学信息系统项目管理师第4版系列29_信息系统治理

1. IT治理

1.1. 描述组织采用有效的机制对信息技术和数据资源开发利用，平衡信息化发展和数字化转型过程中的风险，确保实现组织的战略目标的过程

1.2. 驱动因素

1.2.1. 信息孤岛

1.2.2. 信息资源整合目标空泛

1.3. 高质量IT治理因素

1.3.1. 良好的IT治理能够确保组织IT投资有效性

1.3.2. IT属于知识高度密集型领域，其价值发挥的弹性较大

1.3.3. IT已经融入组织管理、运行、生产和交付等各领域中

1.3.4. 信息技术的发展演进以及新兴信息技术的引入

1.3.5. IT治理能够推动组织充分理解IT价值

1.3.6. IT价值不仅仅取决于好的技术，也需要良好的价值管理，场景化的业务融合应用

1.3.7. 高级管理层的管理幅度有限

1.3.8. 成熟度较高的组织以不同的方式治理IT

1.4. 内涵主要体现

1.4.1. IT治理作为组织上层管理的一个有机组成部分

1.4.2. IT治理强调数字目标与组织战略目标保持一致

1.4.3. IT治理保护利益相关者的权益

1.4.4. IT治理是一种制度和机制

1.4.5. IT治理的组成部分包括管理层、组织结构、制度、流程、人员、技术等多个方面

1.5. 主要目标

1.5.1. 与业务目标一致

1.5.2. 有效利用信息与数据资源

1.5.3. 风险管理

1.6. 管理层次

1.6.1. 最高管理层

1.6.2. 执行管理层

1.6.3. 业务及服务执行层

1.7. 本质上关心

1.7.1. 实现IT的业务价值

1.7.2. IT风险的规避

2. IT治理体系

2.1. 描述组织在信息化建设和数字化转型过程中是否采用有效的机制使得信息技术开发利用能够完成组织赋予它的使命

2.2. 关键决策

2.2.1. IT原则

2.2.2. IT架构

2.2.3. IT基础设施

2.2.4. 业务应用需求

2.2.5. IT投资和优先顺序

2.3. 框架

2.3.1. IT战略目标

2.3.2. IT治理组织

2.3.3. IT治理机制

2.3.4. IT治理域

2.3.5. IT治理标准

2.3.6. IT绩效目标

2.4. 核心内容

2.4.1. 组织职责

2.4.2. 战略匹配

2.4.3. 资源管理

2.4.4. 价值交付

2.4.4.1. 创造业务价值

2.4.5. 风险管理

2.4.5.1. 保护业务价值

2.4.6. 绩效管理

2.5. 原则

2.5.1. 简单

2.5.2. 透明

2.5.3. 适合

3. IT治理任务

3.1. 全局统筹

3.1.1. 制订满足可持续发展的IT蓝图

3.1.2. 实施科学决策、集约管理的策略，实现横向的业务集成和纵向的业务管控；通过内外部的监督，确保IT与业务的一致性和适用性

3.1.3. 建立适应内外部信息环境变化的持续改进和创新机制

3.2. 价值导向

3.2.1. 认可信息技术、信息系统和数据在组织中的价值

3.2.2. 识别投资目录，并以相应的方式进行评估和管理

3.2.3. 对关键指标进行设定和监督，并对变化和偏差做出及时回应

3.2.4. 权衡实施成本与预期效益，并随组织内外部环境的变化及时调整

3.3. 机制保障

3.3.1. 指导建立规范过程管理和痕迹管理

3.3.2. 评审IT管理体系的适宜性、充分性和有效性

3.3.3. 审计IT完整性、有效性和合规性

3.3.4. 监督由审计和管理评审，提出改进内容的实施

3.4. 创新发展

3.4.1. 创造基于业务团队与IT团队的深度沟通以及对内外部环境感知和学习的技术创新环境

3.4.2. 确保技术发展、管理创新、模式革新的协调联动

3.4.3. 对组织创新能力进行评估，并对关键创新要素进行分析和评价

3.4.4. 通过促进和创新有效抵御风险，并确保创新是组织文化的组成部分

3.5. 文化助推

3.5.1. 建立与IT发展相适应的组织文化发展策略

3.5.2. 营造包括知识、技术、管理、情操在内的积极向上的文化氛围

3.5.3. 根据组织内部环境的变化，评估并改进组织文化的管理

4. IT治理方法与标准

4.1. ITSS中IT服务治理

4.1.1. 逻辑关系图

4.1.2. 治理模型

4.1.3. 治理框架

4.1.4. 治理实施框架

4.2. 信息和技术治理框架(COBIT）

4.2.1. 面向整个组织的信息和技术治理及管理框架

4.2.2. 治理系统组件

4.2.2.1. 流程

4.2.2.2. 组织结构

4.2.2.3. 原则、政策和程序

4.2.2.4. 信息

4.2.2.5. 文化、道德和行为

