在組織中建立完整的IT控制框架是一項長期的工作，不可能一蹴而就，應(yīng)當從基礎(chǔ)到高級，從容易到復(fù)雜一步步分階段實現(xiàn)，最終使IT成為組織的核心競爭力。

　　第一階段：IT規(guī)劃與架構(gòu)設(shè)計

　　1.目標

　　本階段的目標是，進行信息化基礎(chǔ)建設(shè)，構(gòu)筑支撐業(yè)務(wù)運行的IT基礎(chǔ)平臺，建立完善的技術(shù)框架和管理流程。

　　2.主要措施

　　第一階段所采取的措施如下：

• 業(yè)務(wù)流程調(diào)查，識別主要的業(yè)務(wù)流程，并進行初步建模。
• 為企業(yè)的業(yè)務(wù)活動建立標準的數(shù)據(jù)體系，并具有快速識別新的業(yè)務(wù)需求和進行業(yè)務(wù)建模的能力。
• 審視業(yè)務(wù)戰(zhàn)略，建立IT愿景目標，進行IT規(guī)劃與架構(gòu)設(shè)計，建立規(guī)范的IT技術(shù)標準與管理標準。
• 建立項目管理與監(jiān)理制度，對項目進行績效分析與控制。
• 建立內(nèi)部員工培訓(xùn)制度，實施全員培訓(xùn)。

　　第二階段：完善IT治理，初步控制

　　1.目標

　　本階段的目標是，在總體治理框架的指導(dǎo)下，初步建立IT風險控制體系，為業(yè)務(wù)系統(tǒng)運行提供較可靠的保障。

　　2.主要措施

　　第二階段采取的措施如下：

• 建立IT治理委員會，完善IT決策機制及職責擔當框架，確保IT戰(zhàn)略進入組織的業(yè)務(wù)戰(zhàn)略，使IT進入組織最高管理層的日常議題。
• 劃分安全域，識別信息資產(chǎn)，進行風險評估，按照ISO27001建立信息安全體系，保護組織信息資產(chǎn)的機密性、完整性及可用性。
• 按照ITIL規(guī)范建立IT服務(wù)管理體系，保護組織及IT服務(wù)的可靠支付，提高運行績效可客戶滿意度。
• 按照CMMI標準的要求，完善組織的軟件開發(fā)過程，提高軟件的質(zhì)量。
• 建立業(yè)務(wù)持續(xù)性計劃（BCP），保證組織的業(yè)務(wù)及IT在發(fā)生較大的災(zāi)難時能夠持續(xù)運行。

　　第三階段：資源協(xié)同，全面控制

　　1.目標

　　本階段的目標是，實現(xiàn)有效的資源協(xié)同，為業(yè)務(wù)活動提供可靠的支撐，深化IT風險控制，實現(xiàn)應(yīng)用系統(tǒng)與安全系統(tǒng)的全面集成。

　　2.主要措施

　　第三階段所采取的措施如下：

• 建立統(tǒng)一的應(yīng)用系統(tǒng)平臺，實現(xiàn)IT資源協(xié)同，為已有業(yè)務(wù)及新業(yè)務(wù)提供靈活可靠的支撐平臺。
• 建立統(tǒng)一安全保障平臺，建立有效的應(yīng)用控制機制，實現(xiàn)應(yīng)用系統(tǒng)與安全系統(tǒng)全面集成。
• 完善IT服務(wù)管理機制，進一步提高客戶對IT服務(wù)的滿意度，對IT服務(wù)進行量化管理。
• 梳理各類IT流程，建立規(guī)范化的IT流程控制框架，按照COSO及COBIT建立IT流程框架，明確各流程的KPI、KGI及CMM等級，形成完備的IT流程控制體系。
• 建立信息系統(tǒng)審計系統(tǒng)，從獨立、客觀的角度保證IT系統(tǒng)的效率與效果。
• 對IT組織、人員、流程、項目建立較為科學(xué)的績效考核制度。

　　第四階段：業(yè)務(wù)創(chuàng)新，完善控制

　　1.目標

　　本階段的目標是，實現(xiàn)IT風險控制與企業(yè)風險控制的高度融合，使IT戰(zhàn)略成為企業(yè)戰(zhàn)略的重要組成部分，IT為企業(yè)創(chuàng)造新的競爭機遇。

　　2.主要措施：

　　第四階段所采取的措施如下：

• IT戰(zhàn)略成為組織決策層的重要議題，IT參與企業(yè)流程再造，IT可以為企業(yè)創(chuàng)造新的利潤增長點。
• 為整個組織提供高質(zhì)量的IT服務(wù)，建立全組織的IT共享服務(wù)中心。
• IT成為利潤中心，對IT進行財務(wù)核算。
• IT控制進一步完善，IT風險控制與企業(yè)風險控制高度融合，形成良好的信息安全企業(yè)文化。

　　總之建立IT風險管理框架是組織控制IT風險、確保組織實現(xiàn)其業(yè)務(wù)目標的有效方式。以上所介紹的IT風險控制過程是通過多年的研究及實踐總結(jié)出來的通用方法論，不同的組織在建立控制的過程中，還要根據(jù)自身的實際情況因地制宜，靈活應(yīng)用。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標題：淺析IT控制框架的建立過程

本文網(wǎng)址：http://www.oesoe.com/html/support/11121811761.html