构建全面的IT治理体系
IT治理从这里开始之基础篇
IT治理在中国出现已经有七八年了,到底一个公司的IT如何治理?采取什么样的组织架构?不同的公司一定有不同的策略。
IT治理与公司治理是密切相关的,与其说取决于制度的安排,还不如说取决于执行制度的人,公司最高管理层的作用至关重要。
本文将对IT治理所涉及的诸多因素进行全面审视和界定,包括IT治理概念、IT治理内容、IT治理目标、IT治理方法论等治理要素。
什么是IT治理?IT治理就是要明确有关IT决策权的归属机制和有关IT责任的承担机制,从而实现组织的业务战略目标,促进管理创新,合理管控信息化过程的风险,建立信息化可持续发展的长效机制,最终实现IT的最大价值。
IT治理内容有哪些?IT治理目标是什么?IT治理的目标就是帮助企业管理层正确定位IT部门在整个组织中的作用。
针对不同业务的发展要求,整合信息资源,制定并执行适合组织发展的IT战略计划。
一、与业务目标一致IT治理要从组织目标和信息化战略中抽取信息需求和功能需求,形成总体的IT治理框架和系统整体模型,为进一步系统设计和实施奠定基础,保证信息技术跟上持续变化的业务目标。
二、有效利用信息资源信息化工程超预期、客户的需求没有满足、IT平台不支持业务应用等问题较为突出,通过IT治理可以对信息资源的管理职责进行有效管理,保证投资的回收,并支持业务战略的发展。
三、风险管理企业越来越依赖于IT,IT与业务深度融合,新的风险不断涌现。
例如:新出现的技术没有管理,不符合现有法律和规章制度、无法识别对IT服务的威胁等。
IT治理强调风险管理,通过制定信息资源的保护级别,强调关键的信息技术资源,从而有效地实施监控和事故处理。
IT治理和IT管理有哪些不同之处?IT管理是公司的信息及信息系统的运营,确定IT目标以及实现此目标所采取的行动;而IT治理是指最高管理层(董事会)利用它来监督管理层在IT战略上的过程、结构和联系,以确保这种运营处于正确的轨道之上。
这就像一个硬币的两面,谁脱离了谁都会失去价值。
IT内部控制体系建设方案
(五)监督检查。监督检查是企业对其内部控制的健全性、合理性和有效性进行监督检查与评估,形成书面报告并作出相应处理的过程,是实施内部控制的重要保证。
那么,对于企业内部的IT建设与控制而言,企业内部控制规范的实施会带来怎样的影响呢?CIO们如何系统考虑从企业IT的内部控制建设来保障企业内部控制。本文从IT内部控制与IT风险管理的角度,阐述企业IT控制与企业内部控制之间的关系。
企业内部控制规范与IT内部控制的关系
企业内部控制基本规范包含的五要素框架:
(三)IT控制措施。针对风险评估的结果,在IT方面需要实施具体的IT控制措施,包括IT技术类控制措施,如防火墙、防病毒、入侵检测、身份管理、权限管理等,以及IT管理类控制措施,包括各类IT管控制度与流程,如开发管理、项目管理、变更管理、安全管理、运营管理、职责分离,授权审批等。
(四)信息与沟通。在IT领域也需要明确具体的IT管理制度和沟通机制,建立服务台与事件管理程序,及时传达企业内部层级之间和与企业外部相关的信息。
阶段四:培训宣贯与运行推广实施。主要实施任务通过宣讲、培训等方式,对企业各单位和人员进行内控流程设计和相关制度介绍和学习,在领导统一的部署下,督导其改进流程的实施。并根据建立好的IT控制框架体系进行试运行,推广实施。
阶段五:体系改进修正和监督优化。实施任务是将各个部门和终端操作人员在试运行阶段发现的问题、产生的问题及反馈意见,经过讨论研究,通过分析问题,进而对整个IT内控体系进行有针对性改进或修正,进而对流程的实际可操作性和可行性进一步的优化和完善。
CIO知识(2):IT治理
CIO知识(2):IT治理信息化是企业管理的重要组成部分,为充分发挥IT系统的价值,企业必须确保IT战略和企业战略的匹配、IT系统运行的效率、IT投资的效益以及控制IT运行风险。
