导图社区 信息系统项目管理师第三章信息系统治理
信息系统项目管理师第三章信息系统治理,IT治理是描述组织采用有效的机制对信息技术和数据资源开发利用,平衡信息化发展和数字化转型过程中的风险,确保实现组织的战略目标的过程
编辑于2023-08-06 09:56:46 山东省第三章 信息系统治理
IT治理
IT治理基础
IT治理:描述组织采用有效的机制对信息技术和数据资源开发利用,平衡信息化发展和数字化转型过程中的风险,确保实现组织的战略目标的过程
驱动因素
①确保组织IT投资有效性;②IT兼职发挥的弹性较大;③IT成为引领各领域高质量发展的基础;④IT为组织提供新发展空间和业务机会;⑤促进IT兼职挖掘和融合利用;⑥IT价值需要良好价值管理和场景化业务融合应用;⑦需要明确责权利和清晰管理去确保IT价值;⑧获得行业领先的业务发展效果
价值目标
与业务目标一致; 有效利用信息与数据资源; 风险管理
管理层次
最高管理层:证实IT战略与业务战略是否一致;证实通过明确的期望和衡量手段交付IT价值;指导IT战略、平衡支持组织当前和未来发展的投资;指导信息和数据资源的分配
执行管理层:制定IT的目标;分析新技术的机遇和风险;建设关键过程与核心竞争力;分配责任、定义规程、衡量业绩;管理风险和获得可靠保证
业务及服务执行层:信息和数据服务的提供和支持;IT基础设施的建设和维护;IT需求的提出和响应
IT治理体系
IT治理核心:关注IT定位和信息化建设与数字化转型的责权利划分
IT治理体系的具体构成:IT定位、IT治理架构、IT治理内容、IT治理流程、IT治理效果
关键决策
IT原则、IT架构、IT基础设施、业务应用需求、IT投资和优先顺序
IT治理需要确定每个决策由谁来负责输入,以及由谁来负责做出决策
体系框架
IT战略目标、IT治理组织、IT治理机制、IT治理域、IT治理标准、IT绩效目标
核心内容
IT治理本质上关心:①实现IT的业务价值(通过IT与业务战略匹配来实现); ②IT风险规避(通过组织内部建立相关职责来实现)
核心内容:组织职责、战略匹配、资源管理、价值交付、风险管理、绩效管理
机制经验
建立IT治理机制原则
①简单:机制应该明确地定义特定个人和团体所承担的责任和目标
②透明:有效机制依赖于正式的程序。对于被治理决策所影响或是想要挑战治理决策的人来说,机制如何工作是清晰的
③适合:机制鼓励那些处于最佳位置的个人去制定特定的决策
IT治理任务
全局统筹
组织需要关注IT发展的规划、实施、检查和改进全过程
①制订满足可持续发展的IT蓝图;②实施科学决策、集约管理的策略,实现横向的业务集成和纵向的业务管控;通过内外部的监督,确保IT与业务的一致性和适用性;③建立适应内外部信息环境变化的持续改进和创新机制
价值导向
投资产生的IT服务、资产和其他资源。组织需要建立价值递送规则,确保利益相关者明确相应的权利和义务
①认可信息技术、信息系统和数据在组织中的价值; ②识别投资目录,并以相应的方式进行评估和管理; ③对关键指标进行设定和监督,并对变化和偏差做出及时回应; ④权衡实施成本与预期效益,并随组织内外部环境的变化及时调整。
机制保障
组织可以根据相关法律法规、行业管理和上级监管机构发布的规范文件要求,制定本组织的信息技术治理制度并实施
①指导建立规范过程管理和痕迹管理,并向利益相关者公开质量设定举措;②评审IT管理体系的适宜性、充分性和有效性;③审计IT完整性、有效性和合规性;④监督由审计和管理评审,提出改进内容的实施
创新发展
组织可以建立支持创新的人员、技术、制度、资金、风险、文化和市场需求的机制体系
①创造基于业务团队与IT团队的深度沟通以及对内外部环境感知和学习的技术创新环境;②确保技术发展、管理创新、模式革新的协调联动;③对组织创新能力进行评估,并对关键创新要素进行分析和评价;④通过促进和创新有效抵御风险,并确保创新是组织文化的组成部分。
文化助推
按照文化营造、实施和改进的生命周期,保障利益相关者的沟通和透明
①建立与IT发展相适应的组织文化发展策略; ②营造包括知识、技术、管理、情操在内的积极向上的文化氛围;③根据组织内部环境的变化,评估并改进组织文化的管理
