ISACA Certified in Governance of Enterprise IT (CGEIT) 註冊企業 IT 治理認證課程
課程簡稱：CGEIT Training Course

CGEIT 學習前後的價值轉變如下：

當前企業對 IT 治理的需求

隨著市場競爭加劇，企業要想在競爭激烈的營商環境中嶄露頭角、搶佔市場，除在產品上要持續不斷的創新與研發外，提供卓越的服務也是必須的，這樣才能讓企業成為市場領域的佼佼者。

而卓越的服務，除了有形的商品及售後服務外，還包括背後看不見的資訊科技 (Information Technology) 支援。

企業需要 IT 治理 (IT Governance)，是為了確保資訊科技 (IT) 能夠真正支持及推動企業的營運，並且能切實地邁向其業務目標，而不是成為一個失控、昂貴且充滿風險的部門。

您可以把 IT 治理想像成企業董事局對整個機構的治理模式，IT 治理的操作只專注於 IT 領域。以下是企業需要 IT 治理的幾個核心原因，以及它所解決的具體問題：

確保 IT 與業務策略一致 (Strategic Alignment)

如果沒有治理，IT 部門可能會追求技術上很新穎，但對企業營利或提升效率毫無幫助的專案。這會導致 IT 投資與企業的大方向脫節，變成「為了技術而技術」。

IT 治理可以幫助企業建立一個決策框架，確保每一個重大的 IT 決策 (例如：要購入新系統、要投資多少預算在雲端上等等) 都經過詳盡評估，並且能夠直接支持企業的策略目標，例如「提升客戶滿意度」、「降低營運成本」或「開拓新市場」。

實現價值交付 (Value Delivery)

企業在 IT 上投入大量的資金後，常常不清楚這些投資到底帶來了什麼回報。專案延期、超出預算、最終成果不符預期等問題層出不窮。

IT 治理可以幫助企業確保 IT 專案和服務能夠實現其承諾的商業價值。透過使用 IT 治理技巧來建立一套機制去定義、衡量和追蹤 IT 投資的效益，確保錢花得其所，並為企業帶來可衡量的回報。

有效管理風險 (Risk Management)

在這電子化時代，IT 風險就是業務風險。資料外洩、系統癱瘓、網路攻擊、不符合法規 (例如：GDPR，General Data Protection Regulation 通用數據保護條例) 等問題，都可能對企業造成毀滅性的打擊，包括財務損失和商譽受損。

IT 治理可以幫助建立一個全面的風險管理框架，主動識別、評估和應對 IT 相關的風險，並確保企業有適當的安全措施、備援計畫和合規流程，把潛在的威脅控制在可接受的範圍內。

優化資源運用 (Resource Optimization)

IT 資源 (包括人力、技術、基礎設施和數據) 是有限並昂貴的。

如果沒有統一的規劃，容易導致珍貴的資源被浪費，例如：不同部門重複購買功能相同的軟體及產品、伺服器使用率低下、關鍵人才流失等等。

IT 治理可以幫助企業確保所有 IT 資源得到最有效的分配和充份的利用。這包括對 IT 人力進行規劃、對技術架構進行標準化、以及對 IT 預算進行集中管理，以發揮最大的效益。

衡量績效與持續改進 (Performance Measurement)

如果沒有客觀的衡量標準，就很難判斷 IT 部門的表現是好是壞。IT 團隊可能會覺得自己很繁忙，但業務部門卻覺得 IT 團隊提供的服務很差。

此時，企業便應該運用 IT 治理的技巧，來建立一套清晰的關鍵績效指標 (KPI, Key Performance Indicator)，以監控和評估 IT 部門的服務表現，例如系統的正常運行時間、問題解決的速度、專案的完成率等。透過這些數據，企業可以了解 IT 部門的運作成效，並找到持續改進的方向。

總而言之，IT 治理不是要用官僚程序來束縛 IT，而是要建立一套「遊戲規則」，讓 IT 的運作更加透明、可控且高效。

IT 治理將 IT 從一個單純的技術支援部門，提升為一個能夠驅動企業創新和成長的策略夥伴。對於任何依賴科技來運作的現代企業而言，良好的 IT 治理都是不可或缺的成功基石。

