Chương 4 bài giảng hệ thống thông tin kế toán nâng cao IT governance SV

IT Governance – Mục tiêu • Nhu cầu các bên liên quan được chuyển thành mục tiêu quản trị doanh nghiệp: chiến lược của DN Các nhân tố Định hướng Môi trường, công nghệ, giải pháp Nhu c

Các khuôn mẫu quản trị IT

Xây dựng mục tiêu và đánh giá thành quả quản trị IT

Chu trình quản trị IT

CoBiT

Tầm quan trọng của quản trị rủi ro DN

 ?

 1994 Tổ chức này trở thành hiệp hội “Information Systems Audit and Control Association”

ISACA (Information Systems Audit and Control

Association) Hiệp hội kiểm soát và kiểm toán hệ thống thông tin

IT Governace và ISACA

 Hiện nay ISACA có hơn 86.000 hội viên của hơn 160

quốc gia trên thế giới

 ISACA phát hành tạp chí ISACA ( ISACA Journal)

 ISACA cấp các chứng chỉ CISA (Certified Information

Systems Auditor); SISM (Certified Information

Security Manager); CGEIT (Certified in the

Governance of Enterprise IT)

IT Governace và ISACA

“The responsibility of executives and the board of directors, and consists of the leadership, organisational structures and processes that ensure that the enterprise’s IT sustains and extends the organisation’s strategies and objectives”- (ISACA)

Định nghĩa IT Governance của ISACA

Quản trị doanh nghiệp (Enterprise governance )

IT governance

IT Governance (Direct, Evaluate; Monitoring)

IT management

IT process

Quản lý IT: tập trung các hoạt

động hàng ngày hỗ trợ cho hoạt

động IT và dịch vụ IT

Quản trị IT tập trung việc đáp

ứng nhu cầu KD thông qua:

• Đánh giá các nhu cầu các

bên có lợi ích liên, các điều

• Giám sát thành quả, việc

quản trị doanh nghiệp

IT Governance Vs IT Management

Nhu cầu kinh doanh

Đánh giá ( Evaluate)

Định hướng ( Direct)

Giám sát ( Monitor)

Lập kế

hoạch

( plan)

Xây dựng ( build)

Sử dụng ( run)

Giám sát ( Monitor)

IT Governance – Mục tiêu

• Nhu cầu các bên liên quan được chuyển thành mục tiêu quản trị doanh nghiệp: chiến lược của DN

Các nhân tố Định hướng

(Môi trường, công nghệ, giải pháp)

Nhu cầu các bên liên quan

Ảnh hưởng

Định hướng

Mục tiêu quản trị:

Đạt lợi ích Giảm rủi ro Tối ưu hóa

• Giao được giá trị

• Giảm thiểu rủi ro IT

• Tối ưu hóa nguồn lực IT

Phù hợp với mục tiêu của tổ chức và kỳ

vọng của các bên liên quan

IT Governance – Phạm vi

Nguồn: ISACA, CoBIT 4.1

Để đạt được mục tiêu, quản trị IT cần tập trung 5 vùng phạm vi

IT Governance – Phạm vi

 Phù hợp với chiến lược DN ( Strategic Alignment): Đảm bảo kết nối chiến lược/mục tiêu IT với chiến lược/mục tiêu doanh nghiệp

 Qui trình bao gồm:

• Hoạch định chiến lược doanh nghiệp, bao gồm cả CNTT

• Hoạch định chiến lược CNTT

• Lập kế hoạch hoạt động CNTT

• Phân tích yêu cầu của các bên liên quan:

o Dịch vụ (hiện tại và yêu cầu tương lai)

o Hoạt động nhận được: kỳ vọng và sự hài lòng

Phạm vi quản trị IT – Strategic Alignment

• Dựa vào chiến lược chung đơn vị,

xây dựng chiến lược và kế hoạch cho IT

• Kỹ thuật: sử dụng: BSC for IT

Phù hợp với chiến lược DN

IT Governance – Thiết lập mục tiêu IT

BSC – Tiếp cận theo R.S Kaplan & D.P Norton để

đánh giá một tổ chức theo 4 góc nhìn

• Tài chính

• Sự hài lòng của khách hàng

• Tài chính

• Sự hài lòng của khách hàng

• Xử lý trong nội bộ

• Học hỏi và phát triển

BSC – Phát triển cho quản trị IT: xây

dựng mục tiêu và đánh giá thành quả

• Đóng góp cho tổ chức

• Các bên liên quan

• Xử lý trong nội bộ

• Tương lai - Học hỏi và phát triển

Phù hợp với chiến lược DN: Thiết lập mục tiêu IT –

Balance score card

Phạm vi quản trị IT- Thiết lập mục tiêu IT

IT Governance – Phạm vi

Cung cấp giá trị - Value Delivery

Cung cấp giá trị: ( Value Delivery)

