导图社区 第3章 信息系统治理 2023年 第4版
- 123
- 2
- 1
- 举报
第3章 信息系统治理 2023年 第4版
信息系统治理(IT治理)是组织开展信息技术及其应用活动的重要管控手段,也是组织治理的重要组成部分,尤其在以数字化发展为重要关注点的新时代,组织的数字化转型和组织建设过程中,IT治理起到重要的统筹、评估、指导和监督作用。信息技术审计(IT审计)作为与IT治理配套的组织管控手段,是IT治理不可或缺的评估和监督工具,重点承担着组织信息系统发展的合规性检测以及信息技术风险的管控等职能。
编辑于2023-04-29 19:34:52 云南- 信息系统项目管理师
- 相似推荐
- 大纲
第3章 信息系统治理 2023年 第4版
信息系统治理(IT治理)是组织开展信息技术及其应用活动的重要管控手段,也是组织治理的重要组成部分,尤其在以数字化发展为重要关注点的新时代,组织的数字化转型和组织建设过程中,IT治理起到重要的统筹、评估、指导和监督作用。信息技术审计(IT审计)作为与IT治理配套的组织管控手段,是IT治理不可或缺的评估和监督工具,重点承担着组织信息系统发展的合规性检测以及信息技术风险的管控等职能。
3.1 IT治理
新时代的信息技术与各领域发展进入到了深度融合的发展新阶段,成为各类组织实现治理体系与能力现代化,构建敏捷运行管理体系,打造高质量的生产与服务系统,洞察社会与市场变化等高质量发展的必要过程。 IT治理是一种组织的管理实践,旨在保证企业的信息技术(IT)系统在实现业务功能的同时,满足法律、合规和安全要求。它包括制定政策、规程和流程,以确保IT系统的可靠性、有效性和适应性,并确保信息安全、风险管理和合规性。 IT治理的目标是确保企业信息系统的可靠性、透明度和合规性,在维护业务连续性的同时,为企业利益相关者创造价值。它需要跨职能团队的紧密协作、高效沟通和完善的风险管理。 IT治理的实践通常涉及以下方面: 1. IT治理框架:制定指导企业的IT治理框架,例如COBIT、ITIL和ISO 20000等。 2. 流程管理:确保IT流程的有效性和适应性,并与业务流程紧密协调。 3. 决策权与责任:确保IT决策权的明确分配和责任的界定,并制定相关的监督和评估机制。 4. 信息安全:实施信息安全管理措施,确保信息安全的机密性、完整性和可用性。 5. 业务连续性和灾备计划:制定业务连续性和灾备计划,并进行定期的演练和测试。 6. 风险管理:了解和管理IT风险,制定相应的风险管理策略并进行有效的风险评估。 综上所述,IT治理是一个复杂的管理实践,要求企业全面思考IT系统的策略策略,制定明确的规程和流程,以确保IT系统的高效、安全、合规和可靠性。
3.1.1 IT治理基础
IT治理是描述组织釆用有效的机制对信息技术和数据资源开发利用,平衡信息化发展和数字化转型过程中的风险,确保实现组织的战略目标的过程。
IT治理所关注的问题 组织如何从其信息系统投资中获得真正的价值; 如何将信息技术战略与组织战略相融合; 如何从组织治理的高度,对组织数字化能力做出制度安排; 如何从战略投资、组织管理变革的角度,降低IT的风险; 如何利用国内外信息技术开发利用的最佳实践和重要成果,加快组织的信息化、数字化工作推进等。
1. 驱动组织开展高质量IT治理因素包括: ①良好的IT治理能够确保组织IT投资有效性; ②IT属于知识高度密集型领域,其价值发挥的弹性较大; ③IT已经融入组织管理、运行、生产和交付等各领域中,成为各领域高质量发展的重要基础; ④信息技术的发展演进以及新兴信息技术的引入,可为组织提供大量新的发展空间和业务机会等; ⑤IT治理能够推动组织充分理解IT价值,从而促进IT价值挖掘和融合利用; ⑥IT价值不仅仅取决于好的技术,也需要良好的价值管理,场景化的业务融合应用; ⑦高级管理层的管理幅度有限,无法深入到IT每项管理当中,需要采用明确责权利和清晰管理去确保IT价值; ⑧成熟度较高的组织以不同的方式治理IT,获得了领域或行业领先的业务发展效果。