4.2.2.6. 人员、技能和胜任能力

4.2.2.7. 服务、基础设施和应用程序

4.2.3. 设计流程

4.2.3.1. 了解组织环境和战略

4.2.3.2. 确定治理系统的初步范围

4.2.3.3. 优化治理系统的范围

4.2.3.4. 最终确定治理系统的设计

4.3. IT治理国际标准(ISO/IEC 38500)

4.3.1. 责任

4.3.2. 战略

4.3.3. 收购

4.3.4. 性能

4.3.5. 一致性

4.3.6. 人的行为

4.3.7. 主要任务

4.3.7.1. 评估

4.3.7.2. 指导

4.3.7.3. 监督

5. IT审计

5.1. 对组织IT目标的达成以及组织战略目的实现具备重要的作用

5.2. IT审计重要性是指IT审计风险（固有风险、控制风险、检查风险）对组织影响的严重程度

5.3. 定义

5.3.1. IT审计是一个获取并评价证据，以判断计算机系统是否能够保证资产的安全、数据的完整以及有效利用组织的资源并有效实现组织目标的过程

5.3.1.1. 国际信息系统审计协会

5.3.1.2. ISACA

5.3.2. IT审计是对计算机化的系统进行审计，不仅是对现有信息系统的控制，还包括对系统建立过程、计算机设备和网络管理等方面的控制

5.3.2.1. 国际货币基金组织

5.3.2.2. IMF

5.3.3. IT审计是一个通过获取并评估证据，以判断IT系统是否保护组织的资产，有效地利用组织的资源，保障数据的安全性和一致性，以及有效地达到组织业务目标的过程

5.3.3.1. 最高审计机关国际组织

5.3.3.2. INTOSAI

5.3.4. IT审计是根据IT审计标准的要求，对信息系统及相关的IT内部控制和流程进行检查、评价，并发表审计意见

5.3.4.1. GB/T 34690.4《信息技术服务 治理第4部分：审计导则》

5.4. 目的

5.4.1. 通过开展IT审计工作，促进组织实现IT目标

5.5. 目标

5.5.1. 组织的IT战略应与业务战略保持一致

5.5.2. 保护信息资产的安全及数据的完整、可靠、有效

5.5.3. 提高信息系统的安全性、可靠性及有、效性

5.5.4. 合理保证信息系统及其运用符合有关法律、法规及标准等的要求

5.6. 范围

5.6.1. 总体范围

5.6.1.1. 需要根据审计目的和投入的审计成本来确定

5.6.2. 组织范围

5.6.2.1. 明确审计涉及的组织机构、主要流程、活动及人员等

5.6.3. 物理范围

5.6.3.1. 具体的物理地点与边界

5.6.4. 逻辑范围

5.6.4.1. 涉及的信息系统和逻辑边界

5.7. 人员要求

5.7.1. 职业道德

5.7.2. 知识、技能、资格与经验

5.7.3. 专业胜任能力

5.7.4. 利用外部专家服务

5.8. 风险

5.8.1. 固有风险

5.8.1.1. 指IT活动不存在相关控制的情况下，易于导致重大错误的风险

5.8.2. 控制风险

5.8.2.1. 与IT活动相关的内部控制体系不能及时预防或检查出存在的重大错误的风险

5.8.3. 检查风险

5.8.3.1. 检查风险是指通过预定的审计程序未能发现重大、单个或与其他错误相结合的风险

5.8.4. 总体审计风险

5.8.4.1. 针对单个控制目标所产生的各类审计风险总和

6. 审计方法与技术

6.1. IT审计依据与准则

6.1.1. 法律法规

6.1.2. 审计准则

6.1.3. IT审计国际标准

6.1.4. 组织内部控制

6.2. IT审计常用方法

6.2.1. 访谈法

6.2.2. 调查法

6.2.3. 检查法

6.2.4. 观察法

6.2.5. 测试法

6.2.6. 程序代码检查法

6.3. IT审计技术

6.3.1. 风险评估技术

6.3.1.1. 风险识别技术

6.3.1.1.1. 德尔菲法

6.3.1.1.2. 头脑风暴法

6.3.1.1.3. 检查表法

6.3.1.1.4. SWOT技术

6.3.1.1.5. 图解技术

6.3.1.2. 风险分析技术

6.3.1.2.1. 定性分析

6.3.1.2.2. 定量分析

6.3.1.3. 风险评价技术

6.3.1.3.1. 单因素风险评价

6.3.1.3.2. 总体风险评价

6.3.1.4. 风险应对技术

6.3.1.4.1. 云计算

6.3.1.4.2. 冗余链路

6.3.1.4.3. 冗余资源

6.3.1.4.4. 系统弹性伸缩

6.3.1.4.5. 两地三中心灾备

6.3.1.4.6. 业务熔断限流

6.3.2. 审计抽样技术

6.3.2.1. 统计抽样

