第二章 IT治理与管理 CISA.doc

第二章 IT 治理与管理A. IT 治理  A1. 公司治理 指所有者、经营者和监督者之间通过公司权力机关（股东大会） 、经营决策与执行机关（董事会、经理） 、监督机关（监事会）而形成权责明确、相互制约、协调运转和科学决策的联系，并依法律、法规、规章和公司章程等规定予以制度化的统一机制； 公司治理强调企业中权力、角色的合理分配和对股东的平等对待；信息披露与透明；董事会的职责；为企业提供合理的战略指南；董事会对管理层进行有效的监督，董事会必须向企业和股东负责 公司治理框架中一个很重要内容就是要建立内部控制体系管理和报告业务风险A2.IT 治理 IT 治理是一个综合术语，它包括信息系统、技术和通讯，业务、法律相关事务，所有利益相关方、董事会、高级管理层、流程所有人、IT 供应商、用户和审计师治理有助于确保 IT 和企业目标保持一致有效的公司治理注重个人和团队在特定领域中最有效的专门技能和经验长期以来，仅作为组织战略促进因素的信息技术，现在被看作是整体战略的一部分CEO、COO、CFO、CIO 和 CTO 在 IT 与企业目标间能达成战略一致是关键成功因素通过经济、有效地使 用安全、可靠的信息和应用技术，IT 治理能有助于实现这个关键成功因素。

信息技术对企业的成功是如此重要，因此，不能把其职责放给IT 管理人员或 IT 专家，而必须得到整个高级管理层的关注 IT 治理的定义 ITGI： IT 治理是董事会和最高管理层的职责，是企业治理的重要组成部分IT 治理由领导、组织结构以及相关流程组成，这些流程能保证组织的 IT 有效支持及促进组织战略目标的实现 IT 治理一般关注两方面的问题：IT 增加商业价值和 IT 风险得到控制前者通过使 IT 战略与业务保持一致来达到，后者通过向企业分配责任来驱动 IT 治理的关键因素是 IT 与业务保持一致，以实现业务价值 IT 治理的主要流程有：IT 资源管理、绩效测评和合规管理 IT 治理回答下述问题 在 IT 战略决策中哪些利益相关者有发言权？ 谁决定 IT 投资及其优先级顺序？应当建立哪些 IT 委员会，由什么人组成？其职责是什么？向谁报告？ CIO 的角色和职责有哪些？ 如何控制 IT 使其满足业务需求？ 如何评价 IT 职能的绩效？ IT 治理的目标 指导 IT 工作，确保 IT 绩效满足 IT 目标、符合企业目标要求，实现预期利润 帮助企业开拓商机，实现利益最大化 充分利用 IT 资源 适当控制 IT 相关风险  IT 治理与公司治理 公司治理主要关注利益相关者权益和管理，包括一系列责任和条例，由最高管理层（董事会）和执行管理层实施； 公司治理目的是提供战略方向，保证目标能够实现，风险适当管理，企业资源合理使用； IT 治理是公司治理的重要组成部分，是董事会或最高管理层的责任； IT 治理由领导、组织结构以及相关流程组成，这些流程能保证组织的 IT 能有效支持及促进组织战略目标的实现，同时控制风险、降低成本、提高绩效。

公司治理可以驱动和调整 IT 治理，同时，IT 能够为公司治理提供关键的输入，形成战略计划的一个重要组成部分 公司治理和 IT 治理都是“他律”机制，是如何“管好管理者”的机制，其目标也是一致的：达到业务持续运营，并增加组织的长期获利机会 IT 治理与 IT 管理 IT 管理是公司的信息及信息系统的运营，确定 IT 目标以及实现此目标所采取的行动而 IT 治理是指最高管理层（董事会）利用它来监督管理层在 IT 战略上的过程、结构和联系，以确保这种运营处于正确的轨道之上简言之，是“对管理的管理” IT 管理就是在既定的 IT 治理模式下，管理层为实现公司的目标而采取的行动缺乏良好 IT 治理模式的公司，即使有“很好”的 IT 管理体系（而这实际上是不可能的） ，就像一座地基不牢固的大厦 同样，没有公司 IT 管理体系的畅通，单纯的治理模式也只能是一个美好的蓝图，而缺乏实际的内容IT 治理的层次 在企业战略层上 ♦IT 治理要与公司治理结构、企业战略规划进行集成，使 IT 治理作为公司治理的一部分； ♦在治理结构上体现 IT 的位置与作用，使 IT 议题要进入董事会（或者是监事会、最高管理当局）下的战略委员会、审计委员会、安全委员会； ♦董事会要确保 IT 的执行与监管分开，监管机制要独立并持续运行、沟通与反馈机制要持续有效；♦IT 治理要求向董事会和最高管理层分配职责，并要求其完成一系列活动。

