【正文】 IT的應(yīng)用之二： IT審計(jì) 95 ? 審計(jì)模型 ?審計(jì)的目標(biāo)是： ? 為管理層提供控制合理性的保證 ? 何處存在重要的控制弱點(diǎn)，證實(shí)由此產(chǎn)生的風(fēng)險(xiǎn) ? 建議管理層采取糾正措施。 ? COBIT控制目標(biāo)（ CO）和控制實(shí)踐（ CP）為建立關(guān)鍵的控制環(huán)境提供了指南； ? COBIT框架中描述的信息質(zhì)量標(biāo)準(zhǔn)有助于定義業(yè)務(wù)價(jià)值和定義降低業(yè)務(wù)風(fēng)險(xiǎn)的需求； ? IT資源標(biāo)準(zhǔn)有助于決定組織需要什么樣的資源來(lái)管理所提供的信息，以滿足業(yè)務(wù)價(jià)值和業(yè)務(wù)風(fēng)險(xiǎn)的需要； ? IT過(guò)程標(biāo)準(zhǔn)有助于組織選擇適合自身的 IT過(guò)程。 IT過(guò)程成熟度描述 CMM 85 ? 關(guān)鍵成功因素 (CSF) ?定義 ? CSF為管理部門(mén)實(shí)現(xiàn)對(duì) IT過(guò)程的控制提供指南，它們是實(shí)現(xiàn)IT過(guò)程目標(biāo)最重要的一系列因素，可以由戰(zhàn)略的、技術(shù)的、組織的或程序的各種活動(dòng)組成； ? 它們通常會(huì)涉及 IT能力和技能，簡(jiǎn)短而集中介紹企業(yè)為達(dá)到某方面的目標(biāo)必須重視的資源和必須實(shí)施的控制。 ?在必要時(shí)，對(duì)于制定長(zhǎng)期計(jì)劃與短期計(jì)劃所基于的假設(shè)條件進(jìn)行驗(yàn)證和變更 示例： 控制實(shí)踐 ?建立正式的監(jiān)控過(guò)程，階段性地對(duì) IT計(jì)劃的反饋信息進(jìn)行收集、記錄、排序和溝通工作，此外還需要來(lái)自 IT、組織管理層和關(guān)鍵利益相關(guān)者的信息輸入，然后進(jìn)行評(píng)審工作，評(píng)審的內(nèi)容包括：短期計(jì)劃目標(biāo)的實(shí)現(xiàn)、與計(jì)劃相關(guān)的對(duì)業(yè)務(wù)風(fēng)險(xiǎn)的管理，對(duì)業(yè)務(wù)過(guò)程可衡量的改善（成本、效率）和 IT投資所交付的價(jià)值。 ? 【主題】 – 提供所需服務(wù) – 建立服務(wù)支持流程 – 應(yīng)用系統(tǒng)的處理過(guò)程 ? 【問(wèn)題】 – 交付的 IT服務(wù)是否與業(yè)務(wù)優(yōu)先順序相一致 ? – IT成本是否被優(yōu)化 ? – 員工是否能安全有效地使用 IT系統(tǒng) ? – IT系統(tǒng)是否具有充分的安全性、完整性和可用性 ? 68 ? 【控制目標(biāo)】 – DS1定義并管理服務(wù)水平 – DS2管理第三方服務(wù) – DS3績(jī)效管理與容量管理 – DS4確保持續(xù)性服務(wù) – DS5確保系統(tǒng)安全 – DS6確認(rèn)與分配成本 – DS7教育并培訓(xùn)客戶 – DS8為客戶提供幫助和建議 – DS9配置管理 – DS10 問(wèn)題管理與緊急事件管理 – DS11數(shù)據(jù)管理 – DS12設(shè)施管理 – DS13運(yùn)營(yíng)管理 69 ?監(jiān)控與評(píng)價(jià) ? 【描述】 – 為了保證系統(tǒng)的質(zhì)量并滿足控制需求，所有的流程應(yīng)被定期評(píng)估。 ? 次要的（ Secondary, 簡(jiǎn)寫(xiě)為 S） ——在這個(gè)程度上，定義的控制目標(biāo)只是在較小范圍或以間接方式滿足相關(guān)的信息標(biāo)準(zhǔn)。 ? 獲取與實(shí)施 ——為實(shí)現(xiàn) IT戰(zhàn)略，需要識(shí)別、開(kāi)發(fā)或采購(gòu) IT解決方案，并把它們集成到業(yè)務(wù)過(guò)程中去。 ? 應(yīng)用系統(tǒng) ——可以理解為人工程序和計(jì)算機(jī)程序的總和。 56 ? COBIT如何滿足業(yè)務(wù)要求 ?機(jī)密性 ?完整性 ?可用性 ?有效性 (效能 ) ?經(jīng)濟(jì)性 (效率 ) ?機(jī)密性 ?完整性 ?可用性 ?合規(guī)性 ?可靠性 (信息 ) ?質(zhì)量 ?成本 ?交付 ?運(yùn)行的有效性和經(jīng)濟(jì)性 ?信息的可靠性 ?與法律、法規(guī)的符合性 質(zhì)量需求 信譽(yù)需求 安全需求 57 ? COBIT信息標(biāo)準(zhǔn)的定義 ? 有效性 —處理與業(yè)務(wù)過(guò)程相關(guān)的信息，并以及時(shí)、正確、一致和可用的方式交付。 ? 評(píng)估治理績(jī)效時(shí)要評(píng)估五個(gè)因素，利用下表進(jìn)行對(duì)照比較。 37 ?雙寡頭制的決策結(jié)構(gòu) ? 決策團(tuán)隊(duì)如 IT理事會(huì)同時(shí)包含 IT人員和業(yè)務(wù)人員，把兩者融合起來(lái)，能夠在重要決策中把業(yè)務(wù)戰(zhàn)略和IT聯(lián)合起來(lái)。 ? 大多數(shù)聯(lián)邦制的 IT組織設(shè)計(jì)的核心就是對(duì)數(shù)據(jù)和 IT基礎(chǔ)設(shè)施共享的要求。 ? 工作流程－用于保證日常行為和 IT政策相一致，并提供返回到?jīng)Q策的輸入信息的正式流程。 無(wú)政府制 每一個(gè)單獨(dú)的使用者。 模型 誰(shuí)擁有決策權(quán)或輸入權(quán)？ 業(yè)務(wù)君主制 一群業(yè)務(wù)主管或者單個(gè)主管（ CXOs）。 ? 建立有效確定 IT決策權(quán)歸屬 和 責(zé)任分配 的框架，包括有效的治理制度安排與治理機(jī)制的設(shè)計(jì)。 －引自彼得 .維爾和珍妮 .羅斯的 IT治理研究 15 ? 什么 IT治理？ ?德勤定義如下 : IT 治理是一個(gè)含義廣泛的術(shù)語(yǔ)，包括信息系統(tǒng)、技術(shù)、通訊、商業(yè)、所有利益相關(guān)者、合法性和其他問(wèn)題。它有具體的概念和定義嗎 ?”“是不是公司治理 ?它與公司治理有區(qū)別嗎 ?” “ IT工作一直是公司戰(zhàn)略中的重點(diǎn)，具體的工作我不太清楚 ,分管副總知道。 ? IT績(jī)效風(fēng)險(xiǎn)－ 如果規(guī)劃不當(dāng)、控制不嚴(yán)， IT系統(tǒng)不能帶來(lái)預(yù)期的業(yè)務(wù)價(jià)值，巨額的信息化投入很可能造成新一輪的“投資黑洞”?！败浛刂啤敝饕改切儆诰駥用娴氖挛铮绺呒?jí)管理階層的管理風(fēng)格、管理哲學(xué)、企業(yè)文化、內(nèi)部控制意識(shí)等，“軟控制”影響人的行為。IT 治理 陳偉 第三屆北大 CIO班 1 ? 企業(yè)管理模式 ?企業(yè)在確認(rèn)自身戰(zhàn)略目標(biāo)的基礎(chǔ)上，對(duì)組織架構(gòu)、業(yè)務(wù)流程、以及業(yè)績(jī)?cè)u(píng)估三個(gè)元素進(jìn)行整合，并取得信息技術(shù)的充分配合與支持，才能全面提升管理水平。 ? 強(qiáng)調(diào)風(fēng)險(xiǎn)管理是一個(gè)“動(dòng)態(tài)過(guò)程”，風(fēng)險(xiǎn)管理是一個(gè)發(fā)現(xiàn)問(wèn)題、解決問(wèn)題、發(fā)現(xiàn)新問(wèn)題、解決新問(wèn)題的循環(huán)往復(fù)的PDCA過(guò)程。 ? 合規(guī)性風(fēng)險(xiǎn)－ 法律、法規(guī)對(duì) IT的監(jiān)管要求越來(lái)越嚴(yán)格，不能符合合規(guī)性要求將使企業(yè)面臨較大的風(fēng)險(xiǎn)?！? “我們公司老板舍得花錢(qián)，老板說(shuō)了：只要系統(tǒng)不出事，要人給人，要錢(qián)給錢(qián)！”“公司非常重視 IT,老板親自抓 !技術(shù)人員地位很高 ,常常參與公司的高層決策。其主要任務(wù)是：保持 IT 與業(yè)務(wù)目標(biāo)一致，推動(dòng)業(yè)務(wù)發(fā)展，促使收益最大化，合理利用 IT 資源， IT 相關(guān)風(fēng)險(xiǎn)的適當(dāng)管理。 企業(yè)戰(zhàn)略和組織 IT組織和期望行為 關(guān)系治理安排 實(shí)物治理安排 人力資源治理安排 知識(shí)產(chǎn)權(quán)治理安排 財(cái)務(wù)治理安排 IT治理安排 IT治理機(jī)制 IT決策 業(yè)務(wù)績(jī)效目標(biāo) IT度量指標(biāo)和責(zé)任 協(xié)調(diào)什么？ 如何協(xié)調(diào)？ IT治理設(shè)計(jì)框架 19 ?戰(zhàn)略層面的 IT治理要解決的問(wèn)題： ? 為了保證有效地管理與使用 IT，應(yīng)當(dāng)做出怎樣的決策； ? 誰(shuí)來(lái)做出這些決策？ ? 如何做出決策及對(duì)決策進(jìn)行監(jiān)控？ 20 （一）五種關(guān)鍵的 IT決策 IT原則的決策 高層關(guān)于企業(yè)如何使用 IT的陳述 IT架構(gòu)決策 組織從一系列政策、關(guān)系以及技術(shù)選擇中捕獲的數(shù)據(jù)、應(yīng)用和基礎(chǔ)設(shè)施的邏輯，以達(dá)到預(yù)期的商業(yè)、技術(shù)的標(biāo)準(zhǔn)化和一體化 IT基礎(chǔ)設(shè)施決策 集中協(xié)調(diào)、共享 IT服務(wù)可以給企業(yè)的 IT能力提供基礎(chǔ) IT投資和優(yōu)先順序決策 關(guān)于應(yīng)該在 IT的哪些方面投資以及投資多少的決策。包括高級(jí)業(yè)務(wù)主管委員會(huì)（可能包括 CIO）。 30 公司高級(jí)管理層 公司 IT經(jīng)理或 業(yè)務(wù)部門(mén) IT經(jīng)理 業(yè)務(wù)部門(mén)領(lǐng)導(dǎo)或關(guān)鍵業(yè)務(wù)流程擁有者 業(yè)務(wù)君主制 ★ IT君主制 ★ 封建制 ★ 聯(lián)邦制 ★ ★ ★ ★ ★ IT雙寡頭制 ★ ★ ★ ★ 無(wú)政府制 31 ? IT雙寡頭制 ? 是一種雙方參與的治理安排。包括 IT投資建議和評(píng)估流程、架構(gòu)例外流程、服務(wù)水平協(xié)議、費(fèi)用分?jǐn)偤椭笜?biāo)。 36 ?IT君主制的決策結(jié)構(gòu) ? IT領(lǐng)導(dǎo)團(tuán)隊(duì) – 可以由 IT職能領(lǐng)導(dǎo)（運(yùn)營(yíng)、架構(gòu)、應(yīng)用等）和業(yè)務(wù)部門(mén)的CIO組成，通常負(fù)責(zé)制定基礎(chǔ)設(shè)施和架構(gòu)的決策。 ? 70%的企業(yè)擁有包含業(yè)務(wù)成員和 IT成員的 IT理事會(huì)，85%的企業(yè)擁有包含 IT成員的流程團(tuán)隊(duì)， 85%的企業(yè)擁有 IT和業(yè)務(wù)關(guān)系經(jīng)理。 （四）對(duì) IT治理的評(píng)估 43 ? 