德勤IT风险管理和合规性管理介绍-

德勤IT风险管理和合规性管理介绍---以IT风险管理和合规管理驱动企业信息化建设德勤华永会计师事务所有限公司2011年4月企业风险管理部ITRiskManagement2©2010，德勤华永会计师事务所有限公司目录1.背景介绍2.德勤相关调查报告介绍3.风险驱动的IT内控体系建设4.IT风险管理相关服务体系总体介绍5.IT风险/信息安全合规管理及整合服务介绍6.信息安全风险管理及敏感信息保护服务介绍7.IT服务管理体系建设服务介绍8.业务连续性及IT外包管理服务介绍9.部分典型案例介绍10.关于德勤ITRiskManagementITRiskManagement3©2010，德勤华永会计师事务所有限公司企业IT管理的挑战ITRiskManagement4©2010，德勤华永会计师事务所有限公司IT面临的挑战监管要求年度审计内部管理满足外部监管要求，年度内控合规审计，内部业务对IT的信息化建设及安全的要求，是当前IT面临的最大挑战！ITRiskManagement5©2010，德勤华永会计师事务所有限公司示例－央企IT面对的监管要求《中央企业全面风险管理指引》(国资发[2006]108号文件)《关于加强中央企业信息化工作的指导意见》(国资发[2007]8号文件)《中央企业信息化水平评价暂行办法》(国资发[2008]113号文件)《第二次中央企业信息化工作会议》讲话(2008年10月16日)《关于进一步推进中央企业信息化工作的意见》(国资发[2009]102号文件)《萨班斯法案》（上市企业）IT治理IT投资管理信息化标准制订管理信息化IT运维管理IT人才管理IT绩效管理应用集成需要提升国资委《中央企业全面风险管理指引》和ITRM结合•战略风险方面的信息•财务风险方面的信息•市场风险方面的信息•运营风险方面的信息•法律风险方面的信息风险管理初始信息•风险辨识•风险分析•风险评价•风险解决具体目标•所需的组织领导•所涉及的管理及业务流程•所需的条件、手段等资源•风险事件发生前、中、后所采取的具体应对措施以及风险管理工具•部门和业务单位自查和检验•风险管理职能部门检查和检验•内部审计部门监督评价•中介机构评价风险管理流程风险评估风险管理解决方案风险管理的监督与改进•风险承担•风险规避•风险转移•风险转换•风险对冲•风险补偿•风险控制风险管理策略•董事会就全面风险管理工作的有效性对股东（大）会负责•风险管理委员会对董事会负责•总经理对全面风险管理工作的有效性向董事会负责•设立专职部门或确定相关职能部门履行全面风险管理职责•董事会下设立审计委员会，内审部门对审计委员会负责•其他职能部门及各业务单位接受风险管理职能部门和内部审计部门的组织、协调、指导和监督•指导和监督其全资、控股子企业风险管理组织体系•信息技术应用于风险管理实践•风险管理信息系统保障风险信息量化值的要求•风险管理信息系统的功能要求•风险管理信息系统应该实现跨部门的集成与共享•风险管理信息系统应确保安全、稳定运行•风险管理信息系统的建设与更新风险管理体系风险管理信息系统风险管理文化•风险管理文化建设的目标和任务•风险管理文化的内涵•风险管理文化传播和培育的方法中央企业全面风险管理指引7IT风险管理在央企风险管理体系的定位信息科技风险是操作风险管理的重要内容，央企实现有效的信息科技风险管理，应在操作风险管理的框架下，对信息科技有关的风险评估、监测与分析机制进行细化与完善。审计业务持续管理IT治理风险管理体系外包管理IT服务管理软件开发信息安全人员流程IT风险外部战略风险操作风险财务风险市场风险……ITRiskManagementITRiskManagement8©2010，德勤华永会计师事务所有限公司企业IT管理成熟度模型ITRiskManagement9©2010，德勤华永会计师事务所有限公司企业IT管理活动概览组织及计划风险评估风险处理监控及改进IT规划系统建设运行维护IT项目计划上线/移交项目组合管理监控合规改进IT年度规划IT项目群计划综合管理(日常运营/设备管理)IT治理项目管理IT服务管理需求管理基础架构运维管理应用运维管理技术运维管理信息安全管理ITRiskManagement10©2010，德勤华永会计师事务所有限公司企业IT成熟度模型桌面服务(文书、计算、存储服务)第一级PC在企业已经普及，文件处理、存储以及部分计算工作，由电脑完成。