IT治理的内涵主要体现在5个方面: ① IT治理作为组织上层管理的一个有机组成部分,由组织治理层或高级管理层负责,从组织全局的高度上对组织信息化与数字化转型做出制度安排,体现了治理层和最高管理层对信息相关活动的关注; ② IT治理强调数字目标与组织战略目标保持一致,通过对IT的综合开发利用,为组织战略规划提供技术或控制方面的支持,以保证相关建设能够真正落实并贯彻组织业务战略和目标; ③ IT治理保护利益相关者的权益,对风险进行有效管理,合理利用IT资源,平衡成本和收益,确保信息系统应用有效、及时地满足需求,并获得期望的收益,增强组织的核心竞争力; ④ IT治理是一种制度和机制,主要涉及管理和制衡信息系统与业务战略匹配、信息系统建设投资、信息系统安全和信息系统绩效评价等方面的内容; ⑤ IT治理的组成部分包括管理层、组织结构、制度、流程、人员、技术等多个方面,共同构建完善的IT治理架构,达到数字战略和支持组织的目标。
2. IT治理的目标价值
IT治理主要目标包括:与业务目标一致、有效利用信息与数据资源、风险管理。
3. IT治理的管理层次
IT治理要保证总体战略目标能够从上而下贯彻执行,治理层主要集中在最高管理层(如董事会)和管理执行层。
管理层次大致可分为三层:最高管理层、执行管理层、业务与服务执行层。
最高管理层的主要职责包括:证实IT战略与业务战略是否一致;证实通过明确的期望和衡量手段交付IT价值;指导IT战略、平衡支持组织当前和未来发展的投资;指导信息和数据资源的分配。 执行管理层的主要职责包括:制定IT的目标;分析新技术的机遇和风险;建设关键过程与核心竞争力;分配责任、定义规程、衡量业绩;管理风险和获得可靠保证等。 业务及服务执行层的主要职责包括:信息和数据服务的提供和支持;IT基础设施的建设和维护;IT需求的提出和响应。
3.1.2 IT治理体系
IT治理的核心:关注IT定位和信息化建设与数字化转型的责权利划分
IT治理体系的具体构成包括 IT定位:IT应用的期望行为与业务目标一致; IT治理架构:业务和IT在治理委员会中的构成、组织IT与各分支机构的IT权责边界等; IT治理内容;投资、风险、绩效、标准和规范等; IT治理流程:统筹、评估、指导、监督; IT治理效果(内外评价)等。
1. IT治理的关键决策
有效的IT治理必须关注五项关键决策: IT原则、IT架构、IT基础设施、业务应用需求、IT投资和优先顺序。
IT原则驱动着IT整体架构的形成,而IT整体架构又决定了基础设施,这种基础设施所确定的能力又决定着基于业务需求应用的构建,最后,IT投资和优先顺序必须为IT原则、整体架构、基础设施和应用需求所驱动。 然而,这些决策中又有独特问题,即IT治理需要确定每个决策由谁来负责输入,以及由谁来负责做出决策。
IT决策过程中,需要关注各类关键问题
2. IT治理体系框架
IT治理体系框架具体包括:IT战略目标、IT治理组织、IT治理机制、IT治理域、IT治理标准和IT绩效目标。
(1)IT战略目标。IT战略目标是指为实现IT价值和目标,使组织从IT投入中获得最大收益,而针対IT与业务关系、IT决策、IT资源利用、IT风险控制等方面制定的目标。 (2)IT治理组织。IT治理组织是界定组织中各相关主体在各自方面的治理范围、责权利及其相互关系的准则,它的核心是治理机构(如IT治理委员会等)的设置和权限的划分。各治理机构职权的分配以及各机构间的相互协调,它的强弱直接影响到治理的效率和效能,对IT治理效率起着决定性的作用。 (3)IT治理机制。IT治理机制是IT治理决策机制、执行机制、风险控制机制、协调机制的综合体,各机制之间是相辅相成、相互促进的关系。有效的决策机制能保障IT决策与组织的业绩目标和战略目标相匹配;有效的执行机制能保证IT治理的良好运作,有效的风险控制机制能降低IT活动的风险,实现信息技术开发利用的价值效益;有效的协调机制能有力地发挥IT治理的协调效应。 (4)IT治理域。IT治理域是在IT治理的规则之下,对组织的IT资源进行整合与配置,根据IT目标所釆取的行动。以科学、规范的做法交付面向业务的高质量IT服务,确保信息化“高效做事情”、数字化“敏捷的决策”。IT治理域内容包括IT信息系统的计划、构建、运维与监控等。 (5)IT治理标准。IT治理标准包括IT治理基本规范、IT治理实施参照、IT治理评价体系和IT治理审计方法等方面,作为组织实施IT治理最佳实践和对标依据。 (6)IT绩效目标。IT绩效目标关注IT价值的实现,评价IT规划与IT构建过程中是否满足业务需求以及构建过程中的工期、成本、质量是否达到目标。
