IT治理(陈伟)

-1-IT治理陈伟第三届北大CIO班chenwei@ciotimes.com-2-企业管理模式企业在确认自身战略目标的基础上，对组织架构、业务流程、以及业绩评估三个元素进行整合，并取得信息技术的充分配合与支持，才能全面提升管理水平。经营战略信息技术业绩评估业务流程组织架构环环市场境境业行一、从企业风险管理到IT风险控制-3-企业管理常见风险战略定位不明组织架构紊乱业务流程松散激励机制不足信息技术缺乏资金管理低效对企业实施风险管理目标：企业风险管理的目标是控制企业的风险，保护企业的核心竞争力，风险管理是未来企业发展的主旋律。-4-企业风险管理的背景2002年美国国会发布了SOX《萨班斯—奥克斯利法案》要求所有上市公司都必须建立有效的内部控制框架。2004年9月30日中国银监会发布了《商业银行内部控制评价办法》，2006年银监会发布《电子银行业务管理办法》、《电子银行安全评估指引》、《银行业金融机构信息系统风险管理指引》和《银行业金融机构内部审计指引》。2006年6月国资委发布《中央企业全面风险管理》；2006年6月5日，上海证券交易所发布了《上海证券交易所上市公司内部控制指引》；2006年9月28日深交所发布《深圳证券交易所上市公司内部控制指引》财政部近日发起成立企业内部控制标准委员会，其目的是为推动企业完善治理结构和内部约束机制，中国式的SOX法即将出台。-5-企业风险管理框架（COSO）目标：从各种角度来考虑因素：从相联的各种过程来考虑地点：在组织的各个层次考虑-6-COSO风险管理框架的启发要站在企业管理者的角度来看待风险，企业风险是由包括IT风险在内的其他风险组合而成。强调“人”的重要性，组织中的每一个人对风险管理都负有责任；强调“软控制”的作用。“软控制”主要指那些属于精神层面的事物，如高级管理阶层的管理风格、管理哲学、企业文化、内部控制意识等，“软控制”影响人的行为。强调风险管理是一个“动态过程”，风险管理是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的PDCA过程。明确指出内部控制只能做到“合理”保证，目标达成的可能性受许多先天条件不足及各种“不确定性”的影响。没有不花钱的内部控制，也不存在完美无缺的内部控制。-7-企业风险管理组成结构风险管理策略组织对风险的态度，对风险管理的承诺风险控制过程组织具体管理风险步骤、做法及工具风险管理基础组织内支持风险管理的人员、组织、技术等，来协助驱动风险管理风险模型举例-8-IT风险控制是企业风险管理中的重要组成部分公司层控制应用层控制基础层控制IT控制层COSO控制框架ISMS、ITSM、BCP、CMMI、……-9-IT面临哪些风险与挑战？在信息与信息系统上的投资规模与成本都在不断扩大，高投入带来了高风险；企业对IT系统的依赖性越来越强的同时，面临不断增多的系统薄弱性和各种各样的威胁，IT系统的停机将造成业务受到巨大损失、声誉下降、竞争优势丧失；IT应用与业务需求之间逻辑错位，IT设施最后成了摆设，IT建设缺乏绩效评估机制；IT项目的高失败率，使得企业无法实现其预期的创新与利益，不能实现对IT的投资回报，或者不通对投资回报进行测量；不断发展的科技潜力显著地改变组织形式与商业模型，在创造出新的机遇并降低了成本的同时，也使得商业竞争不断加剧;……ERP失败案例交易失误-10-信息系统风险的类型IT治理风险－信息化建设仍然属于“人治时代”，信息化的随意性较大，企业还没有就信息化形成相关的制度。IT可用性风险－业务对IT不断增强的依赖性和脆弱的基础设施及管理流程，使得IT系统的停机对组织的业务造成巨大损失、声誉下降、竞争优势丧失。信息安全风险－技术的发展及互联网的便利性，使得信息安全形势日益严峻，黑客攻击频繁、病毒泛滥，造成许多商业网站、政府网站被入侵，虚拟资金被盗，敏感机密信息被泄露。