[互联网]IT系统研发管理与规划流程.ppt

基于企业内部控制基本规范的IT治理管理系统研发与产业化,北京赛迪时代信息产业股份有限公司（牵头单位）中国电子产业信息发展研究院企业化信息事业部,主要内容,现有工作基础和优势,3,市场需求分析,1,4,项目方案,2,财务分析,5,课题概述,课题信息,课题名称：基于企业内部控制基本规范的IT治理管 理系统研发与产业化申请国拨资金：700万元企业自筹资金：1400万元课题负责人：公司总裁 赵刚 博士计划完成时间：2012年6月 2014年5月,主要内容,现有工作基础和优势,3,市场需求分析,1,4,项目方案,2,财务分析,5,课题概述,IT已从企业生产与管理的辅助手段和工具，上升到影响企业战略全局的地位，IT应用也已经深化到制度和战略层面，这是自信息技术出现以来一次革命性的演进。业务流程与IT结合的日益紧密，业务流程控制已转变成为IT控制，IT正成为公司治理、内部控制与风险管理的重要工具。但IT给内部控制也带来了困难：一是控制点分散化，二是一般控制与应用控制的差别日益加大。对信息系统和存储信息进行保护是一个战略性的要求。IT风险已成为企业风险管理不能忽视的内容。国内外保护利益相关者权益的法律监管环境日趋严格。,基于IT和IT自身的风险管理逐渐成为企业内部控制的重点,国际上企业内部控制制度的演进,企业内部控制基本规范亟待通过IT治理来 支撑和落实,财政部、证监会、审计署、银监会、保监会在2008年6月28日联合发布了我国第一部企业内部控制基本规范，该基本规范2009年7月1日起首先在上市公司范围内施行，并鼓励非上市的其他大中型企业执行。2010年4月，财政部、证监会、审计署、银监会和保监会联合发布关于印发企业内部控制配套指引的通知（财会201011号），规定自2012年1月1日起，凡在上海证券交易所、深圳证券交易所等主板上市的企业，必须按照企业内部控制基本规范（财会20087号）建立、实施和评价内部控制企业内部控制应用指引第18号信息系统企业应当利用信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟通中的作用。企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全稳定运行。,IT治理在企业内控管理中的地位和角色,经营层管理,业务流程,财务,业务流程,生产制造,业务流程,后勤,业务流程,其它,IT服务,OS/Data/Telecom/Continuity/Networks,公司层控制,基于IT控制环境的公司层控制，设立了组织的控制基调例如：操作风格；公司政策治理机制合作模式信息共享,应用控制,镶嵌在业务流程中的控制措施，如大型ERP系统和小型Best-of-breed系统，统称为应用控制例如：完整性准确性合法性授权职责分离,一般控制,IT服务流程中的控制措施形成一般控制，例如：程序开发、程序变更、计算机操作、程序和数据的访问,经营层管理,业务流程,IT服务,经营层制定战略并与业务活动整合。在企业层面应该设立业务目标、制定发展战略，决定如何利用和管理好组织的资源。从IT角度看，应该制定策略和指南并在整个组织中贯彻执行,业务流程是企业为其股东创造和提供价值的机制，输入、处理和输出是业务流程的主要职能，目前，业务流程自动化程度提高，与复杂高效的IT系统紧密结合,共享服务是指那些被多个部门或多个业务流程需要并经常作为共同产品被传递、提供的服务。从IT角度看，安全、通信和存储对于任何部门和业务单元都是必须的，需要由集中的IT部门来管理,市场分析,随着IT行业的发展，IT服务管理软件市场规模将逐步增大，预计到2016年将达到70亿的市场规模。