3集团企业IT治理内容、工具与实例

集团企业的IT治理内容、工具与实例主要内容1.IT治理是什么2.为什么要做IT治理3.IT治理的五大关键IT决策问题（治理对象）4.IT治理机制（治理手段）5.企业如何实施IT治理1.IT治理的本质IT治理属于公司治理的组成部分，是指导和控制IT资源的结构，关系和过程，通过平衡风险和回报获取IT价值，以实现企业目标。价值实现，风险控制是IT治理的两个核心。打个比方来说：“管理”相当于列车行驶时怎么开快火车;“治理”则是规定谁来做决策、铺设怎样轨道，谁来和怎么约束火车在轨道内安全行驶因此，虽然是硬币的两面，但是治理却更具统筹效应。2为什么要IT治理2005年，麻省理工CISR研究中心与Gallup咨询机构合作，Ross和Weill教授通过实证研究表明IT治理有助于企业获取高IT投资回报，好的IT治理模式可为企业增加20%以上的利润2010年4月2日，《2010年中国企业信息化指数调研报告》显示中国企业IT治理普遍欠佳。尤其IT规划、IT制度体系和IT评估缺失现象严重IT治理缺失的八大症状：一是缺乏IT建设整体规划、执行随意性较强，标准化和规范化等基础工作不到位，导致出现大量信息孤岛，使公司面临繁重的系统整合工作;二是业务部门与技术部门经常出现“两张皮”现象，使到沟通交流困难;三是IT预算缺乏完整性，计划外项目过多;四是项目投资出现失误或投资回报不高;五是项目管理缺乏控制手段，项目延期交付时有发生;六是IT事故责任不清，技术部门承担责任过大;七是一些IT系统建成后没人进行后续跟踪运维、推广和使用;八是缺少IT审计环节，不清楚IT价值何在，认为IT只是工具，缺乏约束机制。为什么要做IT治理---两大直接驱动力价值----提高企业信息化成熟度+支撑企业战略风险----IT过程控制+外部合规价值提升与风险控制：IT治理的最终目标IT治理整体框架体系典型的IT治理主体：董事会与执行层业务部门管理者IT部门管理人员治理目标治理组织结构治理流程治理关系机制治理机制治理对象合规绩效实现战略IT投资IT基础设施IT应用IT架构IT原则IT决策权安排IT投资的分类：把信息技术投资分为四类资产，分别是:交易流程信息管理流程战略性开发或创新基础架构任何一项IT投资都可能是这四类资产的任何组合。IT治理的五大对象：1.我们应当花多少钱?2哪些业务流程应当获得资金?3哪些IT能力应当面向整个公司?4IT服务要有多好?5.谁来承担责任IT治理五大对象间关系IT原则的决策高层关于企业如何使用IT的陈述IT架构决策组织从一系列政策、关系以及技术选择中捕获的数据、应用和基础设施的逻辑，以达到预期的商业、技术的标准化和一体化IT基础设施决策集中协调、共享IT服务可以给企业的IT能力提供基础IT投资和优先顺序决策关于应该在IT的那些方面投资以及投资多少的决策。包括项目的审批和论证技术业务应用需求决策为购买或内部开发IT应用确定业务需求2IT治理机制IT决策权力部署方式决策原型IT原则IT架构IT基础设施战略业务应用需求IT投资输入决策输入决策输入决策输入决策输入决策高级业务主管负责制√√高级IT主管负责制√√√业务部门负责制√总部与业务部门共同负责制√√√√√√IT与业务部门负责制√√√√√√√建立健全IT流程管控体系----IT治理机制典型IT治理机制治理结构S1IT战略委员会S2IT安全委员会S3IT指导委员会S4CIO直接向CEO负责S5CIO在执行层中的地位治理流程P1IT战略规划P2IT绩效管理流程（平衡积分卡）P3项目组合管理P4IT预算管理P5IT项目治理与跟踪沟通机制R1IT领导力R2业务/IT关系经理R3委员会正式会议实现IT治理的工具/方法信息系统审计的诞生1在美国、日本、英国、加拿大等发达国家，信息系统审计已经发展到相当程度，信息系统审计的理念也已深入人心。从国外ISA发展历史来看，它是与企业信息化的过程紧密联系的，是企业信息化的必然要求。