IT治理方法与标准
比较典型的是我国信息技术服务标准库(ITSS)中IT治理系列标准、信息和技术治理框架(COBIT)、IT治理国际标准(1S0/IEC38500)
ITSS中IT服务治理
我国IT治理标准化研究:围绕IT治理研究范畴,为IT过程、IT资源、信息与组织战略、组织目标的连接提供了一种机制。
IT治理围绕决策体系、责任归属、管理流程、内外评价四个方面
IT治理通用要求-GB/T34960.1 《信息技术服务治理第1部分通用要求》
1)标准可用于: ①建立组织的IT治理体系,并实施自我评价;②开展信息技术审计;③研发、选择和评价IT治理相关的软件或解决方案;④第三方对组织的IT治理能力进行评价
2)标准定义的IT治理模型包含治理的内外部要求、治理主体、治理方法,以及信息技术及其应用的管理体系
3)标准定义的IT治理框架包含三大治理域
顶层设计治理域:包含信息技术的战略,以及支撑战略的组织和架构
管理体系治理域:包含信息技术相关的质量管理、项目管理、投资管理、服务管理、业务连续性管理、信息安全管理、风险管理、供方管理、资产管理和其他管理
资源治理域:包含信息技术相关的基础设施、应用系统和数据
IT治理实施指南-GB/T34960.2 《信息技术服务治理第2部分实施指南》
标准适用于:①建立组织的IT治理实施框架,明确实施方法和过程;②组织内部开展IT治理的实施;③IT治理相关软件或解决方案实施落地的指导;④第三方开展IT治理评价的指导
IT治理实施框架包括:治理的实施环境、实施过程、治理域
信息和技术治理框架 COBIT
COBIT是面向整个组织的信息和技术治理及管理框架。COBIT中治理目标被列入评估、指导和监控(EDM)领域,治理机构将评估战略方案,指导高级管理层执行所选的战略方案并监督战略的实施。 治理流程通常由董事会和执行管理层负责;管理流程在高级和中级管理层的职责范围内
董事会和执行管理层负责管理目标分四个领域
①调整、规划和组织(APO)针对IT的整体组织、战略和支持活动; ②内部构建、外部采购和实施(BAI)针对IT解决方案的定义、采购和实施以及它们到业务流程的整合; ③交付、服务和支持(DSS)针对IT服务的运营交付和支持,包括安全; ④监控、评价和评估(MEA)针对IT的性能监控及其与内部性能目标、内部控制目标和外部要求的一
高效和有效的IT治理系统是创造价值的起点。COBIT定义的IT治理系统设计因素包括组织战略、组织目标、风险概况、IT相关问题、威胁环境、合规性要求、IT角色、IT采购模式、IT实施方法、技术采用战略、组织规模和未来因素。这些设计因素可能影响组织治理系统的设计,为成功使用IT奠定基础。
COBIT给出了建议设计流程
①了解组织环境和战略
②确定治理系统的初步范围
③优化治理系统的范围
④最终确定治理系统的设计
IT治理国际标准
IT治理标准IS0/1EC38500标志IT治理从概念模糊的探讨阶段进入正确认识的发展阶段,也标志着信息化正式进入IT治理时代
标准包括:责任、战略、收购、性能、一致性和人的行为
标准规定治理机构应通过评估、指导和监督三个主要任务来治理lT
IT审计
IT审计基础
审计定义
IT审计是IT治理不可或缺的评估和监督工具,重点承担着组织信息系统发展的合规性检测以及信息技术风险的管控等职能
审计目的
通过开展IT审计工作了解组织IT系统与IT活动的总体状况,对组织是否实现IT目标进行审查和评价,充分识别与评估相关IT风险,提出评价意见及改进建议,促进组织实现IT目标
审计范围
①总体范围:需要根据审计目的和投入的审计成本来确定
②组织范围:明确审计涉及的组织机构、主要流程、活动及人员等
③物理范围:具体的物理地点与边界
④逻辑范围:涉及的信息系统和逻辑边界
⑤其他相关内容·······
审计人员
根据GB/T34690.4《信息技术服务治理第4部分:审计导则》,对IT审计人员的要求:职业道德、知识、技能、资格与经验、专业胜任能力及利用外部专家服务等方面
审计风险
固有风险
含义: 是指IT活动不存在相关控制的情况下,易于导致重大错误的风险