随着内部控制和风险管理制度的发展对国内上市公司信息要求的提高，IT治理相关软件和服务在IT服务管理软件总体市场份额也将逐步提升，预计IT治理软件的产业规模在2016年将达到20亿左右。,竞争对手,国外竞争对手：IBMSAPORACLE加拿大ACL公司普华永道等公司针对国内特殊领域市场，国外研发机构和厂商不具备准入条件。,国内厂商：,赛迪用友慧点科技,主要内容,现有工作基础和优势,3,市场需求分析,1,4,项目方案,2,财务分析,5,课题概述,ITSS,企业内部控制基本规范,项目目标,智能预警,IT治理规则引擎,COSO,Cobit,IT治理标准,产业化推广,IT风险控制矩阵,多源异构的海量数据集成,安全访问控制,IT治理管理系统,可持续发展技术,核心支撑技术,IT治理矩阵框架,全过程风险监控和跟踪,IT治理系统研究研究,采用赛迪时代自主创新技术,研发思路,基于企业内部控制规范的IT治理指南,启发,IT治理关键绩效指标体系,IT审计导则,IT治理管理系统接口,数据采集与分析,风险评估,IT治理矩阵管理,治理绩效,IT治理标准体系,治理文档,治理计划管理,行业/国际领先企业“最佳实践”、内控全流程管理需求、IT风险定量化治理需求,控制测试管理,治理资源管理,企业内部控制基本规范、ITSS、Cobit、ITIL,运维数据,IT运维系统,各类业务系统,人工填报,系统运行数据,管理数据,IT治理管理系统,成果输出,处理加工,适配采集,指导/依据,落地/支撑,参考,比对,结合,IT治理标准体系研究思路：借鉴企业内部控制基本规范体系的相互关系,Coso：内部控制整体框架，COSO不是专注于IT的，更多的是财务风险相关，但框架是通用的,Cobit：信息和相关技术的控制目标，IT业务流程是Cobit关注的焦点，对于每一个IT业务流程，COSO提出一系列控制目标，以及相应地实现这些控制目标的控制程序,SOX：萨班斯法案。为遵从SOX法案，需要保证会计账务、财务报告、流程、财务应用和底层IT架构的完整性、可用性和准确性,交付与支持,监督与评价,获取与实施,规划与组织,定义IT战略规划,定义IT组织和关系,管理IT投资,确定技术方向,交流目标和方向,管理人力资源,确保与外部标准的遵从,评估风险,管理项目,管理质量,发现自动化的解决方案,获得和维护应用软件,获取和维护IT基础设施,开发和维护IT程序,安装和授信系统,管理变革,管理绩效和能力,确保连续的服务,确保系统安全,发现和分配成本,管理第三方服务,制定和管理服务级别,教育和培训客户,帮助和建议IT客户,管理配置,管理问题和事故,管理数据,管理设备,管理运营,监控流程,评估内部控制的充分性,获得独立的保证,提供独立的审计,定义信息架构,服务交付,服务支持,服务台,事故管理,变革管理,发布管理,问题管理,配置管理,服务级别管理,可用性管理,财务管理,连续性管理,能力管理,建立基于内控规范的IT治理标准体系,基于企业内部控制规范的IT治理指南,IT审计导则,IT治理关键绩效指标体系,IT治理管理系统接口,基于企业内部控制规范的IT治理指南将全面诠释中国企业IT治理的内容，包括IT战略与架构、IT投资决策、IT治理组织、IT绩效与人员激励、IT内控体系、IT项目控制、IT运维控制、信息安全控制、供应商控制、信息系统审计等。