【正文】 IT成熟度模型制定了一個(gè)基準(zhǔn)，組織可能根據(jù)上面的指標(biāo)確定自己 的等級(jí)，從而了解定位自己企業(yè)的 IT治理在業(yè)界所處的位置，確定未來(lái) 努力的方向。 第二章 IT治理 平衡風(fēng)險(xiǎn)和收益后的 IT治理和 IT增值流程治理成熟度級(jí)別如下： 不存在級(jí)（ 0級(jí)）： 完全不存在可辨識(shí)的信息治理流程。 初始級(jí)（ 1級(jí)）： 初始的混亂的。 可重復(fù)級(jí)（ 2級(jí)）： 重復(fù)的但模糊的。 已定義級(jí)（ 3級(jí)）： 已定義流程。 已管理級(jí)（ 4級(jí)）： 已管理和可測(cè)量的。 優(yōu)化級(jí)（ 5級(jí)）： 全面滿足 IT治理的要求并持續(xù)改進(jìn)。 NANJING AUDIT UNIVERSITY 第二章 IT治理 NANJING AUDIT UNIVERSITY IT治理成熟度模型方法的優(yōu)點(diǎn)與作用 ： 是一種進(jìn)行實(shí)用性比較的等級(jí)制，能以簡(jiǎn)單方式測(cè)定差異，有助于確 定有關(guān)信息技術(shù)管理、安全性。 是測(cè)量管理處理發(fā)展程度的一種方法，有助于企業(yè)將主要精力投入到 關(guān)鍵的管理方面。 有助于專業(yè)人員向管理層解釋 IT管理存在的缺陷，從而確定組織的發(fā) 展目標(biāo)。 將有助于解決以下在 IT部門中普遍存在的問(wèn)題： （ 1） 在競(jìng)爭(zhēng)激烈的市場(chǎng)環(huán)境中，您的公司或部門在 IT應(yīng)用中處于什么 水平？ （ 2） 如果您認(rèn)為有差距，究竟差在哪里？如何去改進(jìn)？ （ 3） 如果您覺(jué)得運(yùn)作良好，那么您能說(shuō)出好在哪里？好到何種程度？ （ 4） 如何對(duì) IT管理進(jìn)行績(jī)效評(píng)估？ 第二章 IT治理 NANJING AUDIT UNIVERSITY 第七節(jié) 審計(jì) IT治理架構(gòu) 一、審計(jì) IT治理架構(gòu)和實(shí)施 如果一個(gè)企業(yè)信息系統(tǒng)存在以下具有潛在風(fēng)險(xiǎn)的特征：（參見(jiàn) ） 最終用戶態(tài)度不友好； 過(guò)多的成本； 預(yù)算超支； 較高的員工離職率； 缺乏經(jīng)驗(yàn)的員工； 經(jīng)常出現(xiàn)硬件 /軟件故障； 用戶請(qǐng)求被積壓，沒(méi)有得到及時(shí)響應(yīng)； 遲緩的計(jì)算機(jī)相應(yīng)時(shí)間； 大量的廢止或暫停的開(kāi)發(fā)項(xiàng)目； 未受支持或未經(jīng)授權(quán)的硬件 /軟件采購(gòu)； 1 經(jīng)常性的硬件 /軟件升級(jí)； 1 對(duì)例外報(bào)告沒(méi)有采取跟蹤處理措施； 1 缺乏動(dòng)力； 1 缺乏持續(xù)性計(jì)劃； 1 依賴一個(gè)到兩個(gè)關(guān)鍵員工； 1 缺乏充分的培訓(xùn)。 這表明， 該企業(yè)存在 IT治理問(wèn)題，需要建立、改善、提高其 IT治理能力。 如何指出其存在的 IT治理問(wèn)題，以便提出改進(jìn)建議？ 需要： IT治理審計(jì) 第二章 IT治理 NANJING AUDIT UNIVERSITY IT治理審計(jì)的實(shí)施： 審核文擋 文檔包括： 信息技術(shù)戰(zhàn)略、計(jì)劃和預(yù)算； 安全政策文檔； 組織 /職能圖； 工作描述； 指導(dǎo)委員會(huì)報(bào)告； 系統(tǒng)開(kāi)發(fā)和程序變更流程； 操作程序； 人力資源手冊(cè)。 