在这方面,企业需要引进IT治理的观念,建立和完善IT决策体系、决策流程,从而优化IT治理架构,规范信息化规划、选型、实施和维护流程,完善IT服务体系,从组织、制度和流程上确保信息化建设的成功,规避投资和运行风险。
根据国际信息系统审计与控制协会(ISACA)的定义,IT治理是一个由关系和流程所构成的体制,用于指导和控制企业,通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。
IT管理有广义和狭义之分,广义的IT治理还包括IT价值管理、IT服务管理、IT风险管理等内容。
需要指出的是,IT治理与IT管理是两个不同的概念。
IT治理是企业从董事会等最高决策层面解决IT战略决策的结构、流程等问题,确保IT建设的正确方向,属于IT效益最大化即“做什么”的范畴。
IT管理是企业信息系统的运营,确保IT目标实现和IT运营效率,属于IT效率最大化即“如何做”的范畴。
两者相辅相成。
为实现有效的IT治理,企业需要参考国际通行的IT治理最佳实践和标准,从而建立和完善自身的IT治理体系。
目前国际IT治理的主要体系是COBIT和ITIL。
1、COBIT(Control Objectives for Information and related Technology信息和相关技术的控制目标)COBIT是目前国际上通用的信息系统审计的标准,由信息系统审计与控制协会在1996年公布,目前最新的版本是4.1。
COBIT这个框架包括四个过程域,即规划和组织(PO-Planning and Organization)、获取和实施(AI-Acquisition and Implementation)、交付和支持(DS-Delivery and Support)以及监控和评价(ME-Monitor and Evaluate)。
it治理的原则
it治理的原则
IT治理的原则包括以下几点:
1.关注关键决策:有效的IT治理需要关注五项关键决策,包括IT原则、IT架构、基础设施、业务应用需求、IT投资和优先顺序。
这些决策之间相互关联,IT原则驱动着IT整体架构的形成,而IT 整体架构又决定了基础设施,这种基础设施所确定的能力又决定着基于业务需求应用的构建。
最后,IT投资和优先顺序必须为IT原则、整体架构、基础设施和应用需求所驱动。
2.关注流程与制度:IT治理流程的设计目的是要创造价值,因此必须剔除所有无价值的环节。
高价值的流程是流程设计的重点,这样才能集中企业有限的管理资源产生最大的回报。
同时,需要制定职责清晰、流程明确的制度,以确保员工对工作心中有数,工作流程顺畅,并在出现问题时可以追求责任。
3.关注共享和重用:适用于致力于利润的持续增长与业务创新的公司,他们的IT准则是强调流程、系统、技术和数据模型等方面的共享和重用。
4.关注联邦型治理机制:为了处理全公司范围内的控制和局部控制之间的矛盾,可以引入联邦型治理机制。
5.关注持续改进:流程是持续的,需要不断创新的,而不是重复的整理历史。
只有明确的责任人,才能保障流程每个环节的顺畅流转。
请注意,每个公司的需求和环境都有所不同,因此在进行IT治理时,可能需要根据公司的具体情况进行调整和定制。
IT治理框架(最新整理)
IT治理框架IT 项目管理PMBoK 、IPMBOK 、iPMBOK2004、PRINCE2、MSPIT 质量管理TQM 、CMM 、ISO 9000、TickIT 、Six Sigma 、ITGov 协调式咨询方法论IT 风险管理COSO-ERM 、M_o_R 、AS/NZS 4360、CobiT 、ITGov 信息化风险管控体系信息安全管理信息安全等级保护管理办法、ISO27001、ISO/IEC 13335、ISO/IEC 15408及CC 、ITGov 信息安全治理框架灾难恢复与业务持续性管理GB20988-2007、BS25999、NIST SP 800-34IT 绩效管理ITGov 绩效管理九宫格、ITBSC 、ITGov 三位一体绩效评价框架、FEA 、EAF 、ITGov 信息系统审计标准体系、ITGov 基于数据挖掘和网络技术的舞弊审计模型、ITGov 电子政务绩效评估体系、ITGov 运维与外包绩效评价体系核心IT 能力ITGov 核心IT 能力模型及其评价体系、ITGov-IT 领导力九项修炼 l 最高管理层(董事会)通过下述指标衡量业绩 l 定义和检查IT商业价值评估手段并加以管理, l 证实目标已经达到, l 衡量组织绩效, l 减少不确定性。