在企业战术面上 ♦虽然 IT 治理集中在董事会最高管理层，但由于 IT 治理的复杂性和专业性，治理层必须依赖企业在战术层面上提供必要的控制框架来保证治理职责的落实； ♦为了保证 IT 与业务目标一致，充分利用有限的 IT 资源，提高绩效，降低风险与控制成本，按照国际普遍接受的企业内部控制标准，在战术层面建立有效的 IT 控制框架并监督实施 – COBIT、ITIL、ISO17799 – 需求识别、数据标准化、项目管理… … IT 治理域 一些著名的机构(Gartner 、CSC、AICPA/CICA、CIO Magazine ）通过调查认为最受 IT 管理层关注的问题，已经从技术领域逐渐转向管理相关领域； 这些问题可以归结为五个 IT 治理域：战略一致、价值交付、风险管理、资源管理和绩效考评，其中有两个核心，一是 IT 要向业务交付价值，二是降低风险前者由 IT 与业务的战略一致驱动，后者由企业内部建立的责任分工驱动； 这两者都需要获得足够的资源并进行绩效考评，以保证获得预期的结果； 这五个域都受利益相关者价值驱动，其中价值交付、降低风险是结果，战略一致绩效考评是驱动力，IT 资源管理为治理提供支持。

五个 IT 治理域： ♦战略一致- 强调 IT 与业务保持一致，提供协调的解决方案 ♦价值交付- 确保 IT 实现了预期战略收益，集中关注成本的优化，提供 IT 的固有价值 ♦风险管理- 将风险管理职责嵌入组织中，包括 IT 资产的保护、灾难恢复和业务连续性 ♦资源管理- 对 IT 资源（应用系统、信息、基础设施和人员）的优化投资并适当管理，关键问题在于知识和基础设施的优化 ♦绩效考评- 追踪并监控战略实施、资源使用、流程绩效、服务交付以及诸如平衡记分卡的使用等，监督 IT 服务质量没有绩效测量就无法对以上四个域进行有效管理 IT 治理的关键因素 IT 治理的关键因素就是要使 IT 与业务融合，以实现组织的业务价值通过 IT 治理框架和最佳实践的应用，在组织内促成目标实现IT 治理框架和最佳实践是由一系列组织结构、流程及相关机制组成 关键的 IT 治理因素包括：IT 战略委员会、风险管理和标准 IT 平衡记分卡 审计师在 IT 治理中的职责 审计是组织成功实施 IT 治理的一个重要角色，对于向高级管理层提供建议，帮助改善 IT 治理质量和效果而言，审计处在最佳的位置； 通过引入审计师独立的、中立的观点，可以对 IT 治理绩进行持续有效的监督、分析、评估，以指导与改进与 IT 治理相关的 IT 过程； IS 审计师的要对 IT 治理的各个方面进行评估♦IS 职能与组织使命、愿景、价值、目标和战略的一致性 ♦法律、环境、信息质量、委托、安全和隐私方面的要求 ♦组织的控制环境 ♦IS 环境的固有风险  A3.IT 战略委员会 是董事会实施其 IT 治理目标的重要机制，一般隶属于董事会，由董事会成员及非董事会成员组成，它主要职责是协助董事会治理和监督企业的 IT 相关事务; IT 战略委员会应当保证在组织中以结构化的方式来实施 IT 治理，而且董事会可以获得足够的信息来实现 IT 治理的最终目标。

