信息化发展33

信息和技术治理框架

COB IT 是面向整个组织的信息和技术治理及管理框架，由成立于1 969 年的美国信息系统审计与控制协会（ I SACA） 组织设计并编制的。
1 ）治理和管理目标： COBIT 框架介绍了40 项核心治理和管理目标。COBIT 中治理目标被列入评估、指导和监控（EDM） 领域， 在这个领域。管理目标分为四个领域： ①调整、规划和组织（APO） 针对IT 的整体组织、战略和支持活动； ②内部构建、外部采购和实施（BAI) 针对IT 解决方案的定义、采购和实施以及它们到业务流程的整合； ③交付、服务和支持（DSS） 针对IT 服务的运营交付和支持， 包括安全； ④监控、评价和评估（MEA）针对IT 的性能监控及其与内部性能目标、内部控制目标和外部要求的一致程度。治理目标与治理流程有关， 而管理目标与管理流程有关。治理流程通常由董事会和执行管理层负责， 而管理流程则在高级和中级管理层的职责范围内。
为满足治理和管理目标， 每个组织都需要建立、定制和维护由多个组件构成的治理系统。治理系统的组件包括： ①流程。②组织结构。③原则、政策和程序。④信息。⑤文化、道德和行为。⑥人员、技能和胜任能力。⑦服务、基础设施和应用程序。
2 ）信息和技术治理解决方案的设计： 组织开展治理系统设计通过流程化的方式进行。①了解组织环境和战略； ②确定治理系统的初步范围； ③优化治理系统的范围； ④最终确定治理系统的设计。
3) IT 治理国际标准： 2008 年4 月， I SO/IEC 正式发布IT 治理标准I SO/IEC 38500,它的出台不仅标志着口治理从概念模糊的探讨阶段进入了一个正确认识的发展阶段， 而且也标志着信息化正式进入IT 治理时代。该标准包括： ①责任； ②战略； ③收购； ④性能； ⑤一致性； ⑥人的行为；该标准规定治理机构应通过评估、指导和监督三个主要任务来治理IT 。

IT审计概述

1 、为了有效控制口风险， 有必要对组织的信息系统治理及IT 内控与管理等开展IT 审计， 充分发挥IT 审计监督的作用， 提高组织的信息系统治理水平， 促进组织信息系统治理目标的实现。
2 、IT 审计重要性是指IT 审计风险（固有风险、控制风险、检查风险） 对组织影响的严重程度， 如： 财务损失、业务中断、失去客户信任、经济制裁等。