IT治理:一种对现实难题的探索什么是信息系统审计信息系统(IS)审计是指根据公认的标准和指导规范对信息系统及其业务应用的效能、效率、安全性进行监测、评估和控制的过程,以完成组织的战略目标,同时最经济的使用资源。IS审计对象审计对象变革管理数据中心运维信息安全网络管理基础设施数据库管理硬件管理绩效与容量问题管理灾难回复与业务持续软件管理通信技术支持服务系统开发信息系统审计的过程1.理解客户业务、系统、环境等2.识别并评估风险(risk)3.检查是否存在足够的控制(control)来补偿这些风险4.对控制进行测试和评价5.提出审计结论和报告背景:这个世界发生了什么?商业环境更加复杂多变——业务重组、裁员、外包、充分授权、扁平化组织和分布式处理等等信息和信息技术对于很多组织意味着最重要的资产,这导致IT本身已经或潜在成为一个巨大的威胁,随IT而来的风险、利益和机会使得IT治理成为公司和政府治理中很关键的一个方面。IT治理缺失的九大症状首先,各自为政。其次,信息化建设领导者错位,IT应用方案和企业业务需求之间逻辑错位。。第三,决策的技术经济论证不足。第四,信息资源的合理应用一直是我国信息化的薄弱环节。第五,利益冲突和信息的不透明。IT治理缺失的九大症状第六,IT安全治理和风险管理缺位。第七,非技术性的障碍。第八,重硬件购买,轻软件和咨询服务。IT治理缺失的九大症状第九,信息化建设找不到重心。在做正确的事吗?例如,信息化到底是什么?我们究竟应该走多远?这些事是在用正确的方法吗?例如,企业在最普通而又最关键的部分进行计算机管理就不是信息化吗?关键成功要素是什么?不能达到我们目标的风险是什么?这些事被做好了吗?例如,有没有一个测量标准用于判断何时肯定会出现错误?其他的组织在做什么?我们应该怎样进行测量与比较?我们得到受益了吗?那么,IT成本与利润比例多少算是合适?有没有贯通风险、控制需要和技术问题这三者之间的桥梁?IT治理缺失的九大症状总之,一个治理机制不完善的企业很难对外部竞争有积极的反应,从而很难有十分高的经营效率;相反,市场竞争的效率也来自于企业治理机制的完善,如果市场中的企业治理机制普遍不完善,企业之间就不可能进行充分有效的市场竞争。市场竞争最终要通过企业自身治理机制的改善才能使企业经营效率提高。IT治理的定义德勤定义如下:IT治理是一个含义广泛的术语,包括信息系统、技术、通讯、商业、所有利益相关者、合法性和其他问题。其主要任务是:保持IT与业务目标一致,推动业务发展,促使收益最大化,合理利用IT资源,IT相关风险的适当管理。IT治理的定义Roberts.Roussey(美国南加州大学教授)认为:IT治理用于描述被委托治理实体的人员在监督、检查、控制和指导实体的过程中如何看待信息技术。IT的应用对于组织能否达到它的远景、使命、战略目标至关重要。IT治理的定义国际信息系统审计与控制协会(ISACA)定义如下:IT治理是一个由关系和过程所构成的体制,用于指导和控制企业,通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。IBM给中国银行业的白皮书中建议大力推动银行流程化与流程标准化的管理,建立全行级的跨部门的IT治理决策机构来决定IT项目实施的顺序,加强全行的管理与流程执行的纪律,与IT行业的供应商结成战略联盟,将战略伙伴的价值并入到价值链。关于IT治理定义的共同点IT治理必须与企业战略目标一致,IT对于企业非常关键,也是战略规划的组成,影响战略竞争。IT治理和其它治理主体一样,是管理执行人员和利益相关者的责任(以董事会为代表)。IT治理保护利益相关者的权益,使风险透明化,指导和控制IT投资、机遇、利益、风险。信息技术治理包括管理层、组织结构、过程,以确保IT维持和拓展组织战略目标。关于IT治理定义的共同点(续)应该合理利用企业的信息资源,有效地集成与协调。