为何说良好的IT治理是组织成功的关键因素? 管理者的焦点主要是成本—效益比,增加收入,构建核心竞争力,这些都由信息、知识、信息技术体系所推动。
由于信息技术作为实现业务目标的一个集成部分,其解决办法越来越复杂(外包,第三方合同,网络化等),因此,善治成为成功的一个关键因素。
IT治理中,管理者的职责有哪些? IT治理过程中,管理者的职责是: l 将IT风险管理的责任和控制落实到企业中,制定明确的政策指引和全面的管理控制框架; l 将战略、策略、目标等由上至下落实到企业,并使IT与业务目标一致; l 提供治理(约束和激励)机制支持IT战略的实施,制定IT基础设施加快业务流程的创新与信息共享;通过衡量企业业绩和竞争优势来测度信息技术的效果(KPI,KGI); l 使用IT绩效评估工具,弥补行政管理的不足; l 关注IT必须支持的核心竞争力,如增值客户价值的业务过程,差异化的产品和服务,通过交叉组合产品和服务来产生增值; l 关注重要的增值的信息技术过程; l 关注与规划IT资产、风险、工程项目、客户和供应商相关的核心竞争能力。
2024年学习笔记信息系统项目管理师(第四版)第三章-信息系统治理
第三章-信息系统治理1-IT治理1.IT治理是描述组织采用有效的机制对信息技术和数据资源开发利用,平衡信息化发展和数字化转型过程中的风险,确保实现组织的战略目标的过程。
2.IT治理主要目标包括:与业务目标一致、有效利用信息与数据资源、风险管理。
3.IT治理的管理层次大致可分为三层:最高管理层、执行管理层、业务与服务执行层。
最高管理层主要职责是证实IT战略与业务战略是否一致;执行管理层的主要职责是制定IT的目标,分析新技术的机遇和风险;业务及服务执行层的主要职责是信息和数据服务的提供和支持;4.IT治理的核心是关注IT定位和信息化建设与数字化转型的责权利划分。
5.IT治理体系的具体构成包括:IT定位、IT治理架构、IT治理内容、IT治理流程、IT治理效果。
6.IT治理关注五项关键决策包括:IT原则、IT架构、IT基础设施、业务应用需求、IT投资和优先顺序。
7.IT治理体系框架具体包括:IT战略目标、IT治理组织、IT治理机制、IT治理域、IT治理标准和IT绩效目标等部分,形成一套IT治理运行闭环。
8.IT治理本质上关心:实现IT的业务价值和IT风险的规避。
9.IT治理的核心内容包括留个方面:组织职责、战略匹配、资源管理、价值交付、风险管理和绩效管理。
10.建立IT治理机制的原则包括:简单、透明、适合。
11.组织开展IT治理活动的主要任务焦距在这五个方面:全局统筹、价值导向、机制保障、创新发展、文化助推。
12.IT治理相关的最佳实践方法、定义相关标准。
比较典型的是:1我国信息技术服务标准库(ITSS)中IT治理系列标注;2信息和技术治理框架(COBIT)、IT治理国际标准(ISO/IEC38500)13.IT治理实施指南-GB/T34960.1《信息技术服务治理第一部分:通用要求》规定了IT治理的模型和框架、实施IT治理的原则,以及开展IT顶层设计、管理体系和资源的治理要求。
该标准可用于:1建立组织的IT治理体系,并实施自我评价;2开展信息技术审计;3研发、选择和评价IT治理相关的软件或解决方案;4第三方对组织的IT治理能力进行评价。
企业IT治理体系规划
新建设的应用系统较少。 IT系统架构相对稳定,维护工作量小。 通过几个稳定可靠的合作伙伴开发和维护系统。 IT人员少而精练,流程简练有效。 IT人员承担一定的业务咨询工作。 IT预算方面能够实现精细化管理。
