与业务目标一致

有效利用信息与数据资源

风险管理

职责：证实IT战略与业务战略是否一致

职责：制定IT的目标；分析新技术的机遇与风险

职责：信息和数据服务的提供和支持

IT原则

IT构架

IT基础设施

业务应用需求

IT投资和优先顺序

IT战略目标是指为实现IT价值和目标，是组织从IT投入中获得最大收益，而针对IT与业务关系、IT决策、IT资源利用、IT风险控制等方面制定的目标。

IT治理组织是界定组织中各相关主体在各自方面的治理范围、责权利及其相互关系的准则，它的核心是治理机构（如IT治理委员会等）的设置和权限的划分。

IT治理机制是IT治理决策机制、执行机制、风险控制机制、协调机制的综合体，各机制直接是相辅相成、相互促进的关系。

IT治理域是在IT治理的规则之下，对组织的IT资源进行整合与配置，根据IT目标所采取的行动。以科学、规范的做法交付面向业务的高质量IT服务，确保信息化“高效做事情”、数字化“敏捷的决策”。

IT治理标准包括IT治理基本规范、IT治理实施参照、IT治理评价体系和IT治理审计方法，作为组织实施IT治理最佳实践和对标依据。

IT绩效目标关注IT价值实现，评价IT规划与IT构建过程中是否满足业务需求以及构建过程中的工期、成本、质量是否达到目标。

实现IT业的业务价值

IT风险的规避

组织职责

战略匹配

资源管理

价值交付

风险管理

绩效管理

GB/T 34960.1 《信息技术服务治理第1部分：通用要求》

IT治理模型

GB/T 34960.1 《信息技术服务治理第2部分：实施指南》

COBIT核心模型

治理系统的组件

了解组织环境和战略

确定治理系统的初步范围

优化治理系统的范围

最终确定治理系统的设计

COBIT给出了建议设计流程

固有风险

控制风险

检查风险

对组织影响的严重程度，如财务损失、业务中断、失去客户信任、经济制裁

需要根据审计目的和投入的审计成本来确定

明确审计涉及的组织机构、主要流程、活动及人员等

具体的物理地点与边界

涉及的信息系统和逻辑边界

含义

分类

特点

含义

分类

特点

总体审计风险是指针对单个控制目标所产生的各类审计风险综合。

《中华人民共和国审计法》

《中华人民共和国网络安全法》

《中华人民共和国数据安全法》

《中华人民共和国个人信息保护法》

含义：是指通过访谈人和受访人面对面地交谈来了解被审计对象的信息。

含义：是指为了达到预期目的，在制订调研计划的基础上，通过书面或口头回答问题的方式收集研究对象的相关资料，并做出分析、综合，得到某一结论的研究方法。

含义：是指审计人员对被审计单位内部或外部生成的记录和文件（如纸质、电子或其他介质形式存在的资料）进行审计，或对资产进行事务审查。

分类：

含义：是指对被审程序的指令逐条加以审查，以验证程序的合法性、完整性和程序逻辑的正确性。

综合类工作底稿

业务类工作底稿

备查类工作底稿