导图社区 信息系统项目管理师教程(第4版)第三章_信息系统治理
- 73
- 5
- 1
- 举报
信息系统项目管理师教程(第4版)第三章_信息系统治理
信息系统项目管理师第4版第3章的思维导图,主要讲了IT治理和IT审计,一起来看吧!
编辑于2023-04-23 18:48:33- 高项
- 信息系统项目管理师
- 信管
- 软考高级
- IT治理
- 相似推荐
- 大纲
信息系统治理
IT 治理
IT 治理基础
定义
IT 治理是描述组织采用有效的机制对信息技术和数据资源开发利用,平衡信息化发展和数字化转型过程中的风险,确保实现组织的战略目标的过程。
目标价值
1. 与业务目标一致
2. 有效利用信息与数据资源
3. 风险管理
管理层次
最高管理层 (董事会)
1. 证实 IT 战略与业务战略是否一致
2. 证实通过明确的期望和衡量手段交付 IT 价值
3. 指导 IT 战略、平衡支持组织当前和未来发展的投资
4. 指导信息和数据资源的分配
战略指导
执行管理层
1. 制定 IT 的目标,分析新技术的机遇和风险
2. 建设关键过程与核心竞争力
3. 分配责任、定义规程、衡量业绩
4. 管理风险和获得可靠保证
制定目标与计划、分配任务
业务及服务执行层 (基层)
1. 信息和数据服务的提供和支持
2. IT 基础设施的建设和维护
3. IT 需求的提出和响应
提供服务与支持
IT 治理体系
构成
目标
业务目与 IT 一致
执行者
IT 组织架构
做什么
决策、投资、风险、绩效、管理
怎么做
统筹、评估、指导、监督
检验治理效果
内外评价
五项关键决策
1. IT 原则
2. IT 架构
3. IT 基础设施
4. 业务应用需求
5. IT 投资和优先顺序
体系框架
是实现组织 IT 治理的有效保障
以组织的战略目标为导向,架起了组织战略与 IT 的桥梁,实现了 IT 风险的全面管理以及 IT 资源的合理利用
包括
1. IT 战略目标
针对 IT 与业务关系、 IT 决策、 IT 资源利用、 IT 风险控制等方面制定的目标
2. IT 治理组织
核心:治理机构(如 IT 治理委员会)的设置和权限划分
3. IT 治理机制
IT 治理决策机制、执行机制、风险控制机制、协调机制的综合体
4. IT 治理域
IT 信息系统的计划、构建、运维与监控等
5. IT 治标标准
组织实施 IT 治理最佳实现和对标依据
6. IT 绩效目标
关注 IT 价值的实现
核心
本质关心
实现 IT 的业务价值
通过 IT 与业务战略匹配来实现
IT 风险规避
通过在组织内部建立相关职责实现
内容
1. 组织职责
明确组织信息部门和业务部门之间的关系和责任
2. 战略匹配
组织的 IT 建设与组织战略相匹配
3. 资源管理
确保用户对组织的应用系统和基础设施都有良好的理解和应用
4. 价值交付
确保 IT 能够按照组织战略实现预期的业务价值
5. 风险管理
确保 IT 资产的安全和灾难的恢复、组织信息资源的安全以及人员的隐私安全,保护业务价值
6. 绩效管理
追踪和监视 IT 战略、 IT 项目的实施、信息资源的使用、 IT 服务的提供以及业务流程的绩效
机制经验
原则
简单
机制应该明确地定义特定个人和团体所承担的责任和目标
透明
机制如何工作是需要非常清晰的
适合
机制鼓励那些处于最佳位置的个人去制定特定的决策
IT 治理任务
主要内容
1. 全局统筹
统筹规划 IT 治理的目标范围、技术环境。发展趋势和人员责权利
2. 价值导向
价值导向包括基于实现有效收益,确保预期收益清晰理解,明确实现收益的问责机制
3. 机制保障
组织应对自身 IT 发展进行有效管控,保证 IT 与实现的协调发展,并使 IT 安全和风险得到有效的识别、管理、防范和处置
4. 创新发展
利用 IT 创新开拓业务领域,提升管理水平,改进质量、绩效和降低成本,确保实现战略目标的灵活性和对环境变化的适应性
5. 文化助推
组织与利益相关者沟通 IT 治理的目标、策略和职责,营造积极向上、沟通包容的组织文化
IT 治理 方法与标准
信息技术服务标准库( IT SS)
IT 治理系列标准
IT 治理通用要求 GB/T 34960.1
1. 建立组织的 IT 治理体系,并实施自我评价
2. 开展信息技术审计
3. 研发、选择和评价 IT 治理相关的软件或解决方案
4. 第三方对组织的 IT 治理能力进行评价
IT 治理实施指南 GB/T 34960.2
