IT治理培训课件.ppt

第四阶段：实施具体方案 主要过程 把计划好的项目方案落实到日常运行实务中去，以推动具体项目的实施； 以IT平衡记分卡的方式，对实施后的IT过程进行评审与监督，以此作为反馈来保证IT过程的持续可靠运行。 如何利用COBIT？ 在此阶段，可以利用COBIT管理指南中KGI和KPI来建立IT平衡记分卡，进行项目实施后的评审。 把方案集成进日常运行实务中去 建立具体的平衡记分卡进行测量 实施具体方案 第四阶段详述 * COBIT审计指南 审计指南是COBIT提供的一个补充工具，以方便审计师在审计和评估活动中使用COBIT 框架与控制目标； 由于审计指南与COBIT 框架和详细控制目标集成在一起，因此审计指南为审计师准备审计计划、审计方案提供了指引； COBIT为IT的安全与控制提供了明确的政策和良好的实践，因此扎根于控制目标的审计指南使审计师可以从审计结论中得出合理的审计建议，并参照权威的标准来完善控制过程。 （三）COBIT的应用之二：IT审计 * 审计模型 审计的目标是： 为管理层提供控制合理性的保证 何处存在重要的控制弱点，证实由此产生的风险 建议管理层采取纠正措施。 审计过程的公认结构是： 识别与文档工作 评价 符合性测试 实质性测试 * 审计指南三层结构 第一层 通用IT审计方法 COBIT框架 审计前的准备 对控制的观察 一般性审计指南 第二层 过程审计指南 详细审计指南 第三层 补充详细的控制目标的审计关注点 当地条件 地区特定标准 行业标准 与特定平台相关的因素 所使用的详细控制技术 * 审计前的准备 定义审计范围 相关的业务过程 支持业务过程的平台、系统及系统间的互联 角色、责任及组织结构 识别与业务过程相关的信息需求 与业务过程的相关性 识别固有的IT风险和各种级别的控制 最近在业务与技术环境中发生的变量与事件 有关审计、鉴定和自我评估的结果 管理层使用的IT监督措施 选择要审计的IT过程和平台 IT过程 资源 设定审计策略 控制与风险 步骤与任务 决策点 审计过程详述 * 审计的一般过程 --获得对业务需求有关的风险、和相应的控制方法的理解; ----评价规定的控制的适宜性; ------评估符合性，通过测试规定的控制是否按规定、一致的、持续的起作用; --------证实，通过分析技术和/或咨询可选的来源，证实控制目标的风险不存在。 一般性审计指南 * COBIT推荐的IT审计方法 审计指南示例 * 案例研究 A公司利用COBIT建立控制框架 B银行的信息系统审计 * 演讲完毕，谢谢观看！ 内容总结 IT 治理。能搞掂就继续合同，出问题就换一家。这两者都需要获得足够的资源并进行绩效测量，以保证获得预期结果。IT治理风险在战略层面和战术层面的表现。如何做出决策及对决策进行监控。按照政治治理模式选择较接近的IT治理制度安排。包括高级业务主管委员会（可能包括CIO）。核心级主管和业务团队（例如，业务单位或流程）。IT主管和其他团队（如CxO或业务单位或流程负责人）。CEO与一个小型高层执行者团队合作，保证IT与公司目标一致。治理工作流程包括以下6个流程：。评估治理绩效时要评估五个因素，利用下表进行对照比较。管理层-帮助他们在不可预知的IT环境中平衡风险和控制之间的矛盾(采用控制措施需要投入资金)。应用系统——可以理解为人工程序和计算机程序的总和。设备——指所有用来存放和支持信息系统的资源。(该域包含应用系统对数据的实际处理，通常按应用控制分类。空白(Blank)——可能适用。IT战略与业务战略相一致吗。演讲完毕，谢谢观看 战略定位不明－企业缺乏对产业愿景的认识和自身的定位，无法组织和建立未来竞争所需的资源和竞争力 组织架构紊乱－组织架构不能配合企业战略的实施，难以整合提升资源 业务流程松散－业务部门之间联系松散，职能重叠，缺乏信息共享机制，无法为企业创造附加价值 激励机制不足－缺乏全面完备的绩效评估制度等激励机制，人才的成长落后于企业的发展 信息技术缺乏－信息技术运用程度较低，信息系统与业务脱节，难以为企业提供决策支持 资金管理低效－企业缺乏成熟的资金运用和投资管理技能，造成资金运用的低效率 COSO风险管理 2004年4月美国COSO委员会正式颁布了企业风险管理框架，该框架是在1992年COSO委员会颁布的内部控制框架基础上，吸收各方风险管理研究成果基础上提出的。 风险管理定义 企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的，应用于企业战略制定和企业内部各个层次和部门的，用于识别可能对企业造成潜在影响的事项，并在其风险容纳量范围内管理风险的，为企业目标的实现提供合理保证的过程。 有效性—不能处理与业务过程相关的信息，并以及时、正确、一致和可用的方式交付的风险。 经济性—不能以最优化资源使用的方式