• Tạo giá trị mới cho DN thông qua hoạt động tạo SP của BP CNTT

• Đảm bảo giao giá trị dịch vụ như cam kết

• Duy trì và gia tăng giá trị cung cấp từ hệ thống CNTT hiện hành, tối ưu hóa chi phí:

o Dịch vụ Kịp thời

o Không vượt ngân sách cho phép

o Tạo được lợi ích (cả tài chính và phi tài chính) như dự định

Đo lường Hoạt động Cung cấp giá trị :

• Phù hợp với giá trị yêu cầu (hoạt động kinh doanh):

• Ảnh hưởng của đầu tư CNTT tới xử lý tạo giá trị cho DN

IT Governance – Phạm vi

Quản lý rủi ro

Quản lý rủi ro: ( Risk Management)

Mục đích Bảo tồn giá trị IT qua:

• Bảo vệ tài sản IT

• Đảm bảo hệ thống thông tin tin cậy

& hoạt động liên tục

Hoạt động Quản lý rủi ro:

IT Governance – Phạm vi

Quản lý nguồn lực : ( Resource Management

Quản lý nguồn lực : ( Resource Management)

Đảm bảo nguồn lực được sử dụng đúng

• Thiết lập và triển khai cơ sở hạ tầng tích hợp và hiệu quả để đáp ứng các nhu cầu doanh nghiệp

• Loại bỏ các đầu tư hay tài sản CNTT không hiệu quả trong việc tạo giá trị cho DN

• Bảo dưỡng nguồn lực hiện hành

• Cập nhật hoặc thay thế hệ thống lỗi thời

• Tuyển dụng, Huấn luyện, đào tạo nhân sự CNTT

IT Governance – Phạm vi

Quản lý nguồn lực : ( Resource Management) Kiến trúc IT

của DN Là hồ sơ tài sản IT của DN để quản lý đầu tư IT

IT Governance – Phạm vi

Đo lường hoạt động các vùng quản trị IT : (Performance

measurement)

Đo lường thành quả : (Performance

Measurement): Thực hiện kiểm toán và đánh giá hoạt động; Đo lường thành quả một cách liên tục cho tất cả các vùng IT governance

Đo lường thành quả: sử dụng khái niệm Balance Scorcard

IT Governance – Phạm vi

Chỉ báo thực

hiện (performance indicator)

Đo lường kết quả thực hiện (outcome measure)

Đánh giá 1 cách tổng thể khả năng quản trị IT của DN; Nó thể hiện hiện trạng, mong muốn và mức độ chênh lệch cần đạt được

Đo lường quản trị IT

IT Governance – Trách nhiệm các bên liên quan

• Kiểm toán CNTT (IT Audit)

• Bộ phận đảm bảo an toàn chất lượng (Risk and Compliance)

Các bên liên quan

Bên ngoài : Xác định nhu cầu và lợi ích

IT Governance – Trách nhiệm các bên liên quan

Hội đồng quản trị và

giám đốc điều hành

(Board and Executive)

• Xác định hoạt động quản trị IT cần thiết làm căn cứ

để Xác định các định hướng CNTT

• Đảm bảo các giá trị được giao:

• Kiểm soát được rủi ro

Quản lý Hoạt động KD

(Business Management)

• Xác định các yêu cầu kinh doanh cho quản trị

IT Governance – Trách nhiệm các bên liên quan

CISO (Chief

information security

officer)

Đảm bảo giao các dịch vụ IT theo yêu cầu của quản lý kinh doanh và định hướng của hội đồng quản trị

Kiểm toán IT

(IT Auditor)

Thực hiện các hoạt động kiểm toán để đảm bảo các giá trị được giao theo yêu cầu

Đảm bảo chất lượng

(Risk and Compliance)

Đo lường để đánh giá:

• Các chính sách và thực hiện có tuân thủ qui định

• Có cảnh báo các rủi ro mới xuất hiện

Quản trị IT- Các Khuôn mẫu

 Khuôn mẫu trình bày các

khái niệm và thực hành

kiểm soát

 Cung cấp các hướng dẫn,

trách nhiệm đối với KS

 Cung cấp hướng dẫn liên

quan tới kỹ thuật để thiết

kế, đánh giá mục tiêu kiểm

soát; để thiết kế, phát triển

có giá trị

Khuôn mẫu quản trị IT

COBIT ISACA Công cụ để đánh giá và đo lường hoạt

động của các qui trình IT (IT processes) trong DN

Là một chuỗi các chuẩn (standard), cung cấp một bộ các thực hành tốt nhất nhằm hướng dẫn DN triển khai và duy trì chương trình an ninh thông tin

ITIL UK Office of

government Commerce (OGC)

