IT治理与管理实务

《IT治理与管理实务》由会员分享，可在线阅读，更多相关《IT治理与管理实务（15页珍藏版）》请在装配图网上搜索。

1、第二章 IT治理与管理A. IT治理 l A1. 公司治理 指所有者、经营者和监督者之间通过公司权力机关（股东大会）、经营决策与执行机关（董事会、经理）、监督机关（监事会）而形成权责明确、相互制约、协调运转和科学决策的联系，并依法律、法规、规章和公司章程等规定予以制度化的统一机制； 公司治理强调企业中权力、角色的合理分配和对股东的平等对待；信息披露与透明；董事会的职责；为企业提供合理的战略指南；董事会对管理层进行有效的监督，董事会必须向企业和股东负责。 公司治理框架中一个很重要内容就是要建立内部控制体系管理和报告业务风险。A2.IT治理 IT治理是一个综合术语，它包括信息系统、技术和通讯，业务

2、、法律相关事务，所有利益相关方、董事会、高级管理层、流程所有人、IT供应商、用户和审计师。治理有助于确保IT和企业目标保持一致。 有效的公司治理注重个人和团队在特定领域中最有效的专门技能和经验。长期以来，仅作为组织战略促进因素的信息技术，现在被看作是整体战略的一部分。CEO、COO、CFO、CIO和CTO在IT与企业目标间能达成战略一致是关键成功因素。通过经济、有效地使 用安全、可靠的信息和应用技术，IT治理能有助于实现这个关键成功因素。信息技术对企业的成功是如此重要，因此，不能把其职责放给IT管理人员或IT专家，而必须得到整个高级管理层的关注。 IT治理的定义 ITGI：IT治理是董事会和最

3、高管理层的职责，是企业治理的重要组成部分。IT治理由领导、组织结构以及相关流程组成，这些流程能保证组织的IT有效支持及促进组织战略目标的实现。 IT治理一般关注两方面的问题：IT增加商业价值和IT风险得到控制。前者通过使IT战略与业务保持一致来达到，后者通过向企业分配责任来驱动。 IT治理的关键因素是IT与业务保持一致，以实现业务价值。 IT治理的主要流程有：IT资源管理、绩效测评和合规管理 lIT治理回答下述问题 在IT战略决策中哪些利益相关者有发言权？ 谁决定IT投资及其优先级顺序？应当建立哪些IT委员会，由什么人组成？其职责是什么？向谁报告？ CIO的角色和职责有哪些？ 如何控制IT使其

4、满足业务需求？ 如何评价IT职能的绩效？ lIT治理的目标 指导IT工作，确保IT绩效满足IT目标、符合企业目标要求，实现预期利润 帮助企业开拓商机，实现利益最大化 充分利用IT资源 适当控制IT相关风险 l IT治理与公司治理 公司治理主要关注利益相关者权益和管理，包括一系列责任和条例，由最高管理层（董事会）和执行管理层实施； 公司治理目的是提供战略方向，保证目标能够实现，风险适当管理，企业资源合理使用； IT治理是公司治理的重要组成部分，是董事会或最高管理层的责任； IT治理由领导、组织结构以及相关流程组成，这些流程能保证组织的IT能有效支持及促进组织战略目标的实现，同时控制风险、降低成本

5、、提高绩效。 公司治理可以驱动和调整IT 治理，同时，IT 能够为公司治理提供关键的输入，形成战略计划的一个重要组成部分 公司治理和IT 治理都是“他律”机制，是如何“管好管理者”的机制，其目标也是一致的：达到业务持续运营，并增加组织的长期获利机会。 IT治理与IT管理 IT 管理是公司的信息及信息系统的运营，确定IT 目标以及实现此目标所采取的行动而IT 治理是指最高管理层（董事会）利用它来监督管理层在IT 战略上的过程、结构和联系，以确保这种运营处于正确的轨道之上。简言之，是“对管理的管理” IT 管理就是在既定的IT 治理模式下，管理层为实现公司的目标而采取的行动缺乏良好IT 治理模式的

6、公司，即使有“很好”的IT 管理体系（而这实际上是不可能的），就像一座地基不牢固的大厦 同样，没有公司IT 管理体系的畅通，单纯的治理模式也只能是一个美好的蓝图，而缺乏实际的内容IT治理的层次 在企业战略层上 IT治理要与公司治理结构、企业战略规划进行集成，使IT治理作为公司治理的一部分； 在治理结构上体现IT的位置与作用，使IT议题要进入董事会（或者是监事会、最高管理当局）下的战略委员会、审计委员会、安全委员会； 董事会要确保IT的执行与监管分开，监管机制要独立并持续运行、沟通与反馈机制要持续有效； IT治理要求向董事会和最高管理层分配职责，并要求其完成一系列活动。 在企业战术面上 虽然IT

