IT治理(陈伟).pptVIP

IT 治理 一、从企业风险管理到IT风险控制 企业管理模式 企业在确认自身战略目标的基础上，对组织架构、业务流程、以及业绩评估三个元素进行整合，并取得信息技术的充分配合与支持，才能全面提升管理水平。 企业管理常见风险 战略定位不明 组织架构紊乱 业务流程松散 激励机制不足 信息技术缺乏 资金管理低效 企业风险管理的背景 2002年美国国会发布了SOX《萨班斯—奥克斯利法案》要求所有上市公司都必须建立有效的内部控制框架。 2004年9月30日中国银监会发布了《商业银行内部控制评价办法》，2006年银监会发布《电子银行业务管理办法》 、《电子银行安全评估指引》 、《银行业金融机构信息系统风险管理指引》和《银行业金融机构内部审计指引》。 2006年6月国资委发布《中央企业全面风险管理》；2006年6月5日，上海证券交易所发布了《上海证券交易所上市公司内部控制指引》；2006年9月28日 深交所发布《深圳证券交易所上市公司内部控制指引》 财政部近日发起成立企业内部控制标准委员会，其目的是为推动企业完善治理结构和内部约束机制，中国式的SOX法即将出台。 企业风险管理框架（ COSO ） COSO风险管理框架的启发 要站在企业管理者的角度来看待风险，企业风险是由包括IT风险在内的其他风险组合而成。 强调“人”的重要性，组织中的每一个人对风险管理都负有责任； 强调“软控制”的作用。“软控制”主要指那些属于精神层面的事物，如高级管理阶层的管理风格、管理哲学、企业文化、内部控制意识等，“软控制”影响人的行为。 强调风险管理是一个“动态过程”，风险管理是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的PDCA过程。 明确指出内部控制只能做到“合理”保证，目标达成的可能性受许多先天条件不足及各种“不确定性”的影响。 没有不花钱的内部控制，也不存在完美无缺的内部控制。 企业风险管理组成结构 IT风险控制是企业风险管理中的重要组成部分 IT面临哪些风险与挑战？ 在信息与信息系统上的投资规模与成本都在不断扩大，高投入带来了高风险； 企业对IT系统的依赖性越来越强的同时，面临不断增多的系统薄弱性和各种各样的威胁，IT系统的停机将造成业务受到巨大损失、声誉下降、竞争优势丧失； IT 应用与业务需求之间逻辑错位，IT设施最后成了摆设，IT建设缺乏绩效评估机制； IT项目的高失败率，使得企业无法实现其预期的创新与利益，不能实现对IT的投资回报，或者不通对投资回报进行测量； 不断发展的科技潜力显著地改变组织形式与商业模型，在创造出新的机遇并降低了成本的同时，也使得商业竞争不断加剧; …… 信息系统风险的类型 IT治理风险－信息化建设仍然属于“人治时代”，信息化的随意性较大，企业还没有就信息化形成相关的制度。 IT可用性风险－业务对IT不断增强的依赖性和脆弱的基础设施及管理流程，使得IT系统的停机对组织的业务造成巨大损失、声誉下降、竞争优势丧失。 信息安全风险－技术的发展及互联网的便利性，使得信息安全形势日益严峻，黑客攻击频繁、病毒泛滥，造成许多商业网站、政府网站被入侵，虚拟资金被盗，敏感机密信息被泄露。 IT绩效风险－如果规划不当、控制不严，IT系统不能带来预期的业务价值，巨额的信息化投入很可能造成新一轮的“投资黑洞”。 合规性风险－法律、法规对IT的监管要求越来越严格，不能符合合规性要求将使企业面临较大的风险。 控制信息化的风险需要制度与管理创新 决定信息系统是否有效运转的决定因素不是信息技术，而是制度、组织结构、规则与标准，最终是人。 信息化需要合理有效的制度安排，建立良好的管理控制体系是企业信息系统建设成功的重要保证。 应该逐步完善企业的IT治理机制，实现IT与战略、管理、业务运营、信息安全的深度融合。 这样一方面使信息系统为企业创造价值并保护持续性，另一方面控制信息化的风险与降低成本。 构筑信息时代新的“游戏规则”，“规则”是“游戏”是重要组成部分。 建立PDCA的风险控制体系 你的组织是如何治理IT的？ IT治理的重要作用 没有良好的IT治理结构和持之以恒的评估反馈机制，IT资源无法成为公司的有效战略资产，甚至成为巨大的资源损耗。 在采用相同战略目标的情况下，具有良好IT治理的企业，其利润要比那些治理低下的企业高出20%。而对世界范围内250家企业的调查表明，只有38%的高级主管能够精确描述他们的IT治理。 什么IT治理？ 德勤定义如下: IT 治理是一个含义广泛的术语，包括信息系统、技术、通讯、商业、所有利益相关者、合法性和其他问题。其主要任务是：保持IT 与业务目标一致，推动业务发展，促使收益最大化，合理利用IT 资源，IT 相关风险的适当管理。 ISACA定义：IT 治理是一个由关系和过程所构成的体制，用