制订IT 资源统一规划存在很多问题： 1） 信息系统应用已有相当的基础，但多年来分散开发或引进的信息系统， 形成了 许多“信息孤岛"' 缺 乏共享的、网络化的信息资源，系统集成难题一直无法解决； 2） 信息资源整合目标空泛，没有整合“ 信息孤岛”的 措施， 数据中心建设和数据集中管理等规划缺乏可操作性， 尤其是缺少数据标准化建设方面的建设规划。这些问题的出现， 表明组织在 IT 资源方面没有做到有效统一规划， 如何解 决这些问题成为了组织发展的一个重要课题。

驱动组织开展高质量IT 治理因素包括： 1）良好的IT 治理能够确保组织IT 投资有效性； 2）IT 属于知识高度密集型领域其价值发挥的弹性较大； 3）IT 已经融入组织管理、运行、生产和交付等各领中域，成为各领域高质堡发展的重要基础； 4）信息技术的发展演进以及新兴信息技术的引，入可为组织提供大益新的发展空间和业务机会；等 5） IT治理能够推动组织充分理解IT 价值， 从而促进IT 价值挖掘和融合利用； 6）IT 价值不仅仅取决千好的技，术也需要良好的价值管理， 场景化的业务融合应用； 7）高级管理层的管理幅度有限，无法深入到IT每项管理当中，需要采用明确责权利和清晰管理去确保 IT 价值；8）成熟度较高的组织以不同的方式治理IT, 获得了领域或行业领先的业务发展效果。

1） IT 治 理作为组织上层管理的一个有机组成部分，由 组织治理层或高级管理层负责，从组织全局的高度上对组织信息化与数字化转型做出制度安排，体现了治理层和最高管理层对信息相关活动的关注； 2） IT 治理强调数字目标与组织战略目标保持一致， 通过对IT 的综合开发利用， 为组织战略规划提供技术或控制方面的支持，以 保证相关建设能够真正落实并贯彻组织业务战略和目标； 3） IT 治理保护利益相关者的权益， 对风险进行有效管理， 合理利用IT 资源，平衡成本和收益，确 保信息系统应用有效、及时地满足需求， 并获得期望的收益， 增强组织的核心竞争力； 4） IT 治 理是一种制度和机制， 主要涉及管理和制衡信息系统与业务战略匹配、信息系统建设投资、信息系统安全和信息系统绩效评价等方面的内容； 5） IT 治理的组成部分包括管理层、组织结构、制度、流程、人员、技术等多个方面， 共同构建完善的IT 治理架构， 达到数字战略和支持组织的目标。

IT 治理要从组织目标和数字战略中抽取信息与数据需求和功能需求， 形成总体的 IT 治理框架和系统整体模型，为进 一步系统设计和实施奠定基础， 保证信息技术开发利用跟上持续变化的业务目标。

信息系统工程超期、 IT 客户的需求没有满足、IT 平台不支持业务应用、 数据开发利用效能与价值不高、信息技术与业务发展融合深度不够等问题突出， 通过IT 治理对信息与数据资源的管理职责进行有效管理， 保证投资的回收，并支待决策

组织越来越依赖于信息网络、信息系统和数据资源等， 新的风险不断 涌现， 例如， 新出现的技术没有管理， 不符合现有法律和规章制度， 没 有识别对IT 服务的威胁等。 IT 治理重视风险管理， 通过制定信息与数据资源的保护级别， 强调对关键的信息与数据资源， 实施有效监控和事件处理。

( I ) IT 战略目标。IT 战略目标是指为实现IT 价值和目标，使 组织从IT 投入中获得最大收益， 而 针对IT 与业务关系、IT 决策、IT 资源利用、IT 风险控制等方面制定的目标。 ( 2 ) IT 治理组织。IT 治理组织是界定组织中各相关主体在各自方面的治理范围、责权利及其相互关系的准则， 它的核心是治理机构（如IT 治理委员会等）的设置和权限的划分。各治理机构职权的分配以及各机构间的相互协调，它的强 弱直接影响到治理的效率和效能， 对IT 治理效率起着决定性的作用。 (3) IT 治理机制。IT 治理机制是IT 治理决策机制、执行机制、风险控制机制、协调机制的综合体， 各机制之间是相辅相成、相互促进的关系。有效的决策机制能保障IT 决策与组织的业绩目标和战略目标相匹配； 有 效的执行机制能保证IT 治理的良好运作， 有效的风险控制机制能降低IT 活动的风险，实 现信息技术开发利用的价值效益；有 效的协调机制能有力地发挥 IT 治理的协调效应。 ( 4 ) IT 治理域。IT 治理域是在IT 治理的规则之下， 对组织的IT 资源进行整合与配置，根据 IT 目标所 采取的行动。以科学、规范的做法交付面向业务的高质世IT 服务， 确保信息化“高效 做事情”、 数字化“敏捷的决策”。 IT 治理域内容包括IT 信息系统的计划、构建、运维与监控等。 ( 5 ) IT 治理标准。IT 治理标准包括IT 治理基本规范、IT 治理实施参照、IT 治理评价体系和IT 治理审计方法等方面， 作为 组织实施IT 治理最佳实践和对标依据。 ( 6) IT 绩效目标。IT 绩效目标关注 IT 价值的实现，评 价 IT 规划与IT 构建过程中是否满足业务需求以及构建过程中的工期、成本、质昼是否达到目标。

