IT GRC-Ten Keys of IT Management Excellence in Cloud/Mobile Computing Era(IT治理,风险,合规管理)

1. China-ITM 与微软TechNet联合制作《云＋移动计算时代卓越IT管理的十把钥匙》系列之2 IT治理、风险和合规管理（ITGRC） 薛君敖（JunaoXuePh.D） 首席IT管理专家 祝成科技/SoftCompass 邮件交流: itm@softcompass.com 互动论坛：www.china-itm.com

2. 现任祝成科技/SoftCompass首席IT管理专家，前美国贝尔实验室杰出研究员（DMTS），连续8次获微软全球最有价值专家MVP。研究方向：IT前沿技术解析、IT架构，IT管理框架，IT管理标准实施与更新，包括ITIL、COBIT、ISO2700X、BS25999、ITGRC等IT管理标准。1985获得美国哥伦比亚大学电脑科学硕士学位，1990年获得物理学博士学位。 1986年-2001年任职美国朗讯贝尔实验室。其间参加了5ESS，DACS，ITM-NM 的研制开发，担任贝尔实验室驻 ITU-T 和 TMF 代表，于1994年获得 AT&T 杰出领导小组长奖，入选公司领导人培养项目。1996年起参与中国邮电部和朗讯贝尔实验室标准合作项目的组织协调工作，将 CORBA 引入中国，03-06年，参与将ITIL和COBIT引入中国电信、中国网通的EAI项目。07年起，在中国银行界提出pBOM（银行运营图）、MPN（管理流程网络），引入ITGRC，以其为导向的IT管理纳入企业管理框架，并以此来改进ITIL、COBIT、ISO2700X和BS25999等标准的实施。现为ISACA的IT Governance和Green IT WG member（工作组成员），参与COSO模型更新和COBIT 5: Mapping of ISO 20000 With COBIT® 4.1的研发工作，以及itSMF的ITIL WG member（工作小组成员）。作为祝成科技首席IT管理专家，为国内各大企业成功提供IT架构演进、ITIL、COBIT和云计算等培训和咨询服务。

4. 基于IT的控制环境（ITG）

5. 基于IT的风险评估（ITR）

6. 基于IT的控制活动（ITR）

7. 基于IT的监控（ITC）

8. 基于IT的信息沟通（ITG）

9. 对IT要GRC

10. （IT）表示包括 IT 绝大多数的企业需要用ERP来管理公司的人、财、物，但多少企业知道如何防范在运行过程中可能遇到的风险？进入世界市场后，又如何遵守当地的法律法规？要解决这类问题就需要GRC。 任何一个企业都应该有两类管理系统，一个是实施人、财、物管理的驱动系统，一个是对人、财、物管理和管理者的制衡系统。要想快而稳地发展企业，就必须有这样的驱动和制衡系统：ERP（驱动系统）+ GRC（制衡系统），两者共同构成企业管理信息系统。 包括ITGRC的ERP+GRC是完整的企业管理平台，也是提升企业管理水平的必经之途。

11. 议题 COSO模型和 ITGRC架构框架 ITGRC标准/最佳实践及其实施 云+移动计算的 ITGRC

12. SOX-COSO-COBIT立方体 COSO 模型 内控 5 要素 内控环境 风险评估 控制活动 信息与沟通 监控 内控 3 目标 绩效经营 可靠性财务报告 合规 内控 实施 组织 岗责 流程 COSO （支持标准） SOX （行业需求） COBIT （最佳实践）

13. ITGRC管理架构框架 行 业 （IT）GRC 需 求（Compliance） 。。。 企业内部控制 基本规范 商业银行信息科技 风险管理指引 商业银行内 部控制指引 商业银行合规 风险管理指引 BASEL II SOX PCI （IT）GRC标准 & 最佳实践（Methodology） ISO10006 PRINCE2 ISO38500 COBIT ISO31000 ISO31020 ISO20000 ITIL ISO27001/2 COSO BS25999 （IT）GRC 实施的技术支持（Implementation） 邮件管理 记录管理 基于Windows的 19种技术支持 IT安全管理 BPM PPM ITSM KM BI

