对于CISA课程第二章IT治理与管理的理解-涂振涛

欢迎共阅《IT治理－一流绩效企业的IT治理之道》读书笔记1、IT治理：在IT应用过程中，为鼓励期望行为．．．．．．而明确的决策权归属和责任担当框架。

明晰的期望行为是有效治理的关键。

研究IT治理，须将其放在组织背景中，将其看作是必须通过治理而产生价值地六种关键资产（人力、财务、实物、知识产权、IT、关系）之一。

治理与管理的差别：治理是决定由谁来决策；管理是制定和执行这些决策的过程。

（如5、IT决策的关键问题6、决策权分配的IT治理原型8、一流治理绩效企业的7个特征1) 更多领导层的管理者们可以描述IT 2) 使用，使用，再使用。

3) 高层领导者更直接地参与IT 治理；4) IT 的：降低成本； 5) 6) 7) 治理变更的次数逐年减少 9、什么样的治理安排最为有效？1) 提供输入：一般而言，治理绩效较好的企业，在IT 原则和业务应用需求上，往往应用联邦制的输入模型。

作为切入点，我们推荐采用联邦制治理安排作为五个关键IT 决策的输入，特别是对IT原则和业务应用需求。

2)制定决策：具有较高治理绩效的公司，多为IT原则和投资的关键决策选用IT双寡头模型。

3)三种成功的治理绩效模式：2)对比两个图表，并且回答在治理设计架构中的目标是如何通过治理安排矩阵实现的，实现得如何。

关注那些没有被实现的绩效目标。

考虑如何调整治理安排来达到那些绩效目标？3)对IT治理进行审计。

A.有多少个机制在使用？它们是否在一个以上的关键IT决策上交叠使用？这些机制是否也被用于治理公司得其他关键资产？B.这些机制是单独使用有效还是联合起来有效？4)举行一个高级管理团队会议，就治理设计框架上部的左右两个方框进行辩论。

然后根据你的战略和绩效目标来决定你偏好的治理安排矩阵。

5)应用治理设计框架和治理安排矩阵得“将来”版本来引导企业的变革。

使用这些图表来交流、讲授、证明、精练和度量IT治理的成功。

12、IT治理的十大领导原则1)积极地设计治理2)知道何时重新设计3)高层经理的参与4)做出选择5)阐明例外处理流程6)提供正确的激励7)为IT治理分配权利和义务8)9)。

IT治理概念及规划1、引言IT治理是信息系统审计和控制领域中的一个新概念。

IBM首次将此理念引入我们的视线，是2002年在其论坛中给中国银行业“汇聚了全球金融行业的智慧与经验”白皮书中提出的，该白皮书给银行业务与管理的建议是：大力推动银行流程化与流程标准化的管理，建立全行级跨部门的IT 治理决策机构从而来决定IT项目实施的顺序，加强全行的管理与流程执行纪律，与IT行业的供货商结成战略联盟，将战略伙伴的价值并人价值链。

2、IT治理的概念及目标2.1 IT治理的概念在对IT治理广泛研究和分析的基础上，关于其定义汇集了三种主要观点。

美国南加州大学教授Robert认为，IT治理用于描述被委托治理实体的人员在监督、检查、控制和指导实体的过程中如何看待信息技术。

IT的应用对于组织能否达到它的远景、使命、战略目标至关重要。

德勤定义为，IT治理是一个含义广泛的概念，包括信息系统、技术、通讯、商业、所有利益相关者、合法性和其他问题。

其主要任务是保持IT与业务目标一致，推动业务发展，促使收益最大化，合理利用IT资源，IT相关风险的适当管理。

国际信息系统审计与控制协会(ISACA)理解为，IT治理是一个由关系和过程所构成的体制，用于指导和控制企业，通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。

2.2 IT治理目标IT治理的目标有以下三个：1)与业务目标一致IT治理要从组织目标和信息化战略中抽取信息需求和功能需求，形成总体的IT治理框架和系统整体模型，为进一步系统设计和实施奠定基础，保证信息技术跟上持续变化的业务目标。

2)有效利用信息资源由于目前信息化工程超期，IT客户的需求没有得到较好的满足，IT平台不支持业务应用等问题较为突出，通过IT 治理可以对信息资源的管理职责进行有效管理，保证投资的回收，并支持决策。

