公司治理

现在，让我们深入了解一下什么是公司治理。让我们来看看信息系统审计与控制协会（ ，现称为 ISACA）在其最新（2019 年）版本的《信息及相关技术控制目标》（COBIT）中对治理这一主题的阐述，，因为它是这一问题的权威来源：

治理确保对利益相关者的需求、条件和选择进行评估，以确定要实现的均衡、一致的企业目标；通过优先排序和决策来确定方向；并根据一致同意的方向和目标来监控绩效和合规性。

在谈及公司治理时，ISACA 帮助对治理一词的传统定义增加了一些细节。公司治理是指管理公司以实现大目标，同时监督这些目标的合规性。

图 2-1是公司治理结构的直观描述。

图 2-1. 公司治理

各领域的职责如下：

董事会和委员会

提供战略监督，制定目标，确保执行管理层与股东和利益相关者的利益保持一致。委员会（如审计、风险）专门负责特定的治理领域。

价值观和道德规范

确定组织的道德标准和文化期望。在企业各个层面倡导诚信、透明和负责任的决策。

策略和监管框架

制定内部策略，确保遵守外部法律法规。提供治理和运营控制的结构化方法。值得注意的是，这被称为指令性控制。它指导个人必须做什么来支持治理。我将在第 3 章介绍不同的控制类型和类别。

风险管理

识别、评估和降低可能影响组织目标和可持续发展的风险。做出明智的决策，提高应变能力。

问责制

确保个人和团体对其行动和决定负责。鼓励主人翁精神、绩效跟踪和道德行为。

监测和内部控制

实施评估绩效和确保遵守策略的流程。帮助发现偏差、实施控制和支持持续改进。

IT 治理

现在我们来谈谈信息技术治理。以下是全球领先的研究和咨询公司 Gartner 在其官方 IT 术语表中对 IT 治理的定义：

IT 治理（ITG）的定义是：，确保有效和高效地使用 IT 使组织实现其目标的流程。

最新版本的 COBIT 核心模型 包括 40 个用于建立 IT 治理的治理和管理目标，这些目标分为五个领域。图 2-2显示了这些领域的高级视图。作为 CCSK 考试的一部分，这些内容不会对你进行测试，但了解 ...