14. 议题 COSO模型和ITGRC架构框架 ITGRC标准/最佳实践及其实施 云+移动计算的 ITGRC

15. ITG IT治理国际标准： ISO 38500 DEM模型 ISO/IEC 38500:2008可以用于任何规模的组织，包括公/私有性质的公司，政府机构以及非营利组织。这一标准提供了一个IT治理的框架，以协助组织高层管理者理解并履行其组织IT使用的既定职责，实现IT治理的有效性、可用性及效率。 1、主要内容： · 范围、应用与目标 · 良好的IT治理框架 · IT治理指南 2、指导准则： ·职责分工 ·IT支持组织发展 ·可获得性 ·可用性 ·合规性 ·尊重人性因素(以人为本) 3、治理机制 – DEM模型 ·指导 ·评价 ·监控 有效地IT治理应当是可实施的、具有一致性的。DEM模型聚焦于更广泛层次上的IT治理，它略微不同于管理者典型使用的PDCA模型。在这一模型中，管理者依据业务压力与业务需求来监控（Monitor）并评价（Evaluate）组织的 IT使用，而后指导（Direct）实施政策方针以弥补差距。

16. ITG 对标准的解读 IT治理是什么？ 是一个在较高的层面综合地、整体地解决很多问题的制度。 一、IT治理就是为鼓励IT应用的期望行为而明确决策权的归属和责任担当框架。 二、治理和管理的区别在于 治理是决定由谁来进行决策，管理是制定和执行这些决策。 三、IT治理是从IT中活动商业价值的最为重要的因素。 四、IT治理涉及六种关键资产，人力、财务、实物、知识产权、IT、关系等。 五、IT划分为五项关键决策，即IT原则、IT架构、IT基础设施、IT商业应用、IT投资 IT治理的十大原则 1) 积极的设计治理 2) 知道何时重新设计 3) 高层经理的参与 4) 做出选择 5) 阐明例外处理流程 6) 提供正确的激励 7) 为IT治理分配权利和义务 8) 在多重组织层次上设计治理 9) 提供透明和教育 10) 在跨六项关键资产上实施通用的治理机制 IT治理内容 IT治理包括合规和绩效： 合规Conformance， 坚持法律法规、内部控制、审计需求等。 绩效Performance， 效率、有效、有益与增长等。 企业治理和IT治理要求 合规与绩效的平衡。 IT治理是企业治理不可缺少的部分，企业治理要完成的目标有：提供战略方向、确保目标实现、查明风险以及得到管理、确认企业资源被充分利用。

17. ITG IT治理= IT治理思想+ IT治理模式+ IT治理体制+ IT治理机制 框架七要素 科学的信息化发展观、 IT商业价值、 IT治理方法、 IT治理绩效、 IT治理决策模式、 IT风险管理控制体系、 核心IT能力。

18. ITG COBIT的魔方块 平衡记分卡17 业务目标映射至28个IT目标 IT目标映射至4个域的34个 IT控制流程 IT治理关注域： 战略定位、价值交付 风险/资源/绩效 管理 COBIT实施过程： IT流程描述 流程控制目标制定 RACI表及测量目标 成熟度模型

19. ITG COBIT实施IT治理的步骤 根据COSO 5要素(企业内控基本规范)选出需要的COBIT控制流程 对选出的控制流程进行解析 描述流程，包括业务需求和所需IT资源 定义控制目标 根据管理指南工作 找出流程的输入/输出/与其他流程间的关系 解析流程的管理活动 制定岗位问责表 根据控制目标制定测量指标 运用成熟度模型评估IT治理实施

20. ITG 根据COSO 5要素选出匹配的COBIT控制流程

21. 岗位问责表（RACI表）

22. Relationship Amongst Process, Goals and Metrics (DS5) 制定目标 流程目标 商务目标 IT目标 活动目标 懂得安全需求 脆弱性和威胁 探测和解决未 授权的信息， 应用和基础 设施的访问 确保IT服务能 抗拒攻击并从 攻击中恢复 维护企业信誉 和领先地位 测量成果 被…测量 被…测量 被…测量 被…测量 改进和再定位 评审受监视安 全文件的频率 由未授权访问 引起的实际 事故次数 构成安全 影响不好的 IT事故次数 对商务有影响 的实际IT 事故次数 结果测量 商务测量 性能指标 结果测量 IT测量 性能指标 结果测量 流程测量 性能指标 性能指标 ITG 根据控制目标制定测量指标

