IT治理、风险和合规管理

与微软TechNet联合制作《云＋移动计算时代卓越IT管理的十把钥匙》系列之2IT治理、风险和合规管理（ITGRC）薛君敖（JunaoXuePh.D）首席IT管理专家祝成科技/SoftCompass邮件交流:itm@softcompass.com互动论坛：现任祝成科技/SoftCompass首席IT管理专家，前美国贝尔实验室杰出研究员（DMTS），连续8次获微软全球最有价值专家MVP。研究方向：IT前沿技术解析、IT架构，IT管理框架，IT管理标准实施与更新，包括ITIL、COBIT、ISO2700X、BS25999、ITGRC等IT管理标准。1985获得美国哥伦比亚大学电脑科学硕士学位，1990年获得物理学博士学位。1986年-2001年任职美国朗讯贝尔实验室。其间参加了5ESS，DACS，ITM-NM的研制开发，担任贝尔实验室驻ITU-T和TMF代表，于1994年获得AT&T杰出领导小组长奖，入选公司领导人培养项目。1996年起参与中国邮电部和朗讯贝尔实验室标准合作项目的组织协调工作，将CORBA引入中国，03-06年，参与将ITIL和COBIT引入中国电信、中国网通的EAI项目。07年起，在中国银行界提出pBOM（银行运营图）、MPN（管理流程网络），引入ITGRC，以其为导向的IT管理纳入企业管理框架，并以此来改进ITIL、COBIT、ISO2700X和BS25999等标准的实施。现为ISACA的ITGovernance和GreenITWGmember（工作组成员），参与COSO模型更新和COBIT5:MappingofISO20000WithCOBIT®4.1的研发工作，以及itSMF的ITILWGmember（工作小组成员）。作为祝成科技首席IT管理专家，为国内各大企业成功提供IT架构演进、ITIL、COBIT和云计算等培训和咨询服务。是•以IT支持内控要作的工作（GRC）•基于IT的控制环境（ITG）•基于IT的风险评估（ITR）•基于IT的控制活动（ITR）•基于IT的监控（ITC）•基于IT的信息沟通（ITG）•对IT要GRC•（IT）表示包括IT引言–WhyGRC？ITGRC的技术涵义绝大多数的企业需要用ERP来管理公司的人、财、物，但多少企业知道如何防范在运行过程中可能遇到的风险？进入世界市场后，又如何遵守当地的法律法规？要解决这类问题就需要GRC。任何一个企业都应该有两类管理系统，一个是实施人、财、物管理的驱动系统，一个是对人、财、物管理和管理者的制衡系统。要想快而稳地发展企业，就必须有这样的驱动和制衡系统：ERP（驱动系统）+GRC（制衡系统），两者共同构成企业管理信息系统。包括ITGRC的ERP+GRC是完整的企业管理平台，也是提升企业管理水平的必经之途。议题COSO模型和ITGRC架构框架ITGRC标准/最佳实践及其实施云+移动计算的ITGRC立方体SOX（行业需求）COSO（支持标准）COBIT（最佳实践）内控5要素内控环境风险评估控制活动信息与沟通监控内控实施组织岗责流程内控3目标绩效经营可靠性财务报告合规COSO模型管理架构框架行业（IT）GRC需求（Compliance）企业内部控制基本规范商业银行信息科技风险管理指引商业银行内部控制指引商业银行合规风险管理指引SOXPCIBASELII。。。（IT）GRC标准&最佳实践（Methodology）ISO38500COBITISO20000ITILCOSOISO31000ISO31020ISO27001/2ISO10006PRINCE2BS25999（IT）GRC实施的技术支持（Implementation）邮件管理记录管理BPMIT安全管理PPMITSM基于Windows的19种技术支持KMBI议题COSO模型和ITGRC架构框架ITGRC标准/最佳实践及其实施云+移动计算的ITGRC:2008可以用于任何规模的组织，包括公/私有性质的公司，政府机构以及非营利组织。这一标准提供了一个IT治理的框架，以协助组织高层管理者理解并履行其组织IT使用的既定职责，实现IT治理的有效性、可用性及效率。1、主要内容：·范围、应用与目标·良好的IT治理框架·IT治理指南2、指导准则：·职责分工·IT支持组织发展·可获得性·可用性·合规性·尊重人性因素(以人为本)3、治理机制–DEM模型·指导·评价·监控IT治理国际标准：ISO38500有效地IT治理应当是可实施的、具有一致性的。DEM模型聚焦于更广泛层次上的IT治理，它略微不同于管理者典型使用的PDCA模型。在这一模型中，管理者依据业务压力与业务需求来监控（Monitor）并评价（Evaluate）组织的IT使用，而后指导（Direct）实施政策方针以弥补差距。ITGDEM模型治理是什么？是一个在较高的层面综合地、整体地解决很多问题的制度。一、IT治理就是为鼓励IT应用的期望行为而明确决策权的归属和责任担当框架。