- IT 治理是描述组织采用有效的机制对信息资源和数据资源开发利用,平衡信息化发展和数字化转型中的风险,确保组织的战略目标的过程。
- IT 治理的主要目标包括:与业务目标一致、有效利用信息和数据资源、风险管理
- IT 治理的内涵:IT 治理由组织治理或高层管理负责;IT 治理强调数字目标与组织战略目标一致;IT 治理保护利益相关者的权益,对风险进行有效处理,平衡成本提高收益,增强组织的核心竞争力;IT 治理是一种制度和机制。
- IT 治理围绕决策系统、责任归属、管理流程、内外评价四个方面,规范和引导组织的 IT 治理。
- IT 治理本质上关心:实现 IT 的业务价值和 IT 风险的规避。
- IT 治理体系示意图如下:
- IT 治理体系框架如下图:
- IT 治理本质上关心:实现 IT 的业务价值、IT 风险的规避。
- IT 治理的核心内容包括:组织职责、战略匹配、资源管理、价值交付、风险管理、绩效管理。
- 建立 IT 治理机制的原则包括:简单(机制应该明确地定义特定个人和团体所承担的责任和目标)、透明(有效的机制依赖于正式的程序)、适合(机制鼓励那些处于最佳位置的个人去制定特定的决策)。
- 组织开展IT 治理活动的主要任务聚焦在:全局统筹、价值导向、机制保障、创新发展、文化助推。
- COBIT给出了建议设计流程:1️⃣了解组织战略和环境;2️⃣确定治理系统的初步范围;3️⃣优化治理系统的范围;4️⃣最终确定治理系统的设计
- IT 治理模型如下图
- IT 治理框架如下图
- IT 审计风险主要包括:固有风险、控制风险、检查风险和总体审计风险。
- 常见的审计方法有:访谈法、调查法、检查法、观察法、测试法、程序代码检查法。
- 常用的 IT 审计技术包括:风险评估技术、审计抽样技术、计算机辅助审计技术、大数据审计技术。
- IT 风险评估技术包括:
- 风险识别技术
- 风险分析技术:是对风险影响和后果进行评价和估量,包括定性分析和定量分析
- 风险评价技术
- 风险应对技术
- 审计证据的特性有:充分性、客观性、相关性、可靠性、合法性。
- 广义的审计流程一般分为;审计准备、审计实施、审计终结、后续审计
