信息技术 IT治理框架A3.pdf

IT 治理治理框架框架 陈伟 一一、信息化信息化面临的面临的风险风险 九十年代以来，信息技术得到了快速的发展和广泛的应用，信息化已成为全 球经济社会发展的显著特征，并逐步向一场全方位的社会变革演进。当前，信息 技术己深入到各行各业， 甚至影响并改变着普通百姓的生活方式，信息资源也日 益成为重要生产要素、无形资产和社会财富。 由于国内经济的持续增长为信息化提供了良好的外部环境和充足的投入资 金， 各行各业的信息化呈现出一派欣欣向荣的景象， 我国信息化在推行电子政务、 振兴软件产业、加强信息安全保障、加强信息资源开发利用、加快发展电子商务 等方面取得了可喜的进展。 同时，信息化的应用也有力地推动了中国的经济持续 增长、产业的升级、竞争力的提高，信息化与经济发展形成了良性循环。 从二十多年的信息化实践来看，目前我国的信息化正处在一个由初级水平的 投入期，向中高级水平的见效期过渡的关键时期，信息化的重点己从注重对行业 和企业的覆盖， 注重硬件产品的配备， 逐步过渡到强调整合和开发利用信息资源， 对客户需求做出快速反应，提高应用水平和服务质量，使组织的价值最大化。在 这一阶段信息化的机会与风险并存，许多以前还没有涉及的深层次问题都会一一 暴露出来，这将考验我们是否已经做好必要的思想准备和采取有效的应当措施。 IT 决策决策风险风险 中国的信息化建设仍然属于人治时代，信息化的随意性较大，企业还没有 就信息化形成相关的制度，缺少对信息化进行整体规划、实施与控制的决策机制 和责任担当框架。信息化成功与否往往在很大程度上取决于最高管理层对信息化 的理解和个人领导力的大小的影响，这种不确定性增加了组织的信息化风险，这 是 IT决策风险的体现。 组织在信息化过程中所涉及 IT 规划、实施、运行、检查的一系统 IT 流程， 缺乏制度化与标准化的约束，缺乏部门之间及流程之间协调、沟通的机制，造成 IT 系统与业务需求的“逻辑错位” ，同时也造成了一个个的 信息“孤岛” ，这是 IT 决策风险的微观体现。如何在组织中建立较完善的 IT 治理机制，使信息化的 决策与实施成为组织中的一种完善的制度存在，己是迫切地摆在我们面前的任 务。 ITIT 规划与架构风险规划与架构风险 随着 IT 应用的深入，IT 与业务的关联越来越紧密，但 IT 也面临着越来越多 的问题，如业务与 IT 的鸿沟、适应变革的灵活性差、技术体系复杂混乱、技术 标准不兼容、技术系统互操作性差、系统安全脆弱、IIT 系统管理不规范等。产 生这些问题的一个重要原因是， IT 建设缺乏从组织角度出发的总体规划和架构设 计。往往是业务部门提出不同的需求，IT 部门以不同的服务器、软件平台和数据 库去满足业务需求，企业得到的是一个个条块化的 IT架构。 应该说，每个企业都有自己的 IT 架构，但这种自然发生的 IT 架构显得混乱 和复杂，成为 IT 支持业务发展的累赘，将导致企业的 IT战略方向及 IT 具体实现 上存在巨大风险。 有效的 IT 规划可以将组织战略目标转化为 IT 系统的战略目标的过程， 是现 代企业的战略规划的重要组成部分，是企业商业模式创新的最好机会，是企业管 理系统变革的准备和前奏。 在总体规划的指导下，需要进行企业的整体 IT 架构设计，IT 架构由应用、 数据、技术架构构成，架构为 IT 标准化提供了依据和框架，有力地指导 IT 标准 化的工作。IT 标准化是架构应用的手段，是架构“ 落地” 的工具，同时，在标准化 过程中整个架构逐步完善。 ITIT 项目管理风险项目管理风险 由于 IT 项目所处的环境和条件本身的不确定性和项目利益相关方在主观上 不能准确预见或控制的影响因素，使项目的最终结果与项目相关利益主体的期望 产生背离，从而给项目当事者带来损失。 IT 项目失败主要表现在时间、费用、质量三个方面。 IT 项目的高失败率， 使得企业无法实现其预期的创新与利益，不能实现对 IT 的投资回报，或者不通 对投资回报进行测量。 Standish Group2004 年度对美国 IT 项目的评估报告表明，所有的项目中， 被认为成功的项目仅占 29%， 其余的绝大多数要么是预算超支， 要么是项目延期。 