第二章 IT治理与管理

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

第二章IT治理与管理A.IT治理公司治理指所有者、经营者和监督者之间通过公司权力机关(股东大会)、经营决策与执行机关(董事会、经理)、监督机关(监事会)而形成权责明确、相互制约、协调运转和科学决策的联系,并依法律、法规、规章和公司章程等规定予以制度化的统一机制;公司治理强调企业中权力、角色的合理分配和对股东的平等对待;信息披露与透明;董事会的职责;为企业提供合理的战略指南;董事会对管理层进行有效的监督,董事会必须向企业和股东负责。公司治理框架中一个很重要内容就是要建立内部控制体系管理和报告业务风险。A2.IT治理IT治理是一个综合术语,它包括信息系统、技术和通讯,业务、法律相关事务,所有利益相关方、董事会、高级管理层、流程所有人、IT供应商、用户和审计师。治理有助于确保IT和企业目标保持一致。有效的公司治理注重个人和团队在特定领域中最有效的专门技能和经验。长期以来,仅作为组织战略促进因素的信息技术,现在被看作是整体战略的一部分。CEO、COO、CFO、CIO和CTO在IT与企业目标间能达成战略一致是关键成功因素。通过经济、有效地使用安全、可靠的信息和应用技术,IT治理能有助于实现这个关键成功因素。信息技术对企业的成功是如此重要,因此,不能把其职责放给IT管理人员或IT专家,而必须得到整个高级管理层的关注。IT治理的定义ITGI:IT治理是董事会和最高管理层的职责,是企业治理的重要组成部分。IT治理由领导、组织结构以及相关流程组成,这些流程能保证组织的IT有效支持及促进组织战略目标的实现。IT治理一般关注两方面的问题:IT增加商业价值和IT风险得到控制。前者通过使IT战略与业务保持一致来达到,后者通过向企业分配责任来驱动。IT治理的关键因素是IT与业务保持一致,以实现业务价值。IT治理的主要流程有:IT资源管理、绩效测评和合规管理IT治理回答下述问题在IT战略决策中哪些利益相关者有发言权?谁决定IT投资及其优先级顺序?应当建立哪些IT委员会,由什么人组成?其职责是什么?向谁报告?CIO的角色和职责有哪些?如何控制IT使其满足业务需求?如何评价IT职能的绩效?IT治理的目标指导IT工作,确保IT绩效满足IT目标、符合企业目标要求,实现预期利润帮助企业开拓商机,实现利益最大化充分利用IT资源适当控制IT相关风险治理与公司治理公司治理主要关注利益相关者权益和管理,包括一系列责任和条例,由最高管理层(董事会)和执行管理层实施;公司治理目的是提供战略方向,保证目标能够实现,风险适当管理,企业资源合理使用;IT治理是公司治理的重要组成部分,是董事会或最高管理层的责任;IT治理由领导、组织结构以及相关流程组成,这些流程能保证组织的IT能有效支持及促进组织战略目标的实现,同时控制风险、降低成本、提高绩效。公司治理可以驱动和调整IT治理,同时,IT能够为公司治理提供关键的输入,形成战略计划的一个重要组成部分公司治理和IT治理都是“他律”机制,是如何“管好管理者”的机制,其目标也是一致的:达到业务持续运营,并增加组织的长期获利机会。IT治理与IT管理IT管理是公司的信息及信息系统的运营,确定IT目标以及实现此目标所采取的行动而IT治理是指最高管理层(董事会)利用它来监督管理层在IT战略上的过程、结构和联系,以确保这种运营处于正确的轨道之上。简言之,是“对管理的管理”IT管理就是在既定的IT治理模式下,管理层为实现公司的目标而采取的行动缺乏良好IT治理模式的公司,即使有“很好”的IT管理体系(而这实际上是不可能的),就像一座地基不牢固的大厦同样,没有公司IT管理体系的畅通,单纯的治理模式也只能是一个美好的蓝图,而缺乏实际的内容IT治理的层次在企业战略层上♦IT治理要与公司治理结构、企业战略规划进行集成,使IT治理作为公司治理的一部分;♦在治理结构上体现IT的位置与作用,使IT议题要进入董事会(或者是监事会、最高管理当局)下的战略委员会、审计委员会、安全委员会;♦董事会要确保IT的执行与监管分开,监管机制要独立并持续运行、沟通与反馈机制要持续有效;♦IT治理要求向董事会和最高管理层分配职责,并要求其完成一系列活动。