IT治理的含义.ppt

下载

下载

8积分

10积分

下载

10积分

VIP价：8积分

IT治理的含义 IT治理的定义 IT治理的使命 IT治理的内容 IT治理的全景试图 实施IT治理所带来的好处 什么是IT治理 ？ IT治理用于描述企业或政府是否采用有效的机制（就是为鼓励IT应用的期望行为而明确决策权归属和责任承担的框架），使得IT的应用能够完成组织赋予它的使命，同时平衡信息技术与过程的风险、确保实现组织的战略目标。 Governance = Accountability 治理和管理的区别就在于：治理是决定由谁来进行决策，管理则是制定和执行这些决策。 IT治理的使命 保持IT与业务目标一致，推动业务发展，促使收益最大化，合理利用IT资源，适当管理与IT相关的风险。 IT治理的目标 帮助管理层建立以组织战略为导向，以外界环境为依据，以业务与IT整合为重心的观念，正确定位IT部门在整个组织的作用。最终能够针对不同业务发展要求，整合信息资源，制定并执行IT战略，推动组织发展。 IT治理的主要特点 健全的组织架构(健全的组织架构是正确决策的保障) 清晰的职责边界(清晰的职责边界是确保各治理主体独立运作、有效制衡的基础) 明确的决策规则和程序(如果说职责边界是明确由谁做出决策，决策规则和程序就是明确怎么做出决策。 ) 有效的激励和监督机制(当激励与约束机制不能和组织的目标相联系时，IT治理是非常低效的) 透明度(治理的流程越透明，治理的信心也就越足) 有效的IT治理需要解决三方面的问题 一是解决目的性问题，即IT治理需要做出哪些决策？ 企业IT决策主要包括五项：IT原则、IT架构、IT基础设施、IT商业应用、IT投资 二是解决组织性问题。 三是解决系统性问题，即IT治理中如何制定和监控这些决策？ 企业需要通过一系列的治理机制——结构、流程和沟通实现治理计划（如中国网通集团企业信息化管理控制体系） IT治理与IT管理 IT资源的有效利用 IT资源投入、使用过程中的权责配置 主要任务 良好的企业管理基础 良好的公司治理框架 运行基础 ITIL\ISO17799\CMMI\PMBok等 COBIT 实施方法 在现有IT治理框架下确定企业具体的发挥路径及手段 确定企业IT应用的基本框架，以确保IT管理处于正确的轨道 在企业发挥中的地位 实现效率最大化 实现利益相关者利益的平衡 目标 企业管理层 股东及董事会(投资人) 执行主体 IT管理 IT治理 IT部门在组织中的演变 时间 IT部门的成熟度 技术提供者 服务提供者 战略合作伙伴 IT 基础架构管理(ITIM) IT 服务管理(ITSM) IT治理(ITG) IT的作用是促进业务增长 IT预算是由业务战略驱动的 IT与业务密不可分 IT是一项投资，应该加强管理 IT管理者是提供解决业务问题方案的专家 IT的作用是提高效率 IT预算是由外部基准驱动的 IT与业务分离 IT是一项成本中心，应该加以控制 IT管理者是技术专家 战略合作伙伴 服务提供者 研究平台: 中国IT治理研究中心 实施 方法 咨询 培训/ 认证 企业 网络平台: 论坛平台:G2峰会 出版平台:中国IT治理智库 中国IT治理领域生态图 中国网通、中国移动、东风汽车、中化集团、北京市高级人民法院；据公开统计报道，中国实施IT治理的企业不超过20家 培训企业：北京信诚致远、上海品易、上海信息化中心等。 培训证书：1、CobiT Foundation(180张左右) 2、CGEIT 北京信诚致远 1、CobiT 2、CobiT\ITIL\27001整合实施 3、部分公司内部使用的方法 实施方法 COBIT – 信息及相关技术控制目标 IT治理协会 () 信息系统审计与控制协会 () ITIL COSO –Treadway委员会发起成立的委员会 ISO2700 C Control OB OBjectives I for Information T and Related Technology CobiT名字的由来 Cobit是什么？ Cobit是关于“IT控制”的治理和控制的框架。 Cobit是在控制的需要、技术问题和商业风险这三者鸿沟之间架起的一座桥梁。 Cobit聚焦在“what needs to be achieved”,而不是“how to achieve”。 Cobit面向管理层、用户、信息系统审计师、业务经理、内控及安全人员等。 Cobit是一个可实施、可裁减的框架。 CobiT更多的关注于控制而非执行 ； 以业务为关注焦点 （business-focused ） 度量驱动 （measurement-driven） CobiT 特性 基于控制 （controls-based） 流程导向 （process-oriented） COBIT特性 发展历史 2007年1月CobiT 更新到了 从1992年起，世界整体环境变化巨大 关键业务流程对IT的依赖性更强 管理者对IT成本、价值、风险有更多的关注 董事层对治理的更多关注 IT最佳实践和标准的日益完善 管理者、IT部门和审计师的综合使用 持续符合法规 研究、建立、宣传并不断提升一个权威的、最新的、国际公认的IT治理控制框架，使之为企业广泛接受，并成为业务经理、IT专业人员和风险控制人员的行为指南。 使命 COBIT模型 CobiT 如何支持IT治理 CobiT 通过提供一个框架来支持IT治理，进而确保 IT与业务保持一致 适当管理IT风险 IT保障业务并实现收益最大化 IT资源的充分管理 基于以业务为关注焦点的更好协调 实施 CobiT的益处 为管理者提供了一个更好的理解IT是什么的视角 基于流程导向的清晰的所有者关系及职责 易于被第三方及监管机构所接受 基于通用的语言，可以被所有的利益相关方所理解 满足COSO对于IT控制环境的要求 业务流程 信息 IT 资源 信息 体系 基础设施 人员 效果 效率 机密性 完整性 可用性 符合性 可靠性 信息标准 ? 他们匹配吗? 框架 你需要什么 你能得到什么 Cobit34个高级控制目标 规划与组织 PO 1 制定IT战略规划 PO 2 确定信息体系架构 PO 3 确定技术方向 PO 4 确定IT流程、组织及相互关系 PO 5 管理IT投资 PO 6 管理目标与方向的协调 PO 7 人力资源管理 PO 8 质量管理 PO 9 IT风险评估与风险管理 PO 10 项目管理 获取与实施 AI 1 确定自动化解决方案 AI 2 应用软件的获取和维护 AI 3 技术基础设施的获取和维护 AI 4 授权操作和使用 AI 5 获取IT资源 AI 6 变更管理 AI 7 安装与解决方案和变更审批 交付与支持 DS 1 定义并管理服务水平 DS 2 管理第三方服务 DS 3 绩效管理与容量管理 DS 4 确保服务的持续性 DS 5 确保系统安全 DS 6 确认与分配成本 DS 7 教育并培训客户 DS 8 服务台与事件管理 DS 9 配置管理 DS 10 问题管理 DS 11 数据管理 DS 12 物理环境管理 DS 13 运营管理             监控与评价 M1 IT绩效监督与评估 M2 内部控制监督与评估 M3 确保法规遵从 M4 提供IT治理       以业务为关注焦点 以业务为关注焦点——IT资源 是指用于处理信息的自动化用户系统和手工程序 应用 信 息 是指输入信息系统并被信息系统处理及输出的各种类型的数据，不管业务部门是以何种形式使用它。 