关注微信

推荐商品

    加载中... 正在为您读取数据...
分享到:
  • 中国企业的IT治理之道[平装]
  • 共1个商家     19.50元~19.50
  • 作者:王仰富(作者),刘继承(作者)
  • 出版社:清华大学出版社;第1版(2010年3月1日)
  • 出版时间:
  • 版次 :
  • 印刷时间:
  • 包装:
  • ISBN:9787302220084

  • 商家报价
  • 简介
  • 评价
  • 加载中... 正在为您读取数据...
  • 商品描述

    编辑推荐

    《中国企业的IT治理之道》:国际视野整合中国智慧指导信息化实践
    保障IT投资效益最大化的有效手段有哪些?
    IT决策的依据是什么?
    如何优化IT资源配置,保证IT与业务目标一致?

    媒体推荐

    什么是IT治理?业界一直存在不同的理解。本书详细梳理了肝治理概念,从决策、激励与控制三个层面,对IT治理进行了全面阐述,并特别强调决策是IT治理的关键,对于中国企业IT治理体系设计与信息化实践具有很强的指导性。
      ——江玮,日立咨询IT战略与变革咨询总监,2005年度“中国十大优秀CIO”之一
    如何把国际IT治理相关标准与中国企业实际相结合,构建出符合中国实际,可执行的肝治理体系,是影响中国企业信息化进一步提升的关键问题之一。本书在这方面进行了系统的探索,并第一次建立了一个完整的框架。
      ——魏治平,COBIT、CISA、ITIL等国际标准资深认证讲师
    治理的目的是创造出一个符合组织发展的秩序,IT治理亦已经成为秩序之源。关于这个方面的实务探索,在这本书出版之前,我只能见到零散的文章,现在好了,《中国企业的IT治理之道》这本书全面系统地阐述了肝治理的体系与方法,它的出版可以更好地指导实践,让更多的组织受益。
      ——王甲佳,温州市信息管理学会秘书长、东经控股有限公司CIO

    目录

    第一篇 IT治理体系的构建
    第1章 拨开IT治理概念的迷雾
    1.1 信息化的乱象催生IT治理
    1.2 揭开IT治理的面纱
    1.2.1 众说纷纭的公司治理
    1.2.2 IT治理概念的丛林
    1.2.3 IT治理的定义与内涵
    1.3 IT治理的相关概念
    1.3.1 IT治理与公司治理的关系
    1.3.2 IT治理与IT管理的关系

    第2章 走出IT治理标准的迷宫
    2.1 COBIT——IT控制与审计的利器
    2.2 ITIL——IT服务管理的最佳实践
    2.3 ISO/IEC 17799/27001——信息安全管理的国际标准
    2.4 CMMI——IT项目过程控制的框架
    2.5 IT治理标准比较

    第3章 构建中国特色的IT治理模型
    3.1 中国企业IT治理的整体模型
    3.1.1 时间维度:信息化的四大阶段
    3.1.2 空间维度:信息化的五大治理对象
    3.1.3 中国企业IT治理框架
    3.1.4 中国企业的IT治理模型
    3.2 中国企业IT治理的十大流程体系
    3.3 中国企业IT治理的三大支柱

    第二篇 决策——IT治理的第一大支柱
    第4章 企业架构——IT决策的依据
    4.1 企业架构为企业“画骨”
    4.1.1 企业架构在信息化中的作用与地位
    4.1.2 目前主流的架构框架对比
    4.2 企业架构的构成
    4.2.1 业务架构是企业架构的基础
    4.2.2 数据架构是企业架构的核心
    4.2.3 应用架构是企业IT的缩影
    4.2.4 技术架构是数据和应用的支撑
    4.3 基于企业架构的IT决策模型
    4.3.1 企业架构能保证IT投资与业务保持一致性
    4.3.2 企业架构是减少IT重复投资的利器
    4.3.3 企业架构是企业获得最佳IT投资回报的依据

