ITPUB论坛-中国专业的IT技术社区

标题: 从公司管理到IT审计(原创) [打印本页]

作者: zhuwm99    时间: 2007-4-23 12:52
标题: 从公司管理到IT审计(原创)
要理解什么是IT审计,以及未来发展,必须理解一些基本概念,管理,治理,IT管理和IT治理。周末无事,就打算讨论一下这个问题。欢迎大家和我交流:mrzhuwm@gmail.com
       
       
一、管理
        先来理解一下什么是管理,什么是治理。
        假设有一个私人公司A,规模50人,年营业额5千万。这样的公司经营发展,老板最关心的是什么呢?是产品、生产、营销方面的竞争力,也就是说有好产品能够生产出来、以合理的价格卖出去并实现资金回笼、然后再生产,公司通过物流和资金流的不断循环增值,得到发展壮大。在这一阶段,公司面临的最大风险可能是产品、财务、市场、人员等风险。
为了公司的发展壮大,就要开发、生产、销售等各个方面的管理。公司的总体运作由老板(所有人)亲自指挥,带领手下一批得力干将。在这个阶段,公司管理很重要。所谓管理,按照管理学的定义:就是计划、组织、领导、监督四个职能的结合,即设定目标、安排人员、协调激励、监督考核。
作者: zhuwm99    时间: 2007-4-23 12:53
二、治理
        假若A公司经过5年的发展,规模扩张到员工5000人、遍布全国有10几家分公司,年销售额几个亿,还在上交所挂牌上市了,变成上市公司了。公式上市就以为着引入外来资本,公司的所有权结构发生了改变,整个公司再也是原来老板一个人说了算了(老板早发达了,在太平洋上买了一个岛屿晒太阳去了。)这时候谁说了算呢?新的公司有很多股东,只有几个大股东能够提名自己的代表,称为董事,成立了董事会。公司的大事情由董事会决议。董事会委任一个CEO,负责日常的经营管理。CEO对董事会考核,决定其薪酬待遇。这样看起来股东们很轻松了,坐在家里等分红就好了。但是实际不是,问题出现了。
1、        所有权结构变了,大股东和小股东存在利益冲突。原来股权结构非常简单,股东之间可能彼此都很信任。现在股东数量很多,而且可能经常变化。根据相对股权比例多少可以分为大股东和小股东两个利益集团。大股东占有公司控制权,拥有绝对的话语权。小股东相对弱势。如果大股东不厚道,就很容易侵犯小股东的利益,就象家里孩子多,力气大的就可能欺负力气小的。我们经常听说的什么关联公司利益输送、大股东把上市公司作为提款机等现象,背后往往就是这么一回事。
2、        所有权和经营权转移的分离,带来所有者和经营者的利益冲突。现阶段,虽然董事会是日常决策机构。但是公司的日常经营是由CEO(管理层)领导的。这就导致了所有权与经营权的分离。董事会和管理层之间构成了委托代理关系。委托方和代理方之间必然存在信息不对称。信息不对称可能导致道德风险和逆向选择。这就是为什么管理层可能会通过报表造价,粉饰业绩来得到高额的回报,或者为了片面追求自身利益违背董事会决议,诸如此类。
        我们周围的上市公司丑闻不断,其实最根本的原因就是公司不同利益相关者的的利益冲突,矛盾激化的结果。为了对付这种这种情况,学者就提出公司治理的概念。
        所谓公司治理,是为了满足公司内不同利益相关者的利益诉求,将公司决策权、执行权、监督权进行分离,使利益相关者互相制衡,最终博弈各方达到均衡的一种制度度安排。就象民主国家的三权分立的原理是一样的。公司治理的手段也是不断创新的,董事会、独立董事、审计委员会、股东大会、内部审计、外部审计等等都是公司治理的手段或者工具选择。
        好了,现在可以总结一下治理和管理的区别了。
1)        管理主要强调的是“做正确的事”,即计划、组织、领导、监督。
2)        治理更多强调的是通过组织架构、权力分配等制度安排,来实现不同利益相关者之间的相互制衡。实质上这二者之间并没有严格的边界。尤其是在大型上市公司中,治理与管理总是同时存在,互相促进,以实现股东利益的最大化。我们也可以理解为公司治理是公司发展到一定程度,对公司管理提出的新的要求。
作者: zhuwm99    时间: 2007-4-23 12:53
三、IT管理
        现在来讲什么是IT管理。
        前面讲A公司从一个小公司,发展为一个大型上市公司的过程中,公司管理如何派生出公司治理。现在谈谈随着公司发展的不同阶段,IT及其管理如何演变。
        A公司创业之初,也许就是老板带了几个伙计,开了一个门市部。每天老板去进货,找供货商讨价还价,门市部里面一个伙计负责零售,还雇了几个销售员专门去跑客户,拉关系做工程,会计和出纳工作基本上都是老板娘兼职做了。在这个阶段,所谓进货价格、销售价格、库存数量、人员工资、客户信息、应收帐款这些重要数据都在老板的脑袋里面装着。老板如果勤快一点,也许会做个笔记,这个阶段,我们可以看成手工管理阶段。公司里面连个懂电脑的人都没有,更别说程序员、DBA、网管了。这家公司基本上和IT不发生什么关系。