用于处理应用系统的技术和设施(涵盖硬件、操作系统、网络系统和多媒体等,及其支持环境) 基 础 设 施 包括需要进行规划、组织、采购、交付、支持和监控信息系统和服务的人员，根据需要，他们可以是内部的、外包的或签约的人员 人 员 IT 资源 质量需求: • 质量 • 成本 • 可交付 受托责任 (COSO报告) • 运营的效率和效果 • 财务报告的可靠性 • 符合法律、法规 安全需求 • 机密性 • 完整性 • 可用性 效果 效率 机密性 完整性 可用性 符合性 可靠性 业务需求“business requirements for information 以业务为关注焦点——业务需求 以业务为关注焦点—— IT目标与IT的企业架构 IT计分卡 IT目标 IT的业务目标 企业战略 IT 的企业架构 业务需求 治理需求 信息服务 信息标准 需求 影响 应满足 IT的业务目标 IT流程 应用系统 基础架构 和人员 信息 交付 运行 需要 IT的企业架构 度量驱动 COSO and COBIT are probably the best known Control Frameworks associated with Sarbox. All three of these frameworks were built with the knowledge of each other. COSO came from the accounting business and is higher level – COSO is directed towards internal controls in general. COSO does not provide specifics for IT. COBIT was then defined to provide specific control objectives for IT. Both of these have broader ramifications than just Sarbox. Some critics claim that COBIT is too broad and cumbersome to follow for Sarbox. SysTrust is somewhat of an abbreviated version dealing with “system trust” issues. As such, it more succinctly ties to the integrity and operations risk management issues being addressed by Sarbox. COSO: COSO was originally formed in 1985 to sponsor the National Commission on Fraudulent Financial Reporting, an independent private sector initiative which studied the causal factors that can lead to fraudulent financial reporting and developed recommendations for public companies and their independent auditors, for the SEC and other regulators, and for educational institutions. COBIT, COBIT has been developed as a generally applicable and accepted standard for good Information Technology (IT) security and control practices that provides a reference framework for management, users, and IS audit, control and security practitioners. issued by the IT Governance Institute and now in its third edition, is increasingly internationally accepted as good practice for control over information, IT and related risks. Its guidance enables an enterprise to implement effective governance over the IT that is pervasive and intrinsic throughout the enterprise. In particular, COBIT's Management Guidelines component contains a framework responding to management's need for control and measurability of IT by providing tools to assess and measure the enterprise’s IT capability for the 34 COBIT IT processes. SysTrust Standards to address marketplace needs for assurance about systems reliability and e-commerce activities. These standards consisted of Principles and Criteria for systems reliability - to address risk and opportunities of IT. * 审计工具， * * Visual representation of a comparison of the need for usable information using the previous slides.   Note to Instructor: Use this diagram to ask attendees to think of their own organisation and about the numerous times systems are developed or changed and the user is not satisfied. Then ask them to think about where the breakdown may occur and note if there is a pattern? To satisfy business objectives, information needs to conform to certain criteria, which COBIT refers to as “business requirements for information.” In establishing the list of requirements, COBIT combines the principles embedded in existing and known reference models: QUALITY requirements include quality, cost and delivery. This is no different from the historical “better, cheaper, and faster” approach. FIDUCIARY requirements recently have been outlined by the Committee of Sponsoring Organisations (Treadway Commission) indicating that management must attest to its organisation’s effectiveness and efficiency of operations, reliability of financial reporting (not financial reports), and compliance with laws and regulations. SECURITY requirements require confidentiality, integrity and availability of all information. Reference: Page 12 of Control Objectives