【2025-系统规划与管理师】第11章：信息系统治理

第11章：信息系统治理

• IT治理
• • IT治理基础
  • IT治理体系
  • IT治理任务
  • IT治理方法与标准
• IT审计
• • IT审计基础
  • IT审计方法与技术
  • • IT审计常用方法
    • IT审计技术
    • IT审计证据
    • IT审计底稿
  • IT审计流程

---

说明

系列文章见：2025版-系统规划与管理师-备考文章目录

---

信息系统治理（IT治理）是组织开展 信息技术及其应用活动 的重要管控手段，也是组织治理的重要组成部分。

IT治理

IT治理基础

IT治理 是描述组织采用有效的机制对信息技术和数据资源开发利用，平衡信息化发展和数字化转型过程中的风险，确保实现组织的 战略目标 的过程。

IT 治理的驱动因素

IT治理是指组织在开发利用信息技术过程中，为鼓励组织所期望的组织行为而明确决策权归属和责任担当的框架，其目标是通过IT治理的决策权和责任影响组织所期望的组织行为。随着新时代的发展，数字特征成为组织发展的一项关键特征，组织的高质量发展对IT的依赖越来越强，IT治理对组织愈发重要，为确保IT治理的有效，组织高层管理者需要投入越来越多的时间和精力。

随着组织在IT方面的投资越来越大，组织的IT战略要与组织战略相一致，才能确保组织核心竞争力的建设与保持。

IT治理要从组织目标和数字战略中抽取信息需求和功能需求，形成总体的IT治理框架和系统整体模型，为进一步的系统设计和实施奠定基础，保证信息技术开发应用符合持续变化的业务目标。

高质量的IT治理能够使组织的IT管理和应用决策与组织期望的行为和业务目标相一致。

驱动组织开展高质量IT治理的因素包括：

1. 良好的IT治理能够确保组织IT投资的有效性；
2. IT属于知识高度密集型领域，其价值发挥的弹性较大；
3. IT已经融入组织管理、运行、生产和交付等各领域,成为各领域高质量发展的重要基础；
4. 信息技术的发展演进以及新兴信息技术的引入，可为组织提供大量新的发展空间和业务机会等；
5. IT治理能够推动组织充分理解IT价值，从而促进IT价值挖掘和融合利用；
6. IT价值不仅仅取决于好的技术，也需要良好的价值管理，以及场景化的业务融合应用；
7. 高级管理层的管理幅度有限，无法深入IT每项管理中，需要采用明确责权和清晰管理的方式确保IT价值；
8. 成熟度较高的组织以不同的方式治理IT，获得了领域或行业领先的业务发展效果。

IT治理的内涵主要体现在5个方面：

• IT治理作为组织上层管理的有机组成部分，由组织治理层或高级管理层负责,从组织全局的高度对组织信息化与数字化转型做出制度安排，体现了治理层和最高管理层对信息相关活动的关注；
• IT治理强调数字目标与组织战略目标保持一致，通过对IT的综合开发利用，为组织战略规划提供技术或控制方面的支持，以保证相关建设能够真正落实并贯彻组织业务战略和目标；
• IT治理保护利益相关者的权益，对风险进行有效管理，合理利用IT资源，平衡成本和收益，确保信息系统应用有效、及时地满足需求，并获得期望的收益，增强组织的核心竞争力；
• IT治理是一种制度和机制，主要涉及管理和制衡信息系统与业务战略匹配，信息系统建设投资,信息系统安全和信息系统绩效评价等方面的内容；
• IT治理的组成部分包括管理层、组织结构、制度,流程、人员、技术等多个方面，共同构建完善的IT治理架构，达到数字战略和支持组织的目标。