    第5章 IT投资决策治理
    5.1 IT投资决策与IT治理的关系
    5.1.1 IT投资决策中存在的问题
    5.1.2 从IT治理角度看IT投资决策
    5.2 IT需求的必要性论证
    5.3 IT需求的初步可行性分析阶段
    5.3.1 初步技术可行性分析
    5.3.2 初步经济可行性分析
    5.4 IT项目的优先级排序
    5.4.1 多项目管理的含义与特点
    5.4.2 项目管理办公室:项目组合管理的治理机构
    5.4.3 项目组合管理的基本流程
    5.4.4 项目组合选择的方法
    5.4.5 项目组合管理的优缺点分析
    5.5 IT项目的详细可行性研究

    第三篇 激励——IT治理的第二大支柱
    第6章 IT治理结构
    6.1 IT部门定位与发展阶段
    6.2 IT部门组织结构的多种现存模式
    6.2.1 最具代表性的三种组织模式
    6.2.2 外包与独立运作模式
    6.3 IT组织机构的设置
    6.3.1 IT决策与规划机构设置
    6.3.2 IT执行与实施机构设置
    6.3.3 IT监督与审计机构设置

    第7章 IT绩效评价与人员激励
    7.1 IT绩效难以评估的原因
    7.2 IT绩效管理的整体框架
    7.2.1 IT绩效评价的主要方法
    7.2.2 IT绩效评价的层次
    7.3 以平衡记分卡为核心的IT绩效评价
    7.3.1 成本与效益类评价指标
    7.3.2 ?客户与服务类评价指标
    7.3.3 内部运营类评价指标
    7.3.4 人才与创新类评价指标
    7.3.5 信息化项目类评价指标
    7.3.6 IT绩效评价过程及注意事项
    7.4 IT岗位及人员的绩效考核
    7.4.1 CIO的绩效考核
    7.4.2 IT员工的绩效考核
    7.5 IT人员的激励机制
    7.5.1 CIO的激励机制
    7.5.2 IT员工的激励机制

    第四篇 控制——IT治理的第三大支柱
    第8章 信息系统内部控制与合规
    8.1 IT内部控制在企业控制中的作用
    8.1.1 内部控制是企业由大变强的关键
    8.1.2 IT内部控制:企业内部控制的基石
    8.2 国内外关于IT内部控制的现行标准
    8.2.1 COSO委员会《企业风险管理——整合框架》
    8.2.2 美国政府颁布的《萨班斯法案》
    8.2.3 中国的《企业内部控制基本规范》
    8.3 IT内部控制的层次与内容
    8.3.1 IT内部控制的层次
    8.3.2 IT内部控制的主要内容
    8.4 构建企业的IT内部控制体系
    8.4.1 IT内部控制组织体系的构建
    8.4.2 企业IT内部控制体系的构建流程

    第9章 IT项目治理与管控
    9.1 IT项目治理的概念与模型
    9.1.1 IT项目的特点
    9.1.2 什么是IT项目治理
    9.1.3 IT项目治理分类
    9.2 IT项目的内部治理
    9.2.1 IT项目内部治理结构
    9.2.2 公司层面治理机制
    9.2.3 项目层面治理机制
    9.3 IT项目的外部治理
    9.3.1 IT项目供应商治理
    9.3.2 IT项目监理机构

    第10章 IT运维治理与管控
    10.1 流程——IT运维管控的关键
    10.1.1 ITIL为IT运维注入新的活力
    10.1.2 流程是ITIL的核心
    10.2 IT服务管控的两个重点问题
    10.2.1 变更管理:控制IT运维风险的关键
    10.2.2 服务级别管理:IT与业务的盟约
    10.3 IT服务管控实施流程
    10.3.1 确立远景目标
    10.3.2 评估现状
    10.3.3 重组IT部门
    10.3.4 流程优化
    10.3.5 效果检查
    10.3.6 持续改进

