第3章 信息系统治理
治理和管理
- 治理(Governance) :建立各种机制保证组织朝正确的方向和目标行动
- 管理(Management):由计划、组织、指挥、协调及控制等职能要素组成的活动过程
- 信息系统治理 (IT 治理)是组织开展信息技术及其应用活动的重要管控手段,也是组织治 理的重要组成部分,尤其在以数字化发展为重要关注点的新时代,组织的数字化转型和组织建 设过程中, IT 治理起到重要的统筹、评估、指导和监督作用。
- 信息技术审计 (IT 审计)作为与 IT 治理配套的组织管控手段,是 IT 治理不可或缺的评估和监督工具,重点承担着组织信息系统 发展的合规性检测以及信息技术风险的管控等职能 。
3.1 IT治理
3.1.1 IT治理基础
1、 IT治理主要目标包括:
- 与业务目标一致
- 有效利用信息与数据资源
- 风险管理
IT治理的管理层次大致可分为三层:
最高管理层
的主要职责包括:- 证实IT战略与业务战略是否一致
- 证实通过明确的期望和衡量手段交付IT价值
- 指导IT战略、平衡支持组织当前和未来发展的投资
- 指导信息和数据资源的分配
执行管理层
的主要职责包括:- 制定IT的目标
- 分析新技术的机遇和风险
- 建设关键过程与核 心竞争力
- 分配责任、定义规程、衡量业绩:
- 管理风险和获得可靠保证等 。
业务及服务执行层
的主要职责包括:- 信息和数据服务的提供和支持
- IT基础设施的建设和维护
- IT需求的提出和响应
3.1.2 IT治理体系
有效的IT治理必须关注五项关键决策:
- IT原则
- IT架构
- IT基础设施
- 业务应用需求
- IT投资和优先顺序
4、 IT治理体系框架具体包括:
- IT战略目标
- IT治理组织:核心是治理机构(如 IT 治理委员会等)的设置和权限的划分
- IT治理机制
- IT治理域: 内容包括 IT 信息系统的计划、构建、运维与监控等
- IT治理标准
- IT绩效目标
IT 治理本质上关心:
- 实现 IT 的业务价值
- IT 风险的规避
5、 IT治理的核心内容包括六个方面:
组
织职责战
略匹配资
源管理价
值交付风
险管理绩
效管理
6、 建立IT治理机制的原则包括:
- 简单
- 透明
- 适合
3.1.3 IT治理任务
组织的 IT 治理活动定义为统筹、指导、监督和改进
组织开展 IT 治理活动的主要任务聚焦在如下五个方面
- 全局统筹
- 价值导向
- 机制保障
- 创新发展
- 文化助推
3.1.4 IT治理方法与标准
信息技术服务标准库(Information Technology Service Standards, ITSS)
7、 该标准定义的IT治理框架包含信息技术顶层设计、 管理体系和资源三大治理域。
GB/T 34960.1 《信息技术服务治理第 l 部分:通用要求》标准定义的 IT 治理模型包含治理的内外部要求、治理主体、治理方法,以及信息技术及 其应用的管理体系
8、 IT治理实施框架包括治理的实施环境、 实施过程和治理域。
信息和技术治理框架(Control Objectives for Information and related Technology, COBIT)
9、 COBIT中治理目标被列入评估、 指导和监控(EDM) 领域, 管理目标分为四个领域:
- ①调整、 规划和组织(APO) 针对IT的整体组织、 战略和支持活动;
- ②内部构建、 外部采购和实施(BAI) 针对IT解决方案的定义、 采购和实施以及它们到业务流程的整合;
- ③交付、 服务和支持(DSS) 针对IT服务的运营交付和支持, 包括安全;
- ④监控、 评价和评估(MEA) 针对IT的性能监控及其与内部性能目标、 内部控制目标和外部要求的一致程度。
COBIT 给出了建议设计流程:
- 了解组织环境和战略
- 确定治理系统的初步范围