        后来公司越做越大,开了好多个店面,销售的产品种类,客户数量、雇员数量、销售额都达到一定的规模了,比如说,每年有几千万的销售额了。这时候,老板的发现自己的脑子就有点不够用了,而且老板的钱也挣够了(完成原始积累了),就想公司的管理要正规一点。正好有个朋友是做MIS的,跟老板说公司的管理可以通过电脑来完成进行啊,不仅能够提高效率,还能够节省人力,降低成本。于是老板决定逐步搞信息化。这个过程一般是这样的,财务部门管钱是最重要的,所以先买了一套会计电算化软件,比如金蝶或者用友,用了两年觉得真不错,会计作帐正规多了,而且每个月的报表都很及时,经营情况一目了然。吃到甜头的老板决定在公司内部推广经验,把库存和销售也通过电脑管理,所以上了一套进销存。公司为了加强企业形象建设,还开发了一个网站。再后来公司不断发展,更加有钱了,要国际化,管理上要向世界巨头看齐了。什么CRM、 ERP、SCM、电子商务全见过世面了。于是公司就花了很多钱,聘请了某海外的著名咨询公司上了一套ERP,例如SAP/ORACLE,什么财务集中、制造、库存、销售、HR统统拿来,连看门的门卫面前都摆了电脑,为啥?要考勤,和HR数据库相连阿。公司成立了一个信息中心了,养了一帮闲散的无政府主义的程序员、网管、DBA,就是那些每天没事情就上网发牢骚的人。
        我们看在这个阶段,公司的很多部门工作都开始依赖电脑工作了,所有人都觉得电脑是个好东西了,用某个大人物的话说,电脑开始和水、阳关、空气一样不可或缺了。但是慢慢的问题又来了,例如:1、三天两头的病毒发作;2、发现有员工把公司自己开发的软件偷偷拷出去卖钱;3、网络时好时坏;4、开发的软件偶尔会算错帐、5、员工跳槽后,公司系统没有人维护。6、会计系统硬盘坏了,丢掉一个月的财务数据,如此之类。老板也认识到这个问题的重要性,不敢等闲视之。于是决定加强IT管理。于是高薪聘请了一个海龟,任命为CIO,享受副总待遇。制定并执行了一系列管理制度,例如实行电脑标准安装、用户管理制度、信息安全制度、数据备份、病毒防护制度、人员考核制度、系统开发和测试标准、设备采购制度、问题管理流程、重大故障应急处理流程等等。这些就是IT管理手段。
        这样过了一段时间,公司的IT运行果然逐渐稳定起来了。业务部门的满意度比以前提高了很多。老板以为这下子觉得可以松一口气了。
作者: zhuwm99    时间: 2007-4-23 12:53
四、IT治理
        又过了很久,老板注意到新的问题又出来了。公司IT部门势力扩展很厉害,有好几百人,掌握公司所有的IT资源。由于每个业务部门都必须依靠IT才能够开展工作,IT部门通过技术手段逐渐凌驾与各业务部门之上,在公司内部处在很强势的地位。逐渐影响到公司的决策以及执行。例如,1、IT投资管理,CIO宣称今后的预算必须大幅度增加以满足系统建设需要(投资黑洞,black hole),而实际上投资收益并不理想。2、IT权力过大,对业务部门指手画脚(IT暴君 tyrant)。3、对所有用户的意见开始不以为然,对IT服务质量也没有以前重视了。4、IT战略制定,由于IT的专业性特征,管理层很难对IT的发展战略进行规划,IT发展与公司总体战略很难协调,影响公司战略执行。
        这个问题并不是A公司独有的,很多公司信息化发展到一定程度都会遇到这样的问题,困扰了很多管理人。于是很多学者开始研究这一现象并提出各种对策。其中一个研究成果就是IT治理。这个方面最有影响的是MIT一个教授,然后就是ISACA下面的ITG研究院了。如同前面对公司治理概念的讨论,IT治理更多强调的也是组织架构和制度安排,以对IT进行制衡。比较典型的治理手段包括:1、成立IT委员会对IT战略和重大决策; 2、设立IT审计职能部门,负责对IT部门的尽职情况进行独立审计,向管理层报告; 4、对IT部门进行重组,(大概可以分为集中管理、联邦式、分布式、混合式)。
        好了,我们现在可以再来总结一下IT管理和IT治理了。
1、        IT管理是通过管理手段,来保证IT部门“做正确的事情”,如提高服务质量、提高系统的可用性、保证信息安全等。既然是管理,其基本内容还是组织、计划、领导、监督。
2、        IT治理并不是要替代IT管理工作,IT治理的目的是通过组织架构和制度安排,来对IT部门进行制衡,促进IT更好的完成工作,其最终目标是保证组织目标的完成。
作者: zhuwm99    时间: 2007-4-23 12:54
五、IT审计
        在谈IT治理的时候,引出了IT审计的概念,认为IT审计(包括内审、外审)是IT治理的手段之一,是实现公司内部IT有关的权力、职责、利益分配制衡的工具之一。这个是IT审计在现代公司存在的地位和意义。如果大家熟悉审计学理论的话,这一点就应该很容易理解。IT审计也可以认为是管理层与IT部门的委托代理关系背景下产生的,接受管理层委托来对IT部门进行监督评价,或者按照CIA新的定义,提供增值化的咨询服务。
        这样一说,很多长期受IT压迫的兄弟开心了:在公司受了IT这么多年的气,今天终于风水轮流转,也有人来收拾你们了!是不是这么乐观呢?
        一个职业的出现和它的发展,最终是由市场决定的。市场决定的手段无非是通过以下几个因素:
        1. 需求,需求的问题我们已经论述过了,IT审计已经被定位为IT治理的重要手段和工具了。从目前的现状来看,需求的规模是相当可观的。
        2. 供给,供给的问题实际上就是IT审计的从业者能否提供高质量的审计服务,涉及到IT审计从业者的胜任问题。这个问题是我觉得很难回答的一个问题,以后有机会单独讨论。
3.        成本,成本应该是价格的基础,可能和IT审计的期望待遇有关。
       