二、治理和管理的区别在于治理是决定由谁来进行决策，管理是制定和执行这些决策。三、IT治理是从IT中活动商业价值的最为重要的因素。四、IT治理涉及六种关键资产，人力、财务、实物、知识产权、IT、关系等。五、IT划分为五项关键决策，即IT原则、IT架构、IT基础设施、IT商业应用、IT投资IT治理的十大原则1)积极的设计治理2)知道何时重新设计3)高层经理的参与4)做出选择5)阐明例外处理流程6)提供正确的激励7)为IT治理分配权利和义务8)在多重组织层次上设计治理9)提供透明和教育10)在跨六项关键资产上实施通用的治理机制IT治理内容IT治理包括合规和绩效：合规Conformance，坚持法律法规、内部控制、审计需求等。绩效Performance，效率、有效、有益与增长等。企业治理和IT治理要求合规与绩效的平衡。IT治理是企业治理不可缺少的部分，企业治理要完成的目标有：提供战略方向、确保目标实现、查明风险以及得到管理、确认企业资源被充分利用。对标准的解读ITG科学的信息化发展观、IT商业价值、IT治理方法、IT治理绩效、IT治理决策模式、IT风险管理控制体系、核心IT能力。框架七要素IT治理=IT治理思想+IT治理模式+IT治理体制+IT治理机制ITG的魔方块平衡记分卡17业务目标映射至28个IT目标IT目标映射至4个域的34个IT控制流程IT治理关注域：战略定位、价值交付风险/资源/绩效管理COBIT实施过程：IT流程描述流程控制目标制定RACI表及测量目标成熟度模型ITG根据COSO5要素(企业内控基本规范)选出需要的COBIT控制流程对选出的控制流程进行解析描述流程，包括业务需求和所需IT资源定义控制目标根据管理指南工作找出流程的输入/输出/与其他流程间的关系解析流程的管理活动制定岗位问责表根据控制目标制定测量指标运用成熟度模型评估IT治理实施COBIT实施IT治理的步骤ITG要素/COBIT控制领域COSO要素实体层面活动层面COBITIT流程控制环境风险评估控制活动信息和交流监测计划和组织（IT环境）●●●●defineITstrategicplanning确定IT战略规划definetheinformationarchitecture确定信息架构definetechnologicaldirection确定技术指南●●●●definetheITprocesses,organizationandrelationships确定IT流程，组织和关系managetheITinvestmentIT投资管理●●●communicatemanagementaimsanddirection沟通管理的目标和方向●●●manageIThumanresourcesIT人力资源管理●●●●●managequality质量管理●●assessandmanageITrisks评估和管理IT风险manageprojects项目管理ITG根据COSO5要素选出匹配的COBIT控制流程活动CEOCFOHLOBCIOCLOBCOOSADMCIOOPMCAMC确定风险管理评估风险性AA/RCCA/RIII理解相关业务的战略目标CCA/RCCII识别内部IT目标建立风险背景CCA/RI识别与目标相关的事件IA/CARRRRIC评估与事件有关的风险A/CARRRRIC评价风险影响的措施IIAARRRRICA排定控制活动的优先级与规划CCAARRCCCIC批准并保障风险措施计划的资金ARCI保持并监视风险措施计划ICIRRCCCCRRHLOB –业务单元负责人、CLOB ‐业务单元相关者、SA –系统分析师、DM –部门经理、CIOO –CIO办公室、PMC –项目管理中心、AMC –审计管理中心R –负责、A‐监控、C‐辅助、I –通告岗位问责表（RACI表）RelationshipAmongstProcess,GoalsandMetrics(DS5)性能指标改进和再定位测量成果制定目标评审受监视安全文件的频率懂得安全需求脆弱性和威胁由未授权访问引起的实际事故次数构成安全影响不好的IT事故次数探测和解决未授权的信息，应用和基础设施的访问确保IT服务能抗拒攻击并从攻击中恢复维护企业信誉和领先地位对商务有影响的实际IT事故次数结果测量流程测量性能指标被…测量商务目标IT目标流程目标活动目标结果测量商务测量性能指标结果测量IT测量性能指标被…测量被…测量被…测量ITG根据控制目标制定测量指标治理成熟度模型成熟度属性表格ITG治理风险2.规划和架构的风险3.项目管理风险4.基础设施的风险5.应用系统的风险6.IT服务交互风险7.信息安全风险8.业务持续的风险9.绩效风险10.合规风险IT风险COSO ERM(全面风险管理)模型ITR风险管理标准ISO31000原则、框架和流程ITR授权与承诺(4.2)风险管理框架设计(4.3)风险管理实施(4.4)风险管理框架的监控与审查(4.5)框架持续改进(4.6)a）创造价值b）企业流程的组成部分c）风险管理是制定决策的一部分