195460年代70年代80年代90年代计算机出现之前对计算机有初步认识计算机应用蔓延信息系统在企业普及集成信息系统，MRP，MRPII应用在财务，库存，统计方面会计电算化出现计算机欺诈舞弊事件出现财务数据的采集是由整个信息系统实时完成信息系统网络化，大型化电子数据处理审计1969年，电子数据处理审计师协会（EDPAA）在美国洛杉矾成立完全手工审计手工审计+纸质文档审计开始重视对信息系统的审计信息系统审计师成为职业1994年，EDPAA更名为信息系统审计与控制协会（ISACA）信息系统成为企业重要资产如何确保网络平台上的信息系统的安全、可靠和有效变得越来越重要。信息系统审计的诞生1信息系统审计信息系统/技术信息技术作为企业发展的“银弹”，投资额度不断加大，投资失败的风险日渐成了企业难以承受之重信息系统成为企业运作，甚至是赖以生存的基础，其安全、稳定和可靠性需要得以保障审计审计面临的环境发生变化，信息系统是很多被审单位内部管理与控制的关键工具，审计的内容和重点发生变化。ISA审计成为控制审计风险的必然要求（假电子数据真审？）“逐步开展对关系国计民生的重大行业、部门的联网审计和信息系统审计，全面提高计算机应用水平”+引自：《审计署2006至2010年审计工作发展规划》信息系统审计是我国审计发展的新路径1信息化时代，我国的信息系统审计具备极大的需求和迫切性：信息系统审计被列入“金审工程”二期的试点范围（2007.5，审计署信息系统审计研讨会）信息系统审计成为审计署2008年度重大研究课题之一。审计署信息系统审计培训开班（2008.5.28）审计署提出要基本形成符合中国国情的信息系统审计的理论和方法。（中国审计报）部分审计机关将2008年作为信息系统审计的探索之年。（中国审计报）相关部门正在积极酝酿并研究制定信息系统审计准则和指南但是“我们的信息系统审计仍处于探索阶段”（石爱中语）COSO框架COSO—ERM框架和1992年的COSO报告一样，也主要在“控制活动”和“信息沟通”中对IT控制做出相关规定。但是因为时隔12年，信息技术已经有翻天覆地的变化，所以该框架在技术上对IT控制（包括一般控制和应用控制）作了更为广泛、科学的描述。控制活动，指为确保风险管理策略有效执行而制定的制度和程序，包括核准、授权、验证、调整、复核、定期盘点、记录核对、职能分工、资产保全、绩效考核等。信息沟通，指产生服务于规划、执行、监督等管理活动的信息并适时向使用者提供的过程。COBITITIL服务支持流程事故管理问题管理变更管理版本管理配置管理服务提供流程可用性管理能力管理财务管理连续性管理服务水平管理ITIL流程间的关联ISO27001标准ISO27001标准不是一个技术性的信息安全操作手册，而一个通用的信息安全管理指南。它提出了11个安全要素，39个控制目标和133种控制措施。ISO17799中的11个要素分别是：◆安全策略（Securitypolicy）；◆信息安全组织（Organizationofinformationsecurity）；◆资产管理（Assetmanagement）；◆人力资源安全（Humanresourcesecurity）；◆物理和环境安全（Physicalandenvironmentalsecurity）；◆通信和操作管理（Communicationandoperationmanagement）；◆访问控制（Accesscontrol）；◆信息系统获取、开发和维护（Informationsystemsacquisition,developmentandmaintenance）；◆信息安全事件管理（Informationsecurityincidentmanagement）；◆业务连续性管理（Businesscontinuitymanagement）；◆符合性（Compliance）。5.