利用IT治理保护和保护业务资产

通过凯特Eby2017年10月19日(2021年11月7日更新)

技术规划是当今企业商业环境中一个复杂的多维元素。计划不再仅仅局限于信息技术(IT)部门。相反,IT流程是在整个组织中交织在一起的,并且由于获得内部合作所涉及的成本和复杂性,有时对其进行融资是昂贵的。今天,许多人开始将IT治理(ITG)结构作为整体公司治理的一部分,其明确目的是为IT如何为组织的总体战略目标增加价值提供所需的方向。

本文将提供IT治理的基本元素、它的必要性、实现的最佳实践、行业框架的概述,以及来自治理专家的建议。

什么是IT治理?

IT治理是确保IT资产和流程增加整体业务价值的战略举措。ITG是整个公司治理结构的一个重要子集。因此,它要求明确的自上而下的指令,根据Gartner,提供“确保有效和高效地使用IT以使组织实现其目标的过程。”IT治理指示通过开发驱动流程和管理的定义和目标来实现更大的业务价值。ITG通过对所有相关人员透明和负责,提供框架或创造“如何”价值。然而,许多人将扩展该定义,以包括专门用于风险管理和遵从性的元素(GRC)。治理命令还影响IT领域,如IT服务管理、法规遵从性、风险管理、业务连续性、灾难恢复以及具有自己的结构(如信息或数据治理的结构)的数据或信息保护流程。

IT治理是如何产生的?

ITG起源于20世纪90年代早期,作为一种更好地集成IT资产以支持组织的实践。主要用作控制成本与衍生价值的框架,公司及其IT治理子集现在用于保护组织的股东和涉众免受欺诈和其他不道德公司行为的监管后果。20世纪早期的经济损失创造了一种环境,要求政府干预并制定法律法规,以促进问责制和公众信任。今天,组织必须提供透明度并遵守法律,例如萨班斯-奥克斯利法案该机构负责监管会计实务。其他值得注意的法规是金融机构在格雷姆-里奇-比利利法案(GLBA)。由于这些新法规中有许多可能会以巨额罚款或监禁的方式惩罚c级高管和董事会,因此,在公司治理中提高透明度和道德行为的必要性是显而易见的。并且,IT在治理中的角色是减轻风险和证明遵从性的主要支持功能。

几个美国。各国都有各自独立建立的IT治理指南,以应对20世纪80年代发生的企业失败,包括吉百利报告(英国)和King报告(南非)。

为什么组织要实施IT治理计划?
IT治理,作为公司治理的一个子集,起源于20世纪90年代早期,旨在确定将IT增长管理与组织的总体战略目标联系起来的方法。消除或减轻利益冲突,并在决策制定中建立责任制,以澄清需要资助哪些IT项目。然而,IT治理还用于提供证明监管责任的机制。21世纪初的不道德行为导致了世通(WorldCom)和安然(Enron)等公司的重大商业失败,从而创造了一个更加严格的监管环境。组织现在受到保护信息和证明财务责任的法规的约束。再加上新的法规现实,功能的增长和IT计划的费用,对业务价值一致性的需求变得清晰起来。

建立ITG的组织依赖于责任制元素和度量,这些元素和度量有助于实现组织目标的关键决策。这些授权还在新的监管环境中提供保护和问责制。另一个现实是,随着对增强技术服务需求的增加,IT对整个组织的影响也在不断扩大。IT治理还为决策制定提供了一种机制,例如确定哪些资源适合实现组织目标。欧宝体育app官方888

什么是IT治理框架或IT治理模型?

IT治理框架提供概念性的支持和结构,这些支持和结构不仅定义了IT要求,而且还提供了度量成就的支持机制。一些最突出的框架使用这些理想来阐明实现目标的逻辑方法。ISO / IEC 38500被称为官方IT治理标准:它提供了一个强大的框架,专门帮助公司董事会成员制定与法律、监管和责任相关的政策。该国际标准于2015年更新,提供了一般指南、术语和定义。该模型包含六个原则:

  1. 责任
  2. 策略
  3. 收购
  4. 性能
  5. 一致性
  6. 人类行为

ITIL(信息技术基础设施库)于1989年首次发布,也是一个与供应商无关的框架。它是最早关注It活动如何为整个组织增加价值的框架之一,这是It治理的关键焦点。与其他框架一样,它从it管理的众多子集活动中获得价值,并将重点放在与总体组织目标一致的活动上。2013年修订的ISO/IEC 27002提供了一个辅助标准,广泛用于支持信息安全管理。

什么是COBIT框架?