23. ITG COBIT IT治理成熟度模型 成熟度属性表格

24. ITR IT风险 COSO ERM(全面风险管理) 模型 1. 治理风险 2. 规划和架构的风险 3. 项目管理风险 4. 基础设施的风险 5. 应用系统的风险 6. IT服务交互风险 7. 信息安全风险 8.业务持续的风险 9. 绩效风险 10. 合规风险

25. ITR 风险管理标准 ISO31000 原则、框架和流程 a）创造价值 b）企业流程的 组成部分 c）风险管理是制定 决策的一部分 d）风险管理显明 涉及不确定性 e）风险管理是系统 性结构化和实时 f）风险管理基于最可用的信息 g）风险管理应适宜 h）风险管理应考虑 人文因素 i）风险管理透明而 包罗一切 j）风险管理动态地、 持续地、灵敏地 应对变化 k）风险管理促进组 织持续改进 风险管理原则 授权与 承诺(4.2) 设立环境 风险管理 框架设计 (4.3) 风险评估 沟 通 与 咨 询 风险识别 监 视 与 评 审 风险管理 实施 (4.4) 框架持续 改进 (4.6) 风险分析 风险管理 框架的监控与审查 (4.5) 风险分析 风险处理 风险管理框架 风险管理框流程

26. ITR ISACA Risk IT Risk IT Principles

27. ITR Risk IT Framework Risk IT 框架 风险治理 风险应对 风险评估

28. ITR IT风险控制框架 COSO控制 IT控制层 公司层控制 应用层控制 基础层控制 这个框架的主要优点是把IT风险放在企业风险的高度进行管理，容易得到管理层的理解与支持，涉及的风险较全面，控制与改进的方法较完备。缺点是控制的粒度还较粗，还不能适当对IT进行精细控制的要求。 对于所建立IT内部控制措施是否能有效地控制风险，还需要通过第三方对组织内部措施的有效性进行独立审计，出具审计报告，以证明内部控制措施完备性。 21

29. ITR IT风险管理 框架的实现 信息流 控制流

30. ITC IT合规标准（合什么规） 企业内部控制基本规范 国家专项应急预案 银监会有关指引 安全标准； 隐私保护法律； 垃圾邮件法规； 贸易惯例法规； 知识产权，包括软件许可协议 记录保存的要求； 环境相关的法律法规； 健康和安全的法规； 残疾人便利法规； 社会责任标准。 不合规的结果 •丧失信誉，客户和业务合作伙伴的信任 •失去市场份额 •巨额罚款（包括个人和组织） •个人法律责任，甚至监禁的极端罪行 •诉讼股东及其他人士 •限制进入资本市场和上市股票市场失 •信用评级下降 •无能力做具体的司法管辖区的业务 •提高对你的监管

31. ITC 通过控制框架（下图中的MOF）进行控制 General Controls •IT组织•政策创造和传播•系统安全•运营•变更管理•事故处理•监测•服务，系统和应用性能 Application Controls •数据准备程序•准确性，完整性，及授权检查•数据处理的完整性•输出分布•保护敏感信息的传输 Administrative Controls •减少欺诈风险•保护组织和客户资产•防止泄露组织和客户的秘密•遵守法规•改善经营意识•提高效率•提高准确性