審核要點(diǎn)： 完整、合理、合法合規(guī) 審核目的： 檢查相關(guān)文擋存在哪些問(wèn)題和不足？哪些需要改進(jìn)完善？ 第二章 IT治理 NANJING AUDIT UNIVERSITY 對(duì)被審核文擋進(jìn)行進(jìn)一步評(píng)估 主要包括： 文擋是否如實(shí)反映了管理層的思想，并得到了授權(quán)； 文擋是否適用于當(dāng)前狀況，并能得到及時(shí)更新。 審核目的： 通過(guò)證實(shí)文擋的真實(shí)可靠性、有效性等進(jìn)一步獲取有關(guān)審 計(jì)證據(jù)，以便為對(duì)企業(yè)的 IT治理狀況進(jìn)行分析、評(píng)價(jià)提供 依據(jù)。 現(xiàn)場(chǎng)調(diào)查（面談和觀察） 主要包括： 通過(guò)面談從中了解有關(guān)信息系統(tǒng)的實(shí)際情況； 通過(guò)觀察對(duì)信息系統(tǒng)的真實(shí)情況進(jìn)行證實(shí)、判斷 調(diào)查目的： 證實(shí)文擋與實(shí)際的一致性； 發(fā)現(xiàn)實(shí)際存在問(wèn)題； 進(jìn)一步獲取相關(guān)證據(jù)。 第二章 IT治理 得出結(jié)論，提出審計(jì)建議 依據(jù)： IT治理相關(guān)標(biāo)準(zhǔn)、模型等 企業(yè)戰(zhàn)略目標(biāo)、公司治理目標(biāo)等 NANJING AUDIT UNIVERSITY 二、審核合同 在 IT治理中，做好 IT服務(wù)是一個(gè)關(guān)鍵因素。而服務(wù)的好壞取決于服務(wù) 合同的完備性和有效執(zhí)行。 因此： IT服務(wù)合同審計(jì)是 IT治理審計(jì)的重要內(nèi)容。 IT服務(wù)（計(jì)算機(jī)硬件 /軟件和信息系統(tǒng)服務(wù)）合同審計(jì)涉及： 合同需求的起草 合同競(jìng)價(jià)過(guò)程 合同選擇過(guò)程 合同接受過(guò)程 合同的遵守 合同的維護(hù) 審計(jì)內(nèi)容： 合法性審核、完備性審核、遵循性審核 第八節(jié) 2023全球 IT治理摘要（略） 第二章 IT治理 NANJING AUDIT UNIVERSITY IT治理典型案例： 中國(guó)中化集團(tuán)公司 (以下簡(jiǎn)稱“中化” )是全球財(cái)富 500強(qiáng)企業(yè)。通過(guò)不斷加強(qiáng)對(duì)信息系統(tǒng)的投入，已經(jīng)建立起以 ERP系統(tǒng)為核心，包括內(nèi)部辦公自動(dòng)化系統(tǒng)、分銷管理系統(tǒng)、內(nèi)部門戶等在內(nèi)的企業(yè)信息化平臺(tái)，初步實(shí)現(xiàn)了業(yè)務(wù)流程的自動(dòng)化處理和管理。 目前，中化需要一個(gè)可靠支撐核心業(yè)務(wù)領(lǐng)域運(yùn)作的企業(yè)支撐平臺(tái)，一個(gè)能有效實(shí)現(xiàn)企業(yè)內(nèi)部流程和上下游業(yè)務(wù)伙伴的集成和整合、適應(yīng)市場(chǎng)變化和客戶業(yè)務(wù)需求并進(jìn)行靈活調(diào)整和優(yōu)化的企業(yè)信息系統(tǒng)架構(gòu)。 