作者:[美]国际信息系统审计协会(ISACA) 著
出版社:电子工业出版社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
CGEIT 复习考题及解答手册(第4版)试读:
前言
ISACA 很荣幸能够提供这本《CGEIT 复习考题及解答手册(第 4 版)》。本手册的目的是为 CGEIT 考生提供例题和测试主旨,以此帮助学习和准备 CGEIT 考试。
手册内容包含按照 CGEIT 工作实务领域编排的 250 道选择题及解答。本手册中的问题在《2015 年 CGEIT 复习考题及解答手册》以及《2015 年 CGEIT 复习补充考题及解答手册》中出现过。这些题目及解答旨在向 CGEIT 考生介绍在 CGEIT 考试中出现的题目类型。这些题目并不是考试中的真实题目。问题按 CGEIT 工作实务领域进行分类,同时还提供包含 75 道考题的考试样卷。本手册提供这些样题的目的是帮助 CGEIT 考生理解《CGEIT 考试复习手册(第 7 版)》中的资料并呈现 CGEIT 考试中的典型题型。
ISACA 祝愿您顺利通过 CGEIT 考试。您对于 IT 治理从业人员资格认证的忠诚追求堪称典范。我们欢迎您为本手册的使用以及所涉及的内容提出意见和建议。考试结束后,请您再花点时间完成有关本出版物的在线评价(www.isaca.org/studyaidsevaluation)。您的意见对于准备新的题目及解答十分宝贵。
致谢
这本《CGEIT 复习考题及解答手册(第 4 版)》是众多志愿者共同努力的成果。ISACA 遍布世界各地的 IT 治理专业人员参与了编写工作,慷慨地贡献他们的智慧和专业知识。这样的国际团队展示出的境界和无私精神正是这本珍贵的手册所有贡献者的真实写照。衷心感谢他们的参与和见解。
引言
概述
本手册中包括 250 道选择题及解答(编号 G1-1、G1-2 等)。这些题目有两种形式。
按领域分类的题目
题目和解答按 CGEIT 工作实务领域提供(分类)。通过这种题目形式,CGEIT 考生能够参阅特定题目,从而评估其对每个领域内所涉及主题的理解情况。这些题目接近 CGEIT 考题,但不是实际考题。提供这些题目的目的是帮助 CGEIT 考生理解《CGEIT 考试复习手册(第 7 版)》中的资料并呈现 CGEIT 考试中的典型题型。本手册提供的 5 个领域章节的大量题目及解答为 CGEIT 考生提供了最大数量的学习题目。
考试样卷
本手册还提供包含 75 道考题的随机考试样卷。样卷按照 CGEIT 工作实务规定的并在 CGEIT 考试中使用的领域比例编排。
企业 IT 治理框架 25%
战略管理 20%
效益实现 16%
风险优化 24%
资源优化 15%
强烈推荐考生使用此考试样卷和所提供的答题纸来模拟真实考试。许多考生将此考试样卷用于学前测验以确定他们的强项或弱项,或用于学后的最终测验。因此也提供了两份答题纸来满足这些要求。此外还包含了考试样卷的答案和参考要点。这些考试样卷题目与按领域分类的题目和解答设有交叉引用,因此可以很方便地参考正确答案解析。本书最好结合《CGEIT 考试复习手册(第 7 版)》使用。
需要注意的是,编制《CGEIT 复习考题及解答手册(第 4 版)》是为了帮助 CGEIT 考生学习和准备 CGEIT 考试。使用本手册准备考试时请注意,该考试所涉及的企业 IT 治理方面的问题范围甚广。请不要认为阅读并解答本手册中的题目后,便可充分应对考试。由于考试题目常常与实践经验有关,因此我们建议 CGEIT 的考生同时参考自己的经验以及《CGEIT 考试复习手册(第 7 版)》。这些额外的参考资料是获得更多详细信息和说明的绝佳渠道。建议考生衡量自己哪些工作实务领域比较薄弱或者需要进一步的理解,然后进行有针对性的学习。
CGEIT 考试中的题目类型
CGEIT 考试中的题目是为了衡量和测试实用性知识以及运用企业 IT 治理原理、实务和标准。如前面所述,所有题目均采用选择题的形式,并且每道题目仅有一个最佳答案。
考生应仔细阅读每一道题目。多数情况下,CGEIT 考试题目会要求考生选择最有可能或最佳的答案。有时,还可能会要求考生选择一个优于其他选项执行的操作或程序。无论属于哪种情况,考生均应仔细阅读题目内容,排除明显错误的选项,然后选出最佳选项。了解考试中的题目类型以及学习如何正确解答对 CGEIT 考生成功准备CGEIT 考试大有裨益。
每个 CGEIT 题目均包含一个题干(题目)和四个选项(备选答案)。考生需要从选项中选出正确或最佳答案。题干的形式可能是问句,也可能是不完整的陈述句。所有考题均采用选择题的形式,并且每道考题仅有一个最佳答案。
准备考试时另一个需要考虑的情况是,CGEIT 考生应认识到企业 IT 治理是全球性的,个人的看法和经验可能无法反映全球的形势和情况。由于编写 CGEIT 考试和手册时针对的是国际性团体,因此当考生读到与自己的经验相悖的状况时,需要进行一定的灵活对待。值得注意的是,实际的 CGEIT 考试题目均由世界各地经验丰富的 IT从业人员编写。实际 CGEIT 考试中的每道问题亦经过 ISACA 的 CGEIT 考试改善小组委员会以及 CGEIT 认证委员会审阅,两个组织均由国际成员组成。本手册已由专门组织在一起审校题目及解答的国际质量保证团队 (QAT)进行审校。可确保所有考试题目在各个国家/地区以及各种语言中的理解均相同。
注意:ISACA 考试复习手册是随时更新的文档。随着技术的进步,ISACA 手册会进行相应更新以反映这些技术进步。要得悉本文档在考试日期之前的进一步更新,请浏览 www.isaca.org/studyaidupdates 。
如果您对本手册中的内容有任何改进建议或有推荐的参考资料,请通过 studymaterials@isaca.org 在线提交。
学前测验
如果希望了解自己的强项和弱项,您可以进行学前测验。“考试样卷”从第 123 页开始,学前测验答题纸在 135 页。您可以根据第 133 页的考试样卷答案和参考要点为自己的学前测验打分。
各领域相关考题及解答
领域 1 — 企业 IT 治理框架 (25%)
G1-1 在对项目实施 IT 平衡计分卡 (BSC) 之前,企业必须:
A. 更新 IT 资源清单。
B. 定义每个项目的关键绩效指标 (KPI)。
C. 将所有战略项目归组到一个项目组合。
D. 将 IT 服务管理实务部署到位。
B 是正确答案。
理由:
A. IT 资源清单通常在每个项目实施后更新。
B. 通过定义每个战略项目的关键绩效指标,企业将能够根据绩效参数或数字确定业务需求满足情况,从而衡量项目的实际成功程度。
C. 将战略项目归组到一个项目组合可能有助于优化商业价值,但对平衡计分卡 (BSC) 实施的影响甚微甚至不会造成任何影响。
D. 实施 BSC 不要求一定要部署 IT 服务管理。
G1-2 以下哪一项对 IT 治理框架设计的影响最大?
