IT治理模型范文（精选8篇）

IT治理模型 第1篇

为了在我国推行I T治理, 必须要制定一套既与国际接轨又符合中国国情的IT治理标准, 借鉴国外的先进经验, 尽快研究I T治理目标指标参考模型是开展I T治理的基础, 更是促进我国信息领域健康发展、迎接世界挑战的关键。

治理专业组的工作目标是通过对信息及相关技术控制目标C O B I T 4.1与I T投资价值V a l I T的指导过程和支持实践进行研究开发, 并结合国际标准I S O/IEC 38500-2008《信息技术的法人治理》, 制定我国的信息技术治理标准。

工作组经过近一年的调查、分析、研究, 采用理论与实践结合、国际与国内结合、定性与定量结合、通用与个性结合以及实证研究等方法, 完成了I T治理目标指标参考模型。

以IT治理国际标准ISO/IEC 38500为准则与基于过程的控制目标COBIT进行交叉映射, 构建了一套具有自主知识产权、与国际接轨又能操作的I T治理目标指标参考模型, 从而有效地控制和管理与I T相关的风险, 确保信息系统的绩效与合规。并通过收集实证数据, 进行信度和效度分析, 对I T治理目标指标参考模型的可靠性和合理性进行检验, 这对于完善IT治理理论、指导IT治理实践具有重要的理论意义和现实意义。

基于绩效与合规的IT治理理念

I T治理要求绩效与合规的平衡。关注信息化的效果, 大量的投入是否有结果, 是否有绩效, 企业信息化要对股东负责, 电子政务要对纳税人负责。IT投资已不再是仅仅关注IT解决方案的实施, 而是关注IT实施后的结果。但是, 关注绩效的前提是合规, 追求的是合规原则下的最大绩效。同样, 讲合规也不是不要绩效, 增强风险管理意识, 建立有效的风险监督机制, 控制各种高风险, 针对各种不同的规范, 审查规范的执行状况, 避免风险的产生。这种合规性的审查也要讲成本, 因此, I T治理是管理者与利益相关者的共同责任, 确保所有IT活动既有绩效又要合规。IT治理是绩效与合规的平衡。

I T治理目标指标参考模型是开展IT治理的基础, 是研究IT治理的评价、指导与监控成败的关键, 必须以绩效与合规为两条主线, 不可偏废。以下问题也是以绩效与合规为基础来考虑的, 要从I T投资中获取价值, 要有绩效需要制定哪些决策?由谁来制定这些决策?要合规又如何制定和监控这些决策?关键的I T决策是重要的, 要探索一套切实可行的决策制定权分配模式, 还要制定一系列切实可行的实施I T治理的机制, 设计一个将I T和整个业务目标相结合的治理安排矩阵。不要将IT的职能孤立, 应该将IT作为组织的一种能力, 追求I T的绩效, 同时要保证合规, 要求绩效与合规的持续改进。

治理专业组模型构建过程

IT治理目标指标参考模型是IT治理标准的重要组成部分, 其构建必须理论与实践结合, 国际与国内结合, 定性与定量结合, 通用与个性结合, 在借鉴国外I T治理先进标准、最佳实践与个案研究的基础上, 采用目标过程指标G P M方法、专家咨询、专题小组讨论、问卷调查、实证研究等相结合的方式, 经历一个严谨、科学而复杂的筛选、完善与论证过程。

首先, 治理组在对国外IT治理标准ISO 38500、COBIT和Val IT等剖析的基础上, 分析了各种最佳实践与个案, 并在调研国内信息化建设情况的基础上, 结合国际先进理论和经验的研究, 工作组内部采用G P M方法, 经过反复讨论、论证和问卷调查, 对IT治理目标指标参考模型从1.0版不断改进到6.0版本。经过专业组外的有关专家进行论证, 及针对各大企业的C I O、C F O等高层领导的问卷调查, 形成最终的I T治理目标指标参考模型8.0版本。通过以上严谨、科学的筛选、完善与论证过程, 得到了相对比较完整、通用、科学、先进、与国际接轨又可操作的I T治理目标指标参考模型。

IT治理目标指标参考模型映射分析方法

I T治理目标指标参考模型是研究I T治理的评价、指导与监控成败的关键因素。美国IT治理研究院的COBIT提供了一个详尽的包含3 3 7个指标的I T治理目标指标参考模型, 数量过于庞杂, 在实践中常常让人无从选择。2 0 0 8年颁布的I T治理国际标准I S O38500提出了IT治理的六大准则, 又过于宏观, 可操作性差, 无法指导实际的I T治理活动。如何构建一套具有自主知识产权、与国际接轨的、又能操作的I T治理目标指标参考模型是关键。在研究方法上, 基于I S O 3 8 5 0 0和C O B I T, 采用了目标过程指标G P M方法构建了I T治理目标指标参考模型。其中, 目标层为ISO 38500定义的六大IT治理目标, 从ISO 38500定义的六大I T治理目标出发, 通过过程层将ISO 38500的IT治理目标与C O B I T中相关的I T过程进行映射关联。指标层则从C O B I T的I T过程出发, 筛选和提取能反映各治理目标执行状况的指标。通过层层细化分解, 最终在治理目标和指标间建立起相互的映射关系。图1给出了用目标过程指标G P M方法构建的I T治理目标指标参考模型。

参考模型实证检验

作为IT治理标准的核心要素, IT治理目标指标参考模型的质量是重要的, 是IT治理活动得出科学、准确、合理结果的重要前提。通过实证方法, 对I T治理目标指标参考模型进行信度和效度的评估与分析。信度评估的目的是为了考察I T治理目标指标参考模型的可靠性程度, 效度是指正确性程度。

2006 IT政策:规划与治理 第2篇

信息产业“十一五”开门红

2006年是我国“十一五” 规划的开局之年。信息产业如何在开局之年打开一个良好的开端？在2005年底召开的一年一度的信息产业部厅局长会议上，信息产业部部长王旭东给出了答案。他在专题讲话中强调，2006年要把工作重点和工作重心放在与“十一五”规划相关的各项重要项目中，信息产业的工作仍将围绕五大主题展开。

一是务实推进3G，在“统筹兼顾、全盘考虑”之下，3G的发展要与“电信改革”结合起来。

二是创新是“脊梁”，继续突出企业尤其是大企业集团的力量，引导企业加强研发中心建设并加大投入，推动形成以企业为主体、市场为导向、产学研相结合的技术创新体系。

三是加强对电信行业的监管，依法规范企业竞争行为，逐步建立电信资费的市场化形成机制，“切实保护消费者的合法权益”。

四是在政策法规方面，要积极配合有关方面开展《电信法》立法调研、论证、修改完善及立法审议工作；做好《无线电管理条例》修订相关工作；配合做好《邮政法》的相关立法工作；积极推进《软件与集成电路产业促进条例》和《信息技术应用促进条例》的制定工作；继续做好深化电信体制改革等方面的政策研究。

要继续做好互联网管理基础性工作，建立长效机制，打击网上各类违法犯罪活动。落实网络与信息安全责任制，加强对信息服务提供者的管理。另外，还要积极推进无线电频率和卫星轨道资源的统一规划、合理利用和科学管理。

五是要“推进农村通信发展”和“农村信息化建设”。“要开发适合农村特点、质量可靠且农民用得起的实用终端。”同时，“推动电信普遍服务基金的尽快出台，积极争取有关部门和地方政府给予政策上的倾斜。”

点评：建设社会主义新农村离不开信息化，而农村现代化又为信息产业开辟了新市场。农村信息化显然是今年的工作重点之一。信息产业部的工作越来越向“人性化”发展，政府的“倾听民意、了解民声、为人民服务”的话，不再仅仅是口号而已。

透视未来15年的IT机会

2月9日，长达4万多字的《国家中长期科学和技术发展规划纲要（2006～2020年）》（以下简称《规划纲要》）正式发布。《规划纲要》站在历史的新高度，以增强自主创新能力为主线，以建设创新型国家为奋斗目标，对我国未来15年科学和技术的发展做出了全面规划和部署。那么，《规划纲要》对IT产业的发展将产生哪些影响？

《规划纲要》首次把发展信息产业及现代服务业定位于“推进新型工业化的关键”。未来15年，信息技术创新将面临信息产业自身的核心技术和信息化关键技术这两大主战场。这预示着今后15年信息产业的发展将获得更多的政策支持和资源支持。