项目的超支率平 均为原预算的 56%，而平均延期时间更是达到了预定工期的 84%。中国的 IT 高管中有 76都认为在过去两年中，他们实施成功的 IT 项目只 有不到 50 。 ITIT 基础设施风险基础设施风险 随着 IT 技术的高速发展，IT 平台（如硬件、网络、系统）的复杂性越来越 高，各种系统漏洞层出不穷，并面临着不断增多的各种各样的威胁，频繁的停机 事件令用户穷于应付； 企业对 IT 系统的依赖性越来越强的同时，IT 系统的停机将造成业务受到巨 大损失、声誉下降、竞争优势丧失； IT 新技术的发展，造成 IT 应用系统和 IT 基础设施更新换代速度加快，也造 成的企业在 IT基础设施投入上的风险。 IT 系统的停机将使组织的业务受到巨大损失、造成声誉下降、竞争优势丧 失。2006 年发生了多起基础设施故障而导致的停机事件，如：银联计算机故障 造成不能跨行取款，首都机场离港系统故障造成大量旅客滞留机场，5 月份开始 的 A 股交易量连续井喷造成多家证券公司出现“堵单”等事件，就生动地告诫 我们，由于脆弱的基础设施和 IT管理流程，使得这种不断增强的对 IT 的依赖性 就是潜在的风险。 信息安全风险信息安全风险 在信息化的整合见效期，对组织而言信息比以往具有更高的价值，而信息固 有的弱点决定其易传播、易毁损、易伪造。互联网给我们带来便利的同时，网上 行动的远程化以及互联网无政府状态， 使得信息安全面临严峻的挑战，即使是一 个中学生，通过黑客网站的简单培训，也能发起具有危害性的攻击。目前互联网 上黑客网站已超过 3万个，一些有影响力的黑客网站的会员超过万人。 黑客攻击 网站的行动此起彼伏，造成许多商业网站、政府网站被入侵，大量网银用户网上 银行存款被盗，许多敏感机密信息被泄露。 据统计 2006年产生的电脑病毒和木马的数量达到 23 万个， 其中 90%以上带 有明显的利益特征，有窃取个人资料、各种账号密码等行为，严重威胁着互联网 的安全。第一毒王“ 熊猫烧香” 病毒己造成超过一千万的个人及企业用户中毒，直 接及间接经济损失高达亿元以上。 业务性持续风险业务性持续风险 在今天快速增长的IT 环境下， 许多业务系统要求信息系统提供7X24 的服务。 尽管组织可能会采取各种保护措施来防止系统受到破坏，保证系统的正常运行， 但是系统中硬件的故障及意外的灾难仍是不可避免的，只是灾难发生的几率可能 会相对小些。这种灾难一旦发生将会给企业造成损失，轻则造成运行业务非正常 中断，影响系统的功能，重则破坏整个系统，使系统完全瘫痪状态。 美国“ 911”事件中，世贸中心在遭受攻击后数小时内，Morgan Stanley 集团 和 American Express 等公司能够迅速恢复服务，完全归功于组织事前建立了稳 妥的业务连续性计划。对于 eSpeed 公司，甚至其在这次恐怖袭击中损失了近四 分之三的员工，仍然能够在几天后金融市场重开时继续运作。2003 年春夏之交， 中国“ SARS” 肆虐时，成功实施业务连续性计划的惠普、亚信、摩托罗拉等公司 使人们看到面对这样的重大灾害时，企业怎样才能避免束手无策。 保持业务持续运行最根本的办法就是制定、实施灾难恢复和业务连续性计 划， 通过预防性和恢复性措施的结合，把灾难或者安全事故（例如可能由于自 然灾害、突发事件、设备故障和故意的行为）所导致的破坏减少到一个可以接受 的水平，保证组织重要业务的持续运行。 ITIT 应用系统风险应用系统风险 开发和获取应用系统是组织实施信息化的核心内容，但开发和获取应用系统 是一个高风险的过程。首先，如果组织所开发的应用系统不能准确地反映业务目 标，将产生 IT 应用与业务需求之间的逻辑错位风险；如果应用系统开发过程不 能遵守相关规范和内置充分的安全措施措施，IT 应用将面临系统脆弱性风险；如 果应用系统不能经过严格的各种测试，IT 应用将面临可靠性风险；如果应用系统 不能周密地迁移、过渡到生产环境，IT应用系统将面临可用性风险。 此外，应用系统风险还表现在以下应用控制方面：业务安全控制点是否在应 用系统中得到有效实施；在应用系统中是否仅有完整的、准确的和有效的数据被 输入和更新； 处理过程是否完成了正确的任务； 处理结果与预期目标是否相符合； 输出数据是否得到了维护。 