7、治理集中在董事会最高管理层，但由于IT治理的复杂性和专业性，治理层必须依赖企业在战术层面上提供必要的控制框架来保证治理职责的落实； 为了保证IT与业务目标一致，充分利用有限的IT资源，提高绩效，降低风险与控制成本，按照国际普遍接受的企业内部控制标准，在战术层面建立有效的IT控制框架并监督实施。 COBIT、ITIL、ISO17799 需求识别、数据标准化、项目管理 IT治理域 一些著名的机构(Gartner、CSC、AICPA/CICA、CIO Magazine ）通过调查认为最受IT管理层关注的问题，已经从技术领域逐渐转向管理相关领域； 这些问题可以归结为五个IT治理域：战略一致、价值交付、

8、风险管理、资源管理和绩效考评，其中有两个核心，一是IT要向业务交付价值，二是降低风险。前者由IT与业务的战略一致驱动，后者由企业内部建立的责任分工驱动； 这两者都需要获得足够的资源并进行绩效考评，以保证获得预期的结果； 这五个域都受利益相关者价值驱动，其中价值交付、降低风险是结果，战略一致绩效考评是驱动力，IT资源管理为治理提供支持。 五个IT治理域： 战略一致- 强调IT与业务保持一致，提供协调的解决方案。 价值交付- 确保IT实现了预期战略收益，集中关注成本的优化，提供IT的固有价值。 风险管理- 将风险管理职责嵌入组织中，包括IT资产的保护、灾难恢复和业务连续性。 资源管理- 对IT资源

9、（应用系统、信息、基础设施和人员）的优化投资并适当管理，关键问题在于知识和基础设施的优化。 绩效考评- 追踪并监控战略实施、资源使用、流程绩效、服务交付以及诸如平衡记分卡的使用等，监督IT服务质量。没有绩效测量就无法对以上四个域进行有效管理。 IT治理的关键因素 IT治理的关键因素就是要使IT与业务融合，以实现组织的业务价值。通过IT治理框架和最佳实践的应用，在组织内促成目标实现。IT治理框架和最佳实践是由一系列组织结构、流程及相关机制组成。 关键的IT治理因素包括：IT战略委员会、风险管理和标准IT平衡记分卡。 审计师在IT治理中的职责 审计是组织成功实施IT治理的一个重要角色，对于向高级管

10、理层提供建议，帮助改善IT治理质量和效果而言，审计处在最佳的位置； 通过引入审计师独立的、中立的观点，可以对IT治理绩进行持续有效的监督、分析、评估，以指导与改进与IT治理相关的IT过程； IS审计师的要对IT治理的各个方面进行评估IS职能与组织使命、愿景、价值、目标和战略的一致性 法律、环境、信息质量、委托、安全和隐私方面的要求 组织的控制环境 IS环境的固有风险 l A3.IT战略委员会 是董事会实施其IT治理目标的重要机制，一般隶属于董事会，由董事会成员及非董事会成员组成，它主要职责是协助董事会治理和监督企业的IT相关事务; IT战略委员会应当保证在组织中以结构化的方式来实施IT治理，而

11、且董事会可以获得足够的信息来实现IT治理的最终目标。 组织在执行经理层设置IT指导委员会来处理关系到整个组织的IT事务，比如：追踪IT投资、设定项目优先级、分配IT资源等。 指导委员会职责分析表是CISA应当掌握的知识 l A4.IT平衡记分卡（BSC） 绩效测评是企业管理中的重要因素，没有绩效测评就无法对业务进行有效管理，但随着企业创造价值的方式由有形资产逐渐转向无形资产，对无形资产的衡量，不能采用传统的针对有形资产的财务数据方式； 平衡记分卡是目前企业管理中较流行的绩效测量工具，它可以把企业战略转化为实际的行为，从而实现企业目标； 这种绩效测评系统超出了传统的财务记帐方式，它不仅衡量财务数

12、据，还要对业务过程与基于知识的资产等方面进行测评，在顾客满意度、内部流程和创新能力等方面进行了补充，组成了财务、客户、过程和学习四个视角。 标准IT平衡记分卡是CISA应当掌握的内容。 平衡记分卡的四个视角： 财务视角为使股东满意，我们需要达到什么样的财务目标？ 客户视角为实现财务目标，我们需要服务什么样的客户？ 过程视角为了提高客户和利益相关者的满意度，我们需要建立什么样的内部业务过程？ 学习视角为了达成目标，组织应当如何学习与创新？ 为了把平衡记分卡应用于IT，还应使用一个三层构架来描述其四个方面的评价要素： 使命 成为首选的信息系统供应商 经济、有效地交付IT应用系统和服务 IT投资能获