另一个与供应商无关的框架是信息和相关技术控制目标(COBIT)。这个框架被广泛使用,它结合了强大的IT治理和全面的IT管理机制的双重目标。COBIT最初主要是作为一个IT审计管理框架,但是随着ISO/IEC 38500的引入,治理和风险管理被添加进来。COBIT框架解决了IT部门如何通过性能目标和度量与组织目标保持一致。

如何选择适合您组织的框架?

由于有效的治理既需要命令的表述,也需要过程,因此选择正确的框架取决于组织如何看待和实现治理。有许多框架为治理过程的提供和管理提供了强大的基础元素。例如,COBIT是最常用的框架之一。因此,它已经从最初作为审计工具的功能系统地进行了更新,以支持风险和治理。

ITIL提供了一个流程模型,该模型支持IT服务管理功能,以便与组织战略和目标集成。而且,COBIT和ITIL可以单独工作,也可以与其他标准结合使用,以提供有用且有指导意义的治理结构。添加其他标准——例如ISO/IEC 27002中的标准,它侧重于信息安全——可以创建更稳健的风险管理。

德怀特Koop

德怀特·库普,联合创始人兼首席财务官/首席运营官有凝聚力的网络他是特勤局芝加哥电子犯罪特别工作组的成员,也是芝加哥联邦调查局Infragard小组的财务主管,他概述了美国国家标准与技术研究院网络安全框架(NIST):

NIST框架是为银行、航空、国防等关键基础设施创建的,但所有组织都可以应用这些原则来提高安全性。传统的以审计为中心的标准重视检查清单,而NIST基于风险的方法侧重于业务结果和基础设施安全性。因为它是一个由集体行业知识创建的迭代指南,所以该框架对任何希望改善网络安全的组织都具有巨大的价值。与数以百万计的其他标准不同,NIST网络安全框架将现有规则、评估、法规和指导方针中的最佳内容结合为统一的网络安全参考指南。随着越来越多的组织考虑并迁移到云,IT团队需要一个网络安全指南,既可以保护关键系统,又可以通过行业标准。NIST框架可以帮助团队起步。所有组织都应该有明确的指导方针和顾问,他们重视实用和诚实的安全方法。

最适合组织的框架将取决于企业文化、行业法规、涉众和领导需求,以及来自业务的IT期望。

IT治理的五个关键领域

在大多数组织中,IT治理作为一种实践仍然是一个相当新的活动,因此受到成长的困扰。支持IT管理的框架正在被更新,以包含有效的治理策略,并处理对风险和遵从性管理日益增长的关注。ISACA是一个专注于IT治理的国际专业协会,它定义了IT治理计划的五个关键目标。

  • 业务/IT目标一致性:为组织提供全面的战略方向。它将项目和服务作为整体公司或组织有效性的功能进行优先排序。
  • 价值交付:确认来自IT实现的价值评估和解决ROI机会的度量。
  • 风险管理:评估和实施保护组织和干系人的控制和管理。
  • 资源管理:处理能力和可用性、资金、人员和基础设施的问题,以满足业务需求。
  • 绩效管理:确定IT对整个业务的贡献,并验证遵从性。

什么类型的组织需要IT治理?