ITIT 服务交付风险服务交付风险 组织的内外客户并不直接面对 IT 基础设施和应用系统，他们只关注完成其 业务活动时，是否能方便、可靠、及时地得到必要的 IT服务。 各类重要的 IT 基础设施和应用系统就算是没有漏洞， 也不等于就能向组织的 内外客户提供优质的 IT 服务，国内许多组织不能建立有效的故障管理、变更管 理、配置管理等 IT服务管理流程也是造成 IT 系统停机的重要原因； 组织应当对 IT 技术设施进行分类，向用户提供 IT 服务清单，与用户签署服 务水平协议，实施必要的 IT服务管理流程。 ITIT 绩效风险绩效风险 国内在信息与信息系统上的投资规模与成本都在不断扩大， 高投入带来了高 风险。根据商务部研究院信息咨询中心提供的数据，2005 年我国在信息化改造 提升方面的投入达到了 2829 亿， 2006 年是 3227 亿元，预计 2007 年将达到 4236 亿元。 从2005 到2007 年中国行业信息化投入的绝对增加额将达到 1300 亿以上， 未来几年行业信息化 IT 投入将进入了高增长期。 如果 IT 投资行为如果不能带来合理的回报，将使组织面临巨大风险。这几 年国内信息化失败的案例比比皆是，如果规划不当、控制不严，IT 系统不能带 来预期的业务价值，那么，巨额的信息化投入很可能造成新一轮的“投资黑洞” IT 绩效风险另一表现就是对 IT 的投资绩效和运行绩效不能进行有效测量。 不能测量意味着无法了解当前 IT 系统的“健康状况”，就不能有效地发现存在 的问题，并采取有针对性的改进措施。 合规性风险合规性风险 由于 IT 在社会和经济生活越来越充当重要角色，国内外近年来出台了许 多法律法规加强对 IT 进行监管。 例如，2002 年美国国会发布了萨班斯 奥克斯利法案 ，在这个法案中 明确提出了所有上市公司都必须加强风险管理，建立有效的内部控制框架，以 确保上市公司遵守证券法律以提高公司披露的准确性和可靠性，从而保护投资 者及其他目的。在美国上市的公众公司需要投入大量的人力、物力和财力来建 立内部控制，中国在美国上市的中石化、中国人寿、新浪、亚信等企业也为此 付出了巨大的努力。据美国 Financial Executive International 组织对 321 个公司 的调查显示，在一个规模比较大、年营业收入超过 50 亿美元的公司，建立此 体系至少需要 470 万美元，维系其运转需要每年 150 万美元。 虽然萨班斯法没有直接明确对 IT 的要求，但企业在实施符合法案要求的 内控过程时，发现 IT 方面的工作量竟然占到了相当大的比重，这是因为一方 面 IT 要作为管理组织业务风险的工具与手段，例如，对财务应用系统的机密 性、完整性控制，以及对业务交易信息的监督与数据采集都离不开 IT 系统； 另一方面 IT 本身的风险，例如网络风险、系统风险、应用风险，也是萨班斯 法关注的重要内容，特别是如何使已有的 IT 流程和应用系统中的控制符合萨 班斯法的要求是 CIO 最为头痛的问题。 近年来，国内行业主管部门一直在要求企业加强风险管理。2004 年 9 月 30 日中国银监会发布了商业银行内部控制评价试行办法 ，旨在为规范和加 强对商业银行内部控制评价，督促商业银行建立内部控制体系，健全内部控制 机制，保证商业银行稳健运行，其中包括了对建立银行计算机系统内部控制的 要求。2006 年 3 月 1 日银监会发布电子银行业务管理办法和电子银行安 全评估指引 ，直接对技术风险较大的电子银行提出了进行独立的或相对独立 的信息系统审计的要求。与此同时，其他行业监管部门也准备出台类似的风险 管理措施。中国财政部于 2006 年 10 月发起成立企业内部控制标准委员会，其 目的是为推动企业完善治理结构和内部约束机制。企业内部控制标准委员会的 成立，预示着我国企业在内部控制方面将迎来一部类似美国萨班斯法案的 标准体系，届时必将对 IT 风险控制提出相应的要求。 以上只列出主要的 IT 风险， 这些方面并没有涵盖所有的 IT 风险，反映的问 题也只是冰山之一角，不同的行业在不同的时期，其 IT 风险有着不同的表现形 式。在应对这些 IT 风险时，我们也曾有过各种风险控制方法和模型，但一般都 是针对技术风险提出来的， 偏重于某一技术领域，而且大多是采用事后反应式的 控制措施。