IT以桌面服务为主。第二级IT成为企业内部沟通的常用渠道，网络已经成为企业日常运营不可分割的部分。第三级IT开始为企业日常管理提供服务，表现在企业的日常运营开始依赖于IT系统。第四级IT作为支持业务的核心，大量的业务流程均基于业务系统进行第五级IT为企业提供基于信息的服务，成为业务的推动者网络服务(邮件、网站、远程会议等)业务应用建设(OA,财务,合同，库存)核心应用及应用整合信息服务信息集中信息挖掘决策支持知识管理ITRiskManagement11©2010，德勤华永会计师事务所有限公司如何管理IT？IT的地位如何？该做什么？该怎么做？有没有做到？IT目标与业务目标相一致IT战略规划IT战术计划及项目建设IT绩效管理及内部控制IT治理ITRiskManagement12©2010，德勤华永会计师事务所有限公司目录1.背景介绍2.德勤相关调查报告介绍3.风险驱动的IT内控体系建设4.IT风险管理相关服务体系总体介绍5.IT风险/信息安全合规管理及整合服务介绍6.信息安全风险管理及敏感信息保护服务介绍7.IT服务管理体系建设服务介绍8.业务连续性及IT外包管理服务介绍9.部分典型案例介绍10.关于德勤ITRiskManagement13©2010，德勤华永会计师事务所有限公司德勤相关调查报告介绍（一）2009年IT与业务平衡情况调查ITRiskManagement14©2010，德勤华永会计师事务所有限公司演变和趋势－信息技术对业务的影响在信息技术的效率方面（自动化以及在更低成本下的更快速的运行）将仍然是体现信息技术价值的重要因素，但是它的普及性是个问题。面对新的挑战，信息技术的代表认识到他们不断变化的角色将更有可能面向业务本身而非面向他们的业务伙伴。ITRiskManagement15©2010，德勤华永会计师事务所有限公司IT治理IT仍然没有全部参与进去:大约一半的受访者经常在董事会层面讨论IT问题；而另一半则很少或从来没有讨论过。尽管IT问题会出现在董事会的议事日程中，但是IT管理层的参与仍然不够。IT指导委员会可望在董事会层面来监督和促使IT问题的讨论，但是事实上在某些国家他们看起来不能总是得到其应有的重视。IT和业务战略之间达到一致必须在预算之外—IT和业务战略达到一致的过程可能仍然被过多地视为是一种与预算挂钩的一次性过程。从全球来看，各种组织必须将他们的注意力集中于IT目标与总体战略方向的兼容性上。使高层聆听IT的声音让IT与业务战略相一致ITRiskManagement16©2010，德勤华永会计师事务所有限公司IT管理IT为业务项目提供支持，但仍然没有在启动阶段就作为一种驱动力来表现。IT治理模型在IT全速管理中起到重要作用：IT在越高的治理层面被考虑，它就会在业务项目启动时作为一种驱动力发挥更多作用。“IT管理”应该不再等同于“IT部门”.随着业务的进行，信息技术交织与业务日益交织到一起，业务决策和IT决策的边界变得模糊。二者共同创造的价值需要越来越多超越传统界限的“责任共享”—但在达成共识方面仍有进步的空间。以信息技术为驱动力共享业务和IT之间的责任ITRiskManagement17©2010，德勤华永会计师事务所有限公司IT外包-使用不同的外包风格内包和外包这两种类型仍然存在,总体上来讲,也是最为普遍的外包类型,但地区之间也存在着显著差异。主要的外包类型取决于需求人员外包任务外包流程外包项目总包完全内部的IT组织多外包协作ITRiskManagement18©2010，德勤华永会计师事务所有限公司目录1.