ISACA 提供的 CGEIT (Certified in the Governance of Enterprise IT) 認證是專為在企業中擔任重要職務，並負責管理、建議或實踐 IT 治理的專業人士而設。

此認證證明了您具備利用治理原則和實踐來實現企業策略目標，並有效管理 IT 資源與風險的能力。考試內容涵蓋了從建立治理框架到實現業務效益，以至優化風險及持續改進的整個 IT 治理生命週期。

以下是 CGEIT 考試的 4 個工作實務領域 (Domain) 及其涵蓋的主題：

Domain 1：企業 IT 治理 (Governance of Enterprise IT)

此領域專注於建立和維護一個支持企業策略目標的 IT 治理框架。

• 治理框架 (Governance Framework)|
  確保定義、建立和維護一個符合企業目標和策略的 IT 治理框架，將 IT 治理框架與企業治理框架對接，並且建立和維護有效的治理支持活動。
  
  
• 策略校準 (Strategic Alignment)
  確保 IT 策略目標與企業目標一致，並確保 IT 服務和營運能支持企業的當前和未來需求。
  
  
• 決策制定 (Decision Making)
  建立正式的決策制定結構和流程，定義角色、職責和問責制。
  
  
• IT 治理的監督與報告 (Oversight and Reporting)
  監督和評估 IT 治理的績效，並向主要利害關係人 (如股東) 報告 IT 治理的狀態。

Domain 2：IT 資源 (IT Resources)

此領域涵蓋了對 IT 資源 (包括人員、流程、技術和資訊) 的策略性管理，以確保其能夠支持企業目標。

• IT 資源規劃 (IT Resource Planning)
  評估當前和未來的 IT 資源需求，以滿足企業的策略目標及確保 IT 資源的可用性、永續性和有效性。

• IT 資源最佳化 (IT Resource Optimization)
  管理和優化 IT 資源，從而實現最大化的回報。

• 確保 IT 資源的有效利用。
  架構 IT 資源生命週期管理 (IT Resource Lifecycle Management)、建立和維護 IT 資源的採購、開發、使用和退役流程。

Domain 3：效益實現 (Benefits Realization)

此領域專注於確保 IT 投資能夠創造可衡量的業務價值，並為企業帶來預期的效益。

• 效益實現框架 (Benefits Realization Framework)
  建立和維護一個用於定義、衡量和報告 IT 投資價值的框架。
  

• 業務案例 (Business Case)
  確保每項 IT 投資都有一個健全的業務案例，明確定義預期效益。
  

• IT 績效與效益監控 (IT Performance and Benefits Monitoring)
  監控和報告 IT 投資的績效，並確保實現預期的業務效益。

• 效益生命週期管理 (Benefits Lifecycle Management)
  管理從設計到實現，再到退役的整個效益生命週期。

Domain 4：風險最佳化 (Risk Optimization)

此領域涉及識別、評估和管理 IT 相關風險，以確保風險水平在企業可接受的範圍內。

• 風險策略 (Risk Strategy)
  確保 IT 風險管理與企業的風險管理框架和風險偏好一致。風險偏好是指企業面對不確定性時，願意接受的風險程度和態度。
  

• 風險識別與評估 (Risk Identification and Assessment)
  識別和評估與 IT 相關的業務風險。
  

• 風險應對與緩解 (Risk Response and Mitigation)
  確保 IT 風險得到適當的管理和緩解。
  

• 風險監控與報告 (Risk Monitoring and Reporting)
  監控和報告 IT 風險狀況，並向主要利害關係人通報。

ISACA^® 成立於 1969 年，多年來不斷參與各項系統確認性與安全、企業資訊治理及資訊風險的活動，口碑載譽。

學習 CGEIT 不僅僅是獲得一張證書，更是對您個人職業生涯的一項高回報策略投資。它將徹底改變您在企業中的定位，從一個技術執行者，轉化為影響企業戰略的核心領導者。

以下是 CGEIT 能為您帶來的四大核心價值提升：

i) 晉升更高階的管理職位，突破職業天花板

正如許多資深 IT 人在晉升到一定階段後，都會遇到「職業生涯的樽頸」。您雖然技術精湛，但因缺乏全局的商業視野和管理語言，難以進入 CIO、IT 總監，甚至董事會層級的核心決策圈。

CGEIT 認證課程所提供的知識正是打通這條晉升通道的關鍵鑰匙。它證明您不僅懂技術，更懂得如何從企業營運的角度去管理 IT。

這讓您成為 CIO、CISO、IT 治理總監、企業架構主管等高階職位的理想人選，因為這些職位最需要的就是能夠連接 IT 與業務的綜合型人才。

ii) 掌握與董事局溝通的語言，提升您的策略影響力

當您向高層匯報工作時，您是否也常常陷入技術細節的解釋，無法讓他們理解 IT 投資的真正商業價值?