在信息化的整合见效期，这种单一的“救火模式”将使我们疲于应付 各种层出不穷的风险。特别对于像制度、流程、人员行为等方面有可能涉及组织 核心价值的风险，传统的控制方法存在明显不足。 科学合理的 IT 治理机制应当具有前瞻性的、全局性的控制机制，能融合防 范与应对 IT 决策、IT 管理、信息安全、IT 服务、IT 应用、IT 项目、IT 基础设施、 业务连续性、IT外包等方面的风险，并能有效地指导组织控制 IT 风险，使 IT 战略与企业战略相融合，促进 IT 为组织持续地创造价值，以实现有效益的信息 化。 二二、ITIT 治理治理框架框架 建立信息化的“游戏规则” 对企业大量的信息化失败案例和对信息化建设中深层次机制问题的研究， 我们发现信息化也像企业管理一样，需要制度创新，在信息化过程中， “制度 重于一切”的定律同样适用。例如，建造一个信息系统是容易的，让这个系统 正常地运转起来并能实现业务价值，则是现实的难题。虽然采用先进的 IT 技 术与产品、优秀的管理方法在一定的程度上能降低 IT 风险，但并不十分保险， 只有通过为 IT 引入一定的结构、规则与标准，使 IT 在“他律” （IT 治理）的 基础上进行“自律” （IT 管理） ，才能使得 IT 风险在一定的框架内上下左右浮 动，不超过企业计划中的风险范围。 通俗地说，我们在规划信息化的时候，除了要关注 IT 技术外，还要建立能 使 IT 正常运转的制度，或者称为 IT 治理机制。正如公司需要治理一样，IT 也 需要进行治理，就是要从制度、标准、规范的角度来重新认识 IT 问题并完善 IT 治理机制，这是目前走出 IT 建设误区的良方。 IT 治理是国际 IT 领域中的一个 新的概念，用于描述企业或政府是否采用有效的机制，使 IT 的应用能够完成组 织赋予它的使命，同时平衡信息技术与过程的风险，确保实现组织的战略目标。 根据 MIT 的研究数据， 没有良好的 IT 治理结构和持之以恒的评估反馈机制， IT 资源无法成为公司的有效战略资产，甚至成为巨大的资源损耗。在采用相同 战略目标的情况下，具有良好 IT 治理的企业，其利润要比那些治理低下的企业 高出 20%。 IT 治理的目标 完善 IT 治理机制，降低 IT 成本，实现 IT 与企业战略、管理、业务、安全 的深度融合，使 IT 为企业持续地创造价值，有效率并有效果地进行信息化。 IT 治理与管理的区别 IT 管理是公司的信息及信息系统的运营， 确定 IT 目标以及实现此目标所 采取的行动； 而 IT 治理是指最高管理层（董事会） 利用它来监督管理层在 IT 战略上的 过程、结构和联系，以确保这种运营处于正确的轨道之上。 IT 管理就是在既定的 IT 治理模式下， 管理层为实现公司的目标而采取的 行动。 缺乏良好 IT 治理模式的公司， 即使有“ 很好” 的 IT 管理体系（而这实际上 是不可能的） ，就像一座地基不牢固的大厦； 同样，没有公司 IT 管理体系的畅通，单纯的治理模式也只能是一个美好 的蓝图，而缺乏实际的内容。 IT 治理的内容与框架 为完善企业的 IT 治理，在战略层面上，要综合公司治理结构、企业战略规 划，使 IT 治理作为公司治理的一部分，在治理结构上体现 IT 的位置与作用，使 IT 议题要进入最高管理层的决策范围中，建立有效的 IT 决策机制与职责担当的 框架；IT 执行与监管要分开，监管机制要独立并持续运行、沟通与反馈机制要 持续有效。 在战术面上，为保护 IT 与业务目标一致，有限利用 IT 资源，提高绩效，降 低风险与控制成本，需按照国际普遍接受的企业内部控制标准，建立有效的 IT 控制框架并监控实施。 这个框架也可称为 IT 治理框架，或称为 IT 的“游戏规则” ，忽略了规则 的建立是国内信息化成功率低的根源，我们应当把建立信息化的“游戏规则” 看成是信息化的重要内容之一。 