6.3.2.2. 非统计抽样

6.3.3. 计算机辅助审计技术

6.3.3.1. Computer Assisted Audit Tools, CAAT

6.3.4. 大数据审计技术

6.3.4.1. 大数据智能分析技术

6.3.4.2. 大数据可视化分析技术

6.3.4.3. 大数据多数据源综合分析技术

6.4. IT审计证据

6.4.1. 审计证据是指由审计机构和审计人员获取，用于确定所审计实体或数据是否遵循既定标准或目标，形成审计结论的证明材料

6.4.2. 特性

6.4.2.1. 充分性

6.4.2.2. 客观性

6.4.2.3. 相关性

6.4.2.4. 可靠性

6.4.2.5. 合法性

6.4.3. 电子证据

6.4.3.1. 电子证据是信息环境下经常使用的一种证据类型

6.4.3.2. 电子证据是指以电子的、数据的、磁性的或类似性能的相关技术形式存在并能够证明事件事实真实情况的一切材料

6.5. IT审计底稿

6.5.1. 审计证据的载体，是审计人员在审计过程中形成的审计工作记录和获取的资料

6.5.2. 形成于审计过程，也反映整个审计过程

6.5.3. 作用

6.5.3.1. 是形成审计结论、发表审计意见的直接依据

6.5.3.2. 是评价考核审计人员的主要依据

6.5.3.3. 是审计质量控制与监督的基础

6.5.3.4. 对未来审计业务具有参考备查作用

6.5.4. 分类

6.5.4.1. 综合类工作底稿

6.5.4.1.1. 审计人员在审计计划阶段和审计报告阶段，为规划、控制和总结整个审计工作并发表审计意见所形成的审计工作底稿

6.5.4.1.2. 审计业务约定书

6.5.4.1.3. 审计计划

6.5.4.1.4. 审计总结

6.5.4.1.5. 审计报告

6.5.4.1.6. 管理建议书

6.5.4.1.7. 被审计单位管理当局声明书以及审计人员对整个审计工作进行组织管理的所有记录和资料

6.5.4.2. 业务类工作底稿

6.5.4.2.1. 审计人员在审计实施阶段为执行具体审计程序所形成的审计工作底稿

6.5.4.2.2. 符合性测试中形成的内部控制问题调查表和流程图

6.5.4.2.3. 实质性测试中形成的项目明细表

6.5.4.3. 备查类工作底稿

6.5.4.3.1. 审计人员在审计过程中形成对审计工作仅具有备查作用的审计工作底稿

6.5.5. 要求

6.5.5.1. 内容要求包括资料翔实、重点突出、繁简得当、结论明确

6.5.5.2. 形式要求包括要素齐全、格式规范、标识一致、记录清晰

6.5.6. 审计工作底稿的三级复核制度

6.5.7. 审计工作底稿按照一定的标准归入审计档案后，应交由档案管理部门进行管理

6.5.8. 建立健全审计工作底稿保密制度

6.5.8.1. 不属于泄密情形

6.5.8.1.1. 法院、检察院及国家其他部门依法查阅，并按规定办理了必要手续

6.5.8.1.2. 审计协会或其委派单位对审计机构执业情况进行检查

7. 审计流程

7.1. 审计人员在具体审计过程中采取的行动和步骤

7.2. 作用

7.2.1. 有效地指导审计工作

7.2.2. 有利于提高审计工作效率

7.2.3. 有利于保证审计项目质量

7.2.4. 有利于规范审计工作

7.3. 审计准备阶段

7.3.1. 明确审计目的及任务

7.3.2. 组建审计项目组

7.3.3. 搜集相关信息

7.3.4. 编制审计计划

7.4. 审计实施阶段

7.4.1. 深入调查并调整审计计划

7.4.2. 了解并初步评估IT内部控制

7.4.3. 进行符合性测试

7.4.4. 进行实质性测试

7.5. 审计终结阶段

7.5.1. 整理审计工作底稿、总结审计工作、编写审计报告、做出审计结论的期间

7.5.2. 整理与复核审计工作底稿

7.5.3. 整理审计证据

7.5.4. 评价相关IT控制目标的实现

7.5.5. 判断并报告审计发现

7.5.6. 沟通审计结果

7.5.7. 出具审计报告

7.5.8. 归档管理

7.6. 后续审计阶段

7.6.1. 审计人员为检查被审计单位对审计问题和建议是否己经采取了适当的纠正措施，并取得预期效果的跟踪审计

7.6.2. 后续审计报告

8. 审计内容

8.1. IT内部控制审计

8.1.1. 组织层面IT控制审计

8.1.2. IT一般控制审计

8.1.3. 应用控制审计

8.2. IT专项审计

8.2.1. 信息系统生命周期审计

8.2.2. 信息系统开发过程审计

8.2.3. 信息系统运行维护审计

8.2.4. 网络与信息安全审计

8.2.5. 信息系统项目审计

8.2.6. 数据审计