【正文】 評價 規(guī)定的控制的適宜性 。 ?如何利用 COBIT？ ? 這個階段用到了 COBIT中的管理指南中的關(guān)鍵成功因素（ CSF）和成熟度模型（ CMM）。 CSF COBIT引入的 CSF舉例 86 ? 關(guān)鍵目標(biāo)指標(biāo) (KGI) ?定義： ? 關(guān)鍵目標(biāo)指標(biāo)是對 IT過程要達(dá)到何種目標(biāo)的一種表述，或者是對要完成結(jié)果的一種測度； ? 關(guān)鍵目標(biāo)指標(biāo) (KGI)主要在 IT過程實施之后，告訴管理部門該 IT處理是否滿足其業(yè)務(wù)需求，通常以信息標(biāo)準(zhǔn)的術(shù)語表述。 ?建立有效機(jī)制，把對業(yè)務(wù)過程的改進(jìn)點及時反映到 IT計劃變更過程中來。 ? 【主題】 – 周期性評估，提供相關(guān)保證； – 對控制系統(tǒng)的管理監(jiān)督 – 績效測量 ? 【問題】 – IT的績效如何被度量及如何盡早發(fā)現(xiàn)存在的問題 ? – 是否需要獨立的保證以確保關(guān)鍵區(qū)域按既定目標(biāo)運行 ? ? 【控制目標(biāo)】 – M1流程監(jiān)控 – M2評價內(nèi)部控制的適當(dāng)性 – M3獲得獨立保證 – M4提供獨立的審計 70 ? COBIT過程及屬性列表 71 PO1 制定 IT戰(zhàn)略規(guī)劃 PO3 確定技術(shù)方向 PO5 管理 IT投資 PO9 風(fēng)險評估 PO10 項目管理 AI1 確定解決方案 AI2 獲取并維護(hù)應(yīng)用軟件 AI5 系統(tǒng)安裝與驗收 AI6 變更管理 DS1 定義并管理服務(wù)水平 DS4 確保持續(xù)性服務(wù) DS5 確保系統(tǒng)安全 DS10 問題管理與緊急事件管理 DS11 數(shù)據(jù)管理 M1 過程監(jiān)控 34 15 7 ?哪些 IT過程更重要？ ? 通過調(diào)查表明，以下這些過程比較重要： 72 ? COBIT控制框架 ?定義 ? COBIT控制框架為企業(yè)過程擁有者提供了一個促進(jìn)其履行職責(zé)的工具，提供信息化控制指導(dǎo)；它指出這些 IT過程影響到哪些信息標(biāo)準(zhǔn)，涉及到哪些 IT資源，從而把 IT過程、 IT資源和信息連接到企業(yè)戰(zhàn)略和目標(biāo)上去。 63 COBIT 監(jiān)控 信息 IT資源 計劃與組織 獲取與實施 交付與支持 業(yè)務(wù)目標(biāo) IT治理 有效性 經(jīng)濟(jì)性、 機(jī)密性、完整性、 可用性、可靠性、 合規(guī)性 人員、應(yīng)用系統(tǒng)、 技術(shù)、設(shè)施、數(shù)據(jù)、 ?過程監(jiān)控 ?評價內(nèi)部控制適當(dāng)性 ?獲取獨立保證 ?提供獨立審計 ?定義并管理服務(wù)水平 ?管理第三方服務(wù) ?管理性能與容量 ?確保服務(wù)的連續(xù)性 ?確保系統(tǒng)安全 ?確定并分配成本 ?教育與培訓(xùn)用戶 ?服務(wù)臺及事故管理 ?配置管理 ?問題管理 ?數(shù)據(jù)管理 ?物理環(huán)境管理 ?運行管理 ?定義 IT戰(zhàn)略計劃 ?定義信息體系結(jié)構(gòu) ?確定技術(shù)方向 ?定義 IT過程、組織與關(guān)系 ?管理 IT投資 ?傳達(dá)管理目標(biāo)與方向 ?人力資源管理 ?質(zhì)量管理 ?風(fēng)險與管理 IT評估 ?項目管理 ?確定 IT解決方案 ?獲取與維護(hù)應(yīng)用軟件 ?獲取與維護(hù)技術(shù)基礎(chǔ)設(shè)施 ?投入運行與使用 ?采購 IT資源 ?變更管理 ?系統(tǒng)安裝與鑒定 ?COBIT總體結(jié)構(gòu)圖 64 ? COBIT域與過程簡介 ?規(guī)劃與組織 ? 【描述】 – 這個域包括戰(zhàn)略和戰(zhàn)術(shù)兩個層面，重點是要關(guān)注 IT如何更好地為實現(xiàn)業(yè)務(wù)目標(biāo)作出最大貢獻(xiàn)；對戰(zhàn)略愿景的實現(xiàn)要從不同的角度進(jìn)行規(guī)劃、溝通和管理；要建立良好的組織架構(gòu)和技術(shù)基礎(chǔ)設(shè)施。 ? 交付與支持 ——該域關(guān)注的是所要求服務(wù)的實際交付，它的范圍可以從傳統(tǒng)的安全和可持續(xù)性運行一直到培訓(xùn)的各個方面。 ? 設(shè)備 ——指所有用來存放和支持信息系統(tǒng)的資源。 ? 機(jī)密性 —保護(hù)敏感信息不被非授權(quán)泄露。 三、戰(zhàn)術(shù)層的 IT治理 49 ? COBIT是什么？ ? ISACA制定的 COBIT(Control Objectives for Information and related Technology)是一個在國際上公認(rèn)的、先進(jìn)的和權(quán)威的安全與信息技術(shù)管理和控制標(biāo)準(zhǔn)，它在商業(yè)風(fēng)險、控制需要和技術(shù)問題之間架起了一座橋梁，以滿足管理的多方面需要。 ? 雙寡頭制的核心是找出既代表業(yè)務(wù)，又代表 IT部門的高級領(lǐng)導(dǎo)組合，使他們能夠在認(rèn)識到每個業(yè)務(wù)部門需求的同時，支持整個企業(yè) IT項目實施。 – 要解決業(yè)務(wù)部門由于規(guī)模不同而帶來能力不同，所造成需求不同的問題， IT領(lǐng)導(dǎo)團(tuán)隊的選擇權(quán)可能也不一樣。 ? 溝通方法－傳播 IT治理原則、政策和 IT決策制定流程結(jié)果的公告、建議、渠道和培訓(xùn)努力等。其決策特征為：由 IT主管人員和企業(yè)內(nèi)的其他團(tuán)體之間達(dá)成的一種雙邊協(xié)議。不包括獨立設(shè)備的 IT主管。包括項目的審批和論證技術(shù) 業(yè)務(wù)應(yīng)用需求決策 為購買或內(nèi)部開發(fā)IT應(yīng)用確定業(yè)務(wù)需求 21 ? IT原則 ?對于 IT在該企業(yè)如何運用的一系列最高陳述。 ? ISACA定義： IT 治理是一個由關(guān)系和過程所構(gòu)成的體制，用于指導(dǎo)和控制企業(yè)，通過平衡信息技術(shù)與過程的風(fēng)險、增加價值來確保實現(xiàn)企業(yè)的目標(biāo)?！? “我們每年年處都制訂很好的 IT計劃，按計劃執(zhí)行就行，年終再檢查。 10 ? 控制信息化的風(fēng)險需要制度與管理創(chuàng)新 ? 決定信息系統(tǒng)是否有效運轉(zhuǎn)的決定因素不是信息技術(shù)，而是制度、組織結(jié)構(gòu)、規(guī)則與標(biāo)準(zhǔn)，最終是人。 ? 明確指出內(nèi)部控制只能做到“合理”保證，目標(biāo)達(dá)成的可能性受許多先天條件不足及各種“不確定性”的影響。 經(jīng) 營 戰(zhàn) 略 信 息 技 術(shù) 業(yè) 績 評 估 業(yè) 務(wù) 流 程 組 織 架 構(gòu) 環(huán) 環(huán) 市 場 境 境 業(yè) 行 一、從企業(yè)風(fēng)險管理到 IT風(fēng)險控制 2 ? 企業(yè)管理常見風(fēng)險 ?戰(zhàn)略定位不明 ?組織架構(gòu)紊亂 ?業(yè)務(wù)流程松散 ?激勵機(jī)制不足 ?信息技術(shù)缺乏 ?資金管理低效 對企業(yè)實施風(fēng)險管理 目標(biāo)：企業(yè)風(fēng)險管理的目標(biāo)是控制企業(yè)的風(fēng)險，保護(hù)企業(yè)的核心競爭力，風(fēng)險管理是未來企業(yè)發(fā)展的主旋律。 ? 強調(diào)“人”的重要性，組織中的每一個人對風(fēng)險管理都負(fù)有責(zé)任； ? 強調(diào)“軟控制”的作用。 ? 信息安全風(fēng)險－ 技術(shù)的發(fā)展及互聯(lián)網(wǎng)的便利性，使得信息安全形勢日益嚴(yán)峻，黑客攻擊頻繁、病毒泛濫，造成許多商業(yè)網(wǎng)站、政府網(wǎng)站被入侵，虛擬資金被盜，敏感機(jī)密信息被泄露。 信息化最大的風(fēng)險：控制制度 治理機(jī)制的缺失 11 ? 建立 PDCA的風(fēng)險控制體系 設(shè)定風(fēng)險管理流程 ?目的及目標(biāo) ?共同語言 ?結(jié)構(gòu) 決策資料 訂立策略 ? 避 免 ? 利 用 ? 接 受 ?轉(zhuǎn)移 ?減低 評估風(fēng)險 ?驗明 ?來源 ?