IT治理概述兩個例子:1、2002年5月29日上午８時３０分左右，南京火車站電腦售票系統突然發生死機故障，整個車站售票處于癱瘓狀態，車站售票大廳內人滿為患，眾多旅客不得不改乘其它交通工具離開南京。車站領導和計算機技術人員告訴記者是由于電腦升級換代，調試時線路發生故障，才引發了此次系統癱瘓的。

2、9月5日廣東省工行因系統故障，全線停業一個半小時。

這兩個例子說明什么？

IT是技術，是資源，是服務，更是成本企業需要將IT應用于業務領域，通常需要提出以下問題：企業所需要的IT服務是什么？這些IT服務需要多少成本？企業IT應用中的決策機制如何？企業IT應用中的則、權、利如何分配？企業的IT應用應達到什么樣的水平？企業如何管理好自己的IT資源？企業如何做好IT的風險管理？

…

所有這些問題都離不開一個概念———IT治理。第二章IT治理據國外一份統計數據表明企業中IT系統出現故障有幾大原因：1、惡意代碼攻擊;2、缺乏有效的監控制度和手段;3、IT設備本身的性能問題;4、應用系統/數據本身存在問題;5、員工缺少技能培訓;6、不同部門的IT人員之間缺乏協調;7、缺少運營管理方法論的指導;

8、員工不按規足/流程操作。

可以看到在這些原因中都和管理與流程存在很大關系，要做好組織中的IT風險控制和信息安全離不開IT治理。第二章IT治理第二章IT治理

從IT的各種定義可總結出有關IT治理的共同點：1、

IT治理必須與企業戰略目標一致；

2、

IT治理管理執行人員和利益相關者的責任（以董事會為代表）；3、

IT治理保護利益相關者的權益，使風險透明化，指導和控制IT投資、機遇、利益、風險；

4、IT治理包括管理層、組織結構、過程，以確保IT維持和拓展組織戰略目標；

5、應該合理利用企業的信息資源，有效地集成與協調；

6、確保IT及時按照目標交付，有合適的功能和期望的收益，是一個一致性和價值傳遞的基本構建模塊，有明確的期望值和衡量手段；7、引導IT戰略平衡系統的投資，支持企業，變革企業，或者創建一個信息基礎架構，保證業務增長，并在一個新的領域競爭；

8、對于核心IT資源做出合理的決策，進入新的市場，驅動競爭策略，創造總的收入增長，改善客戶滿意度，維系客戶關系。

無論這些定義從哪個角度關注IT治理，但都涉及信息系統、技術及連通性、商業活動、法律相關事宜以及所有利益相關者—公司董事、高級管理人員、業務流程的執行者、IT供應商、IT的使用者以及審計人員等。———IT治理對象。同時，也是IT治理審計對象。

IT治理的使命：保持IT與業務目標一致，推動業務發展，促使收益最大化，合理利用IT資源，適當管理與IT相關的風險。

從本質上講，IT治理：

是一種制度設計；是一種有效機制；是一種IT資源的管理和分配；是一種風險管理和控制；是一種認識問題；是一個過程。

第二章IT治理二、IT治理與IT管理、公司治理的關系1、IT治理與IT管理的關系。主要體現在：（1）IT治理是指最高管理層（董事會）利用它來監督管理層在IT戰略上的過程、結構和聯系，以確保這種運營處于正確的軌道之上。IT管理是公司的信息及信息系統的運營，確定IT目標以及實現此目標所采取的行動；（2）IT治理與IT管理的關系，是指導關系，即先與后，上與下的關系。

（3）IT治理強調構建良好的管理環境，而IT管理強調對IT資源的運營。

第二章IT治理其中涉及要素：IT資源由此涉及：IT治理問題IT治理與公司治理的關系：

公司治理和IT治理都是市場(含政府)他律的機制，是如何“管好管理者”的機制，其目標也是一致的：達到業務永續運營，并增加組織的長期獲利機會。公司治理驅動和調整IT治理；IT影響企業的戰略競爭機遇。公司治理側重于企業整體規劃；IT治理側重于企業中信息資源的有效利用和管理。