组织在执行经理层设置 IT 指导委员会来处理关系到整个组织的 IT 事务，比如：追踪 IT 投资、设定项目优先级、分配 IT 资源等 指导委员会职责分析表是 CISA 应当掌握的知识  A4.IT 平衡记分卡（BSC） 绩效测评是企业管理中的重要因素，没有绩效测评就无法对业务进行有效管理，但随着企业创造价值的方式由有形资产逐渐转向无形资产，对无形资产的衡量，不能采用传统的针对有形资产的财务数据方式； 平衡记分卡是目前企业管理中较流行的绩效测量工具，它可以把企业战略转化为实际的行为，从而实现企业目标； 这种绩效测评系统超出了传统的财务记帐方式，它不仅衡量财务数据，还要对业务过程与基于知识的资产等方面进行测评，在顾客满意度、内部流程和创新能力等方面进行了补充，组成了财务、客户、过程和学习四个视角 标准 IT 平衡记分卡是 CISA 应当掌握的内容 平衡记分卡的四个视角： ♦财务视角—为使股东满意，我们需要达到什么样的财务目标？ ♦客户视角—为实现财务目标，我们需要服务什么样的客户？ ♦过程视角—为了提高客户和利益相关者的满意度，我们需要建立什么样的内部业务过程？ ♦学习视角—为了达成目标，组织应当如何学习与创新？ 为了把平衡记分卡应用于 IT，还应使用一个三层构架来描述其四个方面的评价要素： 使命 ♦成为首选的信息系统供应商 ♦经济、有效地交付 IT 应用系统和服务 ♦IT 投资能获得一个合理的业务回报 ♦抓住机遇应对未来挑战 战略 ♦开发良好的应用系统与运营 ♦建立用户伙伴关系和良好的客户服务 ♦提高服务水平，优化价格结构 ♦控制 IT 费用 ♦为 IT 项目赋于业务价值 ♦提供新的业务能力 ♦培训和教育 IT 职员，追求卓越 ♦为研究和开发提供支持 措施 ♦提供一套稳定的指标（如 KPI ）来指导面向业务的 IT 决策  IT 平衡记分卡实例 ♦是协调董事会和管理层实现 IT 与业务融合最有效的方法；♦ 目标就是通过建立一种面向董事会的管理报告工具，使利益相关者在 IT 战略目标上达成一致，以表明 IT 的有效性和增值性，同时便于组织在 IT 绩效、风险和能力方面进行沟通。

A5. 信息安全治理 信息可以定义为“具有特定意义和目标的数据” 信息在我们当今的生活中发挥着越来越重要的作用，已成为所有组织业务活动中不可缺少的组成部分，越来越多的公司已将信息作为其主营业务，如Google、eBay、Microsoft、网易等当今已很难找到不接触信息技术的企业，随着全球网络互联时代的到来，在企业突破其传统边界向虚拟世界不断扩展的背景下，信息安全己成为重要的治理问题而出现在我们面前 信息犯罪和恶意行为已成为越来越多的高级犯罪分子的选择恐怖分子和其他敌对社会的人也使用 IT技术来宣扬他们的观点并传播其恐怖行为 信息安全治理具有特定的价值驱动：信息的完整性、服务的持续和信息资产的保护 IT 安全定位于安全技术，通常由 CIO 级别的人推动；信息安全着眼于信息所涉及的风险、收益和流程，必须由执行管理层和董事会的支持，信息安全治理是董事会和执行经理的职责 信息安全治理能带来的收益 ♦落实在向公众或监管部门提供不准确信息，在保护隐私信息（如泄露信用卡或其他敏感客户信息）中未保持应有的谨慎等方面，组织及其管理者应当承担的公民或法律责任 ♦提供对政策和标准的符合性保证 ♦通过降低风险至既定的可接受水平，减少业务运营的不确定性，提高可预见性 ♦为有限的安全资源的最优化分配提供结构和框架 ♦为关键决策不基于错误信息提供适当水平的保证 ♦为风险管理、流程改善和事件快速响应的效果与效率提供一个。