13、得一个合理的业务回报 抓住机遇应对未来挑战 战略 开发良好的应用系统与运营 建立用户伙伴关系和良好的客户服务 提高服务水平，优化价格结构 控制IT费用 为IT项目赋于业务价值 提供新的业务能力 培训和教育IT职员，追求卓越 为研究和开发提供支持 措施 提供一套稳定的指标（如KPI ）来指导面向业务的IT决策 IT平衡记分卡实例 是协调董事会和管理层实现IT与业务融合最有效的方法； 目标就是通过建立一种面向董事会的管理报告工具，使利益相关者在IT战略目标上达成一致，以表明IT的有效性和增值性，同时便于组织在IT绩效、风险和能力方面进行沟通。 A5. 信息安全治理 信息可以定义为“具有特定意义和目

14、标的数据”。信息在我们当今的生活中发挥着越来越重要的作用，已成为所有组织业务活动中不可缺少的组成部分，越来越多的公司已将信息作为其主营业务，如Google、eBay、Microsoft、网易等。 当今已很难找到不接触信息技术的企业，随着全球网络互联时代的到来，在企业突破其传统边界向虚拟世界不断扩展的背景下，信息安全己成为重要的治理问题而出现在我们面前。 信息犯罪和恶意行为已成为越来越多的高级犯罪分子的选择。恐怖分子和其他敌对社会的人也使用IT技术来宣扬他们的观点并传播其恐怖行为。 信息安全治理具有特定的价值驱动：信息的完整性、服务的持续和信息资产的保护。 IT安全定位于安全技术，通常由CIO级

15、别的人推动；信息安全着眼于信息所涉及的风险、收益和流程，必须由执行管理层和董事会的支持，信息安全治理是董事会和执行经理的职责。 信息安全治理能带来的收益 落实在向公众或监管部门提供不准确信息，在保护隐私信息（如泄露信用卡或其他敏感客户信息）中未保持应有的谨慎等方面，组织及其管理者应当承担的公民或法律责任 提供对政策和标准的符合性保证 通过降低风险至既定的可接受水平，减少业务运营的不确定性，提高可预见性 为有限的安全资源的最优化分配提供结构和框架 为关键决策不基于错误信息提供适当水平的保证 为风险管理、流程改善和事件快速响应的效果与效率提供一个稳定的基础 明确重大业务活动期间（如公司合并及购并、

16、业务流程恢复、法律回应等）的信息保护责任 有效的信息安全治理可达到如下效果： 战略一致 使信息安全与业务战略保持一致以支持组织目标。 风险管理 管理和实施适当的措施以降低风险并减少对信息资源的潜在影响至可接受水平。 价值交付 优化安全投资以支持业务目标。 绩效测评 衡量、监督和报告信息安全流程，以确保实现SMART 目标（确定的、可度量的、可实现的、相关的和符合时间要求的）。 资源管理 有效利用信息安全知识与基础设施。 流程整合 关注组织安全管理保证流程的整合。 业务流程保证的最新概念： 整合是一个把所有相关保证因素综合在一起考虑，来确保流程能环环相扣整体运营的概念。 要实现整合，应当考虑以下

17、内容： 确定组织中的所有保证职能 与其他保证职能建立正式的衔接关系 协调所有保证职能，实现更加完整的安全 明确各保证职能接合部位的角色与职责 信息安全治理是企业治理的一部分，企业治理为安全活动提供战略方针并确保其目标的实现，企 业安全治理则确保能适当地管理信息安全风险并合理使用企业信息资源。 为实现有效的信息安全治理，管理层必须制定和维护一个框架，以指导建立和管理一个支持业务 目标的全面的信息安全流程。 该治理框架一般由以下内容组成： 在本质上与业务目标相衔接的全面的安全战略 对战略、控制和法规进行全面落实的政策 确保规程和指南能与政策保持一致的一整套标准 不存在利益冲突的一套有效的安全组织架

18、构 对符合性进行监督并能反馈其效果的制度化的监督流程 组织必须在治理层面为领导者分配企业安全职责，而不是由那些缺乏权力、责任和资源的其他人员来充当并强迫其执行。各层级的安全职责： 董事会与最高管理层 有效的信息安全治理只有通过董事会及最高管理层参与批准政策、适当的监督和衡量指标、报告和趋势分析来实现。 执行管理层 制定有效的信息安全战略、实施有效的安全治理指导委员会 为确保安全程序与业务目标的一致性提供持续的基础，也是实现向有益于形成最佳安全文化的行为改变的手段。 首席信息安全官 不管是专职的CISO还是由CIO、CTO等角色来兼任，组织应当在高级管理层设置首席信息安全官。 lA6.企业架构（

