IT治理


  ·IT治理的背景

   正如公司需要治理一樣,IT也需要進行治理,就是要從制度、標準和規范的角度來重新認識IT問題并完善IT治理機制。IT治理是國際IT領域的一個新概念,用于描述企業或政府是否采用有效的機制,使IT的應用能夠完成組織賦予它的使命,同時平衡信息技術與過程的風險,確保實現組織的戰略目標。

隨著IT在社會各個領域的應用不斷深化,IT日益深刻影響著人類生活方式和社會經濟發展。對現代企業而言,IT的發展意味著企業在戰略思想、管理理念、運行方式、組織結構等各個方面的變革,這種變革已使IT成為企業完成業務與積累財富的主要驅動力,成為企業獲得成功的關鍵因素,它向企業提供了獲得競爭優勢的機會和提高生產率的方法,將來,IT還會發揮更大的作用。

成功地利用IT對企業進行變革,并為產品和服務增加價值,這已成為全球企業的重要業務能力之一。IT是企業在內部進行資源管理、供應商管理、客戶管理的基礎,也是當前企業不斷增加的跨地域合作和網絡虛擬交易的基礎。

然而,當今許多企業中IT的現狀與對IT的期望值不吻合,企業經常面臨以下難題:

  ·企業對IT系統的依賴性越來越強的同時,面臨不斷增多的系統薄弱性和各種各樣的威脅;

  ·在信息與信息系統上的投資規模與成本在不斷擴大,高投入帶來了高風險;

  ·不斷發展的科技潛力顯著地改變組織形式與商業模型,在創造出新的機遇并降低了成本的同時,也使得商業競爭不斷加??;

  ·現代企業IT系統的停機可能會造成業務受到巨大損失、聲譽下降、競爭優勢喪失;

  ·IT項目的高失敗率,使得企業無法實現其預期的創新與利益,不能實現對IT的投資回報,或者不能對投資回報進行測量;

  ·IT技術的高速發展,對企業的技術引進與更新提出挑戰,企業面臨技術不完備,甚至過失,不能有效利用新技術…….

   這些問題表明,企業中的IT事務已經逐漸超越了純技術范疇,它與企業的業務戰略、管理、運行等緊密稽核在一起;這些問題也不是企業中的IT部門所能單獨解決的問題,它應該是企業董事會與管理層要負責考慮的問題,因此為了使IT為企業創造價值并降低其固有風險,企業的董事會和管理層應當把公司治理延伸到IT領域,形成完善的IT治理結構,通過為IT提供必要的領導力、組織結構和相關過程,來保證企業的IT能支持企業戰略和實現企業目標。

·IT治理的發展

  1999年,英國BIS發布了《內部控制:綜合準則董事指南》(Internal Control:Guidance for DITectors on the Combined Code,Turnbull Report,1999)報告。該報告認為,企業風險來自于許多方面,而不僅是財務風險。因為事實說明,在金融界所有過去的風險問題都是由內部控制疏忽、信息技術失敗引起的,而且與企業對信息技術基礎設施的依賴和應用新技術的風險密切相關,并呼吁高層領導樹立風險意識。從此,公司治理和風險管理成為企業所有者與管理者日益重要的問題。此報告強調了IT的雙重性,即一方面信息技術支持企業的信息數據資產,幫助企業在市場競爭和商業環境中提高反應速度、降低成本,另一方面,IT和IT應用也存在著風險,也要注意“管理”。因此企業中的關鍵信息系統,既要與企業的發展戰略相匹配,確?!肮局卫怼庇行?、透明,同時也要規避IT自身的風險。

1999年下半年,國際信息系統審計與控制協會(ISACA)成立了IT治理研究院,專門研究IT治理的概念,并提供了信息及其相關技術的管理體系模型和最佳實務,幫助企業領導層認識有效實施IT治理的必要性與益處,從而保證長期的可持續的成功,并且增強利益相關者的價值。

目前,該體系已在世界100多個國家和地區的重要組織與企業中成功運用,指導這些組織有效利用信息資源,有效地管理信息相關的風險。研究與探討IT治理,對于信息化的探索和實踐有著重要的借鑒意義。

2002年,在安然事件后的一片混亂中,美國頒布了薩班斯一奧克斯利法案(簡稱“薩班斯法案”)。作為薩班斯法案中最重要的條款之一,404條款明確規定了管理層應承擔設立和維持一個應有的內部控制結構的職責。該條款要求上市公司必須在年報中提供內部控制報告和內部控制評價報告;上市公司的管理層和注冊會計師都需要對企業的內部控制系統作出評價,注冊會計師還必須對公司管理層評估過程以及內控系統結論進行相應的檢查并出具正式意見。

