【文章內(nèi)容簡介】 和報告。 NANJING AUDIT UNIVERSITY （ 3） CIO。 CIO崗位的職責 : 發(fā)起制定、組織完成企業(yè) IT戰(zhàn)略規(guī)劃 。 開發(fā)企業(yè)應用，協(xié)調(diào)企業(yè)和部門的應用開發(fā) 。 保障 IT基礎設施和 體系架構的運行及投資 。 決定 IT服務和技能服務； 建立關鍵的 IT 供應商和咨詢顧問間的戰(zhàn)略伙伴關系； 提供技術支持使企業(yè)增加收 入和盈利能力 。 維護客戶滿意度； 向用戶提供培訓。 第二章 IT治理 （ 4）管理者。管理者的職責是： 將 IT風險管理責任和控制落實到企業(yè)中； 將戰(zhàn)略，策略，目標等落實到企業(yè)日常工作中，并使信息技術的組織 與企業(yè)目標一致； 促進信息的創(chuàng)造與共享； 通過衡量公司業(yè)績和競 爭優(yōu)勢來測度信息技術的效果 ； 關注重要的增值的信息技術過程； 關注與規(guī)劃和管理 IT資產(chǎn)、風險、工程項目、客戶和供應商相關的 核心競爭能力，等。 NANJING AUDIT UNIVERSITY （ 5）信息技術人員。 負責項目的開發(fā)與實施； 負責項目技術指導與實現(xiàn)； 負責信息系統(tǒng)的日常運行與維護； 為業(yè)務部門和管理人員提供技術 服務支持。 第二章 IT治理 （ 6）外部和內(nèi)部審計人員。 信息系統(tǒng)的管理、規(guī)劃與組織評價； 評價組 織在技術與操作基礎設施的管理和實施方面的有效性及效率； 對邏 輯、環(huán)境與信息技術基礎設施的安全性進行評價； 對災難恢復與業(yè) 務持續(xù)計劃評價； 對應用系統(tǒng)的開發(fā)、獲得、實施與維護方面所 采用的方法和流程進行評價； 業(yè)務流程評價與風險管理評價。 NANJING AUDIT UNIVERSITY 流程。 IT投資決策是如何作出的？在決策流程中，投資建議、投資 評估、批準投資和區(qū)分優(yōu)先級是如何進行的？ 第二章 IT治理 溝通。這些決策和流程的結果效能如果度量，如何監(jiān)控風險？又如 何得到溝通？在相關利益者之間投資決策采用何種機制加以溝通？ NANJING AUDIT UNIVERSITY 第二章 IT治理 二 、 IT治理標準 有關 IT治理的標準主要有： 信息及其相關技術的管理體系模型和最佳實務一 COBIT ； IT基礎架構庫 ITIL (Information Technology Infrastructure Library) ； ISO/IEC17799:2023（信息安全管理實務準則 ） PRINCE2（有關項目管理支持服務標準） TICKIT（軟件質(zhì)量管理系統(tǒng)保證標準）； NIST80O（公認安防信息技術系統(tǒng)原則和實務）； COSO綜合性框架； 三種較為流行的 IT治理評價方法： CobIT成熟度模型、 PW方法 、 CBSO法 NANJING AUDIT UNIVERSITY 第二章 IT治理 NANJING AUDIT UNIVERSITY 三 、 COBIT簡介： COBIT（信息及相關技術的控制目標），是有關 IT治理的一個開放標準。 該標準 是國際公認的最先進、最權威的安全與信息技術管理和控制的標準。 該標準 為 IT的治理、安全與控制提供了一個一般適用的公認的標準。 該標準 為組織有效的利用信息資源，有效管理、控制與信息相關的風險提 供指導。 COBIT將 IT 過程， IT資源及信息與企業(yè)的策略與目標聯(lián)系起來，形成一個 三維的體系結構 （ 參見 ） COBIT的體系框架包括四大部分： 控制目標、管理指南、審計指南、工具集 （ 參見 ） 第二章 IT治理 NANJING AUDIT UNIVERSITY 第二章 IT治理 NANJING AUDIT UNIVERSITY IT準則維： 反映了企業(yè)使用 IT的戰(zhàn)略目標 。 標準包括： 有效性、效率性、機密性、完整性、可用性、一致性、可靠性等 IT資源維： 描述了 IT治理過程的主要資源對象。 對象包括： 人員、應用系統(tǒng)、技術、設施和數(shù)據(jù)等 IT過程維： 是對信息及相關資源進行規(guī)劃與處理的過程。 