19、EAEnterprise Architecture） 所谓企业架构就是通过一种结构化的方式来反映组织的IT资产，并有效管理对IT投资。 企业架构系统而又完整地定义了组织的当前（基准）环境和期望（目标）环境的蓝图。 对于信息系统的更新以及开发新系统而言，建立EA 是必不可少的前提。 EA从逻辑或业务（如职能、业务职责、信息流和系统环境）以及技术（如软件、硬件、通信）两方面来定义的，并且包括从基准环境转换到目标环境的顺序规划。 技术驱动的企业架构是为了澄清现代组织面临的复杂技术选择问题； 业务流程驱动的企业架构是为了更好地理解组织业务的核心流程及支持流程。 业务流程驱动的企业架构的作用 更好地理解

20、组织业务的核心流程及支持流程及相关支持技术，对现有流程中的不合理部分进行重新设计或改造，从而达到优化流程、降低成本、提高绩效的目的。 各种业务流程模型： 增强型电信运营图(eTOM Enhanced Telecom Operations Map) 供应链运营指引模型(SCOR Supply Chain Operations Reference) IBM的保险应用架构IAA模型（Insurance Application A Architecture ） 美国联邦政府业务构架模型FEAFederal Enterprise Architecture B. 信息系统战略 B1.战略规划 从信息系统角

21、度看，战略规划是组织为了利用信息技术来完善其业务流程而确定的发展方向及长期的计划。 在制定战略规划过程中，最高管理层的职责包括确定成本有效的IT方案以解决该组织面临的困难，并提出识别和获取所需资源的行动方案。 有效的IT战略规划要考虑组织对IT及IT能力的需求。 IS审计师应十分注意IT战略规划的重要性，并充分考虑其管理控制流程，确保IT战略规划与整体业务战略保持一致。 B2. 指导委员会 高级管理层应当组建一个计划或指导委员会，监督其信息系统的职能和业务活动，这是确保信息 系统部门与公司宗旨和目标协调的一种机制。 最好是从董事会中挑选一位理解信息技术与风险管理的成员来负责信息技术，并担任该委

22、员会的 主席。委员会应当包括来自高级管理层、用户部门和信息系统部门的人员。 委员会的职责应当在正式章程中指定。委员会成员应当了解信息系统部门的政策、程序和流程。 每个成员应当在其负责的领域内有权做出决定。 委员会应当定期开会，并向高级管理层汇报。信息系统指导委员会的正式会议记录应当记载委员 会的活动和决议。 指导委员会的主要职责： 审查IS部门的长期和短期计划以确保其符合公司目标 在董事会批准的权限内，审查和批准重要的硬件和软件获取 批准并监督重要项目、IS计划及预算进度，设定优先级，批准标准和流程并监督所有的IS绩效 审查和批准所有IS活动的承包策略，包括内包或外包以及全球离岸职能 审查资源

23、的充分性以及时间、人力和设备资源的分配情况 在集中与分散管理之中做出决策并分配职责 对制定和实施企业级信息安全管理程序提供支持 向董事会报告IS活动 C.政策和规程 l C1. 政策 政策是高层次的文件，政策代表了企业文化和高级管理层和经营过程所有者的战略思考。 与组织的总体性目标和方向有关的政策的制订、开发、记录、推广和控制的责任应当由管理层承担，通过制定政策来为组织创造一种积极的控制环境。 根据公司总体政策采用自顶向下的方法来开发部门政策是较好的选择，因为它确保了各级政策的一致性。 自底向上的方法更加灵活实用，但容易造成政策间的不一致和相互矛盾。 管理层应当定期审查所有政策。政策也需要不断

24、更新，反映新的技术和经营过程的重大变化，利用信息 技术提高生产效率和获取竞争效益。 信息系统审计师要理解政策并对政策进行符合性审查是审计工作中的重要环节 信息安全政策 安全政策用来与用户、管理层和技术人员沟通相关安全标准，指导整个组织来确定所需保护的内容、相应 的保护职责以及保护工作应遵循的策略。 信息安全政策文件 信息安全的定义、整体目标和范围 陈述管理层意图、支持信息安全与业务战略和目标保持一致 设定控制及控制目标的框架，包括风险评估和风险管理 说明安全政策、原理、标准及以下重要的符合性要求 对法律、法规及合同要求的符合性 安全教育、培训和意识需求 业务持续性管理 违背信息安全政策的后果

25、明确信息安全管理人员的总体及具体职责，包括事件报告 政策所参考的文件、标准和规程 对信息安全政策的审查 管理层应当定期或在发生重大变化时对信息安全政策进行审查，以确保其适当性、充分性和有效性。应当为信息安全政策指定所有人，来批准安全政策的制定、审查和评估等管理职责。 IS审计师在检查政策时需要评价以下内容： 政策的制定依据，一般情况下是基于风险管理过程 政策的适当性 政策的内容 政策的例外情况，特别注意政策的不适用领域及原因，如：可能与遗留系统不相容的口令政策 政策批准流程 政策实施流程 政策的实施效果 意识与培训 定期审查与更新流程 C2.程序 程序是详细的文件，根据组织的政策而制定并体现其

