信息系统IT治理

IT治理是IT技术及活动的重要管控手段，起到统筹、评估、指导和监督作用。IT治理的组成部分包括管理层、组织结构、制度、流程、人员、技术等多个方面，共同构建完善的IT治理架构，达到数字战略和支持组织的目标。IT战略与公司战略相一致，才能确保组织核心竞争力的建设和保持，要尽可能地保持开放性和长远性，以确保系统地稳定性和延续性。

高质量地IT治理能够使组织地IT管理和应用决策与组织期望地行为和业务目标相一致，这就需要组织IT治理机构对组织IT发展进行科学规划并保证其有效实施。驱动组织开展高质量IT治理因素包括：

良好地IT治理能够确保组织IT投资有效性
IT属于知识高度密集型领域，其价值发挥的弹性较大
IT已经融入组织管理、运行、生产和交付等各领域中，成为各领域高质量发展的重要基础
信息技术的发展演进以及新兴信息技术的引入，可为组织提供大量新的发展空间和业务机会等
IT治理能够推动组织充分理解IT价值，从而促进IT价值挖掘和融合利用
IT价值不仅仅取决于好的技术，也需要良好的价值管理，场景话的业务融合应用
高级管理层的管理幅度有限，无法深入到IT每项管理当中，需要采用明确责权和清晰管理去确保IT价值

2、目标

IT治理以组织战略为导向、以实现IT与业务匹配为重心、以价值交付为成果、以绩效管理为控制手段。

IT治理主要目标包括：

与业务目标一致
有效利用信息与数据资源
风险管理：IT治理重视风险管理，通过制定信息与数据资源的保护级别，强调对关键的信息与数据资源，实施有效监控和事件处理。

二、IT治理体系

IT治理用于描述组织在信息化建设和数字化转型过程中是否采用有效的机制使得信息技术开发利用能够完成组织赋予它的使命。

1、IT治理责权划分

IT治理的核心是关注IT定位和信息化建设与数字化转型的责权利划分：

2、IT治理体系框架

3、IT治理核心内容

IT治理本质上关心：实现IT的业务价值和IT风险的规避。

IT治理的核心内容包括六个方面：组织职责、战略匹配、资源管理、价值交付、风险管理、绩效管理。

4、IT治理方法和标准

国内外机构研究并总结了IT治理相关标准。如我国信息技术服务标准库（ITSS）中IT治理体系标准，如下图：

此外还有信息和技术治理框架（COBIT）和IT治理国际标准（ISO/IEC 38500）等

三、IT审计基础

1、定义

根据FB/T 34690.4《信息技术服务治理》IT审计是根据IT审计标准的要求，对信息系统及相关的IT内部控制和流程进行检查、评估，并发表审计意见。

2、目的

IT审计的目的是指通过开展IT审计工作，了解组织系统与IT活动的总体状况，对组织是否实现IT目标进行审查和评价，充分识别与评估相关IT风险，提出评价意见及改进建议，促进组织实现IT目标。

3、目标

组织的IT目标主要包括：

组织的IT战略与业务战略保持一致
保护信息资产的安全及数据的完整、可靠、有效
提高信息系统的安全性、可靠性及有效性
合理保证信息系统及其运用符合有关法律、法规及标准等的要求

4、IT审计范围

审计人员在实施IT审计项目前，应先对组织与信息系统相关的总体情况进行了解和风险评估，确定主要IT风险，如环境控制分析、系统风险、数据风险等，然后根据确定的风险来判断哪些控制、流程对组织的影响较大，并结合审计时间、参与力量来确定审计范围。

5、风险分类

IT审计风险主要包括固有风险、控制风险、检查风险。

固有风险：IT活动本身所具有的，审计人员只能评估，却无法控制或影响它

控制风险：与内部控制制度执行的有效性有关的风险，审计人员只能评估，却无法控制或影响它

检查风险：由于IT审计规范不完善、审计人员自身或技术原因等造成影响审计正确性的风险

6、相关法律准则标准

法律法规：《中华人民共和国审计法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等

审计标准：《信息系统审计指南-计算基审计实务公告第34号》、《第2203号内部审计具体准则——信息系统审计》

7、方法

IT审计工作中，要完成某一项审计工作应选择恰当的审计方式，常见的审计方法包括：访谈法、调查法、观察法、测试法、程序代码监察法

8、审计内容

IT审计分为IT内部控制审计和IT专项审计。

三、易错点

今天的文章信息系统IT治理分享到此就结束了，感谢您的阅读。