下载文档原格式
IT治理在中国出现已经有七八年了,到底一个公司的IT如何治理?采取什么样的组织架构?不同的公司一定有不同的策略。
IT治理与公司治理是密切相关的,与其说取决于制度的安排,还不如说取决于执行制度的人,公司最高管理层的作用至关重要。
本文将对IT治理所涉及的诸多因素进行全面审视和界定,包括IT治理概念、IT治理内容、IT治理目标、IT治理方法论等治理要素。
什么是IT治理?IT治理就是要明确有关IT决策权的归属机制和有关IT责任的承担机制,从而实现组织的业务战略目标,促进管理创新,合理管控信息化过程的风险,建立信息化可持续发展的长效机制,最终实现IT的最大价值。
IT治理内容有哪些?IT治理目标是什么?IT治理的目标就是帮助企业管理层正确定位IT部门在整个组织中的作用。
针对不同业务的发展要求,整合信息资源,制定并执行适合组织发展的IT战略计划。
一、与业务目标一致IT治理要从组织目标和信息化战略中抽取信息需求和功能需求,形成总体的IT治理框架和系统整体模型,为进一步系统设计和实施奠定基础,保证信息技术跟上持续变化的业务目标。
二、有效利用信息资源信息化工程超预期、客户的需求没有满足、IT平台不支持业务应用等问题较为突出,通过IT治理可以对信息资源的管理职责进行有效管理,保证投资的回收,并支持业务战略的发展。
三、风险管理企业越来越依赖于IT,IT与业务深度融合,新的风险不断涌现。
例如:新出现的技术没有管理,不符合现有法律和规章制度、无法识别对IT服务的威胁等。
IT治理强调风险管理,通过制定信息资源的保护级别,强调关键的信息技术资源,从而有效地实施监控和事故处理。
IT治理和IT管理有哪些不同之处?IT管理是公司的信息及信息系统的运营,确定IT目标以及实现此目标所采取的行动;而IT治理是指最高管理层(董事会)利用它来监督管理层在IT战略上的过程、结构和联系,以确保这种运营处于正确的轨道之上。
这就像一个硬币的两面,谁脱离了谁都会失去价值。
CIO知识(2):IT治理信息化是企业管理的重要组成部分,为充分发挥IT系统的价值,企业必须确保IT战略和企业战略的匹配、IT系统运行的效率、IT投资的效益以及控制IT运行风险。
在这方面,企业需要引进IT治理的观念,建立和完善IT决策体系、决策流程,从而优化IT治理架构,规范信息化规划、选型、实施和维护流程,完善IT服务体系,从组织、制度和流程上确保信息化建设的成功,规避投资和运行风险。
根据国际信息系统审计与控制协会(ISACA)的定义,IT治理是一个由关系和流程所构成的体制,用于指导和控制企业,通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。
IT管理有广义和狭义之分,广义的IT治理还包括IT价值管理、IT服务管理、IT风险管理等内容。
需要指出的是,IT治理与IT管理是两个不同的概念。
IT治理是企业从董事会等最高决策层面解决IT战略决策的结构、流程等问题,确保IT建设的正确方向,属于IT效益最大化即“做什么”的范畴。
IT管理是企业信息系统的运营,确保IT目标实现和IT运营效率,属于IT效率最大化即“如何做”的范畴。
两者相辅相成。
为实现有效的IT治理,企业需要参考国际通行的IT治理最佳实践和标准,从而建立和完善自身的IT治理体系。
目前国际IT治理的主要体系是COBIT和ITIL。
1、COBIT(Control Objectives for Information and related Technology信息和相关技术的控制目标)COBIT是目前国际上通用的信息系统审计的标准,由信息系统审计与控制协会在1996年公布,目前最新的版本是4.1。
COBIT这个框架包括四个过程域,即规划和组织(PO-Planning and Organization)、获取和实施(AI-Acquisition and Implementation)、交付和支持(DS-Delivery and Support)以及监控和评价(ME-Monitor and Evaluate)。