26、精髓。程序必须清晰和准确，使接受者易于准确地理解。 程序记载了业务流程及其内在控制，程序一般由中层管理人员制定，是政策框架下的具体化措施。 程序比相关政策更加易于变化，它们必须反映业务重点和环境的不断变化。 独立的审查对于确保政策和程序被正确地理解和执行是必要的 D.风险管理 l 定义 风险管理是确定组织在实现其业务目标的过程中所使用的信息资源的脆弱性和面临的相关威胁的过程 有效的风险管理始于清楚地理解组织的风险喜好。 风险管理包括识别、分析、评估、处置、监督和沟通IT 流程的风险影响。一旦确定了风险喜好与风险承受能力，就可以制定风险管理策略并分配职责。 根据风险类型及其对业务的影响程度，可以

27、选择以下措施来应对风险： 避免风险：在可能的情况下，尽量选择不从事导致风险的特定活动或流程（通过消除风险源来消除风险） 降低风险：通过制定、实施并监督适当的控制来降低风险发生的可能性及其影响 转移风险：与业务伙伴分担风险或通过保险、合同约定及其他方式来转移风险 接受风险：正视风险的存在并对风险进行监控l D1.开发风险管理程序 第一步：确定风险管理程序的目的 确定组织建立风险管理程序的目的，可能是降低保险费用，或者是减少相关系统的损害。 在实施风险管理计划之前确定其意图，组织可以确定关键绩效指标并评价其结果。 一般情况下，由执行管理人员和董事会来设定风险管理程序的基本要求。 第二步：为风险管理

28、计划分配职责 为制定和实施组织的风险管理程序向个人或团队分配职责。 当风险管理计划的主要职责由团队负责时，其成功因素是把风险管理与组织内各个层级进行整合。 运营管理人员和董事会成员都应当协助风险管理委员会识别风险、设计适当的风险控制并介入战略的制定。 D2.风险管理过程l几个重要概念 IT资产：软件、硬件、信息、人员、服务、文档 脆弱性：是信息资产固有特征，可以被威胁利用而造成 损害；内控缺陷也可以认为是一种脆弱性 威胁：对信息资源造成损害的任何潜在情况或事件，威胁的发生是由于资源存在脆弱性 影响：威胁发生后造成的结果，能导致资产损失几个概念间的关系：脆弱性导致威胁发生，威胁的发生造成影响，从

29、而带来IT资产的损失 剩余风险：实施控制后剩下的、没有被有效控制的风险 可接受风险水平：由管理层确定的、可以接受的剩余风险水平，超过这个水平的风险需要实施更强的控制，而在这个水平之下的剩余风险也应该评价是否采用了过多控制，要考虑是否降低控制水平以节约成本。 l IT风险管理在多种层面上进行综合分析 运行层面应当关注能够危害IT系统及其基础设施有效性的风险；绕过系统安全措施的风险，造成重要资源（如：系统、数据、通讯、人员、场所等）损失或不可用的风险，违反法律、法规的风险。 项目层面管理层应当理解并管理项目的复杂性，关注项目目标不能达到时所带来的后续风险。 战略层面应当关注IT能力如何与业务战略保

30、护一致，如何保持对竞争对手的优势，如何应对新技术的发展带来的威胁等。 l风险分析方法 定性方法 定性的风险管理方法是最简单并且最常见的方法，它们一般基于问卷式的检查列表(Checklist)和主观式的风险定级。 分级类型 定性分级程度 相对较粗的分级 低、中、高 详细分级 可忽略、低、中、高、非常高 更详细的分级 （低）0、1、2、10 （高） 定量方法 概率与期望值 一旦设置了事件发生的概率（P，0 P 1 ），如果存在一个价值为V的资产（有可能受到相关事件影响），那么期望损失就是VxP （资产价值乘以事件发生的可能性） 年预期损失方法 ALE = V EF ARO 例如： 假定某公司投资5

31、00,000 美元建了一个网络运营中心，其最大的威胁是火灾，一旦火灾发生，网络运营中心的估计损失程度是45 。根据消防部门推断，该网络运营中心所在的地区每5 年会发生一次火灾，于是我们得出了ARO为0.20 的结果。基于以上数据，该公司网络运营中心的ALE 将是： 500000X0.45X0.2 45,000 l 管理人员和IS审计师应当考虑以下因素： 应当对整个组织中所有IT职能实施风险管理 风险管理是高级管理层的职责 优先采用量化的风险管理方法 量化风险管理的难点在于：评估风险值（概率）、对主观性和定性方法的依赖量化风险管理提供更加客观（可追踪）的假定 所使用方法或软件的复杂或精巧程度不能