Hướng dẫn chi tiết cho quản lý dịch vụ hoạt động CNTT

Hướng dẫn Bảo vệ và kiểm soát các điểm yếu về an ninh trong môi trường IT

Một số ví dụ khuôn mẫu quản trị IT

Khuôn mẫu quản trị IT

38500: 2008

Chuẩn trên cơ sở của AS8015-2005

Một số ví dụ khuôn mẫu quản trị IT

Chu trình quản trị IT- IT governance life cycle

Các giai đoạn trong qui trình thực hiện chu trình quản trị IT

Chu trình quản trị IT- Các thành phần

• Inner ring: IT governance continual improvement life cycle

• Middle ring: the

change enablement: xác

định những khía cạnh văn hóa và hành vi của triền khai hay cải tiến

• Outer ring:

Programme management

Tạo Môi trường quản trị IT đúng

Môi trường quản trị IT là các yếu tố ảnh hưởng triển khai

quản trị IT:

 Văn hóa, chuẩn mực đạo đức doanh nghiệp và cộng

đồng

 Luật, chính sách, qui định (trong và ngoài DN)

 Sứ mạng, tầm nhìn, và giá trị của doanh nghiệp

 Cơ cấu tổ chức

 Chiến lược, chính sách quản trị doanh nghiệp

 Thực hành, chuẩn kiểm soát

Tạo Môi trường quản trị IT đúng

 Hiểu môi trường quản trị IT giúp dễ dàng hơn cho việc xác định kiểu rủi ro hoặc tổ chức IT cần thiết hoặc các vấn đề định hướng thay đổi cho quản trị IT

 Hiểu môi trường quản trị IT là bước đầu tiên trước khi thực hiện quản trị IT

 Trách nhiệm (Xem Figure 2- P 14)

 Hội đồng quản trị và giám đốc điều hành

 Quản lý hoạt động kinh doanh

 Quản lý IT

 Kiểm toán IT

 Đảm bảo chất lượng

IT governance life cycle – Phase 1

Phase 1: What are the drivers? xác định nhu cầu - Thiết

lập mong muốn cho thay đổi

Mục tiêu: Hiểu được vấn đề cần thay đổi và mức độ cấp bách của nó cũng như mong muốn thay đổi

Xác định vấn đề:

 Xác định bối cảnh quản trị hiện hành

 Xácđịnh các định hướng kinh doanh và chiến lược

 Xácđịnh các chiến lược kinh doanh, hoạt động kinh doanh phụ thuộc vào IT

 Các vấn đề nổi cộm (Current pain points and trigger events): Từ bên trong, bên ngoài DN

 Xác định sự sẵn sàng và khả năng thay đổi

IT governance life cycle – Phase 2

Phase 2: Where are we now? xác định tình trạng hiện

hành - Hình thành đội triển khai hiệu quả

 Hiểu các rủi ro, mức độ chấp nhận rủi ro

 Hiểu năng lực/khả năng hiện hành và khả năng cho thay dổi

IT governance life cycle – Phase 3

Phase 3: Where do we want to be? Xác định - Truyền

thông những mục tiêu mong muốn

Mục tiêu:

 Xác định mục tiêu mong muốn

 Xác định khoảng cách (gap) giữa mục tiêu mong muốn và hiện hành

 Xác định giải pháp/ kế hoạch/lộ trình để đạt được mục tiêu mong muốn

IT governance life cycle – Phase 4

Phase 4: What needs to be done? Cần thực hiện thế nào-

Xây dựng kế hoạch thực hiện

Mục tiêu: Chuyển các nội dung thành dự

án cụ thể

Nội dung Trao quyền cho các bên liên

quan thông qua việc:

 Thiết kế các thay đổi tổ chức: nội dung công việc và cấu trúc của đội dự án

 Thiết kế các thay đổi qui trình: qui trình

xử lý (process flow) hoặc các hoạt động kinh doanh

 Thiết kế các thay đổi con người: huấn luyện, đánh giá công việc, lương,

IT governance life cycle – Phase 5

Phase 5: How do we get there ? Hiện thực hóa

giải pháp- Thực hiện thế nào -

IT governance life cycle – Phase 6

Phase 6: Did we get there? Gặt hái lợi ích- Hoạt động theo cách mới

IT governance life cycle – Phase 7

Phase 7: How do we keep the momentum going?

Phát triển cấu trúc quản lý CNTT và xử lý CNTT- Đảm bảo

sự ổn định và hoàn thiện

Mục tiêu:

 Đánh giá kết quả và kinh nghiệm đạt được từ chương trình, đúc kết thành bài học rõ ràng

 Ổn định và hoàn thiện quản trị IT:

Hoàn thiện các cấu trúc tổ chức, qui trình, vai trò, trách nhiệm

Tài liệu tham khảo

 Brett Considine et all (2012) Accounting Information

Systems 4th John Willey & Sons Australia, Ltd

 Malik Datardina (2005) Comparative Analysis of IT

Control Frameworks in the Context of SOX

 ISACA (2007) CobiT 4.1

 ISACA (2009) Implementing and Continually Improving

IT Governance

 Wim Van Grembergen and Steven De Haes (2005)

Measuring and Improving IT Governance Through the

Balanced Scorecard, Information systems control

LOGO

“ Add your company slogan ”

www.themegallery.com