IT治理的目标价值

IT治理将帮助组织建立以组织战略为导向、以实现IT与业务匹配为重心、以价值交付为成果、以绩效管理为控制手段的IT管理体制，正确定位IT团队在整个组织中的

作用。

IT治理的主要目标包括：与业务目标一致、有效利用信息与数据资源、风险管理。

IT治理的管理层次

管理层次大致可分为三层：最高管理层、执行管理层、业务与服务执行层。

• 最高管理层的主要职责包括:：实IT战略与业务战略是否一致；证实通过明确的期望和衡量手段交付IT价值；指导IT战略、平衡支持组织当前和未来发展的投资；指导信息和数据资源的分配。
• 执行管理层的主要职责包括：制定IT的目标；分析新技术的机遇和风险；建设关键过程与核心竞争力；分配责任、定义规程、衡量业绩；管理风险和获得可靠保证等。
• 业务及服务执行层的主要职责包括：信息和数据服务的提供和支持；IT基础设施的建设和维护；IT需求的提出和响应。

IT治理体系

IT治理的核心是关注IT定位和信息化建设与数字化转型的责权划分。

IT治理体系的构成如图所示，具体包括：（1）IT定位，IT应用的期望行为与业务目标一致；（2）IT治理架构，业务和IT在治理委员会中的构成、组织IT与各分支机构的IT权责边界等；（3）IT治理内容，决策、投资、风险、绩效和管理等；（4）IT治理流程，统筹、评估、指导、监督；（5）IT治理效果(内外评价)等。

1. IT 治理关键决策

有效的IT治理必须关注5项关键决策，包括：IT原则、IT架构、IT基础设施、业务应用需求、IT投资和优先顺序。

IT决策过程中，需要关注各类关键问题：

2. IT治理体系框架

IT治理体系框架以组织的战略目标为导向，架起了组织战略与IT的桥梁，实现了IT风险的全面管理以及IT资源的合理利用。IT治理体系框架具体包括IT战略目标、IT治理组织、IT治理机制、IT治理域、IT治理标准和IT绩效目标等部分，形成了一整套IT治理运行闭环。

3. IT治理核心内容

IT治理本质上关心：（1）实现IT的业务价值；（2）IT风险的规避。前者是通过IT与业务战略匹配来实现的，后者通过在组织内部建立相关职责来实现。两者都需要相关资源的支持，并对其绩效进行有效度量。IT治理的核心内容包括6个方面，即组织职责、战略匹配、资源管理、价值交付、风险管理和绩效管理。

• 组织职责
• 战略匹配
• 资源管理
• 价值交付
• 风险管理
• 绩效管理

4. IT治理机制经验

建立IT治理机制的原则包括：（1）简单，机制应该明确地定义特定个人和团体所承担的责任和目标；（2）透明，有效的机制依赖于正式的程序，对于那些被治理决策所影响或是想要挑战治理决策的人来说，机制如何工作是需要非常清晰的；（3）适合，机制鼓励那些处于最佳位置的个人去制定特定的决策。

IT治理任务

组织的IT治理活动定义为统筹、评估、指导和监督。

• 统筹现在和未来的IT战略和组织规划、管理和绩效的实施计划、策略；
• 评估信息技术应用与服务创新解决方案及措施等的有效性；
• 指导IT管理实施、绩效考评、风险控制和业务创新；
• 监督IT与业务的一致性、符合性及IT应用的合规性。

---

组织开展IT治理活动的主要任务聚焦在如下5个方面:

1. 全局统筹。统筹规划IT治理的目标范围、技术环境、发展趋势和人员责权。组织需要适应当前信息环境和未来发展趋势，保证利益相关者理解和接受IT战略、目标和发展方向。组织需要把IT治理作为组织治理的组成部分，建立IT治理机构,并明确组织负责人对IT治理工作负责。组织还需要关注IT发展的规划、实施、检查和改进全过程，重点包括：（1）制定满足可持续发展的IT蓝图；（2）实施科学决策、集约管理的策略，实现横向的业务集成和纵向的业务管控，通过内外部的监督，确保IT与业务的一致性和适用性；（3）建立适应内外部信息环境变化的持续改进和创新机制。