32、取代业务常识或职业勤奋 应当特别注意并充分考虑那些影响非常高的事件，即使其发生的概率非常低。 E.信息系统管理实务 E1. 人力资源管理 人力资源管理涉及到人员的招聘、选用、培训和晋升，业绩考评，员工纪律，继任计划等组织政策与规程。由于这些活动与IS职能密切相关，其效果将影响员工表现及IS职责的履行。主要内容有： 聘用 员工手册 晋升政策 培训 日程和工时报告 员工业绩评价 强制休假 解聘政策 l E2.资源配备实务 组织为获得IT功能支持业务,采购与配备资源方式有: 内包型(Insourced)IT功能全部由组织中的员工实现； 外包型(Outsourced) IT功能全部由外商服务供应商提供

33、； 混和型(Hybrid) IT功能由组织中的员工及外部服务商共同提供。 信息系统功能可以在全球范围内实现，以利用时区和劳动力价格方面的优势，主要方式有： 本地型(Onsite)员工工作在组织办公场所中的信息系统部门内； 外地型(Offsite)员工工作在同一个地理区域内的远程站点； 离岸型(Offshore)员工工作在不同地理区域内的远程站点； l决策资源配置方式的依据 是否为组织的核心职能？ 是否有满足目标所需的不可替代的特有知识、流程和员工？ 外包给其他组织或地方的价格是否相同或更低？质量是否相同或更高？是否未增加风险？ 组织是否拥有管理第三方及使用远程或离岸方式执行IS或业务职能的经验

34、？ l 外包实务 外包实务就是某个组织根据协议，将部分或全部信息系统部门的职能转交给外部实体。 外包是为了获取和利用服务提供商的核心竞争能力，达成持续、有意义的对经营过程和服务的改进,并降低IT成本。 第三方可以提供的服务包括： 数据录入 在组织内部员工不具备所需技能、具备所需技能的员工正在执行其他更紧迫的任务或是为了完成某项一次性任务而不想招聘新员工时，由第三方来设计和开发新系统 对现有系统进行维护，以腾出内部员工开发新系统 把遗留系统向新平台转换，如通过某个专业公司把旧应用系统转换到WEB平台 帮助台或电话中心的运营 日常运营 外包的风险 外包的优点 成本超过预期值 实现规模经济效益 u

35、丧失内部人员获得经验机会 投入更多的时间提高效率 u 丧失对IS的内部控制 有处理问题的经验和技术 u 供应商出现业务故障 采用合同协议约束外包编制出更好的说明书 u 有限的产品访问权限 难以改变外包商的工作安排 很少出现项目失控和延期 u 缺乏对法规要求的遵循性 控制风险的措施 u 未满足合同条款 外包人员缺乏对客户的忠诚 制定可衡量的、伙伴式利益共享目标和回报机制 u 工作安排令客户及员工不满 使用多个供应商或保留一 服务成本不具有竞争性 部分业务作为激励机制 u供应商IT系统的陈旧过时 定期对竞争趋势进行审查 u 未实现预期收益 实施短期合同 u 项目失败危及双方的声誉 组建跨职能合同管

36、理团队 u 持久、昂贵的诉讼 在合同中适当考虑可合理 u信息或流程丢失及泄漏风险 预见的多数偶然因素 l 全球化战略要注意的问题 法律、法规和税收问题 在不同的国家或地区运营IS职能，组织可能由于不了解情况而引入新的风险 持续运营 业务持续和灾难恢复计划可能不充分并且未经测试 人员 可能未考虑到所需的人力资源政策调整 通讯问题 远程或离岸的网络控制及访问面临更加频繁的故障及大量的安全风险 跨国界及跨文化问题 管理多时区、多语言、多文化的人员及流程可能出现难以预料的问题 l第三方审计报告 第一种方法是要求供应商定期提交第三方审计报告，这些报告涵盖了与数据机密性、完整性、可用性相关的问题。 IS审

37、计师与被审计人应当同时接受所选定的第三方审计师，并且必须事先同意。对一些特定行业，第三方审计可能属于法定的监督和控制。 例如：美国注册会计师协会（AICPA ）制定的SAS70及英国、加拿大的类似法规都通过法律来要求特定行业出具第三方审计报告。 SAS70的制定目的是指导审计师报告服务机构的内部控制相关问题，所报告内容可作为用户组织财务报告中信息系统章节的一部分。SAS70也为外部审计师对使用服务机构的实体实施财务报告 审计提供指南。 第二种方法是允许组织内的审计师对供应商进行定期审计。由于每次审计都花费供应商较多的时间和资源，供应商可能会不接受这种方法。 外包治理 外包是允许组织把服务交付转