3. IT治理核心內容
IT治理本质上关心: ① 实现IT的业务价值;② IT风险的规避
IT治理的核心内容包括六个方面: 组织职责、战略匹配、资源管理、价值交付、风险管理、绩效管理。
(1)组织职责。组织职责指组织参与IT决策与管理的所有人员的集合,明确组织信息部门和业务部门之间的关系和责任,正确划分信息系统的所有者、建设者、管理者和监控者。 (2)战略匹配。IT治理的一个重要内容,是使组织的IT建设与组织战略相匹配,也就是通常所说的“战略匹配”。而战略匹配是IT为组织贡献业务价值的重要驱动力。 (3)资源管理。资源管理的主要功能是确保用户对组织的应用系统和基础设施都有良好的理解和应用,优化IT投资、IT资源(人、应用系统、信息、基础设施)的分配,做好人员的培训、发展计划,以满足组织的业务需求。 (4)价值交付。通过对IT项目全生命周期的管理,确保IT能够按照组织战略实现预期的业务价值。重点是对整个交付周期成本的控制和IT业务价值的实现,使IT项目能够在预算时间、成本范围内,按预定的质量要求完成。价值交付即是创造业务价值。 (5)风险管理。风险管理是IT治理中非常重要的内容。风险管理是确保IT资产的安全和灾难的恢复、组织信息资源的安全以及人员的隐私安全。风险管理即是保护业务价值。 (6)绩效管理。没有绩效管理IT治理中任何一个域都不可能有效地进行管理。绩效管理主要是追踪和监视IT战略、IT项目的实施、信息资源的使用、IT服务的提供以及业务流程的绩效。绩效管理所釆用的工具,如平衡积分卡,可以将组织的战略目标转化成各个职能部门或团队具体的业务活动的目标,从而保证组织战略目标的实现。
4. IT治理机制经验
建立IT治理机制的原则包括: ① 简单,机制应该明确地定义特定个人和团体所承担的责任和目标。 ② 透明,有效的机制依赖于正式的程序。对于那些被治理决策所影响或是想要挑战治理决策的人来说,机制如何工作是需要非常清晰的。 ③ 适合,机制鼓励那些处于最佳位置的个人去制定特定的决策。
IT治理从众多最佳实践中学习的经验主要包括: IT指导委员会要吸纳有才干的业务经理,使之负责组织范围的IT治理决策,并在IT原则中加入严格的成本控制; 谨慎管理组织的IT架构和业务架构,以降低业务成本; 设计严格的架构例外处理流程,使昂贵的例外最小化,并可以从中不断学习; 建立集中化的IT团队,用以管理基础设施、架构和共享服务; 应用连接IT投资和业务需求的流程,既可以增加透明度,又可以权衡中心和各运营部门 或团队的需求; 设计需要对IT投资进行集中协作和核准的IT投资流程; 设计简单的费用分摊和服务水平协议机制,以明确分配IT开支等。
3.1.3 IT治理任务
组织的IT治理活动定义为统筹、指导、监督和改进。 统筹现在和未来的IT战略和组织规划、管理和绩效的实施计划、策略; 指导IT管理实施、绩效考评、风险控制和业务合规;监督IT与业务的一致性、符合性及IT应用的合规性; 改进IT战略规划、组织策略、信息系统全生命周期管控和数据治理。
组织开展IT治理活动的主要任务聚焦在如下五个方面: (1) 全局统筹 (2) 价值导向 (3) 机制保障 (4) 创新发展 (5) 文化助推
(1)全局统筹。统筹规划IT治理的目标范围、技术环境、发展趋势和人员责权利。组织需要适应当前信息环境和未来发展趋势,保证利益相关者理解和接受IT的战略、目标和发展方向。
价值导向。价值导向包括基于实现有效收益,确保预期收益清晰理解,明确实现收益的问责机制。
机制保障。机制保障是指组织应对自身IT发展进行有效管控,保证IT需求与实现的协调发展,并使IT安全和风险得到有效的识别、管理、防范和处置。
创新发展。创新发展是指利用IT创新开拓业务领域,提升管理水平,改进质量、绩效和降低成本,确保实现战略目标的灵活性和对环境变化的适应性。
文化助推。文化助推是指组织与利益相关者沟通IT治理的目标、策略和职责,营造积极向上、沟通包容的组织文化。
3.1.4 IT治理方法与标准
相关标准 信息技术服务标准库(ITSS)中IT治理系列标准 信息和技术治理框架(COBIT) IT治理国际标准(ISO/IEC 38500)