根据 IT 风险管理的目标和原则，我们给出 IT 治理框架的一种具体实现， 其步骤如图所示： IT 治理框架的建立步骤 在战略层面，建立 IT 治理机制，使 IT 治理成为公司治理的一部分，在 组织最高决策层上对信息化的进行监管与制衡； 在战术面上， 为保护 IT 与业务目标一致， 有限利用 IT 资源，提高绩效， 降低风险与控制成本，需按照国际普遍接受的企业内部控制标准 对 IT 进行规划，确保 IT 战略与业务战略的一致，信息化一定要为业务 所想、为业务所用，IT 与业务的分离是信息化面临的最大风险； 采用国际上得到普遍认可的 IT 控制标准 （例如： COBIT、 ITIL、 ISO27001） 及行业最佳实践，为信息化管理提供规范和标准； 识别组织中的重要 IT 过程，确定其目标、功能与职责。梳理出纵向上 的技术管理过程和横向上的客户服务过程，推行过程管理的思想； 通过 PDCD 的过程，即计划、实施、调整、改进的循环，使信息化保持 在可持续发展的轨道上，阶段性地进行信息系统审计，以发现存在的偏 离，及时调整到信息化的最终目标上来； 持续地评估 IT 绩效， 可以从整体信息化绩效、IT 项目绩效及 IT 人员绩 效等多个方面进行评估，以了解当前 IT 状况，为及进的调整与改进提 供依据； 三三、ITIT 治理实施治理实施过程过程 （一一） 在战略层面上完善组织的在战略层面上完善组织的 IT 治理结构治理结构 随着信息化建设的逐步深入，越来越多的 IT 风险使我们面临严峻的挑战， 为使 IT 能够高效、经济地为组织交付价值，降低 IT 风险，需要为 IT 创造良 好的控制环境，以保证组织从战略的高度、治理的层面来关注信息化问题，建 立信息化过程中相关规范和标准、对信息化建立监管、制衡和审计机制。 为完善企业的 IT 治理，在战略层面上，要综合公司治理结构、企业战略规 划，使 IT 治理作为公司治理的一部分，在治理结构上体现 IT 的位置与作用，使 IT 议题要进入最高决策层， 要建立合理 IT 决策和职责担当机制；IT 执行与监管 要分开，监管机制要独立并持续运行、沟通与反馈机制要持续有效。 1 1、什么是什么是 ITIT 治理治理？ ISACA 定义：IT 治理是一个由关系和过程所构成的体制，用于指导和控制 企业，通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。 IT 治理知名专家彼得.维尔和珍妮.罗斯认为，IT 治理是指为鼓励期望行 为而明确的决策权归属和责任担当的框架。 治理是决定由谁来做决策，而管理则是制定制定和执行这些决策的过程。 例如，治理决策了由谁来掌握企业在 IT 投资额度上的决策权，管理则决定某 年投入的实际资金数和资金所投向的范围。 根据 MIT 的研究数据，在采用相同战略目标的情况下，具有良好 IT 治理 的企业，其利润要比那些治理低下的企业高出 20%。而对世界范围内 250 家企 业的调查表明，只有 38%的高级主管能够精确描述他们的 IT 治理。 2 2、ITIT 治理要解决的问题治理要解决的问题 战略层面的 IT 治理需要解决以下三个问题：为了保证有效地管理与使用 IT，应当做出怎样的决策？谁来做出这些决策？如何做出决策及对决策进行监 控？ (1)ITIT 治理应当做出哪些决策治理应当做出哪些决策？ IT 治理应当做出以下五种决策： IT 原则的决策高层关于企业如何使用 IT 的陈述。 IT 架构决策组织从一系列政策、 关系以及技术选择中捕获的数据、 应用和基础设施的逻辑，以达到预期的商业、技术的标准化和一体化。 IT 基础设施决策集中协调、共享 IT 服务可以给企业的 IT 能力提 供基础； 业务应用需求决策为购买或内部开发 IT 应用确定业务需求 IT 投资和优先顺序决策关于应该在 IT 的哪些方面投资以及投资 多少的决策。包括项目的审批和论证技术 (2)(2) 谁来做出这些决策谁来做出这些决策？ 可以按照政治上的原型(业务君主制、IT 君主制、封建制、联邦制、 IT 双寡头制、无政府制)来描述拥有 IT 决策权或者为 IT 决策提供信息 输入的人员组合。 决策者决策者决策决策者者的组成的组成 业务君主制一群业务主管或者单个主管（CXOs） 。包括高级业务主管委 员会（可能包括 CIO） 。不包括独立设备的 IT 主管。 IT 君主制一个或一群 IT 主管 封建制业务单位领导，关键流程负责人或其代表。 联邦制核心级主管和业务团队（例如，业务单位或流程） ；可能也包 括作为额外参与者的 IT 主管。 