您的提案是否很難獲得足夠的預算和支持？因而 IT 部門也常常被視為一個「花錢的成本中心」？

CGEIT 教會您如何使用商業語言 (例如: 效益、風險、投資回報率 ROI) 來闡明 IT 的價值。

您將學會：
- 創造令人信服的商業案例 (Business Case)：清晰地論證 IT 投資如何支持營收增長、降低成本或開拓市場。
- 量化 IT 的貢獻：透過平衡計分卡等工具，將 IT 績效與企業的財務指標和營運目標掛鉤。
- 闡明 IT 風險的業務影響：讓管理層明白 IT 風險就是業務風險，必須進行策略性管理。

您將不再只是一個技術支援者，而是高層所信賴的策略夥伴 (Strategic Partner)，您的意見將在企業重大決策中佔有舉足輕重的地位！

iii) 獲得駕馭全局的「上帝視角」，成為不可或缺的問題解決者

您作為一個 IT 人，日常工作常常是「頭痛醫頭、腳痛醫腳」來處理各種突發的技術問題，缺乏一個系統性的框架來預防問題、優化資源。

CGEIT 為您提供了一個宏觀的治理框架，讓您擁有駕馭整個 IT 生態系統的「上帝視角」。

您將能夠：
- 系統性地優化 IT 資源：知道如何將有限的人力、財力和技術資源，配置在能創造最大價值的地方。
- 主動管理而非被動應對風險：建立風險管理體系，在潛在威脅造成重大損失前就將其化解。
- 確保 IT 投資的每一分錢都產生效益：建立從投資決策到效益實現的全生命週期管理流程。

您將從「救火隊員」轉化為高瞻遠矚的「總設計師」，您的價值體現在為企業建立一個穩定、高效且能持續創造價值的 IT 體系。

iv) 在數位轉型浪潮中，成為引領變革的核心人才

雲端運算、大數據、AI 等新技術層出不窮，企業在推動數位轉型 (Digital Transformation) 時，常常因為缺乏頂層設計而陷入混亂，導致專案失敗或效益不彰。

數位轉型的本質是業務轉型，而 IT 治理是其成功的基石。CGEIT 的知識將讓您成為轉型過程中的核心人物，因為您將會懂得：
- 如何確保新技術的引入與企業的長遠戰略保持一致。
- 如何管理轉型過程中產生的新風險。
- 如何設計新的組織架構和流程，以最大化新技術帶來的效益。

在所有企業都高喊數位轉型的時代，您將是那個能夠確保轉型不會偏離軌道、真正落地見效的關鍵人物，成為 CGEIT，您的身價自然水漲船高。

如果您不想只停留在技術層面，而是渴望在更高的層次上影響企業的成敗，CGEIT 就是您實現這一目標的最直接途徑！

本中心為 PSI 指定的 CGEIT 考試試場，導師會在課堂上講解考試程序。考試費用如下：

ISACA Member: US $575
ISACA Nonmember: US $760

通過考試後，同學需要在 5 年期限內申請認證及:

• 擁有 5 年的管理、擔任諮詢或監督角色和/或支援企業 IT 相關貢獻的治理經驗; 及 其中最少有 1 年相關 Domain 1 企業 IT 治理 (Governance of Enterprise IT) 的工作經驗; 及 其中最少有任何 2 項 Domain 2 至 Domain 4 的直接工作經驗; 並於申請 CGEIT 時由您的主管簽署核實
• 同意遵守國際電腦稽核協會所採用的「電腦稽核標準」
• 同意遵守「國際電腦稽核師持續專業進修政策」(CPE)

