IT治理一种对现实难题的探索.ppt

IT治理：一种对现实难题的探索 孙强 sun6869@21 什么是信息系统审计 信息系统（IS）审计是指根据公认的标准和指导规范对信息系统及其业务应用的效能、效率、安全性进行监测、评估和控制的过程，以完成组织的战略目标，同时最经济的使用资源。 IS 审计对象 信息系统审计的过程 1.理解客户业务、系统、环境等 2.识别并评估风险(risk) 3.检查是否存在足够的控制（control）来补偿这些风险 4.对控制进行测试和评价 5.提出审计结论和报告 背景：这个世界发生了什么？ 商业环境更加复杂多变——业务重组、裁员、外包、充分授权、扁平化组织和分布式处理等等 信息和信息技术对于很多组织意味着最重要的资产，这导致IT本身已经或潜在成为一个巨大的威胁，随IT而来的风险、利益和机会使得IT治理成为公司和政府治理中很关键的一个方面。 IT治理缺失的九大症状 首先，各自为政。 其次，信息化建设领导者错位，IT应用方案和企业业务需求之间逻辑错位。 。 第三，决策的技术经济论证不足。 第四，信息资源的合理应用一直是我国信息化的薄弱环节。 第五，利益冲突和信息的不透明。 IT治理缺失的九大症状 第六，IT安全治理和风险管理缺位。 第七，非技术性的障碍。 第八，重硬件购买，轻软件和咨询服务。 IT治理缺失的九大症状 第九，信息化建设找不到重心。 在做正确的事吗？ 例如，信息化到底是什么？我们究竟应该走多远？ 这些事是在用正确的方法吗？ 例如，企业在最普通而又最关键的部分进行计算机管理就不是信息化吗？关键成功要素是什么？不能达到我们目标的风险是什么？ 这些事被做好了吗？ 例如，有没有一个测量标准用于判断何时肯定会出现错误？其他的组织在做什么？我们应该怎样进行测量与比较？ 我们得到受益了吗？ 那么，IT成本与利润比例多少算是合适？ 有没有贯通风险、控制需要和技术问题这三者之间的桥梁？ IT治理缺失的九大症状 总之，一个治理机制不完善的企业很难对外部竞争有积极的反应，从而很难有十分高的经营效率；相反，市场竞争的效率也来自于企业治理机制的完善，如果市场中的企业治理机制普遍不完善，企业之间就不可能进行充分有效的市场竞争。市场竞争最终要通过企业自身治理机制的改善才能使企业经营效率提高。 IT治理的定义 德勤定义如下: IT治理是一个含义广泛的术语，包括信息系统、技术、通讯、商业、所有利益相关者、合法性和其他问题。其主要任务是：保持IT与业务目标一致，推动业务发展，促使收益最大化，合理利用IT资源，IT相关风险的适当管理。 IT治理的定义 Robert s. Roussey （美国南加州大学教授）认为：IT治理用于描述被委托治理实体的人员在监督、检查、控制和指导实体的过程中如何看待信息技术。IT的应用对于组织能否达到它的远景、使命、战略目标至关重要。 IT治理的定义 国际信息系统审计与控制协会 (ISACA)定义如下：IT治理是一个由关系和过程所构成的体制，用于指导和控制企业，通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。 IBM给中国银行业的白皮书 中建议 大力推动银行流程化与流程标准化的管理，建立全行级的跨部门的IT治理决策机构来决定IT项目实施的顺序，加强全行的管理与流程执行的纪律，与IT行业的供应商结成战略联盟,将战略伙伴的价值并入到价值链。 关于IT治理定义的共同点 IT治理必须与企业战略目标一致，IT对于企业非常关键，也是战略规划的组成，影响战略竞争。 IT治理和其它治理主体一样，是管理执行人员和利益相关者的责任（以董事会为代表）。 IT治理保护利益相关者的权益，使风险透明化，指导和控制IT投资、机遇、利益、风险。 信息技术治理包括管理层、组织结构、过程，以确保IT维持和拓展组织战略目标。 关于IT治理定义的共同点（续） 应该合理利用企业的信息资源，有效地集成与协调。 确保IT及时按照目标交付，有合适的功能和期望的收益，是一个一致性和价值传递的基本构建模块，有明确的期望值和衡量手段。 引导IT战略平衡系统的投资，支持企业， 变革企业，或者创建一个信息基础架构，保证业务增长，并在一个新的领域竞争。 对于核心IT资源做出合理的决策，进入新的市场，驱动竞争策略，创造总的收入增长，改善客户满意度，维系客户关系。 IT治理的目标 IT治理——与业务目标一致 IT治理——有效利用信息资源 IT治理——风险管理 IT治理——与业务目标一致 IT治理要从组织目标和信息化战略中抽取信息需求和功能需求，形成总体的IT治理框架和系统整体模型，为进一步系统设计和实施奠定基础，保证信息技术跟上持续变化的业务目标。 IT治理——有效利用信息资源 目前信息化工程超期、 IT