        这几个方面的讨论如果要深入下去,就要往经济学上面靠了,估计大家也没有兴趣,而且时间也不早了。
       洗洗睡吧。
作者: hhxxttzq    时间: 2007-4-27 14:08
不会啊,lz,非常有兴趣继续听听你的见地。
可不要点到即止啊,还没展开来说呢:)
作者: malingshu    时间: 2007-4-28 07:03
搬个小板凳,准备听课了。
作者: aotianhe    时间: 2007-4-28 14:42
继续下去,很不错
作者: tdoflying    时间: 2007-5-9 10:16
其实想听从IT审计到公司管理
作者: sufei_yang    时间: 2007-5-15 18:00
最初由 tdoflying 发布
[B]其实想听从IT审计到公司管理 [/B]


嗯,同意楼上的~
作者: lee_dongdong    时间: 2007-5-18 15:53
继续啊,楼主。这个话题很有意思。
作者: 孔雀河    时间: 2007-6-2 21:49
可以看看学习一下!!
作者: faint4    时间: 2007-6-6 10:49
受教了,不过应该还没写完吧,等待ing
作者: chinadoors    时间: 2007-6-21 17:27
好精辟,欣赏中
作者: 龙_龙    时间: 2007-6-27 14:27
这在写这方面的小论文,学习一下!