完成上述要求後，便能成為 CGEIT。

1. Domain 1: Governance of Enterprise IT
1.1 Governance Framework
1.1.1 Components of a Governance Framework
1.1.1.1 Enterprise Governance
1.1.1.2 Governance of Enterprise IT Arrangements
1.1.1.3 Governance and Management Roles, Activities and Relationships
1.1.1.4 Business Drivers Related to IT Governance
1.1.1.5 Components of the Governance System
1.1.2 Organization Structures, Roles, and Responsibilities
1.1.2.1 IT Steering Committee
1.1.2.2 Structures as a Basis to Build RACI Charts
1.1.3 Strategy Development
1.1.3.1 Enterprise Goal Categories
1.1.3.2 Objective Setting
1.1.3.3 Strategic Alignment Model
1.1.3.4 Impact of Changes in Business Strategy on IT Strategy
1.1.3.5 Methods for Strategy Development
1.1.4 Legal and Regulatory Compliance
1.1.4.1 Governance, Risk and Compliance
1.1.5 Organizational Culture
1.1.5.1 Change Enablement
1.1.6 Business Ethics
1.2 Technology Governance
1.2.1 Governance Strategy Alignment with Enterprise Objectives
1.2.1.1 Barriers to Achieving Strategic Alignment
1.2.1.2 IT Governance Monitoring Processes/Mechanisms
1.2.2 Strategic Planning Process
1.2.2.1 The COBIT Goals Cascade and Strategic Planning
1.2.2.2 Methods to Document and Communicate IT Strategic Planning Processes
1.2.2.3 Continuous Improvement Techniques and Processes
1.2.3 Stakeholder Analysis and Engagement
1.2.3.1 Illustrating and Quantifying the IT Strategy
1.2.3.2 Continuous Communication
1.2.3.3 Focus on Explanation and Training
1.2.3.4 Using a Participatory Style of Decision-making Process
1.2.3.5 Mastering the Operational Art
1.2.3.6 Risk Considerations at the CIO Level
1.2.3.7 Stakeholder Reporting Processes/Mechanisms
1.2.4 Communication and Awareness Strategy
1.2.4.1 Importance of Communication and Marketing
1.2.4.2 Communication Strategy and Plan
1.2.4.3 Content of Governance of Enterprise IT Communication Related to Risk
1.2.5 Enterprise Architecture
1.2.5.1 Understanding Enterprise Architecture
1.2.5.2 Components of Enterprise Architecture
1.2.5.3 Layers of Enterprise Architecture
1.2.5.4 Enterprise Architecture and Agile Organizations
1.2.5.5 Service-Oriented Architecture
1.2.5.6 Microservices Architecture
1.2.5.7 Current and Future Technologies
1.2.6 Policies and Standards
1.2.6.1 IT Governance Industry Practices, Standards and Frameworks
1.2.6.2 Policies and Procedures Necessary To Support IT and Business Strategic Alignment
1.3 Information Governance
1.3.1 Information Architecture
1.3.1.1 Enterprise Information Security Architecture
1.3.1.2 Objectives of Information Security Architectures
1.3.1.3 Data Governance
1.3.2 Information Asset Life Cycle
1.3.2.1 The Information Life Cycle and Model
1.3.2.2 Data Life Cycle
1.3.2.3 IT Asset Management
1.3.3 Information Ownership and Stewardship
1.3.3.1 Roles Related to Data Ownership
1.3.3.2 Data Stewardship
1.3.4 Information Classification and Handling
1.3.4.1 Data Privacy and Regulations
1.3.4.2 Methods for Determining Data Sensitivity and Criticality

2. Domain 2: IT Resources
2.1 IT Resource Planning
2.1.1 Sourcing Strategies
2.1.1.1 Outsourcing
2.1.1.2 Cloud Computing
2.1.1.3 Insourcing
2.1.1.4 Hybrid
2.1.1.5 Sourcing Approach
2.1.1.6 Sourcing Strategy Approval
2.1.2 Resource Capacity Planning
2.1.2.1 Demand Management
2.1.2.2 Availability Management
2.1.2.3 Capacity Management
2.1.3 Acquisition of Resources
2.1.3.1 IT Demand and Supply
2.1.3.2 Human Capital
2.1.3.3 Hardware/Software Acquisition Process
2.1.3.4 Resource Acquisition and Outsourcing
2.2 IT Resource Optimization
2.2.1 IT Resource Life Cycle and Asset Management
2.2.1.1 Outsourcing Life Cycle Model
2.2.1.2 Asset Management Practices and Activities
2.2.2 Human Resource Competency Assessment and Development
2.2.2.1 The Objective of Human Resource Management
2.2.2.2 Human Resource Management and IT Personnel
2.2.2.3 Human Resource Management Process Practices and Activities
2.2.3 Management of Contracted Services and Relationships
2.2.3.1 Outsourcing Responsibilities
2.2.3.2 Outsourcing Stakeholders
2.2.3.3 Vendor Management
2.2.3.4 Contract Provisions
2.2.3.5 Service Level Management
2.2.3.6 Third-Party Service Delivery Management