《规划纲要》明确指出，要把提高自主创新能力摆在全部科技工作的突出位置

今后15年，IT企业将有以下四大机会： 1.企业可以大量承接国家“技术”类创新项目。2.企业可以开始承接军方订单。这意味着，军方对IT产品采购的范围和数量都可能大量增加。3.政府对自主知识产权高新装备和产品实施首购政策。这意味着，政府补贴企业进口设备的政策，将逐渐改为补贴企业采购国产高新技术设备。4.企业可以利用财税优惠政策扩大研发投入。

建设创新型国家其实并不是倡导封闭环境下的自主创新，而是倡导企业利用全球化资本、全球化人才和全球化生产推进自主创新。

点评：今后15年，在中国的产业布局中，信息产业作为一个战略性和基础性的产业，将成为各行各业转变经济增长方式的核心手段。IT企业将拥有更多的技术研发机会。而全球化的自主创新将成为信息发展的核心推动力。

反垃圾邮件立法迈出关键一步

随着互联网的发展和普及应用，电子邮件被少数人利用发送垃圾广告、进行网络欺诈、传播反动色情信息、散布谣言、传播计算机病毒等，不仅影响了网民的正常网络通信，也对社会治安、网络安全乃至国家安全构成了直接威胁。

为了规范互联网电子邮件服务行为，保障公民、法人和其他组织的合法权益，根据《中华人民共和国电信条例》和《互联网信息服务管理办法》的规定， 2月20日，信息产业部公布了第38号令《互联网电子邮件服务管理办法》（下称《办法》）。该办法自3月30日起施行。

《办法》明确了适用范围，重申了电子邮件通信秘密保护原则，制订了互联网电子邮件服务管理的基本措施，明确了垃圾邮件的界定原则，确定了规范广告电子邮件的选择政策，建立了垃圾邮件的举报机制，规定了违反“办法”的处罚措施。

虽然《办法》在法律效力上仅仅是一部行政规章，但它是今后制订法律层次的反垃圾邮件法的基石。

点评：《办法》的出台，标志着我国反垃圾邮件立法迈出了坚实的一步、关键的一步。发送垃圾邮件的行为也要有所收敛了。

整治SP见成效

构建“和谐社会”是2006年政府倡导的主旋律。在这一前提下，移动信息服务企业（下称“SP”企业）中存在的大量违规坑害消费者利益的行为，显然成为主旋律中的一个不协调的音符。

针对社会各界反映日益强烈的SP虚假宣传、诱导或诱骗订制、强行订制并扣费等问题，信息产业部从年初开始，就开展了“畅通网络，诚信服务”治理增值业务市场的专项活动。6月，信息产业部更是集中力量在全国范围内开展“治理和规范移动信息服务业务资费和收费行为专项活动”。专项活动利用半年左右的时间，分步推进。

与此同时，中国移动、中国联通等电信企业也纷纷出台了相应的措施。中国移动一方面加强对SP监管，推出SP分层分级管理和梦网二次确认；另一方面构建精品业务，重塑消费者信心。中国联通采取的措施与中国移动如出一辙。

其实，活动能否取得实效的关键，在于基础电信企业能否采取有效措施从接入和代收费环节上来制约违规的SP。

点评：信息产业部不仅要切实维护消费者的合法权益，更为关键的是促进行业健康、持续地发展，形成政府监管、企业自律、社会监督的电信资费监管长效机制。老百姓需要的是实实在在的东西。

电子污染预防在先

随着电子信息产品种类和数量的增多，电子产品产生的电子垃圾造成的环境污染和危害已经成为全球瞩目的问题。

如何治理电子垃圾？2月28日，信息产业部正式发布了《电子信息产品污染控制管理办法》（简称《管理办法》），并于2007年3月1日施行。11月6日，信息产业部又发布了与之配套的三个行业标准：《电子信息产品中有害物质的限量要求》、《电子信息产品污染控制标识要求》和《电子信息产品中有毒有害物质的检测方法》。

《管理办法》对电子信息产品、电子信息产品污染、电子信息产品污染控制、有毒、有害物质或元素，以及电子信息产品环保使用期限等均给予了定义；对于如何控制电子信息产品污染做了具体的规定；对于违反了《管理办法》规定的行为将给予相应处罚。

应对电子污染，企业必须做到三个必须，即必须申办防治污染的认证标识，必须注意环保使用期限，必须兼顾欧盟出台的WEEE和RoHS标准。

《管理办法》出台的意义主要在于：1.体现了“污染防治，预防在先”的环境保护原则；2.将电子信息产品污染防治纳入法制化轨道；3.保护环境，节约资源；4.实现电子信息产业结构调整，产品升级换代；5.积极应对欧盟指令。

IT治理模型 第3篇

关键词：银行业,信息化,知识工程,IT治理

1 国内银行业IT治理现状分析

当前国际主流IT治理模型是以“过程控制、流程化、标准化”为核心。目前中国银监会借鉴国际IT治理经验,先后发布了《商业银行信息科技风险管理指引》[1]、《商业银行数据中心监管指引》[2],对信息化建设与管理提出了相关要求。当前中国的银行基本都建立了规范的IT管理架构、管理流程、管理制度,但由于银行体系是一个社会与技术相结合的复杂系统,在实际管理中常遇见一些问题,具体如下:

(1)银行信息系统体系的复杂性导致风险因素难以评估。银行的信息系统体系一般包括机房基础环境(主要涉及电力能源系统、空调制冷系统、安全控制系统等)、计算机主机、存储系统、网络环境、操作系统、数据库、中间件、应用开发平台、应用系统等模块,各个模块之间的关系错综复杂,涉及不同的供应商、实施商、开发商等利益相关者。银行信息系统体系的构造之复杂直接导致风险因素的评估困难。由于银行信息系统构造的复杂性,而且专业性极强,目前还没有成熟的科技风险评估模型与工具。

(2)事故原因以及影响范围难以确定,导致风险事件处置的实效性降低。当系统出现问题时,很难及时定位问题原因和确定影响到的业务子系统,例如,A银行业务系统交易突然中断,瞬间即产生大量的客户投诉电话,召集大批专家诊断,发现操作系统、通讯中间件、网络、应用系统均正常,最后发现是因为对某网络防火墙设备升级导致某通讯端口被屏蔽,从而使应用程序间通讯中断。这主要是因为银行信息科技体系各个模块错综复杂的关系导致问题定位困难。

(3)系统运维阶段对风险事件的处置严重依赖于关键技术人员。如果系统的关键开发人员流失或者开发商倒闭,就会直接导致信息系统的运行维护效率降低,甚至必需重新开发新的系统。这主要是因为缺乏完善的知识管理体系,缺乏员工知识与企业知识互相转化的机制。

(4)风险处置期间的关键资源无法及时获取。银行在风险处置期间通常需要各种各样的技术与管理资源,当一些小概率风险事件发生时,有时不能及时获取关键资源解决问题,产生严重的后果,例如:B银行业务系统凌晨3点业务交易出现异常,最后查明是数据库表记录出现死锁,但是当联系厂家数据库工程师时,发现电话一直不能接通。这主要是因缺乏对外部知识可用性的测试机制导致。

信息系统风险不可避免,要想提高银行的综合竞争力和科技风险防范能力,必须从企业发展战略全局的高度出发,寻求合适的IT治理模型。IT治理的主要目的就是保证银行信息系统的稳定运行,因此本文研究了银行业信息系统体系结构。

2 银行信息系统体系的ISM(解释结构模型)

本文采用ISM建模方法[3],构建了银行信息系统结构的ISM模型(见图1)。

由图1可知,银行信息系统体系具有典型的层次性特征,层间具有极强的相关性,主要的业务处理系统都位于ISM模型的最上层。根据ISM结构模型的特征可知,任何下层节点的变动都会影响到上层节点。由此可知,位于ISM模型顶层的系统在银行信息体系结构中受到的约束最多,是最脆弱的一层。

进一步分析可发现,ISM模型中的每个节点还可以细化,例如位于最底层的机房基础环境,包括电力能源供给系统、空调系统、安全控制系统等;计算机设备包括个人电脑、IBM服务器、HP服务器、SUN服务器等;操作系统包括AIX、HPUNIX、Linux、Windows等,而且不同类型的操作系统涉及不同的版本。由此可见,银行业信息系统知识体系非常复杂。