作者: johnchenibm    时间: 2007-7-14 15:42
写的不错, 谢谢
作者: dreamitpub    时间: 2007-7-16 16:33
最初由 zhuwm99 发布
[B]这样一说,很多长期受IT压迫的兄弟开心了:在公司受了IT这么多年的气,今天终于风水轮流转,也有人来收拾你们了!是不是这么乐观呢?  [/B]

怎么我们的实际感受和楼主不同,周围搞IT的兄弟都是饱受管理者和业务部门的凌辱,做好了没表扬,出问题了逮住不放吹毛求疵,要是再搞出个部门监管我们,岂不是更惨
作者: 降龙十八掌    时间: 2007-7-23 13:00
好贴阿,值得精华!
作者: xiaofenwu    时间: 2007-7-23 13:58
说的很好!!!!!!!!!!!!!
作者: uvise_blog    时间: 2007-9-7 22:59
还有接着的没
作者: brevity    时间: 2007-9-10 18:40
浅显易懂,刚想继续看下去没了,楼主继续啊!
作者: timyan1985    时间: 2007-9-14 01:08
好贴
学习
作者: loveruby    时间: 2007-9-18 09:38
生动,易懂!
作者: dctems    时间: 2007-10-1 09:55
经济学,学过的,也很感兴趣,楼主有卖关子之嫌!我用一个行业来类比也谈谈.

IT审计机制的产生,很类似于建筑行业的监理,一个项目,一般涉及承包设计方、施工方、监理方、材料供应商等。在这个系统中,监理公司不能有双重职能,也就是不能同时是施工方,也不能同时是材料供应商,否则监理机制就会立即失效,但是正是这种看似有效的监理机制在现实生活中却没有生效,监理公司对工程的质量不能起到决定性的作用,所以很多建筑或者桥梁还是偷工减料、建成后坍塌的也不少。这种监理机制的失效至少是因为违背了市场经济中的利润最大化原则,任何公司都是要追求利益的,监理公司这个不能做那个也不能做,只做监理怎么赚大钱呢?为了做大做强,它肯定会和其他各方进行勾结,从中捞好处,于是监理机制就失效了。当然我们还是看到很多有很多优秀成功的建筑项目,但这种项目的质量并不是监理公司发挥了重要作用,而是项目资金充分,大家都能拿到丰厚的收入,于是事情还是能够办好,但是这些都是些代价昂贵的成功,是以耗尽财政资金为代价的,其实不是真正的成功。
IT审计部门怎么生存,是一个问题,如果审计和IT部门是对立的,那么IT部门完全可以制造各种障碍让审计员无法实施有效的审计,就像会计做假账一样,其实很多的公司的会计报表都是假的,你审计得过来吗,如果要实施有效的审计那必须上级动真格亲自出马督导,将付出沉重的代价,审计的可行性大大降低,否则为什么不审计各个公司每期的财务报表而只要求公开披露呢?如果审计员和IT部门妥协或者勾结,那么审计机制也立即失效。对于外部审计来说,走形式的可能性更大,外部审计肯定会考虑自己的好处,它不会去得罪IT部门。
作者: dctems    时间: 2007-10-1 10:22
另一个问题是,IT外包的兴起,这些公司对IT吃钱太厉害已经不堪重负,他会考虑把IT外包,然后可以把压力加到外包公司的头上,外包公司为了争取客户绝对不会像IT部门那么霸道,这样公司的CIO的角色将发生改变,他们的职责变成对外包商的监管,以及思考业务对IT的需求,并传达这些需求让外包公司来满足,对新增的需求进行规划和资金预算等等。在这种情况下,审计部门代表公司利益可以不留情面对IT进行审计,外包公司只有讨好审计部门的份,所以外包公司会“做假账”,制造审计的门槛,所以要实施有效的审计,审计部门同样要付出沉重的代价。那么外部审计会有效吗? 外部审计的有效性还是取决于该审计公司的品格和能力,如果外部审计公司忠于职守,那么就会有效,否则也不会有效,最重要的是外部审计公司不能和IT外包公司勾结,否则就玩完了,一旦出现就该立即拒绝该公司的审计服务。格局其实变成了皇帝(某企业)、审计服务提供商(纪晓岚)、IT服务外包商(和申)。皇帝要有好日子过,就得让纪晓岚和和申吵吵架。这可能成为中国未来的IT治理主流模式。问题是,和申很容易找,但是找个纪晓岚是不容易的。
作者: X-Power    时间: 2007-10-28 10:26
搬个小板凳,准备听课了。

向版主反映这个帖子
作者: zhuwm99    时间: 2007-10-29 21:44
多谢楼上各位的支持。这些文字都是记录本人的工作心得,不妥之处,欢迎探讨。