,IT治理关键绩效考核框架，是在企业级的KPI平衡记分卡的指导下，制定IT工作的考核指标，以保证企业的IT战略与企业总体战略一致,参考国家审计署2003年第5号令审计机关内部控制测评准则中第五条规定，制定IT审计导则,在全面落实IT治理标准体系与IT治理管理系统对应关系的基础上，落实IT治理管理系统与公司其他系统之间的接口关系,IT治理标准体系交付成果,IT治理管理系统技术特点1：基于IT内控业务流程,IT治理管理系统技术特点2：基于IT风险管理体系框架,IT治理管理系统技术特点3：逐层分解建立IT治理矩阵,设定流程的内部控制目标和控制点，并建立信息采集机制,创新点：完善的IT治理矩阵框架,IT治理管理系统技术特点4：可持续发展,IT治理矩阵框架的全生命周期管理图谱，拟重点攻关解决IT治理矩阵框架与内外部法律法规比对、IT治理与信息系统开发和运维比对、持续优化改进等技术,IT治理管理系统总体架构,主要功能,风险评估,包括软硬件风险分析、风险预警、风险控制、风险运营、风险审计。治理数据采集与风险分析,实现跨数据库管理系统以及非结构化数据的采集和智能分析，包括数据模型定义以及ETL过程 控制作业管理,包括IT治理矩阵管理、控制测试管理、控制运营管理等 治理计划管理：治理计划制定、治理计划审批、治理计划查询、治理计划报备、治理计划下发 治理绩效管理：治理绩效管理系统对企业IT绩效等方面的建设能力与应用水平进行评估 治理资源管理：对治理的资源对象进行建模、命名、配置,系统功能详单（1）,内控矩阵管理子系统,层级树形视图,平面详细信息,多级对比视图,查询与过滤,在线编辑,Excel导入,Excel导出,矩阵版本管理,矩阵历史对比,矩阵信息统计,矩阵变更申请,矩阵变更比对,矩阵变更审批,矩阵变更报备,矩阵变更下发,变更导入导出,矩阵变更落实,矩阵要素扩展,矩阵要素变更,控制运营管理子系统,控制点固化设置,控制点执行提醒,控制点执行监控,控制点自评提醒,控制点自我评估,控制点自评报告,监控指标设置,治理监控报告,系统功能详单（2）,控制测试管理子系统,治理计划制定,治理计划审批,治理资源配置,治理计划查询,治理计划报备,治理计划下发,底稿模板管理,测试方案准备,下发测试通知,测试任务分配,填写测试底稿,记录治理发现,治理质监,测试审核,测试结果汇总,填写治理报告,治理报告审批,治理报告发布,治理报告查看,整改建议汇总,发送整改通知,确认整改计划,提交整改结果,整改结果审批,整改结果检查,整改结果报告,测试分类统计,任务分配报告,测试进度报告,测试结果报告,测试缺陷报告,外审项目管理,外审发现报告,外审日志管理,系统功能详单（3）,系统管理,治理人员在岗,治理人员离岗,治理人员记录,治理人员历史,治理人员评定,治理权限分配,外审人员信息,组织管理,角色管理,消息管理,日志管理,治理文档管理,文档组织,文档下载,文档上传,文档在线编辑,文档版本管理,文档查询,文档查看,文档对比,技术路线,在系统体系结构方面，系统的设计和实现均采用J2EE技术体系，B/S结构,在软件架构设计方面，遵循面向服务架构（SOA）的基本思想。,在系统接口设计方面，均采用Web Service接口方式，实现基于Internet的信息系统运维环境下系统之间的信息通信、共享,在系统构建方面，遵循软件复用思想，利用构件技术，基于Cobit和国际国内其它相关标准，对系统流程和功能进行构件化设计和封装,在系统流程控制方面，采用工作流引擎技术，通过触发工作流引擎，从流程库和工具库获取相关的知识，完成各种内控流程的定制、驱动、跟踪等功能,在数据管理方面，采用关系型数据库实现数据存储和管理，,在数据展现方面，支持按照多流程分类展示，对IT治理各流程的关键因素进行量化考核，关联统计分析，提供各流程统计报表功能,平台实用价值,公司,全面遵从支持长效改善IT治理降低总体IT治理成本加强IT建设与维护规范化提升企业竞争力,CEO、CFO等高层,提升IT内控信心全面掌控企业信息化情况,IT治理部门及工作人员,解放生产，管理聚焦增加IT内控透明度缩短IT风险测评时间提升IT治理质量,公司其它业务部门,工作简化整改及时,外部审计人员,促进沟通提高效率,技术指标,IT治理标准规范体系预计达到的技术指标,IT治理管理系统预计达到的技术指标,结合企业内部控制基本规范和企业内部控制配套指引（财会201111号）的实施，提出IT治理标准需求。