一流治理績(jī)效企業(yè)的七個(gè)特征 ?更多領(lǐng)導(dǎo)層的管理者們可以描述 IT治理 ?更多地利用五種溝通機(jī)制 ?高層管理者更直接地參與 IT治理 ? IT投資具有更加清晰的業(yè)務(wù)目標(biāo) ?更多差異化的業(yè)務(wù)戰(zhàn)略 ?較少的非授權(quán)例外和較多的得到正式批準(zhǔn)的例外 ?治理變更的次數(shù)逐年減少 44 ? 什么樣的治理安排最有效 ?不同治理安排下，“最好”和“最差”的治理績(jī)效 45 ?誰(shuí)做出更好的決策？ 46 ?最成功的三種 IT決策模式 47 ? 案例研究 ?Delta航空公司的 IT決策 ?國(guó)內(nèi)證券公司的 IT治理模式 ?道富公司的 IT治理設(shè)計(jì) 48 ? IT治理的實(shí)施框架 ? 為了實(shí)施有效的 IT治理，除了在戰(zhàn)略層建立決策權(quán)歸屬和職責(zé)擔(dān)當(dāng)?shù)目蚣芡猓€要對(duì)企業(yè)的戰(zhàn)術(shù)運(yùn)行層制定一套適用的 IT控制框架，以確保 IT支持業(yè)務(wù)目標(biāo)，確保資源得到了可靠的使用、風(fēng)險(xiǎn)受到了合理的管理。 ? 經(jīng)濟(jì)性 —以最優(yōu)化資源使用的方式（最具生產(chǎn)力的和經(jīng)濟(jì)的方式）來(lái)提供信息。 ? 技術(shù) ——涵蓋硬件、操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)、網(wǎng)絡(luò)、多媒體等。另外，此域還涵蓋到了對(duì)現(xiàn)有系統(tǒng)的更新與維護(hù)，以確保這些系統(tǒng)生命周期的持續(xù)性。 ? 空白 (Blank)——可能適用；但由該過(guò)程的其他標(biāo)準(zhǔn)或由其他過(guò)程來(lái)滿足此需求更合適。這個(gè)域要求管理人員對(duì)控制過(guò)程進(jìn)行監(jiān)督，并通過(guò)獨(dú)立的內(nèi)外部審計(jì)或其他方式對(duì)控制過(guò)程完備性提供保證。 ?基于評(píng)審結(jié)果建立正式的評(píng)估過(guò)程，針對(duì)所提議的 IT計(jì)劃的修改內(nèi)容進(jìn)行評(píng)估，并達(dá)成一致意見(jiàn)。 ?特征 ? 是 IT處理或支持的環(huán)境中最基本的促進(jìn)因素，是為提高 IT過(guò)程成功的可能性所要做的最重要的事； ? 是實(shí)現(xiàn)成功所需的一種條件，或是一種可取的活動(dòng)，具有可觀察或可測(cè)量的特征； ? 關(guān)注獲取、維護(hù)和利用 IT能力與技能，以 IT過(guò)程的術(shù)語(yǔ)而非業(yè)務(wù)術(shù)語(yǔ)來(lái)描述。 第一階段詳述 91 ? 第二階段：規(guī)劃解決方案 ?主要過(guò)程 ? 對(duì)所選擇的 IT過(guò)程評(píng)估其成熟度當(dāng)前狀況（ Asis），制定適宜的未來(lái)目標(biāo) (Tobe)，； ? 基于 COBIT中控制目標(biāo)（ CO）和控制實(shí)踐（ CP）中的成熟度屬性（ CMM），對(duì)當(dāng)前狀況與未來(lái)目標(biāo)之間進(jìn)行差距分析，把差距轉(zhuǎn)化成改進(jìn)的機(jī)會(huì)。 ?審計(jì)過(guò)程的公認(rèn)結(jié)構(gòu)是： ? 識(shí)別與文檔工作 ? 評(píng)價(jià) ? 符合性測(cè)試 ? 實(shí)質(zhì)性測(cè)試 96 ? 審計(jì)指南三層結(jié)構(gòu) 第一層 通用 IT審計(jì)方法 ?COBIT框架 ?審計(jì)前的準(zhǔn)備