要关注 IT 发展的规划、实施 、检查 和改进全过 程， 重点 包括 1） 制 订 满足 可持续发 展的 IT 蓝图 ； 2） 实施科 学决策、集 约管 理的策 略 ，实 现 横向的 业 务 集成 和 纵向的 业 务管控； 通过内外部的监督，确保IT 与业务的一致性和适用性； 3）建 立适应内外部信息环境变化的待续改进和创新机制。

组织需要建立价值递送规则， 确保利益相关者明确相应的权利和义务， 包括： 1)认可信息技术、信息系统和数据在组织中的价值 ； 2)识别投资目录， 并以 相应的方式进行评估和管理； 3)对关键指标进行设定和监督， 并对变化和偏差做出及时回应； 4)权衡实施成本与预期效益， 并随组织内外部环境的变化及时调整。

组织可以根据相关法律法规、行业管理和上级监管机构发布的规范文件要求， 制定本组织的信息技术治理制度并实施， 重点聚焦在： 1) 指导建立规范过程管理和痕迹管理， 并向利益相关者质量设定举措； 2) 评审 IT 管理体系的适宜性、充分性和有效性； 3)审计 IT 完整性、有效性和合规性； 4)监督由审计和管理评审，提出改进内容的实施。

组织可以建立支持创新的人员、技术、制度、资金、风险、文化和市场需求的机制体系， 包 括： 1） 创造基千业务团队与 IT 团队的深度沟通以及对内外部环境感知和学习的技术创新环境； 2） 确保技术发展、管理创新、模式革新的协调联动； 3） 对 组织创新能力进行评估， 并对关键创新要素进行分析和评价； 4） 通过促进和创新有效抵御风险，并确保创新是组织文化的组成部分。

按照文化营造、实施和改进的生命周期，保障 利益相关者的沟通和透明， 包括： 1） 建立与 IT 发展相适应的组织文化发展策略； 2） 营造 包括知识、技术、管理、情操在内的积极向上的文化氛围； 3） 根据组织内部环境的变化， 评估并改进组织文化的管理。

该标准定义的IT治理框架包含信息技术顶层设计、管理体系和资源三大治理域，每个治理域由如下若干治理要素组成， 如图3-7所示。顶层设计治理域包含信息技术的战略，以及支撑战略的组织和架构; 管理体系治理域包含信息技术相关的质量管理、项目管理、投资管理、服务管理、业务连续性管理、信息安全管理、风险管理、供方管理、资产管理和其他管理; 资源治理域包含信息技术相关的基础设施、应用系统和数据。 

GB/T 34960.2《信息技术服务 治理 第 2 部分： 实 施指南》提出了IT 治理通用要求的实施指南， 分 析了实施 IT 治理的环境因素， 规定了 IT 治理的实施框架、实施环境和实施过程， 并明确顶层设计治理、管理体系治理和资源治理的实施要求 。该标准适用千： 1） 建立组织的 IT 治理实施框架，明确实施方法和过程； 2）组织内部开展IT 治理的实施； 3） IT 治理相关软件或解决方案实施落地的指导； 4） 第 三方开展IT 治理评价的指导。 IT 治理实施框架包括治理的实施环境、实施过程和治理域， 如图 3-8 所示。实施环境包括组织的内外部环境和促成因素。实施过程规定了IT 治理实施的方法论，包 括统筹和规划、构建和运行、监督和评估、改进和优化。治理域定义了IT 治理对象， 包括顶层设计、管理体系和资源。顶层设计包括战略、组织和架构； 管理体系包括质盘管理、项目管理、投资管理、服务管理、业务连续性管理、信息安全管理、风险管理、供方管理、资产管理和其他管理； 资源包括基础设施、应用系统和数据。组织可以结合实施环境的分析， 按照实施过程， 以治 理域为对象开展IT 治理实施。 