38、由第三方提供的机制。接受外包的基本原则是：虽然将服务交付转移，但其责任仍属于组织内管理层，他们必须确保对风险的适当管理及供应商持续的价值交付。决策制定流程的透明性及所有权必须保留在组织内部。 决定外包是一项战略，而不只是一个采购决策。采用外包的组织通过识别并保留其核心业务而将非核心业务外包来有效地重新配置组织的价值链。 外包治理能支持建立并保持竞争和市场优势，有效地应对竞争和市场环境的变化。 外包治理是一系列责任、角色、目标、衔接和控制机制，用来预测变化及管理第三方服务的引入、维护、绩效、成本和控制。 管理第三方服务交付 服务交付 第三方服务交付协议中的安全控制、服务定义和交付水平应当由第三方

39、来实施、运营和维护。 第三方组织的服务交付内容应当包括既定的安全部署、服务定义及服务管理等方面。 组织应当确保第三方组织维持充分的服务能力，同时制定可行的计划以确保在发生主要服务故障或灾难时能维持既定的服务 水平。 监督和检查第三方服务 监督服务性能水平，检查对协议的遵循性 检查第三方提交的服务报告，按照协议要求定期举行会议 提交信息安全事件的相关信息 针对安全事件、问题等检查第三方审计轨迹和记录 解决已识别的问题并予以管理第三方服务的变更管理 考虑业务系统的关键性及其流程进行管理，并重新评估风险。 服务改善及用户满意度 SLA为外包商执行IS职能设定了基准，另外，组织可以在合同中设定预期的服

40、务改善、相关的处罚及奖励。服务改善的内容包括： 减少帮助台的呼叫次数 减少系统错误的数量 改善系统可用性 服务改善应当经过用户同意，IT目标应当是改善用户满意度并实现业务目标。应当通过用户访谈和调查来监督用户满意度。 行业标准和基准 行业标准和基准为确定相同的信息处理设施环境所能提供的绩效水平提供了一种方式。可以从供应商的其他用户、行业出版物和专业协会获得这些标准或基准表，例如ISO9000和软件工程协会的CMM。外包组织必须遵循其客户所依赖的一系列良好设计的标准。 E3. 组织的变更管理 变更管理是对组织中IT的变更进行管理，它通过制定明确的并正式成文的流程，识别并实施对组织有益的IT架构和

41、应用系统方面的技术改进。 信息部门一方面可以利用技术的变化与更新来优化业务流程，另一方面在组织高级管理层的支持下，通过正式的变更管理程序来实施IT本身的可持续发展。 E4. 财务管理实务 在成本密集的计算机环境中，良好的财务管理是非常重要的。 建立IT用户的记费机制（chargeback ）可以提高应用水平、监督信息系统费用和可用资源。 信息系统预算应当与IT的短期计划及长期计划结合起来考虑 E5. 质量管理 质量管理是信息系统基于部门的流程得到有效控制、评价和改善的手段。 流程是由一系列任务组成，如果这些任务被正确地执行，就可以产生预期的结果。 信息系统审计师应当关注业务职能和流程是否按标准

42、（例如ISO9001：2000、ISO9126 、CMM等）正式成文并被遵照执行，是否产生了预期结果。 信息系统审计师关注信息系统组织中是否存在 以下流程文档： u 计算机操作 u服务管理 u 系统软件采购、实施和维护 u硬件采购和维护 u 应用软件采购或开发及维护 u管理报告 u 物理和逻辑安全 u短期和长期计划 u 工时报告 人力资源（HR）管理 E6. 信息安全管理(ISO17799) 信息安全管理在确保组织所控制的信息和信息处理资源受到适当的保护方面起着重要作用， 它领导和促进整个组织范围内的IT安全程序的实施. 信息安全管理主要包括了安全方针策略的制定、组织与人员的安全管理、访问控制

43、、支持组织关键业务流程的业务持续计划和灾难恢复计划等内容。 信息安全管理的更多内容见第5章“信息资产的保护”。 E7. 绩效优化 绩效优化是指在无须对信息技术基础设施追加额外投资的情况下，将信息系统的生产力提高 到可能达到的最高水平。 绩效优化是由绩效指标推动的过程，这些指标是基于组织业务活动和流程的复杂性、战略性 的IT解决方案以及公司实施IT的主要战略目标来确定的。 绩效指标的主要功能：衡量产品和服务、管理产品和服务、确保责任制、制定预算决策、优化绩效 绩效优化的工具COBIT管理指南它是为了满足IT 经理进行绩效评价的需求而设计的，它为IT的34个 主要流程定义了关键成功要素、关键目标指

44、标、关 键绩效指标和成熟度模型。 管理指南的重要内容： u 关键成功要素(CSF ) 管理指南要回答的问题： uu关键目标指标(KGI ) 成本与效益我们究竟应该走多远，成本与利润比例是否合适？ 关键绩效指标(KPI ) 成熟度模型 绩效评价对于好的绩效的度量指标是什么？ u u IT控制环境什么是重要点？关键成功要素是什么？ u 意识不能达到我们的目标的风险是什么？ u 基准测量他人在做什么？我们应该怎样测量和比较？ F.信息系统组织结构和责任 信息系统部门的组织结构（略）F1.信息系统的任务和职责 对信息系统各种职能进行审查技术支持 技术支持经理(Technique Support Man