IT绩效风险－如果规划不当、控制不严，IT系统不能带来预期的业务价值，巨额的信息化投入很可能造成新一轮的“投资黑洞”。合规性风险－法律、法规对IT的监管要求越来越严格，不能符合合规性要求将使企业面临较大的风险。-11-控制信息化的风险需要制度与管理创新决定信息系统是否有效运转的决定因素不是信息技术，而是制度、组织结构、规则与标准，最终是人。信息化需要合理有效的制度安排，建立良好的管理控制体系是企业信息系统建设成功的重要保证。应该逐步完善企业的IT治理机制，实现IT与战略、管理、业务运营、信息安全的深度融合。这样一方面使信息系统为企业创造价值并保护持续性，另一方面控制信息化的风险与降低成本。构筑信息时代新的“游戏规则”，“规则”是“游戏”是重要组成部分。信息化最大的风险：控制制度--治理机制的缺失-12-建立PDCA的风险控制体系设定风险管理流程目的及目标共同语言结构决策资料订立策略避免利用接受转移减低评估风险验明来源量度不断的改善管理能力设计或引进管理能力监察风险管理表现用制度体系来建立风险控制框架-13-完善IT治理结构业务需求识别业务建模符合控制标准？为业务目标持续提供价值数据标准化调整获取与实施交付与支持计划与组织监控IT服务管理信息安全管理是否反馈信息系统审计IT建设业务调查IT项目管理与监理企业战略规划业务流程优化绩效评估体系组织结构调整IT规划IT相关？是否IT控制IT过程业务控制IT信息流IT控制流图例：业务领域IT领域IT绩效测量IT资源协同其他措施...应急计划IT风险的控制框架战略层IT治理ISMS战术层IT治理-14-你的组织是如何治理IT的？各种回答--“什么是IT治理?以前没有听说过。它有具体的概念和定义吗?”“是不是公司治理?它与公司治理有区别吗?”--“IT工作一直是公司战略中的重点，具体的工作我不太清楚,分管副总知道。”--“我们公司老板舍得花钱，老板说了：只要系统不出事，要人给人，要钱给钱！”“公司非常重视IT,老板亲自抓!技术人员地位很高,常常参与公司的高层决策。”--“我们每年年处都制订很好的IT计划，按计划执行就行，年终再检查。”--“技术开发，基本上都依靠外包。能搞掂就继续合同，出问题就换一家……”--“公司很少讨论IT治理，系统只要不出事就好，出事了技术主管就麻烦大了！”……二、战略层的IT治理反映出的问题（1）IT资源在公司的战略资产中地位受到一定的重视，但是具体情况不清楚；（2）缺乏IT治理明确的概念描述和参数指标；（3）IT治理需要的明确责任与职能不清晰。-15-IT治理的重要作用没有良好的IT治理结构和持之以恒的评估反馈机制，IT资源无法成为公司的有效战略资产，甚至成为巨大的资源损耗。在采用相同战略目标的情况下，具有良好IT治理的企业，其利润要比那些治理低下的企业高出20%。而对世界范围内250家企业的调查表明，只有38%的高级主管能够精确描述他们的IT治理。－引自彼得.维尔和珍妮.罗斯的IT治理研究-16-什么IT治理？德勤定义如下:IT治理是一个含义广泛的术语，包括信息系统、技术、通讯、商业、所有利益相关者、合法性和其他问题。其主要任务是：保持IT与业务目标一致，推动业务发展，促使收益最大化，合理利用IT资源，IT相关风险的适当管理。ISACA定义：IT治理是一个由关系和过程所构成的体制，用于指导和控制企业，通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。-17-IT治理可以分为五个域二个核心：一是IT要向业务提交价值，二是降低风险。前者由IT与业务的战略一致性驱动，后者由企业内部建立的责任驱动；这两者都需要获得足够的资源并进行绩效测量，以保证获得预期结果。-18-IT治理风险在战略层面和战术层面的表现战略层面—IT原则、架构、基础设施、应用需求及IT投资的决策权归属及责任担当框架的建立。战术层面—利用国际认可的最佳实施规范建立IT控制框架。