分类: 可从IT组织层面控制、一般控制、应用控制三个方面分析固有风险
特点: 固有风险是IT活动本身所具有的,审计人员只能评估,却无法控制或影响它;固有风险的衡量是主观的、复杂的,不同的IT活动其固有风险水平不同
控制风险
含义: 是指与IT活动相关的内部控制体系不能及时预防或检查出存在的重大错误的风险
分类: 从IT组织层面控制、一般控制及应用控制三个方面分析控制风险
特点: 与内部控制制度执行的有效性有关,与审计无关,属于内部控制的范畴,审计人员只能评估其风险水平而不能对其实施控制和影响。其风险水平的衡量由于需要兼顾传统内部控制的思想和计算机系统管理的知识,因而较为复杂且难以准确计量
检查风险
含义: 检查风险是指通过预定的审计程序未能发现重大、单个或与其他错误相结合的风险
影响检查风险的因素: 由于IT审计规范不完善、审计人员自身或者技术原因等造成影响审计测试正确性的各种因素
总体审计风险
针对单个控制目标所产生的各类审计风险总和
审计方法与技术
IT审计常用方法
访谈法
通过访谈人和受访人面对面地交谈来了解被审计对象的信息。依据不同研究问题的性质、目的或对象,访谈法具有不同的形式。按访谈进程的结构化程度可分为:结构型访谈、非结构型访谈
调查法
为了达到预期目的,在制订调研计划的基础上,通过书面或口头回答问题的方式收集研究对象的相关资料,并做出分析、综合,得到某一结论的研究方法。目的:全面把握当前状况,也可为了揭示存在的问题,弄清前因后果,以便为进一步的研究或决策提供观点和论据
检查法
审计人员对被审计单位内部或外部生成的记录和文件(如纸质、电子或其他介质形式存在的资料)进行审查,或对资产进行实物审查。从技术层面上可分为审阅法、核对法、复算法和分析法
观察法
审计人员到被审计单位的经营场所及其他有关场所进行实地察看,来证实审计事项的一种方法。观察程序具有方向性,即从书面记录观察到实物或过程,反之,从实物或过程观察到书面记录。观察法既可以用于对通过其他方法获得的审计证据进行补充,证实审计证据,也可以用于直接收集相关证据。观察法可以比较准确地获得审计项目如何运行的信息,适用于正在进行中的审计事项
测试法
黑盒法测试:把程序看成黑盒子,完全不考虑其内部结构和处理过程,只检查程序的功能是否符合它的需求规格说明
白盒法测试:通过测试来检测产品内部动作是否按照规格说明书的规定正常进行,按照程序内部的结构测试程序,检验程序中的每条通路是否都能按预定要求正确工作,主要用于软件验证
程序代码检查法
对被审程序的指令逐条加以审查,以验证程序的合法性、完整性和程序逻辑的正确性。审计人员可使用代码静态扫描工具进行程序代码的检查
IT审计技术
风险评估技术
1.风险识别技术:用以识别可能影响一个或多个目标的不确定性,包括德尔菲法、头脑风暴法、检查表法SWOT技术及图解技术等。
2.风险分析技术:是对风险影响和后果进行评价和估量,包括定性分析、定量分析
3.风险评价技术:在风险分析的基础上,通过相应的指标体系和评价标准,对风险程度进行划分,以揭示影响成败的关键风险因素,包括单因素风险评价和总体风险评价
4.风险应对技术:IT技术体系中为特定风险制定的应对技术方案,包括云计算、冗余链路、冗余资源、系统弹性伸缩、两地三中心灾备、业务熔断限流等
审计抽样技术
在实施审计程序时,从审计对象总体中选取一定数量的样本进行测试,并根据测试结果,推断审计对象总体特征的一种方法。 审计抽样适用于时间及成本都不允许对既定总体中的所有交易或事件进行全面审计。“总体”是指需要检查的全部事项,“样本”是用于测试总体的子集
计算机辅助审计CAAT
审计人员在审计过程和审计管理活动中,以计算机为工具来执行和完成某些审计程序和任务。CAAT包括通用审计软件(GAS)、测试数据、实用工具软件、专家系统等。
大数据审计技术
遵循大数据理念,运用大数据技术方法和工具,利用数量巨大、来源分散、格式多样的数据,开展跨层级、跨系统、跨部门]和跨业务等的深入挖掘与分析,提升审计发现问题、评价判断、宏观分析的能力。包括大数据智能分析技术、大数据可视化分析技术及大数据多数据源综合分析技术