處理好IT治理與公司治理的關系，應解決：

第二章IT治理1、認識上，要將信息技術不僅視為技術，更是業務；2、戰略上，促進IT戰略與公司戰略的整合，使IT成為公司戰略的中心，保證公司戰略從制訂之初就具備競爭力；3、實施上，通過IT治理，主要從風險回避方面保證公司治理的落實。

第二章IT治理

第二節IT治理的目標和范圍一、IT治理的目標

IT治理應著眼于以下目標：1、與業務目標一致原則：服從于企業戰略，不能背離2、有效利用信息資源IT治理的使命：通過及時、有效的IT治理，促進信息的價值轉化3、風險管理通過IT治理：構建風險管理制度及風險應對決策；使風險透明化；有效的風險投資、管理和控制；風險的防范措施。實現：平衡信息技術與過程的風險，確保組織目標的實現

第二章IT治理根據該公司的發展戰略框架確定需重點解決的問題：(1)集成物流分散點，降低營運成本與費用；(2)建立庫存控制機制與準則，避免內部控制和監管的失靈；(3)集成和標準化訂單業務流程；(4)建立追究責任制，完善安全管理；(5)推動商務運作，加強對外合作與聯盟；(6)滿足現有客戶，擴展新客戶；(7)完善貨款追蹤到位機制。第二章IT治理根據目標和問題，確定IT建設內容，即IT戰略目標：(1)聯網各分散物流點的執行系統，由總部統一監控與管理；(2)構建JIT配送平臺，確保零庫存；(3)采用物流執行系統，從而組成完整的訂單，并持續改進客戶的響應速度，同時，該系統可以幫助客戶將訂單轉變成可以發運的品項，從而降低運輸費用；(4)完善客戶訂單與發貨品的追蹤系統，使客戶能夠及時獲取貨項信息；(5)建立電子商務平臺，通過網絡實現配送外協等合作，提高與供應商、政府部門之間配合的效率;(6)建立客戶關系管理系統，通過Web網站、E-Mail系統、呼叫中心、自動傳真回復系統等，向客戶提供365天×24小時的不間斷服務；(7)搭建財務管理系統，保證財務部門及所有受支持的部門都能獲得精、快的財務信息，以便有效地進行業務決策及監控現金的收支情況。根據以上所確定的IT建設內容，并形成了該公司的IT藍圖（見圖）

第二章IT治理發貨品管理成本管理安全管理訂單管理配送管理客戶管理反向物流管理第三方管理呼叫中心市場分析人力資源管理、財務管理協同辦公平臺管理第二章IT治理第三節IT治理的關鍵問題一、IT治理的關鍵問題IT治理的關鍵問題表現在：1、IT投資是否與企業經營在戰略目標(Strategy)，策略(Tactic)和運營(即operation)層面相融合，從而構筑必要的核心競爭力；2、IT治理是否有助于合理的制度安排真正發揮其作用；3、在長期的IT應用中，是否持續地創造商業價值；4、是否有有效的風險管理機制。其中最關鍵的問題是第一點：IT治理應體現以“組織戰略目標為中心”思想。

第二章IT治理搞好IT治理必須解決的問題：1、IT關鍵領域誰做決策和如何決策。5個IT關鍵領域：A、信息技術原則；B、信息技術結構；C、信息技術基礎設施；D、企業應用需要；E、信息技術投資及優先順序。2、信息化中的責、權、利問題；3、信息化建設中的風險評估和績效評價問題；4、信息系統控制與信息技術管理體系問題。

第二章IT治理

信息化建設中的風險管理及評估流程：

1)確立可承受的IT風險損失價值；2)IT風險識別；（列舉清單法、專家判斷法、工作分解分析法、信息檢索法、訪談法、流程圖和魚刺圖法）3)IT風險預測；4)IT風險日常管理與控制；5)IT盈利與損失統計；6)風險再評級。

