【文章內(nèi)容簡(jiǎn)介】 和報(bào)告。 NANJING AUDIT UNIVERSITY （ 3） CIO。 CIO崗位的職責(zé) : 發(fā)起制定、組織完成企業(yè) IT戰(zhàn)略規(guī)劃 。 開發(fā)企業(yè)應(yīng)用，協(xié)調(diào)企業(yè)和部門的應(yīng)用開發(fā) 。 保障 IT基礎(chǔ)設(shè)施和 體系架構(gòu)的運(yùn)行及投資 。 決定 IT服務(wù)和技能服務(wù)； 建立關(guān)鍵的 IT 供應(yīng)商和咨詢顧問(wèn)間的戰(zhàn)略伙伴關(guān)系； 提供技術(shù)支持使企業(yè)增加收 入和盈利能力 。 維護(hù)客戶滿意度； 向用戶提供培訓(xùn)。 第二章 IT治理 （ 4）管理者。管理者的職責(zé)是： 將 IT風(fēng)險(xiǎn)管理責(zé)任和控制落實(shí)到企業(yè)中； 將戰(zhàn)略，策略，目標(biāo)等落實(shí)到企業(yè)日常工作中，并使信息技術(shù)的組織 與企業(yè)目標(biāo)一致； 促進(jìn)信息的創(chuàng)造與共享； 通過(guò)衡量公司業(yè)績(jī)和競(jìng) 爭(zhēng)優(yōu)勢(shì)來(lái)測(cè)度信息技術(shù)的效果 ； 關(guān)注重要的增值的信息技術(shù)過(guò)程； 關(guān)注與規(guī)劃和管理 IT資產(chǎn)、風(fēng)險(xiǎn)、工程項(xiàng)目、客戶和供應(yīng)商相關(guān)的 核心競(jìng)爭(zhēng)能力，等。 NANJING AUDIT UNIVERSITY （ 5）信息技術(shù)人員。 負(fù)責(zé)項(xiàng)目的開發(fā)與實(shí)施； 負(fù)責(zé)項(xiàng)目技術(shù)指導(dǎo)與實(shí)現(xiàn)； 負(fù)責(zé)信息系統(tǒng)的日常運(yùn)行與維護(hù)； 為業(yè)務(wù)部門和管理人員提供技術(shù) 服務(wù)支持。 第二章 IT治理 （ 6）外部和內(nèi)部審計(jì)人員。 信息系統(tǒng)的管理、規(guī)劃與組織評(píng)價(jià)； 評(píng)價(jià)組 織在技術(shù)與操作基礎(chǔ)設(shè)施的管理和實(shí)施方面的有效性及效率； 對(duì)邏 輯、環(huán)境與信息技術(shù)基礎(chǔ)設(shè)施的安全性進(jìn)行評(píng)價(jià)； 對(duì)災(zāi)難恢復(fù)與業(yè) 務(wù)持續(xù)計(jì)劃評(píng)價(jià)； 對(duì)應(yīng)用系統(tǒng)的開發(fā)、獲得、實(shí)施與維護(hù)方面所 采用的方法和流程進(jìn)行評(píng)價(jià)； 業(yè)務(wù)流程評(píng)價(jià)與風(fēng)險(xiǎn)管理評(píng)價(jià)。 NANJING AUDIT UNIVERSITY 流程。 IT投資決策是如何作出的？在決策流程中，投資建議、投資 評(píng)估、批準(zhǔn)投資和區(qū)分優(yōu)先級(jí)是如何進(jìn)行的？ 第二章 IT治理 溝通。這些決策和流程的結(jié)果效能如果度量，如何監(jiān)控風(fēng)險(xiǎn)？又如 何得到溝通？在相關(guān)利益者之間投資決策采用何種機(jī)制加以溝通？ NANJING AUDIT UNIVERSITY 第二章 IT治理 二 、 IT治理標(biāo)準(zhǔn) 有關(guān) IT治理的標(biāo)準(zhǔn)主要有： 信息及其相關(guān)技術(shù)的管理體系模型和最佳實(shí)務(wù)一 COBIT ； IT基礎(chǔ)架構(gòu)庫(kù) ITIL (Information Technology Infrastructure Library) ； ISO/IEC17799:2023（信息安全管理實(shí)務(wù)準(zhǔn)則 ） PRINCE2（有關(guān)項(xiàng)目管理支持服務(wù)標(biāo)準(zhǔn)） TICKIT（軟件質(zhì)量管理系統(tǒng)保證標(biāo)準(zhǔn)）； NIST80O（公認(rèn)安防信息技術(shù)系統(tǒng)原則和實(shí)務(wù)）； COSO綜合性框架； 三種較為流行的 IT治理評(píng)價(jià)方法： CobIT成熟度模型、 PW方法 、 CBSO法 NANJING AUDIT UNIVERSITY 第二章 IT治理 NANJING AUDIT UNIVERSITY 三 、 COBIT簡(jiǎn)介： COBIT（信息及相關(guān)技術(shù)的控制目標(biāo)），是有關(guān) IT治理的一個(gè)開放標(biāo)準(zhǔn)。 該標(biāo)準(zhǔn) 是國(guó)際公認(rèn)的最先進(jìn)、最權(quán)威的安全與信息技術(shù)管理和控制的標(biāo)準(zhǔn)。 該標(biāo)準(zhǔn) 為 IT的治理、安全與控制提供了一個(gè)一般適用的公認(rèn)的標(biāo)準(zhǔn)。 該標(biāo)準(zhǔn) 為組織有效的利用信息資源，有效管理、控制與信息相關(guān)的風(fēng)險(xiǎn)提 供指導(dǎo)。 COBIT將 IT 過(guò)程， IT資源及信息與企業(yè)的策略與目標(biāo)聯(lián)系起來(lái)，形成一個(gè) 三維的體系結(jié)構(gòu) （ 參見(jiàn) ） COBIT的體系框架包括四大部分： 控制目標(biāo)、管理指南、審計(jì)指南、工具集 （ 參見(jiàn) ） 第二章 IT治理 NANJING AUDIT UNIVERSITY 第二章 IT治理 NANJING AUDIT UNIVERSITY IT準(zhǔn)則維： 反映了企業(yè)使用 IT的戰(zhàn)略目標(biāo) 。 標(biāo)準(zhǔn)包括： 有效性、效率性、機(jī)密性、完整性、可用性、一致性、可靠性等 IT資源維： 描述了 IT治理過(guò)程的主要資源對(duì)象。 對(duì)象包括： 人員、應(yīng)用系統(tǒng)、技術(shù)、設(shè)施和數(shù)據(jù)等 IT過(guò)程維： 是對(duì)信息及相關(guān)資源進(jìn)行規(guī)劃與處理的過(guò)程。 提供了： 從信息系統(tǒng)生命周期的四大域確定了 34個(gè)信息技術(shù)處理過(guò)程，每 個(gè)處理過(guò)程包括詳細(xì)的控制目標(biāo)和與控制目標(biāo)相聯(lián)系的審計(jì)指南。 第二章 IT治理 四大域： 計(jì)劃與組織； 采集與實(shí)施； 交付與支持； 監(jiān)控 34個(gè)信息技術(shù)處理過(guò)程（從四大域）包括： (參見(jiàn)教材 ） 計(jì)劃與組織： 定義 IT戰(zhàn)略、定義信息體系結(jié)構(gòu)、確定技術(shù)方向、定義 IT 組織與關(guān)系、管理 IT投資、管理目標(biāo)和方向、人力資源管理、確保 與外部需求的一致性、風(fēng)險(xiǎn)評(píng)估、項(xiàng)目管理、質(zhì)量管理 NANJING AUDIT UNIVERSITY 采集與實(shí)施： 確定自動(dòng)化的解決方案、獲取并維護(hù)應(yīng)用程序、獲取并維 護(hù)技術(shù)基礎(chǔ)設(shè)施、系統(tǒng)安裝與鑒定、變革管理 交付與支持： 定義并管理服務(wù)水平、管理第三方的服務(wù)、管理性能與容 量、確保服務(wù)的連續(xù)性、確保系統(tǒng)安全、確定并分配成本、教育并 培訓(xùn)客戶、配置管理、處理問(wèn)題和突發(fā)事件、數(shù)據(jù)管理、設(shè)施管理、 運(yùn)營(yíng)管理 第二章 IT治理 監(jiān)控： 過(guò)程監(jiān)控、評(píng)價(jià)內(nèi)部控制的適當(dāng)性、獲取獨(dú)立保證、提供獨(dú)立的 審計(jì) 控制目標(biāo)中： 計(jì)劃和組織目標(biāo)： 判別哪些 IT策略最有助于業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)；應(yīng)設(shè)置何種 組織結(jié)構(gòu)，建立何種技術(shù)基礎(chǔ)結(jié)構(gòu)，如何對(duì) IT策略的實(shí)現(xiàn)進(jìn)行計(jì)劃、 協(xié)調(diào)與管理。 