A. 信息安全风险和安全组织
B. 组织结构和领导力
C. 组织预算和投资计划
D. 业务单位和员工的数量
B 是正确答案。
理由:
A. 信息安全风险和安全组织仅与安全相关;它是企业 IT 治理的一部分并对框架设计有一定影响,但不是最大的影响因素。
B. IT 治理利用动力(例如组织架构和领导力),确保利益相关方的需求、条件和选项得到评估,以确定实现平衡、协商一致的企业目标。领导力通常以组织原则、政策和框架表示。
C. 组织预算和投资计划很重要,但不是最大的影响因素。
D. 业务单位和员工的数量更大程度上属于组织结构问题,与治理框架的设计无关。
G1-3 以下哪一项可提供最佳的内部控制环境?
A. 确保具体成果的流程。
B. 规定具体任务的程序。
C. 避免产生人为错误的自动化流程。
D. 建立问责制的角色和责任。
A 是正确答案。
理由:
A. 确保具体成果的流程构成强大的内部控制环境。
B. 程序是治理框架的组件,只有它们被设计为确保具体成果时才有效。
C. 防止或检测意外事件的自动化流程是治理框架的组件,但与精心设计并执行的确保具体成果的流程相比,它们不够全面。
D. 角色和责任是治理框架的组件,但与精心设计并执行的确保具体成果的流程相比,它们不够全面。
G1-4 应该由以下哪一方决定关键项目的最终数据访问决策?
A. 数据所有者
B. 项目经理
C. 高级管理层
D. 数据库管理员 (DBA)
A 是正确答案。
理由:
A. 数据库所有者是根据人员的角色和责任制定访问决策的最恰当人选。
B. 项目经理负责制定和成功执行项目计划,以在规定时间和预算内取得项目交付成果(范围)。
C. 高级管理层负责整个 IT 实施,但不参与数据访问决策。
D. 数据库管理员 (DBA) 承担数据保管责任:根据数据所有者指令存储计算机处理数据并保障其安全。
G1-5 以下哪一项分析从治理角度最恰当地描述了安全指标的目的?
A. 与业务目标相比的安全管理绩效
B. 企业在任何特定时期的总体安全态势
C. 企业中存在的风险
D. 企业处理过的安全事故
A 是正确答案。
理由:
A. 安全指标旨在对照业务目标衡量安全绩效;因此,此选项最恰当地描述了目的。
B. 安全指标的目的不在于描绘企业总体安全态势;它们只是安全绩效的一个组成部分。
C. 安全指标的目的不在于确定企业中存在的风险;它们是风险评估流程的若干依据信息之一。
D. 已解决的安全事故涵盖在总体信息安全绩效中。
G1-6 以下哪一项最大限度地增强了董事会对信息系统内部控制有效性的监督?
A. 持续性审计
B. 审计委员会
C. 独立的年度信息系统审计
D. 来自首席信息官 (CIO) 的定期报告
B 是正确答案。
理由:
A. 持续性审计是众多审计方法中的一种。就其本身而言,不大会增强董事会对内部控制有效性的监督。
B. 要对管理层施行有效的监督,董事会必须获得独立、可靠的反馈和证据。审计委员会可以帮助做到这一点。
C. 虽然独立的年度信息系统审计十分有用,但外部年度审查捕捉不到太多环境中的突然变化,不能像内部审计部门那样提供深度见解。
D. 来自首席信息官 (CIO) 的报告既不独立也不客观。
G1-7 有效的企业 IT 治理要求:
A. IT 战略是企业战略的延伸。
B. 企业战略是 IT 战略的延伸。
C. IT 治理不依赖企业治理。
D. 进行 IT 方面的投资以获取竞争优势。
A 是正确答案。
理由:
A. 有效的 IT 治理要求 IT 和业务朝着相同的方向发展;IT 战略必须与企业的总体业务战略一致。每个 IT 目标必须清晰地与企业目标一致。
B. IT 战略是企业战略的延伸并且必须明确支持利益相关方需求。
C. IT 治理不是独立的学科;必须将其完全融入企业的总体治理。
D. 如果纯粹基于获取竞争优势的目的投资 IT,就无法优化投资效益。投资组合必须平衡效益实现以及风险和资源优化。
G1-8 首席信息官 (CIO) 应该首先做什么来建立企业 IT 治理?
A. 实施行业内可用的 IT 最佳实践。
B. 实施来自 CIO 之前企业的治理实务。
C. 仅让内部利益相关方参与。
D. 评估现行企业实务和流程。
D 是正确答案。
理由:
A. 企业建立自己的 IT 治理后,就应该运用最佳实践以作未来的基准检测。
B. 不应该采用其他企业的治理实务,因为其与当前企业的要求和目标不同。
C. 内外部利益相关方将在后续阶段参与定义要求和目标。
D. 建立 IT 治理的第一步是基于现行实务和流程评估结果,定义要求和目标。此评估应该包括使命、目标、愿景、价值观、文化、管理风格以及相关规范。
G1-9 以下哪一项最准确地反映了企业 IT 治理的关键领域?