第二章IT治理績效評價方法（業績衡量）——IT平衡計分卡法。主要從以下幾個方面衡量：(1)IT價值貢獻；(2)客戶滿意度；(3)內部處理過程；(4)學習與創新。

(3)內部處理過程

IT內部過程關注IT部門兩個基本過程的改進和度量：系統開發過程以及系統運營過程，此外也關注其他過程，如問題管理、用戶教育、人員管理、通信渠道的使用等。在評價IT內部過程，主要考慮以下問題：?交付的產品質量是否符合通用標準；?交付的產品是否使用可普遍接受的方法與工具；?用于支持主要過程改進的IT資源是否充分；?基礎設施是否為業務需要提供了可靠支持；?企業IT基礎設施是否得到維護。

第二章IT治理

(4)學習與創新

主要用于評價IT組織的技能水平以及持續學習和革新的能力。在評價IT學習與革新能力的時候，主要考慮以下問題：?是否有正確的技能與人員來保證質量；?是否追蹤對企業業務發展有重要意義的新技術的方向；?是否使用認可的方法來構建與管理IT項目；?是否為員工提供適當的工具、培訓、執行任務的動機。

二、IT治理缺失的癥狀

1、各自為政，缺乏統一、全局的IT戰略規劃；2、信息化建設領導者錯位，IT應用方案和企業業務需求之間邏輯錯位；3、決策的技術經濟論證不足；4、信息資源的合理應用是信息化的薄弱環節；5、利益沖突和信息的不透明；6、IT安全治理和風險管理缺位；7、非技術性的障礙；8、重硬件購買，輕軟件和咨詢服務；9、信息化建設找不到重心。

第二章IT治理建立有效的IT治理需從5個領域進行：1、IT戰略一致性；

2、IT價值交付；

3、IT資源管理；

4、IT風險管理；

5、IT性能評價。

第二章IT治理第四節IT治理框架和標準一、IT治理框架

構建IT治理架購包含三個方面:

組織機構、流程、溝通機制

（3）CIO。CIO崗位的職責:發起制定、組織完成企業IT戰略規劃;開發企業應用，協調企業和部門的應用開發;保障IT基礎設施和體系架構的運行及投資;決定IT服務和技能服務；建立關鍵的IT供應商和咨詢顧問間的戰略伙伴關系；提供技術支持使企業增加收入和盈利能力;維護客戶滿意度；向用戶提供培訓。

第二章IT治理（4）管理者。管理者的職責是：將IT風險管理責任和控制落實到企業中；將戰略，策略，目標等落實到企業日常工作中，并使信息技術的組織與企業目標一致；促進信息的創造與共享；通過衡量公司業績和競爭優勢來測度信息技術的效果；關注重要的增值的信息技術過程；關注與規劃和管理IT資產、風險、工程項目、客戶和供應商相關的核心競爭能力，等。（5）信息技術人員。負責項目的開發與實施；負責項目技術指導與實現；負責信息系統的日常運行與維護；為業務部門和管理人員提供技術服務支持。第二章IT治理（6）外部和內部審計人員。信息系統的管理、規劃與組織評價；評價組織在技術與操作基礎設施的管理和實施方面的有效性及效率；對邏輯、環境與信息技術基礎設施的安全性進行評價；對災難恢復與業務持續計劃評價；對應用系統的開發、獲得、實施與維護方面所采用的方法和流程進行評價；業務流程評價與風險管理評價。第二章IT治理三、COBIT簡介：COBIT（信息及相關技術的控制目標），是有關IT治理的一個開放標準。該標準是國際公認的最先進、最權威的安全與信息技術管理和控制的標準。該標準為IT的治理、安全與控制提供了一個一般適用的公認的標準。該標準為組織有效的利用信息資源，有效管理、控制與信息相關的風險提供指導。COBIT將IT過程，IT資源及信息與企業的策略與目標聯系起來，形成一個三維的體系結構（參見P.52圖）

COBIT的體系框架包括四大部分：控制目標、管理指南、審計指南、工具集（參見P.54圖）第二章IT治理第二章IT治理IT準則維：反映了企業使用IT的戰略目標。標準包括：有效性、效率性、機密性、完整性、可用性、一致性、可靠性等IT資源維：描述了IT治理過程的主要資源對象。對象包括：人員、應用系統、技術、設施和數據等IT過程維：是對信息及相關資源進行規劃與處理的過程。提供了：從信息系統生命周期的四大域確定了34個信息技術處理過程，每個處理過程包括詳細的控制目標和與控制目標相聯系的審計指南。

