集團企業的IT治理內容、工具與實例主要內容IT治理是什么為什么要做IT治理IT治理的五大關鍵IT決策問題〔治理對象〕IT治理機制〔治理手段〕企業如何實施IT治理1.IT治理的本質IT治理屬于公司治理的組成局部，是指導和控制IT資源的結構，關系和過程，通過平衡風險和回報獲取IT價值，以實現企業目標。價值實現，風險控制是IT治理的兩個核心。打個比方來說：“管理〞相當于列車行駛時怎么開快火車;“治理〞那么是規定誰來做決策、鋪設怎樣軌道，誰來和怎么約束火車在軌道內平安行駛因此，雖然是硬幣的兩面，但是治理卻更具統籌效應。2為什么要IT治理2024年，麻省理工CISR研究中心與Gallup咨詢機構合作，Ross和Weill教授通過實證研究說明IT治理有助于企業獲取高IT投資回報，好的IT治理模式可為企業增加20%以上的利潤2024年4月2日，?2024年中國企業信息化指數調研報告?顯示中國企業IT治理普遍欠佳。尤其IT規劃、IT制度體系和IT評估缺失現象嚴重IT治理缺失的八大病癥：一是缺乏IT建設整體規劃、執行隨意性較強，標準化和標準化等根底工作不到位，導致出現大量信息孤島，使公司面臨繁重的系統整合工作;二是業務部門與技術部門經常出現“兩張皮〞現象，使到溝通交流困難;三是IT預算缺乏完整性，方案外工程過多;四是工程投資出現失誤或投資回報不高;五是工程管理缺乏控制手段，工程延期交付時有發生;六是IT事故責任不清，技術部門承擔責任過大;七是一些IT系統建成后沒人進行后續跟蹤運維、推廣和使用;八是缺少IT審計環節，不清楚IT價值何在，認為IT只是工具，缺乏約束機制。為什么要做IT治理---兩大直接驅動力價值----提高企業信息化成熟度+支撐企業戰略風險----IT過程控制+外部合規價值提升與風險控制：IT治理的最終目標IT治理整體框架體系典型的IT治理主體：董事會與執行層

業務部門管理者IT部門管理人員治理目標治理組織結構治理流程治理關系機制治理機制治理對象合規績效實現戰略IT投資IT基礎設施IT應用IT架構IT原則IT決策權安排IT投資的分類：把信息技術投資分為四類資產，分別是:交易流程信息管理流程戰略性開發或創新根底架構任何一項IT投資都可能是這四類資產的任何組合。IT治理的五大對象：1.我們應當花多少錢?2哪些業務流程應當獲得資金?3哪些IT能力應當面向整個公司?4IT效勞要有多好?5.誰來承擔責任IT治理五大對象間關系IT原則的決策高層關于企業如何使用IT的陳述IT架構決策組織從一系列政策、關系以及技術選擇中捕獲的數據、應用和基礎設施的邏輯，以達到預期的商業、技術的標準化和一體化IT基礎設施決策集中協調、共享IT服務可以給企業的IT能力提供基礎IT投資和優先順序決策關于應該在IT的那些方面投資以及投資多少的決策。包括項目的審批和論證技術業務應用需求決策為購買或內部開發IT應用確定業務需求2

IT治理機制IT決策權力部署方式

決策原型IT原則IT架構IT基礎設施戰略業務應用需求IT投資輸入決策輸入決策輸入決策輸入決策輸入決策高級業務主管負責制√√高級IT主管負責制√√√業務部門負責制√總部與業務部門共同負責制√√√√√√IT與業務部門負責制√√√√√√√建立健全IT流程管控體系----IT治理機制典型IT治理機制治理結構S1IT戰略委員會S2IT安全委員會S3IT指導委員會S4CIO直接向CEO負責S5CIO在執行層中的地位治理流程P1IT戰略規劃P2IT績效管理流程（平衡積分卡）P3項目組合管理P4IT預算管理P5IT項目治理與跟蹤溝通機制R1IT領導力R2業務/IT關系經理R3委員會正式會議實現IT治理的工具/方法信息系統審計的誕生1在美國、日本、英國、加拿大等興旺國家，信息系統審計已經開展到相當程度，信息系統審計的理念也已深入人心。從國外ISA開展歷史來看，它是與企業信息化的過程緊密聯系的，是企業信息化的必然要求。195460年代70年代80年代90年代

