信息系统项目管理师(高项)--学习笔记【第3章:信息系统治理】

第3章 信息系统治理

3.1 IT治理

3.1.1IT治理基础

• 作用：以组织战略为导向、实现IT与业务匹配为重心、以价值交付为成果、以绩效管理为控制手段
• IT治理目标：与业务目标一致、有效利用信息与数据资源、风险管理
• IT治理管理层次：最高管理层、 执行管理层、业务与服务执行层

3.1.2IT治理体系

• IT治理核心：关注IT定位和信息化建设与数字化转型的责权划分
• 5项关键决策：IT原则、IT架构、IT基础设施、业务应用需求、IT投资和优先顺序
• 治理体系框架：IT战略目标、IT治理组织、IT治理机制、IT治理域、IT治理标准、IT绩效目标等
• 关心：实现IT的业务价值、IT风险的规避
• 核心内容：组织职责、战略匹配、资源管理、价值交付、风险管理和绩效管理
• 治理原则：简单、透明、适合

3.1.3IT治理任务

• 任务聚焦5方面：全局统筹、价值导向、机制保障、创新发展、文化助推

3.1.4IT治理方法与标准

• 治理标准
  • 信息技术服务标准库（ITSS）中的IT治理系列标准
    • IT治理通用要求-GB/T34960.1（信息技术服务治理第1部分：通用要求）:信息技术顶层设计、管理体系、资源
    • IT治理实施指南-GB/T34960.2（信息技术服务治理第2部分：实施指南）：治理的实施环境、实施过程、治理域
  • 信息和技术治理框架（COBIT）
    • 信息和技术治理框架-COBIT：调整规划和组织APO、内部构建外部采购和实施BAI、交付服务和支持DSS、监控评价和评估MEA
  • IT治理国际标准（ISO/IEC38500）
    • ISO/IEC正式发布IT治理标准ISO/IEC38500：评估、指导、和监督
• 治理系统组件：流程、组织结构、原则政策和程序、信息、文化道德和行为、人员技能和胜任力、服务基础设置和应用程序
• 设计因素：组织战略、组织目标、风险概况、IT相关问题、威胁环境、合规性要求、IT角色、IT采购模式、IT实施方法、技术采用战略、组织规模和未来因素

3.2 IT审计

3.2.1IT审计基础

• 目的：了解总体状况、审查和评价目标、识别与评估风险、提出意见和建议‘、促进组织实现目标
• IT目标：IT战略与业务战略一致、信息资产安全及数据完整可靠有效、提高安全性可靠性有效性、符合法律法规标准等
• IT审计范围：
  • 总体范围（根据审批目的和审计投入的成本确定）
  • 组织范围（组织、流程、活动和人员）
  • 物理范围（物理地点与边界）
  • 逻辑范围（信息系统和逻辑边界）
• IT审计风险（也描述可接受的风险水平）：
  • 固有风险（IT本身所有只能评估无法控制和影响）
  • 控制风险（内部控制体系不能及时预防和检查出的，与制度执行有关与审计无关，只能评估无法控制和影响）
  • 检查风险（审计程序未能发现的）
  • 总体审计风险（单个目标各类审计风险总和）

3.2.2IT审计方法与技术

• IT审计方法：访谈法（结构型和非结构型）、调查法（书面或口头）、检查法（审阅、核对、复算、分析）、观察法（实地查看）、测试法（常用、黑盒、白盒）、程序代码检查法（如静态代码扫描工具）
• IT审计技术：
  • 风险评估技术（识别、分析、评价、应对）
  • 审计抽样技术（统计抽样：属性抽样、变量抽样；非统计抽样：判断抽样）
  • 计算机辅助审计技术（通用审计软件GAS、测试数据、使用工具软件、专家系统等）
  • 大数据审计技术（大数据智能分析技术、大数据可视化分析技术、大数据多数据源综合分析技术）
• 审计证据
  • 定义：确定所审计实体或数据是否遵循既定标准或目标，形成审计结论的证明材料。是审计意见的支柱，是审计人员形成审计结论的基础
  • 特征：充分性、客观性、相关性、可靠性、合法性
• 审计工作底稿
  • 定义：审计流程工作记录
  • 作用：是形成审计结论、发表审计意见的直接依据，是评价考核审计人员的主要依据，是审计质量控制与监督的基础，对未来审计业务具有参考备查作用
  • 分类
    • 综合类工作底稿（计划和报告阶段、规划控制总结）：审计业务约定书、审计计划、审计总结、审计报告、管理建议书等记录或材料
    • 业务类工作底稿（实施阶段）：调查表、流程图、明细表
    • 备查类工作底稿 （审计过程中备查作用、不断更新、被审计或第三方编制审计人员审核）
  • 三级复核制度：审计机构负责人、部门负责人和项目负责人（或项目经理）为复核人
  • 管理机构：档案管理部门

3.2.3审计流程

• 作用：指导审计工作、提高审计工作效率、保证审计项目质量、规范审计工作
• 4阶段：审计准备（计划->发出审计通知书）、审计实施（付诸实施）、审计终结（整理、总结、报告、做出结论、归档）、后续审计（检查、跟踪审计、报告）

3.2.4审计内容

• IT审计业务和服务
  • IT内部控制审计：组织层面控制、一般控制、应用控制
  • IT专项审计：范围为综合审计的某一个或几个部分