实现IT价值和目标，而针对IT与业务关系、IT决策、 IT资源利用、IT风险控制等方面制定的目标。

界定组织中各相关主体在各自方面的治理范围、责权利及其相互关系 的准则，它的核心是治理机构（如IT治理委员会等）的设置和权限的划分。

IT治理决策机制、执行机制、风险控制机制、协调机制 的综合体，各机制之间是相辅相成、相互促进的关系

在IT治理的规则之下，对组织的IT资源进行整合与配置，根据IT目标所采取的行动

包括IT治理基本规范、IT治理实施参照、IT治理评价体系和 IT治理审计方法等方面，作为组织实施IT治理最佳实践和对标依据

关注IT价值的实现，评价IT规划与IT构建过程中是否满足 业务需求以及构建过程中的工期、成本、质量是否达到目标

是指IT活动不存在相关控制的情况下，易于导致重大错误的风险

可从IT组织层面控制、一般控制及应用控制三个方面分析固有风险

固有风险是IT活动本身所具有的，审计人员只能评估，却无法控制或影响它； 固有风险的衡量是主观的、复杂的，不同的IT活动其固有风险水平不同

是指与IT活动相关的内部控制体系不能及时预防或检查出存在的重大错误的风险

可从IT组织层面控制、一般控制及应用控制三个方面分析控制风险

与内部控制制度执行的有效性有关，与市计无关，属于内部控制的范畴，审计人员只能评估其风险水平而不能对其实施控制和影响。其风险水平的衡量由于需要兼顾传统内 部控制的思想和计算机系统管理的知识，因而较为复杂且难以准确计量

检查风险是指通过预定的审计程序未能发现重大、单个或与其他错误相结合的风险

由于IT审计规范不完善、审计人员自身或者技术原因等造成影响审计测试正确性的各种因素

含义：是指通过访谈人和受访人面对面地交谈来了解被审计对象的信息。 依据不同研究问题的性质、目的或对象，访谈法具有不同的形式。 分类：根据访谈进程的结构化程度，可将它分为结构型访谈和非结构型访谈

含义：是指为了达到预期目的，在制订调研计划的基础上，通过书面或口头回答 问题的方式收集研究对象的相关资料，并做出分析、综合，得到某一结论的研究方法。 目的：可能是全面把握当前状况，也可能是为了揭示存在的问题，弄清前因后果，以便为进一步的研究或决策提供观点和论据

含义：是指审计人员对被审计单位内部或外部生成的记录和文件（如纸质、电子或其他介质形式存在的资料）进行审查，或对资产进行实物审查。 分类：从技术层面上可分为审阅法、核对法、复算法和分析法

含义：是审计人员到被审计单位的经营场所及其他有关场所进行实地察看，来证实审计事项的一种方法。 应用：观察程序具有方向性，即从书面记录观察到实物或过程，反之，从实物或过程观察到书面记录。观察法既可以用于对通过其他方法获得的审计证据进行补充，证实审计证据，也可以用于直接收集相关证据。观察法可以比较准确地获得审计项目如何运行的信息，适用于正在进行中的审计事项

含义：通过测试来评估程序的质量是一项常用的审计技术，其基本原理是从计算机输入开始，跟踪某项业务直至计算机输出，以检验计算机应用程序、控制程序和系统可靠性。执行此类方法使用的是用于测试目的的业务数据，称之为测试数据。 分类：主要包括黑盒法和白盒法。黑盒法测试是把程序看成黑盒子，完全不考虑其内部结构和处理过程，只检查程序的功能是否符合它的需求规格说明。白盒法是通过测试来检测产品内部动作是否按照规格说明书的规定正常进行，按照程序内部的结构测试程序，检验程序中的每条通路是否都能按预定要求正确工作，主要用于软件验证

含义：是指对被市程序的指令逐条加以車查， 以验证程序的合法性、完整性和程序逻辑的正确性。 应用：审计人员可使用代码静态扫描工具进行程序代码的检查