在企业战术面上♦虽然IT治理集中在董事会最高管理层,但由于IT治理的复杂性和专业性,治理层必须依赖企业在战术层面上提供必要的控制框架来保证治理职责的落实;♦为了保证IT与业务目标一致,充分利用有限的IT资源,提高绩效,降低风险与控制成本,按照国际普遍接受的企业内部控制标准,在战术层面建立有效的IT控制框架并监督实施。–COBIT、ITIL、ISO17799–需求识别、数据标准化、项目管理……IT治理域一些著名的机构(Gartner、CSC、AICPA/CICA、CIOMagazine)通过调查认为最受IT管理层关注的问题,已经从技术领域逐渐转向管理相关领域;这些问题可以归结为五个IT治理域:战略一致、价值交付、风险管理、资源管理和绩效考评,其中有两个核心,一是IT要向业务交付价值,二是降低风险。前者由IT与业务的战略一致驱动,后者由企业内部建立的责任分工驱动;这两者都需要获得足够的资源并进行绩效考评,以保证获得预期的结果;这五个域都受利益相关者价值驱动,其中价值交付、降低风险是结果,战略一致绩效考评是驱动力,IT资源管理为治理提供支持。五个IT治理域:♦战略一致-强调IT与业务保持一致,提供协调的解决方案。♦价值交付-确保IT实现了预期战略收益,集中关注成本的优化,提供IT的固有价值。♦风险管理-将风险管理职责嵌入组织中,包括IT资产的保护、灾难恢复和业务连续性。♦资源管理-对IT资源(应用系统、信息、基础设施和人员)的优化投资并适当管理,关键问题在于知识和基础设施的优化。♦绩效考评-追踪并监控战略实施、资源使用、流程绩效、服务交付以及诸如平衡记分卡的使用等,监督IT服务质量。没有绩效测量就无法对以上四个域进行有效管理。IT治理的关键因素IT治理的关键因素就是要使IT与业务融合,以实现组织的业务价值。通过IT治理框架和最佳实践的应用,在组织内促成目标实现。IT治理框架和最佳实践是由一系列组织结构、流程及相关机制组成。关键的IT治理因素包括:IT战略委员会、风险管理和标准IT平衡记分卡。审计师在IT治理中的职责审计是组织成功实施IT治理的一个重要角色,对于向高级管理层提供建议,帮助改善IT治理质量和效果而言,审计处在最佳的位置;通过引入审计师独立的、中立的观点,可以对IT治理绩进行持续有效的监督、分析、评估,以指导与改进与IT治理相关的IT过程;IS审计师的要对IT治理的各个方面进行评估♦IS职能与组织使命、愿景、价值、目标和战略的一致性♦法律、环境、信息质量、委托、安全和隐私方面的要求♦组织的控制环境♦IS环境的固有风险A3.IT战略委员会是董事会实施其IT治理目标的重要机制,一般隶属于董事会,由董事会成员及非董事会成员组成,它主要职责是协助董事会治理和监督企业的IT相关事务;IT战略委员会应当保证在组织中以结构化的方式来实施IT治理,而且董事会可以获得足够的信息来实现IT治理的最终目标。组织在执行经理层设置IT指导委员会来处理关系到整个组织的IT事务,比如:追踪IT投资、设定项目优先级、分配IT资源等。指导委员会职责分析表是CISA应当掌握的知识A4.IT平衡记分卡(BSC)绩效测评是企业管理中的重要因素,没有绩效测评就无法对业务进行有效管理,但随着企业创造价值的方式由有形资产逐渐转向无形资产,对无形资产的衡量,不能采用传统的针对有形资产的财务数据方式;平衡记分卡是目前企业管理中较流行的绩效测量工具,它可以把企业战略转化为实际的行为,从而实现企业目标;这种绩效测评系统超出了传统的财务记帐方式,它不仅衡量财务数据,还要对业务过程与基于知识的资产等方面进行测评,在顾客满意度、内部流程和创新能力等方面进行了补充,组成了财务、客户、过程和学习四个视角。标准IT平衡记分卡是CISA应当掌握的内容。平衡记分卡的四个视角:♦财务视角—为使股东满意,我们需要达到什么样的财务目标?♦客户视角—为实现财务目标,我们需要服务什么样的客户?