典型的是我国信息技术服务标准库(ITSS)中IT治理系列标准、信息和技术治理框架(COBIT)和IT治理国际标准(ISO/IEC38500)等。
ITSS是Information Technology Service Standards的缩写,中文意思是信息技术服务标准,是在工业和信息化部、国家标准化委的领导和支持下,由ITSS工作组研制的一套IT服务领域的标准库和一套提供IT服务的方法论。
COBIT(Control Objectives for Information and Related Technology)是一种信息技术(IT)管理和治理框架,旨在帮助组织实现其战略,管理其风险,保护其资产,并确保其业务完整性。 COBIT提供一组业界最佳实践,并提供一种用于评估IT管理和治理成熟度的结构。该框架由国际信息系统审计和控制协会(ISACA)开发。
ISO/IEC38500是一项国际标准,旨在为组织内的高级管理人员提供指导,以确保他们在IT领域的管理实践中保持良好的治理。这项标准有助于确保组织的IT部门能够为组织的长期成功做出贡献,同时确保正在开展的IT项目能够在可管理的计划、预算和资源限制下成功实施。 ISO/IEC38500提供了关于IT治理的原则、框架及要求,以协助组织的高层管理人员合理利用IT资源,达到最佳业务效益,而且还强调了对于IT公司负责人责任的认识。在实践中,它提供了一个框架,以帮助组织实现IT治理的最佳实践,并确保透明度和清晰度。
1.ITSS中IT服务治理
我国IT治理标准化研究是围绕IT治理研究范畴,为IT过程、IT资源、信息与组织战略、组织目标的连接提供了一种机制。 通过指导、实施、管理和评价等过程,确保IT支持并拓展组织的战略和目标。在IT治理目标和边界确定的情况下,IT治理围绕决策体系、责任归属、管理流程、内外评价四个方面,通过相关框架体系的研究,规范和引导组织的IT治理完成“做什么”“如何做”“怎么样”“如何评价”等问题,如图3-5所示。
图3-5 ITSS-IT治理标准化的逻辑关系图
1)IT治理通用要求
GB/T 34960.1《信息技术服务治理第1部分:通用要求》规定了 IT治理的模型和框架、实施IT治理的原则,以及开展IT顶层设计、管理体系和资源的治理要求。该标准可用于:
①建立组织的IT治理体系,并实施自我评价; ②开展信息技术审计; ③研发、选择和评价IT治理相关的软件或解决方案; ④第三方对组织的IT治理能力进行评价。
该标准定义的IT治理框架包含信息技术顶层设计、管理体系和资源三大治理域,每个治理域由如下若干治理要素组成。
图3-6 GB/T34960.1 IT治理模型
治理主体以组织章程、监管职责、利益相关方期望、业务压力和业务要求为驱动力,建立评估、指导、监督的治理过程并明确任务。 治理主体通过信息技术战略和方针,指导管理者对信息技术其应用的管理体系进行完善,并对信息技术相关的方案和规划进行评估,对信息技术应用的绩效和符合性进行监督。 组织结合治理原则和模型,在IT治理实施的过程中,开展自我监督、自我评估和审计工作,并持续改进。
该标准定义的IT治理框架包含信息技术顶层设计、管理体系和资源三大治理域,每个治理域由如下若干治理要素组成,如图3-7所示。
顶层设计治理域包含信息技术的战略,以及支撑战略的组织和架构; 管理体系治理域包含信息技术相关的质量管理、项目管理、投资管理、服务管理、业务连续性管理、信息安全管理、风险管理、供方管理、资产管理和其他管理; 资源治理域包含信息技术相关的基础设施、应用系统和数据。
2)IT治理实施指南
GB/T 34960.2《信息技术服务 治理 第2部分:实施指南》提出了 IT治理通用要求的实施指南,分析了实施IT治理的环境因素,规定了 IT治理的实施框架、实施环境和实施过程,并明确顶层设计治理、管理体系治理和资源治理的实施要求。该标准适用于:
① 建立组织的IT治理实施框架,明确实施方法和过程; ② 组织内部开展IT治理的实施; ③ IT治理相关软件或解决方案实施落地的指导; ④ 第三方开展IT治理评价的指导。
IT治理实施框架包括治理的实施环境、实施过程和治理域