最近一段时间工作比较忙,做了很多项目,涉及的面也很广,等过段时间空下来我会继续总结出来和大家分享的。
作者: yujunhappy    时间: 2007-11-1 22:48
支持,楼上的继续讲哈,我小板凳也搬好了。
作者: dodsun    时间: 2007-11-6 16:50
做板凳,学习!
作者: NanW127    时间: 2007-11-9 10:35
标题: 身处IT GOV的初级阶段
非常感谢lz的文章,我现在正开始做公司的ITGOV,当然是在初级阶段,感觉没有理出头绪,希望有机会跟lz多学习交流。我服务的公司是某外资银行的中国软件开发中心。本人对这个行业也相当感兴趣。
作者: fly2016    时间: 2007-11-9 13:08
楼主怎么不继续了?
作者: nalatimon    时间: 2007-11-12 16:31
很生动,期待LZ有更多原创作品的分享
作者: mygod2013    时间: 2007-11-14 09:11
很有深度。两个字:佩服;三个字:很佩服。
作者: pxhpxh@21cn.com    时间: 2007-11-27 09:42
收获不小,我们为你加油!
作者: glen_sir    时间: 2007-12-11 10:30
标题: 各位的发言很精彩,绕梁三日呀!
敬个礼吧。
作者: gotulip    时间: 2008-2-7 11:13
受益非浅
作者: johnzw    时间: 2008-2-13 11:21
原帖由 dctems 于 2007-10-1 09:55 发表
经济学,学过的,也很感兴趣,楼主有卖关子之嫌!我用一个行业来类比也谈谈.

IT审计机制的产生,很类似于建筑行业的监理,一个项目,一般涉及承包设计方、施工方、监理方、材料供应商等。在这个系统中,监理公司不能有双重职能,也就是不能同时是施工方,也不能同时是材料供应商,否则监理机制就会立即失效,但是正是这种看似有效的监理机制在现实生活中却没有生效,监理公司对工程的质量不能起到决定性的作用,所以很多建筑或者桥梁还是偷工减料、建成后坍塌的也不少。这种监理机制的失效至少是因为违背了市场经济中的利润最大化原则,任何公司都是要追求利益的,监理公司这个不能做那个也不能做,只做监理怎么赚大钱呢?为了做大做强,它肯定会和其他各方进行勾结,从中捞好处,于是监理机制就失效了。当然我们还是看到很多有很多优秀成功的建筑项目,但这种项目的质量并不是监理公司发挥了重要作用,而是项目资金充分,大家都能拿到丰厚的收入,于是事情还是能够办好,但是这些都是些代价昂贵的成功,是以耗尽财政资金为代价的,其实不是真正的成功。
IT审计部门怎么生存,是一个问题,如果审计和IT部门是对立的,那么IT部门完全可以制造各种障碍让审计员无法实施有效的审计,就像会计做假账一样,其实很多的公司的会计报表都是假的,你审计得过来吗,如果要实施有效的审计那必须上级动真格亲自出马督导,将付出沉重的代价,审计的可行性大大降低,否则为什么不审计各个公司每期的财务报表而只要求公开披露呢?如果审计员和IT部门妥协或者勾结,那么审计机制也立即失效。对于外部审计来说,走形式的可能性更大,外部审计肯定会考虑自己的好处,它不会去得罪IT部门。


这位朋友的见解也很不错,直接从宏观角度去刨析职能部门间的作用和反作用。有这样的风险意识是对的,但是这个风险很难解决,这是人类社会的基本风险元素,人的情感和思维。我们不能消除这个风险,那么我们最好接受,然后来看看cost/benefit,目前IT审计的兴起也就不到10年,也许过20年后,会有答案。

楼主引出这个问题,的确很好,从high-level来看IT gov的确是正确的,但是结论还没有,需要大家多多讨论。这是一个思维方式的锻炼。
作者: jerryhero    时间: 2008-2-25 20:49
楼上的总结不错 但有些官腔  呵    开个玩笑

