信息系统审计培训教材 -IT治理风险管理.pdfVIP

IT 治理和风险管理 0 知识要点 1. IT 理概念 2. IT 理的目标和最佳实务 3. 风险管理 4. 开发风险管理程序 5.信息系统组织结构和责任 6. 审计在IT 理中的作用 1 1 1. IT 治理概念 2 IT 治理概念 IT 治理是一个综合性的术语，它包含了信息 系统、技术和通讯；业务的、法律的和其他 方面的事务；所有的利益相关者、主管、高 级管理层、流程所有者、IT供应商、用户和 审计师。治理有助于IT和企业目标的一致。 3 2 IT 治理生命周期 • 循环过程 –评估IT有效性 IT 治理 –持续优化IT性能 降低风险 –通过适当的方针、资源和 可接受成本 资金维护IT组织 –IT性能的测试和控制 增值 4 IT 治理－技术风险管理流程 认定 认定新出现或现存的技术相关 风险 健全的IT控制 安全管理 控制 衡量 通过预防，补偿和 系统开发和变更管理 衡量技术相关风险 附加措施来控制风 影响，可能性和趋 险 信息处理 势 沟通网络 技术服务提供者管理 监控 一般监测所有与技术相关的问 5 题或事件 3 2. IT 理的目标和最佳实务 6 IT 战略、政策、标准和程序 • IT 治理帮助达到IT 战略与业务战略一致，实现IT增加商业价值 • IT 治理为实施组织的信息以及相关技术支持组织的业务目标， 使得资源被合理地使用，风险被恰当地管理 • IT 治理由领导、组织结构以及相关流程组成，保证了组织的IT 能有效地促进组织战略目标和实现 • IT风险通过组织内的职责分工来控制 7 4 最佳实务 IT 治理结构关系