♦过程视角—为了提高客户和利益相关者的满意度,我们需要建立什么样的内部业务过程?♦学习视角—为了达成目标,组织应当如何学习与创新?为了把平衡记分卡应用于IT,还应使用一个三层构架来描述其四个方面的评价要素:使命♦成为首选的信息系统供应商♦经济、有效地交付IT应用系统和服务♦IT投资能获得一个合理的业务回报♦抓住机遇应对未来挑战战略♦开发良好的应用系统与运营♦建立用户伙伴关系和良好的客户服务♦提高服务水平,优化价格结构♦控制IT费用♦为IT项目赋于业务价值♦提供新的业务能力♦培训和教育IT职员,追求卓越♦为研究和开发提供支持措施♦提供一套稳定的指标(如KPI)来指导面向业务的IT决策IT平衡记分卡实例♦是协调董事会和管理层实现IT与业务融合最有效的方法;♦目标就是通过建立一种面向董事会的管理报告工具,使利益相关者在IT战略目标上达成一致,以表明IT的有效性和增值性,同时便于组织在IT绩效、风险和能力方面进行沟通。A5.信息安全治理信息可以定义为“具有特定意义和目标的数据”。信息在我们当今的生活中发挥着越来越重要的作用,已成为所有组织业务活动中不可缺少的组成部分,越来越多的公司已将信息作为其主营业务,如Google、eBay、Microsoft、网易等。当今已很难找到不接触信息技术的企业,随着全球网络互联时代的到来,在企业突破其传统边界向虚拟世界不断扩展的背景下,信息安全己成为重要的治理问题而出现在我们面前。信息犯罪和恶意行为已成为越来越多的高级犯罪分子的选择。恐怖分子和其他敌对社会的人也使用IT技术来宣扬他们的观点并传播其恐怖行为。信息安全治理具有特定的价值驱动:信息的完整性、服务的持续和信息资产的保护。IT安全定位于安全技术,通常由CIO级别的人推动;信息安全着眼于信息所涉及的风险、收益和流程,必须由执行管理层和董事会的支持,信息安全治理是董事会和执行经理的职责。信息安全治理能带来的收益♦落实在向公众或监管部门提供不准确信息,在保护隐私信息(如泄露信用卡或其他敏感客户信息)中未保持应有的谨慎等方面,组织及其管理者应当承担的公民或法律责任♦提供对政策和标准的符合性保证♦通过降低风险至既定的可接受水平,减少业务运营的不确定性,提高可预见性♦为有限的安全资源的最优化分配提供结构和框架♦为关键决策不基于错误信息提供适当水平的保证♦为风险管理、流程改善和事件快速响应的效果与效率提供一个稳定的基础♦明确重大业务活动期间(如公司合并及购并、业务流程恢复、法律回应等)的信息保护责任有效的信息安全治理可达到如下效果:♦战略一致–使信息安全与业务战略保持一致以支持组织目标。♦风险管理–管理和实施适当的措施以降低风险并减少对信息资源的潜在影响至可接受水平。♦价值交付–优化安全投资以支持业务目标。♦绩效测评–衡量、监督和报告信息安全流程,以确保实现SMART目标(确定的、可度量的、可实现的、相关的和符合时间要求的)。♦资源管理–有效利用信息安全知识与基础设施。♦流程整合–关注组织安全管理保证流程的整合。业务流程保证的最新概念:♦整合是一个把所有相关保证因素综合在一起考虑,来确保流程能环环相扣整体运营的概念。要实现整合,应当考虑以下内容:–确定组织中的所有保证职能–与其他保证职能建立正式的衔接关系–协调所有保证职能,实现更加完整的安全–明确各保证职能接合部位的角色与职责信息安全治理是企业治理的一部分,企业治理为安全活动提供战略方针并确保其目标的实现,企业安全治理则确保能适当地管理信息安全风险并合理使用企业信息资源。为实现有效的信息安全治理,管理层必须制定和维护一个框架,以指导建立和管理一个支持业务目标的全面的信息安全流程。该治理框架一般由以下内容组成:♦在本质上与业务目标相衔接的全面的安全战略♦对战略、控制和法规进行全面落实的政策♦确保规程和指南能与政策保持一致的一整套标准♦不存在利益冲突的一套有效的安全组织架构♦对符合性进行监督并能反

1 / 16
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功