A. 评估、指导、监控 (EDM)
B. 启动、计划、执行、监控、控制
C. 需求分析、设计、开发、实施、支持
D. 计划、执行、检查、处理 (PDCA)
A 是正确答案。
理由:
A. 评估、指导、监控 (EDM) 是正确的。
B. 这些是项目管理流程中的关键阶段。
C. 这些是系统开发生命周期中的关键阶段。
D. 计划、执行、检查、处理 (PDCA) 是持续改进业务流程所用的管理方法。
G1-10 以下哪一方最有可能应业务部门的要求来制定决策,以便实施企业获批技术标准列表中未包含的应用程序?
A. 信息系统审计委员会
B. 企业投资委员会
C. IT 指导委员会
D. IT 架构审核委员会
D 是正确答案。
理由:
A. 信息系统审计委员会的要求不包括已批准标准的例外。
B. 企业投资委员会可能考虑与此应用程序实施相关的投资请求,但不会考虑标准的例外。
C. IT 指导委员会可能考虑诉求或升级,但不是架构例外的相关决策主体。
D. IT 架构审核委员会是正确答案。IT 架构审核委员会的职责之一是强制实行架构合规性以及考虑例外或特许请求。
G1-11 为了能够实施 IT 治理框架,应该首先实现以下哪一项?
A. 建立变更愿望。
B. 成立实施团队。
C. 为角色授权。
D. 嵌入新的方法。
A 是正确答案。
理由:
A. 任何对现有流程和行为的重大修改都应该从建立共同的变更愿望或“行动号召”开始,它们通常与目前存在的痛点或触发事件有关。
B. 让最优实施团队参加及参与通常依赖共同的愿景或变更愿望。
C. 不能在建立变更愿望之前为角色授权。
D. 只有建立变更愿望和行动号召之后,才能落实新的方法。
G1-12 以下哪一项是建立企业 IT 治理时需要考虑的最重要因素?
A. 企业的风险偏好
B. IT 战略计划
C. 企业的组织结构
D. 当前 IT 流程能力成熟度
C 是正确答案。
理由:
A. 企业的风险偏好是开展风险管理活动时的重要依据信息,但不是建立 IT 治理时要考虑的主要因素。
B. IT 战略计划是建立 IT 治理的依据信息,但不是建立 IT 治理的主要驱动因素。它提供建立组织结构时的重点关注因素,例如 IT 战略委员会或 IT 指导委员会。
C. 企业的组织结构是在定义要求和目标以及推动建立 IT 治理时要考虑的关键因素。集中与分布式处理或企业有共享服务等因素发挥着重大作用。
D. 在不同的 IT 治理结构中都应该考虑当前 IT 流程能力成熟度,但它不是建立企业 IT 治理的主要驱动因素。
G1-13 为确保企业 IT 治理取得成功,IT 的管理和控制必须由以下哪一方负责?
A. 执行管理层
B. 业务和 IT 职能部门
C. 仅 IT 职能部门
D. 仅业务职能部门
B 是正确答案。
理由:
A. 执行管理层/董事会有责任管理和控制企业 IT,但此事务并非一定要他们负责。
B. 企业 IT 的管理和控制责任应该由业务和 IT 职能部门共同承担。例如,业务部门必须履行其数据所有权责任,而 IT 部门则必须履行其监管责任。
C. 仅 IT 职能部门无法负责企业 IT 的管理和控制;例如,数据所有权责任必须由业务部门履行,IT部门无法承担。
D. 仅业务部门无法负责企业 IT 的管理和控制;例如,数据保管责任必须由 IT 职能部门履行,业务部门无法承担。
G1-14 应用程序控制的所有权归谁所有?
A. 首席信息官 (CIO)
B. 业务单位
C. IT 指导委员会
D. 架构审核委员会
B 是正确答案。
理由:
A. 首席信息官 (CIO) 负责 IT,但不负责业务应用程序控制。
B. 业务单位负责定义和管理应用程序控制,这是其数据所有权责任的一部分。
C. IT 指导委员会负责排定 IT 投资的优先级,但不负责业务应用程序控制。
D. 架构审核委员会负责企业架构,但不负责业务应用程序控制。
G1-15 以下哪一项是促进 IT 治理成功实施的最有效因素?
A. IT 指导委员会参与
B. 首席信息官 (CIO) 支持
C. 董事会指令和命令
D. 季度 IT 管理会议
C 是正确答案。
理由:
A. IT 指导委员会参与有助于 IT 治理的实施,但董事会指令和命令更重要。
B. 首席信息官 (CIO) 支持发生在企业内较低级别;来自企业最高层的清晰指令是 IT 治理成功实施的关键所在。
C. IT 治理实施指令必须来自企业最高层 — 董事会。
D. 季度 IT 会议对于报告和监控很重要,但不是成功实施 IT 治理最重要的动力。
G1-16 企业计划实施 IT 治理框架,以确保 IT 和业务战略一致。此战略举措将主要关系到 IT 平衡计分卡(BSC) 的哪个维度?
A. 财务
B. 内部
C. 客户
D. 学习和发展
B 是正确答案。
理由:
A. 实施 IT 治理框架的目标在于平衡计分卡 (BSC) 的内部流程而不是财务维度。财务维度帮助取得财务成果并回答“要满足我们的利益相关方,就必须满足什么财务目标?”。
B. IT BSC 的内部流程维度目标在于通过结构化的方法和 IT 治理标准[例如 ISO 38500 公司信息技术治理(IT 治理)国际标准]和框架(例如 COBIT)。作为战略项目实施时,它将被关联到IT BSC 的内部流程维度。
C. 实施 IT 治理框架的目标在于内部流程,与 IT BSC 的客户维度无直接关系。客户维度回答“要满足我们的财务目标,我们就必须满足客户的哪些需求?”。
D. 实施 IT 治理框架的目标在于内部流程,与 IT BSC 的学习和发展维度无直接关系。学习和发展维度回答“要实现我们的目标,我们必须如何学习和创新?”。
G1-17 强大 IT 治理流程的最大效益是:
A. 提高生产力和响应业务需求的能力。
B. 增强问责制和提高响应合规要求的能力。
C. 更有效地管理事故和问题。
D. 改善 IT 投资并且能够更敏捷地应对越来越复杂的技术。
A 是正确答案。
理由:
A. 当业务战略与作为 IT 治理一部分的 IT 服务保持一致时,生产力会提升,且响应业务要求的能力会提高。此外,生产力和响应业务需求的能力是建立强大 IT 治理流程的驱动因素。
B. 问责制和响应变化的合规要求的能力是具体的业务需求,不是 IT 治理的总体目标。
C. 虽然通过强大的 IT 治理可能会改善事故和问题管理,但这两个流程不代表 IT 治理普遍和整体有效。
D. 改善 IT 投资并且更敏捷地应对越来越复杂的技术不代表企业中建立了强大 IT 治理流程。
G1-18 以下哪一项是企业 IT 治理的主要目标?