3 信息化战略实施的生命周期

银行业的信息化建设的生命周期通常包括四个阶段[4]:信息系统规划、信息系统建设、信息系统运维、信息系统的持续更新。各个阶段的核心目标互不相同:信息系统规划阶段的核心目标是保证银行的信息化战略与银行的整体发展战略相符合;信息系统建设阶段的核心目标是合理利用企业的各种资源,保证各个信息项目的顺利进行,使信息化项目建设的风险和收益达到均衡;信息系统运维阶段的核心目标是保证各个信息系统的稳定运行,确保银行日常业务运作的连续性,为客户提供稳定、可靠、高效的金融服务;信息系统持续更新阶段的核心目标是对系统进行不断的升级和完善,根据实际情况进行后续开发,使信息系统的业务处理能力更加完美。这四个阶段形成一个封闭的环,各个阶段相互作用,从而使银行业的信息化进程不断向前推进(见图2)。

现存主要IT治理模型能否适应信息化建设的生命周期特征和银行的信息系统体系结构?为此下文研究国际主要IT治理模型的基本原理。

4 国际主要IT治理模型

4.1 COBIT模型

COBIT(Control Objectives for Information and related Technology)[5]模型是由美国信息系统审计与控制协会(ISACA)在1992年提出。其最终目标是实现企业的战略优化、价值交付、风险管理、资源管理、性能测量。其核心思想是通过一系列的标准化过程对企业的信息化建设进行控制和指导,通过过程控制和过程度量实现企业的信息化建设目标。该模型的主要过程包括计划与组织、产品获取与实施、产品交付与支持、监控与评价。具体见图3所示。

4.2 ISO 27002模型

ISO/IEC 17799:2005 (ISO 27002)[6]模型是由英国贸工部组织制定,现在已成为信息安全管理的国际标准与规范。该模型提供一系列的安全管理指引和规范,主要包括安全策略、信息安全组织架构、信息资产管理、人力资源安全管理、物理和环境安全、通信和操作安全、信息系统的获取、开发与维护。该模型的核心是安全控制,为企业的信息化建设提供了一系列的安全控制标准和规范。

4.3 ITIL模型

ITIL(IT Infrastructure Library)[7]模型由CCTA(英国国家计算机和电信局)于20世纪80年代末开发。该模型主要以服务管理为核心,对服务支持和服务交付提供了一系列标准的流程和规范。

以上三大模型分别从不同的角度为银行的IT治理提供了一系列的标准流程和规范,虽然侧重点各有所不同,但其核心思想都是通过流程化、标准化和一系列的监督、控制手段来达到IT治理目的。这种做法可以从宏观上建立完善的管理体系,但是缺乏对银行信息系统体系复杂性、层次性、相关性、专业性的支持机制,不便于对微观层次具体的知识点进行精确管理。实际应用中,一个参数设置的错误就可能导致整个业务系统的中断。同时由于信息化生命周期的四个阶段的核心目标不一致,且相互影响、相互作用,目前无法找到一个能够适应银行信息化建设完整生命周期的IT治理模型。以过程控制、标准化、流程化为核心的IT治理模型根本不能满足当前IT治理需要。

5 以知识工程为核心的银行业IT治理模型

信息化建设是智力密集型、知识密集型活动,知识贯穿于信息化建设的整个生命周期,具有相对的稳定性。信息化建设的过程实际上就是知识加工、知识获取、知识转移的过程[8]。银行业信息系统的知识体系非常庞大,必须建立与之适应的知识管理体系。因此可以考虑建立以知识工程为核心的IT治理模型,以满足银行业信息化建设的需要。

首先构建以知识工程为核心的组织架构。根据实际情况对现有组织架构进行优化调整,设置知识获取工程师、知识质量检验工程师、知识管理工程师的岗位,组建知识管理委员会。

构建统一的知识库。知识库是整个模型的核心,用来存放企业内部和外部的可用知识。根据银行信息系统体系的知识结构,构建能反映知识间层次性、关联性特征的标准化知识库。知识库的构建涉及知识表示技术、知识组织技术、知识分类技术。

以银行现有的管理流程为基础,构建标准的知识流程,具体包括知识获取流程、知识质量检验流程、知识管理流程。目前,各银行都有一套相对完善的信息系统建设管理机制,只是在实施过程中没有把知识管理放在核心位置。我们需要理清银行现有的管理流程,分别构建与之对应的知识获取流程、知识质量检验流程、知识管理流程。银行的企业知识主要来自于开发商知识产权的转移和企业内部的知识创新,前者主要是外包项目引进的知识,后者主要是企业自主研发项目过程中形成的知识,构建知识获取流程的时候我们需要分别考虑这两类知识。知识的质量检验流程主要测试知识的可以用性、规范性。知识工程师通过利用知识进行实际的操作、管理和维护活动来测量知识的可用性。质量高的知识应该表示规范,而且能够精确地应用于实际操作中。对知识的可用性进行周期性的测试非常重要,例如,应该定期测试外部资源的可用性(比如维保方关键技术人员的电话是否能实时接通)。知识管理流程主要是对知识的入库(知识进入知识库)、出库(从知识库中调出知识进行使用)、知识的具体使用等进行管理,保证正确的知识被正确的人在正确的用途上使用。

构建员工知识与企业知识之间的转化机制。知识在形成过程中,所有知识首先都是企业员工获取,如果企业不构建统一的知识库,企业的大部分知识都被企业员工所掌控,一旦关键知识的控制者出现意外情况,企业将面对巨大风险。知识在员工和企业之间来回流动,知识必须通过人的大脑转化才能发挥作用。为了保证员工和企业的权益,知识转化机制必不可少,一方面保证企业对知识绝对的所有权,另一方面保证员工掌握必须的岗位知识。

建立完善的知识工程师的培养机制,建立符合知识工程师工作特性的绩效测量评价与激励机制。

以知识工程为核心的IT治理模型见图4所示。

6 结论与意义

本文提出了一种新的IT治理概念模型,即以知识工程为核心的IT治理模型。该模型弥补了其它主要国际IT治理模型对微观知识点缺乏管理的缺陷,银行企业可以根据需要将该模型融入其它模型,互为补充,以提高企业的IT治理效果。知识工程本身就是一个复杂的系统工程,要真正构建以知识工程为核心的组织架构和IT治理模型,还需要广大研究人员的不断研究,同时也需要企业管理者创新管理理念和IT治理观念,从深层次认识到知识和知识产品的重要特性,同时也涉及企业管理的变革。

参考文献

[1]中国银行业监督管理委员会.商业银行信息科技风险管理指引[EB/OL].(2009-06-01)http://www.cbrc.gov.cn/chinese/home/docView/20090601FC296F80D3957B65FFFA9EDA836D7300.html

[2]施建忠.商业银行数据中心监管指引解读[EB/OL].(2010-08-12)http://datac enter.chinabyte.com/365/11476865.shtml

[3]汪应洛.系统工程理论、方法与应用[M].第2版.北京:高等教育出版社,1998:40-49

[4]薛华成.管理信息系统[M].第5版.北京:清华大学出版社,2007:295-296

[5]ISACA.COBIT framework for IT governance and control[EB/OL].[2011-11-20]http://www.isaca.org/Knowledge-Center/co-bit/PublishingImages/cobit_circle_lg.gif

[6]INTERNATIONAL ORGANIZATION FOR STANDARDIZATION.ISO/IEC 17799:2005[EB/OL].[2011-11-20].http://www.iso.org/iso/catalogue_detail?csnumber=39612

[7]BEST MANAGEMENT PRACTICE.IT Service management-ITIL[EB/OL].[2011-1 1-20].http://www.best-management-practice.com/IT-Service-Management-ITIL

IT服务管理整合模型 第4篇

1. IT服务管理整合模型的构建

1.1 IT服务管理整合模型的提出

(1) 人员。人员主要考虑技术人员、业务部门的用户。IT服务质量与相关人员素质有密切关系。企业的业务部门用户是IT服务管理整合模型的第一部分, 其是企业业务需求的一个代表, 并且也是信息技术部门的服务对象, 以客户为中心是IT服务管理的一个理念, 因此, 从客户和业务角度出发是IT服务管理方案设计的一个要点。信息技术部门是IT服务管理整合模型的第二部分。业务部门都是通过信息技术进行相互联系的。 (2) 流程。IT服务管理整合模型的枢纽就是实践流程。一般而言, IT服务台设在信息技术部门内部, 其主要作为业务部门与信息技术部门单一联系点, 进行各个流程的管理工作。 (3) 技术。基础架构是IT管理技术的管理对象, 其包括很多组件, 如网络、备份、主机、数据库、存储、客户端、应用等, 确保这些组件能够正常运行是其主要目标。