信息的收集、處理、傳遞和存儲都是由人來完成計算機出現之前對計算機有初步認識計算機應用蔓延信息系統在企業普及集成信息系統，MRP，MRPII應用在財務，庫存，統計方面會計電算化出現計算機欺詐舞弊事件出現財務數據的采集是由整個信息系統實時完成信息系統網絡化，大型化電子數據處理審計1969年，電子數據處理審計師協會（EDPAA）在美國洛杉礬成立完全手工審計手工審計

+紙質文檔審計開始重視對信息系統的審計信息系統審計師成為職業1994年，EDPAA更名為信息系統審計與控制協會（ISACA）信息系統成為企業重要資產如何確保網絡平臺上的信息系統的安全、可靠和有效變得越來越重要。

信息系統審計的誕生

1

信息系統審計信息系統/技術信息技術作為企業發展的“銀彈”，投資額度不斷加大，投資失敗的風險日漸成了企業難以承受之重信息系統成為企業運作，甚至是賴以生存的基礎，其安全、穩定和可靠性需要得以保障審計審計面臨的環境發生變化，信息系統是很多被審單位內部管理與控制的關鍵工具，審計的內容和重點發生變化。ISA審計成為控制審計風險的必然要求（假電子數據真審？）“逐步開展對關系國計民生的重大行業、部門的聯網審計和信息系統審計，全面提高計算機應用水平〞+引自：?審計署2024至2024年審計工作開展規劃?信息系統審計是我國審計開展的新路徑1信息化時代，我國的信息系統審計具備極大的需求和迫切性：信息系統審計被列入“金審工程〞二期的試點范圍〔2024.5，審計署信息系統審計研討會〕信息系統審計成為審計署2024年度重大研究課題之一。審計署信息系統審計培訓開班〔2024.5.28〕審計署提出要根本形成符合中國國情的信息系統審計的理論和方法?！仓袊鴮徲媹蟆尘植繉徲嫏C關將2024年作為信息系統審計的探索之年?！仓袊鴮徲媹蟆诚嚓P部門正在積極醞釀并研究制定信息系統審計準那么和指南但是“我們的信息系統審計仍處于探索階段〞〔石愛中語〕COSO框架COSO—ERM框架和1992年的COSO報告一樣，也主要在“控制活動〞和“信息溝通〞中對IT控制做出相關規定。但是因為時隔12年，信息技術已經有翻天覆地的變化，所以該框架在技術上對IT控制〔包括一般控制和應用控制〕作了更為廣泛、科學的描述。控制活動，指為確保風險管理策略有效執行而制定的制度和程序，包括核準、授權、驗證、調整、復核、定期盤點、記錄核對、職能分工、資產保全、績效考核等。

信息溝通，指產生效勞于規劃、執行、監督等管理活動的信息并適時向使用者提供的過程。COBITITIL服務支持流程事故管理問題管理變更管理版本管理配置管理服務提供流程可用性管理能力管理財務管理連續性管理服務水平管理ITIL流程間的關聯ISO27001標準ISO27001標準不是一個技術性的信息平安操作手冊，而一個通用的信息平安管理指南。它提出了11個平安要素，39個控制目標和133種控制措施。ISO17799中的11個要素分別是：◆平安策略〔Securitypolicy〕；◆信息平安組織〔Organizationofinformationsecurity〕；◆資產管理〔Assetmanagement〕；◆人力資源平安〔Humanresourcesecurity〕；◆物理和環境平安〔Physicalandenvironmentalsecurity〕；◆通信和操作管理〔Communicationandoperationmanagement〕；◆訪問控制〔Accesscontrol〕；◆信息系統獲取、開發和維護〔Informationsystemsacquisition,developmentandmaintenance〕；◆信息平安事件管理〔Informationsecurityincidentmanagement〕；◆業務連續性管理〔Businesscontinuitymanagement〕；◆符合性〔Compliance〕。

