IT治理概述

NANJINGAUDITUNIVERSITY第二章IT治理第一节IT治理概述两个例子:1、2002年5月29日上午８时３０分左右，南京火车站电脑售票系统突然发生死机故障，整个车站售票处于瘫痪状态，车站售票大厅内人满为患，众多旅客不得不改乘其它交通工具离开南京。车站领导和计算机技术人员告诉记者是由于电脑升级换代，调试时线路发生故障，才引发了此次系统瘫痪的。2、9月5日广东省工行因系统故障，全线停业一个半小时。这两个例子说明什么？IT是技术，是资源，是服务，更是成本NANJINGAUDITUNIVERSITY企业需要将IT应用于业务领域，通常需要提出以下问题：企业所需要的IT服务是什么？这些IT服务需要多少成本？企业IT应用中的决策机制如何？企业IT应用中的则、权、利如何分配？企业的IT应用应达到什么样的水平？企业如何管理好自己的IT资源？企业如何做好IT的风险管理？…………………所有这些问题都离不开一个概念———IT治理。第二章IT治理NANJINGAUDITUNIVERSITY据国外一份统计数据表明企业中IT系统出现故障有几大原因：1、恶意代码攻击;2、缺乏有效的监控制度和手段;3、IT设备本身的性能问题;4、应用系统/数据本身存在问题;5、员工缺少技能培训;6、不同部门的IT人员之间缺乏协调;7、缺少运营管理方法论的指导;8、员工不按规足/流程操作。可以看到在这些原因中都和管理与流程存在很大关系，要做好组织中的IT风险控制和信息安全离不开IT治理。第二章IT治理NANJINGAUDITUNIVERSITY一、何谓IT治理？ITgovernance(IT治理)是国际IT领域中的新概念，用于描述企业或政府是否采用有效的机制使IT的应用能够完成组织赋予它的使命,同时,平衡信息技术与过程的风险,确保实现组织的战略目标.Roberts.Roussey(美国南加州大学教授)定义：(参见教材)从利益相关者收益角度德勤(德勤公司)定义:(参见教材)从内部审计与控制角度ISACA定义:(参见教材)从内部审计与控制角度我国定义:(参见教材)第二章IT治理NANJINGAUDITUNIVERSITY第二章IT治理从IT的各种定义可总结出有关IT治理的共同点：1、IT治理必须与企业战略目标一致；2、IT治理管理执行人员和利益相关者的责任（以董事会为代表）；3、IT治理保护利益相关者的权益，使风险透明化，指导和控制IT投资、机遇、利益、风险；4、IT治理包括管理层、组织结构、过程，以确保IT维持和拓展组织战略目标；5、应该合理利用企业的信息资源，有效地集成与协调；6、确保IT及时按照目标交付，有合适的功能和期望的收益，是一个一致性和价值传递的基本构建模块，有明确的期望值和衡量手段；7、引导IT战略平衡系统的投资，支持企业，变革企业，或者创建一个信息基础架构，保证业务增长，并在一个新的领域竞争；8、对于核心IT资源做出合理的决策，进入新的市场，驱动竞争策略，创造总的收入增长，改善客户满意度，维系客户关系。NANJINGAUDITUNIVERSITY无论这些定义从哪个角度关注IT治理，但都涉及信息系统、技术及连通性、商业活动、法律相关事宜以及所有利益相关者—公司董事、高级管理人员、业务流程的执行者、IT供应商、IT的使用者以及审计人员等。———IT治理对象。同时，也是IT治理审计对象。IT治理的使命：保持IT与业务目标一致，推动业务发展，促使收益最大化，合理利用IT资源，适当管理与IT相关的风险。从本质上讲，IT治理：是一种制度设计；是一种有效机制；是一种IT资源的管理和分配；是一种风险管理和控制；是一种认识问题；是一个过程。第二章IT治理NANJINGAUDITUNIVERSITY二、IT治理与IT管理、公司治理的关系1、IT治理与IT管理的关系。主要体现在：（1）IT治理是指最高管理层（董事会）利用它来监督管理层在IT战略上的过程、结构和联系，以确保这种运营处于正确的轨道之上。