企业如何实施IT治理-----16字方针整体规划，分步实施，关注试点，持续优化--Thinkbig,dosmall,Dobig5.企业如何实施IT治理-----16字方针整体规划，分步实施，关注试点，持续优化--Thinkbig,dosmall,Dobig5.企业如何实施IT治理-----16字方针整体规划，分步实施，关注试点，持续优化--Thinkbig,dosmall,Dobig5.企业如何实施IT治理-----16字方针整体规划，分步实施，关注试点，持续优化--Thinkbig,dosmall,Dobig外部合规要求：1.《中央企业全面风险管理指引》2.《国资委信息化水平评价》3.《企业内部控制基本规范》4.《上海证券交易所上市公司内部控制指引》5.美国SOX法案合规6.施工总承包企业特级资质标准《国资委信息化水平评价》--合规2央企信息化基本指数（分A、B、C、D、E五级）战略地位（10%）信息化重视度信息化投入总额占固定资产投资比重基础建设（20%）应用状况（35%）计算机联网率每百人计算机拥有量核心业务流程信息化水平人力资源（15%）网络性能水平办公自动化系统应用程度决策信息化水平人力资源指数企业信息化工作最高领导者的地位首席信息官（CIO）职位的级别设置最高领导者是一把手，得100分；二把手，得70分；是三把手，得50分；是部门领导得30分。信息化规划和预算的制定情况计算规则指标数据构成二级指标总得分安全（5%）一级指标信息采集的信息化手段覆盖率企业门户网站建设水平网络营销应用率管理信息化的应用水平信息化技能普及率学习的电子化水平用于信息安全的费用占全部信息化投入的比例信息化安全措施应用率效益指数（15%）库存资金占用率资金运转效率企业财务决算速度增长指数正式设置CIO职位，得50分，否则得0分。CIO的职位级别处于企业最高层，得50分，处于中层，得25分单列信息化规划，得50分，分散在总体规划中，得25分，无成文的信息化规划，得0分单列信息化预算，得50分，分散在总体预算中，得25分，无成文的信息化预算，。。。。。。。。。。。。企业内部控制应用指引内部控制应用指引中的计算机信息系统具体规范则提出：企业在建立并实施计算机信息系统内部控制制度中，至少应当强化对以下关键方面或者关键环节的风险控制，并采取相应的控制措施：（一）权责分配和职责分工应当明确，重大信息系统事项应履行审批程序；（二）信息系统开发、变更和维护流程应当清晰，授权审批程序应当明确；（三）信息系统应当建立访问安全制度，操作权限、信息使用、信息管理应当有明确规定；（四）硬件管理事项和审批程序应当科学合理；（五）会计电算化流程应当规范，会计电算化操作管理、硬件、软件和数据管理、会计电算化档案管理和会计电算化账务处理等制度应当完善。《上海证券交易所上市公司内部控制指引》--合规4第四条公司董事会对公司内控制度的建立健全、有效实施及其检查监督负责，董事会及其全体成员应保证内部控制相关信息披露内容的真实、准确、完整。第十条公司使用计算机信息系统的，还应制定信息管理的内控制度。信息管理的内控制度至少应涵盖下列内容：（一）信息处理部门与使用部门权责的划分；（二）信息处理部门的功能及职责划分（三）系统开发及程序修改的控制；（四）程序及资料的存取、数据处理的控制；（五）档案、设备、信息的安全控制；IT治理成熟度诊断成熟度诊断的六个方面：IT权责体系IT战略IT投资IT运维服务风险与合规IT人力资源成熟度模型的使用成熟度提供了一种简单实用的管理工具，组织可以用于评估现状，了解自身目前所处的地位，行业标杆和国际最佳实践的水平。根据企业现状和行业标杆、国际最佳实践对比找出未来改进的方向，结合业务需求，将主要精力投入到关键的管理领域。成熟度模型等级有助于向管理层清晰地展示IT管理存在的缺陷，将组织的管理水平与国际最佳实践相对照，从而确定组织的发展目标。服务台·制定了制度文档。·有Remedy和联友自己开发的服务平台支撑。·有效回访率56％。·呼损率指标目前由