制定IT治理指南、IT治理关键绩效指标体系、IT审计导则和IT治理管理系统接口等标准，至少形成3项标准草案。,实现支撑制度、规范的治理矩阵，可自定义矩阵内容，数据量可支撑1000个控制点；治理规则引擎系统可预置审计模板不少于10个，例如针对数据库的审计规则，针对用户权限的审计规则，针对网络安全的审计规则等；实现关键指标的自动提取，自动预警提醒。通过邮件、短信等多种形式集成，实现自动预警。重大风险10秒内可自动发送预警信息；实现跨Oracle、DB2、SQL Server、Infosys等数据库管理系统以及Excel、Word等非结构化数据的采集及质量分析技术，可与主流治理辅助工具快速集成。数据抽取规则引擎系统可预置抽取规则50个以上；根据业务需求实现合理的访问权限控制功能，身份供应、授权或取消供应的时间以一年为单位，密码标准为数据及字母组合且8位以上,其它指标,采用B/S软件架构，支持跨平台部署运行；系统初期运行可支持用户并发量不少于100个，系统平均响应时间不超过10秒；系统能实现7 x 24小时稳定运行。,性能指标,经济指标,产业化指标,项目开发的IT治理管理系统性价比高，具有较强的市场竞争力。研制的IT治理标准能有效支持企业内部控制基本规范的贯彻实施，具有较强的实用性。项目执行期间完成一定的市场推广和销售，在IT治理领域实现软件和信息技术服务业务收入至少年均1500万。通过提供咨询、培训及IT治理咨询服务，形成良好社会效益。,研发的IT治理管理系统应实现一定规模的应用，能够为本招标项目中的应用推广提供技术和产品支持。与拟推广的用户签署应用推广协议。结合企业内部控制基本规范的贯彻实施，推动IT治理管理系统在政府、中央企业及上市企业的应用，至少形成20个典型示范，取得一定规模的经济效益和良好的社会效益。提供用户报告。研发的IT治理管理系统符合本项目实施期间制定的IT治理管理系统接口，并提交标准化专业机构出具的标准符合性测试证明。研发的IT治理管理系统须按照该规范书要求，经过第三方测试，并完成软件产品登记证书不少于1项、软件著作权登记证书不少于1项。提供完善的系统升级服务和维护更新服务等。项目完成后能实现IT治理管理技术的自主可控，持续提升管控效率，降低风险，推动IT治理管理系统在该领域的深度应用，有效控制信息安全风险,进度计划,本产品的项目周期包括需求调研、系统研发、试点示范、应用推广四个阶段，总工期为24个月。其中调研2个月，研发8个月，试点示范8个月，应用推广6个月。,完成IT治理需求分析及技术选择报告以及本阶段工作报告,进行产品策划、定义、设计，平台及应用研发，对软件产品进行集成测试等内部测试，并对产品相关文档进行评审验收。在此基础上，进行上线部署，,20家企业进行试点示范，进行软件的部署和联合调试、监控，系统试运行，收集客户反馈意见，对产品版本进行测试及消缺、改进并逐步发布。提交相关文档和程序代码，并形成解决方案，并完成2项软件著作权登记，完成用户报告及本阶段工作报告,主要包括制定营销推广计划，获取有效资源，进行相关行业拓展和项目推广工作，并提供完善的技术支撑和市场推广服务体系，包括软件技术维护、调试、升级服务以及软件销售服务体系。