IT服务管理整合模型以客户和业务服务为中心, 借助先进的技术, 与企业业务过程高度集成, 最终为了使企业IT运行水平得以提高, 使客户满意度得以提高, 逐步与ISO20000国际IT服务管理标准相符。

1.2 IT服务管理整合模型优势

IT服务管理整合模型为企业IT服务管理建设提供了一个全景视图, 为企业IT服务管理方案设计提供了一个整体的参考思路。此模型是一个开放模型, 是基于当前管理现状和最新解决方案建立的, 其不断扩充和提升可以随着管理发展和技术进步而进行。

ITIL流程管理的搭建主要是以ITIL和ISO20000等为理论基础, 作为IT运维管理的核心平台的ITIL流程, 其与综合监控平台、企业业务自动化系统集成、运维操作自动化等关系密切。ITIL流程管理中变更管理流程也是非常重要的。变更就是对已经构建的系统进行修改等操作。变更管理就是在最短时间内实现变更, 对其过程进行有效控制。变更管理不仅需要解决问题, 而且还要防止此类问题再次发生。

1.3 综合监控平台

综合监控主要完成以下功能: (1) 监控管理与基础设施。针对基础设施的运行健康情况, 监控管理自下而上地进行监控, 并且能够进行预警分析。 (2) 监控管理与CMDB。上述环节完成后, 分析对业务影响和故障根源压缩主要根据准确的CMDB数据来进行。 (3) 监控管理与ITIL流程管理。监控管理根据CMDB进行故障压缩后, 将事件按照预先定义的优先级规则、人员分派规则、通知规则发送到ITIL流程系统。服务台在ITIL流程接受到硬件故障后, 按照预定义的事件管理流程进行分类、分配、升级等工作。

1.4 IT运维体系建设

IT运维体系建设采取总体规划和分步实施的原则, 对面向业务服务的IT服务管理流程进行分批建立。首先, 对事件管理流程和配置管理流程进行建立, 对执行力度进一步强化规范, 从而使事件处理的效率得以提高, 故障发生概率得以降低。对现有的IT服务台功能进行完善, 采用优先处理原则, 使服务效率和客户满意度得以提高。同时对已有的变更管理流程进行优化, 使变动所造成的问题得以降低或消除, 并使变更能够有序的进行。其次, 问题管理流程的建立, 将已经发生的事件或者潜在故障的根本原因找出, 使故障发生率得以减小, 同时将发布流程建立起来, 并对所有的软件组件的安全性得以保障, 进而使授权的经过完成测试的正确版本能够在运行环境中正式运行。最后, 五大交付流程的引入。运维目标的构建一定要能够量化, 这样能够使服务质量和管理水平得以提高, 并且还能够使IT人员的工作成就感得以提高。运维工作是一项复杂的系统工程, 其关键不再创新, 而在规范。各级运维人员必须按照相关的规范来进行。

IT运维与整合模型中其他组成部分关系密切, 主要表现为: (1) IT管理自动化与ITIL流程。运维人员获知监控系统告警的信息主要是通过ITIL流程系统来得到的, 然后根据此来对问题的原因进行分析, 并且对临时解决方案和最终解决方案得以确定, 如果需要变更基础设施, 对其发布要通过变更流程审批后才可进行, 生成一个IT自动化管理任务, 其可以打包IT基础设施。 (2) IT管理自动化与基础设施。运维人员对基础设施进行配置修改和应用程序分发等操作都是通过IT管理自动化来实现的, 这样有利于工作效率和准确率的提高, 人工操作更加稳定。 (3) IT管理自动化与CMDB。配置项是自动化操作的对象, 但是CMDB记在所有配置项的信息, 同时CMDB还扮演者枢纽的作用, 即IT管理自动化与ITIL流程以及监控系统之间的枢纽。

1.5 企业业务过程集成

将ITIL流程与企业内已有业务过程进行集成。主要接口有如下几种: (1) OA系统与ITIL流程接口:企业内OA系统中会产生大量的服务请求, 这些服务请求通过预定义接口直接派发到ITIL流程内, 提高了企业的工作效率, 降低了成本。 (2) Email系统、短信系统与ITIL接口:利用企业内已有邮件和短信系统, 可以将告警信息、事件分派、变更审批等信息通过邮件、短信等形式第一时间通知给处理人员以便及时处理。 (3) 统一认证门户与IT服务管理整合模型:利用企业的统一认证门户实现IT服务管理模型内相关组件的集成认证与单点登录, 确保企业信息安全, 并方便IT服务管理模型推广使用。

2. 电力行业IT服务管理

我国电力行业信息化建设比较早, 但是由于电力企业一直都处于垄断行业, 它们都比较注重体制改革和产能提高, 因此, 电子行业信息化水平较低。针对长期处于垄断地位的电力行业, 信息化建设需要以流程优化来进行。基于这个大环境, 某电网公司建立IT服务管理系统。

供电局根据电力行业特点与ITIL体系流程, 专门对构建IT服务管理系统进行了调查, 通过调查对ITIL管理流程与执行过程进行了梳理, 对其存在的问题进行了深度分析, 并提出了一些有效的建议为下一步工作提供基础条件。某电网企业IT服务管理整合模型如图1所示。

通过IT服务管理整合模型的构建, 此电网企业给供电局带了巨大的收益, 主要包括:针对对供电局构建的服务台/事件管理、问题管理及知识库管理、变更及发布管理、配置管理、验收管理流程体系的评估结果, 使得供电局IT部门清晰的看到体系的优势与不足, 根据所提供的分析结果, 确定近期、中期、远期的工作计划。

总而言之, 构建IT服务管理整合模型不仅使IT服务客户满意度得以提高, 而且在服务质量提高以及运营成本降低方面也起着非常重要的作用。大量成功实践证明, 企业实施ITIL应从以下几个方面进行: (1) ITIL体系一定要充分了解。在ITIL流程项目规划的实施过程中, 对于项目目标一定要清楚, 从项目实际出发。 (2) ITIL实施是一个循序渐进的过程。ITIL更多是表现在理念上, 其作用的发挥与人们对其理念的理解有直接关系, 人们理解的越深, 其将会发挥更大的作用。 (3) 结合自身实际情况实施。ITIL对其企业自身的要求是比较高的, 每个企业实施ITIL都有所区别, 在ITIL实施过程中, 要与实际情况结合起来, 不能满足跟从, 以提高ITIL的效率为目的, 这才是企业IT服务管理的要求。

参考文献

[1]杨宏波.浅析IT服务管理价值网络[J].凯里学院学报.2009 (06) .

[2]黄振业, 吴杨凯.借助质量管理提升IT服务管理水平[J].太原科技.2009 (01) .

[3]山祺.IT服务管理在企业的实施研究[J].价值工程.2009 (03) .

[4]杨钰, 吴健.ITIL中IT基础架构管理模型设计与实现[J].计算机技术与发展.2007 (04) .

[5]彭海, 李晓娥.基于ITIL的IT服务管理实践[J].电力信息化.2009 (07) .

IT企业研发员工离职模型研究 第5篇

关于员工离职影响因素的研究一般被学者划分为三个层面:(1)宏观因素:外部环境因素如社会经济水平、劳动力市场情况等;组织因素,包括人际关系、培训和学习、员工参与程度、沟通、组织的道德氛围、薪酬制度等;(2)中观因素:个体和组织适合性;与工作相关因素,包括角色压力、工作任务的多样性、自治、工作时间、工作性质;(3)微观因素:个体因素,包括年龄、性别、教育水平、在组织内的任期、个体能力、个体特征、个体绩效、家庭责任等;与态度其它内部心理过程相关的因素,公平感和成就需要等(符益群、凌文辁、方俐洛,2002)。本文结合以上理论以及IT行业本身特点,主要从工作环境、工作压力、薪酬福利、晋升机会、分配公平、感情承诺、外部工作机会7个方面考察员工离职倾向影响因素。同时借鉴国内外学者研究成果,在回归分析中将这7个因素作为间接变量,工作满意度、组织承诺、外部工作机会作为中介变量建立预测模型,并通过逐步回归法,删除不显著的路径系数,计算出新模型的路径系数。

