【正文】 建立內(nèi)部控制準(zhǔn)則以避免內(nèi)部控制和監(jiān)管的失靈； IT問(wèn)題管理、變革管理和配置管理等，是集成和關(guān)聯(lián)的； 建立審計(jì)委員會(huì)。從而描繪重要的、控制的關(guān)鍵成功因素 關(guān)鍵目標(biāo)指標(biāo) KGI 功能： 識(shí)別 IT處理過(guò)程的目標(biāo)。 4個(gè)指標(biāo)： 成熟度模型 CMM，以及關(guān)鍵成功因素 CSF、關(guān)鍵目標(biāo)指標(biāo) KGI、 關(guān)鍵性能指標(biāo) KPI NANJING AUDIT UNIVERSITY 4個(gè)指標(biāo)簡(jiǎn)介： 成熟度模型 CMM 功能： 確定 IT控制的基準(zhǔn)。 交付與支持目標(biāo)： 如何解決系統(tǒng)交付所需的服務(wù)，包括操作安全性、連續(xù) 性、人員培訓(xùn)以及需建立的支持過(guò)程，還包括實(shí)際數(shù)據(jù)處理，通常按 應(yīng)用控制進(jìn)行分類。 NANJING AUDIT UNIVERSITY 采集和實(shí)施目標(biāo)： 為了實(shí)現(xiàn) IT戰(zhàn)略，如何定義、開(kāi)發(fā)、獲取、實(shí)施 IT解決 方案，并把這一方案集成到業(yè)務(wù)過(guò)程中。 提供了： 從信息系統(tǒng)生命周期的四大域確定了 34個(gè)信息技術(shù)處理過(guò)程，每 個(gè)處理過(guò)程包括詳細(xì)的控制目標(biāo)和與控制目標(biāo)相聯(lián)系的審計(jì)指南。 標(biāo)準(zhǔn)包括： 有效性、效率性、機(jī)密性、完整性、可用性、一致性、可靠性等 IT資源維： 描述了 IT治理過(guò)程的主要資源對(duì)象。 該標(biāo)準(zhǔn) 為組織有效的利用信息資源，有效管理、控制與信息相關(guān)的風(fēng)險(xiǎn)提 供指導(dǎo)。 該標(biāo)準(zhǔn) 是國(guó)際公認(rèn)的最先進(jìn)、最權(quán)威的安全與信息技術(shù)管理和控制的標(biāo)準(zhǔn)。 IT投資決策是如何作出的？在決策流程中，投資建議、投資 評(píng)估、批準(zhǔn)投資和區(qū)分優(yōu)先級(jí)是如何進(jìn)行的？ 第二章 IT治理 溝通。 信息系統(tǒng)的管理、規(guī)劃與組織評(píng)價(jià)； 評(píng)價(jià)組 織在技術(shù)與操作基礎(chǔ)設(shè)施的管理和實(shí)施方面的有效性及效率； 對(duì)邏 輯、環(huán)境與信息技術(shù)基礎(chǔ)設(shè)施的安全性進(jìn)行評(píng)價(jià)； 對(duì)災(zāi)難恢復(fù)與業(yè) 務(wù)持續(xù)計(jì)劃評(píng)價(jià)； 對(duì)應(yīng)用系統(tǒng)的開(kāi)發(fā)、獲得、實(shí)施與維護(hù)方面所 采用的方法和流程進(jìn)行評(píng)價(jià)； 業(yè)務(wù)流程評(píng)價(jià)與風(fēng)險(xiǎn)管理評(píng)價(jià)。 負(fù)責(zé)項(xiàng)目的開(kāi)發(fā)與實(shí)施； 負(fù)責(zé)項(xiàng)目技術(shù)指導(dǎo)與實(shí)現(xiàn)； 負(fù)責(zé)信息系統(tǒng)的日常運(yùn)行與維護(hù)； 為業(yè)務(wù)部門(mén)和管理人員提供技術(shù) 服務(wù)支持。