成熟度高
已经有了一些应用系统。 更多的应用系统在建设中,系统间存在整合的需求。 IT部门人员岗位复杂,职责广泛,从管理、实施到维护都有。 流程都已经到位,但有些经过的人与部门较多。 开始对IT投资进行预算管理,但把握得尚未精准到位。
确定XXIT组织架构 参照主流的组织架构,并基于组织架构设计原则对不同的选择进行评分· 确定组织架构职能的划分依据 得出一个最合适的IT组织架构以及备选方案
完善XXIT制度框架 用IT体系框架映射IT制度 补充缺少的IT制度
治理方面已取得的成绩
公司为“十一五“的发展制定了信息化建设的发展目标和建设内容 XX各级领导重视信息化建设,并逐渐深化对信息化建设的认识,在集团成立了信息化建设委员会和领导小组 在集团及部分二级公司,有信息中心专门负责信息化建设管理工作,并有运维处进行网络维护和系统支持 集团信息中心组建了职能设置相对齐全的员工队伍 在二级公司信息化建设结构有待加强 富有成效的建设了三大集中系统并深化推广应用推广
实现集中管理,共享服务,优化支持
保障集中系统建设、集中系统管理、集中改进措施 建立集中与分散相结合的服务支持,实现有效管理
目录
XX集团信息化蓝图架构 信息化管控体系规划 信息化治理规划方法论 IT治理目标体系架构设计 XX集团IT运维 IT治理演进规划
成熟的IT组织通常具有支持性、运行性和战略性三层IT职能,XX集团IT组织应当遵循支持性→运行性→战略性的发展方向,未来战略性职能将逐步增加
信息技术服务治理第1部分通用要求
信息技术服务治理第1部分通用要求在当今日益数字化的社会,信息技术(IT)的治理已经成为一个不可或缺的要素。
为了确保IT支持并拓展组织的战略和目标,我国IT治理标准化研究是围绕IT治理研究范畴,为组织提供一种机制。
IT治理围绕决策体系、责任归属、管理流程、内外评价四个方面,通过相关框架体系的研究,规范和引导组织的IT治理完成“做什么”、“如何做”、“怎么样”、“如何评价”其中,GB/T34960.1《信息技术服务治理第1部分:通用要求》是我国IT治理标准化的重要文件,其规定了IT治理的模型和框架、实施IT治理的原则,以及开展IT顶层设计、管理体系和资源的治理要求。
在GB/T34960.1中,IT治理的模型包含治理的内外部要求、治理主体、治理方法,以及信息技术及其应用的管理体系,而IT治理的框架则包含信息技术顶层设计、管理体系和资源三大治理域。
每个治理域又由如下若干治理要素组成:顶层设计治理域包含信息技术的战略,以及支撑战略的组织和架构;管理体系治理域包含信息技术相关的质量管理、项目管理、投资管理、服务管理、业务连续性管理、信息安全管理、风险管理、供方管理、资产管理和其他管理;资源治理域包含信息技术相关的基础设施、应用系统和数据。
该标准被广泛应用于聚焦IT治理的实践中。
其主要应用有如下几个方面:首先,该标准可用于建立组织的IT治理体系,并实施自我评价。
通过实行GB/T34960.1,组织可以建立较为科学的治理体系。
同时,自我评价可以帮助组织总结经验,发现问题,并采取措施改进。
其次,该标准可用于开展信息技术审计。
通过信息技术审计,可以对IT治理的实践进行监督和检查,检查治理体系是否有效、系统是否稳定等。
第三,该标准可用于研发、选择和评价IT治理相关的软件或解决方案。
通过这些软件或解决方案,组织可以更好地实践IT治理,提高自身治理能力。
最后,该标准可用于第三方对组织的IT治理能力进行评价。
通过第三方的评价,组织可以发现自身存在的问题和不足,并及时完善和提升自身治理水平。
(完整版)IT治理框架
IT治理框架为什么说IT治理首先是治层的职责?IT治理是各利益相关方的职责,但它首先是治理层的职责。
具体内容如下:IT治理保证总体战略目标能够从上而下贯彻执行。
IT治理和其它治理活动一样,集中在最高管理层(董事会)和管理执行层。
然而,由于IT治理的复杂性和专业性,治理层必须强烈依赖企业的下层来提供决策和评估所需要的信息。