随着对增强IT功能需求的增长,在评估IT治理需求时很少有例外。由于ITG的一个主要特点是从技术集成中获得最大价值,因此这种做法对公共或私营部门的任何规模的组织都很有用。参与IT治理的个人既包括组织内部的,也包括组织外部的,可以包括:

  • 投资者:那些在财务上与结果有联系的人,以及董事会、c级执行人员、IT服务的高级管理人员、业务合作伙伴和外部投资者。
  • 提供者:提供业务和IT管理的部门,包括支持团队、供应商和辅助部门,如人力资源、法律和设施。
  • 独立的控制器:内部和外部审计师,财务审计师,合规和风险经理。

参与IT治理的范围与整个公司联系在一起。当IT治理寻找驱动成功的价值一致性时,它也可以在选择和实现IT计划时利用所需的组织信任。

例如,医疗保健行业需要采取广泛的数据安全措施,并且必须遵守法规以降低风险并保护患者数据。提供远程数据访问的应用程序在患者和从业者中需求量很大。这些应用程序为这个垂直行业的治理增加了额外的复杂性。根据BMC医学的一篇文章,智能手机在医疗领域的应用需要一个治理和法律框架吗?这取决于应用程序!

通过移动设备安全访问患者级数据的一种解决方案是,组织应制定明确的安全和治理规则。这可能包括提供设备或注册组织内使用的所有移动设备;个人用户登记;使用虚拟安全网络;以及使用旨在防止数据本地存储在设备上的应用程序。对于那些提供患者级决策支持的应用程序,必须开发维护决策审计跟踪的机制。

实施高质量IT治理计划的好处

实现IT治理计划有许多好处。首先是将IT项目和资产与总体业务目标结合起来。ISACA报告了从强大的IT治理结构中获得的以下五个有益成果:

  • 提高透明度和问责制,促进最佳决策。
  • 识别涉众价值和获得更高ROI的领域。
  • 增加价值机会、合作伙伴关系和合资企业。
  • 衡量业务价值的基准性能改进。
  • 降低风险并改进外部遵从性控制。

与实现IT治理计划相关的挑战

实现一个新流程,尤其是像IT治理这样庞大而复杂的流程,会带来挑战。在某些情况下,挑战可能会超过好处,并阻止组织实现IT治理。一些最常见的挑战包括:

  • 贪多嚼不烂:IT治理可以涵盖信息、基础设施和设备的许多方面。从总体计划的一个子集开始,以避免让IT和治理团队成员不堪重负。
  • 缺乏数据控制:IT治理活动需要了解和理解组织中的数据和信息。如果没有这些知识,IT治理计划的实现将是令人畏惧的。
  • 缺乏沟通:领导、涉众和实施团队之间的沟通是必不可少的,否则可能会设定不适当的期望,这增加了失败的风险。
  • 缺乏持续改进:IT治理计划不是“设置后就忘记它”。它们需要持续的管理、度量和改进,以不断地为组织增加价值。

实现IT治理计划的最佳实践

开始IT治理计划的最佳方法是定义一个适用于您的组织的经过验证的框架。这将为整个过程提供一个起点和指导方针。一个成功的IT治理计划需要详细的计划,并从高层开始,为IT管理职责制定明确的命令和方向。这允许适当地实现过程和控制,重点放在可度量的成本和收益上。在启动IT项目时,治理还致力于组织信任的发展,特别是那些跨部门的项目。当治理失败时,它的影响可能超出底线。最佳实践保护股东和利益相关者免受财务或监管损害,并提供保护,以减轻声誉或公众信任损失的未定义成本。

李巴雷特

李巴雷特,该非营利组织的执行董事电子医疗认证委员会(EHNAC)关于安全、隐私、勒索软件和网络安全风险及缓解战略、战术和最佳实践的国家发言人在实施成功的信息治理框架时提出以下建议:

解决安全问题的推动力需要在组织的最高层建立起来,考虑三条防线:

  1. 业务单位级别的防御。发起人和风险管理者如何管理第三方和分包商?
  2. 从治理、遵从性和监督的角度评估安全性。如何处理采购以及如何处理与业务伙伴的各种关系?
  3. 内部审计独立测试内部控制。我们有什么保障措施?