A. 当前和未来的 IT 项目筹资。
B. 利用最新技术。
C. 优化可用 IT 资源的使用。
D. 使用技术支持业务需求。
D 是正确答案。
理由:
A. 为业务单位当前和未来的 IT 项目计划和筹措资金属于财务管理流程。
B. 利用最新技术本身不属于业务目标。虽然灵活利用最新技术有时可能会对特定利益相关方的需求提供支持,但每项投资都必须经过可行性评估,并考虑效益、资源和风险。
C. 确定能最充分利用可用 IT 资源的流程属于绩效衡量的一部分。
D. IT 治理流程的主要焦点在于确保当前和将来的业务目标/需求始终得到有力支持。
G1-19 以下哪一项是 IT 指导委员会的主要职能?
A. 设计 IT 架构。
B. 流程绩效监控。
C. 排定战略性 IT 项目的优先级。
D. 定义和评判启用 IT 的项目。
C 是正确答案。
理由:
A. IT 架构是架构委员会的职能。
B. 绩效监控是企业的运营职能。
C. IT 指导委员会是执行管理层级别的委员会,它协助实现 IT 战略,监督 IT 服务交付和 IT 项目的日常管理,重点关注实施方面。应该对战略 IT 项目的状态进行审核,因为它们是业务取得成功的最重要因素。
D. 定义和评判启用 IT 的项目属于业务职能。
G1-20 以下哪一项能够最有效保证信息系统控制措施和实务按照设计有效地执行?
A. 外部审计
B. 首席信息官 (CIO) 证明
C. 控制自我评估 (CSA)
D. 内部审计
A 是正确答案。
理由:
A. 外部审计提供确保内部控制按设计有效执行以满足业务目标的保证;报告可以发送给董事会进行审核。
B. 首席信息官 (CIO) 证明可以提供一定程度的保证,但无法顾及系统内的人为偏见,并可能影响总体报告。
C. 控制自我评估 (CSA) 由 IT 部门自行执行,是一项改进措施。它无法向管理层提供高层次的保证。
D. 内部审计证明可以提供一定程度的保证,但无法顾及系统内的人为偏见,并可能影响总体报告。
G1-21 一家企业因为通用信息系统控制存在薄弱环节而面临重大损失。端对端 IT 流程由 IT 管理人员设计,并经过首席信息官 (CIO) 批准。谁最终负责确保完成整改措施?
A. CIO
B. IT 管理人员
C. 审计委员会
D. 董事会
D 是正确答案。
理由:
A. 通过批准流程,首席信息官 (CIO) 承担流程所有者的职能。虽然流程所有者负责确保完成整改措施,但最终仍由董事会负责。
B. IT 管理人员负责 IT 流程的设计(并很可能负责测试和实施)。虽然有责任,但最终仍由董事会负责。
C. 审计委员会和审计职能部门可以帮助在 IT 治理结构内实施这些整改措施;但他们不负责确保完成整改措施。
D. 董事会最终对 IT 治理的成功与失败负责。该责任涵盖确保整改措施按预期完成。
G1-22 在针对企业 IT 治理实施 IT 平衡计分卡 (BSC) 时,最重要的是:
A. 企业架构 (EA) 与业务目标保持一致。
B. 定义了关键绩效指标 (KPI)。
C. 重点关注内部流程。
D. 员工薪酬与 BSC 绩效挂钩。
B 是正确答案。
理由:
A. 企业架构 (EA) 应该与业务目标保持一致,但必须有关键绩效指标 (KPI) 才能建立一致性。
B. 没有可衡量 KPI,IT 平衡计分卡 (BSC) 毫无用处。
C. IT BSC 需要考虑所有四个维度以包括财务、客户、内部以及学习与发展。
D. 员工激励措施(包括薪酬)应该与所有 BSC 的所有四个维度挂钩;不过,员工只是在实施 BSC时要考虑的众多动力中的一个。
G1-23 通过以下哪一项,能最准确地确定 IT 治理的有效性?
A. 评估董事会 IT 监管委员会的活动。
B. 确定在预算内准时交付项目的百分比。
C. 评估利益相关方满意度。
D. 遵守国际标准。
C 是正确答案。
理由:
A. 评估董事会 IT 监管委员会的活动将确定董事会在 IT 治理过程中的参与程度,评估利益相关方满意度直接提供关于 IT 治理有效性的深入见解。
B. 确定在预算内准时交付项目的百分比,有助于确定利益相关方的满意度;但它不是整体视角。
C. IT 治理是执行管理层和董事会的责任,由确保 IT 部门能够支撑并扩展企业的战略和目标的领导力、组织结构以及一系列流程构成。
D. 遵守国际标准可能是个好做法,但无法确保利益相关方满意度。
G1-24 谁最终负责建立信息系统控制的问责制?
A. 执行管理层
B. 数据所有者
C. 业务流程所有者
D. 系统监管人
A 是正确答案。
理由:
A. 执行管理层最终负责建立信息系统控制问责制。问责制用于追溯指定活动或事件的责任方。
B. 数据所有者对信息分类。数据分类直接关联到组织数据处理政策和步骤并制定访问、处理、存储、分发和保留规定。数据所有者不会对信息系统控制建立问责制。
C. 业务流程所有者和数据所有者类似,责任在于对信息分类。数据分类直接关联到组织数据处理政策和步骤并会制定访问、处理、存储、分发和保留规定。业务流程所有者不会针对信息系统控制建立问责制。
D. 系统监管人依据数据分类和数据所有者的批准,强制执行访问、处理、存储、分发和保留规定。系统监管人不会对信息系统控制建立问责制。
G1-25 IT 治理框架在以下哪种情况下最有用?