楼主写的很好
作者: cisamaqing    时间: 2008-2-26 11:24
LZ目前忙于做IT Audit项目,比较忙碌,不过还是希望继续这个话题.
作者: sagittarius1    时间: 2008-2-26 13:38
学习学习
作者: douzhiyong    时间: 2008-2-28 12:39
楼主总结的深入浅出,通俗易懂啊!楼主治大国如烹小鲜,看得出是业内资深人士,想与楼主深入交流学习
研究IT治理,首先要搞清的问题就是管理与治理、IT管理与IT治理的区别.
两年前写硕士论文就是IT治理相关的,也是基于MIT的peter well教授的IT治理理论,结合银行业做了些深入研究。
对于IT治理,学术界还有很多的不同认识,行业中经常提到的ITIL、COBIT等等的,其实只能算是管理上的问题,治理上其实主要说的还是所有权与经营权的问题,套用公司治理的定义,IT治理也就是组织内IT资产的所有权与经营权问题。楼主说的经济学问题,应该就是委托代理关系了。

我的邮箱:douzhiyong@163.com
作者: fangbob    时间: 2008-3-7 16:10
景仰呀
作者: BluShin    时间: 2008-3-14 17:45
这是法师吗?
作者: pikachu_xu    时间: 2008-3-15 14:29
写的很好,继续写,楼主
作者: andy_v    时间: 2008-4-7 17:51
老板,厉害!学习后理解有些深入,谢谢!
作者: benny96    时间: 2008-5-9 09:43
现在主流的审计工具都有什么恩?
作者: flashere    时间: 2008-7-23 16:49
感觉这篇文章 IT管理和IT治理 写的还不错
作者: zhlinux    时间: 2008-8-6 15:51
继续,受益颇多。
作者: ioria    时间: 2008-8-11 00:19
写得很好。支持
作者: johnliniso9000    时间: 2008-8-15 19:35
学习、、学习。。,受益非浅
作者: Ryan-liumin    时间: 2008-8-17 09:03
怎么就没后续了啊
作者: shureya    时间: 2008-8-20 10:17
牛人啊!!!
作者: greatice    时间: 2008-9-11 14:08
收益了
作者: mnsfxh    时间: 2008-9-11 15:21
标题: 回复 #1 zhuwm99 的帖子
IT审计是新兴职业,有需求的目前主要集中在金融,保险等对IT依赖程度大的行业和公司。我个人觉得做IT审计的最高目标是做到CIO.
作者: techandaisuki    时间: 2008-10-23 15:45
真是好文章,后面呢?楼主怎么不写下去了。
作者: kkv    时间: 2008-10-28 14:15
在板凳上,学习!
作者: firebedisable    时间: 2009-2-27 15:54
标题: 回复 #4 zhuwm99 的帖子
四、IT治理
又过了很久,老板注意到新的问题又出来了。公司IT部门发展了,壮大了,也不是以前的小猫两三只了,而且工作上也发生了一些变化,不再仅仅是修修电脑,维护维护网络,给服务器杀杀毒之类的了,更让人惊讶的是掌握公司所有的IT资源。由于每个业务部门都必须依靠IT才能够开展工作,IT部门通过技术手段逐渐凌驾与各业务部门之上,在公司内部处在很强势的地位。逐渐影响到公司的决策以及执行。例如,1、IT投资管理,CIO宣称今后的预算必须大幅度增加以满足系统建设需要(投资黑洞,black hole),而实际上投资收益并不理想。2、IT权力过大,对业务部门指手画脚(IT暴君 tyrant)。3、对所有用户的意见开始不以为然,对IT服务质量也没有以前重视了。4、IT战略制定,由于IT的专业性特征,管理层很难对IT的发展战略进行规划,IT发展与公司总体战略很难协调,影响公司战略执行。
      而且由于这种状况,IT对于日常工作的质量也是有一搭没一搭的了,用户态度好,或者关系好了,事情就做得彻底些,漂亮些;如果用户态度不好,或者跟IT关系不好,那就做得不彻底,这样严重制约了公司的运作.换句话说:质量是可以达到优的,可就是根据IT心情变化而变化............(好像有点儿过了......貌似俺们IT大部分时间都是被人当维修工用......)
        这个问题并不是A公司独有的,很多公司信息化发展到一定程度都会遇到这样的问题,困扰了很多管理人。于是很多学者开始研究这一现象并提出各种对策。其中一个研究成果就是IT治理。这个方面最有影响的是MIT一个教授,然后就是ISACA下面的ITG研究院了。如同前面对公司治理概念的讨论,IT治理更多强调的也是组织架构和制度安排,以对IT进行制衡。比较典型的治理手段包括:1、成立IT委员会对IT战略和重大决策; 2、设立IT审计职能部门,负责对IT部门的尽职情况进行独立审计,向管理层报告; 4、对IT部门进行重组,(大概可以分为集中管理、联邦式、分布式、混合式)。
        好了,我们现在可以再来总结一下IT管理和IT治理了。
1、        IT管理是通过管理手段,来保证IT部门“做正确的事情”,如提高服务质量、提高系统的可用性、保证信息安全等。既然是管理,其基本内容还是组织、计划、领导、监督。
2、        IT治理并不是要替代IT管理工作,IT治理的目的是通过组织架构和制度安排,来对IT部门进行制衡,促进IT更好的完成工作,其最终目标是保证组织目标的完成。
作者: firebedisable    时间: 2009-2-27 15:55
俺小小改了一下,不过个人感觉还是有点儿偏颇了
作者: windly0721    时间: 2009-3-12 21:11
搬凳子来学习