相当于中央政府和地方政府的 协同工作方式。 IT 双寡头制IT 主管和其他团队（如 CxO 或业务单位或流程负责人） 。 无政府制每一个单独的使用者。 通用的 IT 治理模式 MIT Sloan School 2003 年对 23 个国家的 256 家企业进行研究后， 根据决策原型与决策类型的对应关系如下所示： IT原则原则IT架构架构 IT基础基础 设施设施 业务应用业务应用 需求需求 IT投资投资 决策决策 原型原型 输入决策 输入 决策 输入 决策 输入决策输入决策 业务君主制0270607112130 IT 君主制118207310590809 封建制03001211803 联邦制831446459681309327 IT 双寡头制1536341530231727630 无政府制0001010301 无数据或 不知道 1201020200 从以上调查表，我们得出一些通用的治理机制： IT 原则 为 IT 原则收集信息、征求意见时，主要采用联邦制进输入，而且具 体决策时，主要是通过 IT 双寡头制。 IT 架构 组织建立 IT 架构输入可以使用联邦制或 IT 双寡头制，而进行 IT 架 构决策时，由于 IT 架构决策具有一定的技术性，组织更多地采用了 IT 君 主制进行决策。 IT 基础设施 IT 基础设施的输入与决策模型类似于 IT 架构。 业务应用需求 业务应用需求的输入主要采用联邦制，这是为了使应用系统符合业务 的要求，应当广泛地听取各方面的意见，决策时也使用联邦制和 IT 双寡 头制，使决策更具有代表性。 IT 投资 IT 投资的输入主要采用联邦制， 而决策时根据不同的企业类似，采用 业务君主制、联邦制和 IT 双寡头制。 最有效的 IT 决策模式 根据统计数据的分析，存在三种最有效的 IT 决策模式，如图所示， 这三种模式综合考虑了成本、增长率和灵活性等多个绩效目标。 IT 治理安排模式 1：需要 IT 团队了解业务、要求业务方和 IT 方相互 信任，IT 方与业务协同工作。适合于民主型组织。 IT 治理安排模式 2：类似于模式 1，更适合于要求快速决策的组织。 IT 治理安排模式 3： 应用于单一业务部门或收益率及成本控制占据重 要位置的公司，要求业务部门领导关心且了解 IT 问题。当发生重大 变革，必须稳固决策权时，3 也是非常明智的选择。 （二二） 在战术层面上建立组织在战术层面上建立组织 IT 控制框架控制框架 在战术面上，为保护 IT 与业务目标一致，有限利用 IT 资源，提高绩效，降 低风险与控制成本，需按照国际普遍接受的企业内部控制标准，建立有效的的 IT 控制框架并监控实施。 业务需求识别 当前企业竞争激烈、内部变革频繁，要实现 IT 与业务的融合，就需要 建立一套具备一定适应能力，能够识别不断变化的业务需求，并能够快速有 效地作为响应的机制。业务需求是促进 IT 发展的源动力，准确、及时地捕 捉组织的业务需求，并使之成为信息化建设与调整的依据，这是降低 IT 风 险的可靠保证。 业务建模 信息化项目无论是网络建设、安全建设，还是应用开发，都需要了解组 织特征，确定业务流程，应当在信息化之前就为组织建立可靠的业务模型。 业务建模可以创建一个复杂业务的抽象描述，使其成为同业务中各项目相关 人员(如拥有者、管理者、雇员和客户)交流的基础。一旦能更好地理解业务 功能，我们就能较容易地完善业务流程，较容易地发现、识别新的业务机会 (即业务的完善或革新)，并为网络建设、安全建设及应用开发提供准确的需 求定义。 数据标准化 “信息孤岛现象”是信息化的另一个较大风险，现在许多行业都在进行 数据大集中，但遇到很多问题，进展缓慢，这都与没有做好前期数据规划、 实施数据标准化有关。IT 系统的建设首先要以数据为中心，数据是稳定的， 处理是多变的。数据标准化可以根本上解决数据质量控制问题，减少数据处 理系统中数据元素总数，提供便捷而准确的信息，用户方便快速地检索到所 需信息。数据标准化为提高信息的互操作性、减少信息孤岛、降低信息化的 风险奠定了基础。 IT 规划 IT 系统规划是以组织的目标、战略、目的、过程以及信息需求为基础， 识别并选择建立哪种 IT 系统以及什么时间建立的过程。