完整版记忆口诀下载：https://www.cnitpm.com/datum/Forum-20-1-1.html

第3章 - 信息系统治理

考点1：IT 治理五项关键决策包括：IT 原则、IT 架构、IT 基础设施、业务应用需求、IT 投资和优先顺序。

记忆口诀：原架设施需投资

——想象一个建筑师(CIO)要建一栋大楼(IT系统)。他必须先确定指导“原”则和整体“架”构，然后准备“设施”(基础设施)，再根据住户的“需”求设计房间(应用需求)，最后做出“投资”预算并决定先建哪后建哪(优先顺序)。这是一个从规划到执行的完整决策链。

考点2：IT治理体系框架具体包括：IT战略目标、IT治理组织、IT治理机制、IT治理域、IT治理标准和IT绩效目标等部分，形成一整套IT治理运行闭环。

记忆口诀：目标组织机制，域标绩效闭环

——首先，要有“目标”，建立“组织”，设计“机制”;然后，在治理范围(“域”)内，依据“标”准执行;最后，用“绩效”来检验目标，形成一个反馈“闭环”。口诀本身就是一套完整的管理逻辑。

考点3：IT治理主要目标包括:与业务目标一致、有效利用信息与数据资源、风险管理。

记忆口诀：一致、利用、风险

——可以理解为“做正确的事，正确地做事，安全地做事”。“一致”确保IT与业务方向一致(做正确的事);“利用”强调资源效率(正确地做事);“风险”管理则保障过程安全(安全地做事)。

考点4：IT治理管理层次大致可分为三层：最高管理层、执行管理层、业务与服务执行层。

记忆口诀：最高、执行、业务

——“最高”管理层负责决策，“执行”管理层负责落实，“业务”与服务执行层负责具体操作。记住这个通用的组织层级即可。

考点5：建立IT治理机制的原则：简单、透明、适合

记忆口诀：简单、透明、适合

——想象你要制定一个家规。这个规定不能太复杂，要“简单”易懂;对所有人都“透明”公开，没有潜规则;并且要“适合”自己家庭的实际情况，不能生搬硬套。这三个原则是任何好制度的基础。

考点6：IT治理的核心内容包括六个方面：组织职责、战略匹配、资源管理、价值交付、风险管理和绩效管理。

记忆口诀：组战资，价值风险小

——前三项“组战资”(组织职责、战略匹配、资源管理)是基础和投入;后三项“价值风险小”(价值交付、风险管理、绩效管理)是产出和保障。

考点7：IT审计的目的是指通过开展IT审计工作，了解组织IT系统与IT活动的总体状况，对组织是否实现IT目标进行审查和评价，充分识别与评估相关IT风险，提出评价意见及改进建议，促进组织实现IT目标。

记忆口诀：查评识促 (审查评价，识别风险，促进实现)

——先“查”，然后“评”，在过程中“识”别风险，最终为了“促”进目标实现。这是一个从动作到结果的递进关系。

考点8：常用的IT审计技术包括：风险评估技术、审计抽样技术、计算机辅助审计技术及大数据审计技术。

记忆口诀：险抽辅数

——想象一位审计师在办案。他先进行“险”估，锁定高风险区域;然后“抽”样检查;再使用“辅”助软件(计算机辅助审计技术)深入分析;最后利用大“数”据技术进行全量筛查。

考点9：常用IT审计方法包括：访谈法、调查法、检查法、观察法、测试法和程序代码检查法等。

记忆口诀：访调检，观测程

——前三种“访调检”(访谈、调查、检查)是主动获取信息的方法;后三种“观测程”(观察、测试、程序代码检查)是被动验证和深入探查的方法。

考点10：审计工作底稿一般分为综合类工作底稿、业务类工作底稿和备查类工作底稿。

记忆口诀：综业务查——“综合业务查”

——“综” 合类底稿是总体规划;“业务” 类底稿是具体的检查记录;“查”(备查类)底稿是备用的证明文件。