A. 符合行业标准并由 IT 管理部门所接受。
B. 能够实现整体的方法。
C. 全面覆盖整个企业。
D. 与企业文化和环境相一致。
D 是正确答案。
理由:
A. IT 治理框架是一种模型,其整合了一整套指导方针、政策和方法,代表组织的 IT 治理方法;框架本身并不符合行业标准,但应由管理层选择,以确保所选的框架代表企业文化和环境。
B. 框架在本质上是全面的;但是,最重要的是所选择的框架应代表企业文化和环境。
C. 虽然所选择的 IT 治理框架全面覆盖整个企业很重要,但更重要的是其应与企业文化和环境相一致。
D. 每个企业必须不断变更和调整自己的 IT 治理框架。各企业必须根据多个因素,如规模、行业(类型、发展状况、实务和竞争格局),以及企业的组织文化和需求来量身定制框架。这样做可确保 IT 治理框架与企业优先事务一致,并能够帮助达成该企业的特定业务目标。
G1-26 以下哪一项最适合用于向高级管理层报告与企业 IT 治理有关的问题?
A. 审计报告
B. 漏洞报告
C. IT 指导委员会会议记录
D. 仪表板
D 是正确答案。
理由:
A. 审计报告是一个结构清晰的报告工具,一般由执行摘要、调查结果和建议构成。虽然审计报告为向高级管理层报告而构建,但其内容覆盖范围有限,不足以向高级管理层全面报告 IT 治理问题。
B. 漏洞报告一般在本质上是技术报告,提供漏洞修复的细节或参考。由于其技术性强且内容覆盖范围有限,因此并不适用于向高级管理层报告 IT 治理问题。
C. 指导委员会会议记录如同其他会议记录一样,包含个人就具体主题以及行动事项和决策所发表的详细言论。如果使用指导委员会会议记录向高级管理层报告 IT 治理问题,则内容覆盖范围过于有限且过于详尽。
D. 仪表板是向高级管理层报告有关 IT 治理问题的理想工具,因为它们将许多数据点汇聚到一个高级报告中,使用视觉标记标示那些需要引起注意的事项。仪表板通常有更精细的数据支撑,因此接收者可在需要更多信息的领域深度挖掘。
G1-27 公司失败项目数大幅度削减。这可能是由于:
A. 雇用更严格的首席信息官 (CIO)。
B. 有良好的治理实务。
C. 越来越多地利用人才。
D. 有合格的项目专业人员。
B 是正确答案。
理由:
A. 严格或依据指令管理并不一定能像良好的治理实务那样在企业帮助增强员工敬业度、责任感并加强沟通。
B. IT 项目不达标的风险主要是企业内缺乏责任感和员工敬业度导致的。治理实务有助于企业评估每个 IT 项目的商业价值(作为组合管理方法的一部分),并确保每个项目的角色和责任。良好的治理实务可帮助管理层确保越来越多的项目取得成功。
C. 如果有良好的治理实务来调拨企业聚集的人才,那么汇聚人才将是一项非常有效的措施。缺乏适当责任感和不理解活动商业价值的人才无法集中精力全力以赴。良好的治理有利于汇聚并保留适当比例的足够人才。
D. 合格的项目专业人员可以提高项目成功的概率;但是,如果不根据业务和项目目标协调所汇聚的人才(或没有界定责任),合格的项目专业人员很难在任务中取得成功。
G1-28 以下哪一项最准确描述了 IT 治理的效益?
A. 效益实现
B. 资源优化
C. 有依据的决策制定
D. 风险优化
C 是正确答案。
理由:
A. 效益实现是 IT 治理的一个过程,可确保妥善管理通过 IT 促成的投资,实现优化的商业效益。有依据的决策流程贯穿于整个企业,并且同效益实现、资源优化和风险优化一样,贯穿所有过程。普遍施行有依据的决策流程是 IT 治理的最佳效益。
B. 如果在实施 IT 治理的过程中缺乏有依据的决策流程,将无法实现资源优化。
C. 如果 IT 治理良好,有依据的决策流程可评估不同 IT 投资的商业价值。制定 IT 治理实务有助于企业实施实务,改善整个企业的沟通和决策流程。有依据的决策流程还可帮助清晰理解角色、责任和问责制度。所有这些都将对企业各个层面的决策流程产生影响,帮助有效和高效地获得商业价值。
D. 可以准确评估风险;但是,要想有效管理和优化风险,只能通过有依据的决策流程实现。
G1-29 实施企业 IT 治理的过程中,最大的挑战是什么?
A. 了解企业的独特性和文化。
B. 分析多种框架,并选择一个最好的。
C. 评估企业所采用的技术。
D. 为各个 IT 流程选择绩效衡量工具。
A 是正确答案。
理由:
A. 并没有运用 IT 治理框架、标准或实务应对企业需求和文化的通用方法。IT 在企业中可能担任多种不同的角色—工作自动化、信息管理和业务转型。多个因素,如规模、行业(类型、发展状态、实务和竞争格局)以及企业的组织文化,会影响 IT 担任的角色。应该在考虑合适的 IT 治理框架、标准或实务之前,先开展尽责调查,分析企业的需求和文化,而且两个方面(需求和文化)的分析应该分开处理,以确保流程的完整性。一个企业的文化基本上就是它的个性,由设想、规范和其成员的行为组成。
B. 最好的框架与公司的文化和运营实务相一致。不管一个框架多么好,都必须根据企业需求与文化定制和运用,使其为企业服务。在冒险实施 IT 治理之前,基于这些固有不同因素理解和区分企业非常具有挑战性。
C. 评估目前所使用的技术有助于评估技术如何最有效地帮助达成业务目标。它还有助于制定未来的行动决策。只有在企业已经实施 IT 治理实务后,才能成功根据技术方向调整商业价值。这意味着它是整体 IT 治理实务的一部分,而不是实施 IT 治理的挑战。
D. 绩效衡量是评估各种 IT 流程的绩效,并确保它们与业务目标保持一致的过程。IT 治理的实施包括各种活动,如战略管理、效益实现、风险优化,资源优化等。为各种 IT 流程制定绩效衡量工具是 IT 治理资源优化维度的重要组成部分。
G1-30 以下哪个痛点最有可能通过实施企业 IT 治理得以解决?