it治理的原则
IT治理的原则包括以下几点:
1.关注关键决策:有效的IT治理需要关注五项关键决策,包括IT原则、IT架构、基础设施、业务应用需求、IT投资和优先顺序。
这些决策之间相互关联,IT原则驱动着IT整体架构的形成,而IT 整体架构又决定了基础设施,这种基础设施所确定的能力又决定着基于业务需求应用的构建。
最后,IT投资和优先顺序必须为IT原则、整体架构、基础设施和应用需求所驱动。
2.关注流程与制度:IT治理流程的设计目的是要创造价值,因此必须剔除所有无价值的环节。
高价值的流程是流程设计的重点,这样才能集中企业有限的管理资源产生最大的回报。
同时,需要制定职责清晰、流程明确的制度,以确保员工对工作心中有数,工作流程顺畅,并在出现问题时可以追求责任。
3.关注共享和重用:适用于致力于利润的持续增长与业务创新的公司,他们的IT准则是强调流程、系统、技术和数据模型等方面的共享和重用。
4.关注联邦型治理机制:为了处理全公司范围内的控制和局部控制之间的矛盾,可以引入联邦型治理机制。
5.关注持续改进:流程是持续的,需要不断创新的,而不是重复的整理历史。
只有明确的责任人,才能保障流程每个环节的顺畅流转。
请注意,每个公司的需求和环境都有所不同,因此在进行IT治理时,可能需要根据公司的具体情况进行调整和定制。
IT治理框架IT 项目管理PMBoK 、IPMBOK 、iPMBOK2004、PRINCE2、MSPIT 质量管理TQM 、CMM 、ISO 9000、TickIT 、Six Sigma 、ITGov 协调式咨询方法论IT 风险管理COSO-ERM 、M_o_R 、AS/NZS 4360、CobiT 、ITGov 信息化风险管控体系信息安全管理信息安全等级保护管理办法、ISO27001、ISO/IEC 13335、ISO/IEC 15408及CC 、ITGov 信息安全治理框架灾难恢复与业务持续性管理GB20988-2007、BS25999、NIST SP 800-34IT 绩效管理ITGov 绩效管理九宫格、ITBSC 、ITGov 三位一体绩效评价框架、FEA 、EAF 、ITGov 信息系统审计标准体系、ITGov 基于数据挖掘和网络技术的舞弊审计模型、ITGov 电子政务绩效评估体系、ITGov 运维与外包绩效评价体系核心IT 能力ITGov 核心IT 能力模型及其评价体系、ITGov-IT 领导力九项修炼 l 最高管理层(董事会)通过下述指标衡量业绩 l 定义和检查IT商业价值评估手段并加以管理, l 证实目标已经达到, l 衡量组织绩效, l 减少不确定性。
为何说良好的IT治理是组织成功的关键因素? 管理者的焦点主要是成本—效益比,增加收入,构建核心竞争力,这些都由信息、知识、信息技术体系所推动。
由于信息技术作为实现业务目标的一个集成部分,其解决办法越来越复杂(外包,第三方合同,网络化等),因此,善治成为成功的一个关键因素。
IT治理中,管理者的职责有哪些? IT治理过程中,管理者的职责是: l 将IT风险管理的责任和控制落实到企业中,制定明确的政策指引和全面的管理控制框架; l 将战略、策略、目标等由上至下落实到企业,并使IT与业务目标一致; l 提供治理(约束和激励)机制支持IT战略的实施,制定IT基础设施加快业务流程的创新与信息共享;通过衡量企业业绩和竞争优势来测度信息技术的效果(KPI,KGI); l 使用IT绩效评估工具,弥补行政管理的不足; l 关注IT必须支持的核心竞争力,如增值客户价值的业务过程,差异化的产品和服务,通过交叉组合产品和服务来产生增值; l 关注重要的增值的信息技术过程; l 关注与规划IT资产、风险、工程项目、客户和供应商相关的核心竞争能力。
第三章-信息系统治理1-IT治理1.IT治理是描述组织采用有效的机制对信息技术和数据资源开发利用,平衡信息化发展和数字化转型过程中的风险,确保实现组织的战略目标的过程。
2.IT治理主要目标包括:与业务目标一致、有效利用信息与数据资源、风险管理。