第二章IT治理四大域：計劃與組織；采集與實施；交付與支持；監控

34個信息技術處理過程（從四大域）包括：(參見教材P.53表）計劃與組織：定義IT戰略、定義信息體系結構、確定技術方向、定義IT組織與關系、管理IT投資、管理目標和方向、人力資源管理、確保與外部需求的一致性、風險評估、項目管理、質量管理

采集與實施：確定自動化的解決方案、獲取并維護應用程序、獲取并維護技術基礎設施、系統安裝與鑒定、變革管理交付與支持：定義并管理服務水平、管理第三方的服務、管理性能與容量、確保服務的連續性、確保系統安全、確定并分配成本、教育并培訓客戶、配置管理、處理問題和突發事件、數據管理、設施管理、運營管理

第二章IT治理監控：過程監控、評價內部控制的適當性、獲取獨立保證、提供獨立的審計控制目標中：計劃和組織目標：判別哪些IT策略最有助于業務目標的實現；應設置何種組織結構，建立何種技術基礎結構，如何對IT策略的實現進行計劃、協調與管理。采集和實施目標：為了實現IT戰略，如何定義、開發、獲取、實施IT解決方案，并把這一方案集成到業務過程中。如何解決系統的變遷與維護，以使系統的生命周期得以延續。交付與支持目標：如何解決系統交付所需的服務，包括操作安全性、連續性、人員培訓以及需建立的支持過程，還包括實際數據處理，通常按應用控制進行分類。監控目標：評估IT過程質量，評估IT過程與控制需求相符的程度

第二章IT治理第二章IT治理管理指南：COBIT給出了：度量IT過程的指標體系、度量的尺度以及度量的基準點。

4個指標：成熟度模型CMM，以及關鍵成功因素CSF、關鍵目標指標KGI、關鍵性能指標KPI

4個指標簡介：

1、成熟度模型CMM功能：確定IT控制的基準。從而認清企業所處的行業地位，如何測定和比較

2、關鍵成功因素CSF功能：勾畫IT控制輪廓。從而描繪重要的、控制的關鍵成功因素

3、關鍵目標指標KGI功能：識別IT處理過程的目標。從而認識哪些是必須做到的，不能達成目標的風險有哪些

4、關鍵性能指標KPI功能：測定IT處理過程的性能。從而評價IT輸出和實際績效，評價處理過程執行好壞的程度

第二章IT治理案例1：關鍵成功因素CSF1、IT治理活動與公司治理相結合，并有公司領導的參與；2、IT治理專注于公司目標、戰略，使用技術提高業務水平，及滿足業務需求的足夠可用的資源和能力；3、IT治理活動應該目標明確，制度規范和實施有效，并落實到人；4、實施最佳管理實踐以提高資源的有效利用，提供IT過程的效率；5、建立組織以充分監督，根據標準程序評估風險，及監督和追究控制缺陷和風險；6、建立內部控制準則以避免內部控制和監管的失靈；7、IT問題管理、變革管理和配置管理等，是集成和關聯的；8、建立審計委員會。第二章IT治理案例2：關鍵目標指標KGI1、加強績效和成本管理；2、提高主要的IT投資的回報；3、提高響應市場速度；4、增加質量，創新和風險管理；5、適當集成和標準化業務流程；6、擴展新客戶，滿足現有客戶；7、可用的適當帶寬，計算能力和IT交付機制；8、在預算范圍內及時滿足客戶的需求和期望；9、不違反法律、法規，行業標準和各類合同；10、清楚承擔的風險，這種風險應與組織整體風險狀況相一致；11、進行IT治理成熟度標桿比較；12、創造傳遞服務的新渠道。第二章IT治理案例3：關鍵性能指標KPI1、提高了IT流程的成效（成本、交付能力）；2、增加了用于改善流程的IT計劃；3、增加了IT基礎設施的利用率；4、增加了客戶滿意度；5、增加了員工工作效率和士氣；6、增加用于管理公司的知識和信息的可用性；7、增加IT治理和公司治理的聯系；8、使用平衡計分卡測量時，績效得到提高。第二章IT治理運用：借助于CMM模型，了解IT過程管理所處的狀態和自身的薄弱環節，并有針對性地解決自身的問題。借助于CSF、KGI、KPI指標有效地進行IT過程管理。審計指南：為中介評估機構或信息系統審計師對信息系統的控制進行了解、評估和實施審計提供建議與指導。給出了：IT審計的一般方法和要求；根據COBIT的框架，針對信息系統34個高層次控制目標建議了相應的審計步驟；為信息系統審計師具體檢驗和評價各IT過程是否符合318個具體控制目標給出了詳細的審計指南,并指出了各控制目標未達到時會帶來的風險及改進控制的建議。第二章IT治理應用工具集：提供了包括管理意識、IT控制診斷、應用指導、常見問題集、、個案研究等工具，以及介紹COBIT的相關課件。目的：工具集的設計主要是讓COBIT的應用更加便利，使組織可以快速且成功地掌握如何在不同的工作環境中應用COBIT。第二章IT治理COBIT的主要優點：1、可以幫助在管理層、IT與審計之間交流的鴻溝上搭建橋梁，提供了彼

