《it治理培训课件》由会员分享,可在线阅读,更多相关《it治理培训课件(101页珍藏版)》请在金锄头文库上搜索。
1、-1-,IT 治理,陈伟,第三届北大CIO班,,-2-,企业管理模式 企业在确认自身战略目标的基础上,对组织架构、业务流程、以及业绩评估三个元素进行整合,并取得信息技术的充分配合与支持,才能全面提升管理水平。,经 营 战 略,信 息 技 术,业 绩 评 估,业 务 流 程,组 织 架 构,环,环,市,场,境,境,业,行,一、从企业风险管理到IT风险控制,-3-,企业管理常见风险 战略定位不明 组织架构紊乱 业务流程松散 激励机制不足 信息技术缺乏 资金管理低效,-4-,企业风险管理的背景 2002年美国国会发布了SOX萨班斯奥克斯利法案要求所有上市公司都必须建立有效的内部控制框架。 2004年
2、9月30日中国银监会发布了商业银行内部控制评价办法,2006年银监会发布电子银行业务管理办法 、电子银行安全评估指引 、银行业金融机构信息系统风险管理指引和银行业金融机构内部审计指引。 2006年6月国资委发布中央企业全面风险管理;2006年6月5日,上海证券交易所发布了上海证券交易所上市公司内部控制指引;2006年9月28日 深交所发布深圳证券交易所上市公司内部控制指引 财政部近日发起成立企业内部控制标准委员会,其目的是为推动企业完善治理结构和内部约束机制,中国式的SOX法即将出台。,-5-,企业风险管理框架( COSO ),目标:从各种角度来考虑,因素:从相联的各种过程来考虑,地点:在组织
3、的各个层次考虑,-6-,COSO风险管理框架的启发 要站在企业管理者的角度来看待风险,企业风险是由包括IT风险在内的其他风险组合而成。 强调“人”的重要性,组织中的每一个人对风险管理都负有责任; 强调“软控制”的作用。“软控制”主要指那些属于精神层面的事物,如高级管理阶层的管理风格、管理哲学、企业文化、内部控制意识等,“软控制”影响人的行为。 强调风险管理是一个“动态过程”,风险管理是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的PDCA过程。 明确指出内部控制只能做到“合理”保证,目标达成的可能性受许多先天条件不足及各种“不确定性”的影响。 没有不花钱的内部控制,也不存在完美无缺
4、的内部控制。,-7-,企业风险管理组成结构,风险管理策略 组织对风险的态度,对风险管理的承诺,风险控制过程 组织具体管理风险步骤、做法及工具,风险管理基础 组织内支持风险管理的人员、组织、技术等,来协助驱动风险管理,风险模型举例,-8-,IT风险控制是企业风险管理中的重要组成部分,IT控制层,COSO控制框架,ISMS、ITSM、BCP、CMMI、,-9-,IT面临哪些风险与挑战? 在信息与信息系统上的投资规模与成本都在不断扩大,高投入带来了高风险; 企业对IT系统的依赖性越来越强的同时,面临不断增多的系统薄弱性和各种各样的威胁,IT系统的停机将造成业务受到巨大损失、声誉下降、竞争优势丧失;
5、IT 应用与业务需求之间逻辑错位,IT设施最后成了摆设,IT建设缺乏绩效评估机制; IT项目的高失败率,使得企业无法实现其预期的创新与利益,不能实现对IT的投资回报,或者不通对投资回报进行测量; 不断发展的科技潜力显著地改变组织形式与商业模型,在创造出新的机遇并降低了成本的同时,也使得商业竞争不断加剧; ,ERP失败案例,交易失误,-10-,信息系统风险的类型 IT治理风险信息化建设仍然属于“人治时代”,信息化的随意性较大,企业还没有就信息化形成相关的制度。 IT可用性风险业务对IT不断增强的依赖性和脆弱的基础设施及管理流程,使得IT系统的停机对组织的业务造成巨大损失、声誉下降、竞争优势丧失。