对于许多组织来说,降低风险的最佳方法是通过合同强制要求与您的组织合作的任何供应商都有第三方认证或认证。通常,这些步骤可以通过可量化的度量来评估和确认。

尤里Shtivelman

尤里·施蒂维尔曼是mezocliq是一家数据治理软件供应商。他说:“最好的IT治理方法是从控制你的数据开始。”

“大多数公司运行在一个由数百个(如果不是数千个)最好的应用程序组成的网络上,数据分布在无数的数据库中。相同的数据可以在多个地方使用,但是用不同的数据模型表示,并且很少在不同的系统中保持一致。对任何组织来说,清理和集成这些数据都是一项消耗资源的任务,它阻碍了向业务涉众提供准确和及时的信息。IT治理的一个主要部分应该是制定策略,通过用创新的解决方案取代遗留系统来减少应用程序和数据库的数量,并严格控制现有数据。”

实现任何新的过程都是具有挑战性的,但是坚持最佳实践建议,展示快速获胜以获得组织支持,遵循选定的一个或多个框架,然后衡量计划的成功将使您的组织处于成功的位置。

衡量IT治理计划的成功

IT部门并不专门衡量IT治理的成功。相反,它可以去中心化,以考虑投资者、管理或控制流程和基础设施的人以及交付或提供服务的人之间的竞争利益。您可以通过有效的沟通计划和有意义的度量或“记分卡”来增强决策机制,这些记分卡定义了董事会、涉众和外部组织眼中的成功。

一些关键的元素包括针对既定目标的度量、当前和期望的IT状态之间的差距、成本降低、客户满意度、使用易于收集和理解的数据、减少和预防问题,以及为涉众提供有意义的指导和信息的比较。

IT治理认证

与大多数IT功能(如管理、审计和遵从性)一样,治理作为一种经过认证的实践正在获得动力。专注于ITG复杂性的认证包括那些专注于ITIL的认证和ISACA的专有认证。通常,那些希望从事IT治理任务的人首先需要具有大量IT实践的相关工作经验。

一些最受欢迎的认证包括:

实现IT治理的模板

IT治理已经成为满足当今监管义务的重要任务,特别是那些涉及信息和数据安全的监管义务。这些模板可以帮助您开始识别组织中IT治理可以发挥作用的领域。

项目风险模板

成功的项目管理的关键是在项目的早期识别隐藏的风险,在它们影响成本和最后期限之前。项目风险跟踪器将所有潜在的风险组织在一个位置,对于任何管理中型到大型项目的人都是有益的。

项目风险矩阵模板

下载项目风险模板

Excel|内容

风险评估矩阵

使用这个简单的矩阵模板来帮助评估过程。它提供了发生的可能性和影响的严重程度之间的关系的快速视图,以及属于每一类的风险的数量。配色方案可以很容易地区分不同的评级,因此您可以获得需要处理的风险级别的概述。

风险评估矩阵模板

下载风险评估矩阵

Excel||PDF|内容

风险管理矩阵

这个风险评估矩阵是获得风险等级概览的好工具。使用所包含的管理矩阵来识别和评估风险,描述缓解策略,并监测控制工作。

风险管理矩阵模板

下载风险管理矩阵

Excel||PDF|内容

明智而有效地利用技术所提供的机会,已成为企业成败的重要驱动力。IT治理框架可以添加所需的结构,以评估IT对组织的真正价值和机会。通过为IT治理添加强有力的命令,那些负责人能够更好地处理实际成本,并为组织评估这些成本的价值。最后,促进问责制和透明度的要素有助于发展或维持对组织众多利益相关者及其外部合作伙伴的信任。

使用智能表改善IT治理

通过设计一个灵活的平台来满足你的团队的需求,并随着需求的变化而适应,从而使你的员工能够超越自己。

Smartsheet平台可以轻松地从任何地方计划、捕获、管理和报告工作,帮助您的团队更有效地完成更多工作。报告关键指标,并通过汇总报告、仪表板和自动工作流实时了解工作情况,以保持团队的联系和信息。

当团队对要完成的工作有了清晰的认识时,就不知道他们在同样的时间内能完成多少工作。今天就免费试用Smartsheet吧。

了解为什么超过90%的财富100强公司信任Smartsheet来完成工作。

免费试用Smartsheet 获得一个免费的Smartsheet演示