第3章 信息系统治理

治理和管理

• 治理（Governance） ：建立各种机制保证组织朝正确的方向和目标行动
• 管理（Management）：由计划、组织、指挥、协调及控制等职能要素组成的活动过程

• 信息系统治理 （IT 治理）是组织开展信息技术及其应用活动的重要管控手段，也是组织治 理的重要组成部分，尤其在以数字化发展为重要关注点的新时代，组织的数字化转型和组织建 设过程中， IT 治理起到重要的统筹、评估、指导和监督作用。
• 信息技术审计 （IT 审计）作为与 IT 治理配套的组织管控手段，是 IT 治理不可或缺的评估和监督工具，重点承担着组织信息系统 发展的合规性检测以及信息技术风险的管控等职能 。

3.1 IT治理

3.1.1 IT治理基础

1、 IT治理主要目标包括：

• 与业务目标一致
• 有效利用信息与数据资源
• 风险管理

IT治理的管理层次大致可分为三层:

• 最高管理层 的主要职责包括:
  • 证实IT战略与业务战略是否一致
  • 证实通过明确的期望和衡量手段交付IT价值
  • 指导IT战略、平衡支持组织当前和未来发展的投资
  • 指导信息和数据资源的分配
• 执行管理层 的主要职责包括:
  • 制定IT的目标
  • 分析新技术的机遇和风险
  • 建设关键过程与核 心竞争力
  • 分配责任、定义规程、衡量业绩:
  • 管理风险和获得可靠保证等 。
• 业务及服务执行层 的主要职责包括:
  • 信息和数据服务的提供和支持
  • IT基础设施的建设和维护
  • IT需求的提出和响应

3.1.2 IT治理体系

有效的IT治理必须关注五项关键决策:

• IT原则
• IT架构
• IT基础设施
• 业务应用需求
• IT投资和优先顺序

4、 IT治理体系框架具体包括：

• IT战略目标
• IT治理组织:核心是治理机构(如 IT 治理委员会等)的设置和权限的划分
• IT治理机制
• IT治理域: 内容包括 IT 信息系统的计划、构建、运维与监控等
• IT治理标准
• IT绩效目标

IT 治理本质上关心:

1. 实现 IT 的业务价值
2. IT 风险的规避

5、 IT治理的核心内容包括六个方面：

• 组织职责
• 战略匹配
• 资源管理
• 价值交付
• 风险管理
• 绩效管理

6、 建立IT治理机制的原则包括：

1. 简单
2. 透明
3. 适合

3.1.3 IT治理任务

组织的 IT 治理活动定义为统筹、指导、监督和改进

组织开展 IT 治理活动的主要任务聚焦在如下五个方面

• 全局统筹
• 价值导向
• 机制保障
• 创新发展
• 文化助推

3.1.4 IT治理方法与标准

信息技术服务标准库(Information Technology Service Standards, ITSS)

7、 该标准定义的IT治理框架包含信息技术顶层设计、 管理体系和资源三大治理域。

GB/T 34960.1 《信息技术服务治理第 l 部分:通用要求》标准定义的 IT 治理模型包含治理的内外部要求、治理主体、治理方法，以及信息技术及 其应用的管理体系

8、 IT治理实施框架包括治理的实施环境、 实施过程和治理域。

信息和技术治理框架(Control Objectives for Information and related Technology, COBIT)

9、 COBIT中治理目标被列入评估、 指导和监控（EDM） 领域， 管理目标分为四个领域：

• ①调整、 规划和组织（APO） 针对IT的整体组织、 战略和支持活动;
• ②内部构建、 外部采购和实施（BAI） 针对IT解决方案的定义、 采购和实施以及它们到业务流程的整合;
• ③交付、 服务和支持（DSS） 针对IT服务的运营交付和支持， 包括安全;
• ④监控、 评价和评估（MEA） 针对IT的性能监控及其与内部性能目标、 内部控制目标和外部要求的一致程度。

COBIT 给出了建议设计流程:

1. 了解组织环境和战略
2. 确定治理系统的初步范围
3. 优化治理系统的范围
4. 最终确 定治理系统的设计

IT 治理标准 ISO/IEC 38500 规定治理机构应通过评估、指导和监督三个主要任务来治理 IT

3.2 IT审计

3.2.1 IT审计基础

组织的 IT 目标主要包括:

1. 组织的 IT战略应与业务战略保持一致;
2. 保护信息资产的安 全及数据的完整 、 可靠、有效;
3. 提高信息系统的安全性、可靠性及有效性:
4. 合理保证信息 系统及其运用符合有关法律、法规及标准等 的要求 。

对 IT 审计人员的要求 包括职业道德、知识、技能、资格与经验、专业胜任能力及利用外部专家服务等方面

10、 IT审计风险主要包括:

• 固有风险
• 控制风险
• 检查风险
• 总体审计风险

3.2.2 审计方法与技术

11、常用审计方法包括：

• 访谈法: 结构型访谈和非结构型访谈
• 调查法
• 检查法: 审阅法 、核对法、 复算法和分析法
• 观察法
• 测试法: 黑盒法和 白盒法
• 程序代码检查法

12、 常用的IT审计技术包括：

• 风险评估技术
• 审计抽样技术
• 计算机辅助审计技术
• 大数据审计技术

IT风险评估技术一般包括:

• 风险识别技术: 用以识别可能影响一个或多个目标的不确定性，包括德尔菲法、头脑风暴法、检查表法、 SWOT技术及图解技术等。
• 风险分析技术 : 是对风险影响和后果进行评价和估量 ， 包括定性分析和定量分析。
• 风险评价技术 : 是在风险分析的基础上，通过相应的指标体系和评价标准，对风险程度进行划分 ， 以揭示影响成败的关键风险因素，包括单因素风险评价和总体风险评价。
• 风险应对技术: IT技术体系中为特定风险制定的应对技术方案，包括云计算、冗余链路、冗余资源、系统弹性伸缩、两地三中心灾备 、 业务熔断限流等 。

审计抽样是指审计人员在实施审计程序时，从审计对象总体中选取一定数量的样本进行测试，并根据测试结果，推断审计对象总体特征的一种方法

计算机辅助审计( Computer Assisted Audit Tools, CAAT)，也称为利用计算机审计，是指审计 人员在审计过程和审计管理活动中 ， 以计算机为工具来执行和完成某些审计程序和任务的 一种新 兴审计技术

大数据审计是指遵循大数据理念，运用大数据技术方法和工具，利用数量巨大 、 来源分散 、 格式多样的数据，开展跨层级、 跨系统、跨部门和跨业务等的深入挖掘与分析， 提升审计发现 问题、评价判断、宏观分析的能力

13、 审计证据的特性： 充分性、 客观性、 相关性、 可靠性、 合法性。

审计工作底稿是指审计人员对制订的审计计划、实施的审计程序、获取的相关审计证据，以及 得出的审计结论做出的记录。

14、 审计工作底稿一般分为:

• 综合类工作底稿
• 业务类工作底稿
• 备查类工作底稿：被审计单位或第三者

15、 审计工作底稿三级复核制度是指以审计机构负责人、 部门负责人和项目负责人（或项目经理） 为复核人。

由于下列两种情况需要查阅审计工作底稿的，不属于泄密 情形:

• 法院、检察院及国家其他部门依法查阅，井按规定办理了必要手续:
• 审计协会或其委派单位对审计机构执业情况进行检查 。

3.2.3 审计流程

审计流程是指审计人员在具体审计过程中采取的行动和步骤

16、 审计流程一般分为四个阶段：

• 审计准备
• 审计实施
• 审计终结
• 后续审计

3.2.4 审计内容

17、 IT审计业务和服务通常分为：

• IT内部控制审计
• IT专项审计

GB/T34960.1《信息技术服务治理第1部分:通用要求》规定了IT治理的模型和框架、实施IT治理的原则，以及开展IT顶层设计、管理体系和资源的治理要求。该标准可用于:

1. 建立组织的IT治理体系，并实施自我评价:
2. 开展信息技术审计:
3. 研发、选择和评价IT治理相关的软件或解决方案:
4. 第三方对组织的IT治理能力进行评价