- 优化治理系统的范围
- 最终确 定治理系统的设计
IT 治理标准 ISO/IEC 38500 规定治理机构应通过评估、指导和监督三个主要任务来治理 IT
3.2 IT审计
3.2.1 IT审计基础
组织的 IT 目标主要包括:
- 组织的 IT战略应与业务战略保持一致;
- 保护信息资产的安 全及数据的完整 、 可靠、有效;
- 提高信息系统的安全性、可靠性及有效性:
- 合理保证信息 系统及其运用符合有关法律、法规及标准等 的要求 。
对 IT 审计人员的要求 包括职业道德、知识、技能、资格与经验、专业胜任能力及利用外部专家服务等方面
10、 IT审计风险
主要包括:
- 固有风险
- 控制风险
- 检查风险
- 总体审计风险
3.2.2 审计方法与技术
11、常用审计方法包括:
- 访谈法: 结构型访谈和非结构型访谈
- 调查法
- 检查法: 审阅法 、核对法、 复算法和分析法
- 观察法
- 测试法: 黑盒法和 白盒法
- 程序代码检查法
12、 常用的IT审计技术包括:
- 风险评估技术
- 审计抽样技术
- 计算机辅助审计技术
- 大数据审计技术
IT风险评估技术一般包括:
- 风险识别技术: 用以识别可能影响一个或多个目标的不确定性,包括德尔菲法、头脑风暴法、检查表法、 SWOT技术及图解技术等。
- 风险分析技术 : 是对风险影响和后果进行评价和估量 , 包括定性分析和定量分析。
- 风险评价技术 : 是在风险分析的基础上,通过相应的指标体系和评价标准,对风险程度进行划分 , 以揭示影响成败的关键风险因素,包括单因素风险评价和总体风险评价。
- 风险应对技术: IT技术体系中为特定风险制定的应对技术方案,包括云计算、冗余链路、冗余资源、系统弹性伸缩、两地三中心灾备 、 业务熔断限流等 。
审计抽样
是指审计人员在实施审计程序时,从审计对象总体中选取一定数量的样本进行测试,并根据测试结果,推断审计对象总体特征的一种方法
计算机辅助审计
( Computer Assisted Audit Tools, CAAT),也称为利用计算机审计,是指审计 人员在审计过程和审计管理活动中 , 以计算机为工具来执行和完成某些审计程序和任务的 一种新 兴审计技术
大数据审计
是指遵循大数据理念,运用大数据技术方法和工具,利用数量巨大 、 来源分散 、 格式多样的数据,开展跨层级、 跨系统、跨部门和跨业务等的深入挖掘与分析, 提升审计发现 问题、评价判断、宏观分析的能力
13、 审计证据的特性: 充分性、 客观性、 相关性、 可靠性、 合法性。
审计工作底稿是指审计人员对制订的审计计划、实施的审计程序、获取的相关审计证据,以及 得出的审计结论做出的记录。
14、 审计工作底稿一般分为:
- 综合类工作底稿
- 业务类工作底稿
- 备查类工作底稿:被审计单位或第三者
15、 审计工作底稿三级复核制度
是指以审计机构负责人、 部门负责人和项目负责人(或项目经理) 为复核人。
由于下列两种情况需要查阅审计工作底稿的,不属于泄密 情形:
- 法院、检察院及国家其他部门依法查阅,井按规定办理了必要手续:
- 审计协会或其委派单位对审计机构执业情况进行检查 。
3.2.3 审计流程
审计流程是指审计人员在具体审计过程中采取的行动和步骤
16、 审计流程一般分为四个阶段:
- 审计准备
- 审计实施
- 审计终结
- 后续审计
3.2.4 审计内容
17、 IT审计业务和服务通常分为:
- IT内部控制审计
- IT专项审计
GB/T34960.1《信息技术服务治理第1部分:通用要求》规定了IT治理的模型和框架、实施IT治理的原则,以及开展IT顶层设计、管理体系和资源的治理要求。该标准可用于:
- 建立组织的IT治理体系,并实施自我评价:
- 开展信息技术审计:
- 研发、选择和评价IT治理相关的软件或解决方案:
- 第三方对组织的IT治理能力进行评价