A. 未能满足监管要求。
B. 未能达成企业目标。
C. 财务报表不一致。
D. 管理层频繁更替。
B 是正确答案。
理由:
A. 企业 IT 治理的实施是一个全面的业务实务,并不局限于符合监管要求。
B. 实施企业 IT 治理可帮助企业维持实现效益与优化风险级别和资源利用之间的平衡,进而从 IT 创造理想价值。
C. 企业 IT 治理的实施是一个全面的业务实务,只解决有关财务报表不一致的 IT 相关痛点。
D. 实施企业 IT 治理并不能直接解决管理层频繁更替的问题,但它可能触发评估企业当前的 IT 治理机制并解决所发现的任何弱点。
G1-31 以下哪一项职责应当主要分配给 IT 战略委员会?
A. 实施 IT 战略、计划和政策。
B. 就重大的 IT 相关事务向董事会提建议。
C. 审批重要的 IT 项目和投资。
D. 针对战略 IT 项目开发业务案例。
B 是正确答案。
理由:
A. 实施 IT 战略、计划和政策是 IT 指导委员会的职责,因为该委员会更关注可操作性,而不是更宽泛的战略观点。
B. IT 战略委员会是董事级别的委员会,负责确保董事会参与重大 IT 事务和决策。
C. 批准重大 IT 项目和投资并不是 IT 战略委员会的首要责任,但是其必须监督成本优化。
D. 为战略性 IT 项目开发业务案例是项目发起人的职责,但是 IT 战略委员会应对通过 IT 促成的重大业务变更项目进行监督。
G1-32 制定企业 IT 治理时,以下哪一项是需要完成的第一个任务?
A. 创建适当的环境。
B. 确定技术发展方向。
C. 执行企业风险评估。
D. 实施平衡计分卡 (BSC)。
A 是正确答案。
理由:
A. 创造适当的环境对确立治理行动的步伐至关重要。执行管理层应为企业 IT 治理规定和设计指导原则、决策权和责任框架。如果没有分配角色和责任、确保连续运作和监控遵从性的管理结构,流程的改进不可能成为常态。
B. 如果没有建立结构和战略,就不值得确定技术发展方向。
C. 企业风险评估是用来识别和评估风险及其潜在影响的过程,但并不是制定企业 IT 治理的第一步。
D. 平衡计分卡 (BSC) 在流程的稍后阶段实施,确定利益相关方需求和企业目标之后。
G1-33 用于确定是否可以外包系统开发项目的参数应首先被记录在:
A. IT 投资计划
B. 资源可用性计划
C. IT 战略计划
D. 企业 IT 政策
C 是正确答案。
理由:
A. IT 投资计划是 IT 战略计划的一部分。
B. 资源可用性计划将确定现有资源的可用性。
C. IT 战略计划是一个长期的计划(三到五年期限),其中业务和 IT 管理层共同确定 IT 将如何为企业战略目标(目的)服务。IT 战略应包括企业外包参数。
D. 企业 IT 政策是一个综合性文档,为 IT 提供方向,可能不包括所有的外包参数。
G1-34 以下哪一项最准确描述了采用和实施企业架构 (EA) 的目的?
A. EA 可促进通信。
B. EA 可促进决策制定。
C. EA 可促进业务敏捷性。
D. EA 可促进兼并和收购。
B 是正确答案。
理由:
A. 企业架构 (EA) 提供一个框架,用于确保企业目标、目的和政策在与 IT 系统有关的决策中得以适当且准确地体现。实施 EA 有助于加强沟通,但是这并不是其主要目的。
B. 企业架构 (EA) 描述的是业务 IT 组件的根本基础设计、各组件间的关系以及它们如何为企业目标提供支持。EA 提供一个可指导未来技术投资、确保 IT 与业务和实现的价值保持一致的路线图,以促进决策流程。它提供了结构,可促进变更管理、制定知情决策和沟通。
C. 业务敏捷性是业务部门快速调整,以具成本效益的方式应对业务环境变化的能力。业务敏捷性是组织智能的结晶,只有在企业拥有合适的 EA 框架建立所需智能的情况下才能实现。
D. EA 可能有助于促进兼并与收购,但这不是实施 EA 的主要目的。
G1-35 以下哪一项是导致企业 IT 治理越来越重要的主要原因?
A. 业务对 IT 资源的需求增加。
B. IT 审计发现的问题和不足增多。
C. 法规数目增加。
D. 与 IT 相关的风险和机遇意识提高。
D 是正确答案。
理由:
A. 业务对 IT 资源的需求增加并不会导致企业 IT 治理实施的重要性提高,除非高级管理层意识到 IT相关风险和回报的严重性。
B. 审计发现不足的情况增多可能是由控制的设计粗劣、运营效率差等因素导致的,但不是导致企业 IT 治理越来越重要的主要原因。
C. 法规数目增加可能是导致企业 IT 治理实施重要性提高的一个原因,但不是主要原因。
D. 随着越来越多的关键业务流程实现自动化,管理层对 IT 系统所提供信息的依赖程度不断增加。实施企业 IT 治理有助于管理不断增加的风险,避免 IT 故障和性能不佳的问题。企业 IT 治理也有助于高级管理层通过熟悉的风险管理流程充分利用较新技术所带来的机会。
G1-36 制定企业 IT 治理实施计划时,评估流程能力的主要目的是什么?