提供了： 從信息系統(tǒng)生命周期的四大域確定了 34個信息技術處理過程，每 個處理過程包括詳細的控制目標和與控制目標相聯(lián)系的審計指南。 第二章 IT治理 四大域： 計劃與組織； 采集與實施； 交付與支持； 監(jiān)控 34個信息技術處理過程（從四大域）包括： (參見教材 ） 計劃與組織： 定義 IT戰(zhàn)略、定義信息體系結構、確定技術方向、定義 IT 組織與關系、管理 IT投資、管理目標和方向、人力資源管理、確保 與外部需求的一致性、風險評估、項目管理、質(zhì)量管理 NANJING AUDIT UNIVERSITY 采集與實施： 確定自動化的解決方案、獲取并維護應用程序、獲取并維 護技術基礎設施、系統(tǒng)安裝與鑒定、變革管理 交付與支持： 定義并管理服務水平、管理第三方的服務、管理性能與容 量、確保服務的連續(xù)性、確保系統(tǒng)安全、確定并分配成本、教育并 培訓客戶、配置管理、處理問題和突發(fā)事件、數(shù)據(jù)管理、設施管理、 運營管理 第二章 IT治理 監(jiān)控： 過程監(jiān)控、評價內(nèi)部控制的適當性、獲取獨立保證、提供獨立的 審計 控制目標中： 計劃和組織目標： 判別哪些 IT策略最有助于業(yè)務目標的實現(xiàn)；應設置何種 組織結構，建立何種技術基礎結構，如何對 IT策略的實現(xiàn)進行計劃、 協(xié)調(diào)與管理。 NANJING AUDIT UNIVERSITY 采集和實施目標： 為了實現(xiàn) IT戰(zhàn)略，如何定義、開發(fā)、獲取、實施 IT解決 方案，并把這一方案集成到業(yè)務過程中。如何解決系統(tǒng)的變遷與維護， 以使系統(tǒng)的生命周期得以延續(xù)。 交付與支持目標： 如何解決系統(tǒng)交付所需的服務，包括操作安全性、連續(xù) 性、人員培訓以及需建立的支持過程，還包括實際數(shù)據(jù)處理，通常按 應用控制進行分類。 監(jiān)控目標： 評估 IT過程質(zhì)量，評估 IT過程與控制需求相符的程度 第二章 IT治理 NANJING AUDIT UNIVERSITY 第二章 IT治理 管理指南： COBIT給出了： 度量 IT過程的指標體系、度量的尺度以及度量的基準點 。 4個指標： 成熟度模型 CMM，以及關鍵成功因素 CSF、關鍵目標指標 KGI、 關鍵性能指標 KPI NANJING AUDIT UNIVERSITY 4個指標簡介： 成熟度模型 CMM 功能： 確定 IT控制的基準。從而認清企業(yè)所處的行業(yè)地位，如何測定和 比較 關鍵成功因素 CSF 功能： 勾畫 IT控制輪廓。從而描繪重要的、控制的關鍵成功因素 關鍵目標指標 KGI 功能： 識別 IT處理過程的目標。從而認識哪些是必須做到的，不能達成 目標的風險有哪些 關鍵性能指標 KPI 功能： 測定 IT處理過程的性能。從而評價 IT輸出和實際績效，評價處理 過程執(zhí)行好壞的程度 第二章 IT治理 NANJING AUDIT UNIVERSITY 案例 1：關鍵成功因素 CSF IT治理活動與公司治理相結合，并有公司領導的參與； IT治理專注于公司目標、戰(zhàn)略，使用技術提高業(yè)務水平，及滿足業(yè)務 需求的足夠可用的資源和能力； IT治理活動應該目標明確，制度規(guī)范和實施有效，并落實到人； 實施最佳管理實踐以提高資源的有效利用，提供 IT過程的效率； 建立組織以充分監(jiān)督，根據(jù)標準程序評估風險，及監(jiān)督和追究控制缺 陷和風險； 建立內(nèi)部控制準則以避免內(nèi)部控制和監(jiān)管的失靈； IT問題管理、變革管理和配置管理等，是集成和關聯(lián)的； 建立審計委員會。 第二章 IT治理 NANJING AUDIT UNIVERSITY 案例 2：關鍵目標指標 KGI 加強績效和成本管理； 提高主要的 IT投資的回報； 提高響應市場速度； 增加質(zhì)量，創(chuàng)新和風險管理； 適當集成和標準化業(yè)務流程； 擴展新客戶，滿足現(xiàn)有客戶； 可用的適當帶寬，計算能力和 IT交付機制； 在預算范圍內(nèi)及時滿足客戶的需求和期望； 不違反法律