管理者的職責(zé)是： 將 IT風(fēng)險(xiǎn)管理責(zé)任和控制落實(shí)到企業(yè)中； 將戰(zhàn)略，策略，目標(biāo)等落實(shí)到企業(yè)日常工作中，并使信息技術(shù)的組織 與企業(yè)目標(biāo)一致； 促進(jìn)信息的創(chuàng)造與共享； 通過(guò)衡量公司業(yè)績(jī)和競(jìng) 爭(zhēng)優(yōu)勢(shì)來(lái)測(cè)度信息技術(shù)的效果 ； 關(guān)注重要的增值的信息技術(shù)過(guò)程； 關(guān)注與規(guī)劃和管理 IT資產(chǎn)、風(fēng)險(xiǎn)、工程項(xiàng)目、客戶和供應(yīng)商相關(guān)的 核心競(jìng)爭(zhēng)能力，等。 維護(hù)客戶滿意度； 向用戶提供培訓(xùn)。 保障 IT基礎(chǔ)設(shè)施和 體系架構(gòu)的運(yùn)行及投資 。 CIO崗位的職責(zé) : 發(fā)起制定、組織完成企業(yè) IT戰(zhàn)略規(guī)劃 。 IT治理委員會(huì)責(zé)任： (1)政策制定； (2)控制 (預(yù)算通過(guò)，項(xiàng)目權(quán) 威，績(jī)效評(píng)價(jià) )； (3)績(jī)效度量和報(bào)告。 （ 2） IT治理委員會(huì)。 第二章 IT治理 第四節(jié) IT治理框架和標(biāo)準(zhǔn) 一、 IT治理框架 構(gòu)建 IT治理架購(gòu)包含三個(gè)方面 : 組織機(jī)構(gòu)、流程、溝通機(jī)制 NANJING AUDIT UNIVERSITY 組織結(jié)構(gòu)。 NANJING AUDIT UNIVERSITY 二、 IT治理缺失的癥狀 各自為政，缺乏統(tǒng)一、全局的 IT戰(zhàn)略規(guī)劃； 信息化建設(shè)領(lǐng)導(dǎo)者錯(cuò)位， IT應(yīng)用方案和企業(yè)業(yè)務(wù)需求之間邏輯錯(cuò)位； 決策的技術(shù)經(jīng)濟(jì)論證不足； 信息資源的合理應(yīng)用是信息化的薄弱環(huán)節(jié)； 利益沖突和信息的不透明； IT安全治理和風(fēng)險(xiǎn)管理缺位； 非技術(shù)性的障礙； 重硬件購(gòu)買，輕軟件和咨詢服務(wù)； 信息化建設(shè)找不到重心。 第二章 IT治理 (4) 學(xué)習(xí)與創(chuàng)新 主要用于評(píng)價(jià) IT組織的技能水平以及持續(xù)學(xué)習(xí)和革新的能力。 NANJING AUDIT UNIVERSITY (3) 內(nèi)部處理過(guò)程 IT內(nèi)部過(guò)程關(guān)注 IT部門(mén) 兩個(gè)基本過(guò)程的改進(jìn)和度量：系統(tǒng)開(kāi)發(fā)過(guò)程以及 系統(tǒng)運(yùn)營(yíng)過(guò)程，此外也關(guān)注其他過(guò)程，如問(wèn)題管理、用戶教育、人員管 理、通信渠道的使用等。 第二章 IT治理 (2) 客戶滿意度； 主要從用戶的視角評(píng)價(jià) IT提供的服務(wù)與支持在滿足用戶方面達(dá)到的水 平。主要從以下幾個(gè)方面衡量： (1) IT價(jià)值貢獻(xiàn)； (2) 客戶滿意度； (3) 內(nèi)部處理過(guò)程； (4) 學(xué)習(xí)與創(chuàng)新。 第二章 IT治理 NANJING AUDIT UNIVERSITY 信息化建設(shè)中的風(fēng)險(xiǎn)管理及評(píng)估流程： 1) 確立可承受的 IT風(fēng)險(xiǎn)損失價(jià)值； 2) IT風(fēng)險(xiǎn)識(shí)別；（ 列舉清單法、專家判斷法、工作分解分析法、信息檢索 法、訪談法、流程圖和魚(yú)刺圖法） 3) IT風(fēng)險(xiǎn)預(yù)測(cè)； 4) IT風(fēng)險(xiǎn)日常管理與控制； 5) IT盈利與損失統(tǒng)計(jì)； 6) 風(fēng)險(xiǎn)再評(píng)級(jí)。 