3)风险管理由于企业越来越依赖于信息技术和网络，新的风险不断涌现。

IT治理强调风险管理，通过制定信息资源的保护级别，强调关键的信息技术资源，有效实施监控和做好事故处理。

第二章IT治理★必须的知识点1.IT战略、政策、标准和程序对于组织的意义，及其基本要素2.IT治理框架(体系)3.制定、实施和维护IT战略、政策、标准和程序的流程。

如:信息资产的保护、业务持续和灾难恢复、系统和基础建设生命周期、IT服务交付与支持4.质量管理战略和政策5.与IT使用私}管理相关的组织结构、角色私!职责。

6.公认的国际IT标准和准则(指导)。

7.制订一长期战略方向的企业所需的IT体系及其内容8.风险管理方法和工具9.控制框架(模型)的使用，如:CobiT, COSO, ISO 17799等控制模型。

10.成熟度和流程改进模型(如:C1V1M, CobiT)的使用。

11.签约战略、程序和合同管理实务。

12.IT绩效的监督和报告实务13.有关的法律、规章等问题(如:保密法/隐私法、知识产权、公司治理的要求)14.IT人力资源管理15.资源投资和配置实务(如:投资的资产管理回报)★可能的考试重点公司治理与IT治理（概念）IT治理中董事会和执行经理层的作用（责任、关键成功因素）IT治理最佳实务（结构与关系）IT治理中审计的的作用（确保IT的运用符合组织目标）IT战略：IT战略委员会（职责、作用、组成）、IT平衡记分卡信息安全治理企业架构（结构化方式反映组织的IT资产）业务流程驱动的企业架构FEA参考模型风险管理（原第七章内容，重点）采购实务IS模块交付（内包、外包、混合采购）采购战略外包实务和战略（优缺点、风险）服务水平协议（SLA）全球化战略和实务第三方审计报告能力与发展服务改进和用户满意度行业标准/基准信息系统组织结构供货商和外包商管理体系运营和维护（原运维）应用开发和维护/系统开发和维护职责分离（重点）组织结构中不同人员的职责★需要了解和熟悉IT治理审计查询理解★★★★★★★信息系统安全管理的成果信息系统安全管理的不同层次★知识点摘要公司治理倡导的公司道德文化。

世界经合组织将公司治理定义:“公司内不同群体之间责权利的分配关系，如董事会、管理层、股东和其他利害相关者，这些分配关系清楚地勾勒出公司决策的规则和程序。

★★★文档资源★★★【摘要】IT治理与IT管理，IT治理与公司治理间的关系，是对IT 治理形成正确认识的基础。

本文分析了三者的关系，指出IT治理是公司治理的一部分，IT管理与IT治理在目标、任务、执行主体、地位上有明确区别。

【关键词】IT治理 IT管理公司治理IT治理是从上世纪90年代中期开始受到广泛关注的研究热点，它部分继承了公司治理的思想，发展到现在已经逐渐形成了相对完整的学术及行业体系。

对IT治理与IT管理和公司治理关系的研究，有助于我们整理IT治理思想的脉络，并在此基础上，形成对IT治理的重新认识。

IT治理的定义较多，Broadbent说过，“IT治理是个热门话题，但看来没有人能准确说出它是什么，或者如何描述它”。

Weill也对“IT治理定义的复杂性和困难性，这种没有一致意见的情况表示忧虑，是从IT中获得价值的最严重的障碍之一”。

Peterson将这种情况称为“术语从林”，每个新来者都在其中播下一粒种子。

我们将IT治理定义为：IT治理是公司治理的一部分，是以股东为中心的企业利益相关者，为了让IT产生最大收益，解决IT决策中的信息不对称问题，而设计的与IT有关的决策、激励和约束机制。

一、IT治理与IT管理的关系多数学者认为IT治理与IT管理的关系，是指导关系，即先与后，上与下的关系。

Weill指出，治理是决定由谁来进行决策，而管理则是制定和执行这些决策的过程。

他举例说，治理决定了由谁来掌握企业在IT投资额度上的决策权，管理则决定某年投入的实际资金数的资金所投向的范围。

他曾说到，IT治理是一系列有关谁做出IT管理决策的决策。

而Weill有关IT治理与IT管理的区别的思想，Boynton 在1992就提出过。

Boynton指出，IT治理并不关注IT资源的位置和分布本身，而是IT资源的位置、分布、IT管理责任体系、IT控制在应用和贯彻中，给组织所带来的本质的影响。

Starre等在1998年也提出，治理是创造一个管理者能有效工作的环境，而管理是做出运营方面的决策。

IT治理读后感10篇《IT治理》是一本由孟秀转 / 于秀艳 / 郝晓玲 / 孙强著作，清华大学出版社出版的平装图书，本书定价：68.00元，页数：454，特精心从网络上整理的一些读者的读后感，希望对大家能有帮助。