西安国家软件产业基地和西安国家软件出口基地做为国内重要的IT产业基地,现已聚集700余家IT企业。世界500强企业德州仪器、芬兰诺基亚、德国西门子,以及知名的美光科技、应用材料、SPSS、IBM、华为、中兴、大唐电信、神州数码等IT企业均聚集于此。当地IT产业年营业收入达到1000多亿元,每年吸纳1万多人就业,现已打造为继上海、北京、深圳、大连第五大IT产业基地(陕西省人民政府门户网站,2010)。本文以西安地区IT从业者为研究对象,具有较典型的代表意义。笔者随机共发放问卷400份,总共收回有效问卷298份,问卷回收率为74.5%。其中男性员工227人,占76.2%,女性员工71人,占23.8%,可见IT行业研发人员大部分为男性员工。25岁以下员工为36人,占12.1%,26岁~30岁员工为129人,占43.3%,31岁~35岁员工为86人,占28.9%,36岁~40岁员工为30人,占10.1%,40岁以上员工为17人,占5.7%,从事IT行业员工大部分较为年轻。学历在大专及以下员工为29人,占9.7%,本科员工为158人,53%,硕士员工为96人,占32.2%,博士为15人,占5%。

一、问卷信度、效度检验

本文主要采用Cronbach的一致性系数(α系数)对量表内部的一致性信度进行检测。经检验,工作环境、工作压力、薪酬福利、晋升机会、分配公平、感情承诺、外部工作机会、离职意向的内部一致性系数α依次为0.723、0.899、0.874、0.906、0.895、0.874、0.792、0.837,各变量因素的α系数均在0.7以上,说明问卷具有较好的内部一致性。

对各个变量因素的组成题项进行结构效度检验,各因素累计解释变异量均在60%以上,具有较好的结构效度。

二、相关分析

1. 各分析因素两两之间的相关性分析

(注:**表示在0.01水平上显著相关)

从上表中可以看出,工作环境、薪酬福利、晋升机会、分配公平、感情承诺各因素之间在0.01水平上显著正相关,工作压力、外部机会两者在0.01水平上显著正相关,与其它因素在0.01水平上显著负相关,这说明以上各分析因素相互之间均存在一定影响。

2. 各分析因素与离职意向之间的相关性分析

从上表中可以看出,工作环境、工作压力、薪酬福利、晋升机会、分配公平、感情承诺与离职意向在0.01水平上显著负相关,外部工作机会与离职意向在0.01水平上显著正相关,各分析因素对于IT行业研发员工的离职意向都存在一定影响。

三、回归分析

为进一步研究各分析因素与流失倾向之间的因果关系,更清晰地确定各因素对流失倾向的解释程度,本文采用多元回归分析法,通过对工作满意度和组织承诺各分析因素对流失倾向逐步回归,删除回归过程中不显著的标准化回归系数,以复回归后的标准化回归系数作为解释流失倾向的回归方程系数。

1. 工作满意度、组织承诺、外部工作机会与流失倾向的回归分析

将离职意向作为因变量,将其他变量引入回归方程。具体分析过程如下:

a.预测变量:(常量),工作满意度、组织承诺、外部工作机会b.自变量:离职倾向

a.因变量:离职倾向

从以上分析可以看出,工作满意度、组织承诺、外部工作机会的标准化回归系数依次为:-0.294,、-0.121、0.198,均达到了0.05的显著性水平,可以作为离职意向的解释变量。

2. 工作满意度与流失倾向的回归分析

将工作满意度作为因变量,其他变量作为测试变量。分析过程结果如下:

a.因变量:工作满意度

工作环境、工作压力、薪酬福利、晋升机会的标准化回归系数依次为0.245、-0.298、0.296、0.208,均达到了0.05的显著性水平,可以作为工作满意度的解释变量。

3. 组织承诺与流失倾向的回归分析

将组织承诺作为因变量,其他变量作为测试变量。分析过程结果如下:

a.预测变量:(常量),分配公平,感情承诺b.因变量:组织承诺

a.因变量:组织承诺

从表中可以看出,分配公平、感情承诺的标准化回归系数为依次为0.179、0.163,均达到了0.05的显著性,各因素均可以作为组织承诺解释变量。

概括以上各分析结果,我们可以简单列出IT研发行业员工流失模型:

如模型所示,对IT研发人员离职意向有直接影响的三个因素为:工作满意度、组织承诺、外部工作机会。工作满意度越高、组织承诺越高,离职意向越低,外部工作机会越高,离职意向越高。对离职意向有间接影响的因素可分为两类,一类通过工作满意度影响离职意向,一类通过组织承诺对离职意向进行影响。如工作环境、工作压力、薪酬福利、晋升机会通过影响工作满意度,工作环境、薪酬福利、晋升机会高,则工作满意度随之升高,离职意向降低;而工作压力越大,工作满意度降低,离职意向升高。分配公平、感情承诺通过组织承诺影响离职意向,分配公平、感情承诺高,组织承诺升高,离职意向降低。

四、结论分析

IT企业研发人员大多具有较高的学历,队伍年轻化,他们在流动的过程中更多地是对于工资待遇的更高要求以及工作环境的追求。从模型中我们可以看出对离职意向有较高影响的是工作满意度,而对工作满意度影响最高的因素是工作压力和薪酬待遇。由于IT行业竞争的激烈,研发人员往往承担更多的工作压力,当他们认为企业所提供的薪酬福利和他们所承受的工作压力不匹配时,即会产生离职意向。另外,由于所承受的巨大的工作压力,他们渴望有较好的工作环境,人性化的制度管理、和谐的同事氛围、组织氛围等。同时,由于近几年来对于IT人才的大量需求,使得他们有更多的机会选择。

企业合理的人才流动有助于企业优化人力资源配置,但是过于频繁的人才流动特别是技术人才流动则会给企业造成巨大损失。针对以上分析数据,我们提供以下参考建议:

1. 完善研发人员薪酬激励体系。

薪酬代表的不仅仅是金钱,也是公司对于一个人能力和素质的肯定,是员工自我价值的体现。建立与员工个人能力和业绩相对应的薪酬体系,是留住IT研发人员最基本的一种方法。薪酬激励不仅仅包括金钱,还可以是股票期权、业绩分红,建立员工与企业发展前景风险共分担、收益共享的激励体制,有助于吸引人才、留住人才。

2. 帮助员工进行职业生涯规划。

现代企业的组织结构日益扁平化,在员工工作的过程中,通过沟通与引导的方式帮助研发人员建立合适的职业生涯规划,通过平行流动,丰富员工工作内容,提高员工工作积极性,提高员工工作满意度,增强企业对技术人才的吸引力。同时也可实现企业内部人才的良性循环,增强企业活力。

3. 培育积极向上、有向心力的企业文化。

由于IT行业技术人才队伍年轻化、个性化较强,他们比较注重公司、组织氛围。通过在公司内部营造一种尊重知识、尊重人才、互相关心、互相信任的人才氛围,创造良好的人际关系、紧密融洽的心理氛围,以提高员工的工作满意度。另外,提高IT研发员工对企业价值的认同感,达成企业形象战略、未来远景的共识,提高员工对企业的归属感。

参考文献

[1]宋晓熠 王二宝:IT企业人才流失的原因及对策分析.China Academic Journal Electronic Publishing House[J],2004

[2]符益群 凌文辁 方俐洛:企业职工离职意向的影响因素.企业人力资源管理[J],2002.07

IT治理下会计系统内控体系探讨 第6篇

通过对COBIT模型控制框架以及企业风险管理框架 (ERM) 的全方位解读, 有助于我们理解并掌握内控的核心思想, 同时将风险管理的理念引入到IT环境下的会计系统内部控制体系的构建过程中, 有利于我们借鉴其中的优秀控制方法和思想来完善企业会计系统的内控框架及应用模式, 从而提高企业经营的效率和效果、保障企业资产的安全完整和财务报告的真实可靠, 满足利益相关者的要求。

1 COBIT模型简介

COBIT (信息及相关技术的控制目标) 由ISACA (美国信息系统审计与控制协会) 最早于1996年发布, 现已更新到COBIT4.1第四版。该模型目前已经成为国际上共同认可的最权威、最先进的IT管理、控制和审计的标准。

COBIT模型将IT资源、IT过程及信息与企业战略目标紧密联系起来, 形成了一个三维的立体结构, 从而将IT治理目标与企业战略目标有机结合起来。该模型的核心思想可以简单概括为:企业为了实现自身的战略目标, 需要在IT资源上投入资金, 并在IT过程中合理的使用这些可以控制的IT资源, 最终交付出企业需要的有用信息。

COBIT 4.1版将信息技术流程按生命周期的思想分为三个层次来控制, 分别为四个域 (Domains) 、34个处理过程 (Processes) 及210项任务活动 (Activities Tasks) 。其中四个域的内涵分别为:规划与组织域 (PO) 、获得与实施域 (AI) 、交付与支持域 (DS) 及监控与评价域 (ME) ;34个过程中提供了每个过程的控制目标、涉及到的IT资源、过程成熟度指标、监控和评价标准及方便执行的应用指南。