完成经济指标和产业化指标，IT治理服务行业建议书及本阶段工作报告,项目组织执行,合作单位各组成员,主要内容,现有工作基础和优势,3,市场需求分析,1,4,项目方案,2,财务分析,5,课题概述,项目分工,赛迪时代,作为项目的牵头单位，负责项目的前期申报组织工作；若课题申请获批，负责研发基于企业内部控制基本规范的IT治理核心技术及管理系统的研发工作；负责项目运营环境的搭建及维护；负责项目后期的应用推广及产业化。,赛迪监理,作为合作方，负责IT治理关键方法和标准规范的编制；配合项目牵头单位完成IT治理关键方法和标准规范建设的验收准备工作配合项目牵头单位在应用软件系统的研发、运营及培训工作中对所编制的IT治理关键方法和标准规范进行讲解或答疑。,关于赛迪时代,扁平化的组织架构,覆盖200多个城市的业务网络,良好的财务状况,42项软件产品登记证书,网络监测报警系统自动化风险评估系统应用支撑平台数据共享管理系统,赛迪时代资质,关于赛迪监理,北京赛迪信息工程监理有限公司（以下简称赛迪监理），是依托中国电子信息产业发展研究院、工业和信息化部计算机与微电子发展研究中心的优质资源，从事信息工程建设监理的专业机构。赛迪监理承担了中央及地方各级党政机关、企事业单位、科研院所等多项重大信息化工程监理和咨询任务，业务覆盖政府、科研、金融证券、轨道交通、医疗卫生、能源、出版等领域，并率先在国内提出了“四控三管一协调”的监理服务内容。在中央政府采购定点信息系统监理单位名单中位居榜首，成为政府采购首选监理企业。公司在山东、无锡、广州、上海、大连、安徽等地设有分支机构，业务已经遍布全国20余省市自治区。公司针对政府、科研、金融证券、轨道交通、医疗卫生、能源、出版等不同领域进行信息化服务，树立了赛迪监理的特色品牌，保持了先进的信息技术监理技术和理论优势，是国内一流的有一定影响力的专业监理公司，在市场活动中具有很强的竞争力。,研发队伍与投入,赛迪时代每年研发投入占公司毛利的10%以上。赛迪时代拥有一支专业、高层次、跨学科的复合型人才队伍。现有职工158名，93具有大学本科以上学历。,项目团队,研发队伍,项目负责人：赵刚博士，高级工程师，管理和信息化专家，现任北京赛迪时代信息产业股份有限公司总裁，兼任中国信息化推进联盟IT治理专委会办公室主任。曾任中国电子信息产业发展研究院控股的赛迪顾问股份有限公司高级副总裁，北京赛迪信息工程顾问有限公司执行总裁。国家自然科学基金、863/CIMS重大项目、国防科技预研重点项目、科技部中欧合作项目等，在城市信息化、企业信息化、电子政务、IT管理体系、企业管理等方面具有较深的研究，主持多项IT治理项目，著有专著IT管理体系战略、管理和服务，参与信息系统审计的编写，筹划20042006年“中国IT治理年会”。,专家组组长：柳纯录毕业于北京大学数学力学系数学专业及北京大学计算机系软件专业，历任北京大学副教授,电子工业部(机电部)处长、国务院信息工作领导小组办公室组长、计算机与微电子研究中心副主任及中国电子信息产业发展研究院副院长、总工程师。于IT界科研管理和信息资讯方面有30多年经验。,专家组成员：杨天行、黄子河、管东升,项目组技术骨干在IT治理领域已经有十多年的工作经验，具有丰富的科研积累和研究基础，确保了项目的执行能力。,研发和监理条件：完善的软硬件环境,赛迪时代、赛迪监理办公面积约2400平米，其中开发部门面积1500平米，建有完善的内部局域网络，研发部门具有独立内部局域网，含有标准的操作系统、数据库、开发工具等软件环境，工作环境良好。,其中生产环境包含200余百台PC客户端和六十余台多种架构的服务器、工作站，为生产提供了可靠的硬件保障；Windows、Unix、Solaris、Aix、国产Linux等操作系统和Websphere、Weblogic、东方通等中间件以及Oracle、SQL Server、达梦、人大金仓等数据库环境为生产提供了专业的软件保障。