实施环境包括组织的内外部环境和促成因素。 实施过程规定了IT治理实施的方法论,包括统筹利规划、构建和运行、监督和评估、改进和优化。 治理域定义了IT治理对象,包括顶层设计、管理体系和资源。 顶层设计包括战略、组织和架构; 管理体系包括质量管理、项目管理、投资管理、服务管理、业务连续性管理、信息安全管理、风险管理、供方管理、资产管理和其他管理; 资源包括基础设施、应用系统和数据。 组织可以结合实施环境的分析,按照实施过程,以治理域为对象开展IT治理实施。
2.信息和技术治理框架
COBIT是面向整个组织的信息和技术治理及管理框架,由成立于1969年的美国信息系统审计与控制协会(ISACA)组织设计并编制。
COBIT框架对治理和管理进行了明确区分,这两个学科涵盖不同的活动,需要不同的组织结构,并服务于不同目的
①治理确保对利益干系人的需求、条件和选择方案进行评估,以确定全面均衡、达成共识的组织目标;通过确定优先等级和制定决策来设定方向:根据议定的方向和目标监控绩效与合规性; ②管理是指按治理设定的方向计划、构建、运行和监控活动,以实现组织目标。
1)治理和管理目标
① 调整、规划和组织(APO)针对IT的整体组织、战略和支持活动; ② 内部构建、外部采购和实施(BAI)针对IT解决方案的定义、采购和实施以及它们到业务流程的整合; ③ 交付、服务和支持(DSS)针对IT服务的运营交付和支持,包括安全; ④ 监控、评价和评估(MEA)针对IT的性能监控及其与内部性能目标、内部控制目标和外部要求的一致程度。
治理流程通常由董事会和执行管理层负责,而管理流程则在高级利中级管理层的职责范围内。
为满足治理和管理目标,每个组织都需要建立、定制和维护由多个组件构成的治理系统,如图3-10所示。
COBIT核心模型 图3-9
治理系统的组件包括: ① 流程 ② 组织结构 ③ 原则、政策和程序 ④ 信息 ⑤ 文化、道德和行为 ⑥ 人员、技能和胜任能力 ⑦ 服务、基础设施和应用程序
治理系统的组件包括: ①流程。流程描述了一组为实现某种目标而安排有序的实践和活动,并生成了一组支持实现整体IT相关目标的输出内容。 ②组织结构。组织结构是组织的主要决策实体。 ③原则、政策和程序。原则、政策和程序用于将理想行为转化为日常管理的实用指南。 ④信息。在任何组织中,信息无处不在,包括组织生成和使用的全部信息。COBIT侧重于有效运转组织治理系统所需的信息。 ⑤文化、道徳和行为。个人和组织的文化、道徳和行为作为治理和管理活动的成功因素,其价值往往被低估。 ⑥人员、技能和胜任能力。人员、技能和胜任能力对做出正确决策、釆取纠正行动和成功完成所有活动而言是必不可少的。 ⑦服务、基础设施和应用程序。服务、基础设施和应用程序包括为组织提供IT处理治理系统的基础设施、技术和应用程序。
2)信息和技术治理解决方案的设计
影响组织治理系统设计的因素
高效和有效的IT治理系统是创造价值的起点。 COBIT定义的IT治理系统设计因素包括组织战略、组织目标、风险概况、IT相关问题、威胁环境、合规性要求、IT角色、IT釆购模式、IT实施方法、技术釆用战略、组织规模和未来因素,如图3-11所示。这些设计因素可能影响组织治理系统的设计,为成功使用IT奠定基础。
COBIT给出的建议设计流程: ① 了解组织环境和战略 ② 确定治理系统的初步范围 ③ 优化治理系统的范围 ④ 最终确定治理系统的设计
3. IT治理国际标准
2008年4月,ISO/IEC正式发布IT治理标准ISO/IEC 38500 2014年,ISO/IEC发布了第二版的ISO/IEC FDIS 38500
该标准为组织的治理机构(可包括所有者、董事、合伙人、执行经理或类似机构)的成员提供了关于在其组织内有效、高效和可接受地使用信息技术(IT)的指导原则。 该标准包括: ①责任。组织内的个人和团体理解并接受他们在IT的供应和需求方面的责任。那些负有行动责任的人也有权执行这些行动。 ②战略。组织的业务战略考虑到IT的当前和未来的能力;使用IT的计划满足了组织业务战略的当前和持续的需求。 ③收购。IT收购是出于正当的理由,在适当和持续的分析基础上,有明确和透明的决策。在短期和长期内,在利益、机会、成本和风险之间都存在着适当的平衡。 ④性能。IT适合于支持组织,提供满足当前和未来业务需求所需的服务、服务水平和服务质量。 ⑤一致性。IT的使用符合所有强制性法律和法规。政策和实践有明确的定义、实施和执行。 ⑥人的行为。IT团队的政策、实践和决策表明了对人的行为的尊重,包括所有"在这个过程中的人”的当前和不断发展的需求。