A. 评估技术能力。
B. 计划所需的资源。
C. 了解当前能力。
D. 执行差距分析。
C 是正确答案。
理由:
A. 流程能力是整体的治理能力,并不仅仅关乎技术。
B. 一旦在初期阶段了解能力和流程缺陷之后,即可对所需资源进行规划。
C. 在制定 IT 治理实施计划时,高级管理层需要知道“我们现在进行到了哪一步”。流程能力的评估有助于管理层了解企业当前的能力。
D. 首先评估流程能力,了解流程的当前状态,并了解是否存在缺陷。差距分析有助于规划企业 IT治理实施的下一阶段。
G1-37 在以下哪种情况下, 企业 IT 治理最高效?
A. 风险被优化。
B. 利益相关方的需求得到满足。
C. 资源被优化。
D. 效益得以实现。
B 是正确答案。
理由:
A. 优化风险有助于实现利益相关方的目标,但只是价值创造的一个组成部分。风险优化是治理体系的重要组成部分,不能孤立看待。
B. 在满足利益相关方的需求方面,企业最高效。企业存在的目的是为利益相关方创造价值。
C. 资源优化是治理目标之一,涉及有效、高效和负责任地使用所有资源—人力、资金、设备、设施等。资源的优化利用并不必然会导致利益相关方的需求得到满足,而是企业价值创造的一个组成部分。
D. 价值创造本质上是指在优化风险的同时,以优化的资源成本实现效益。效益有很多种形式,包括商业企业的财务效益、政府机构的公共服务等;它是价值创造治理目标的一部分。
G1-38 在与董事会沟通 IT 的商业价值时,以下哪个工具最有效?
A. 内部回报率 (IRR)
B. IT 平衡计分卡 (BSC)
C. 投资回报率 (ROI)
D. 流程能力评估
B 是正确答案。
理由:
A. 内部回报率 (IRR) 用以衡量一项投资的预期收益率。IRR 仅注重财务效益,不会考虑无形效益。
B. 平衡计分卡 (BSC) 通过合并企业想要了解的有形和无形价值,从中立公正的角度看待 IT 为业务实现的总价值。BSC 将战略转化为行动,利用超越传统会计的绩效衡量系统实现目标,衡量信息时代竞争所需的关系和知识资产:以客户为中心,流程效率以及学习和成长的能力。
C. 投资回报率 (ROI) 用于衡量运营绩效和效率,最简单的计算公式是计算期内的净收入除以总投资。因此,它更像一个财务审查工具,而不是用于为董事会提供中立公正的观点。
D. 流程能力评估提供有关 IT 流程能力的重要信息,以满足预期目的。但是,它们回答“我们是否把事情做对了?”,不回答“我们是否在做正确的事情?”,因而不代表 IT 以及 IT BSC 的价值。
G1-39 一个大型跨国公司的子公司递交了一份不符合公司 IT 标准、与 IT 资产管理软件解决方案有关的投资方案。以下哪个委员会将决定是否允许这一例外情况?
A. 企业投资委员会
B. IT 风险管理委员会
C. IT 指导委员会
D. IT 架构审核委员会
D 是正确答案。
理由:
A. 企业投资委员会将基于众多参数考虑该投资请求,但通常只在 IT 架构审核委员会考虑架构例外的情况下这样做。
B. 相关方可能会咨询 IT 风险管理委员会以确定允许例外将给公认标准带来的风险,但 IT 风险管理委员会不会考虑架构例外请求。
C. IT 指导委员会协助执行管理层制定 IT 战略,并可将问题上报 IT 架构审核委员会,但这不是其核心职能。
D. IT 架构审核委员会通常将架构例外请求审查视为其职责的一部分,要么拒绝、要么批准或允许架构特许请求。
G1-40 以下哪一项推动 IT 治理?
A. 价值创造
B. 效益实现
C. 风险优化
D. 资源优化
A 是正确答案。
理由:
A. 当三个基本目标(效益实现、风险优化和资源优化)实现平衡时,价值创造是企业的主要治理目标。例如,治理可使 IT 与业务目标保持一致,并最大限度地提高投资价值。
B. 效益实现是治理目标之一,包括为企业带来新的效益、维持并扩大现有的效益形式,以及消除未创造足够价值的举措和资产。
C. 风险优化旨在平衡冒险和风险规避,这个治理目标的目的在于创造价值。
D. 资源优化是治理目标之一。它涉及有效、高效和负责任地使用所有资源—人力、资金、设备、设施等。资源优化是根据企业需求分配可用资源以实现既定目标的一套流程和方法,目的在于创造价值。
G1-41 以下哪个角色负责设计 IT 治理责任框架?
A. IT 战略委员会
B. 董事会
C. 执行管理层
D. IT 指导委员会
C 是正确答案。
理由:
A. IT 战略委员会是一个董事会级别的委员会,负责确保董事会参与重大 IT 事宜和决策,但并不负责设计责任框架。
B. 董事会负责 IT 治理框架的实施,但不负责设计责任框架。
C. 执行管理层负责执行战略,包括设计责任框架。
D. IT 指导委员会是执行管理层级别的委员会,它协助实现 IT 战略,监督 IT 服务交付和 IT 项目的日常管理,重点关注实施方面。
G1-42 以下哪一项好处是使用 IT 平衡计分卡 (BSC) 的最重要原因?
A. 与业务保持战略一致性。
B. 量化成本和效益。
C. 识别有形和无形效益。
D. 绩效衡量。
A 是正确答案。
理由:
A. 平衡计分卡 (BSC) 最初是作为一个绩效管理系统开发的,意在帮助企业推动其战略和评估。最近,BSC 已经被应用到 IT,并带来可关联到业务 BSC 的 IT BSC,以这种方式支持 IT/业务治理和一致性流程。
B. 成本和效益量化只能体现 IT 所带来价值中非常有限的一部分。
C. 有形和无形效益的识别包含在 BSC 中;但是,这仅是与业务保持战略性一致的流程的一部分。
D. 不太成功的投资可能显著影响企业底层的效益,而不是在企业高层提供效益。IT BSC 是衡量/管理组织绩效的一种方式,而绩效衡量是实现更有效管理的工具。绩效衡量的结果将告诉企业发生了什么,而不是为什么会发生,或该怎么处理。
G1-43 以下哪一项是良好治理实务的最佳指标?