COBIT模型可以作为业务需求、风险控制和技术机制之间有效沟通的桥梁, 可以满足管理的多方面需求。作为IT控制模型中最佳的研究实践, COBIT能为世界各国广泛接受和实施, 自然有它独到的地方。概括起来, 它的优势主要表现在:

(1) 以业务为中心, 立足于公司战略目标, 通过域、过程、活动的三层控制体系, 保证IT目标与企业目标的一致性, 规避具体活动与最终目标偏离的风险。

(2) 可以增强管理层和员工对整个系统的理解和支持。COBIT的使用者并不局限在IT服务提供者、用户和审计师, 还为管理层和过程使用者提供全面的使用指南, 并且明确了实施过程中的责任归属。这就使得所有相关人员可以理解系统, 了解自己的位置及作用, 并支持系统的实施及完善。

(3) 将IT控制变得简化, 减轻复杂系统实施的难度。COBIT模型采用一致性的控制思路对IT周期的34个过程进行控制。具体方法为:确定每个过程的高级控制目标、具体控制目标及管理指南, 通过控制、管理实施过程中的偏差来保证达到每个过程高级控制目标的要求, 满足组织对信息系统安全性、可靠性及有效性的要求, 支持组织目标的实现。

(4) 具有持续有效性。COBIT模型不仅面向现在, 还可以为企业系统的持续优化提供指导, 防范业务变化或系统管理不当造成的风险, 保证系统目标与业务目标的一致性。

(5) 具有国际通用性。COBIT模型使用能被利益相关方理解的通用术语及定义, 并且与国际公认的IT治理关注领域、公司治理标准如COSO模型及审计人员等对内控的要求保持了一致, 故实施该模型可以保证组织满足相关法律法规的要求。

综上所述, COBIT 4.1模型的实用性及可操作性都比较强, 并且其是国际上公认的IT管理与控制标准, 故本文将其作为IT治理下会计系统内部控制体系构建的基础。

2 ERM企业风险管理框架

ERM框架的出台是内外部环境催化的结果。2002年颁布的《萨班斯法案》要求上市公司加强风险管理, 强化风险控制, 这在客观上推动了COSO《内部控制整合框架》的进一步发展。同时, COSO委员会也意识到了《整合框架》自身存在的不足之处, 如过分重视财务报告, 而没有从企业战略与目标的角度关注组织风险。这些因素从客观上推动了ERM框架的颁布。

企业风险管理 (ERM) 框架是在国外一些重大财务丑闻的催化下诞生的, 将企业的全面风险管理分为八个要素来控制, 分别为:内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息与沟通、监督。从该框架的配套指南可以看出, 该框架没有对内部控制重新定义, 而是在COSO报告对内控定义的基础上, 引入了风险管理的理念, 对内部控制进行了拓展和细化, 形成了一个更全面、更有效的管理风险的框架。总体来说, ERM框架在COSO的基础上增加了一个新理念、一个战略目标、两个新概念和三个基本要素:

(1) 引入风险组合观:要求企业在评估自身风险时要从整体出发, 即使每个下属单位的个别风险都在自身可接受范围之内, 也要考虑总风险超过企业整体可控风险偏好的可能性。

(2) 增加战略目标:COSO框架将企业的目标分为三类, 即经营目标、报告目标和合规性目标。ERM框架中的经营目标与报告目标与COSO相同, 但对合规性目标进行了拓展, 包含企业编制的对内、对外所有报告, 不仅包括财务信息, 也包括非财务信息。同时, ERM框架还增加了一大目标, 即企业的战略目标。

要求企业的经营目标、报告目标及合规性目标要以自身的战略愿景为基石, 使企业在实现自身使命的过程中少走弯路。

(3) 风险偏好及风险容忍度:风险偏好是指为了实现自身战略愿景, 企业愿意承受的广泛意义的风险数量, 其指导着企业的战略制定及目标选择。风险容忍度即风险可接受程度, 指企业对在目标实现过程中出现差异的可接受程度。在确定各目标的风险容忍度时, 企业一方面要考虑该目标的重要性, 另一方面还要将其与自身的风险偏好联系起来, 最终将风险控制在可以承受的最大范围内, 保证企业最大限度的实现自身目标。

(4) 新增风险管理三要素, 即目标设定、事项识别、风险应对:ERM框架在COSO五要素的基础上新增加了目标设定、事项识别及风险应对三个要素, 风险管理在企业管理中的地位越发重要。同时, 在内部环境要素中, 更加强调了董事会对风险管理的理念。

由此可见, ERM风险管理框架更加强调风险管理理念, 并且将控制的对象设定为整个企业, 控制的范围涵盖了业务的事前、事中及事后全过程, 使得风险控制不仅贯穿于具体业务层次也贯穿于战略愿景层次, 不仅贯穿于执行层次也贯穿于反馈层次。而在IT治理的大环境下, 会计系统已经与其他信息系统融为一体、密不可分, 共同服务于企业战略目标。这就要求引入新的观念, 采取措施积极应对IT带来的新风险, 将各种风险控制在企业可接受的范围之内。因此, 本文将战略目标管理理念引入会计系统中, 将ERM框架作为构建IT治理的会计系统内控体系应遵循的标准。

3 IT治理下会计系统内控体系构建

在信息技术高速发达的当今社会, 理解并评估会计系统内部控制面临很多障碍及风险。这就要求我们引入新的理论框架, 很好的建立并理解会计系统内部控制体系。ERM框架是通用的内部控制建立及评估的规范, 没有单独对IT控制目标和相关控制活动做出具体要求, 而COBIT采用生命周期的思想, 将整个IT流程分为域、过程、活动来控制IT资源, 使复杂的系统控制简单化, 对评估IT环境下的内部控制特别有效。两者实际上是一般与应用的关系, 所以本文将ERM风险管理的思想及COBIT模型的控制方法结合起来控制会计系统的IT资源, 三者共同组成IT治理的会计系统内部控制体系的立体模型, 如图1所示。

该三维体系将会计系统内部控制流程、ERM框架八要素及会计系统IT资源紧密结合在一起, 为会计系统内部控制的构建及运行发挥了独特的作用。一方面, 该体系利用COBIT模型的生命周期法将会计系统内部控制分为域、过程、活动的三层架构, 使控制活动更易于实施;另一方面, 利用ERM框架风险控制的思想管理会计系统的内控过程, 有助于每个过程的顺利完成。同时, 通过会计系统内部控制的每个过程管理会计系统的IT资源, 能够保证IT资源使用的效率及效果, 促进企业目标的达成。

3.1 从企业战略层面入手设置会计系统目标, 减少了信息孤岛

COBIT框架中规划与组织的第一个过程就是制定会计系统的战略计划, 这就为会计系统的设置定下了基调:为企业的战略目标服务, 从根本上保证了数据初始采集的准确性及目标性, 避免出现如内部编码不统一造成的数据汇总及对比问题。为了提高企业信息系统的整合度, 企业可以配备一个专门的IT管理部门, 从最初企业信息系统的标准设定、初始设置到最后的监控改进持续跟进, 保证数据采集及数据分析的准确性, 提高会计系统的可靠性及及时性。

3.2 建立起制度和技术之间的纽带

IT技术在企业中的广泛使用使得会计系统的内控体系越来越复杂, 对企业的管理人员及实施人员都提出了巨大挑战。ERM框架侧重于策略层次, 只是对企业内部控制设置的一般性要求, 没有指出具体的实施方法。而COBIT模型侧重于具体的实施方法, 按照生命周期的思想将信息系统流程细化为210项任务活动, 使得企业在实施过程中能按照相对应活动的控制流程来设置信息系统, 并达到每个活动的控制目标。因此, 将ERM框架与COBIT模型思想结合, 不仅可以满足ERM企业风险管理的要求, 还能降低设置会计系统内控的实施难度, 使得整个控制流程更加易于理解和实施, 最终为企业交付满意的信息。

3.3 构建了事前、事中和事后的全方位风险控制体系

COBIT模型将会计系统流程分为四个过程, 即规划与组织、获取与实施、交付与支持、监控与评价。其中第一个流程规划与组织属于实施过程中的事前控制, 第二个获取与实施及第三个交付与支持流程属于事中控制, 监控与评价属于事后的反馈控制流程。通过一系列的控制流程, 企业可以建立覆盖整个会计系统的风险控制机制, 同时通过监测各个过程的指标控制可能出现的偏差, 并及时解决遇到的问题, 将风险控制在可接受的范围之内, 进而确保系统战略的实现。