《IT治理》读后感(一)：IT治理可以帮助企业做什么，怎么做？IT治理可以帮助管理层建立以组织战略为导向，以外界环境为依据，以业务与IT整合为中心的观念，从而正确定位IT部门在整个组织中的作用。

最终能够针对不同业务发展要求，整合信息资源，制定并执行推动组织发展的IT战略。

具体操作，《IT治理：标准、框架与案例分析》里有详尽阐述。

《IT治理》读后感(二)：好书不必多言好书不必多言，它就是我要找的好书，它系统，细致，引进经典专著和邀请专家学者编著相结合，从总结信息化经验、指导信息化实践。

让我受益匪浅，这本书是同学推荐的，现在我把它推荐给大家，给力奥！《IT治理》读后感(三)：cio必读该书在专业领域具有极高的参考价值, 不仅适用于cio、政府和企业领导、it咨询顾问、注册会计师，还是准备通过各类it高端认证考试人员的必备参考佳作，更可作为高等院校信息化管理教学的参考教材。

该书是汇集了前人得思维与智慧的结晶，对于从事信息技术行业的同仁来说,该书算得上是必读刊物。

《IT治理》读后感(四)：就《IT治理：标准。

框架与案例分析》观点《IT治理》汇聚了经典专著理论、最佳实务指引和IT治理智库，是我国信息化理论和实务研究园地中的一朵奇葩。

读书前知识性粗略的看一下，但是看后就放不下了，它系统介绍了国内外业界公认的信息化建设以及风险管理标准、框架与最佳实践，并辅以我国政府部门和企业推进信息化工作的典型案例。

让我爱不释手。

《IT治理》读后感(五)：就《IT治理：标准。

框架与案例分析》观点《IT治理》汇聚了经典专著理论、最佳实务指引和IT治理智库，是我国信息化理论和实务研究园地中的一朵奇葩。

读书前知识性粗略的看一下，但是看后就放不下了，它系统介绍了国内外业界公认的信息化建设以及风险管理标准、框架与最佳实践，并辅以我国政府部门和企业推进信息化工作的典型案例。

IT治理——从IT中获得最大价值如果存在好的IT治理机制，IT管理得好就是必然的，管理不好是偶然的；而如果没有好的IT治理机制，IT管理得好是偶然的，管理不好是必然的。

以下内容需要回复才能看到什么是IT治理IT治理是公司治理的一部分，对于公司治理，1999年出版的《公司治理的基本原则》一书所下的定义为：为确定组织目标和确保目标实现的绩效监控所提供的治理结构。

关于IT治理，中外学者给出了很多的定义，美国IT治理协会给IT治理的定义是：“IT 治理是一种引导和控制企业各种关系和流程的结构，这种结构安排，旨在通过平衡信息技术及其流程中的风险和收益，增加价值，以实现企业目标。

”国内有一种观点认为，IT治理是描述企业或政府是否采用有效的机制，使得IT的应用能够完成组织赋予它的使命，同时平衡信息化过程中的风险，确保实现组织的战略目标的过程。

它的使命是：保持IT与业务目标一致，推动业务发展，促使收益最大化，合理利用IT资源，适当管理与IT相关的风险。

美国麻省理工学院的学者彼得·维尔和珍妮·罗斯在其所撰写的《IT治理》一书中指出，IT治理就是为鼓励IT应用的期望行为，而明确的决策权归属和责任担当框架。

他们认为是行为而不是战略创造价值，任何战略的实施都要落实到具体的行为上。

从IT中获得最大的价值，取决于在IT应用上产生我们期望的行为。

期望行为是组织信念和文化的具体体现，它们的确定和颁布不仅基于战略，而且基于公司的价值纲要、使命纲要、业务规则、约定的行为习惯以及结构等。

在每一家公司里，期望行为都各不相同。

综合这些定义，我们可以得出，IT治理就是要明确有关IT决策权的归属机制和有关IT 责任的承担机制，以鼓励IT应用的期望行为的产生，以联接战略目标、业务目标和IT目标，从而使企业从IT中获得最大的价值。

治理和管理是两个不同的概念，它们之间的区别就在于，治理是决定由谁来进行决策，管理则是制定和执行这些决策。