IT管理是公司的信息及信息系统的运营，确定IT目标以及实现此目标所采取的行动；（2）IT治理与IT管理的关系，是指导关系，即先与后，上与下的关系。（3）IT治理强调构建良好的管理环境，而IT管理强调对IT资源的运营。第二章IT治理NANJINGAUDITUNIVERSITY2、IT治理与公司治理的关系公司治理：是一种对公司管理和运营进行监督和控制的体系。它不仅规定了公司的各个参与者，而且明确了决策公司事务时所应遵循的规则和程序。公司治理直接影响企业的经营和发展，如：安然、世界通信，等事件第二章IT治理完善的公司治理结构的保障：有效的内部控制。公司治理所要解决的问题：如何使企业参与各方将各自的要素投入企业并共同实施行为，塑造企业的核心能力、获取竞争优势并获得收益；如何协调这一过程中各方的利益和责任，以便更有利于企业核心能力的塑造、维护和发挥作用NANJINGAUDITUNIVERSITY其中涉及要素：IT资源由此涉及：IT治理问题IT治理与公司治理的关系：公司治理和IT治理都是市场(含政府)他律的机制，是如何“管好管理者”的机制，其目标也是一致的：达到业务永续运营，并增加组织的长期获利机会。公司治理驱动和调整IT治理；IT影响企业的战略竞争机遇。公司治理侧重于企业整体规划；IT治理侧重于企业中信息资源的有效利用和管理。处理好IT治理与公司治理的关系，应解决：第二章IT治理NANJINGAUDITUNIVERSITY1、认识上，要将信息技术不仅视为技术，更是业务；2、战略上，促进IT战略与公司战略的整合，使IT成为公司战略的中心，保证公司战略从制订之初就具备竞争力；3、实施上，通过IT治理，主要从风险回避方面保证公司治理的落实。第二章IT治理第二节IT治理的目标和范围一、IT治理的目标NANJINGAUDITUNIVERSITYIT治理应着眼于以下目标：1、与业务目标一致原则：服从于企业战略，不能背离2、有效利用信息资源IT治理的使命：通过及时、有效的IT治理，促进信息的价值转化3、风险管理通过IT治理：构建风险管理制度及风险应对决策；使风险透明化；有效的风险投资、管理和控制；风险的防范措施。实现：平衡信息技术与过程的风险，确保组织目标的实现第二章IT治理NANJINGAUDITUNIVERSITY案例：如何根据企业战略制定IT战略某物流配送公司的发展战略框架如下图：远景：致力于成为国内精益物流的先锋使命：建立国家级的物流配送基地，以便捷客户为己任价值观：以人为本，追求卓越，责任为先总体战略目标：解决企业长期存在的物流管理分散、库存难于控制、订单汇总滞后等方面的悬而未决的难题，推动商务，实现企业价值最大化第二章IT治理NANJINGAUDITUNIVERSITY根据该公司的发展战略框架确定需重点解决的问题：(1)集成物流分散点，降低营运成本与费用；(2)建立库存控制机制与准则，避免内部控制和监管的失灵；(3)集成和标准化订单业务流程；(4)建立追究责任制，完善安全管理；(5)推动商务运作，加强对外合作与联盟；(6)满足现有客户，扩展新客户；(7)完善货款追踪到位机制。第二章IT治理NANJINGAUDITUNIVERSITY根据目标和问题，确定IT建设内容，即IT战略目标：(1)联网各分散物流点的执行系统，由总部统一监控与管理；(2)构建JIT配送平台，确保零库存；(3)采用物流执行系统，从而组成完整的订单，并持续改进客户的响应速度，同时，该系统可以帮助客户将订单转变成可以发运的品项，从而降低运输费用；(4)完善客户订单与发货品的追踪系统，使客户能够及时获取货项信息；(5)建立电子商务平台，通过网络实现配送外协等合作，提高与供应商、政府部门之间配合的效率;(6)建立客户关系管理系统，通过Web网站、E-Mail系统、呼叫中心、自动传真回复系统等，向客户提供365天×24小时的不间断服务；(7)搭建财务管理系统，保证财务部门及所有受支持的部门都能获得精、快的财务信息，以便有效地进行业务决策及监控现金的收支情况。