6、 信息安全风险技术的发展及互联网的便利性,使得信息安全形势日益严峻,黑客攻击频繁、病毒泛滥,造成许多商业网站、政府网站被入侵,虚拟资金被盗,敏感机密信息被泄露。 IT绩效风险如果规划不当、控制不严,IT系统不能带来预期的业务价值,巨额的信息化投入很可能造成新一轮的“投资黑洞”。 合规性风险法律、法规对IT的监管要求越来越严格,不能符合合规性要求将使企业面临较大的风险。,-11-,控制信息化的风险需要制度与管理创新 决定信息系统是否有效运转的决定因素不是信息技术,而是制度、组织结构、规则与标准,最终是人。 信息化需要合理有效的制度安排,建立良好的管理控制体系是企业信息系统建设成功的重要保证。 应
7、该逐步完善企业的IT治理机制,实现IT与战略、管理、业务运营、信息安全的深度融合。 这样一方面使信息系统为企业创造价值并保护持续性,另一方面控制信息化的风险与降低成本。 构筑信息时代新的“游戏规则”,“规则”是“游戏”是重要组成部分。,信息化最大的风险:控制制度-治理机制的缺失,-12-,建立PDCA的风险控制体系,设定风险管理流程,目的及目标 共同语言 结构,决策资料,订立策略,避 免,利 用,接 受,转移,减低,评估风险,验明 来源 量度,不断的改善 管理能力,设计或引进 管理能力,监察风险 管理表现,用制度体系来建立风险控制框架,-13-,IT风险的控制框架,-14-,你的组织是如何治理
8、IT的?,各种回答 -“什么是IT治理?以前没有听说过。它有具体的概念和定义吗?”“是不是公司治理?它与公司治理有区别吗?” -“IT工作一直是公司战略中的重点,具体的工作我不太清楚,分管副总知道。” -“我们公司老板舍得花钱,老板说了:只要系统不出事,要人给人,要钱给钱!”“公司非常重视IT,老板亲自抓!技术人员地位很高,常常参与公司的高层决策。” -“我们每年年处都制订很好的IT计划,按计划执行就行,年终再检查。” -“技术开发,基本上都依靠外包。能搞掂就继续合同,出问题就换一家” -“公司很少讨论IT治理,系统只要不出事就好,出事了技术主管就麻烦大了!”,二、战略层的IT治理,反映出的问
9、题 (1)IT资源在公司的战略资产中地位受到一定的重视,但是具体情况不清楚; (2)缺乏IT治理明确的概念描述和参数指标; (3)IT治理需要的明确责任与职能不清晰。,-15-,IT治理的重要作用 没有良好的IT治理结构和持之以恒的评估反馈机制,IT资源无法成为公司的有效战略资产,甚至成为巨大的资源损耗。 在采用相同战略目标的情况下,具有良好IT治理的企业,其利润要比那些治理低下的企业高出20%。而对世界范围内250家企业的调查表明,只有38%的高级主管能够精确描述他们的IT治理。,引自彼得.维尔和珍妮.罗斯的IT治理研究,-16-,什么IT治理? 德勤定义如下: IT 治理是一个含义广泛的术
10、语,包括信息系统、技术、通讯、商业、所有利益相关者、合法性和其他问题。其主要任务是:保持IT 与业务目标一致,推动业务发展,促使收益最大化,合理利用IT 资源,IT 相关风险的适当管理。 ISACA定义:IT 治理是一个由关系和过程所构成的体制,用于指导和控制企业,通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。,IT Governance,-17-,IT治理可以分为五个域 二个核心:一是IT要向业务提交价值,二是降低风险。前者由IT与业务的战略一致性驱动,后者由企业内部建立的责任驱动; 这两者都需要获得足够的资源并进行绩效测量,以保证获得预期结果。,-18-,IT治理风险在战略层
11、面和战术层面的表现 战略层面 IT原则、架构、基础设施、应用需求及IT投资的决策权归属及责任担当框架的建立。 战术层面利用国际认可的最佳实施规范建立IT控制框架。 IT治理成熟度,-19-,IT治理的战略层面 在企业战略层面上,要综合公司治理结构、企业战略规划,使IT治理作为公司治理的一部分,在治理结构上体现IT的位置与作用。 建立有效确定IT决策权归属和责任分配的框架,包括有效的治理制度安排与治理机制的设计。,企业战略和组织,IT组织和期望行为,IT治理机制,IT决策,业务绩效目标,IT度量指标和责任,协调什么?,如何协调?,IT治理设计框架,-20-,战略层面的IT治理要解决的问题: 为了
