IT治理需要确定每个决策由谁来负责输入，以及由谁来负责做出决策

①简单：机制应该明确地定义特定个人和团体所承担的责任和目标

②透明：有效机制依赖于正式的程序。对于被治理决策所影响或是想要挑战治理决策的人来说，机制如何工作是清晰的

③适合：机制鼓励那些处于最佳位置的个人去制定特定的决策

①制订满足可持续发展的IT蓝图；②实施科学决策、集约管理的策略，实现横向的业务集成和纵向的业务管控;通过内外部的监督,确保IT与业务的一致性和适用性；③建立适应内外部信息环境变化的持续改进和创新机制

①认可信息技术、信息系统和数据在组织中的价值; ②识别投资目录，并以相应的方式进行评估和管理; ③对关键指标进行设定和监督，并对变化和偏差做出及时回应; ④权衡实施成本与预期效益，并随组织内外部环境的变化及时调整。

①指导建立规范过程管理和痕迹管理，并向利益相关者公开质量设定举措；②评审IT管理体系的适宜性、充分性和有效性；③审计IT完整性、有效性和合规性；④监督由审计和管理评审，提出改进内容的实施

①创造基于业务团队与IT团队的深度沟通以及对内外部环境感知和学习的技术创新环境;②确保技术发展、管理创新、模式革新的协调联动;③对组织创新能力进行评估，并对关键创新要素进行分析和评价;④通过促进和创新有效抵御风险，并确保创新是组织文化的组成部分。

①建立与IT发展相适应的组织文化发展策略; ②营造包括知识、技术、管理、情操在内的积极向上的文化氛围;③根据组织内部环境的变化，评估并改进组织文化的管理

IT治理围绕决策体系、责任归属、管理流程、内外评价四个方面

1）标准可用于： ①建立组织的IT治理体系，并实施自我评价；②开展信息技术审计；③研发、选择和评价IT治理相关的软件或解决方案；④第三方对组织的IT治理能力进行评价

2）标准定义的IT治理模型包含治理的内外部要求、治理主体、治理方法，以及信息技术及其应用的管理体系

3）标准定义的IT治理框架包含三大治理域

标准适用于：①建立组织的IT治理实施框架，明确实施方法和过程；②组织内部开展IT治理的实施；③IT治理相关软件或解决方案实施落地的指导；④第三方开展IT治理评价的指导

IT治理实施框架包括：治理的实施环境、实施过程、治理域

①调整、规划和组织（APO）针对IT的整体组织、战略和支持活动； ②内部构建、外部采购和实施（BAI）针对IT解决方案的定义、采购和实施以及它们到业务流程的整合； ③交付、服务和支持（DSS）针对IT服务的运营交付和支持，包括安全； ④监控、评价和评估（MEA）针对IT的性能监控及其与内部性能目标、内部控制目标和外部要求的一

①了解组织环境和战略

标准规定治理机构应通过评估、指导和监督三个主要任务来治理lT

②组织范围：明确审计涉及的组织机构、主要流程、活动及人员等

④逻辑范围：涉及的信息系统和逻辑边界

含义： 是指IT活动不存在相关控制的情况下，易于导致重大错误的风险

特点： 固有风险是IT活动本身所具有的，审计人员只能评估，却无法控制或影响它；固有风险的衡量是主观的、复杂的，不同的IT活动其固有风险水平不同

含义： 是指与IT活动相关的内部控制体系不能及时预防或检查出存在的重大错误的风险

特点： 与内部控制制度执行的有效性有关，与审计无关，属于内部控制的范畴，审计人员只能评估其风险水平而不能对其实施控制和影响。其风险水平的衡量由于需要兼顾传统内部控制的思想和计算机系统管理的知识，因而较为复杂且难以准确计量

含义： 检查风险是指通过预定的审计程序未能发现重大、单个或与其他错误相结合的风险

影响检查风险的因素： 由于IT审计规范不完善、审计人员自身或者技术原因等造成影响审计测试正确性的各种因素

针对单个控制目标所产生的各类审计风险总和

通过访谈人和受访人面对面地交谈来了解被审计对象的信息。依据不同研究问题的性质、目的或对象，访谈法具有不同的形式。按访谈进程的结构化程度可分为：结构型访谈、非结构型访谈