背景介绍2.德勤相关调查报告介绍3.风险驱动的IT内控体系建设4.IT风险管理相关服务体系总体介绍5.IT风险/信息安全合规管理及整合服务介绍6.信息安全风险管理及敏感信息保护服务介绍7.IT服务管理体系建设服务介绍8.业务连续性及IT外包管理服务介绍9.部分典型案例介绍10.关于德勤ITRiskManagement19©2010，德勤华永会计师事务所有限公司IT风险管理体系与IT管理框架参考模型ISO20000ITIL3.0ISO27001业务要求管理框架过程改进PDCA监管要求业务要求IT风险评估IT风险规划IT控制目标选择IT管理领域软件开发管理(CMMI)IT运维管理(ISO20000/ITIL)信息安全管理(ISO27001)业务连续性管理(BS25999)组织及职责方针及政策战略规划绩效管理IT审计IT合规管理参考模型COBITIT风险评估及规划IT风险处理ITRiskManagement20驱动业务目标监管要求(SOX)COSO公司治理BS25999ISO27001ISO20000/ITIL最佳实践业务连续性管理COBIT信息安全管理IT服务管理平衡计分卡IT管理与国际IT管控框架IT控制目标管理体系ITRiskManagement21©2010，德勤华永会计师事务所有限公司IT治理模型角色与职责IT治理模型业务单元公司IT内审其他IT需求来源PMO•治理IT•确保业务与IT战略的一致性•批准IT投资•领导IT治理•评估及批准项目方案•评估业务与战略是否一致•监控项目组合及项目管理活动•确保项目的成功实施•IT战略、规划及预算制订•推动IT决定•治理企业IT架构•监控及管理IT采购•IT合规监察需求项目组合管理办公室(PMO)•协调项目的开发•进行项目组合及项目管理•推动跨项目沟通•结合IT战略、规划及预算协同管理IT投资组合架构战略质量开发IT治理实体IT治理委员会IT指导委员会ITRiskManagement22©2010，德勤华永会计师事务所有限公司IT内控体系IT内控要求IT内部控制为实现IT战略，需要识别、开发、采购及实现IT解决方案；对现有系统的变更及维护管理。交付业务所需的IT服务；对安全、可用性、连续性及服务级别进行管理；对数据的管理；IT日常运营操作。对IT服务的能力进行监控，对绩效进行评估；对IT内部控制的监控；对IT合规的控制；进行IT治理。包括IT的战略规划及战术计划，以及IT如何最佳地支持和实现业务目标；IT的目标及方向应当被计划、沟通及管理；应当建立IT的组织结构及技术架构。ITRiskManagement23©2010，德勤华永会计师事务所有限公司IT风险管理体系架构内部审计持续改进业务导向的风险评估方法论风险评估过程风险处理过程风险处理计划实际残留风险信息资产业务流程信息系统组织结构方针政策意识文化流程控制物理设施、硬件网络环境系统及工具软件软投入基础设施人员管理日常运营威胁弱点现有控制措施风险要素评估对象控制措施知识库威胁库弱点库风险事件知识库风险知识库风险指标库风险分级指南风险管理策略管理机制知识库技术措施知识库风险库业务目标业务需求风险管理目标监管及法规要求相关标准要求客户要求风险管理要求及目标风险基线预计残留风险ITRiskManagement24©2010，德勤华永会计师事务所有限公司目录1.背景介绍2.德勤相关调查报告介绍3.风险驱动的IT内控体系建设4.IT风险管理相关服务体系总体介绍5.IT风险/信息安全合规管理及整合服务介绍6.信息安全风险管理及敏感信息保护服务介绍7.IT服务管理体系建设服务介绍8.业务连续性及IT外包管理服务介绍9.部分典型案例介绍10.关于德勤ITRiskManagement25©2010，德勤华永会计师事务所有限公司我们的服务范围IT规划系统建设运行维护IT治理及投资组合优化IT风险管理体系项目组合管理IT服务管理体系(ITIL/ISO20000)信息安