该标准规定治理机构应通过评估、指导和监督三个主要任务来治理IT。
(1)评估。治理机构应审查和判断当前和未来的使用,包括计划、建议和供应安排(无论是内部、外部或两者兼有)。 (2)指导。治理机构应负责战略和政策的编制和执行。战略应该为IT领域的投资设定方向以及IT应该实现的目标。 (3)监督。治理机构应通过适当的测量系统来监测IT的表现。
其它参考资料
IT治理是指对企业或组织中的信息技术(IT)进行管理和监督的一系列措施和流程。目的是确保IT的合规性,降低风险,保障企业或组织的利益和声誉。IT治理涉及到IT战略规划、IT管理流程、IT资源和资产管理、IT风险管理等方面。好的IT治理可以提升企业或组织的效率和竞争力。
IT治理是指在组织中有效管理和监督信息技术(IT)资源的过程,以确保这些资源与组织的战略和业务目标相一致,同时确保这些资源安全可靠地使用和管理 。
在IT治理中,组织利用政策、流程、技术和人员等各种手段,管理并保护其IT资产以实现业务目标。IT治理的目标包括提高IT资源的使用效率和透明度、降低风险和成本、确保数据的安全、遵守法规和标准,以及提高 IT 对业务的贡献和价值。
3.3 本章练习
1. 选择题
(1)“计算机硬件故障或软件不足,易造成信息的损坏和丢失,导致数据处理过程中发生偶发错误”,描述的风险类型是 。 A.固有风险 B.控制风险 C.检查风险 D.审计风险 参考答案:A
(2) 指审计人员在审计实施阶段为执行具体审计程序所形成的审计工作底稿。 A.综合类工作底稿 B,业务类工作底稿 C.备査类工作底稿 D.技术类工作底稿 参考答案:B
(3)关于IT审计范围的描述,不正确的是: 。 A.总体范围需要根据审计目的和投入的审计成本来确定 B.组织范围需明确审计涉及的组织机构、主要的流程、活动及人员等 C,逻辑范围需明确涉及的信息系统 D,物理范围需明确具体的物理地点与边界 参考答案:C
(4)组织外包其软件开发, 是该组织IT管理的责任。 A,作为开发人员参加系统设计 B.支付服务提供商 C,与服务提供商谈判合同 D,控制服务提供商遵守服务合同 参考答案:D
(5) 不属于IT治理的三大主要目标。 A.与业务目标一致 B.质量控制 C,有效利用信息与数据资源 D.风险管理 参考答案:B
(6)《信息技术服务治理第1部分:通用要求》标准不适用于 。 A.建立组织的IT治理体系并实施自我评价 B.组织的IT治理能力进行自我评价 C.研发、选择和评价IT治理相关的软件或解决方案 D.开展信息技术审计 参考答案:B
(7)COBIT®2019核心模型中的治理和管理目标分为五个领域, 领域是由董事会和执行管理层负责。 A.评估、指导和监控(EDM) B.调整、规划和组织(APO) C.内部构建、外部釆购和实施(BAD D.交付、服务和支持(DSS) 参考答案:A
2. 思考题
(1)IT治理的管理层次可分为三层:最高管理层、执行管理层、业务与服务执行层,请简要描述这3个层次的主要职责分别是什么? 参考答案: 最高管理层主要职责:证实IT战略与业务战略是否一致;证实通过明确的期望和衡量手段交付IT价值;指导IT战略、平衡支持组织当前和未来发展的投资;指导信息和数据资源的分配。 执行管理层主要职责:制定IT的目标;分析新技术的机遇和风险;建设关键过程与核心竞争力;分配责任、定义规程、衡量业绩;管理风险和获得可靠保证等。业务及服务。 执行层的主要职责:信息和数据服务的提供和支持;IT基础设施的建设和维护;IT需求的提出和响应。
(2)IT治理的核心内容包括哪6个方面,清简述? 参考答案:IT治理的核心内容包括六个方面:组织职责、战略匹配、资源管理、价值交付、风险管理、绩效管理。
(3)请指出IT审计的常用方法,并根据你的理解举例说明信息系统项目管理可能使用的方法及具体运用。 参考答案:常用审计方法包括:访谈法、调查法、检查法、观察法、测试法和程序代码检查法等。
3.2 IT审计