IT治理成熟度-19-IT治理的战略层面在企业战略层面上，要综合公司治理结构、企业战略规划，使IT治理作为公司治理的一部分，在治理结构上体现IT的位置与作用。建立有效确定IT决策权归属和责任分配的框架，包括有效的治理制度安排与治理机制的设计。企业战略和组织IT组织和期望行为关系治理安排实物治理安排人力资源治理安排知识产权治理安排财务治理安排IT治理安排IT治理机制IT决策业务绩效目标IT度量指标和责任协调什么？如何协调？IT治理设计框架-20-战略层面的IT治理要解决的问题：♦为了保证有效地管理与使用IT，应当做出怎样的决策；♦谁来做出这些决策？♦如何做出决策及对决策进行监控？-21-（一）五种关键的IT决策IT原则的决策高层关于企业如何使用IT的陈述IT架构决策组织从一系列政策、关系以及技术选择中捕获的数据、应用和基础设施的逻辑，以达到预期的商业、技术的标准化和一体化IT基础设施决策集中协调、共享IT服务可以给企业的IT能力提供基础IT投资和优先顺序决策关于应该在IT的哪些方面投资以及投资多少的决策。包括项目的审批和论证技术业务应用需求决策为购买或内部开发IT应用确定业务需求-22-IT原则对于IT在该企业如何运用的一系列最高陈述。IT原则一旦清晰地表述出来，就成了企业管理要素中的一部分，可以被讨论、修改和引用。IT原则至少要阐述三个对IT的预期：♦企业期望的运行模式是什么？♦IT如何支持期望的运行模式？♦组织中如何资助IT？-23-IT架构指导IT投资和设计决策的IT框架，是建立企业信息系统的综合蓝图，是对企业不同的信息视图进行架构描述的综合。-24-IT基础设施IT基础设施是所有业务规划的有效IT能力（技术和人力）的基础，是共享、可靠的服务，可用于多个应用。IT基础设施变化频繁的业务应用系统共享的、标准的应用，变化较少，例如：会计系统、HRM、ERP等长时间保持稳定的服务，例如共享的客户数据加管理、PC/LAN知识、技能、政策、标准和经验约束组件等人务基础组织计算机、路由器、操作系统、数据库软件、信用卡机等日常设备-25-IT基础设施的10个能力群-26-业务应用需求业务需求是促进IT发展的源动力，准确、及时地识别组织的业务需求，并使之成为信息化建设与调整的依据，这是降低IT风险的可靠保证。需求识别的困难性-27-战略规划计划预算项目投资绩效管理企业运营：生产、管理、控制对战术层的支持对战略层的支持如何增强企业核心竞争力？如何寻找新的利润增长点？如何促进企业成长为知识型、学习型的组织？如何建立有效的企业风险控制机制？信息技术进一步为业务创造新的价值不同层次的业务需求招商银行的IT扛杆作用-28-IT投资和优先顺序决策IT投资决策要解决的问题♦IT要花多少钱？♦把钱花在什么上面？♦如何协调不同投资者的需求？IT投资决策的依据♦考虑日常运维的支撑需要和企业的发展战略的推动需要♦投资合理性论证和计划♦为投资寻求支持♦企业范围内的IT体系架构♦回顾每年的实际开销♦对预算所做修正案的审查-29-IT投资预算和项目优先级排列的一般过程形成IT预算报告-30-（二）决策权分配的IT治理原型决策的制定者：按照政治治理模式选择较接近的IT治理制度安排；成立IT治理委员会，定期召开会议，就企业战略与IT战略的互动、IT原则、IT架构、IT投资等等议题进行讨论并做出决策。模型谁拥有决策权或输入权？业务君主制一群业务主管或者单个主管（CXOs）。包括高级业务主管委员会（可能包括CIO）。不包括独立设备的IT主管。IT君主制一个或一群IT主管。封建制业务单位领导，关键流程负责人或其代表。联邦制核心级主管和业务团队（例如，业务单位或流程）；可能也包括作为额外参与者的IT主管。相当于中央政府和州政府的协同工作方式。IT双寡头制IT主管和其他团队（如CxO或业务单位或流程负责人）。无政府制每一个单独的使用者。-31-公司高级管理层公司IT经理或业务部门IT经理业务部门领导或关键业务流程拥有者业务君主