2. 价值导向。包括基于实现有效收益、确保预期收益清晰理解，明确实现收益的问责机制。组织需要建立IT投资的价值框架，确保在可承担成本和可接受风险水平的基础上，实现IT的战略目标。确保IT治理符合组织治理的价值导向、明确战略投资方向以及由投资产生的IT服务、资产和其他资源。组织需要建立价值递送规则，确保利益相关者明确相应的权利和义务。这包括：（1）认可信息技术、信息系统和数据在组织中的价值；（2）识别投资目录，并以相应的方式进行评估和管理；（3）对关键指标进行设定和监督，并对变化和偏差做出及时回应；（4）权衡实施成本与预期效益，并随组织内外部环境的变化及时调整。

3. 机制保障。组织应对自身IT发展进行有效管控，保证IT需求与实现的协调发展，并使IT安全和风险得到有效的识别、管理、防范和处置。组织需要建立适合组织特点的机制保障方法，满足疏漏互补、协同发展、监督改进和安全风险可控的原则，避免扭曲决策目标方向。组织需要明确管理责任，明晰上下左右权利关系，落实责任制和各项措施。组织可以根据相关法律法规、行业管理和上级监管机构发布的规范文件要求，制定本组织的信息技术治理制度并实施。重点聚焦在：（1）指导建立规范过程管理和痕迹管理，并向利益相关者公开质量设定举措；（2）评审IT管理体系的适宜性、充分性和有效性；（3）审计IT的完整性、有效性和合规性；（4）监督由审计和管理评审提出的改进内容的实施。

4. 创新发展。创新发展指利用IT创新开拓业务领域、提升管理水平、改进质量、绩效和降低成本，确保实现战略自标的灵活性和对环境变化的适应性。组织需要通过建立围绕知识资产的创新体系，支撑组织的技术进步、管理提升和业务模式变革。组织可以持续保持管理团队的创造技能,并指导培养各级成员的发问、观察、交际和实验能力。组织可以建立支持创新的人员、技术、制度、资金、风险、文化和市场需求的机制体系，包括：（1）创造基于业务团队与IT团队的深度沟通以及对内外部环境感知和学习的技术创新环境；（2）确保技术发展、管理创新、模式革新的协调联动；（3）对组织创新能力进行评估，并对关键创新要素进行分析和评价；（4）通过促进和创新，有效抵御风险，并确保创新是组织文化的组成部分。

5. 文化助推。文化助推指组织与利益相关者沟通IT治理的目标、策略和职责,营造积极向上、沟通包容的组织文化。组织需要引导组织人员适应IT建设所带来的变革、遵循道德和职业规范、端正态度和规范行为。组织可以要求各级管理层把符合信息技术战略发展的文化建设作为其职责的一部分。按照文化营造、实施和改进的生命周期,保障利益相关者的沟通和透明，包括：（1）建立与IT发展相适应的组织文化发展策略；（2）营造包括知识、技术、管理、情操在内的积极向上的文化氛围；（3）根据组织内部环境的变化，评估并改进组织文化的管理。

IT治理方法与标准

1. 信息技术服务标准

1. IT治理通用要求

GB/T34960.1《信息技术服务治理第1部分:通用要求》规定了IT治理的模型和框架、实施IT治理的原则,以及开展IT顶层设计、管理体系和资源的治理要求。该标准可用于:1建立组织的IT治理体系,并实施自我评价;2开展信息技术审计;3研发、选择和评价IT治理相关的软件或解

决方案;4第三方对组织的IT治理能力进行评价。各级信息化主管部门可根据法律法规、部门规章的要求,使用该标准对所管辖各类组织的IT治理提出要求,并进行评估、指导和监督。

该标准定义的IT治理模型包含治理的内外部要求、治理主体、治理方法,以及信息技术及其应用的管理体系

该标准定义的IT治理框架包含信息技术顶层设计、管理体系和资源三大治理域 ,每个治理域由若干治理要素组成,如图11-7所示。顶层设计治理域包含信息技术的战略,以及支撑战略的组织和架构;管理体系治理域包含信息技术相关的质量管理、项目管理、投资管理、服务管理、业务连续性管理、信息安全管理、风险管理、供方管理、资产管理和其他管理;资源治理域包含信息技术相关的