IT审计(Information Technology Audit)是针对信息技术系统和流程的审计,旨在确定信息技术系统和流程是否能够满足组织的需求,是否遵循了预先确定的标准和政策,以及是否存在与业务风险相关的脆弱性和安全漏洞。 IT审计的主要目标是保护信息和技术资产的完整性、机密性和可用性,并确保业务过程的可靠性和合规性。IT审计通常包括评估和审查组织内部控制、管理、安全保障、技术安全、合规性和风险管理等方面的情况。 对于一个组织来说,进行IT审计可以拥有以下优势: 1. 发现和识别业务风险,提高风险感知度 2. 保障数据和数据系统的安全性 3. 提高IT战略规划和IT治理 4. 优化IT投资和运营成本 5. 改善IT流程,提高业务流程效率和稳定性 总之,IT审计可以帮助组织更好地保护其信息和技术资源,减少业务风险,优化IT系统和流程,并改善整个组织的运行效率。
3.2.1 IT审计基础
IT审计重要性是指IT审计风险(固有风险、控制风险、检査风险)对组织影响的严重程度,如:财务损失、业务中断、失去客户信任、经济制裁等。
1. IT审计定义
表3-3 主流的IT审计定义
2. IT审计目的
是指通过开展IT审计工作,了解组织IT系统与IT活动的总体状况,对组织是否实现IT目标进行审查和评价,充分识别与评估相关IT风险,提出评价意见及改进建议,促进组织实现IT目标。
组织的IT目标主要包括: ① 组织的IT战略应与业务战略保持一致; ② 保护信息资产的安全及数据的完整、可靠、有效; ③ 提高信息系统的安全性、可靠性及有效性; ④ 合理保证信息系统及其运用符合有关法律、法规及标准等的要求。
3. IT审计范围
IT审计范围需要根据审计目的和投入的审计成本来确定。在确定审计范围时,除了考虑前面提及的审计内容外,还需要明确审计的组织范围、物理位置以及信息系统相关逻辑边界。
表3-4 IT审计范围的确定
4. IT审计人员
根据GB/T 34690.4《信息技术服务治理第4部分:审计导则》,对IT审计人员的要求包括职业道德、知识、技能、资格与经验、专业胜任能力及利用外部专家服务等方面。
表3-5 IT审计人员要求
5. IT审计风险
IT审计风险主要包括固有风险、控制风险、检查风险和总体审计风险。
总体审计风险是指针对单个控制目标所产生的各类审计风险总和。
审计风险也用于描述审计人员在执行审计任务时可接受的风险水平。
3.2.2 审计方法与技术
1. IT审计依据与准则
IT审计活动的开展需要结合相关法律法规、准则与标准。
2. IT审计常用方法
常用审计方法包括:访谈法、调查法、检查法、观察法、测试法和程序代码检查法等。
3. IT审计技术
常用的IT审计技术:风险评估技术、审计抽样技术、计算机辅助审计技术及大数据审计技术。
1)风险评估技术
IT风险评估技术一般包括: 风险识别技术:用以识别可能影响一个或多个目标的不确定性,包括德尔菲法、头脑风暴法、检查表法、SWOT技术及图解技术等。 风险分析技术:是对风险影响和后果进行评价和估量,包括定性分析和定量分析。 风险评价技术:是在风险分析的基础上,通过相应的指标体系和评价标准,对风险程度进行划分,以揭示影响成败的关键风险因素,包括单因素风险评价和总体风险评价。 风险应对技术:IT技术体系中为特定风险制定的应对技术方案,包括云计算、冗余链路、冗余资源、系统弹性伸缩、两地三中心灾备、业务熔断限流等。
2)审计抽样技术
审计抽样是指审计人员在实施审计程序时,从审计对象总体中选取一定数量的样本进行测试,并根据测试结果,推断审计对象总体特征的一种方法。
表3-9审计抽样方法分类表
3)计算机辅助审计技术
计算机辅助审计(Computer Assisted Audit Tools, CAAT),也称为利用计算机审计,审计人员在审计过程和审计管理活动中,以计算机为工具来执行和完成某些审计程序和任务的一种新兴审计技术。 它并非电算化系统审计特有的一种方法,对手工系统的审计也可应用这些技术。
CAAT包括多种工具和技术:通用审计软件( GAS)、测试数据、实用工具软件、专家系统等。
4) 大数据审计技术
大数据审计技术包括大数据智能分析技术、大数据可视化分析技术及大数据多数据源综合分析技术等。
表3-10大数据审计技术(举例)
4. IT审计证据
审计证据是由审计机构和审计人员获取,用于确定所审计实体或数据是否遵循既定标准或目标,形成审计结论的证明材料。
