IT治理框架及建议

IT治理框架及建议
目录
IT治理框架及建议 (1)
1.版本历史 (3)
一、概述 (4)
二、目前存在问题显现 (4)
三、IT治理建议及合规 (5)
1、IT治理目标 (5)
2、IT组织架构 (6)
3、IT授权管理及流程 (7)
4、IT内控管理 (8)
5、IT内控审计 (9)
6、IT合规 (9)
结束语 (9)
1.版本历史
一、概述
IT治理是指设计并实施信息化过程中各方利益最大化的制度安排，包括业务与信息化战略融合的机制，权责对等的责任担当框架和问责机制，资源配置的决策机制，组织保障机制，核心IT能力发展机制，绩效管理机制以及覆盖信息化全生命周期的风险管控机制。

该制度安排的目的是实现组织的业务战略，促进管理创新，合理管控信息化过程的风险，建立信息化可持续发展的长效机制，最终实现IT 商业价值。

二、目前存在问题显现
1、缺乏IT建设整体规划、执行随意性较强，标准化和
规范化等基础工作不到位，导致出现大量信息孤岛，使公司
面临繁重的系统整合工作;
2、是业务部门与技术部门经常出现“两张皮”现象，使
到沟通交流困难;
3、是IT事故责任不清，技术部门承担责任过大;
4、是一些IT系统建成后没人进行后续跟踪运维、推广
和使用;
5、是IT预算缺乏完整性，计划外项目过多;
6、是项目投资出现失误或投资回报不高;
7、是项目管理缺乏控制手段，项目延期交付时有发生;
8、是缺少IT审计环节，不清楚IT价值何在，认为IT
只是工具，缺乏约束机制。

目前IT治理仅停留于技术层面、IT治理真正落于实处还有待加强，这是集团IT治理的发展现状。

目前我们需要建立
起类似IT管理委员会的决策机构，但是由于没有形成标准化
的分工、职责明确的IT治理，使企业战略规划缺位;即使有
战略规划，也未与业务战略协调一致。

使高管层对IT建设的
认识程度和管控程度还不够，尤其需要改变的观念是，大部
分机构还是把IT单纯看成技术手段。

这导致IT方面重复建
设、信息分割，缺乏信息的统一标准，管理滞后，系统很难
整合。

三、I T治理建议及合规
1、IT治理目标
集团采用有效机制，使得集团的IT应用能够完成组织所赋予它的使命，同时平衡信息化过程中的风险确保实碛集团的战略目标。

目标细则：
1、保持IT与集团业务目标一致，推动业务发展，促使
收益最大化，合理利用IT资源，适当管理与IT相
关的风险。

2、IT战略目标必顺与集团战略目标保持一致，IT对于
组织来说非常关键，也是战略规划的重要组成部
分。

3、IT治理包含治理委会、治理结构、治理流程和企业
文化等。

4、IT治理使风险透明化，从而何护利益相关者的权益。

5、IT治理可用来指导和控制IT投资、机遇、收益及风
险。

6、IT治理通过引导IT战略，并建立标准的信息基础架
构，来实现业务增长。

7、IT治理对核心IT资淅做出合理的制度安排，这将成
为进入新的市场、进行有效竞争、实现总收入增长、
改善客户满意度及维系客户关系的制度保障。

2、IT组织架构
依据IT治理的经验，有效的IT治理必须基于有效的IT组织
架构。

IT组织架构通常有三类，分别是：集中、分散、联邦。

每一种组织架构对于实施IT治理来说也有各自面临的挑战。

集中式：在集中式的IT组织架构中，所有IT决策的制定和IT 投资的预算都在一个部门，这样很容易管理并且组织起来不需要花费很多功夫。

（组织结构图）
3、IT授权管理及流程
根据组织结构首先要建立IT治理委员会，并根据集团内相关的应用系统及IT各方面的建设实施进行管理、授权及审计。

由IT治理委员会制定相关权限管理内容及流程、授权，最终由CEO或董事会签
发相关文件。

（授权流程图）
授权内容包括：用户管理、权限管理、应用管理、系统管理
变更管理、内控管理、内审管理、IT基础实施管理。

4、IT内控管理
IT内控管理的范围包括：风险形势评估、风险识别、风险分析和风险评价，根据活动确定关键的IT流程和IT支持系统。

IT内控体系包括：IT内控环境、IT运维、IT系统和数据的访问、系统开发和系统变更等。

IT内控管理分为三部分：企业层面IT控制、系统应用控制、一般IT控制。

企业层面IT控制：组织架构、IT治理、公司法规。

IT一般控制：主要针对基本的IT基础设施控制，包括物理和逻辑网络安全、数据库管理、系统开发、变更控制、灾难恢复等。

IT应用系统控制，基于IT系统对公司业务流程的进行控制。

5、IT内控审计
IT内控审计主要以：IT制度与流程手册、系统变更(包括应用系统及基础设施)、逻辑访问(包括应用系统及基础设施)、物理访问、IT灾难备份、数据接口、第三方管理、环境控制、问题管理和作业调度。

对于测试不合格的IT控制，应该及时纠正缺陷，完善IT控制体系的设计与提高IT运维的质量。

6、IT合规
IT合规应以：基于COBIT标准、ITIL标准建立公司合规体系，并基于COBIT标准制定IT目标、组织、内控管理范围、流程、控制要求、授权。

基于ITIL标准制定IT服务管理流程、IT服务SLA 化、IT系统集中管控。

从而应对相应的认证合规（如：SOX404 、ISO27001等）
结束语
IT治理结构的完善是公司治理结构的关键部分，要求企业内部建立相互制衡、相互监督的IT治理机制，通过IT内控体系建设，加
强IT管理、提高IT效率、降低IT风险，从而提高整个企业内部控制活动的效率和效力，降低遵从成本。