由于大多數公司都高度依賴基于信息技術的控制措施,因此“薩班斯法案”出臺,迫使許多公司在IT治理方面都加大了投入,升級了陳舊的系統,提高了運效率,提升了公司的內部控制和IT治理水平。


·IT治理常用標準及輔助手段簡介

(1)ISO 38500:2008 是第一個IT 治理國際標準,它的出臺不僅標志著IT 治理從概念模糊的探討階段進入了一個正確認識的發展階段,而且也標志著信息化正式進入IT 治理時代。這一標準將促使國內外一直爭論不休的IT治理理論得到統一,也會促使我國在引導信息化科學方面發揮重要作用。


(2)COBIT 4.1----信息和相關技術的控制目標。作為IT處理過程和將IT與公司業務要求相連接的控制框架,從1998年的管理方針的增加版開始,COBIT現在越來越多地作為IT治理框架來使用,提供諸如衡量標準和成熟度模型的管理工具以補充控制框架。

(3) ITIL?(ITIL? 是英國內閣辦公室(CO)在英國和其他國家的注冊商標) V3----IT基礎結構庫。集了在IT服務管理方面的最佳實務。它關注IT服務過程并考慮了使用者的核心作用?,F行國際標準ISO/IEC 20000:2005以ITIL?(ITIL? 是英國內閣辦公室(CO)在英國和其他國家的注冊商標)為基礎于2005年正式頒布。

(4)ISO/IEC27001:2005----信息安全管理體系要求。世界上應用最廣泛與典型的信息安全管理標準,適用于各種性質、各種規模的組織,如政府、銀行、電訊、研究機構、外包服務企業、軟件服務企業等。

(5)PRINCE2----受控環境中的項目。為包括IT項目在內的項目管理提供了通用的管理方法,內置了在項目管理實踐中己證明成功的最佳實踐。


·IT治理的作用

IT 治理的主體和其它治理主體一樣,是管理執行人員和利益相關者。IT 治理保護利益相關者的權益,使風險透明化,同時指導和控制IT 投資、機遇、利益、風險。IT 治理包括管理層、組織結構、過程,以確保IT 維持和拓展組織戰略目標。IT 治理應該合理利用企業的信息資源,有效地集成與協調。IT 治理確保IT 及時按照目標交付,并且有合適的功能和期望的收益,是一個一致的價值傳遞體系,有明確的期望值和衡量手段。IT 治理引導IT 戰略以平衡系統投資,支持企業, 變革企業,或者創建一個信息基礎架構,保證業務增長,并在一個新的領域競爭。IT 治理對于核心IT 資源做出合理的決策,進入新的市場,驅動競爭策略,創造總的收入增長,改善客戶滿意度。

近年來,“信息化帶動工業化、工業化促進信息化”的國家戰略已日益深入人心,信息化應用取得了世人矚目的成就。與此同時,信息化建設和應用中一些深層次問題受到越來越廣泛的關注。信息化給我們帶來什么?如何充分利用IT 資源?如何管理好所依賴的信息與信息平臺?如何進行控制把IT 風險降到最低?信息化建設如何實現可持續發展,如何提升IT投資回報?很多人開始考慮IT 治理。目前,IT 治理在我國基本上處于初始階段,但IT 治理的重要性日益為人們所認識。

IT 治理的使命是保持IT 與業務目標一致,推動業務發展,促使收益最大化,合理利用IT 資源,適當管理與IT 相關的風險。IT治理的目標將幫助管理層建立以組織戰略為導向,以外界環境為依據,以業務與IT 整合為中心的觀念,正確定位IT 部門在整個組織中的作用。這些IT 治理的使命和目標的實現需要通過多種輔助手段來實現,目前國際上通行的標準主要有如下4 個:COBIT、ITIL?(ITIL? 是英國內閣辦公室(CO)在英國和其他國家的注冊商標)、ISO/IEC17799 和PRINCE2。陸培煒先生認為:“IT治理的提出,為企業在實現業務目標的同時平衡IT投資和風險方面提供一種機制。為了確保企業能夠實現業務目標,實現在風險管理和收益實現間的有效平衡,指導和管理各類IT活動就顯得非常迫切?!?/p>


无码中文字幕--超清,日本岛国中文字幕不卡乱码视频,日本成本人