    第11章 信息安全治理与管控
    11.1 信息安全治理与信息安全管理
    11.1.1 信息安全治理的复杂性
    11.1.2 信息安全的层次模型
    11.2 信息安全治理与管控体系
    11.2.1 信息安全方针
    11.2.2 信息安全策略
    11.2.3 信息安全组织体系
    11.2.4 信息安全技术体系
    11.2.5 信息安全运营管控体系
    11.3 信息安全管控体系构建流程
    11.3.1 差距分析
    11.3.2 风险评估
    11.3.3 安全管理体系规划及构建
    11.3.4 安全管控体系监控与审计
    11.3.5 构建信息安全管控体系的保障机制

    第12章 IT供应商治理与管控
    12.1 IT供应商治理与管控流程
    12.1.1 IT供应商管控现状与问题
    12.1.2 IT供应商管控基本流程
    12.2 IT供应商的评价与选择
    12.2.1 IT供应商选型的组织与角色
    12.2.2 IT供应商选择的标准
    12.2.3 IT供应商选择的流程
    12.3 IT供应商的绩效评价
    12.4 IT外包的治理与管控
    12.4.1 IT外包的决策与流程
    12.4.2 IT外包的风险
    12.4.3 IT外包关系的管控机制
    12.4.4 用ITIL规范IT服务外包

    第13章 信息系统审计
    13.1 信息系统审计的背景与内涵
    13.1.1 信息系统审计的内涵
    13.1.2 信息系统审计主体
    13.1.3 信息系统审计对象
    13.1.4 信息系统审计的目的
    13.2 IT审计的标准和规范
    13.2.1 国际信息系统审计准则
    13.2.2 我国信息系统审计规范
    13.3 信息系统审计内容与方法
    13.3.1 信息系统一般控制审计
    13.3.2 信息系统应用控制审计
    13.3.3 信息系统开发与实施审计
    13.3.4 信息系统运行审计
    13.3.5 信息系统安全审计
    13.3.6 计算机信息资料审计
    13.4 信息系统审计的过程与步骤
    13.4.1 计划阶段
    13.4.2 实施阶段
    13.4.3 报告阶段
    13.4.4 后续阶段
    参考文献