,现有IT治理核心技术、研发产品和市场优势,赛迪时代核心数据监管系统V1.0（获2009年度电子发展基金支持）：已成功应用于中国有色矿业集团IT内控；赛迪时代IT运维管理系统V1.0（获2010年度电子发展基金支持）：已成功应用于北京中电报科技发展有限公司IT部门；赛迪时代IT风险管理系统V1.0：已成功应用于中国电子信息产业发展研究院综合管理一体化信息平台项目；赛迪时代IT综合资源管理系统V2.0：已成功应用于中海油集团IT治理；,现有研发成果示例,IT综合资源管理平台：已实现对IT数据资源和应用系统的全面监管,主要功能模块：服务平台：对IT系统运维实施全流程管理；监控平台：对核心数据资源实施全方位安全监控,IT综合资源管理系统,核心数据监管系统,IT运维管理系统,IT风险管理系统,IT风险管理系统：资产安全风险评估,IT风险管理系统：IT治理控制点信息,赛迪的IT管理体系战略、管理和服务是国内首部关于IT管理体系的导论性和综合性的研究专著,中国电子信息产业发展研究院是IT治理首批试点单位,赵刚总裁：中国信息化推进联盟IT治理专委会秘书长,ITSS成员单位ITSS专家组成员,IT治理标准跟进、研究与行业推进工作,赛迪的信息系统审计是国内首部关于IT管理体系信息系统审计的专著,对部支撑和服务工作,赛迪时代是ITSS成员单位、ITSS专家组成员，参与了信息技术服务外包中的数据（信息）保护规范和非结构化数据采集及分析规范的编写工作。赛迪时代公司代表在讨论会上针对规范的起草和编写工作提出了多项建设性意见，获得了与会领导和专家的认可。赛迪时代是中国信息化推进联盟成员，赵刚总裁任中国信息化推进联盟IT治理专委会办公室主任，联盟推动研究了中国企业IT管理水平评价指标体系标准，推出了中国IT治理、IT管理、IT服务管理系列研究报告。赛迪监理遵循IT治理国际标准ISO38500：2008、ISO/IEC27001:2005-信息安全管理体系要求和COBIT 4.1-信息和相关技术的控制目标等一系列规章制度进行服务，遵照相关文件要求，赛迪监理率先在全国范围内，逐步开展了有针对性的IT治理工作，摸索IT治理工作规律，丰富完善治理与咨询方法体系，验证上述规章在工程实践中的可行性,产业化优势,中海油IT内控,广东电网IT内控,中国人民银行清算总中心IT治理,中国有色集团IT治理,销售体系：策略和渠道,市场经理,销售经理,产品经理,项目经理,客服经理,政府客户,公共安全客户,人防应急客户,企业客户,其他客户,上下游客户,CIO管理发行CIO管理回访销售线索跟踪主动挖掘线索客户满意度 调查主动客户关怀,项目计划项目需求理解项目执行项目管理项目保障项目回款持续服务,产品研发产品介绍业务类型项目策划项目建议书项目DEMO项目投标书项目讲标项目启动高层互访,电话沟通邮件投送主动拜访产品介绍客户关系项目商务项目联络项目回款,CIO管理媒体文章研讨会论坛产品单页产品手册,针对我们的产品，对应市场经理、销售经理、产品经理、项目经理和客服经理，因地制宜制定4C主动服务计划，包括市场计划、销售计划、产品开发计划、项目实施计划和客户服务计划，并形成相对应的知识库和方法论。2011年销售收入2个多亿。,品牌建设,赵刚总裁发布赛迪时代2011智慧城市总体解决方案,主要内容,现有工作基础和优势,3,市场需求分析,1,4,项目方案,2,财务分析,5,课题概述,财务状况,注：以上数据均为经会计事务所审计后的数据,仅北京银行3月28日开具的证明文件显示我公司账户存款2315万元，单位自筹资金已承诺落实！,资金筹措方案,项目资金来源,单位：万元,费用详细预算,经济效益分析,CCIDIT.COM,请各位专家批评指正！,