此之間溝通的共同語言；2、通過實施COBIT，增加了管理層對控制的感知及支持；3、COBIT使IT管理工作簡易并量化，減輕對復雜信息系統管理工作的難度，并且可以應用在每天都在發生的各種新問題中；

4、COBIT提供了一種國際通用的IT管理及問題解決方案，普遍適用于各種不同的商業項目和審計；5、COBIT有助于提高信息系統審計師的影響力；6、COBIT框架可以能夠幫助決定過程責任，提高IT治理水平。

第五節IT治理機制和方法一、建立IT治理機制第二章IT治理如何有效地進行IT治理？需要——建立有效的IT治理機制，因為：

決定信息系統是否有效運轉的因素不是信息技術，而是治理機制、管理模式、制度與規則，流程與標準，最終是人。因此，在這些因素之上，需要合理有效的制度安排。

建立有效的IT治理機制，要做好以下幾方面：1、實現企業戰略與IT戰略互動；2、政府應作為推動者；3、建立專門化的建立IT治理委員會；4、保證職責明確；5、信息系統審計。

第二章IT治理二、IT治理的方法1、積極進行IT治理設計要求：最高管理層（董事會）樹立和維護IT戰略地位的思想認識，從組織的戰略出發而不是從系統的需求出發，可以避免脫離目標而進行建設的困境；發展外部市場監控和審計機制。

包括：構建有效的：IT治理結構；決策制定程序；IT原則、架構、基礎設施、業務應用需求、投資決策程序；風險管理制度；審計監督程序，等。

第二章IT治理2、選擇正確的時間進行IT治理設計選擇依據：公司治理的IT需求；企業的戰略目標；企業的業務需求及變革需求；IT風險管理；價值的交付。3、高層經理人員的參與高層經理人員：企業的高層管理者、CIO、審計主管，等角色：參與IT戰略的總體制定與決策；證實IT戰略與企業戰略一致；證實IT通過明確的期望和衡量手段交付；指導IT戰略、平衡支持企業和使企業成長的投資；恰當決策信息資源應著重使用的地方。

第二章IT治理4、對目標有所取舍目標選擇：選擇核心流程；業務應用需求；市場的機會；商業價值；效率和服務的比較；

第二章IT治理5、制定例外處理流程關鍵要素：能夠對流程進行清楚地定義，且企業所有的人都能理解；

流程要能使問題可以迅速提交給高層管理者；

例外流程應被采用到企業架構之中。6、提供相應的激勵措施：有一套激勵制度；有活力的組織和人員；有利于調動利益各方的積極性；激勵的整體性和持續性；建立激勵的可衡量指標；激勵方式的多樣性；激勵與責、權、利相結合。

第二章IT治理7、在組織的多個層面設計治理要求：在高層，應把握IT治理的戰略和決策；在中層，應注重IT治理的組織、管理和實施；在低層，應注重IT治理的有效執行和協調。注意點：做好自上而下的領導關系；做好自下而上的反饋關系；把握好各層面之間的溝通協調；注意責、權、利之間的一致性。8、加強透明度和教育主要體現：通過各種方式加強溝通和交流；加強IT治理意識和技能的培訓。