作者: firebedisable    时间: 2009-3-16 13:19
标题: 回复 #26 dctems 的帖子
哥们儿,你懂什么是IT外包嘛?还"这些公司对IT吃钱太厉害已经不堪重负,他会考虑把IT外包",哥们儿,IT外包现在基本都是外包HELPDESK这块儿,再说了,你是老板,或者你是IT总监,你丫敢外包你的IT部门的管理模块儿出去嘛?
还有,你懂什么是IT审计嘛?IT审计基本上现在等同于了IT内审,其实还有个外审.不过就拿IT内审来说,一般的外企的IT内审是由专门的内审公司来做的,根本就不是什么公司内部组成一个内审小组之类的走过场,讨好?你让IT外包公司讨好去吧,这种可能性按照你说的几乎就是个大鸭蛋,可懂?
要ITIL干嘛的?这一个IT内审标准的基本件就是让企业拿来经过专业IT人来当裁缝,左裁右剪作出适合企业的IT内审标准以及详细的IT内审步骤的.说到这儿了,你可懂什么是IT内审步骤?给你丫打个简单的比方,一个分公司,所有的IT设备,包括所有员工平时要用到的划在自己名下的电脑以及打印机扫描仪,甚至于门禁系统,消防系统(机房的)等等等等,就不说什么服务器交换机的了,必然包含在内,都需要一个相对应的OU来负责的,而且要按照内审标准中内审要求的步骤,按照周期进行测试,看是否存在一旦出现问题无法找到IT给出处理方案后能拍板儿的人的设备.跟你丫说多了我感觉是一种浪费我的口水,自己先去搞明白什么是IT内审,去国外网站上看下什么是IT Auditing再夸夸其他吧,谢谢!

[ 本帖最后由 firebedisable 于 2009-3-16 13:21 编辑 ]
作者: boe163    时间: 2009-3-17 22:25
搬个马扎学习学习
作者: tofly8    时间: 2009-3-18 20:38
说的很形象啊,没下文了?
作者: ljp2218    时间: 2009-3-20 13:38
原帖由 firebedisable 于 2009-3-16 13:19 发表
哥们儿,你懂什么是IT外包嘛?还"这些公司对IT吃钱太厉害已经不堪重负,他会考虑把IT外包",哥们儿,IT外包现在基本都是外包HELPDESK这块儿,再说了,你是老板,或者你是IT总监,你丫敢外包你的IT部门的管理模块儿出去嘛?
还有,你懂什么是IT审计嘛?IT审计基本上现在等同于了IT内审,其实还有个外审.不过就拿IT内审来说,一般的外企的IT内审是由专门的内审公司来做的,根本就不是什么公司内部组成一个内审小组之类的走过场,讨好?你让IT外包公司讨好去吧,这种可能性按照你说的几乎就是个大鸭蛋,可懂?
要ITIL干嘛的?这一个IT内审标准的基本件就是让企业拿来经过专业IT人来当裁缝,左裁右剪作出适合企业的IT内审标准以及详细的IT内审步骤的.说到这儿了,你可懂什么是IT内审步骤?给你丫打个简单的比方,一个分公司,所有的IT设备,包括所有员工平时要用到的划在自己名下的电脑以及打印机扫描仪,甚至于门禁系统,消防系统(机房的)等等等等,就不说什么服务器交换机的了,必然包含在内,都需要一个相对应的OU来负责的,而且要按照内审标准中内审要求的步骤,按照周期进行测试,看是否存在一旦出现问题无法找到IT给出处理方案后能拍板儿的人的设备.跟你丫说多了我感觉是一种浪费我的口水,自己先去搞明白什么是IT内审,去国外网站上看下什么是IT Auditing再夸夸其他吧,谢谢!