表3-11审计证据的特性
5. IT审计底稿
审计工作底稿是指审计人员对制订的审计计划、实施的审计程序、获取的相关审计证据,以及得出的审计结论做出的记录。
审计底稿的作用表现在: •是形成审计结论、发表审计意见的直接依据; •是评价考核审计人员的主要依据; •是申'计质量控制与监督的基础; •对未来审计业务具有参考备査作用。
审计工作底稿一般分为综合类工作底稿、业务类工作底稿和备查类工作底稿。
表3-12审计工作底稿分类
审计底稿的作用表现在: •是形成审计结论、发表审计意见的直接依据; •是评价考核审计人员的主要依据; •是申'计质量控制与监督的基础; •对未来审计业务具有参考备査作用。
编制上应满足内容和形式两方面的要求: •内容要求包括资料翔实、重点突出、繁简得当、结论明确; •形式要求包括要素齐全、格式规范、标识一致、记录清晰。
审计机构的组织规模和业务范围,可以实行对审计工作底稿的三级复核制度。
下列两种情况需要查阅审计工作底稿的,不属于泄密情形: •法院、检察院及国家其他部门依法查阅,并按规定办理了必要手续; •审计协会或其委派单位对审计机构执业情况进行检查。
3.2.3 审计流程
审计流程审计人员在具体审计过程中采取的行动和步骤。 科学、规范的审计流程不但是分配审计工作的具体依据,还是控制审计工作的有效工具,并同时具有的作用包括: ① 有效地指导审计工作; ② 有利于提高审计工作效率; ③ 有利于保证审计项目质量; ④ 有利于规范审计工作。
审计流程的含义有广义和狹义两种之分。 狭义的审计流程是指审计人员在取得审计证据、完成审计目标、得出审计结论过程中所釆取的步骤和方法。 广义的审计流程是指审计机构和审计人员对审计项目从开始到结束的整个过程釆取的系统性工作步骤,一般分为审计准备、审计实施、审计终结及后续审计四个阶段,每个阶段又包含若干具体内容。
广义审计流程一般分为:审计准备、 审计实施、审计终结及后续审计四个阶段。
(1)审计准备阶段。 IT审计准备阶段是指IT审计项目从计划开始,到发出审计通知书为止的期间。 准备阶段是整个审计过程的起点和基础,准备阶段的工作是否充分、合理、细致,对提高审计工作效率,保证审计工作质量至关重要。 准备阶段工作一般包括: ①明确审计目的及任务; ②组建审计项目组; ③搜集相关信息; ④编制审计计划等。
(2)审计实施阶段。 IT审计实施阶段是审计人员将项目审计计划付诸实施的期间。 此阶段的工作是审计全过程的中心环节,是整个审计流程的关键阶段,关系到整个审计工作的成败。 实施阶段主要完成工作包括: ①深入调查并调整审计计划; ②了解并初步评估IT内部控制; ③进行符合性测试; ④进行实质性测试等。
(3)审计终结阶段。 IT审计终结阶段是整理审计工作底稿、总结审计工作、编写审计报告、做出审计结论的期间。 审计人员应运用专业判断,综合分析所收集到的相关证据,以经过核实的审计证据为依据,形成审计意见、出具审计报告。 终结阶段的工作一般包括: ①整理与复核审计工作底稿; ②整理审计证据; ③评价相关IT控制目标的实现; ④判断并报告审计发现; ⑤沟通审计结果; ⑥出具审计报告; ⑦归档管理等。
(4)后续审计阶段。 后续审计是在审计报告发出后的一定时间内,审计人员为检查被审计单位对审计问题和建议是否已经采取了适当的纠正措施,并取得预期效果的跟踪审计。 后续审计并不是一次新的审计,而是前一次审计的有机组成部分。 实施后续审计,可不必遵守审计流程的每一过程和要求,但必须依法依规进行检查、调查,收集审计证据,写出后续审计报告。
3.2.4 审计内容
IT审计业务和服务分为IT内部控制审计和IT专项审计。 IT内部控制审计主要包括组织层面IT控制审计、IT—般控制审计及应用控制审计; IT专项审计主要是指根据当前面临的特殊风险或者需求开展的IT审计,审计范围为IT综合审计的某一个或几个部分。
表3-13 IT审计业务分类表
信息系统项目的专项审计,其目标是通过对信息系统项目管理过程的评价,向管理层提供信息系统项目管理过程得到控制、监督并遵循最佳实践要求的合理保证。 信息系统项目管理审计内容与方法举例如表3-14所示。
表3-14信息系统项目管理审计内容与方法举例