1. 建立组织的 IT 治理实施框架,明确实施方法和过程
2. 组织内部开展 IT 治理的实施
3. IT 治理相关软件或解决方案实施落地的指导
4. 第三方开展 IT 治理评价的指导
信息和技术治理框架(COB IT )
定义
COB IT 是面向整个组织的信息和技术治理及管理框架,由成立于1969年的美国信息系统审计与控制协会(ISACA)组织设计并编制的
治理和管理目标
治理目的
治理确保对利益干系人的需求、条件和选择方案进行评估,以确定全面均衡、达成共识的组织目标
通过确定优先等级和制定决策来设定方向
根据议定的方向和目标监控绩效与合规性
管理目的
按治理设定的方向计划、构建、运行和监控活动,以实现组织目标
管理目标的四个领域
1. 调整、规划和组织(APO)针对 IT 的整体组织、战略和支持活动
董事会和执行管理层负责
2. 内部构架、外部采购和实施(BAI)针对 IT 解决方案的定义、采购和实施以及它们到业务流程的整合
3. 交付、服务和支持(DSS)针对 IT 服务的运营交付和支持,包括安全
4. 监控、评价和评估(MEA)针对 IT 的 性能监控及其与内部性能目标、内部控制目标和外部要求的一致程度
高级和中级管理层的职责
治理系统
定义
为满足治理和管理目标,每个组织都需要建立、定制和维护由多个组件构成的治理系统
组件
1. 流程
2. 组织结构
3. 原则、政策和程序
4. 信息
5. 文化、道德和行为
6. 人员、技能和胜任能力
7. 服务、基础设施和应用程序
治理系统设计工作流程
了解组织环境和战略 Þ 确定治理系统的初步范围 Þ 优化治理系统的范围 Þ 最终确定治理系统的设计
可能会考排序题 了解 Þ 确定 Þ 优化 Þ 最终
IT 治理国际标准(ISO/IEC 38500)
指导原则
1. 责任
2. 战略
3. 收购
4. 性能
5. 一致性
6. 人的行为
主要任务
1. 评估
治理机构应审查和判断当前和未来的使用,包括计划、建议和供应安排(无论是内部、外部或两者兼有)
2. 指导
治理机构应负责战略和政策的编制和执行
3. 监督
治理机构应通过适当的测量系统来监测 IT 的表现
IT 审计
IT 审计基础
定义
审计目的
定义
通过开展 IT 审计工作,了解组织 IT 系统与 IT 活动的总体状况,对组织是否实现 IT 目标进行审查和评价,充分识别与评估相关 IT 风险,提出评价意见及改进建议,促进组织实现 IT 目标
组织的 IT 目标
1. 组织的 IT 战略应与业务战略保持一致
2. 保护信息资产的安全及数据的完整、可靠、有效
3. 提高信息系统的安全性、可靠性及有效性
4. 合理保证信息系统及其运用符合有关法律、法规及标准等的要求
审计范围
总体范围
需要根据审计目的和投入的审计成本来确定
组织范围
明确审计涉及的组织机构、主要流程、活动及人员等
物理范围
具体的物理地点与边界
逻辑范围
涉及的信息系统和逻辑边界
其他
审计人员
人员要求
职业道德
知识、技能、资格与经验
专业胜任能力
利用外部专家服务
审计风险
固有风险
外
含义
指 IT 活动不存在相关控制的情况下,易于导致重大错误的风险
每个系统客观存在的风险,如:黑客入侵
分类
IT 组织层面控制
一般控制
应用控制
特点
固有风险是 IT 活动本身所具有的,审计人员只能评估,却无法控制或影响它
固有风险的衡量是主观的、复杂的,不同的 IT 活动其固有风险水平不同
控制风险
内
含义
指与 IT 活动相关的内部控制体系不能及时预防或检查出存在的重大错误的风险
系统内部没有开发好、控制好而导致的风险
分类
IT 组织层面控制
一般控制
应用控制
特点
与内部控制制度执行的有效性有关,与审计无关,属于内部控制的范畴,审计人员只能评估其风险水平而不能对其实施控制和影响
其风险水平的衡量由于需要兼顾传统内部控制的思想和计算机系统管理的知识,因而较为复杂且难以准确计量
检查风险
审计人员
含义
指通过预定的审计程序未能发现重大、单个或与其他错误相结合的风险
影响检查风险的因素
由于 IT 审计规范不完善、审计人员自身或者技术原因等造成影响审计测试正确性的各种因素
总体风险
含义
指针对单个控制目标所产生的各类审计风险的总和
IT 审计 方法与技术
审计依据与准则
国际常用审计准则
信息系统审计准则(ISACA)
国际信息系统审计协会发布
《内部控制一整体框架》报告(COSO)
美国虚假财务报告委员会下属的发起人委员会报告
《萨班斯法案》(SOX)