COBIT 框架

COBIT 治理体系【7项】

设计因素

设计工作流程

使用信息技术(IT) 的指导原则。该标准包括： 1) 责任。组织内的个人和团体理解并接受他们在IT 的供应和需求方面的责任。那些负有行动责任的人也有权执行这些行动。 2)战略。组织的业务战略考虑到IT 的当前和未来的能力；使用IT 的 计划满足了组织业务战略的当前和待续的需求。 3）收购。IT 收购是出千正当的理由， 在适当和持续的分析基础上， 有明确和透明的决策。在短期和长期内， 在利益、机会、成本和风险之间都存在着适当的平衡。 4）性能。IT 适合千支持组织， 提供满足当前和未来业务需求所需的服务、服务水平和服务质益。 5）一致性。IT 的使用符合所有强制性法律和法规。政策和实践有明 确的定义、实施和执行。 6）人的行为。IT 团队的政策、实践和决策表明了对人的行为的尊重， 包括所有“在这个过程中的人”的当 前和不断发展的需求。

(I ) 评估。治理机构应审查和判断当前和未来的使用， 包括计划、建议和供应安排（无论是内部、外部或两者兼有）。在评估IT 的使用时，治 理机构应考虑作用千组织的外部或内部压力，如 技术变革、经济和社会趋势、监管义务、合法的利益相关者期望和政治影。响治理机构应根据情况的变化不断地进行评价。治理机构还应考虑到当前和未来的业务需要，即他们必须实现 的当前和未来的组织目标， 例如维待竞争优势，以及他们正在评估的计划和建议的具体目标 。 ( 2 ) 指导。治理机构应负责战略和政策的编制和执行。战略应该为 IT 领域的投资设定方向以及IT 应该实现的目标。政策应在使用IT 时建立良好的行为。治理机构应通过要求管理者及时提供信息、遵守方向和遵守良好治理的六项原则来鼓励其组织中的良好治理文。化 (3 ) 监督。治理机构应通过适当的测揽系统来监测IT 的表现。他们应该保证自己业绩符合战略， 特别是在业务目标方面。治理机构还应确保IT 符合外部义务（法规、立法、普通法、合同）和内部工作惯例等。

1 ) 风险评估技术 IT 风险评估技术一般包括： • 风险识别 技术 ： 用 以 识别 可 能影响 一 个 或 多 个目标的不 确定 性 ，包括 德尔菲法、 头脑风暴法、检查表法、 SWOT 技术及图解技术等。 • 风险分析技术： 是 对风险影响 和后果进行 评价和 估屈 ， 包括 定 性分 析和 定批分 析 。 • 风险评价技术 ： 是在 风险 分 析 的基 础上 ， 通过 相应 的指 标 体系 和 评价 标 准， 对风 险 程度进行划分， 以揭 示 影响 成 败的关键风险因 素 ， 包括单因素 风险评价和 总体风险 评价。 • 风险应对技术： IT 技 术 体 系 中 为 特 定风 险 制 定 的 应 对 技 术 方 案 ， 包括云计算、冗余链路、冗余资源、 系统弹性伸缩、 两地三中心灾备、 业务熔断限流等。

2 ) 审计抽样技术 审计抽样是指审计人员在实施审计程序时， 从审 计 对 象 总体 中 选取 一 定 数 址的 样 本 进 行 测试，并 根据测 试 结 果 ， 推断 审 计 对象 总 体特征 的 一 种 方法。 审计抽样 适用于时间及成本都不允许对既定总体中的所有交易或 事件 进 行全面审计时。 “ 总体 ”是指需要检查的全部事项，“ 样本 ”是用于测试总体的子集

计算机辅助审计 ( ComputerAssistedAudit Tools, CAAT) , 也称为利用计算机审计， 是 指 审计人 员在审 计过程和审 计 管 理活动 中 ，以计算机为工具来 执行和完成某 些审计程序和 任务的 一种新兴审计技术。它并非电算化系统审计特有的 一种方法，对手工系统的审计也可应用 这些技术 。

大数据审计是指遵循大数据理念，运用 大数 据技术方法和工具 ， 利用数 批 巨大 、 来源分 散、格式多样的数据，开展跨层级、跨系统、跨部门和跨业务等的深入挖掘与分析，提升审计发现 问题、评价判断、宏观分析的能力。大数据审计技术包括大数据智能分析技术、大数据可视化 分析技术及大数据多数据源综合分析技术等， 如表 3 - 10 所示。