第二章 IT治理与管理 CISA.doc

第二章 IT治理与管理 A. IT治理 ? A1. 公司治理 指所有者、经营者和监督者之间通过公司权力机关（股东大会）、经营决策与执行机关（董事会、经理）、监督机关（监事会）而形成权责明确、相互制约、协调运转和科学决策的联系，并依法律、法规、规章和公司章程等规定予以制度化的统一机制； 公司治理强调企业中权力、角色的合理分配和对股东的平等对待；信息披露与透明；董事会的职责；为企业提供合理的战略指南；董事会对管理层进行有效的监督，董事会必须向企业和股东负责。 公司治理框架中一个很重要内容就是要建立内部控制体系管理和报告业务风险。 A2.IT治理 IT治理是一个综合术语，它包括信息系统、技术和通讯，业务、法律相关事务，所有利益相关方、董事会、高级管理层、流程所有人、IT供应商、用户和审计师。治理有助于确保IT和企业目标保持一致。 有效的公司治理注重个人和团队在特定领域中最有效的专门技能和经验。长期以来，仅作为组织战略促进因素的信息技术，现在被看作是整体战略的一部分。CEO、COO、CFO、CIO和CTO在IT与企业目标间能达成战略一致是关键成功因素。通过经济、有效地使 用安全、可靠的信息和应用技术，IT治理能有助于实现这个关键成功因素。信息技术对企业的成功是如此重要，因此，不能把其职责放给IT管理人员或IT专家，而必须得到整个高级管理层的关注。 IT治理的定义 ITGI：IT治理是董事会和最高管理层的职责，是企业治理的重要组成部分。IT治理由领导、组织结构以及相关流程组成，这些流程能保证组织的IT有效支持及促进组织战略目标的实现。 IT治理一般关注两方面的问题：IT增加商业价值和IT风险得到控制。前者通过使IT战略与业务保持一致来达到，后者通过向企业分配责任来驱动。 IT治理的关键因素是IT与业务保持一致，以实现业务价值。 IT治理的主要流程有：IT资源管理、绩效测评和合规管理 ?IT治理回答下述问题 在IT战略决策中哪些利益相关者有发言权？ 谁决定IT投资及其优先级顺序？ 应当建立哪些IT委员会，由什么人组成？其职责是什么？向谁报告？ CIO的角色和职责有哪些？ 如何控制IT使其满足业务需求？ 如何评价IT职能的绩效？ ?IT治理的目标 指导IT工作，确保IT绩效满足IT目标、符合企业目标要求，实现预期利润 帮助企业开拓商机，实现利益最大化 充分利用IT资源 适当控制IT相关风险 ? IT治理与公司治理 公司治理主要关注利益相关者权益和管理，包括一系列责任和条例，由最高管理层（董事会）和执行管理层实施； 公司治理目的是提供战略方向，保证目标能够实现，风险适当管理，企业资源合理使用； IT治理是公司治理的重要组成部分，是董事会或最高管理层的责任； IT治理由领导、组织结构以及相关流程组成，这些流程能保证组织的IT能有效支持及促进组织战略目标的实现，同时控制风险、降低成本、提高绩效。 公司治理可以驱动和调整IT 治理，同时，IT 能够为公司治理提供关键的输入，形成战略计划的一个重要组成部分 ?公司治理和IT 治理都是“他律”机制，是如何“管好管理者”的机制，其目标也是一致的：达到业务持续运营，并增加组织的长期获利机会。 IT治理与IT管理 IT 管理是公司的信息及信息系统的运营，确定IT 目标以及实现此目标所采取的行动 而IT 治理是指最高管理层（董事会）利用它来监督管理层在IT 战略上的过程、结构和联系，以确保这种运营处于正确的轨道之上。简言之，是“对管理的管理” IT 管理就是在既定的IT 治理模式下，管理层为实现公司的目标而采取的行动 缺乏良好IT 治理模式的公司，即使有“很好”的IT 管理体系（而这实际上是不可能的），