32. ITC

33. ITC 控制 范畴 对技 术方 案的 映射

34. 议题 COSO模型和ITGRC架构框架 ITGRC标准/最佳实践及其实施 云+移动计算的 ITGRC

35. ITGRC 是云+移动计算时代的战略需求 2010年11月2日，美国政府CIO委员会发布由CIO VivekKundra签署的关于政府机构采用云计算的政府文件，文件阐述了美国政府对于云计算服务的基本立场和政策，分析了为什么需要考虑评估云计算、采用云计算带来了什么挑战、接下来政府、各机构、私营企业、业界等需要采用哪些行动等，并针对云计算的安全防护，以NIST和FISMA的相关安全标准和控制为基础，发布了征求意见稿。 文件首先指出采用云计算对于美国政府来说是风险也是机遇，机遇体现在更高的IT效率，成本方面的节省以及绿色计算等带来的环境保护。但是，要不要采用云计算不是一个基于技术的决定，而是基于风险的决定。因而需要政府、各机构谨慎评估云计算相关的安全风险，并与自己的安全需求进行比对分析。 文件建议由一个政府授权机构对云计算服务商进行统一的风险评估和授权认定，从而加速云计算的评估和采用，降低风险评估的费用。 2010年11月8日，“第四届中美互联网论坛”在今天下午在北京开幕。微软首席研究与战略官书克瑞格·蒙迪在演讲中表示，............... 针对越来越被广泛应用的云计算，为了确保最大的利益，要保证数据在国际间自由流动，同时对于数据在什么地方储存、以及如何储存、不至于进行过渡的监管。这不并意味着要一个国家要放弃他们的监管主权，美国和中国应当共同开发一个高级的监管框架，在这样的框架下来繁荣云计算。 第二，网络犯罪和隐私，............... ，在这个领域中国和美国也可以领导世界，因为商业活动以及个人交往已经跨越了边界。............... 最后我们要谈互联网的治理问题，很多治理鼓励制订国际标准，这个标准是开放的每个人都可以做出贡献，在这里美国和中国也有领先世界的机会，...............

36. 云管理框架中的ITGRC 《CSA：云计算关键领域安全指南 V2.1 》包括13个域，云计算架构框架是第1个域。组成CSA指南的其它12个域突出了对云计算安全的关注领域，并特别设法去解决云计算环境中战略和战术安全的“痛处”（pain points），从而可应用于各种云服务和部署模式的结合。 这些域分成了两大类：治理（governance）和运行（operation）。治理域范畴包括了ITGRC，解决云计算环境的ITGRC战略和策略，而运行域则关注于更战术性的安全考虑以及在架构内的实现。两者构成了突出云安全为重点的云管理框架。 将行业ITGRC需求映射至云管理框架的相关域中的相关条款，按在云中的角色（云客户、云服务提供商、第三方）根据实际情况从三个层次采用相关标准和最佳实践的方法论 – 原则、机制、流程和管理实践来制定云中ITGRC管理框架。

37. 云计算安全的关键关注领域 – 云管理框架 治理域（机构治理能力、处理风险能力和合规性）

38. 结语 我们处于中华民族复兴的伟大时代，现在中国即将成为全球第三大经济体， 中国企业从中国大陆走向世界，这将要求中国创新的管理软件企业成为世界级软件企业。中国管理软件应该帮助中国企业走向世界。 西方哲学/科学是注重解决具体问题，它们的软件帮助企业在管理层和操作层 上解决问题，因此SAP从德国走向了全世界。而东方哲学/科学是整体/系统化地解决问题，有助于企业处理决策层和管理层上的问题。GRC是解决企业上层治理方面的问题，因此从发展来看，实施GRC在中国会有更多的机会和成果， GRC的潮流可能从东方走向世界。 ERP+GRC，而且应该包括IT GRC才是完整的企业管理框架/平台，也是提升企业管理水平的必经之途。 GRC实施路线图： 面向业务执行的OA或BPM、 面向业务监控的内部控制 / 风险管控系统、 面向决策和管理的绩效管理系统。

39. Question & Answer 互动交流论坛： www.china-itm.com

40. 获取更多TechNet资源 访问TechNet的官方网站www.microsoft.com/China/technet 注册TechNet快报 www.microsoft.com/china/technet/abouttn/subscriptions/flash.mspx 加入到中文在线论坛www.microsoft.com/china/community 成为 TechNet的订户 www.microsoft.com/china/technet TechNetIT经理参考 www.microsoft.com/china/technet/itmanager/default.mspx 参与到更多的TechNet活动中或者在线了解www.microsoft.com/china/technet

41. 您的潜力，我们的动力！