9、運用相同的機制治理多個關鍵資產第二章IT治理三、IT治理的基本程序1、在業務目標的驅動下，制定IT戰略，并保證IT戰略與業務戰略目標的匹配；2、挖掘業務需求，完善信息系統建設，使IT真正為業務提升、管理創新貢獻價值；3、實施IT項目管理與風險管理；4、進行IT績效評估。IT治理是一個循序漸進的往復循環的過程第二章IT治理

第六節IT治理成熟度模型

如何對IT治理狀況進行評價？——涉及：評價方法

目前較為流行IT治理的評價方法有三種：

IT成熟度模型、PW方法、CBSO法

IT成熟度模型介紹：

IT成熟度模型制定了一個基準，組織可能根據上面的指標確定自己的等級，從而了解定位自己企業的IT治理在業界所處的位置，確定未來努力的方向。

第二章IT治理平衡風險和收益后的IT治理和IT增值流程治理成熟度級別如下：不存在級（0級）：完全不存在可辨識的信息治理流程。初始級（1級）：初始的混亂的。

可重復級（2級）：重復的但模糊的。已定義級（3級）：已定義流程。已管理級（4級）：已管理和可測量的。優化級（5級）：全面滿足IT治理的要求并持續改進。

第二章IT治理IT治理成熟度模型方法的優點與作用：1、是一種進行實用性比較的等級制，能以簡單方式測定差異，有助于確定有關信息技術管理、安全性。2、是測量管理處理發展程度的一種方法，有助于企業將主要精力投入到關鍵的管理方面。3、有助于專業人員向管理層解釋IT管理存在的缺陷，從而確定組織的發展目標。4、將有助于解決以下在IT部門中普遍存在的問題：

（1）在競爭激烈的市場環境中，您的公司或部門在IT應用中處于什么水平？

（2）如果您認為有差距，究竟差在哪里？如何去改進？

（3）如果您覺得運作良好，那么您能說出好在哪里？好到何種程度？

（4）如何對IT管理進行績效評估？第二章IT治理

第七節審計IT治理架構一、審計IT治理架構和實施如果一個企業信息系統存在以下具有潛在風險的特征：（參見P.65）1、最終用戶態度不友好；2、過多的成本；3、預算超支；4、較高的員工離職率；5、缺乏經驗的員工；

6、經常出現硬件/軟件故障；7、用戶請求被積壓，沒有得到及時響應；8、遲緩的計算機相應時間；9、大量的廢止或暫停的開發項目；10、未受支持或未經授權的硬件/軟件采購；11、經常性的硬件/軟件升級；12、對例外報告沒有采取跟蹤處理措施；13、缺乏動力；14、缺乏持續性計劃；15、依賴一個到兩個關鍵員工；16、缺乏充分的培訓。這表明，該企業存在IT治理問題，需要建立、改善、提高其IT治理能力。

如何指出其存在的IT治理問題，以便提出改進建議？需要：IT治理審計第二章IT治理IT治理審計的實施：1、審核文擋文檔包括：信息技術戰略、計劃和預算；安全政策文檔；組織/職能圖；工作描述；指導委員會報告；系統開發和程序變更流程；操作程序；人力資源手冊。審核要點：完整、合理、合法合規審核目的：檢查相關文擋存在哪些問題和不足？哪些需要改進完善？第二章IT治理2、對被審核文擋進行進一步評估主要包括：文擋是否如實反映了管理層的思想，并得到了授權；文擋是否適用于當前狀況，并能得到及時更新。審核目的：通過證實文擋的真實可靠性、有效性等進一步獲取有關審計證據，以便為對企業的IT治理狀況進行分析、評價提供依據。

3、現場調查（面談和觀察）主要包括：通過面談從中了解有關信息系統的實際情況；通過觀察對信息系統的真實情況進行證實、判斷調查目的：證實文擋與實際的一致性；發現實際存在問題；進一步獲取相關證據。

第二章IT治理4、得出結論，提出審計建議依據：IT治理相關標準、模型等企業戰略目標、公司治理目標等

二、審核合同

在IT治理中，做好IT服