《{公司治理}3集团企业IT治理内容工具与实例》由会员分享,可在线阅读,更多相关《{公司治理}3集团企业IT治理内容工具与实例(44页珍藏版)》请在金锄头文库上搜索。
1、集团企业的IT治理,内容、工具与实例,主要内容,IT治理是什么 为什么要做IT治理 IT治理的五大关键IT决策问题(治理对象) IT治理机制(治理手段) 企业如何实施IT治理,1. IT治理的本质,IT治理属于公司治理的组成部分,是指导和控制IT资源的结构,关系和过程,通过平衡风险和回报获取IT价值,以实现企业目标。价值实现,风险控制是IT治理的两个核心。,打个比方来说: “管理”相当于列车行驶时怎么开快火车; “治理”则是规定谁来做决策、铺设怎样轨道,谁来和怎么约束火车在轨道内安全行驶 因此,虽然是硬币的两面,但是治理却更具统筹效应。,2 为什么要IT治理,2005年,麻省理工CISR研究中
2、心与Gallup咨询机构合作,Ross 和Weill教授通过实证研究表明IT治理有助于企业获取高IT投资回报,好的IT治理模式可为企业增加20%以上的利润 2010年4月2日,2010年中国企业信息化指数调研报告显示中国企业IT治理普遍欠佳。 尤其IT规划、IT制度体系和IT评估缺失现象严重,IT治理缺失的八大症状:,一是缺乏IT建设整体规划、执行随意性较强,标准化和规范化等基础工作不到位,导致出现大量信息孤岛,使公司面临繁重的系统整合工作; 二是业务部门与技术部门经常出现“两张皮”现象,使到沟通交流困难; 三是IT预算缺乏完整性,计划外项目过多; 四是项目投资出现失误或投资回报不高; 五是项
3、目管理缺乏控制手段,项目延期交付时有发生; 六是IT事故责任不清,技术部门承担责任过大; 七是一些IT系统建成后没人进行后续跟踪运维、推广和使用; 八是缺少IT审计环节,不清楚IT价值何在,认为IT只是工具,缺乏约束机制。,为什么要做IT治理-两大直接驱动力,价值- 提高企业信息化成熟度 + 支撑企业战略 风险- IT过程控制 + 外部合规 价值提升与风险控制:IT治理的最终目标,IT治理整体框架体系,典型的IT治理主体: 董事会与执行层 业务部门管理者 IT部门管理人员,IT投资的分类:,把信息技术投资分为四类资产,分别是: 交易流程 信息管理流程 战略性开发或创新 基础架构 任何一项IT投
4、资都可能是这四类资产的任何组合。,IT治理的五大对象:,1.我们应当花多少钱? 2 哪些业务流程应当获得资金? 3 哪些IT能力应当面向整个公司? 4 IT服务要有多好? 5.谁来承担责任,IT治理五大对象间关系,2 IT治理机制,IT决策权力部署方式,建立健全IT流程管控体系-IT治理机制,典型IT治理机制,实现IT治理的工具/方法,信息系统审计的诞生 1,在美国、日本、英国、加拿大等发达国家,信息系统审计已经发展到相当程度,信息系统审计的理念也已深入人心。 从国外ISA发展历史来看,它是与企业信息化的过程紧密联系的,是企业信息化的必然要求。,信息系统审计的诞生 1,信息系统审计,信息系统/
5、技术,审计,“逐步开展对关系国计民生的重大行业、部门的联网审计和信息系统审计,全面提高计算机应用水平”,+,引自:审计署2006至2010年审计工作发展规划,信息系统审计是我国审计发展的新路径 1,信息化时代,我国的信息系统审计具备极大的需求和迫切性: 信息系统审计被列入“金审工程”二期的试点范围(2007.5,审计署信息系统审计研讨会) 信息系统审计成为审计署2008年度重大研究课题之一。 审计署信息系统审计培训开班(2008.5.28) 审计署提出要基本形成符合中国国情的信息系统审计的理论和方法。 (中国审计报) 部分审计机关将2008年作为信息系统审计的探索之年。(中国审计报) 相关部门
6、正在积极酝酿并研究制定信息系统审计准则和指南 但是“我们的信息系统审计仍处于探索阶段”(石爱中语),COSO框架,COSOERM框架和1992年的COSO报告一样,也主要在“控制活动”和“信息沟通”中对IT控制做出相关规定。 但是因为时隔12年,信息技术已经有翻天覆地的变化,所以该框架在技术上对IT控制(包括一般控制和应用控制)作了更为广泛、科学的描述。 控制活动,指为确保风险管理策略有效执行而制定的制度和程序,包括核准、授权、验证、调整、复核、定期盘点、记录核对、职能分工、资产保全、绩效考核等。 信息沟通,指产生服务于规划、执行、监督等管理活动的信息并适时向使用者提供的过程。,COBIT,I