通过 IT 规划，明确 IT 的投资方向，实现可控的 IT 投资成本，在有效地管理信息化有关风险的 基础上，获得可持续改进和提升的 IT 能力。有效的 IT 规划可以将组织战略 目标转化为 IT 系统的战略目标的过程，是现代企业的战略规划的重要组成 部分， 是企业商业模式创新的最好机会， 是企业管理系统变革的准备和前奏。 IT 业务流程优化 按照国际通行的 IT 控制框架，建立并优化从信息技术的规划与组织、 采集与实施、交付与支持、监控等四个方面的多个信息技术处理过程。从质 量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面 来保证信息的安全性、可靠性、有效性。 建立信息安全管理体系 建立信息安全管理体系是建立信息安全防线的起点， BS7799 是一个可以 指导组织安全实践的信息安全管理标准，它从管理、技术、人员、过程的角 度来定义、 建立、 实施信息安全管理体系， 保障组织的信息安全 “滴水不漏” ， 确保组织业务的持续运营，维护企业的竞争优势。 IT 服务管理 IT 服务管理是一种以流程为导向、以客户为中心的方法，它通过整合 IT 服务与组织业务，提高组织 IT 服务提供和服务支持的能力及其水平。建 立有效的 IT 服务管理体系有助于为组织提高 IT 服务的有效性与经济性，可 以消除 “信息技术人员充当救火队员”的局面。通过对业务支撑系统实施 IT 服务管理，对组织的各种资源进行优化，形成全面、统一、集中的管理构 架及服务管理流程，确保信息系统企业发展提供可靠、经验、高效的信息服 务。 IT 项目管理与监理 IT 项目管理就是以项目为对象的系统管理方法， 通过一个临时性的、专 门的柔性组织，运用相关的知识、技术和手段，对项目进行高效率的计划、 组织、指导和控制，以实现项目全过程的动态管理和项目目标的综合协调与 优化。在 IT 项目管理中，可结合 PMBOK 和 PRINCE2 的方法，使 PMBOK 定位 于项目管理知识架构，PRINCE2 定位于项目管理实施指南。 IT 项目监理的中心任务是要规划和控制工程项目的投资、 进度和质量三 大目标;监理的基本方法是目标规划、动态控制、组织协调和合同管理；监 理工作贯穿规划、设计、实施和验收的全过程。信息工程监理正是通过投资 控制、进度控制、质量控制以及合同管理和信息管理来对工程项目进行监督 和管理，保证工程的顺利进行和工程质量。具体的监理办法可参照信息产业 部发布的信息系统工程监理暂行规定。 IT 应急计划 组织应当制定和执行应急计划，通过预防性和恢复性措施的结合，把灾 难或者安全事故（例如可能由于自然灾害、突发事件、设备故障和故意的行 为） 所导致的破坏减少到一个可以接受的水平。IT 应急计划呈现了在紧急事 件发生后为了维持和恢复关键的 IT 服务所进行的范围广泛的活动。IT 应急 计划适合于广泛的紧急事件准备环境，包括组织和业务处理连续性及恢复计 划。为了对影响组织 IT 系统、业务处理和设施的外部威胁作出反应，并恢 复和保持连续性的活动，组织通常会应用一系列计划进行准备工作。 信息系统审计 信息系统审计是一个获取并评价证据，以判断计算机系统是否能够保证 资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织 目标的过程。由于信息技术在经营、管理领域的广泛运用，信息系统审计已 经贯穿在各种审计之中，成为审计全过程的一部分。信息系统审计是一种控 制信息系统风险的有效方式，它是从独立的、第三方的的角度来审视信息化 过程中的各种风险，合理地鉴证被审计单位信息系统及其处理、产生的信息 的真实性、完整性与可靠性，政策遵循的一贯性，并可对 IT 的绩效进行审 计，以发现偏离，促进及进进行调整。 总之，建立 IT 风险管理框架是组织控制 IT 风险、确保组织实现其业务目标 的有效方式，以上所介绍 IT 风险控制框架是通过多年的研究及实践总结出来的 通用方法论， 不同的组织在建立控制框架的过程中，还要根据自身的实际情况应 地制宜，灵活应用。 四四、ITIT 风险控制框架的实施步骤风险控制框架的实施步骤 在组织中建立完整的 IT 控制框架是一项长期的工作，不可能一蹴而就，应当 从基础到高级，从容易到复杂一步步分阶段实现，最终使 IT 成为组织的核心竞 争力。 