第二章IT治理与管理

a. it治理

a1. 公司治理

指所有者、经营者和监督者之间通过公司权力机关（股东大会）、经营决策与执行机关（董事会、经理）、监督机关（监事会）而形成权责明确、相互制约、协调运转和科学决策的联系，并依法律、法规、规章和公司章程等规定予以制度化的统一机制；

公司治理强调企业中权力、角色的合理分配和对股东的平等对待；信息披露与透明；董事会的职责；为企业提供合理的战略指南；董事会对管理层进行有效的监督，董事会必须向企业和股东负责。

公司治理框架中一个很重要内容就是要建立内部控制体系管理和报告业务风险。

治理 it治理是一个综合术语，它包括信息系统、技术和通讯，业务、法律相关事务，所有利益相关方、董事会、高级管理层、流程所有人、it**商、用户和审计师。治理有助于确保it和企业目标保持一致。

有效的公司治理注重个人和团队在特定领域中最有效的专门技能和经验。长期以来，仅作为组织战略促进因素的信息技术，现在被看作是整体战略的一部分。ceo、coo、cfo、cio和cto在it与企业目标间能达成战略一致是关键成功因素。

通过经济、有效地使用安全、可靠的信息和应用技术，it治理能有助于实现这个关键成功因素。信息技术对企业的成功是如此重要，因此，不能把其职责放给it管理人员或it专家，而必须得到整个高级管理层的关注。

it治理的定义

itgi：it治理是董事会和最高管理层的职责，是企业治理的重要组成部分。it治理由领导、组织结构以及相关流程组成，这些流程能保证组织的it有效支持及促进组织战略目标的实现。

it治理一般关注两方面的问题：it增加商业价值和it风险得到控制。前者通过使it战略与业务保持一致来达到，后者通过向企业分配责任来驱动。

it治理的关键因素是it与业务保持一致，以实现业务价值。

it治理的主要流程有：it资源管理、绩效测评和合规管理

it治理回答下述问题

在it战略决策中哪些利益相关者有发言权？

谁决定it投资及其优先级顺序？

应当建立哪些it委员会，由什么人组成？其职责是什么？向谁报告？

cio的角色和职责有哪些？

如何控制it使其满足业务需求？

如何评价it职能的绩效？

it治理的目标

指导it工作，确保it绩效满足it目标、符合企业目标要求，实现预期利润

帮助企业开拓商机，实现利益最大化

充分利用it资源

适当控制it相关风险

it治理与公司治理

公司治理主要关注利益相关者权益和管理，包括一系列责任和条例，由最高管理层（董事会）和执行管理层实施；

公司治理目的是提供战略方向，保证目标能够实现，风险适当管理，企业资源合理使用；

it治理是公司治理的重要组成部分，是董事会或最高管理层的责任；

it治理由领导、组织结构以及相关流程组成，这些流程能保证组织的it能有效支持及促进组织战略目标的实现，同时控制风险、降低成本、提高绩效。

公司治理可以驱动和调整it 治理，同时，it 能够为公司治理提供关键的输入，形成战略计划的一个重要组成部分

公司治理和it 治理都是“他律”机制，是如何“管好管理者”的机制，其目标也是一致的：达到业务持续运营，并增加组织的长期获利机会。

it治理与it管理

it 管理是公司的信息及信息系统的运营，确定it 目标以及实现此目标所采取的行动。

而it 治理是指最高管理层（董事会）利用它来监督管理层在it 战略上的过程、结构和联系，以确保这种运营处于正确的轨道之上。简言之，是“对管理的管理”

it 管理就是在既定的it 治理模式下，管理层为实现公司的目标而采取的行动。

缺乏良好it 治理模式的公司，即使有“很好”的it 管理体系（而这实际上是不可能的），就像一座地基不牢固的大厦

同样，没有公司it 管理体系的畅通，单纯的治理模式也只能是一个美好的蓝图，而缺乏实际的内容。

it治理的层次

在企业战略层上

it治理要与公司治理结构、企业战略规划进行集成，使it治理作为公司治理的一部分；

在治理结构上体现it的位置与作用，使it议题要进入董事会（或者是监事会、最高管理当局）下的战略委员会、审计委员会、安全委员会；

董事会要确保it的执行与监管分开，监管机制要独立并持续运行、沟通与反馈机制要持续有效；

it治理要求向董事会和最高管理层分配职责，并要求其完成一系列活动。

在企业战术面上

虽然it治理集中在董事会最高管理层，但由于it治理的复杂性和专业性，治理层必须依赖企业在战术层面上提供必要的控制框架来保证治理职责的落实；

为了保证it与业务目标一致，充分利用有限的it资源，提高绩效，降低风险与控制成本，按照国际普遍接受的企业内部控制标准，在战术层面建立有效的it控制框架并监督实施。