12、保证有效地管理与使用IT,应当做出怎样的决策; 谁来做出这些决策? 如何做出决策及对决策进行监控?,-21-,(一)五种关键的IT决策,-22-,IT原则 对于IT在该企业如何运用的一系列最高陈述。 IT原则一旦清晰地表述出来,就成了企业管理要素中的一部分,可以被讨论、修改和引用。 IT原则至少要阐述三个对IT的预期: 企业期望的运行模式是什么? IT如何支持期望的运行模式? 组织中如何资助IT?,-23-,IT架构 指导IT投资和设计决策的IT框架,是建立企业信息系统的综合蓝图,是对企业不同的信息视图进行架构描述的综合。,-24-,IT基础设施 IT基础设施是所有业务规划的有效IT能力(技术
13、和人力)的基础,是共享、可靠的服务,可用于多个应用。,IT基础设施,变化频繁的业务应用系统,共享的、标准的应用,变化较少,例如:会计系统、HRM、ERP等,长时间保持稳定的服务,例如共享的客户数据加管理、PC/LAN 知识、技能、政策、标准和经验约束组件等人务基础组织 计算机、路由器、操作系统、数据库软件、信用卡机等日常设备,-25-,IT基础设施的10个能力群,-26-,业务应用需求 业务需求是促进IT发展的源动力,准确、及时地识别组织的业务需求,并使之成为信息化建设与调整的依据,这是降低IT风险的可靠保证。,需求识别的困难性,-27-,如何增强企业核心竞争力? 如何寻找新的利润增长点? 如
14、何促进企业成长为知识型、学习型的组织? 如何建立有效的企业风险控制机制?,不同层次的业务需求,招商银行的IT扛杆作用,-28-,IT投资和优先顺序决策 IT投资决策要解决的问题 IT要花多少钱? 把钱花在什么上面? 如何协调不同投资者的需求? IT投资决策的依据 考虑日常运维的支撑需要和企业的发展战略的推动需要 投资合理性论证和计划 为投资寻求支持 企业范围内的IT体系架构 回顾每年的实际开销 对预算所做修正案的审查,-29-,IT投资预算和项目优先级排列的一般过程,-30-,(二)决策权分配的IT治理原型,决策的制定者: 按照政治治理模式选择较接近的IT治理制度安排; 成立IT 治理委员会,
15、定期召开会议,就企业战略与IT 战略的互动、IT原则、IT架构、IT投资等等议题进行讨论并做出决策。,-31-,-32-,IT双寡头制 是一种双方参与的治理安排。其决策特征为:由IT主管人员和企业内的其他团体之间达成的一种双边协议。 用更加简单的管理结构实现很多联邦制模式下所能达到的目标。 在技术含量较低的IT决策领域(IT原则、业务应用需求和IT投资)很多组织更喜欢使用IT双寡头模式进行决策。,-33-,通用的治理模式 MIT Sloan School 2003年对23个国家的256家企业进行研究后,根据统计分析得出一个通用的IT治理模式。,单位:百分比,每列相加为100%,-34-,什么是
16、IT治理机制 企业通过一系列的结构、流程和沟通来实施IT治理计划,设计周详、容易理解和清晰的机制,促进了期望IT行为的产生。 常见的三类IT治理机制 决策结构负责制定IT决策的组织单元和角色,比如委员会、 执行团队和业务与IT关系经理。 工作流程用于保证日常行为和IT政策相一致,并提供返回到决策的输入信息的正式流程。包括IT投资建议和评估流程、架构例外流程、服务水平协议、费用分摊和指标。 沟通方法传播IT治理原则、政策和IT决策制定流程结果的公告、建议、渠道和培训努力等。,(三)实施IT治理的机制,-35-,决策结构 业务君主制的决策结构 通常以执行委员会的形式出现,一般有: CEO与一个小型高层执行者团队合作,保证IT与公司目标一致。 高层管理团队中的一个小组专门负责IT问题。 把CIO作为执行团队的一员,可以强化业务君主制理解IT在业
