IT GRC

China-ITM 与微软TechNet联合制作《云＋移动计算时代卓越IT管理的十把钥匙》系列之2 IT治理、风险和合规管理（ITGRC）薛君敖（JunaoXuePh.D）首席IT管理专家祝成科技/SoftCompass邮件交流: itm@softcompass.com互动论坛：www.china-itm.com

现任祝成科技/SoftCompass首席IT管理专家，前美国贝尔实验室杰出研究员（DMTS），连续8次获微软全球最有价值专家MVP。研究方向：IT前沿技术解析、IT架构，IT管理框架，IT管理标准实施与更新，包括ITIL、COBIT、ISO2700X、BS25999、ITGRC等IT管理标准。1985获得美国哥伦比亚大学电脑科学硕士学位，1990年获得物理学博士学位。 1986年-2001年任职美国朗讯贝尔实验室。其间参加了5ESS，DACS，ITM-NM 的研制开发，担任贝尔实验室驻 ITU-T 和 TMF 代表，于1994年获得 AT&T 杰出领导小组长奖，入选公司领导人培养项目。1996年起参与中国邮电部和朗讯贝尔实验室标准合作项目的组织协调工作，将 CORBA 引入中国，03-06年，参与将ITIL和COBIT引入中国电信、中国网通的EAI项目。07年起，在中国银行界提出pBOM（银行运营图）、MPN（管理流程网络），引入ITGRC，以其为导向的IT管理纳入企业管理框架，并以此来改进ITIL、COBIT、ISO2700X和BS25999等标准的实施。现为ISACA的IT Governance和Green IT WG member（工作组成员），参与COSO模型更新和COBIT 5: Mapping of ISO 20000 With COBIT® 4.1的研发工作，以及itSMF的ITIL WG member（工作小组成员）。作为祝成科技首席IT管理专家，为国内各大企业成功提供IT架构演进、ITIL、COBIT和云计算等培训和咨询服务。

引言 – Why GRC？ITGRC的技术涵义 ITGRC是以IT支持内控要作的工作（GRC）

基于IT的控制环境（ITG）

基于IT的风险评估（ITR）

基于IT的控制活动（ITR）

基于IT的信息沟通（ITG）

（IT）表示包括 IT 绝大多数的企业需要用ERP来管理公司的人、财、物，但多少企业知道如何防范在运行过程中可能遇到的风险？进入世界市场后，又如何遵守当地的法律法规？要解决这类问题就需要GRC。任何一个企业都应该有两类管理系统，一个是实施人、财、物管理的驱动系统，一个是对人、财、物管理和管理者的制衡系统。要想快而稳地发展企业，就必须有这样的驱动和制衡系统：ERP（驱动系统）+ GRC（制衡系统），两者共同构成企业管理信息系统。包括ITGRC的ERP+GRC是完整的企业管理平台，也是提升企业管理水平的必经之途。

议题COSO模型和 ITGRC架构框架 ITGRC标准/最佳实践及其实施云+移动计算的 ITGRC

SOX-COSO-COBIT立方体COSO 模型内控 5 要素内控环境风险评估控制活动信息与沟通监控内控 3 目标绩效经营可靠性财务报告合规内控实施组织岗责流程COSO（支持标准）SOX（行业需求）COBIT（最佳实践）

ITGRC管理架构框架行业（IT）GRC 需求（Compliance）。。。企业内部控制基本规范商业银行信息科技风险管理指引商业银行内部控制指引商业银行合规风险管理指引BASELIISOXPCI（IT）GRC标准 & 最佳实践（Methodology）ISO10006PRINCE2ISO38500COBITISO31000ISO31020ISO20000ITILISO27001/2COSOBS25999（IT）GRC 实施的技术支持（Implementation）邮件管理记录管理基于Windows的19种技术支持IT安全管理BPMPPMITSMKMBI

议题COSO模型和ITGRC架构框架ITGRC标准/最佳实践及其实施云+移动计算的 ITGRC

ITGIT治理国际标准： ISO 38500 DEM模型ISO/IEC 38500:2008可以用于任何规模的组织，包括公/私有性质的公司，政府机构以及非营利组织。这一标准提供了一个IT治理的框架，以协助组织高层管理者理解并履行其组织IT使用的既定职责，实现IT治理的有效性、可用性及效率。1、主要内容：· 范围、应用与目标· 良好的IT治理框架· IT治理指南2、指导准则：·职责分工·IT支持组织发展·可获得性·可用性·合规性·尊重人性因素(以人为本)3、治理机制 – DEM模型·指导·评价·监控有效地IT治理应当是可实施的、具有一致性的。DEM模型聚焦于更广泛层次上的IT治理，它略微不同于管理者典型使用的PDCA模型。在这一模型中，管理者依据业务压力与业务需求来监控（Monitor）并评价（Evaluate）组织的 IT使用，而后指导（Direct）实施政策方针以弥补差距。

ITG对标准的解读IT治理是什么？是一个在较高的层面综合地、整体地解决很多问题的制度。一、IT治理就是为鼓励IT应用的期望行为而明确决策权的归属和责任担当框架。二、治理和管理的区别在于治理是决定由谁来进行决策，管理是制定和执行这些决策。三、IT治理是从IT中活动商业价值的最为重要的因素。四、IT治理涉及六种关键资产，人力、财务、实物、知识产权、IT、关系等。五、IT划分为五项关键决策，即IT原则、IT架构、IT基础设施、IT商业应用、IT投资IT治理的十大原则1) 积极的设计治理2) 知道何时重新设计3) 高层经理的参与4) 做出选择5) 阐明例外处理流程6) 提供正确的激励7) 为IT治理分配权利和义务8) 在多重组织层次上设计治理9) 提供透明和教育10) 在跨六项关键资产上实施通用的治理机制IT治理内容IT治理包括合规和绩效：合规Conformance，坚持法律法规、内部控制、审计需求等。绩效Performance，效率、有效、有益与增长等。企业治理和IT治理要求合规与绩效的平衡。IT治理是企业治理不可缺少的部分，企业治理要完成的目标有：提供战略方向、确保目标实现、查明风险以及得到管理、确认企业资源被充分利用。