    序言

    世间的问题,极复杂的事情都可以用极简单的事例来说明。哲学家罗尔斯的“分粥理论”就是这样一个简单而寓意深刻的故事。
    有7个人组成的小团体,其中每个人都是平凡而且平等的。他们没有凶险祸害之心,但不免自私自利。他们想用非暴力的方式,通过制定制度来解决每天的吃饭问题——要分食一锅粥,但并没有称量用具或有刻度的容器。
    大家试验了不同的方法,发挥了聪明才智,多次博弈形成了日益完善的制度。大体说来主要有以下几种。
    制度一:指定一个人负责分粥事宜。很快大家发现,这个人为自己分的粥最多。于是又换了一个人,结果总是主持分粥的人碗里的粥最多、最好。这说明权力会导致腐败,绝对权力会导致绝对腐败。
    制度二:大家轮流主持分粥,每人一天。这样等于承认了个人为自己分粥的权利,同时给予了每个人为自己多分粥的机会。虽然看起来平等了,但是每个人在一周中只有一天吃得饱而且有剩余,其余六天都挨饿,大家认为这种办法造成了资源浪费。
    制度三:大家选举一个信得过的人主持分粥。开始这位品德尚属上乘的人还能公平分粥,但不久他开始为自己和溜须拍马的人多分,直接导致他自己的堕落和风气败坏。
    制度四:选举一个分粥委员会和一个监督委员会形成监督和制约。公平基本做到了,可是由于监督委员会常提出各种议案,分粥委员会又据理力争,等分粥完毕时,粥早就凉了。
    制度五:每个人轮流值日分粥,但是分粥的那个人要最后一个领粥。令人惊奇的是,在这个制度下,7个碗里的粥每次都是一样多,就像用科学仪器量过一样。每个主持分粥的人都认识到,如果7个碗里的粥不相同,他确定无疑将享用那份最少的。
    分粥理论告诉我们:制度至关重要,制度是人选择的,是交易的结果。制度不同,结果大相径庭。
    制度是什么?经济学家诺斯认为,制度是一个社会的游戏规则。或者更规范地说,制度是构建人类相互行为的人为设定的约束。大到整个社会,小到一个企业之中,人们追求自身利益的行为常常是相互牵制乃至相互冲突的。如果只有行为主体的功利性计算,就会出现好事没人做,坏事人人争先的结局。为了协调人们之间的利益冲突,维持集体的生存和社会的秩序,人们无时不需要用制度去规范个体的行为。
    那么,究竟什么样的制度才是好制度?好制度的标准又是什么?从上面的分粥过程来看,第五种分粥制度是好制度,其原因是它与前四个制度相比,显得既公平又有效。而前四个制度,要么是如第一和第三个制度,有效率而无公平;要么是如第四个制度,有公平而无效率;要么是如第二个制度,既无公平又无效率。由此可知,有效、公平就是好制度应具备的两个基本特征。
    那么好的制度由何而来?
    故事中,7个人组成的小团体,在尝试了制度一、制度二、制度三、制度四之后,终于找到了一种好的制度五。一个重要前提,在于这是一个民主团体,他们对分粥中的不公平能够议论、表达不满,且对于如何改进能够发表意见、民主协商。试设想在一个权力集中的组织中,一个专权跋扈的领导者把握了绝对的权力,分粥者由他指定,不管粥分得多么不公平(当然决不会亏待有权者)也不准提意见,谁胆敢提意见就会遭到打击报复。这样,富有激励作用且公平高效的机制就永远不会产生,组织也可能长期锁定在一种无效率的状态中,忍受低效率和停滞。
    更根本、更基础的制约因素是体制。好的体制是好的机制产生的前提。实际上,在有缺陷的体制下,即使仿效先进体制建立好的机制,也往往不能得到有效遵循而在执行中走样。在企业中,这种体制主要表现为公司治理结构。
    公司治理是指有关公司控制权或剩余索取权分配的一整套法律、文化和制度性安排,这些安排决定公司的目标,谁拥有公司,如何控制公司,风险和收益如何在公司的一系列组成人员,包括股东、债权人、职工、用户、供应商以及公司所有的部门之间分配等一系列问题。这些安排决定了公司的目标、行为,决定了在公司利益相关者中在什么状态下由谁来实施控制,如何控制,风险和收益如何分配等有关公司生存和发展的一系列重大问题。它是公司具体管理、分配机制形成的背景平台。
    具体到信息化建设来说,制度也是决定成败的重要因素。目前,不少单位拥有与其国际竞争对手一样的系统、软件,甚至技术和设备强于对方,所以单从技术的成熟性和先进性而言,整体应用水平不低,但是为什么就没有对方做得好呢?其实原因很简单,IT仅仅是个工具,并且这个工具并不是改善管理、业务流程、商业实践的万能工具,和其他工具一样,必须通过有效的应用才能体现价值。而要想让IT得到有效应用,并让IT系统绩效最优,最根本的不取决于信息技术和设备的先进与否,而是由制度安排的优劣、治理水平的高低决定的。这就引出一个IT治理的话题。
    对国内的企业来说,“IT治理”并不是一个陌生的词汇。对于什么是IT治理,什么样的治理才是最优的,如何构建最适合企业的IT治理机构,企业界已经开始进行有益的探索,并产生了一系列的优秀成果。我国的IT治理与IT管控,也越来越受到包括政府部门、监管部门、学术界以及行业用户在内的各界的重视。但我们尴尬地发现,IT治理相关的理论总结却严重滞后,我们遍寻国内的理论研究成果也没有发现一套完整、可行的IT治理理论体系,大家甚至对IT治理概念的理解也都迥然不同,急需要一本书总结、整理一套完整的IT治理体系,以指导实践,本书就是在这样的背景下产生的。
    本书构建了一套以企业架构为核心的IT治理体系,认为IT治理有十大基本流程体系,这十大流程体系可以归纳为三大类:决策、激励、控制,这是IT治理的三大支柱。本书就围绕这三大支柱展开。本书共分为四篇13章。第一篇构建IT治理的基本框架,包括3章:其中第1章介绍IT治理的基本概念,为全书奠定一个理论基础;第2章介绍目前国际上主流的IT治理标准和最佳实践;第3章是本书的总括,整理了IT治理的整体框架。第二篇是决策,包括第4、5两章:第4章介绍了基于企业架构的IT决策体系;第5章介绍了IT投资决策的基本流程与制度。第三篇是激励,包括第6、7两章:第6章论述了IT部门的模式;第7章是IT绩效评估与IT人员的激励。第四篇是控制,包括8~13共6章,依次介绍IT内部控制、IT项目治理、IT运维治理、信息安全治理、IT供应商治理、信息系统审计等内容。这些内容共同构建了一个符合中国企业实际需求的IT治理框架和内容体系。
    本书在写作过程中参考和引用了大量业界的研究成果,虽然书后已经列出很多,但仍难免遗漏,在此,我们对这些作者一并表示感谢。