这位仁兄看来也是“牛人”啊!首先请你先弄清楚什么是外包!!
其次请你分清楚IT实施与IT审计各自的地位和扮演的角色!ITIL只是一个IT实施的参考标准,而IT审计只是站在第三方的角度去对企业IT的实施的一个评估、指导和监控!而且内审只是IT审计初审时判定重要性水平和审计重点的一个必须步骤!还什么内审外审!看来根本就不懂!!
而且愤然全盘否定LZ的大作!!!看来也是一个IT治理和IT审计的冒牌货而已!!!!

[ 本帖最后由 ljp2218 于 2009-3-20 13:41 编辑 ]
作者: simple02010403    时间: 2009-3-22 21:20
标题: 同意楼主的观点,希望能够有更多的思想传上来共享(*^_^*)

作者: Tivolier    时间: 2009-3-31 22:49
楼主怎么不继续了?
作者: mihudebaobei    时间: 2009-4-16 08:37
讲得挺好,准备一直关注
作者: Golden2004    时间: 2009-5-27 17:24
不错的文章,收藏了,谢谢楼主分享!
作者: kitefly31    时间: 2009-6-15 17:28
标题: 请教:如何开展公司的IT审计?从组织、流程、人员到实施
好帖,先顶起来!楼主分析的精辟,而且很形象,本人受益匪浅。我现在面临着一个很棘手的问题:如何说服公司高层重视IT审计工作!按照楼主这个思路说下去,我想就会有我想要的答案了,期待着楼主在IT审计这部分再展开讲一讲,为谢!
作者: youthspace    时间: 2009-6-17 13:05
nice    job
作者: IT太烦    时间: 2009-9-16 15:10
收益非浅,顶一个
作者: king1986234    时间: 2009-9-25 15:06
标题: 学习学习,高手高手

作者: youthspace    时间: 2009-9-27 11:43
受益匪浅
作者: dreamitpub    时间: 2009-9-29 17:44
在企业中一般IT审计作为一个独立的单元存在,还是说会含在审计部门内?
作者: superatao    时间: 2009-9-30 13:05
辛苦
作者: scucici    时间: 2009-11-2 16:18
受益匪浅啊。。。

想问一个关于CISA考试资格的问题,我现在某家银行省分行的网管人员,若通过了CISA的考试,想获得其资格认证,需要有5年相关工作经验,我这个网管的工作经验可以算吗?

谢谢!
作者: xueyefenghua    时间: 2009-11-7 22:20
ZZ~~ 强人呢  厉害啊  呵呵
作者: wsluofeng    时间: 2009-11-9 21:09
此贴甚好,持续关注中……
作者: okmar    时间: 2009-11-15 05:02
标题: 嘻嘻,IT审计在国内还是萌芽阶段滴
再过5年再看,说不定能像现在的CPA了
作者: magnifico    时间: 2010-6-3 16:43
老贴,还是有学习价值!
作者: chwl    时间: 2010-6-10 11:19
讲得真不错
作者: sanfr    时间: 2010-6-12 21:00
学习学习。。。。。。
作者: chen_he    时间: 2010-6-21 14:33
精辟!!!
作者: nilewole_cu    时间: 2010-7-4 14:15
怎么没继续讨论了 ?多好的主题。希望各路大侠继续参与讨论啊
作者: maomaomimi201    时间: 2010-10-28 17:36
楼主讲的很好啊,支持支持,搞个系列吧。。。。
作者: vvwj12wu    时间: 2011-1-25 21:35
持凳等待楼主继续!
热烈的期待啊!
作者: ccbzzp    时间: 2011-2-6 09:06
good
作者: michael00    时间: 2011-4-18 09:12
说得相当好!非常支持楼主的讲课思路!
作者: wangq6    时间: 2012-8-23 22:12
认真听从教诲,可以开论坛了。算我一个!!!
作者: orchid9999    时间: 2015-7-22 10:38
Thanks a lot!
作者: michael_qiu73    时间: 2017-3-1 20:52
好帖子,精华

作者: kjkjkjkj    时间: 2018-2-24 14:38
非常不错的观点




欢迎光临 ITPUB论坛-中国专业的IT技术社区 (http://www.itpub.net/) Powered by Discuz! X3.2