确保IT及时按照目标交付,有合适的功能和期望的收益,是一个一致性和价值传递的基本构建模块,有明确的期望值和衡量手段。引导IT战略平衡系统的投资,支持企业,变革企业,或者创建一个信息基础架构,保证业务增长,并在一个新的领域竞争。对于核心IT资源做出合理的决策,进入新的市场,驱动竞争策略,创造总的收入增长,改善客户满意度,维系客户关系。IT治理的目标IT治理——与业务目标一致IT治理——有效利用信息资源IT治理——风险管理IT治理——与业务目标一致IT治理要从组织目标和信息化战略中抽取信息需求和功能需求,形成总体的IT治理框架和系统整体模型,为进一步系统设计和实施奠定基础,保证信息技术跟上持续变化的业务目标。IT治理——有效利用信息资源目前信息化工程超期、IT客户的需求没有满足、IT平台不支持业务应用等问题较为突出,通过IT治理可以对信息资源的管理职责进行有效管理,保证投资的回收,并支持决策。IT治理——风险管理IT治理强调风险管理,通过制定信息资源的保护级别,强调关键的信息技术资源,有效实施监控,事故处理。IT治理使企业适应外部环境变化,为企业内部实现对业务流程中资源的有效利用,从而达到改善管理效率和水平的重要手段。IT治理的目标IT治理的目标将帮助管理层建立以组织战略为导向,以外界环境为依据,以业务与IT整合为中心的观念,正确定位IT部门在整个组织中的作用。最终能够针对不同业务发展要求,整合信息资源,制定并执行推动组织发展的IT战略。IT治理解决哪些问题发现信息技术本身的问题了解管理者如何处理IT问题自我评估IT管理的效果IT治理的范围IT治理和其它治理活动一样,集中在最高管理层(董事会)和执行管理层。好的IT治理实践需要在企业全部范围内推行。IT治理使得最高管理层(董事会)和执行经理的一系列活动成为可能。这些活动主要包括:IT的目标,新技术的机遇和风险,关键过程与核心竞争力。如指导信息技术的职能和对企业的影响,分配责任,定义操作,业绩衡量,管理风险和获得保证的约束等。公司治理和IT治理公司治理主要关注利益相关者权益和管理,包括一系列责任和条例,由最高管理层(董事会)和执行管理者实施,目标是提供战略方向,保证目标能够实现,风险适当管理,企业的资源合理使用。公司治理和IT治理公司治理,驱动和调整IT治理。同时,IT能够提供关键的输入,形成战略计划的一个重要组成部分,这被认为是公司治理的一个重要功能——IT影响企业的战略竞争机遇。IT治理的一个关键性问题是:公司的IT投资是否与战略目标相一致,从而构筑必要的核心竞争力。公司治理和IT治理公司治理和IT治理的关系公司治理IT治理驱动和设定IT治理活动公司治理活动从下面获取信息公司治理和IT治理概括地说,公司治理和IT治理都是市场(含政府)他律的机制,是如何“管好管理者”的机制,其目标也是一致的:达到业务永续运营,并增加组织的长期获利机会。企业治理侧重于企业整体规划,IT治理侧重于企业中信息资源的有效利用和管理。公司治理和IT治理的典范“斯达模式”这一被誉为国企摆脱困境、改革发展的创新模式,正说明了公司治理和IT治理的重要性和互动关系。“黑纸”利用合资契机,对产权体制进行了改革,并按照现代企业制度要求,建立与市场竞争相适应的公司治理机制,明晰了企业产权,优化了生产要素配置,转变了职工观念,为斯达大力进行信息化改造创造了有力条件。反过来,信息化也促进了公司的现代化管理。IT治理和IT管理IT管理是公司的信息及信息系统的运营,确定IT目标以及实现此目标所采取的行动;而IT治理是指最高管理层(董事会)利用它来监督管理层在IT战略上的过程、结构和联系,以确保这种运营处于正确的轨道之上。IT治理模型COBIT(ControlObjectivesforInformationandrelatedTechnology),代表信息及相关技术的控制目标,是IT治理的一个开放性标准,由美国IT治理研究院开发与推广,目前已成为国际上公认的最先进、最全面、最权威的IT管理和控制的标准。