企业战略与IT战略互动

　　在最高管理层（董事会）中，树立和强化IT战略地位，建立企业战略与IT战略的互动观念，阐明IT应担当的角色。从业务的视角，建立信息技术指导原则，如信息化规划本质上可以定位成从业务战略到信息战略的实现。IT战略的建立，从组织的战略出发而不是从系统的需求出发，可以避免脱离目标而进行建设的困境；从业务的变革出发而不是从技术的变革出发，有利于充分利用现有的资源来满足关键需求，从而避免建设的信息系统无法有效地支持组织的决策。又如，利用电子商务消除时间和空间的特性，发展与全球客户的关系，能够引导、巩固客户数据库和订单处理过程。

　　建立IT治理委员会

　　设立IT治理委员会与IT审计师是IT治理最重要的环节。IT治理委员会由组织的最高管理层（董事会）及管理执行层包括IT管理和业务管理有关部门的负责人、管理技术人员组成。IT治理委员会应定期召开会议，就企业战略与IT战略的驱动与设置等议题进行讨论并作出决策，为组织IT管理提供导向与支持，把IT治理的相关规范融入到组织的内部控制中。

　　对于规模较大的组织，一项IT（如安全）控制活动需要多个部门的共同参与才能得以实现。为能够迅速解决控制过程中出现的问题，防止内部互相推诿的现象发生、提高工作效率，组成一个跨部门的IT治理委员会，加强全局的管理与流程执行的纪律，解决诸如信息安全事故的调查与处理等一些实际的问题，这是进行IT管理内部协调的很好的办法。

　　2002年9月17日，美国联邦政府公布了由关键基础设施委员会（CIPB）制订的保障网络安全计划--《国家保障网络安全策略》。根据该计划，美国政府将在网络安全中发挥主导作用，同时要求所有企业机构采取措施。其中该文件要求上市公司发布经过独立审计的安全报告，建议公司成立公司安全委员会等。由此可见，美国的IT治理机制已深入发展到建立安全治理机制领域。

　　保证职责明确

　　IT管理过程的职责缺乏或界定不清，最终导致无法有效地进行控制，形成管理风险。组织最高管理层应确保对管理层、部门、运维人员职责进行规定并形成书面文件。

　　信息系统审计

　　信息系统审计是一个获取并评价证据，以判断信息系统是否能够保证资产安全、数据完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。它综合运用IT技术与审计理论及方法，为信息的使用者提供合理的保证。

　　在信息时代，组织为预防不良事件的发生，必须将其内部控制扩展到信息处理系统的各个方面，包括企业内部网与因特网在内的任何直接或间接影响财务报表或其他至关重要资料的数据或处理系统，因为该系统与包括合作伙伴在内的其他系统有着密切的联系。此外，这些企业还必须信任与其互通业务数据的合作伙伴的内部控制系统。在对于经营惯例、交易处理的完整性、信息保护和如何对信息系统的内部控制实施评估和风险管理方面，组织可以通过内部审计或外部审计达到上述目的。

　　信息系统审计的主要由以下部分组成：1、信息系统的管理、规划与组织—评价信息系统的管理、计划与组织方面的策略、政策、标准、程序和相关实务。2、信息系统技术基础设施与操作实务—评价组织在技术与操作基础设施的管理和实施方面的有效性及效率，以确保其充分支持组织的商业目标。3、资产的保护—对逻辑、环境与信息技术基础设施的安全性进行评价，确保其支持组织保护信息资产的需要, 防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失。4、灾难恢复与业务持续计划—这些计划是在发生灾难时，能够使组织持续进行业务,对这种计划的建立和维护流程需要进行评价。5、应用系统开发、获得、实施与维护—对应用系统的开发、获得、实施与维护方面所采用的方法和流程进行评价，以确保其满足组织的业务目标。6、业务流程评价与风险管理—评估业务系统与处理流程，确保根据组织的业务目标对相应风险实施管理。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。