IT治理用于描述组织在信息化建设和数字化转型过程中是否采用有效的机制使得信息技术开发利用能够完成组织赋予它的使命。IT治理的核心是关注IT定位和信息化建设与数字化转型的责权利划分。
1、IT 治理体系的具体构成包括
IT 定位: IT 应用的期望行为与业务目标一致;
IT 治理架构:业务和 IT 在治理委员会中的构成、组织 IT 与各分支机构的 IT 权责边界等;
IT 治理内容:投资、风险、绩效、标准和规范等;
IT 治理流程:统筹、评估、指导、监督;
IT 治理效果:(内外评价)等。
2、IT 治理关键决策
有效的 IT 治理必须关注五项关键决策,如图 3-2 所示,包括 IT 原则、 IT 架构、 IT 基础设施、
业务应用需求、 IT 投资和优先顺序。
3、IT 治理体系框架具体包括:
IT 战略 目标 、 IT 治理组织 、 IT 治理机制 、 IT 治理域 、 IT 治理标准 和 IT 绩效目标 等部分,形成一整套 IT 治理运行闭环,如图 3-3 所示。
组织的IT目标主要包括:
1)组织的IT战略应与业务战略保持一致;
2)保护信息资产的安全及数据的完整、可靠
3)提高信息系统的安全性、可靠性及有效性;
4)合理保证信息系统及其运用符合有关法律、法规及标准等的要求。
4、IT 治理的核心内容包括六个方面
组织职责 、 战略匹配 、 资源管理 、 价值交付 、 风险管理 和 绩效管理 ,如图 3-4 所示。
其中:IT 资源包括(人、应用系统、信息、基础设施)的分配
5、IT治理任务
组织的 IT 治理活动定义为统筹、指导、监督和改进。
组织开展 IT 治理活动的主要任务聚焦在如下五个方面。
①全局统筹;②价值导向;③机制保障;④创新发展;⑤文化助推。
6、ITSS 服务治理
在 IT 治理目标和边界确定的情况下, IT 治理围绕 决策体系 、 责任归属 、 管理流程 、 内外评价 四个方面,通过相关框架体系的研究,规范和引导组织的 IT 治理完成“做什么”“如何做““怎么样”“如何评价”等问题,如图 3-5 所示。
该标准定义的 IT 治理模型包含治理的内外部要求、治理主体、治理方法,以及信息技术及
其应用的管理体系,如图 3-6 所示。
治理主体以组织章程、监管职责、利益相关方期望、业务压力和业务要求为驱动力,建立
评估、指导、监督 的治理过程并明确任务。治理主体通过 信息技术战略和方针 ,指导管理者对
信息技术及其应用的管理体系进行完善,并对信息技术相关的 方案和规划 进行评估,对信息技
术应用的 绩效和符合性 进行监督。组织结合治理原则和模型,在 IT 治理实施的过程中,开展自
我监督、自我评估和审计工作,并持续改进。
该标准定义的 IT 治理框架包含信息技术 顶层设计、管理体系和资源 三大治理域,每个治理
域由如下若干治理要素组成,如图 3-7 所示。顶层设计治理域包含信息技术的 战略 ,以及支撑
战略的 组织 和 架构 ;管理体系治理域包含信息技术相关的质量管理、项目管理、投资管理、服
务管理、业务连续性管理、信息安全管理、风险管理、供方管理、资产管理和其他管理;资源
治理域包含信息技术相关的 基础设施、应用系统和数据 。
IT 治理实施框架包括治理的 实施环境、实施过程和治理域 ,如图 3-8 所示。实施环境包括
组织的内外部环境和促成因素。
实施过程规定了 IT 治理实施的方法论,包括统筹和规划、构建 和运行、监督和评估、改进和优化。
治理域定义了 IT 治理对象,包括顶层设计、管理体系和资源。
顶层设计包括战略、组织和架构:
管理体系包括质量管理、项目管理、投资管理、服务管理、业务连续性管理、信息安全管理、风险管理、供方管理、资产管理和其他管理;
资源包括 基础设施、应用系统和数据。组织可以结合实施环境的分析,按照实施过程,以治理域为对象开展 IT 治理实施。
7、信息和技术治理框架
如图3-10 所示。治理系统的组件包括: ① 流程 。流程描述了一组为实现某种目标而安排有序的实践和活动,并生成了一组支待实现整体 IT 相关目标的输出内容。@组织结构。组织结构是组织的主要决策实体。② 原则、政策和程序 。原则、政策和程序用千将理想行为转化为日常管理的实用指南。③ 信息 。在任何组织中,信息无处不在,包括组织生成和使用的全部信息。 COBIT 侧重千有效运转组织治理系统所需的信息。④ 文化、道德和行为 。个人和组织的文化、道德和行为作为治理和管理活动的成 功因素,其价值往往被低估。⑤ 人员、技能和胜任能力 。人员、技能和胜任能力对做出正确决 策、采取纠正行动和成功完成所有活动而言是必不可少的。⑥ 服务、基础设施和应用程序 。服 务、基础设施和应用程序包括为组织提供 IT 处理治理系统的基础设施、技术和应用程序。
8、组织开展治理系统设计通过流程化的方式进行,
如图 3-12 所示, COBIT 给出了建议设计流程: ①了解组织环境和战略; ② 确定治理系统的初步范围; ③ 优化治理系统的范围; ④ 最终确定治理系统的设计。
9、IT审计范围
一般来说, IT 审计范围需要根据审计目的和投入的审计成本来确定。在确定审计范围时,
除了考虑前面提及的审计内容外,还需要明确审计的组织范围、物理位置以及信息系统相关逻
辑边界。 IT 审计范围的确定如表 3-4 所示。
10、IT审计风险
IT 审计风险主要包括固有风险、控制风险、检查风险和总体审计风险。固有风险、控制风
险、检查风险的内容,如表 3-6 所示。
11、IT 审计证据
审计证据的特性是指审计证据内在性质和特征,具体体现为审计人员围绕这些性质和特征
收集审计证据时应达到的基本要求。对审计证据的属性,在国际上有不同的描述。审计证据的
特性如表 3-11 所示。
12、IT风险评估技术—般包括:
1) 风险识别技术:用以识别可能影响一个或多个目标的不确定性,包括德尔菲法、头脑风暴法、检查表法、SWOT技术及图解技术等。
2) 风险分析技术:是对风险影响和后果进行评价和估量,包括定性分析和定量分析。
3) 风险评价技术:是在风险分析的基础上,通过相应的指标体系和评价标准,对风险程度进行划分,以揭示影响成败的关键风险因素,包括单因素风险评价,总体风险评价。
4) 风险应对技术:IT技术体系中为特定风险制定的应对技术方案,包括云计算、冗余链路、冗余资源、系统弹性伸缩、两地三中心灾备、业务熔断限流等。
13、IT 审计底稿
审计工作底稿一般分为综合类工作底稿、业务类工作底稿和备查类工作底稿,具体如表 3-12
所示。
关注我的专栏,浓缩了的精华,快速掌握软考知识点