A. IT 风险登记表得到良好维护。
B. IT 政策和程序得到良好维护。
C. 根据业务制定 IT 战略计划。
D. 董事会定期得到 IT 相关简报。
D 是正确答案。
理由:
A. 风险登记通过管理职能维护,只包含部分风险,并不代表 IT 的整体情况,治理所需的是 IT 整体情况。
B. IT 政策和程序的维护是董事会批准的管理职能。
C. IT 战略计划根据业务制定,并提交给董事会批准,被视为说明 IT 资源将如何支持企业战略目的(目标)的长期计划。
D. 对于由董事会执行的有效监控,定期向董事会汇报 IT 职能相关信息非常重要。这将为董事会提供评估和指导的机会。
G1-44 以下哪一项能够最有效减少组织变更的阻力?
A. 利益相关方持续参与。
B. 主动沟通。
C. 明确定义理想状态。
D. 定制员工培训。
A 是正确答案。
理由:
A. 不应该假定新的或修订的动力所涉及或者受此影响的各利益相关方将迅速接受和采纳变更。需要利益相关方的持续参与来解决变革被忽视和/或受阻的可能性,这有助于推动治理透明度流程。
B. 主动沟通是重要的动力,但靠其本身并无法减少变更所受的阻力,特别是当目标受众(利益相关方)尚未参与时。
C. 明确定义理想状态非常重要,但是如果没有利益相关方的持续参与,达到理想状态的阻力可能会一直存在。
D. 定制员工培训有助于根据目标受众的需求和喜好传达变更,但不如利益相关方的持续参与有效。
G1-45 以下哪一项是促使首席执行官 (CEO) 考虑高级别 IT 治理实务审查的最大导火索?
A. 缺乏存档记录的政策。
B. IT 没有标准化。
C. IT 举措实施失败。
D. 没有正式的系统开发生命周期 (SDLC) 方法。
C 是正确答案。
理由:
A. 政策是总体意图和方向,通常由管理层制定。缺乏存档记录的政策可能会导致 IT 举措失败,但是并不是促使审查 IT 治理实务的最大导火索。
B. IT 标准化是针对某个 IT 产品或流程的规范达成一致,同意在企业内反复一致使用的过程。标准化有助于重复性操作流程,这是首席信息官 (CIO) 的工作重点,而不是促使首席执行官 (CEO)考虑高级别审查的导火索。
C. 失败的 IT 举措是整个企业的成本推动因素,并影响业务流程及其自动化。如果 IT 举措实施失败,将对整个业务部门及其盈利能力产生重大影响。
D. 没有正式的系统开发生命周期 (SDLC) 方法并不是主要的导火索,但也可能导致 IT 举措实施失败。
G1-46 以下哪一项是实施企业 IT 治理框架的主要优势?
A. 针对 IT 相关举措建立和监控责任。
B. 通过增加 IT 投资降低 IT 相关风险。
C. 通过改进 IT 流程降低 IT 相关成本。
D. 通过 IT 指导委员会对 IT 进行集中控制。
A 是正确答案。
理由:
A. 定义企业战略和明确业务方向后,针对各种 IT 相关举措建立和监控责任至关重要。部署企业IT 治理框架可以实现这一点。
B. 降低 IT 相关风险只是建立和监控责任的一个元素。
C. 降低 IT 相关成本只是建立和监控责任的一个元素。
D. 通过 IT 指导委员会对 IT 进行集中控制可能是有益的;但这不是实施企业 IT 治理框架的主要目标。
G1-47 当一项新的 IT 治理政策获得批准时,最好:
A. 有独立主体签字。
B. 进行穿行测试演练。
C. 准备一个沟通计划。
D. 相应更新 IT 战略。
C 是正确答案。
理由:
A. 适当时,应在批准之前由外部主体签字同意。
B. 应在批准之前基于修订的政策进行穿行测试。
C. 如果一个文档(如政策)更新,在整个组织内传达这些变更是一个好做法。
D. 相关政策变更应纳入 IT 战略,且应包含在沟通计划中。
G1-48 以下哪一项是制定和管理企业 IT 战略的主要原因?
A. 它已经成为一个行业标准。
B. 它引导短期 IT 目标。
C. 它提高了 IT 服务的效率。
D. 它有助于提高商业价值。
D 是正确答案。
理由:
A. IT 是业务战略的一部分。
B. 短期 IT 目标将由 IT 战略中的长期目标确定。
C. 提高 IT 服务的效率是执行 IT 战略的一部分。
D. 企业 IT 战略必须与业务目标保持一致,即重视为利益相关方实现的价值。
G1-49 以下哪一项是树立信息安全治理意识的最好办法?
A. 高级管理层给予支持。
B. 确定数据所有权。
C. 确定需要保护的资产。
D. 颁发安全证书。
A 是正确答案。
理由:
A. 在企业内强化意识的最好办法是保证高级管理层给予支持。
B. 确定数据所有权是必要但不充分的条件,不足以确保树立信息安全治理意识。
C. 资产保护是一个运营机制,支持数据所有权。
D. 安全认证是一个运行机制,支持资产保护。
G1-50 某咨询公司对一家投资银行的客户交易系统进行了重新设计。投资银行要求该咨询公司对系统进行安全审查。从 IT 治理的角度看,以下哪一项是最佳考虑因素?
A. 确保敏感的客户数据安全保存在咨询公司。
B. 确保安全保证审查计划符合监管要求。
C. 确保职责分离 (SoD) 在咨询公司内落实。
D. 确保服务水平符合供应商尽责调查政策标准。
C 是正确答案。
理由:
A. 咨询公司需要安全保存敏感信息。只要敏感信息未离开咨询公司,不会造成严重后果。但是,这与利益冲突问题无关。
B. 安全保证审查计划必须符合监管要求,但相对在咨询公司内实施职责分离 (SoD) 来说,这是二级要求。
C. 如果实施和审查工作都由同一家供应商完成,必须慎重考虑。执行审查时,需要保障独立性。当同一家咨询公司既负责实施又负责审查时,可能需要检查 SoD 以维护审查结果的有效性。
D. 服务水平符合采购组织的供应商尽责调查政策是基本要求。但是,这与利益冲突问题无关。
试读结束[说明:试读内容隐藏了图片]