美国政府出台的一部涉及会计职业监管、组织治理、证券市场监管等方面改革的重要法律
信息及相关技术控制目标(COB IT )
目前国际上通用的信息及相关技术控制规范
我国 IT 审计法律法规准则和标准
随便看看
法律法规
《中华人民共和国审计法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》
审计准则
《信息系统审计指南一一计算机审计实务公告第 34 号》、《第 2203 号内部审计具体准则——信息系统审计》
IT 审计国际标准
GB/T 34960.4《信息技术服务 治理 第4部分:审计导则》
组织内部控制
《组织内部控制基本规范》、《组织内部控制应用指引第18号一一信息系统》
行业规范
《商业银行信息科技风险管理指引》、《证券期货经营机构信息技术治理工作指引(试行)》、《保险公司信息化工作指引(试行)》
审计常用方法
访谈法
含义
是指通过访谈人和受访人面对面地交谈来了解被审计对象的信息。依据不同研究问题的性质、目的或对象,访谈法具有不同的形式
分类
结构型访谈
非结构型访谈
根据访谈进程的结构化程度分类
调查法
含义
是指为了达到预期目的,在制订调研计划的基础上,通过书面或口头回答问题的方式收集研究对象的相关资料,并做出分析、综合,得到某一结论的研究方法
目的
可能是全面把握当前状况,也可能是为了揭示存在的问题,弄清前因后果,以便为进一步的研究或决策提供观点和论据
检查法
含义
是指审计人员对被审计单位内部或外部生成的记录和文件(如纸质、电子或其他介质形式存在的资料)进行审查,或对资产进行实物审查
分类
审阅法
核对法
复算法
分析法
从技术层面上分类
观察法
含义
是审计人员到被审计单位的经营场所及其他有关场所进行实地察看,来证实审计事项的一种方法
应用
直接收集相关证据
对通过其他方法获得的审计证据进行补充,证实审计证据
应用场景
观察法可以比较准确地获得审计项目如何运行的信息,适用于正在进行中的审计事项
测试法
含义
通过测试来评估程序的质量是一项常用的审计技术,其基本原理是从计算机输入开始,跟踪某项业务直至计算机输出,以检验计算机应用程序、控制程序和系统可靠性。执行此类方法使用的是用于测试目的的业务数据,称之为测试数据
分类
白盒法
检测产品内部动作是否按照规格说明书的规定正常进行,按照程序内部的结构测试程序,检验程序中的每条通路是否都能按预定要求正确工作,主要用于软件验证
黑盒法
检查程序的功能是否符合它的需求规格说明
程序代码检查法
含义
是指对被审程序的指令逐条加以审查,以验证程序的合法性、完整性和程序逻辑的正确性
应用
使用代码静态扫描工具进行程序代码的检查
审计技术
风险评估技术
风险识别技术
用以识别可能影响一个或多个目标的不确定性
包括德尔菲法、头脑风暴法、检查表法、SWOT技术及图解技术等
风险分析技术
对风险影响和后果进行评价和估量
包括定性分析和定量分析
风险评价技术
是在风险分析的基础上,通过相应的指标体系和评价标准,对风险程度进行划分,以揭示影响成败的关键风险因素
包括单因素风险评价和总体风险评价
风险应对技术
IT 技术体系中为特定风险制定的应对技术方案
包括云计算、冗余链路、冗余资源、系统弹性伸缩、两地三中心灾备、业务熔断限流等
审计抽样技术
定义
是指审计人员在实施审计程序时,从审计对象总体中选取一定数量的样本进行测试,并根据测试结果,推断审计对象总体特征的一种方法
“总体”是指需要检查的全部事项 “样本”是用于测试总体的子集
适用场景
适用于时间及成本都不允许对既定总体中的所有交易或事件进行全面审计的场景
分类
统计抽样
采用客观的方法来确定样本量和样本抽取标准。统计抽样采用概率学原理,涉及计算样本量、抽取样本
评价样本结果并做出推断。利用统计抽样,审计人员可以量化描述样本与总体的接近程度(评价抽样精度)以及用百分比表示的样本能够代表总体的概念(可靠性或置信水平)。有效的统计抽样结果是量化的
方法
属性抽样
变量抽样
非统计抽样 (判断抽样)
采用审计人员判断来确定抽样方法、样本量(从总体中抽取的一定数量的事项以执行测试)及抽样标准(选择哪一些事项用于测试)
审查结果是基于审计人员对抽样事项或交易的重要性及风险的主观判断
计算机辅助审计技术 / 利用计算机审计 (Computer Assisted Audit Tools,CAAT)
指审计人员在审计过程和审计管理活动中,以计算机为工具来执行和完成某些审计程序和任务的一种新兴审计技术