7、TIL,ITIL流程间的关联,ISO27001标准,ISO27001标准不是一个技术性的信息安全操作手册,而一个通用的信息安全管理指南。它提出 了11个安全要素,39个控制目标和133种控制措施。ISO17799中的11个要素分别是: 安全策略(Security policy); 信息安全组织(Organization of information security); 资产管理(Asset management); 人力资源安全 (Human resource security); 物理和环境安全(Physical and environmental security);, 通信和操作管理(
8、Communication and operation management); 访问控制(Access control); 信息系统获取、开发和维护(Information systems acquisition, development and maintenance); 信息安全事件管理(Information security incident management); 业务连续性管理(Business continuity management); 符合性(Compliance)。,5. 企业如何实施IT治理-16字方针,整体规划,分步实施,关注试点,持续优化,-Think big,
9、 do small, Do big,5. 企业如何实施IT治理-16字方针,整体规划,分步实施,关注试点,持续优化,-Think big, do small, Do big,5. 企业如何实施IT治理-16字方针,整体规划,分步实施,关注试点,持续优化,-Think big, do small, Do big,5. 企业如何实施IT治理-16字方针,整体规划,分步实施,关注试点,持续优化,-Think big, do small, Do big,外部合规要求:,中央企业全面风险管理指引 国资委信息化水平评价 企业内部控制基本规范 上海证券交易所上市公司内部控制指引 美国SOX法案合规 施工总承
10、包企业特级资质标准,国资委信息化水平评价-合规2,企业内部控制应用指引,内部控制应用指引中的计算机信息系统具体规范则提出:企业在建立并实施计算机信息系统内部控制制度中,至少应当强化对以下关键方面或者关键环节的风险控制,并采取相应的控制措施: (一)权责分配和职责分工应当明确,重大信息系统事项应履行审批程序; (二)信息系统开发、变更和维护流程应当清晰,授权审批程序应当明确; (三)信息系统应当建立访问安全制度,操作权限、信息使用、信息管理应当有明确规定; (四)硬件管理事项和审批程序应当科学合理; (五)会计电算化流程应当规范,会计电算化操作管理、硬件、软件和数据管理、会计电算化档案管理和会计
11、电算化账务处理等制度应当完善。,上海证券交易所上市公司内部控制指引-合规4,第四条 公司董事会对公司内控制度的建立健全、有效实施及其检查监督负责,董事会及其全体成员应保证内部控制相关信息披露内容的真实、准确、完整。 第十条 公司使用计算机信息系统的,还应制定信息管理的内控制度。 信息管理的内控制度至少应涵盖下列内容: (一)信息处理部门与使用部门权责的划分; (二)信息处理部门的功能及职责划分 (三)系统开发及程序修改的控制; (四)程序及资料的存取、数据处理的控制; (五)档案、设备、信息的安全控制;,IT治理成熟度诊断,成熟度诊断的六个方面: IT权责体系 IT战略 IT投资 IT运维服务 风险与合规 IT人力资源,成熟度模型的使用,示例,示例,IT人力资源,人力资源地域分布情况,技术经验分布情况,流动情况,示例,培训情况,示例,IT治理目标-价值提升,风险控制,示例,IT治理框架蓝图,示例,IT治理实施计划,示 例,持续改进,不断提升IT治理成熟度,