IT审计证据
由审计机构和审计人员获取,用于确定所审计实体或数据是否遵循既定标准或目标,形成审计结论的证明材料。
审计证据是审计意见的支柱,是审计人员形成审计结论的基础。审计人员必须基于足够、相关和适当的审计证据,为其审计观点提供合理的结论。审计证据还可以被作为解除或追究被审计人经济责任的依据,并且审计证据还是控制审计工作质量的关键
审计证据特征
充分性:要求审计人员根据所获证据足以对被审计对象提出一定程度保证的结论,是对审计证据数量的要求,主要与审计人员确定的样本量有关
客观性:指审计证据必须是客观存在的事实材料。客观的审计证据比需要判断或解释的证据可靠
相关性:指审计证据与审计事项之间必须有实质性联系
可靠性:指审计证据能够反映和证实客观经济活动特征的程度。审计证据的可靠性受到审计证据的类型、取证的渠道和方式等因素的影响
合法性:指审计证据必须符合法定种类,并依照法定程序取得
IT审计底稿
审计工作底稿:审计人员对制订的审计计划、实施的审计程序、获取的相关审计证据,以及得出的审计结论做出的记录。
审计工作底稿是审计证据的载体,是审计人员在审计过程中形成的审计工作记录和获取的资料。它形成于审计过程,也反映整个审计过程。
审计底稿作用: ①形成审计结论、发表审计意见的直接依据;②是评价考核审计人员的主要依据;③是审计质量控制与监督的基础;④对未来审计业务具有参考备查作用
底稿分类
综合类 工作底稿
审计人员在审计计划阶段和审计报告阶段,为规划、控制和总结整个审计工作并发表审计意见所形成的审计工作底稿
主要包括:审计业务约定书、审计计划、审计总结、审计报告、管理建议书、被审计单位管理当局声明书以及审计人员对整个审计工作进行组织管理的所有记录和资料
业务类 工作底稿
在审计实施阶段为执行具体审计程序所形成的审计工作底稿
包括符合性测试中形成的内部控制问题调查表和流程图、实质性测试中形成的项目明细表
备查类 工作底稿
审计人员在审计过程中形成对审计工作仅具有备查作用的审计工作底稿。备查类工作底稿应随被审计单位有关情况的变化而不断更新;应详细列明目录清单,并将更新的文件资料随时归档;应根据需要,将其中与具体审计项目有关的内容复印、摘录、综合后归入业务类审计工作底稿的具体审计项目之后。
备查类是由被审计单位或第三者根据实际情况提供或代为编制,审计人员应认真审核,并对所取得的有关文件资料标明其具体来源
审计工作底稿作为审计人员在整个审计过程中形成的审计工作记录资料,在编制上应满足:
内容要求包括资料翔实、重点突出、繁简得当、结论明确
形式要求包括要素齐全、格式规范、标识一致、记录清晰
审计工作底稿三级复核制度:以审计机构负责人、部门负责人和项目负责人(或项目经理)为复核人
审计工作底稿按标准归入审计档案后,应交由档案管理部门进行管理
两种情况查阅审计工作底稿的不属于泄密情形:1法院、检察院及国家其他部门依法查阅,并按规定办理了必要手续;2审计协会或其委派单位对审计机构执业情况进行检查。
审计流程
审计准备阶段
IT审计项目从计划开始,到发出审计通知书为止的期间;工作包括:①明确审计目的及任务;②组建审计项目组;③搜集相关信息;④编制审计计划等
审计实施阶段
审计人员将项目审计计划付诸实施的期间。工作包括:①深入调查并调整审计计划;②了解并初步评估IT内部控制;③进行符合性测试;④进行实质性测试等
审计终结阶段
整理审计工作底稿、总结审计工作、编写审计报告、做出审计结论的期间; 工作一般包括:①整理与复核审计工作底稿;②整理审计证据;③评价相关IT控制目标的实现;④判断并报告审计发现;⑤沟通审计结果;⑥出具审计报告;⑦归档管理等
后续审计阶段
在审计报告发出后的一定时间内,审计人员为检查被审计单位对审计问题和建议是否已经采取了适当的纠正措施,并取得预期效果的跟踪审计
审计内容
IT内部控制审计
组织层面IT控制审计IT一般控制审计及应用控制审计
IT专项审计
根据当前面临的特殊风险或者需求开展的IT审计,审计范围某一个或几个部分
信息系统生命审计、信息系统开发过程审计、信息系统运行维护审计、网络与信息安全审计、信息系统项目审计、数据审计······