– cobit、itil、iso17799

– 需求识别、数据标准化、项目管理… …

it治理域

一些著名的机构(gartner、csc、aicpa/cica、cio magazine ）通过调查认为最受it管理层关注的问题，已经从技术领域逐渐转向管理相关领域；

这些问题可以归结为五个it治理域：战略一致、价值交付、风险管理、资源管理和绩效考评，其中有两个核心，一是it要向业务交付价值，二是降低风险。前者由it与业务的战略一致驱动，后者由企业内部建立的责任分工驱动；

这两者都需要获得足够的资源并进行绩效考评，以保证获得预期的结果；

这五个域都受利益相关者价值驱动，其中价值交付、降低风险是结果，战略一致绩效考评是驱动力，it资源管理为治理提供支持。

五个it治理域：

战略一致- 强调it与业务保持一致，提供协调的解决方案。

价值交付- 确保it实现了预期战略收益，集中关注成本的优化，提供it的固有价值。

风险管理- 将风险管理职责嵌入组织中，包括it资产的保护、灾难恢复和业务连续性。

资源管理- 对it资源（应用系统、信息、基础设施和人员）的优化投资并适当管理，关键问题在于知识和基础设施的优化。

绩效考评- 追踪并监控战略实施、资源使用、流程绩效、服务交付以及诸如平衡记分卡的使用等，监督it服务质量。没有绩效测量就无法对以上四个域进行有效管理。

it治理的关键因素

it治理的关键因素就是要使it与业务融合，以实现组织的业务价值。通过it治理框架和最佳实践的应用，在组织内促成目标实现。it治理框架和最佳实践是由一系列组织结构、流程及相关机制组成。

关键的it治理因素包括：it战略委员会、风险管理和标准it平衡记分卡。

审计师在it治理中的职责

审计是组织成功实施it治理的一个重要角色，对于向高级管理层提供建议，帮助改善it治理质量和效果而言，审计处在最佳的位置；

通过引入审计师独立的、中立的观点，可以对it治理绩进行持续有效的监督、分析、评估，以指导与改进与it治理相关的it过程；

is审计师的要对it治理的各个方面进行评估。

is职能与组织使命、愿景、价值、目标和战略的一致性

法律、环境、信息质量、委托、安全和隐私方面的要求

组织的控制环境

is环境的固有风险

战略委员会

是董事会实施其it治理目标的重要机制，一般隶属于董事会，由董事会成员及非董事会成员组成，它主要职责是协助董事会治理和监督企业的it相关事务；

it战略委员会应当保证在组织中以结构化的方式来实施it治理，而且董事会可以获得足够的信息来实现it治理的最终目标。

组织在执行经理层设置it指导委员会来处理关系到整个组织的it事务，比如：追踪it投资、设定项目优先级、分配it资源等。

指导委员会职责分析表是cisa应当掌握的知识

平衡记分卡（bsc）

绩效测评是企业管理中的重要因素，没有绩效测评就无法对业务进行有效管理，但随着企业创造价值的方式由有形资产逐渐转向无形资产，对无形资产的衡量，不能采用传统的针对有形资产的财务数据方式；

平衡记分卡是目前企业管理中较流行的绩效测量工具，它可以把企业战略转化为实际的行为，从而实现企业目标；

这种绩效测评系统超出了传统的财务记帐方式，它不仅衡量财务数据，还要对业务过程与基于知识的资产等方面进行测评，在顾客满意度、内部流程和创新能力等方面进行了补充，组成了财务、客户、过程和学习四个视角。

标准it平衡记分卡是cisa应当掌握的内容。

平衡记分卡的四个视角：

财务视角—为使股东满意，我们需要达到什么样的财务目标？

客户视角—为实现财务目标，我们需要服务什么样的客户？

过程视角—为了提高客户和利益相关者的满意度，我们需要建立什么样的内部业务过程？

学习视角—为了达成目标，组织应当如何学习与创新？

为了把平衡记分卡应用于it，还应使用一个三层构架来描述其四个方面的评价要素：

使命成为首选的信息系统**商

经济、有效地交付it应用系统和服务

it投资能获得一个合理的业务回报

抓住机遇应对未来挑战

战略开发良好的应用系统与运营

建立用户伙伴关系和良好的客户服务

提高服务水平，优化**结构

控制it费用

为it项目赋于业务价值

第二章IT治理与管理

第二章管理与环境

第二章组织与职位管理

第二章管理

其他用户还读了