3.IT治理的管理层次大致可分为三层:最高管理层、执行管理层、业务与服务执行层。
最高管理层主要职责是证实IT战略与业务战略是否一致;执行管理层的主要职责是制定IT的目标,分析新技术的机遇和风险;业务及服务执行层的主要职责是信息和数据服务的提供和支持;4.IT治理的核心是关注IT定位和信息化建设与数字化转型的责权利划分。
5.IT治理体系的具体构成包括:IT定位、IT治理架构、IT治理内容、IT治理流程、IT治理效果。
6.IT治理关注五项关键决策包括:IT原则、IT架构、IT基础设施、业务应用需求、IT投资和优先顺序。
7.IT治理体系框架具体包括:IT战略目标、IT治理组织、IT治理机制、IT治理域、IT治理标准和IT绩效目标等部分,形成一套IT治理运行闭环。
8.IT治理本质上关心:实现IT的业务价值和IT风险的规避。
9.IT治理的核心内容包括留个方面:组织职责、战略匹配、资源管理、价值交付、风险管理和绩效管理。
10.建立IT治理机制的原则包括:简单、透明、适合。
11.组织开展IT治理活动的主要任务焦距在这五个方面:全局统筹、价值导向、机制保障、创新发展、文化助推。
12.IT治理相关的最佳实践方法、定义相关标准。
比较典型的是:1我国信息技术服务标准库(ITSS)中IT治理系列标注;2信息和技术治理框架(COBIT)、IT治理国际标准(ISO/IEC38500)13.IT治理实施指南-GB/T34960.1《信息技术服务治理第一部分:通用要求》规定了IT治理的模型和框架、实施IT治理的原则,以及开展IT顶层设计、管理体系和资源的治理要求。
该标准可用于:1建立组织的IT治理体系,并实施自我评价;2开展信息技术审计;3研发、选择和评价IT治理相关的软件或解决方案;4第三方对组织的IT治理能力进行评价。
信息技术服务治理第1部分通用要求在当今日益数字化的社会,信息技术(IT)的治理已经成为一个不可或缺的要素。
为了确保IT支持并拓展组织的战略和目标,我国IT治理标准化研究是围绕IT治理研究范畴,为组织提供一种机制。
IT治理围绕决策体系、责任归属、管理流程、内外评价四个方面,通过相关框架体系的研究,规范和引导组织的IT治理完成“做什么”、“如何做”、“怎么样”、“如何评价”其中,GB/T34960.1《信息技术服务治理第1部分:通用要求》是我国IT治理标准化的重要文件,其规定了IT治理的模型和框架、实施IT治理的原则,以及开展IT顶层设计、管理体系和资源的治理要求。
在GB/T34960.1中,IT治理的模型包含治理的内外部要求、治理主体、治理方法,以及信息技术及其应用的管理体系,而IT治理的框架则包含信息技术顶层设计、管理体系和资源三大治理域。
每个治理域又由如下若干治理要素组成:顶层设计治理域包含信息技术的战略,以及支撑战略的组织和架构;管理体系治理域包含信息技术相关的质量管理、项目管理、投资管理、服务管理、业务连续性管理、信息安全管理、风险管理、供方管理、资产管理和其他管理;资源治理域包含信息技术相关的基础设施、应用系统和数据。
该标准被广泛应用于聚焦IT治理的实践中。
其主要应用有如下几个方面:首先,该标准可用于建立组织的IT治理体系,并实施自我评价。
通过实行GB/T34960.1,组织可以建立较为科学的治理体系。
同时,自我评价可以帮助组织总结经验,发现问题,并采取措施改进。
其次,该标准可用于开展信息技术审计。
通过信息技术审计,可以对IT治理的实践进行监督和检查,检查治理体系是否有效、系统是否稳定等。
第三,该标准可用于研发、选择和评价IT治理相关的软件或解决方案。
通过这些软件或解决方案,组织可以更好地实践IT治理,提高自身治理能力。
最后,该标准可用于第三方对组织的IT治理能力进行评价。
通过第三方的评价,组织可以发现自身存在的问题和不足,并及时完善和提升自身治理水平。
IT治理框架为什么说IT治理首先是治层的职责?IT治理是各利益相关方的职责,但它首先是治理层的职责。
具体内容如下:IT治理保证总体战略目标能够从上而下贯彻执行。
IT治理和其它治理活动一样,集中在最高管理层(董事会)和管理执行层。
