爱华网三、 IT指标
影响工作能力与工作状态的因素有很多,作为企业治理的核心元素之一的工作流程与工作指标是这个体系最重要的元素。广义上的IT指标,是指整个企业的而非单独IT组织层面上。评估与整理企业治理业务层面的流程与工作指标是一个非常繁复的工作。需要耗费大量的智慧与资源投入。一般来说,可以遵循如下的过程:
图二、企业IT流程分类
从企业IT流程的角度,我们可以把IT流程分为:一般IT业务流程、应用系统和数据负责人的流程、具体的应用系统流程。IT指标就是对这些流程的指导性的可量化、可评估内容。
一般IT业务流程,包括:安全管理、应用系统与变更管理、数据管理与灾难恢复、数据中心的问题解决与操作、资产管理。
安全管理职责划分,递归在CIO办公室的业务分析专家与基础服务部的系统管理岗位上。对于一般IT业务流程的安全管理,在IT治理状态下,不仅仅是技术范围内的安全管理,从广义上将,凡是可能影响企业财务报表的各种因素与风险,都属于安全管理范围。自从美国的安然事件以及SOX法案的产生,已经有部分企业,甚至为这样的工作范围确立了首席安全官的职务,全面管理公司的风险管理,并且对于IT构架与系统支持也提出了指导性的文件。这样做的目的,并不是仅仅去应付某个上市公司的法案,而是,企业内部的高级管理人员,已经比较清晰的看到,企业治理的重要程度,因为根据马太效应来看,对于企业来说,一定是强的越强,弱的越弱,提高自己本身的管理成熟度,超越效应的临界点,形成正循环,是现在大部分企业所考虑的事情。
CIO办公室的业务分析专家主要是扮演一个沟通与总结的角色,他需要组织企业内部各个业务单元对凡是可能影响企业财务报表的各种因素与风险进行总结,并根据总结的结果,形成完整的解决方案。其信息化解决方案,已经要求到对于每个关键信息数据,在开发过程中,必须要形成数据验证过程。而对于基础服务部的系统管理员来说,他主要是要建立硬件与网络环境上的各种安全措施。
对于一般IT业务流程的安全管理,是一个总体框架,不需要为其建立相关的文件体系以及流程文件。而在应用系统与变更管理、数据管理与灾难恢复、数据中心的问题解决与操作、资产管理中,就必须产生相关的流程文件与相关制度了。职责归口是应用系统与变更管理的内容归口在应用管理部,由应用管理部经理主要负责其相关的流程与制度的建立,建立的模型可以参考CMM模型。数据中心的问题解决与操作归口在一站式服务部,由一站式服务部经理负责其相关的流程与文件的确定,其参考的模型是ITIL模型。资产管理归口到CIO办公室的行政人员与情报分析岗位,由CIO办公室人员进行相关的流程与制度的确定。
应用系统和数据负责人的流程,这个方面主要是确定业务应用系统的使用人,使用的范围,其核心思想就是建立与维持不兼容的职责分离。常规企业总是要么根本就没有给予IT经理具有管理权限,IT经理根本无法参与企业的治理以及内部审计评估工作;要么就是在数据流层面给予IT经理过大的权限。企业为了节约运营费用,采取低层次的管理措施,完全放弃实际上可以产生高效率以及高附加值的分权独立运行。某一个业务使用人或者业务服务者,可以大量轻而易举的得到大量非工作职责权限的企业信息流。其危害程度,将远远超越企业当初为此节约的投资。
应用系统和数据负责人的流程的工作责任与职责归口在企业的人力资源部门。其相关的流程,人员变更,操作变更流程与文件由企业人力资源部门的相关人员确立。在IT治理的原则下,不仅仅对于企业的IT组织的要求比一般企业的要高以外,其对于人力资源部门的要求,也相应提高了很多。常规方式下,一个员工在进入到企业内部的第一天开始,人力资源系统,就需要不断的根据其的职务变更,为其确立信息系统的权限划分,享用那些信息资源。其确立的文件,是IT系统管理员进行权限配置的唯一要素。IT系统管理员,在任何时候,都不能单独进行权限的设立与配置,只有根据人力资源部门出台的文件进行工作。
具体的应用系统流程是指业务支撑平台的具体流程,一般企业在进行ERP等信息系统建设的时候,就可以留下大量的这方面的系统流程。对于IT治理以及内部审计的评估要素来说,建立信息系统时产生的相关流程文档已经足够,不需要单独再进行相关的流程设计,所以,这个方面没有归口单元。
IT指标就是对这些流程的验证的评选指导,这相当的复杂。因为每一个企业具体到具体业务流程单元以及工作单元,都可以产生不同的指标。在这里清铉就不做具体的描述了。总体说来,之所以要产生一个“IT指标”的概念,就是因为这个评估工作本身很复杂,所以,采用一个简单的“IT指标”,可以化复杂为简单。IT指标实际上就是一个表单,表单的内容包含工作的内容,相关的流程与文件是否齐全与合理,参阅企业管理成熟度模型的描述,就可以形成这样一个指标了。每个部门与业务单元都有相应的IT指标文件。对于IT部门来说,其IT指标可参考如下:
1、 系统安全总体框架是否出台?是否每个工作已经有对应的唯一责任人。
2、 服务器日志是否每天都有人进行判断,对于每一个服务器操作是否都留下记录。
3、 对应每个系统权限的设置与变更是否已经具有流程与文件
4、 是否具有IT工作指南,是否每个新员工都能在半天之内明白他的工作位置以及如何工作。
5、 是否具有公共资源平台,员工可以很方便的在平台上获得相关支持。
6、 内部培训构架与知识管理是否建立。
7、 每个员工是否很清楚自己的工作范围并且能准确描述自己的责任方向。
8、 系统故障处理流程是否合理,对于每一个操作是否都有记录,并且能获得统计报告。
9、 系统错误报告以及处理是否可控,任意抽查三个系统错误,跟踪其处理过程,处理时间。
10、 数据验证错误的统计是否在月网管人员的报告中体现,应用管理部的处理方案与结果是否有记录。
11、 关键交易与数据信息是由公司高层自动获得还是人工呈报。
12、 网络平台的稳定度是否在95%以上。
13、 公司信息化投入是超前状态还是滞后状态。
14、 公司文档复用率是否在70%以上。
15、 对于公司档案是否建立统一标示与全面的索引。
16、 IT工作流程是否经常变更,人员变化。
17、 系统缺陷认定,已经确认但暂时不进行整改的有那些。风险状态是什么。
18、 对于IT服务企业员工的满意度是否达到90%以上。
19、 共享服务中心如何影响企业内部的控制。
20、 IT外包活动如何影响内部控制。
21、 是否成在IT操作与控制的单独的业务体,既不是信息一体化。
22、 IT组织的宗旨是否是低成本与维持预算,而不是服务质量与风险管理。
23、 数据库管理是否职责分离,是否具有多方控制体系。
24、 每个信息系统的交易、数据、信息系统资源的每个时期的访问权限,每次的变更是否具有版本控制,并且对每个版本都可以查询与分析。
25、 对应每一个应用系统的交易、数据、信息系统资源有可能出现什么错误,怎么样进行修改与增加减少的,是否每一个操作都有统一的审批与变更程序。
26、 IT资产的获取、操作、报废的财务记录影响。