    文摘

    插图:



    4、IT项目治理与管控
    公司治理是以治理结构和治理机制为核心的一套现代企业制度的设置和安排。这种制度安排能够有效地解决现代企业制度下由于所有权与经营权分离所带来的委托代理问题。规避经营者的自利行为和道德风险,最大限度地保障和实现股东、债权人、员工、顾客和社区等利益相关者的最大权益。IT项目作为一个利益主体,也存在着两种利益主体的冲突,即内部利益相关者(包括公司或项目投资人、项目经理、项目成员、IT用户等)和外部利益相关者(包括供应商、咨询机构、监理单位等)之间的利益冲突,还存在着项目的所有者与项目管理者之间的监督与制衡问题、激励与约束问题。如何设计一套合理的IT项目的治理结构和治理机制,有效地调动项目管理者的积极性,提高IT项目的效率是一个十分重要的问题。
    5、IT运维治理与管控
    随着信息化的深入,IT服务对业务的作用越来越关键。这种关键性表现在企业的各项业务对于IT服务的依赖性不断增强,表现为IT技术已逐渐改变着企业业务创新模式,创造着新的业务品种和业务机会,并有效降低业务成本,提高业务效率。IT与业务的融合对IT服务的规范性和科学性提出了更高的要求,IT服务管理的理念和实践成为企业信息化的一个热点。建立IT服务管理的机制是IT治理的重要内容,我国企业应参照国际上成熟的ITSM(IT服务管理系统)实践标准——ITIL(信息技术基础设施库),结合我国企业的IT管理特色,从IT战略与业务战略的高度,坚持“以用户为中心”服务意识,制定ITSM的制度、流程和绩效考核体系,实现IT管理水平的不断提升。
    6、信息安全治理与管控
    信息安全是指信息的保密性(confidentiality)、完整性(integrity)和可用性(availability)的保持。构建信息安全保障体系必须从安全的各个方面进行综合考虑,将技术、管理、策略、工程过程等方面紧密结合,尤其是调动高级管理人员的积极性,协调业务部门和IT部门的关系,建立合理的信息安全治理结构与流程。
    所谓信息安全治理是指最高管理层用来监督管理层在信息安全战略上的过程、架构及与业务的关系,以确保信息安全战略与组织的业务目标一致。它不同于信息安全管理。信息安全管理是提供管理程序、技术和保证措施,使业务管理者确信业务交易的可信性:确保信息技术服务的可用性,能适当地防御不正当操作、蓄意攻击或者自然灾害,并从这些故障中尽快恢复;确保拒绝未经授权的访问。