量度 不斷的改善 管理能力 設(shè)計或引進(jìn) 管理能力 監(jiān)察風(fēng)險 管理表現(xiàn) 用制度體系來建立風(fēng)險控制框架 12 完 善 I T 治 理 結(jié) 構(gòu)業(yè) 務(wù) 需 求 識 別業(yè) 務(wù) 建 模符 合控 制 標(biāo) 準(zhǔn) ？為 業(yè) 務(wù) 目 標(biāo) 持 續(xù)提 供 價 值數(shù) 據(jù) 標(biāo) 準(zhǔn) 化調(diào)整獲 取 與 實 施交 付 與 支 持計 劃 與 組 織監(jiān) 控I T 服 務(wù) 管 理信 息 安 全 管 理是否反饋信 息 系 統(tǒng) 審 計I T建設(shè)業(yè)務(wù)調(diào)查I T 項 目 管 理 與 監(jiān) 理企 業(yè) 戰(zhàn) 略 規(guī) 劃業(yè) 務(wù) 流 程 優(yōu) 化績 效 評 估 體 系組 織 結(jié) 構(gòu) 調(diào) 整I T 規(guī) 劃I T 相 關(guān) ？是否I T 控 制I T 過 程業(yè) 務(wù) 控 制I T 信 息 流I T 控 制 流圖 例 ：業(yè) 務(wù) 領(lǐng) 域I T 領(lǐng) 域I T 績 效 測 量I T 資 源 協(xié) 同其 他 措 施 . . .應(yīng) 急 計 劃? IT風(fēng)險的控制框架 戰(zhàn)略層 IT治理 ISMS 戰(zhàn)術(shù)層 IT治理 13 ? 你的組織是如何治理 IT的？ 各種回答 “什么是 IT治理 ?以前沒有聽說過。而對世界范圍內(nèi) 250家企業(yè)的調(diào)查表明，只有 38%的高級主管能夠精確描述他們的 IT治理。 ? IT治理成熟度 18 ? IT治理的戰(zhàn)略層面 ? 在企業(yè)戰(zhàn)略層面上，要綜合公司治理結(jié)構(gòu)、企業(yè)戰(zhàn)略規(guī)劃，使 IT治理作為公司治理的一部分，在治理結(jié)構(gòu)上體現(xiàn) IT的位置與作用。 需求識別的困難性 26 戰(zhàn)略規(guī)劃 計劃預(yù)算 項目投資 績效管理 企業(yè)運營：生產(chǎn)、管理、控制 對戰(zhàn)術(shù)層的支持 對戰(zhàn)略層的支持 ? 如何增強企業(yè)核心競爭力？ ? 如何尋找新的利潤增長點？ ? 如何促進(jìn)企業(yè)成長為知識型、學(xué)習(xí)型的組織？ ? 如何建立有效的企業(yè)風(fēng)險控制機(jī)制？ 信息技術(shù)進(jìn)一步為業(yè)務(wù)創(chuàng)造新的價值 ?不同層次的業(yè)務(wù)需求 招商銀行的 IT扛桿作用 27 ? IT投資和優(yōu)先順序決策 ? IT投資決策要解決的問題 ? IT要花多少錢？ ? 把錢花在什么上面？ ? 如何協(xié)調(diào)不同投資者的需求？ ? IT投資決策的依據(jù) ? 考慮日常運維的支撐需要和企業(yè)的發(fā)展戰(zhàn)略的推動需要 ? 投資合理性論證和計劃 ? 為投資尋求支持 ? 企業(yè)范圍內(nèi)的 IT體系架構(gòu) ? 回顧每年的實際開銷 ? 對預(yù)算所做修正案的審查 28 ? IT投資預(yù)算和項目優(yōu)先級排列的一般過程 形成 IT預(yù)算報告 29 （二）決策權(quán)分配的 IT治理原型 ? 決策的制定者： ?按照政治治理模式選擇較接近的 IT治理制度安排； ?成立 IT 治理委員會，定期召開會議，就企業(yè)戰(zhàn)略與IT 戰(zhàn)略的互動、 IT原則、 IT架構(gòu)、 IT投資等等議題進(jìn)行討論并做出決策。 IT雙寡頭制 IT主管和其他團(tuán)隊（如 CxO或業(yè)務(wù)單位或流程負(fù)責(zé)人）。 ?常見的三類 IT治理機(jī)制 ? 決策結(jié)構(gòu)－負(fù)責(zé)制定 IT決策的組織單元和角色，比如委員會、 執(zhí)行團(tuán)隊和業(yè)務(wù)與 IT關(guān)系經(jīng)理。 ? 聯(lián)邦制可以平衡企業(yè)和業(yè)務(wù)部門的優(yōu)先權(quán)，可以為IT治理決策提供有價值的輸入。 – 架構(gòu)委員會與業(yè)務(wù)部門經(jīng)營者緊密協(xié)作時，它不僅能有效地引進(jìn)