根据以上所确定的IT建设内容，并形成了该公司的IT蓝图（见图）第二章IT治理NANJINGAUDITUNIVERSITY发货品管理成本管理安全管理订单管理配送管理客户管理反向物流管理第三方管理呼叫中心市场分析人力资源管理、财务管理协同办公平台管理第二章IT治理NANJINGAUDITUNIVERSITY二、IT治理的范围IT治理范围可从不同角度划分：1、从治理的组织范围看：覆盖企业全部范围，包括最高管理层、执行管理层，乃至虚拟组织、战略联盟，等2、从治理的内容范围看：包括治理目标、治理结构、组织的整体战略、组织运营管理、风险与价值、成本与控制、审计与监督、服务标准和规范等方面的内容。第二章IT治理NANJINGAUDITUNIVERSITY第三节IT治理的关键问题一、IT治理的关键问题IT治理的关键问题表现在：1、IT投资是否与企业经营在战略目标(Strategy)，策略(Tactic)和运营(即operation)层面相融合，从而构筑必要的核心竞争力；2、IT治理是否有助于合理的制度安排真正发挥其作用；3、在长期的IT应用中，是否持续地创造商业价值；4、是否有有效的风险管理机制。其中最关键的问题是第一点：IT治理应体现以“组织战略目标为中心”思想。第二章IT治理NANJINGAUDITUNIVERSITY搞好IT治理必须解决的问题：1、IT关键领域谁做决策和如何决策。5个IT关键领域：A、信息技术原则；B、信息技术结构；C、信息技术基础设施；D、企业应用需要；E、信息技术投资及优先顺序。2、信息化中的责、权、利问题；3、信息化建设中的风险评估和绩效评价问题；4、信息系统控制与信息技术管理体系问题。第二章IT治理NANJINGAUDITUNIVERSITY信息化建设中的风险管理及评估流程：1)确立可承受的IT风险损失价值；2)IT风险识别；（列举清单法、专家判断法、工作分解分析法、信息检索法、访谈法、流程图和鱼刺图法）3)IT风险预测；4)IT风险日常管理与控制；5)IT盈利与损失统计；6)风险再评级。第二章IT治理绩效评价方法（业绩衡量）——IT平衡计分卡法。主要从以下几个方面衡量：(1)IT价值贡献；(2)客户满意度；(3)内部处理过程；(4)学习与创新。NANJINGAUDITUNIVERSITY(1)IT价值贡献：主要用于评价IT投资对企业的价值综合影响，IT是否满足企业的战略需要以及是否支付预期的财务收益，评价IT价值贡献度的时候，需要考虑以下问题：?IT战略和组织战略需要集成的程度；?整体IT组合如何很好地进行管理；?IT花费是否与预期指出集成；?最大化业务价值和IT成本——效益。第二章IT治理(2)客户满意度；主要从用户的视角评价IT提供的服务与支持在满足用户方面达到的水平。在评估IT对客户满意度的影响的时候，需要考虑如下问题：?业务单元与IT人员是否很好地集成到信息系统开发与获取的项目中；?客户对支付的IT产品与服务是否满意；?用户对IT应用的接收和掌握情况。NANJINGAUDITUNIVERSITY(3)内部处理过程IT内部过程关注IT部门两个基本过程的改进和度量：系统开发过程以及系统运营过程，此外也关注其他过程，如问题管理、用户教育、人员管理、通信渠道的使用等。在评价IT内部过程，主要考虑以下问题：?交付的产品质量是否符合通用标准；?交付的产品是否使用可普遍接受的方法与工具；?用于支持主要过程改进的IT资源是否充分；?基础设施是否为业务需要提供了可靠支持；?企业IT基础设施是否得到维护。第二章IT治理(4)学习与创新主要用于评价IT组织的技能水平以及持续学习和革新的能力。在评价IT学习与革新能力的时候，主要考虑以下问题：?是否有正确的技能与人员来保证质量；?是否追踪对企业业务发展有重要意义的新技术的方向；?是否使用认可的方法来构建与管理IT项目；?是否为员工提供适当的工具、培训、执行任务的动机。NANJINGAUDITUN