5個(gè) IT關(guān)鍵領(lǐng)域： A、 信息技術(shù)原則； B、 信息技術(shù)結(jié)構(gòu)； C、 信息技術(shù)基礎(chǔ)設(shè)施； D、 企業(yè)應(yīng)用需要； E、 信息技術(shù)投資及優(yōu)先順序。 其中最關(guān)鍵的問(wèn)題是第一點(diǎn)： IT治理應(yīng)體現(xiàn)以“組織戰(zhàn)略目標(biāo)為中心”思想。 根據(jù)以上所確定的 IT建設(shè)內(nèi)容，并形成了該公司的 IT藍(lán)圖（見(jiàn)圖） 第二章 IT治理 NANJING AUDIT UNIVERSITY 發(fā)貨品管理 成本管理 安全管理 訂單管理 配送管理 客戶管理 反向物流管理 第三方管理 呼叫中心 市場(chǎng)分析 人 力 資 源 管 理 、 財(cái) 務(wù) 管 理 協(xié) 同 辦 公 平 臺(tái) 管 理 第二章 IT治理 NANJING AUDIT UNIVERSITY 二、 IT治理的范圍 IT治理范圍可從不同角度劃分： 從治理的組織范圍看： 覆蓋企業(yè)全部范圍，包括最高管理層、執(zhí)行管 理層，乃至虛擬組織、戰(zhàn)略聯(lián)盟，等 從治理的內(nèi)容范圍看： 包括治理目標(biāo)、治理結(jié)構(gòu)、組織的整體戰(zhàn)略、 組織運(yùn)營(yíng)管理、風(fēng)險(xiǎn)與價(jià)值、成本與控制、審計(jì)與監(jiān)督、服務(wù) 標(biāo)準(zhǔn)和規(guī)范等方面的內(nèi)容。 第二章 IT治理 NANJING AUDIT UNIVERSITY 根據(jù)目標(biāo)和問(wèn)題，確定 IT建設(shè)內(nèi)容，即 IT戰(zhàn)略目標(biāo)： (1)聯(lián)網(wǎng)各分散物流點(diǎn)的執(zhí)行系統(tǒng)，由總部統(tǒng)一監(jiān)控與管理； (2)構(gòu)建 JIT配送平臺(tái)，確保零庫(kù)存； (3)采用物流執(zhí)行系統(tǒng)，從而組成完整的訂單，并持續(xù)改進(jìn)客戶的響應(yīng)速 度，同時(shí)，該系統(tǒng)可以幫助客戶將訂單轉(zhuǎn)變成可以發(fā)運(yùn)的品項(xiàng)，從而 降低運(yùn)輸費(fèi)用； (4)完善客戶訂單與發(fā)貨品的追蹤系統(tǒng)，使客戶能夠及時(shí)獲取貨項(xiàng)信息； (5)建立電子商務(wù)平臺(tái)，通過(guò)網(wǎng)絡(luò)實(shí)現(xiàn)配送外協(xié)等合作，提高與供應(yīng)商、 政府部門(mén)之間配合的效率 。 第二章 IT治理 第二節(jié) IT治理的目標(biāo)和范圍 一、 IT治理的目標(biāo) NANJING AUDIT UNIVERSITY IT治理應(yīng)著眼于以下目標(biāo)： 與業(yè)務(wù)目標(biāo)一致 原則： 服從于企業(yè)戰(zhàn)略，不能背離 有效利用信息資源 IT治理的使命： 通過(guò)及時(shí)、有效的 IT治理，促進(jìn)信息的價(jià)值轉(zhuǎn)化 風(fēng)險(xiǎn)管理 通過(guò) IT治理： 構(gòu)建風(fēng)險(xiǎn)管理制度及風(fēng)險(xiǎn)應(yīng)對(duì)決策； 使風(fēng)險(xiǎn)透明化； 有效的風(fēng)險(xiǎn)投資、管理和控制； 風(fēng)險(xiǎn)的防范措施。 公司治理側(cè)重于企業(yè)整體規(guī)劃； IT治理側(cè)重于企業(yè)中信息資源的有效利 用和管理。 公司治理所要解決的問(wèn)題： 如何使企業(yè)參與各方將各自的要素投入企業(yè)并共同實(shí)施行為，塑 造企業(yè)的核心能力、獲取競(jìng)爭(zhēng)優(yōu)勢(shì)并獲得收益；