在IT技术迅猛发展的当今社会, 会计系统的内控体系是否有效直接决定了企业能否合理配置资源、能否提高劳动生产率、能否为众多利益相关者提供合法及公允的会计信息。本文基于ERM框架及COBIT模型构建的会计系统内控体系对于企业防范舞弊、减少损失、提高资产使用效率及达成企业战略目标都具有积极的意义。不过在具体构建会计系统内控体系时, 企业应遵循“适合的才是最好的”原则。企业可以参考现有成功或失败的案例, 但不要盲目相信别人, 要在对自己企业的实际情况深入了解的基础上选择合适的模型, 并在实践过程中灵活运用, 对不符合要求的流程适当进行修改完善。另外, 在实施前要对用户进行必要的培训和沟通, 传达组织的目标并使其理解, 让用户明白自身在流程中的角色及责任, 调动他们的积极性推动相应内控的建设, 从而将新方案实施的阻力降低到最小。

摘要：在IT环境下, 为了满足利益相关者对高质量会计信息的需求, 企业有必要引进新的理论框架对该系统从构建到运行的全过程进行控制。COBIT作为全球公认IT治理的最佳控制模型, 采用生命周期的思想, 可用来指导会计系统内部控制的实施、评价及完善。同时, IT的应用使得会计系统暴露在更为复杂多样的风险之下, 为了有效的规避这些风险, 企业在构建该系统内部控制时, 有必要引进现阶段风险管理的最高研究成果ERM框架的思想。

关键词：COBIT模型,ERM框架,会计系统内控体系

参考文献

[1]财政部等.企业内部控制基本规范[J].会计研究动态, 2008, (4) .

[2]刘翠.内部会计控制理论研究综述[J].产业与科技论坛, 2010, 9 (5) :105.

[3]ITGI.COBIT4.1[EB].www.itgi.org, 2007.

[4]严晖.公司治理、公司管理与内部控制—对COSO企业风险管理框架 (ERM) 的分析[J].财会通讯, 2012, (4) :10-14.

工业工程研究视角下IT治理探讨 第7篇

1992年Loh和Venkatraman第一次提出IT治理名词, 1999年Sambamurthy和Zmud发展成了“IT治理框架”, 将IT治理与公司治理有关概念结合, 初步形成IT治理的思想。此后其成为世界研究热点, 相关研究主题有IT治理委员会、IT安全治理、IT治理和组织匹配等。IT治理主要是描述组织是否采用有效方式方法, 使IT应用完成组织赋予使命;通过绩效管理和风险管理, 平衡信息化过程中的风险;确保实现组织的战略目标。至今尚未有统一定义, 将各阶段各学者的观点总结表1。

2 IT治理的相关管理标准及评价

IT治理需达到最重要目标是确保IT资源与公司战略目标保持一致;使风险透明化;确保IT服务满足组织对优质、可信和安全的信息需要。支持IT治理达到目标的手段主要有COBIT、ITIL、IT服务管理ISO/IEC17799、PRINCE2、CMM。这些标准都已在企业中发挥重要作用, 为复杂治理过程梳理出清晰而透明的流程。

(1) COBIT覆盖信息系统全部生命周期, 目前是国际公认IT管理与控制标准, 指导世界一百多国家的重要组织与企业有效利用信息资源, 管理与信息相关的风险。美国堪萨斯州把COBIT标准作为虚拟政府策略一部分, 降低了运营成本, 为客户和委托人提供了高质量服务。

(2) ITIL是IT服务管理事实上的国际标准, 有望成为ISO体系的标准。Proctor&Gamble采用ITIL标准的四年里, 节省超过5亿美金的预算, 运作费用降低6%-8%, 技术人员人数减少15%-20%。

(3) ISO/IEC17799信息安全管理的国际标准。这是ISO历史上最快通过的一项标准, 表明了全球对信息安全的重视程度。这套标准在全球已发放了5000, 预计其认证速度会更快提升, 达到ISO9000的发展。

(4) Prince2在Prince的基础上席卷包括IT项目在内的项目管理, 已风行欧洲、北美。Sun、Oracle等将PRINCE2作为实施项目的标准管理方法、香港特别行政区政府资讯科技署将PRINCE作为政府项目管理的标准指南。

将这些管理标准运用于IT治理过程, 对其流程实现结果的评价标准, 就成为IT治理重要方面。目前主要研究成果是Van Grembergen以平衡计分卡为基础的IT治理评价标准, 此体系仍将IT的效果作为IT治理衡量的标准, 再加入许多客观标准, 将IT治理的效果从对企业的贡献、有效提供IT服务、提供创新机会、以用户为中心四个方面来衡量。Van Grembergen将这4个部分划分为16个主题, 每个主题再包括15个子项, 进而设计出IT治理的衡量体系。体系较全面, 但在可操作性方面需进一步加强。

3 基于工业工程研究视角, 我国IT治理的困境与挑战

工业工程的研究重在以降低成本, 提高质量和生产率为导向, 综合多学科知识, 对人员、物料、设备、能源和信息等进行规划、设计、评价和改进, 使之成为更有效合理的综合优化系统。在信息化的现代, 良性发展的IT治理架构对降低企业成本、增强竞争力、提高效益等方面起重要作用, 因此工业工程研究中, IT治理正引起更多关注。而目前我国符合企业和政府部门需求的IT治理标准、知识体系和管理规范远滞后于行业用户需求, 实现IT治理目标面临些许困境。

(1) 困境1:技术与管理脱节。

2006年《中国计算机用户》与南开大学联合对IT治理的调查研究显示, 我国企业IT治理意识仍较低, 对IT认识停在技术和管理层面。部分管理者过分看重引进的IT治理平台、新型管理系统, 机械化完成固化流程, 这是IT治理失策的致命伤。IT治理的本质应该是管理, 而非“IT”。

(2) 困境2:缺乏企业文化的必要支持。

缺乏合适企业文化与大氛围是失败普遍原因之一。企业文化是一定历史条件下, 企业及员工在实践中形成的共同思想、道德观念和行为准则的总称, 其影响着员工的思维和行为。IT治理是新技术的发展, 对于企业传统必然产生一定冲击, 造成权利再分配, 习惯再造就等变化。若企业文化不够开明, 家长型氛围过浓, 可能使治理行为“出师未捷身先死”。因此IT治理中须将企业文化嵌入规划当中, 互相作用支持。

(3) 困境3:缺乏高层支持。

过分注重技术人员, 在治理团队中缺高层人物参与是造成IT治理陷入僵局又一原因。如果说IT厂商需对技术有100%掌握, 那用户的技术人员掌握50%就够了, 而用户的管理层只需30%, 能够提出登高望远的前瞻性见解最关键。PricewaterhouseCoopers公司为ITGI所做调查中, 335位接受调查的CEO和CIO中76%认为, 若有正式治理框架, IT问题能得到解决。但42%的人还没制定涉及经理层指导的IT治理计划。IT治理需要一位有IT领导力的高层, 来统领、驾驭IT治理与风险管理。

(4) 困境4:监管不利。

随IT治理作用与日俱增, 董事会与高管层面对IT治理工作的职责愈发凸显, 但目前国内外对IT的监管尚无标准可循。这种状况下, 需要对信息技术内行的经理们能运用明确语言, 将业务的完整含义准确表达出来;总经理们也需学习新知识和技能, 更有效监管治理, 在信息技术重重迷雾中找出问题的真相。

4 结语

综上所述, 建议以后研究中, IT治理模型需牢固嵌入企业文化、流程和价值;IT治理领导人应评估更多领域, 作为治理方法的元素, 包括业务调整、开发方法和标准、组织结构、外包选择、采购标准和质量目标等;公司治理的方法、手段需与IT治理进一步融合;IT治理与全面风险管理要更多整合;IT治理评价体系需逐步完善, 指引IT治理的方向。

摘要：随着全球信息技术发展, 信息化进程加快, 为增强竞争实力, 各企业在信息技术上的投资不断增加, 随之而来的IT治理也成了全新研究领域。追根溯源从涵义、标准以及评价三个方面了解IT治理, 并结合工业工程研究视角剖析IT治理的困境与挑战。

关键词：IT治理,工业工程研究视角,管理

参考文献

[1]Loh and Venkatraman.Diffusion of information technologyou sourcing-influence sources and the Kodak effect[J].Information system Research, 1992, 3 (4) .