然而,由于IT治理的复杂性和专业性,治理层必须强烈依赖企业的下层来提供决策和评估所需要的信息。
为保证有效的IT治理,下层应和企业总体目标采用相同的原则,提供评估业绩的衡量方法。
因此,好的IT治理实践需要在企业全部范围内推行。
董事会在IT治理方面承载的职责有哪些?董事会在IT治理方面的职责是:l 证实IT战略与业务战略一致;l 证实通过明确的期望和衡量手段交付IT商业价值;l 指导IT战略、平衡支持企业当前和未来发展的投资;l 恰当决策信息资源应优先配置的地方。
董事会衡量业绩的指标和方法有:l 定义和检查IT商业价值评估手段并加以管理l 证实目标已经达到,l 衡量组织绩效,减少不确定性。
董事会衡量IT绩效的指标有哪些?l 最高管理层(董事会)通过下述指标衡量业绩l 定义和检查IT商业价值评估手段并加以管理,l 证实目标已经达到,l 衡量组织绩效,l 减少不确定性。
为何说良好的IT治理是组织成功的关键因素?管理者的焦点主要是成本—效益比,增加收入,构建核心竞争力,这些都由信息、知识、信息技术体系所推动。
由于信息技术作为实现业务目标的一个集成部分,其解决办法越来越复杂(外包,第三方合同,网络化等),因此,善治成为成功的一个关键因素。
IT治理中,管理者的职责有哪些?IT治理过程中,管理者的职责是:l 将IT风险管理的责任和控制落实到企业中,制定明确的政策指引和全面的管理控制框架;l 将战略、策略、目标等由上至下落实到企业,并使IT与业务目标一致;l 提供治理(约束和激励)机制支持IT战略的实施,制定IT基础设施加快业务流程的创新与信息共享;通过衡量企业业绩和竞争优势来测度信息技术的效果(KPI,KGI);l 使用IT绩效评估工具,弥补行政管理的不足;l 关注IT必须支持的核心竞争力,如增值客户价值的业务过程,差异化的产品和服务,通过交叉组合产品和服务来产生增值;l 关注重要的增值的信息技术过程;l 关注与规划IT资产、风险、工程项目、客户和供应商相关的核心竞争能力。
企业IT风险管控体系介绍对于企业来说都是追求经营回报的,但在经营过程中也面临着诸多风险,而风险往往与资产、脆弱性和威胁有关,比如这杯水对于投影仪来说就是一个风险,但对桌子则不是风险。
今天我将简单介绍下目前国内外风险管控的发展和方法论。
企业面对这样那样的风险,该如何应对?对于企业来说,最适合的方法之一是通过内部控制,来降低风险发生的可能性,把风险降低到可接受的范围之内,因此建立一套完整的基于风险的内控体系是我们应对风险的重中之重。
当今企业中各种各样的财务报表和经营报表等都是通过IT系统计算处理后呈现出来的。
假如IT系统的安全控制不住的话,风险就非常大,因此信息系统的管控就变得越来越重要。
根据2005年2月毕马威的调查数据,美国上市公司在各业务流程中存在的控制缺陷、显著缺陷和实质性漏洞所占的比例,分析了包括信息技术、固定资产、财务报告、采购、人力资源等方面的数据,可以看到信息技术控制的缺陷是最大的,控制缺陷高达36%,显著缺陷达到22%,实质性漏洞达到21%,远远高于其他方面。
在企业追求成功的道路上,往往要做到有效的内部控制,其趋势是创造风险与经营回报的良好平衡。
但有效的内部控制就像在企业成功途中设置红绿灯,会亮红灯或亮黄灯,就带来不方便。
就像足球比赛会有红牌和黄牌,但比较成功的裁判是合理利用手中的红黄牌,不仅有力的控制场上局面,也让球赛顺畅的进行下去,不会让人感觉特别的中断,这就是一种风险与回报的良好平衡艺术。
目前IT风险管理的内控一般都在IT治理层面,大部分都是高层在做,往往是制定出责权利等规定挂在墙上就结束了。
包括刚才德勤专家介绍到的,很多企业制度都已经制定了,但还是会出现问题,重要的原因之一就是把管控仅当作治理层面来看造成的,所以现在的趋势是风险的管控不仅是治理层面的事情,还需要往下移,也应该包括日常的运营,以及风险预警和监控,即企业整个风险管控和内控体系不仅是治理问题,也是管理问题,如此才能实现从高层决策到基层执行,构建统一有效的治理和管控体系。