为保证有效的IT治理,下层应和企业总体目标采用相同的原则,提供评估业绩的衡量方法。
因此,好的IT治理实践需要在企业全部范围内推行。
董事会在IT治理方面承载的职责有哪些?董事会在IT治理方面的职责是:l 证实IT战略与业务战略一致;l 证实通过明确的期望和衡量手段交付IT商业价值;l 指导IT战略、平衡支持企业当前和未来发展的投资;l 恰当决策信息资源应优先配置的地方。
董事会衡量业绩的指标和方法有:l 定义和检查IT商业价值评估手段并加以管理l 证实目标已经达到,l 衡量组织绩效,减少不确定性。
董事会衡量IT绩效的指标有哪些?l 最高管理层(董事会)通过下述指标衡量业绩l 定义和检查IT商业价值评估手段并加以管理,l 证实目标已经达到,l 衡量组织绩效,l 减少不确定性。
为何说良好的IT治理是组织成功的关键因素?管理者的焦点主要是成本—效益比,增加收入,构建核心竞争力,这些都由信息、知识、信息技术体系所推动。
由于信息技术作为实现业务目标的一个集成部分,其解决办法越来越复杂(外包,第三方合同,网络化等),因此,善治成为成功的一个关键因素。
IT治理中,管理者的职责有哪些?IT治理过程中,管理者的职责是:l 将IT风险管理的责任和控制落实到企业中,制定明确的政策指引和全面的管理控制框架;l 将战略、策略、目标等由上至下落实到企业,并使IT与业务目标一致;l 提供治理(约束和激励)机制支持IT战略的实施,制定IT基础设施加快业务流程的创新与信息共享;通过衡量企业业绩和竞争优势来测度信息技术的效果(KPI,KGI);l 使用IT绩效评估工具,弥补行政管理的不足;l 关注IT必须支持的核心竞争力,如增值客户价值的业务过程,差异化的产品和服务,通过交叉组合产品和服务来产生增值;l 关注重要的增值的信息技术过程;l 关注与规划IT资产、风险、工程项目、客户和供应商相关的核心竞争能力。
企业IT风险管控体系介绍
企业IT风险管控体系介绍对于企业来说都是追求经营回报的,但在经营过程中也面临着诸多风险,而风险往往与资产、脆弱性和威胁有关,比如这杯水对于投影仪来说就是一个风险,但对桌子则不是风险。
今天我将简单介绍下目前国内外风险管控的发展和方法论。
企业面对这样那样的风险,该如何应对?对于企业来说,最适合的方法之一是通过内部控制,来降低风险发生的可能性,把风险降低到可接受的范围之内,因此建立一套完整的基于风险的内控体系是我们应对风险的重中之重。
当今企业中各种各样的财务报表和经营报表等都是通过IT系统计算处理后呈现出来的。
假如IT系统的安全控制不住的话,风险就非常大,因此信息系统的管控就变得越来越重要。
根据2005年2月毕马威的调查数据,美国上市公司在各业务流程中存在的控制缺陷、显著缺陷和实质性漏洞所占的比例,分析了包括信息技术、固定资产、财务报告、采购、人力资源等方面的数据,可以看到信息技术控制的缺陷是最大的,控制缺陷高达36%,显著缺陷达到22%,实质性漏洞达到21%,远远高于其他方面。
在企业追求成功的道路上,往往要做到有效的内部控制,其趋势是创造风险与经营回报的良好平衡。
但有效的内部控制就像在企业成功途中设置红绿灯,会亮红灯或亮黄灯,就带来不方便。
就像足球比赛会有红牌和黄牌,但比较成功的裁判是合理利用手中的红黄牌,不仅有力的控制场上局面,也让球赛顺畅的进行下去,不会让人感觉特别的中断,这就是一种风险与回报的良好平衡艺术。
目前IT风险管理的内控一般都在IT治理层面,大部分都是高层在做,往往是制定出责权利等规定挂在墙上就结束了。
包括刚才德勤专家介绍到的,很多企业制度都已经制定了,但还是会出现问题,重要的原因之一就是把管控仅当作治理层面来看造成的,所以现在的趋势是风险的管控不仅是治理层面的事情,还需要往下移,也应该包括日常的运营,以及风险预警和监控,即企业整个风险管控和内控体系不仅是治理问题,也是管理问题,如此才能实现从高层决策到基层执行,构建统一有效的治理和管控体系。