为了达到预期目的，在制订调研计划的基础上，通过书面或口头回答问题的方式收集研究对象的相关资料，并做出分析、综合，得到某一结论的研究方法。目的:全面把握当前状况，也可为了揭示存在的问题，弄清前因后果，以便为进一步的研究或决策提供观点和论据

审计人员对被审计单位内部或外部生成的记录和文件（如纸质、电子或其他介质形式存在的资料）进行审查，或对资产进行实物审查。从技术层面上可分为审阅法、核对法、复算法和分析法

审计人员到被审计单位的经营场所及其他有关场所进行实地察看，来证实审计事项的一种方法。观察程序具有方向性，即从书面记录观察到实物或过程，反之，从实物或过程观察到书面记录。观察法既可以用于对通过其他方法获得的审计证据进行补充，证实审计证据，也可以用于直接收集相关证据。观察法可以比较准确地获得审计项目如何运行的信息，适用于正在进行中的审计事项

黑盒法测试：把程序看成黑盒子，完全不考虑其内部结构和处理过程，只检查程序的功能是否符合它的需求规格说明

白盒法测试：通过测试来检测产品内部动作是否按照规格说明书的规定正常进行，按照程序内部的结构测试程序，检验程序中的每条通路是否都能按预定要求正确工作，主要用于软件验证

对被审程序的指令逐条加以审查，以验证程序的合法性、完整性和程序逻辑的正确性。审计人员可使用代码静态扫描工具进行程序代码的检查

1.风险识别技术:用以识别可能影响一个或多个目标的不确定性，包括德尔菲法、头脑风暴法、检查表法SWOT技术及图解技术等。

2.风险分析技术:是对风险影响和后果进行评价和估量，包括定性分析、定量分析

3.风险评价技术:在风险分析的基础上，通过相应的指标体系和评价标准，对风险程度进行划分，以揭示影响成败的关键风险因素，包括单因素风险评价和总体风险评价

4.风险应对技术:IT技术体系中为特定风险制定的应对技术方案，包括云计算、冗余链路、冗余资源、系统弹性伸缩、两地三中心灾备、业务熔断限流等

在实施审计程序时，从审计对象总体中选取一定数量的样本进行测试，并根据测试结果，推断审计对象总体特征的一种方法。 审计抽样适用于时间及成本都不允许对既定总体中的所有交易或事件进行全面审计。“总体”是指需要检查的全部事项，“样本”是用于测试总体的子集

审计人员在审计过程和审计管理活动中，以计算机为工具来执行和完成某些审计程序和任务。CAAT包括通用审计软件（GAS）、测试数据、实用工具软件、专家系统等。

遵循大数据理念，运用大数据技术方法和工具，利用数量巨大、来源分散、格式多样的数据，开展跨层级、跨系统、跨部门]和跨业务等的深入挖掘与分析，提升审计发现问题、评价判断、宏观分析的能力。包括大数据智能分析技术、大数据可视化分析技术及大数据多数据源综合分析技术

充分性：要求审计人员根据所获证据足以对被审计对象提出一定程度保证的结论，是对审计证据数量的要求，主要与审计人员确定的样本量有关

客观性：指审计证据必须是客观存在的事实材料。客观的审计证据比需要判断或解释的证据可靠

相关性：指审计证据与审计事项之间必须有实质性联系

可靠性：指审计证据能够反映和证实客观经济活动特征的程度。审计证据的可靠性受到审计证据的类型、取证的渠道和方式等因素的影响

合法性：指审计证据必须符合法定种类，并依照法定程序取得

综合类 工作底稿

业务类 工作底稿

备查类 工作底稿

内容要求包括资料翔实、重点突出、繁简得当、结论明确

审计工作底稿按标准归入审计档案后，应交由档案管理部门进行管理