3. Domain 3: Benefits Realization
3.1 IT Performance and Oversight
3.1.1 Performance Management
3.1.2 Change Management
3.1.3 Governance Monitoring and Reporting
3.1.3.1 Balanced Scorecard
3.1.3.2 SMART Metrics
3.1.4 Quality Assurance
3.1.4.1 Assurance Methodologies and Techniques
3.1.4.2 Total Quality Management
3.1.5 Process Development and Improvement
3.1.5.1 Processes
3.1.5.2 Plan-Do-Check-Act
3.1.5.3 Six Sigma
3.2 Management of IT-Enabled Investments
3.2.1 Business Case Development and Evaluation
3.2.2 IT Investment Management and Reporting
3.2.2.1 Portfolio Management
3.2.2.2 Program and Project Management
3.2.3 Performance Metrics
3.2.3.1 Objectives and Key Results
3.2.3.2 Key Performance Indicators
3.2.3.3 Critical Success Factors
3.2.4 Benefit Evaluation Methods
3.2.4.1 Financially Oriented Cost-benefit Techniques
3.2.4.2 Non-financially Oriented Cost-benefit Techniques
3.2.4.3 The Goals Cascade

4. Domain 4: Risk Optimization
4.1 Risk Strategy
4.1.1 Risk Frameworks and Standards
4.1.1.1 Risk IT Framework
4.1.1.2 COBIT 5 for Risk
4.1.1.3 COSO ERM Framework
4.1.1.4 ISO 31000:2018
4.1.1.5 OCTAVE
4.1.1.6 Other Risk Management Standards and Frameworks
4.1.2 Enterprise Risk Management
4.1.2.1 Risk Hierarchy
4.1.2.2 The Relationship of the Risk Management Approach to Legal and Regulatory Compliance
4.1.2.3 Methods to Align IT and Enterprise Risk Management
4.1.2.4 Three Lines of Defense
4.1.3 Risk Appetite and Risk Tolerance
4.1.3.1 Risk Appetite
4.1.3.2 Risk Tolerance
4.1.3.3 Process to Determine Risk Appetite
4.2 Risk Management
4.2.1 IT-enabled Capabilities, Processes, and Services
4.2.1.1 The Relationship of the Risk Management Approach to Business Resiliency
4.2.2 Business Risk, Exposures, and Threats
4.2.2.1 Risk Categories
4.2.2.2 Risk Scenarios
4.2.2.3 Opportunities and Risk
4.2.2.4 Types of Business Risk, Exposures, and Threats That Can Be Addressed Using IT Resources
4.2.3 Risk Management Life Cycle
4.2.3.1 IT Risk Analytics, Monitoring, and Reporting
4.2.3.2 Risk Management Information System
4.2.3.3 Locked-down Operations
4.2.3.4 Decision Support, Risk Analytics, and Reporting
4.2.3.5 Risk Response Strategies Related to IT in the Enterprise
4.2.3.6 Methods to Establish Key Risk Indicators
4.2.3.7 Methods to Monitor Effectiveness of Response Strategies and/or Controls
4.2.3.8 Segregation of Duties
4.2.3.9 Stakeholder Analysis and Communication Techniques
4.2.3.10 Methods to Track, Manage, and Report the Status of Identified Risk
4.2.4 Risk Assessment Methods
4.2.4.1 Qualitative Risk Assessment
4.2.4.2 Quantitative Risk Assessment
4.2.4.3 Combining Qualitative and Quantitative Methods
4.2.4.4 Practical Guidance on Analyzing Risk