第二章 IT治理 中石化的做法： 根據(jù)企業(yè)戰(zhàn)略目標(biāo)確定總結(jié)出兩點(diǎn)最重要和緊迫的 IT戰(zhàn)略需求 : 支持業(yè)務(wù)連續(xù)性的基本容災(zāi)能力 。 應(yīng)對(duì)日益復(fù)雜的 IT環(huán)境的基本 IT治理能力，包括 : 可靠的數(shù)據(jù)備份與恢復(fù)能力 。初步的網(wǎng)絡(luò)、系統(tǒng)和存儲(chǔ)監(jiān)控 能力 。 初步的企業(yè)級(jí) IT綜合監(jiān)控臺(tái)。 NANJING AUDIT UNIVERSITY 根據(jù)戰(zhàn)略需求，通過(guò) IT治理，實(shí)現(xiàn)了： 實(shí)現(xiàn)了異地冷備式系統(tǒng)容災(zāi)。信息系統(tǒng)能夠在 20小時(shí)至幾天內(nèi)恢復(fù) 。 提高了數(shù)據(jù)的備份恢復(fù)能力。解決了原備份系統(tǒng)中的空白 。 消除了對(duì)備份恢復(fù)結(jié)果不可知的極大風(fēng)險(xiǎn) 。全面的備份調(diào)度自動(dòng)化， 極大減輕了系統(tǒng)管理員的工作負(fù)擔(dān) 。 構(gòu)建了系統(tǒng)監(jiān)控的基礎(chǔ)設(shè)施。實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)拓?fù)?、事件、性能和資 產(chǎn)的監(jiān)控 。對(duì)主機(jī)、中間件和應(yīng)用的監(jiān)控 。對(duì) DATA、 DlSK和 SAN3的 監(jiān)控 。 具備了初步的綜合監(jiān)控能力。通過(guò)企業(yè)級(jí) IT綜合監(jiān)控臺(tái)，全面掌控 整個(gè)系統(tǒng)的運(yùn)行狀況，并通過(guò)電子郵件和短信等多種手段進(jìn)行通知 和報(bào)警，使 IT系統(tǒng)處于我所用、我所控而非疲于應(yīng)付的良好運(yùn)行狀 態(tài)。 第二章 IT治理 NANJING AUDIT UNIVERSITY 這是一個(gè)非常典型的 IT治理實(shí)施案例： 從解析企業(yè)戰(zhàn)略目標(biāo)入手，抽象出企業(yè) lT治理方面的特定需求，保證了 lT戰(zhàn)略和 企業(yè)戰(zhàn)略的一致性 。 在解決方案階段，注重充分溝通，量體裁衣；在具體實(shí)施階段，除了輔助 工具 (標(biāo)準(zhǔn) +產(chǎn)品 )的使用隨需應(yīng)變這個(gè)亮點(diǎn)外，還導(dǎo)入了定義完整的項(xiàng)目管理方 法，達(dá)到了先進(jìn)的技術(shù)和完善的制度流程共同作用的良性循環(huán)。 第二章 IT治理 它的特點(diǎn)是： 從戰(zhàn)略、流程、技術(shù)等多方面共同推進(jìn)，以適合企業(yè)現(xiàn)狀的 策略為指導(dǎo)，選擇通用的標(biāo)準(zhǔn)和成熟的產(chǎn)品為工具，有針對(duì)性地進(jìn)行 定制化開(kāi)發(fā)，很好地滿足了企業(yè)需要，提升了 IT治理水平，成為國(guó)內(nèi) IT治理建設(shè)方面的典范。 NANJING AUDIT UNIVERSITY 本章習(xí)題： 簡(jiǎn)述 IT治理的主要任務(wù) 針對(duì) IT治理的缺失，如何實(shí)施有效的 IT治理？ 簡(jiǎn)述 CIO在 IT治理中的角色 簡(jiǎn)述度量 IT過(guò)程的主要指標(biāo)及其作用 簡(jiǎn)述 COBIT模型 第二章 IT治理 NANJING AUDIT UNIVERSITY 演講完畢，謝謝觀看！