[2]Henderson and Venkatraman.Strategic alignment-leveraging in-formation technology for transforming organizations[J].IBM Systems Journal, 1993, 32 (1) .

[3]Brown C V.Examiningthe emergence of hybridIS governance so-lutions:evidence froma single case site[J].Information Systems Research, 1997, 8 (1) :69-94.

[4]Sambamurthy V, Zmud R W.Arrangements for information tech-nology governance:a theory of multiple contingencies[J].MIS Quarterly, 1999, 23 (2) :261-290.

[5]田野, 宝贡敏, 常红.基于IT治理的企业信息战略管理探讨[J].技术经济, 2005, (10) .

[6]郝晓玲, 李明.IT治理对企业的影响分析[J].科研管理, 2005, (5) .

[7]计春阳, 唐志豪.IT治理与企业竞争战略匹配及实施[J].统计与决策, 2007, (24) .

IT治理模型 第8篇

2010年是国家“十一五”计划的最后1年,国内大型行业用户的IT系统建设继续处在强化并纷纷进入“深化应用”阶段,例如“十二金工程”后续建设、国家电网公司SG-ERP工程、南方电网公司登高计划等。这些面向全行业的信息系统在纵向、横向2个方面的耦合程度正在日益加深,使得总部与省/地市机构之间、各个部门之间的相互联系也日益增强,跨部门的运营效率正在明显提升。由此,信息系统进入了以“大网络、大系统、大集中、高可靠性、高安全性”为标志的“三大两高”时代。随着IT系统重要性的不断提升,如何提高企业的信息化管理水平成为一项重要工作,而最恰当的描述这一工作的词汇就是“IT治理”。

1 IT治理面临的困难

IT治理是信息化管理和控制的完整体系,包括与IT系统相关的组织架构、管理流程、内部风险控制与审计、考核体系等多个要素。其中,内部风险控制与审计作为IT治理的重要组成部分,越来越多地受到企业管理层以及监管机构的重视。例如,在萨班斯法案、等级保护、各大行业指导性文件中,均明确阐述了内控机制以及审计体系的必要性和意义。特别是在一些IT系统与业务流程紧密相关的行业(如税务、财政、金融、电信、电力等),内控与审计更为必要。

因此,要建立一套有效的内控及审计体系,对国内的大部分客户而言并非易事,困难主要体现在以下几方面。

(1)目前国内大部分用户缺乏一套体系完善、可具体实施的IT管理制度,部分用户的IT管理制度落后于IT系统及IT技术的发展,还有部分用户的IT管理制度生硬照搬,缺乏可执行性。

(2)员工的工作习惯与业界的最佳实践/监管机构的要求有一定差异,如系统维护人员发现问题随手解决,却未留下任何检修记录;或根据领导电话就为某账号开通权限等。而一个完善的内控及审计体系中,要求所有的操作都遵循一定控制要求来执行,所有的工作必须责任到人,对重要工作要留下相应的审计记录。

(3)缺乏相应的技术体系和架构来实现内控及审计要求。例如,绝大部分用户没有完善的账号生命周期管理系统,地址/账号/权限无法对应自然人,对数据库等关键系统的操作无法审计,认证授权体系零碎分散/多头管理等。

因此,如何建立一套内控/审计体系,并支撑管理制度有效实施就成为大型行业用户最急迫的需求。针对该需求,启明星辰通过多年来在管理咨询、风险评估、等级保护建设等方面的积累和最佳实践,依托最全面的信息安全产品线,提出了面向IT应用全流程的统一内控及安全审计解决方案。

2 统一内控及安全审计解决方案

2.1 设计原则

(1)确保业务连续性:内控及审计系统的最终目的是为了确保业务及数据安全,因此不能给业务连续性带来影响。

(2)覆盖业务全过程:为了确保内控及审计的有效性,必须做到对业务过程的全覆盖,这一覆盖既包含了从业务系统开发、变更、运行到废弃的业务生命周期,也包含了从账号创建、登录、授权、操作、维护和数据变化的业务使用全周期。

(3)审计数据可追溯:审计的目的是为了判断是否违规、追查原因并界定责任,不可溯源难以提升管理水平也无法达到审计的目的。

2.2 总体方案

启明星辰统一内控及安全审计解决方案包括以下几个模块:统一账号管理系统、统一认证管理系统、统一授权管理系统、统一安全审计系统、统一接入平台和综合显示/管理模块。

2.2.1 统一账号管理系统

统一账号管理系统包括账号生命周期管理、统一用户目录、自然人主账号管理、资源从账号管理及主从账号映射管理等模块。该系统解决了业务系统中常见的缺乏账号生命周期管理、业务系统权限分配混乱、权限无法对应自然人等问题,并为面向自然人的审计打下了坚实基础。各模块的功能如下:(1)账号生命周期管理模块:账号的全生命周期指账号的创建、变更、维护、删除。该模块确保在用户身份发生变化时,其IT系统账号的权限随之改变,以避免出现僵尸账号、人员职位变动但账号权限未及时变更等情况发生(见图1)。(2)统一用户目录模块:指根据用户的组织架构、业务系统架构等要素,建立全局统一、可有效标示用户身份属性的用户账号目录体系。(3)自然人主账号管理模块:为每一个员工、第三方维护人员、合作伙伴等建立唯一的主账号,并进行管理。(4)资源从账号管理模块:根据不同IT业务系统的需要,建立不同的资源从账号并进行管理。(5)主从账号映射模块:根据业务流程的需要,为每一个自然人主账号映射相应的资源从账号。

2.2.2 统一认证管理系统

统一认证管理系统包括PKI/CA平台、统一认证接口、集中认证平台等模块。该系统面向所有业务系统提供统一的认证接口,确保了所有业务系统及运维均采用强口令及CA证书进行双因子认证。同时,由于采用了主从账号机制,还解决了以往不同系统密码难以记忆、静态密码安全性低、定期修改资源账号密码工作量大等问题。

2.2.3 统一授权管理系统

统一授权管理系统包括统一授权接口、命令级访问控制网关、资源管理等模块。该系统的主要功能是根据业务需要,进行基于角色、用户组或实体的授权;对于部分业务系统所必需的超级账号提供命令级访问控制功能;同时实现对授权资源的描述和管理(见图2)。

2.2.4 统一安全审计系统

统一安全审计系统包括运维审计、数据库审计、终端审计、互联网审计及日志审计等模块(见图3)。其功能是收集所有业务操作日志,并根据审计策略对相关操作进行记录,对异常的操作进行告警,同时定期提供各类符合规范性要求的报表及分析报表。该系统涵盖了绝大多数的用户业务体系,支持绝大多数操作的解析和审计,特别是在加密审计、数据库操作审计上具备国际领先水平。

2.2.5 统一接入平台

统一接入平台是为运维用户及普通用户提供的一个安全、可信、可控的集中接入平台,所有的接入对象在访问业务系统或进行维护操作之前,必须先登录此集中接入平台,才能进行后续操作。同时,该平台也可对用户的操作行为进行命令级审计(见图4)。

通过上述启明星辰统一内控及安全审计解决方案,用户可有效落实相关管理制度,提升IT治理水平,具体表现在以下5个方面:(1)建立了完善的账号管理、授权管理体系及CA系统;(2)建立了面向多个层面用户的统一接入认证平台;(3)通过关联分析等技术,将行为定位到自然人;(4)每一个操作或互联网访问均可定位到明确的员工/第三方人员;(5)业务数据及其他敏感信息/文件的安全性大幅提升,杜绝了泄露客户信息、私自修改客户属性等违规行为。

该方案自出台后,受到了众多行业用户的关注及好评,并在中国移动数十个省级业务系统和多个金融机构业务系统中经受住了考验。

3 结语

信息化风险控制与审计体系是IT治理的精髓,随着IT系统与核心业务系统的耦合性不断增强,IT风险随之增大。启明星辰统一内控及安全审计解决方案可帮助用户在确保业务系统信息化水平日益提高的同时,使风险得到有效控制,从而不断提高IT治理水平。与此同时,还能为用户后续的COBIT、ITIL等IT管理体系和合规性体系建设打下一个坚实的基础。

摘要：IT治理是信息化管理和控制的完整体系,其中,内部风险控制与审计作为IT治理的重要组成部分,越来越多地受到企业管理层以及监管机构的重视。对此,启明星辰通过多年来在管理咨询、风险评估、等保建设等方面的积累和最佳实践,依托最全面的信息安全产品线,提出了面向IT应用全流程的统一内控及安全审计解决方案。