NANJING AUDIT UNIVERSITY 采集和實(shí)施目標(biāo)： 為了實(shí)現(xiàn) IT戰(zhàn)略，如何定義、開發(fā)、獲取、實(shí)施 IT解決 方案，并把這一方案集成到業(yè)務(wù)過(guò)程中。如何解決系統(tǒng)的變遷與維護(hù)， 以使系統(tǒng)的生命周期得以延續(xù)。 交付與支持目標(biāo)： 如何解決系統(tǒng)交付所需的服務(wù)，包括操作安全性、連續(xù) 性、人員培訓(xùn)以及需建立的支持過(guò)程，還包括實(shí)際數(shù)據(jù)處理，通常按 應(yīng)用控制進(jìn)行分類。 監(jiān)控目標(biāo)： 評(píng)估 IT過(guò)程質(zhì)量，評(píng)估 IT過(guò)程與控制需求相符的程度 第二章 IT治理 NANJING AUDIT UNIVERSITY 第二章 IT治理 管理指南： COBIT給出了： 度量 IT過(guò)程的指標(biāo)體系、度量的尺度以及度量的基準(zhǔn)點(diǎn) 。 4個(gè)指標(biāo)： 成熟度模型 CMM，以及關(guān)鍵成功因素 CSF、關(guān)鍵目標(biāo)指標(biāo) KGI、 關(guān)鍵性能指標(biāo) KPI NANJING AUDIT UNIVERSITY 4個(gè)指標(biāo)簡(jiǎn)介： 成熟度模型 CMM 功能： 確定 IT控制的基準(zhǔn)。從而認(rèn)清企業(yè)所處的行業(yè)地位，如何測(cè)定和 比較 關(guān)鍵成功因素 CSF 功能： 勾畫 IT控制輪廓。從而描繪重要的、控制的關(guān)鍵成功因素 關(guān)鍵目標(biāo)指標(biāo) KGI 功能： 識(shí)別 IT處理過(guò)程的目標(biāo)。從而認(rèn)識(shí)哪些是必須做到的，不能達(dá)成 目標(biāo)的風(fēng)險(xiǎn)有哪些 關(guān)鍵性能指標(biāo) KPI 功能： 測(cè)定 IT處理過(guò)程的性能。從而評(píng)價(jià) IT輸出和實(shí)際績(jī)效，評(píng)價(jià)處理 過(guò)程執(zhí)行好壞的程度 第二章 IT治理 NANJING AUDIT UNIVERSITY 案例 1：關(guān)鍵成功因素 CSF IT治理活動(dòng)與公司治理相結(jié)合，并有公司領(lǐng)導(dǎo)的參與； IT治理專注于公司目標(biāo)、戰(zhàn)略，使用技術(shù)提高業(yè)務(wù)水平，及滿足業(yè)務(wù) 需求的足夠可用的資源和能力； IT治理活動(dòng)應(yīng)該目標(biāo)明確，制度規(guī)范和實(shí)施有效，并落實(shí)到人； 實(shí)施最佳管理實(shí)踐以提高資源的有效利用，提供 IT過(guò)程的效率； 建立組織以充分監(jiān)督，根據(jù)標(biāo)準(zhǔn)程序評(píng)估風(fēng)險(xiǎn)，及監(jiān)督和追究控制缺 陷和風(fēng)險(xiǎn)； 建立內(nèi)部控制準(zhǔn)則以避免內(nèi)部控制和監(jiān)管的失靈； IT問(wèn)題管理、變革管理和配置管理等，是集成和關(guān)聯(lián)的； 建立審計(jì)委員會(huì)。 第二章 IT治理 NANJING AUDIT UNIVERSITY 案例 2：關(guān)鍵目標(biāo)指標(biāo) KGI 加強(qiáng)績(jī)效和成本管理； 提高主要的 IT投資的回報(bào)； 提高響應(yīng)市場(chǎng)速度； 增加質(zhì)量，創(chuàng)新和風(fēng)險(xiǎn)管理； 適當(dāng)集成和標(biāo)準(zhǔn)化業(yè)務(wù)流程； 擴(kuò)展新客戶，滿足現(xiàn)有客戶； 可用的適當(dāng)帶寬，計(jì)算能力和 IT交付機(jī)制； 在預(yù)算范圍內(nèi)及時(shí)滿足客戶的需求和期望； 不違反法律