1.11.1第一阶段第一阶段：ITIT 治理架构设计治理架构设计 目标： 为企业信息化建立 IT 治理蓝图，建立 IT 风险宏观控制框架，形成 IT 风险控制实施路线图。 主要措施： 组织 IT 风险现状调查， 识别组织的主要业务风险和当前的 IT 控制 状况； 在宏观IT决策层面和微观过程控制层面上对企业IT 治理进行总体 蓝图设计，并建立 IT 治理实施路线图； 建立 IT 治理委员会， 为组织建立完善的 IT 决策机制与职责担当的 框架。确保 IT 战略进入组织的业务战略，使 IT 进入组织最高管理 层的日常议题。 设计并建立 IT 治理绩效测量机制， 监控与完善 IT 治理的效率与效 果。 1.21.2第二阶段第二阶段：完善完善 ITIT 治理治理、初步控制初步控制 目标： 在总体 IT 治理框架的指导下，初步建立 IT 风险过程控制体系，为 业务系统运行提供较可靠的保障。 主要措施： 识别组织的信息资产，进行风险评估，按照 ISO27001 建立信息安 全管理体系，保护组织信息资产的机密性、完整性及可用性； 按照 ITIL 规范建立 IT 服务管理体系，保护组织 IT 服务的可靠交 付，提高运行绩效和客户满意度； 按照 CMMI 标准的要求，完善组织的软件开发过程，提高软件的 质量。 建立业务持续性计划 BCP，保证组织的业务及 IT 在发生较大的灾 难时能保证业务的持续运行。 根据组织的要求建立其他符合国际标准及行业规范要求的过程控 制机制。 1.31.3第三阶段第三阶段：资源协同资源协同、全面控制全面控制 目标： 实现有效的资源协同，为业务活动提供可靠的支撑，深化 IT 风险 控制，实现应用系统与安全系统的全面集成。 主要措施： 建立统一的应用系统平台，实现 IT 资源协同，为己有业务及新业 务提供灵活可靠的支撑平台； 建立统一安全保障平台， 建立有效的应用控制机制，实现应用系统 与安全系统全面集成； 完善 IT 服务管理机制， 进一步提高客户对 IT 服务的满意度， 对 IT 服务进行量化管理； 梳理各类 IT 过程， 建设规范化的 IT 过程控制框架，按照 COSO 及 COBIT建立 IT 流程框架， 明确各流程的 KPI、 KGI 及 CMM 等级， 形成完备的 IT 过程控制体系； 建立信息系统审计制度，从独立、客观的角度保证 IT 系统的效率 与效果； 对 IT 组织、人员、流程、项目建立较为科学的绩效考核制度。 1.41.4第四阶段第四阶段：业务创新业务创新、完善控制完善控制 目标： IT 治理与企业风险控制高度融合，IT 战略成为企业战略的重要组 成部分，IT 为企业创造新的竞争机遇。 主要措施： IT 战略成为组织决策层的重要议题，IT 参与企业流程再造，IT 可 以为企业创造新的利润增长点； 为整个组织提供高质量的IT服务， 建立全组织的IT 共享服务中心； IT 成为利润中心，对 IT 进行财务核算； IT 控制进一步完善，IT 风险控制与企业风险控制高度融合，形成 良好的信息安全企业文化。 总之， 建立 IT 治理框架是组织控制 IT 风险、确保组织实现其业务目标的有 效方式，以上所介绍 IT 治理框架与控制过程是通过多年的研究及实践总结出来 的通用方法论， 不同的组织在建立控制的过程中，还要根据自身的实际情况应地 制宜，灵活应用。 【作者简介作者简介】 陈伟， IT 治理与信息安全管理资深顾问， 国际注册信息系统审计师(CISA)， 国际信息系统审计与控制协会会员。 在 IT 行业系统集成、软件开发、信息安全与控制领域有十五年工作经验， 精通网络技术、软件开发技术、信息安全技术，长期从事企业信息化建设，对国 内大中型企业的计算机网络、应用系统、安全系统的规划、设计、实施有较丰富 的经验。 目前的工作专业领域集中于 IT 管理控制领域(ISO27001、ITIL、COBIT)理 论与方法研究，为多个大型组织实施 IT 治理和信息安全管理体系的咨询项目， 著有信息安全管理：全球最佳实务与实施指南 、 经营管理与信息技术 ，翻 译索耶内部审计 ，发表多篇 IT 治理论文。联系方式：