该标准为IT的治理、安全与控制提供了一个一般适用的公认的标准,以辅助管理层进行IT治理。该标准体系已在世界一百多个国家的重要组织与企业中运用,指导这些组织有效利用信息资源,有效地管理与信息相关的风险。组织战略目标IT治理COBIT信息规划与组织获得与实施交付与支持监控IT资源COBIT模型COBIT四个域的相互关系获得和实施交付与支持规划与组织监控IT开发IT运维业务战略IT战略COBIT—规划与组织定义IT战略规划定义信息体系结构确定技术方向定义IT组织与关系管理IT投资传达管理目标和方向人力资源管理确保与外部需求的一致性风险评估项目管理质量管理COBIT—获得与实施确定自动化的解决方案获取并维护应用程序软件获取并维护技术基础设施程序开发与维护系统安装与鉴定变革管理COBIT—交付与支持定义并管理服务水平管理第三方的服务管理性能与容量确保服务的连续性确保系统安全确定并分配成本教育并忠告客户配置管理处理问题与例外数据管理设施管理操作管理COBIT—监控过程监控评价内部控制的适当性获取独立保证提供独立的审计COBIT体系框架意义:COBIT实现了企业目标与IT治理目标之间的桥梁作用。管理框架管理指南控制目标审计指南工具集图2COBIT的管理模型关键成功因素成熟度模型关键目标指标关键性能指标COBIT体系框架COBIT的主要优点COBIT是一个非常有用的工具,也非常易于理解和实施,可以帮助在管理层、IT与审计之间交流的鸿沟上搭建桥梁,提供了彼此之间沟通的共同语言。通过实施COBIT,增加了管理层对控制的感知及支持。COBIT帮助管理层懂得控制如何影响商业功能。COBIT的主要优点(续)COBIT使IT管理工作简易并量化,减轻对复杂信息系统管理工作的难度,并且可以应用在每天都在发生的各种新问题中。COBIT提供了一种国际通用的IT管理及问题解决方案,普遍适用于各种不同的商业项目和审计,并且它既包容了我们当前的情况,也提供将来可能会使用到的指导方针。COBIT的主要优点(续)COBIT有助于提高信息系统审计师的影响力,依据COBIT出具的信息系统审计报告更容易得到管理层的肯定。COBIT框架可以能够帮助决定过程责任,提高IT治理水平。COBIT在组织中的应用指南通过关键成功因素、成熟度模型、关键目标指标、关键性能指标四个方面的有机作用,使企业中的信息资源得到有效的管理。关键成功因素为管理部门控制信息技术及其处理过程提供了实施指南。是信息技术处理过程中的最关键的要素,是战略性的、技术性的过程或活动,勾画出了IT的控制轮廓。关键成功因素平衡所有的IT资源,它由关键绩效指标评价。成熟度模型关键成功因素关键目标指标关键绩效指标关键目标指标是通过创建和维护一套处理和控制适当业务成效的系统。该业务指导并监督IT传递的商业价值。关键目标指标通过识别测定处理结果,营运过程的输出,在平衡记分卡上测定。关键目标指标是处理目标的一种表达,明确要取得什么目标,并描绘处理的结果,进行事后评判,直接体现处理过程的完成成功与否,间接体现处理带给经营活动的价值。成熟度模型关键成功因素关键目标指标关键绩效指标关键绩效指标是指对关键成功因素进行评价,通过监测某IT处理过程的执行情况,告诉管理层该处理是否满足其经营需求。关键绩效指标是IT处理过程的性能指标,表现为IT的实际业绩。通过有效性、效率、保密性、完整性、可用性、一致性、可靠性等指标来测定IT的绩效。关键绩效指标是处理过程执行程度的测定,预期将来成败的可能性,是先导性目标,可以事先给出成功的预示。成熟度模型关键成功因素关键目标指标关键绩效指标IT成熟度模型制定了一个基准,组织可能根据上面的指标确定自己的等级,从而了解自身目前的境界。在此基础上确定组织的关键成功因素,通过关键绩效指标进行监控,并衡量组织是否能达到关键目标指标中所设定的目标。成熟度模型关键成功因