CAAT是审计人员收集信息的重要工具,CAAT为针对既定的审计目标访问和分析数据提供了一种方法,并以系统记录的可靠性为重点报告审计发现。源信息可靠性是审计发现的保证基础
大数据审计技术
是指遵循大数据理念,运用大数据技术方法和工具,利用数量巨大、来源分散、格式多样的数据,开展跨层级、跨系统、跨部门和跨业务等的深入挖掘与分析,提升审计发现问题、评价判断、宏观分析的能力
包括
大数据智能分析技术
以各种高性能处理算法、智能搜索与挖掘算法等为主要研究内容。该技术强调计算机的计算能力和人工智能,如各类面向大数据的机器学习和数据挖掘方法等
大数据可视化分析技术
从人作为分析主体和需求主体的视角出发,强调基于人机交互的、符合人的认知规律的分析方法
大数据多数据源综合分析技术
术是对采集来的各行、各业、各类大数据,采用数据查询等常用方法或其他大数据技术方法进行相关数据的综合比对和关联分析,从而发现更多隐藏的审计线索的技术
审计证据
是底稿的一部分
定义
指由审计机构和审计人员获取,用于确定所审计实体或数据是否遵循既定标准或目标,形成审计结论的证明材料
特性
充分性
客观性
相关性
可靠性
合法性
审计底稿
定义
指审计人员对制订的审计计划、实施的审计程序、获取的相关审计证据,以及得出的审计结论做出的记录
审计工作底稿是审计证据的载体,是审计人员在审计过程中形成的审计工作记录和获取的资料
作用
是形成审计结论、发表审计意见的直接依据
是评价考核审计人员的主要依据
是审计质量控制与监督的基础
对未来审计业务具有参考备查作用
分类
综合类工作底稿
指审计人员在审计计划阶段和审计报告阶段,为规划、控制和总结整个审计工作并发表审计意见所形成的审计工作底稿
包括
审计业务约定书
审计计划
审计总结
审计报告
管理建议书
被审计单位管理当局声明书
审计人员对整个审计工作进行组织管理的所有记录和资料
业务类工作底稿
指审计人员在审计实施阶段为执行具体审计程序所形成的审计工作底稿
包括
符合性测试中形成的内部控制问题调查表和流程图
实质性测试中形成的项目明细表
备查类工作底稿
指审计人员在审计过程中形成对审计工作仅具有备查作用的审计工作底稿
备查类工作底稿应随被审计单位有关情况的变化而不断更新
备查类审计工作底稿是由被审计单位或第三者根据实际情况提供或代为编制,审计人员应认真审核,并对所取得的有关文件、资料标明其具体来源
IT 审计流程
定义
指审计人员在具体审计过程中采取的行动和步骤
作用
1. 有效地指导审计工作
2. 有利于提高审计工作效率
3. 有利于保证审计项目质量
4. 有利于规范审计工作
含义
狭义
指审计人员在取得审计证据、完成审计目标、得出审计结论过程中所采取的步骤和方法
具体
广义
指审计构和审计人员对审计项目从开始到结束的整个过程采取的系统性工作步骤
概括性
步骤
审计准备
IT 审计项目从计划开始,到发出审计通知书为止的期间,此阶段是整个审计过程的起点和基础
阶段工作
明确审计目的及任务
组建审计项目组
搜集相关信息
编制审计计划
审计实施
审计人员将项目审计计划付诸实施的期间,此阶段的工作是审计全过程的中心环节
阶段工作
深入调查并调整审计计划
了解并初步评估 IT 内部控制
进行符合性测试
进行实质性测试
审计终结
整理审计工作底稿、总结审计工作、编写审计报告、做出审计结论的期间
阶段工作
整理与复核审计工作底稿
整理审计证据
评价相关 IT 控制目标的实现
判断并报告审计发现
沟通审计结果
出具审报告
归档管理
后续审计
阶段工作
在审计报告发出后的一定时间内,审计人员为检查被审计单位对审计问题和建议是否已经采取了适当的纠正措施,并取得预期效果的跟踪审计
IT 审计内容
IT 审计业务和服务 通常分为两类
具体内容随便看看
IT 内部控制审计
组织层面 IT 控制审计
指对 IT 战略、组织、架构、业务连续性、风险管理、外包管理、网络与信息安全及监督管理等进行审计
IT 一般控制审计
针对与应用系统、数据库、操作系统、网络相关的策略和措施等进行审计
应用控制审计
指针对业务流程层面运行的人工或自动化程序进行审计,主要包括输入控制、处理控制和输出控制的审计
IT 专项审计
指根据当前面临的特殊风险或者需求开展的 IT 审计,审计范围为 IT 综合审计的某一个或几个部分
分类
信息系统生命周期审计
信息系统开发过程审计
信息系统运行维护审计
网络与信息安全审计
信息系统项目审计
数据审计