基础设施、应用系统和数据。

2. IT治理实施指南

GB/T34960.2《信息技术服务治理第2部分:实施指南》提出了1T治理通用要求的实施指南,分析了实施IT治理的环境因素,规定了IT治理的实施框架、实施环境和实施过程,并明确顶层设计治理、管理体系治理和资源治理的实施要求。适用于:1建立组织的IT治理实施框架,明确实施方法和过程:2组织内部开展IT治理的实施:3IT治理相关软件或解决方案实施落地的指导:4第三方开展IT治理评价的指导。

IT治理实施框架包括治理的实施环境、实施过程和治理域,如图11-8所示。实施环境包括组织的内外部环境和促成因素。实施过程规定了IT治理实施的方法论,包括统筹和规划、构建和运行、监督和评估、改进和优化。治理域定义了IT治理对象,包括顶层设计、管理体系和资源。顶层设计包括战略、组织和架构:管理体系包括质量管理、项目管理、投资管理、服务管理、业务连续性管理、信息安全管理、风险管理、供方管理、资产管理和其他管理;资源包括基础设施、应用系统和数据。组织可以结合实施环境的分析,按照实施过程,以治理域为对象开展IT治理实施。

2. 信息和技术治理框架

治理系统的组件包括：

• 流程
• 组织结构
• 原则、政策和程序
• 信息
• 文化
• 人员、技能和胜任能力
• 服务、基础设施和应用程序

3. IT治理国际标准

待补充

IT审计

IT审计基础

IT审计重要性是指IT审计风险(固有风险、控制风险、检查风险)对组织影响的严重程度，如财务损失、业务中断、失去客户信任、经济制裁等。

IT审计目的

IT审计的目的是指通过开展IT审计工作，了解组织IT系统与IT活动的总体状况，对组织是否实现IT目标进行审查和评价，充分识别与评估相关IT风险，提出评价意见及改进建议，促进组织实现IT目标。

组织的IT目标主要包括：（1）组织的IT战略应与业务战略保持一致；（2）保护信息资产的安全及数据的完整、可靠、有效；（3）提高信息系统的安全性、可靠性及有效性；（4）合理保证信息系统及其运用符合有关法律、法规及标准等的要求。

IT审计范围

一般来说，IT审计范围需要根据审计目的和投入的审计成本来确定。在确定审计范围时，除了考虑前面提及的审计内容外，还需要明确审计的组织范围、物理位置以及信息系统相关逻辑边界。

在实际的应用实践中，审计人员在实施IT审计项目前，应先对组织与信息系统相关的总体情况进行了解和风险评估，确定主要IT风险，如与环境控制相关的风险、与系统相关的风险、与数据相关的风险等，然后根据确定的风险来判断哪些控制、流程对组织的影响比较大，并结合审计项目预计的时间、配备的审计力量等来确定重点审计范围。

IT审计人员

根据GB/T34690.4《信息技术服务治理第4部分:审计导则》,对IT审计人员的要求包括职业道德、知识、技能、资格与经验、专业胜任能力及利用外部专家服务等方面。

IT审计风险

IT审计风险主要包括固有风险、控制风险、检查风险和总体审计风险。固有风险、控制风险、检查风险的内容如表所示。

总体审计风险是指针对单个控制目标所产生的各类审计风险总和。良好的审计计划应尽可能评估和控制审计风险，减少或控制所检查领域的审计风险，比如采取合适的审计工具，在完成审计时把总体审计风险控制在足够低的水平之内，以达到预期的保证水平。

IT审计方法与技术

IT审计常用方法

常用审计方法包括访谈法、调查法、检查法、观察法、测试法和程序代码检查法等

IT审计技术

常用的IT审计技术包括风险评估技术、审计抽样技术、计算机辅助审计技术及大数据审计技术。

（1）风险评估技术

IT风险评估技术一般包括:

• 风险识别技术，用以识别可能影响一个或多个目标的不确定性，包括德尔菲法、头脑风暴法、检查表法、SWOT技术及图解技术等。
• 风险分析技术，是对风险影响和后果进行评价和估量，包括定性分析和定量分析。
• 风险评价技术，是在风险分析的基础上，通过相应的指标体系和评价标准，对风险程度进行划分，以揭示影响成败的关键风险因素，包括单因素风险评价和总体风险评价。
• 风险应对技术，是IT技术体系中为特定风险制定的应对技术方案，包括云计算、冗余链路、冗余资源、系统弹性伸缩、两地三中心灾备、业务熔断限流等。

（2）审计抽样技术

审计抽样是指审计人员在实施审计程序时，从审计对象总体中选取一定数量的样本进行测试。

（3）计算机辅助审计技术

计算机辅助审计(Computer Assisted Audit Tools，CAAT)也称为利用计算机审计，是指审计人员在审计过程和审计管理活动中，以计算机为工具来执行和完成某些审计程序和任务的一种新兴审计技术。它并非电算化系统审计特有的方法，对手工系统的审计也可应用这些技术。

CAAT包括多种工具和技术，如通用审计软件(GAS)、测试数据、实用工具软件、专家系统等。

（4）大数据审计技术

大数据审计技术包括大数据智能分析技术、大数据可视化分析技术及大数据多数据源综合分析技术等。

IT审计证据

审计证据是指由审计机构和审计人员获取 ，用于确定所审计实体或数据是否遵循既定标准或目标，形成审计结论的证明材料 。审计证据是审计意见的支柱，是审计人员形成审计结论的基础 。审计人员必须基于足够、相关和适当的审计证据，为其审计观点提供合理的结论。审计证据还可以被作为解除或追究被审计人经济责任的依据，并且审计证据还是控制审计工作质量的关键。

审计证据的特性：

分类	说明
充分性	指要求审计人员根据所获证据足以被审计对象提出一定程度保证的结论，是对审计证据数据量的要求，主要与审计人员确定的样本量有关
客观性	指审计证据必须是客观存在的事实材料。客观的审计证据比需要判断或解释的证据可靠
相关性	指审计证据与审计事项之间必须有实质性联系
可靠性	指审计证据能够反映和证实客观经济活动特征的程度。审计证据的可靠性受到审计证据的类型、取证的渠道和方式等因素的影响
合法性	指审计证据必须符合法定种类，并依照法定程序取得

IT审计底稿

审计工作底稿是指审计人员对制订的审计计划、实施的审计程序、获取的相关审计证据，以及得出的审计结论做出的记录。审计工作底稿是审计证据的载体，是审计人员在审计过程中形成的审计工作记录和获取的资料。

审计底稿的作用表现在：

• 是形成审计结论、发表审计意见的直接依据。
• 是评价考核审计人员的主要依据。
• 是审计质量控制与监督的基础。
• 对未来审计业务具有参考备查作用。

审计工作底稿一般分为综合类工作底稿、业务类工作底稿和备查类工作底稿。

• 综合类工作底稿：指审计人员在审计计划阶段和审计报告阶段，为规划、控制和总结整个审计工作并发表审计意见所形成的审计工作底稿。主要包括：审计业务约定书、审计计划、审计总结、审计报告、管理建议书、被审计单位管理当局声明书以及审计人员对整个审计工作进行组织管理的所有记录和资料。
• 业务类工作底稿：指审计人员在审计试试阶段为执行具体审计程序所形成的审计工作底稿。包括：符合性测试中形成的内部控制问题调查表和流程图、实质性测试中形成的项目明细表等。
• 备查类工作底稿：指审计人员在审计过程中形成的对审计工作仅具有备查作用的审计工作底稿。应随被审计单位有关情况的变化而不断更新；应详细列明目录清单...通常，备查类审计工作底稿是由被审计单位或第三方根据实际情况提供或代为编制的，审计人员应认真审核，并对所获得的有关文件、资料 标明其具体来源。

通常，根据审计机构的组织规模和业务范围，可以实行对审计工作底稿的三级复核制度 。审计工作底稿三级复核制度是指以审计机构负责人、部门负责人和项目负责人(或项目经理)为复核人，依照规定的程序和要点对审计工作底稿进行逐级复核的制度。

IT审计流程