5.企業如何實施IT治理-----16字方針整體規劃，分步實施，關注試點，持續優化--Thinkbig,dosmall,Dobig

5.企業如何實施IT治理-----16字方針整體規劃，分步實施，關注試點，持續優化--Thinkbig,dosmall,Dobig

5.企業如何實施IT治理-----16字方針整體規劃，分步實施，關注試點，持續優化--Thinkbig,dosmall,Dobig

5.企業如何實施IT治理-----16字方針整體規劃，分步實施，關注試點，持續優化--Thinkbig,dosmall,Dobig外部合規要求：?中央企業全面風險管理指引??國資委信息化水平評價??企業內部控制根本標準??上海證券交易所上市公司內部控制指引?美國SOX法案合規施工總承包企業特級資質標準?國資委信息化水平評價?--合規2企業內部控制應用指引內部控制應用指引中的計算機信息系統具體標準那么提出：企業在建立并實施計算機信息系統內部控制制度中，至少應當強化對以下關鍵方面或者關鍵環節的風險控制，并采取相應的控制措施：〔一〕權責分配和職責分工應當明確，重大信息系統事項應履行審批程序；〔二〕信息系統開發、變更和維護流程應當清晰，授權審批程序應當明確；〔三〕信息系統應當建立訪問平安制度，操作權限、信息使用、信息管理應當有明確規定；〔四〕硬件管理事項和審批程序應當科學合理；〔五〕會計電算化流程應當標準，會計電算化操作管理、硬件、軟件和數據管理、會計電算化檔案管理和會計電算化賬務處理等制度應當完善。?上海證券交易所上市公司內部控制指引?--合規4第四條公司董事會對公司內控制度的建立健全、有效實施及其檢查監督負責，董事會及其全體成員應保證內部控制相關信息披露內容的真實、準確、完整。第十條公司使用計算機信息系統的，還應制定信息管理的內控制度。信息管理的內控制度至少應涵蓋以下內容：〔一〕信息處理部門與使用部門權責的劃分；〔二〕信息處理部門的功能及職責劃分〔三〕系統開發及程序修改的控制；〔四〕程序及資料的存取、數據處理的控制；〔五〕檔案、設備、信息的平安控制；IT治理成熟度診斷成熟度診斷的六個方面：IT權責體系IT戰略IT投資IT運維效勞風險與合規IT人力資源成熟度模型的使用成熟度提供了一種簡單實用的管理工具，組織可以用于評估現狀，了解自身目前所處的地位，行業標桿和國際最佳實踐的水平。根據企業現狀和行業標桿、國際最佳實踐對比找出未來改進的方向，結合業務需求，將主要精力投入到關鍵的管理領域。成熟度模型等級有助于向管理層清晰地展示IT管理存在的缺陷，將組織的管理水平與國際最佳實踐相對照，從而確定組織的發展目標。服務臺·制定了制度文檔?！び蠷emedy和聯友自己開發的服務平臺支撐。

·有效回訪率56％?！ず魮p率指標目前由花都電信提供，不準確。事件管理·制定了事件管理流程和制度，并對故障進行分級。

·事件主要由人工觸發。沒有從監控設備直接觸發的事件。問題管理·沒有明確的問題管理流程。

·有與IS部舉行例會解決問題的機制;有重大故障詳細報告。

·沒有主動分析事件、觸發問題的機制。配置管理·配置庫中對配置信息的分類層次清楚?！づ渲霉芾淼墓ぞ撸╮emedy）支撐配置管理。·配置管理信息較基礎。變更管理·變更的申請、審批、測試、實施流程完備?！ぞo急變更流程未見相關文件。服務級別管理·有完善的服務級別管理，并分解到服務目錄?！め槍Σ煌姆占墑e，有相應的控制措施?！ざㄆ跒镈FL提供服務報告。例如網絡設備、系統·一線人員上崗前參加相關技術培訓?！と狈y一的網絡、應用監控平臺?！ひ阎贫ú糠植僮髁鞒?，未形成完整體系。數據中心·武漢機房管理較完善，十堰較為混亂?！み\維人員對雙機、均衡、災難恢復等技術掌握不熟練。·缺乏事件應急方案。設備維護·運維工程師具備系統硬軟件維護的基本技能?！ね蛻舻臏贤ù嬖谝欢ǖ膯栴}。數據庫·一線工程師定期對數據庫進行備份和性能監控的工作。·二線運維SE定期對系統進行評估和性能優化；·同原廠商建立密切的聯系，經常參加原廠商的技術培訓。例如信息安全戰略與策略·缺乏明確的信息安全體系策略文件組織的安全·沒有公司層面的安全組織；與第三方保持著良好的聯系資產管理·有資產清單，但資產羅列不全；信息分類不夠細致人力資源安全·沒有對入職員工進行信息安全背景調查，但簽署了保密協議；信息安全培訓較薄弱；離職時，缺乏撤銷訪問權限的流程物理和環境安全·基本符合國家機房安全相關規定，但十堰機房需加強管理信息和操作管理·網絡安全方面部署了較成熟的防護技術，但缺乏備份記錄，移動介質的