ITGIT治理=IT治理思想+IT治理模式+IT治理体制+IT治理机制框架七要素科学的信息化发展观、IT商业价值、IT治理方法、IT治理绩效、IT治理决策模式、IT风险管理控制体系、核心IT能力。

ITGCOBIT的魔方块平衡记分卡17 业务目标映射至28个IT目标 IT目标映射至4个域的34个 IT控制流程 IT治理关注域：战略定位、价值交付风险/资源/绩效管理 COBIT实施过程： IT流程描述流程控制目标制定 RACI表及测量目标成熟度模型

ITGCOBIT实施IT治理的步骤根据COSO 5要素(企业内控基本规范)选出需要的COBIT控制流程对选出的控制流程进行解析描述流程，包括业务需求和所需IT资源定义控制目标根据管理指南工作找出流程的输入/输出/与其他流程间的关系解析流程的管理活动制定岗位问责表根据控制目标制定测量指标运用成熟度模型评估IT治理实施

ITG根据COSO 5要素选出匹配的COBIT控制流程

Relationship Amongst Process, Goals and Metrics (DS5)制定目标流程目标商务目标IT目标活动目标懂得安全需求脆弱性和威胁探测和解决未授权的信息，应用和基础设施的访问确保IT服务能抗拒攻击并从攻击中恢复维护企业信誉和领先地位测量成果被…测量被…测量被…测量被…测量改进和再定位评审受监视安全文件的频率由未授权访问引起的实际事故次数构成安全影响不好的IT事故次数对商务有影响的实际IT事故次数结果测量商务测量性能指标结果测量 IT测量性能指标结果测量流程测量性能指标性能指标ITG根据控制目标制定测量指标

ITGCOBIT IT治理成熟度模型成熟度属性表格

ITRIT风险COSO ERM(全面风险管理) 模型1. 治理风险2. 规划和架构的风险3. 项目管理风险4. 基础设施的风险5. 应用系统的风险6. IT服务交互风险7. 信息安全风险8.业务持续的风险9. 绩效风险10. 合规风险

ITR风险管理标准 ISO31000 原则、框架和流程a）创造价值b）企业流程的组成部分c）风险管理是制定决策的一部分d）风险管理显明涉及不确定性e）风险管理是系统性结构化和实时f）风险管理基于最可用的信息g）风险管理应适宜h）风险管理应考虑人文因素i）风险管理透明而包罗一切j）风险管理动态地、持续地、灵敏地应对变化k）风险管理促进组织持续改进风险管理原则授权与承诺(4.2) 设立环境风险管理框架设计(4.3)风险评估沟通与咨询风险识别监视与评审风险管理实施(4.4)框架持续改进(4.6)风险分析风险管理框架的监控与审查(4.5)风险分析风险处理风险管理框架风险管理框流程

ITRISACARisk IT Risk IT Principles

ITRRisk IT FrameworkRisk IT 框架风险治理风险应对风险评估

ITRIT风险控制框架COSO控制IT控制层公司层控制应用层控制基础层控制这个框架的主要优点是把IT风险放在企业风险的高度进行管理，容易得到管理层的理解与支持，涉及的风险较全面，控制与改进的方法较完备。缺点是控制的粒度还较粗，还不能适当对IT进行精细控制的要求。对于所建立IT内部控制措施是否能有效地控制风险，还需要通过第三方对组织内部措施的有效性进行独立审计，出具审计报告，以证明内部控制措施完备性。21

ITRIT风险管理框架的实现信息流控制流

ITCIT合规标准（合什么规）企业内部控制基本规范国家专项应急预案银监会有关指引安全标准；隐私保护法律；垃圾邮件法规；贸易惯例法规；知识产权，包括软件许可协议记录保存的要求；环境相关的法律法规；健康和安全的法规；残疾人便利法规；社会责任标准。不合规的结果•丧失信誉，客户和业务合作伙伴的信任 •失去市场份额 •巨额罚款（包括个人和组织） •个人法律责任，甚至监禁的极端罪行 •诉讼股东及其他人士 •限制进入资本市场和上市股票市场失 •信用评级下降 •无能力做具体的司法管辖区的业务 •提高对你的监管

ITC通过控制框架（下图中的MOF）进行控制General Controls•IT组织•政策创造和传播•系统安全•运营•变更管理•事故处理•监测•服务，系统和应用性能Application Controls•数据准备程序•准确性，完整性，及授权检查•数据处理的完整性•输出分布•保护敏感信息的传输Administrative Controls•减少欺诈风险•保护组织和客户资产•防止泄露组织和客户的秘密•遵守法规•改善经营意识•提高效率•提高准确性

ITC控制范畴对技术方案的映射

议题COSO模型和ITGRC架构框架 ITGRC标准/最佳实践及其实施云+移动计算的 ITGRC

IT GRC

More Related Content

Viewers also liked (9)

Similar to IT GRC (20)

IT GRC