45、ager) 系统管理员（System Administrator ） 网络管理员（Network Managers ） 系统程序员(Systems Programmers)运行部门（Operations ） 运行经理(Operations Manager) 计算机操作员(Computer Operator) 控制组 （Control Group ） 资料库管理员（Librarian ） 数据录入 （Data Entry ） 应用系统开发（Application Development ） 系统开发经理(System Development Manager) 系统分析员（Systems Anal

46、ysts ） 应用系统程序员(Applications Programmers) 安全与质量(Security and Quality) 安全架构师 （Security Architect ） 安全管理员（Security Administrator ） 质量保证 （Quality Assurance ） 数据管理（Data Administration ） 数据经理(Data Manager) 数据库管理员（Database Administrator ） 客户服务(Customer Services) 最终用户支持经理(End-user Support Manager) 帮助台(Help

47、Desk) 最终用户 （End User ） l F2.信息系统中的职责分离 职责分离可以避免因为某一个人负责多个关键的职位而造成不能在日常的业务活动中及时地 发现其错误的情况。 职责分离是威慑和预防欺诈或恶意行为的一种手段。 应当分离的职责包括：资产保管、授权批准、交易记录 审计师必须获得足够的信息以了解各种工作职位、责任和授权之间的关系，从而评估职责分离是否充分。 职责分离矩阵（略）对职责分离的控制 交易授权 资产保管 数据访问控制（物理层、系统层及应用层，职责分离和最小授权原则） 授权表单（Authorization Forms ） 用户授权表格 （UAT，也叫访问控制列表ACL ） 针

48、对缺乏职责分离的补偿控制 u 审计踪迹(Audit Trails) u 核对(Reconciliation) u 例外报告(Exception Reporting) u 交易日志(Transaction Logs) u 监督性审核(Supervisory Reviews) u 独立性审核(Independent Reviews) G.对信息系统的管理、计划和组织的审计 审计时，这些重要信号表明信息系统具有潜在风险： 最终用户的态度不友好 不受支持或未经授权的采购 过多的成本 频繁的软硬件升级 预算超支 大量的例外报告 延期的项目 未跟踪处理的例外报告 缺乏动力 过高的员工离职率 缺乏持续性计划

49、 缺乏经验的员工 依赖一两个关键员工 频繁的软硬件故障 缺乏充分的培训 用户请求的过度积压 迟缓的计算机响应时间 大量的中止或暂停的开发项目 lG1.审核文档 信息技术战略、计划和预算 安全政策文档 组织/职能图 工作描述 指导委员会报告 系统开发和程序变更流程 操作程序 人力资源手册 质量保证程序 lG2.审核合同约定 制定合同需求和服务水平 合同竞标过程 合同选择过程 合同接受 合同维护 合同遵守 在管理层授权的前提下，每个阶段都应当有法律文件。信息系统审计师应当验证合同订立过程中管理层的参与，并确保在恰当的周期内对合同遵循性进行审核。本章小结 企业治理目标是在保证组织运营满足法律要求及社

50、会责任的前提下，实现充分利用机遇和增加利益相关人价值之间的平衡。 IT战略委员会监督IT价值、风险和绩效，为董事会提供IT战略决策的支持信息。 IT治理的一个关键内容是信息安全治理。 信息安全治理应当有信息安全战略、政策和组织结构来实行和支 持。 IT治理关注确保IT向业务交付价值。 风险管理是一个流程，通过它来识别组织为实现业务目标所使用的信息资源的脆弱性和威胁，并基于信息资源对组织的价值，确定能降低风险至可接受水平的对策。 衡量风险可使用定性分析、半定量分析或定量分析。 影响战略、资源使用和IS部门有效性的关键管理流程包括：人力资源管理、变更管理、财务管理、质量管理、信息安全管理和绩效优化

51、实务。 职责分离的目标是通过识别补偿性控制来降低或消除业务风险。必须明确分离的职责包括：资产保管、授权和交易记录，如果需要合并这些职责，应当采用补偿性控制。 CISA难点之二 理解业务需求的重要性l对一个组织而言，IT因业务而存在，离开了业务需求IT没有存在的价值，不管是IT治理目标，IT战略、计划、流程、开发、设计、实施均应落脚在业务需求上，业务需求、风险与控制是贯穿整个CISA教程的主线，应特别关注试题中与此有关的选项。 CISA难点之三 知识掌握的广度与深度 l 对于从事审计相关工作的，对风险与控制的把握不会存在问题，准备的重点可放在知识面上，主要是理解概念及其应用，具体来讲就是概念及主要特点、实际应用中的优缺点、存在的主要风险及控制手段、相应的审计方法或步骤等