这份指南是针对软考信息系统项目管理师(第4版)教材第三章内容的深度解析,旨在通过结构化梳理帮助备考者高效掌握核心考点 。文章详细阐述了信息系统治理的理论框架,重点区分了IT治理的五项关键决策以及COBIT框架中治理与管理的职能差异 。此外,文档还深入剖析了IT审计的风险分类与标准体系,并辅以高频习题演练来强化对实战考情的理解。其核心目标是通过分值分析与重点速记的结合,指导考生在有限时间内精准识别并攻克这一章节的理论重难点。
一、 章节分值与考情分析
【章节重要性】 ⭐⭐⭐
【考查形式】 主要出现在【综合知识】(上午选择题),偶尔涉及案例分析中的理论背景。
【分值趋势】 平均分值约 【3-4分】
【备考策略】 本章理论性强,重点在于【区分概念】核心要点是【IT治理的五项关键决策】【COBIT框架的治理与管理区分】以及【IT审计的风险与方法】
二、 核心知识点速记(建议收藏)
3.1 IT治理基础与体系
1、【IT治理的内涵】 是组织上层管理的一部分,由【治理层或高级管理层【负责。主要关注:①实现IT的【业务价值】;②IT【风险的规避】 [教材P71]。
2、【IT治理的三大目标】 ①与【业务目标一致【;②有效利用【信息与数据资源【;③【风险管理】 [教材P69]。
3、【管理层次(三层)】
【最高管理层】 证实IT战略与业务战略一致,指导IT战略。
【执行管理层】 制定IT目标,分析新技术机遇。
【业务与服务执行层】 提供信息和数据服务支持 [教材P69]。
4、【五项关键决策(必背)】
【IT原则】 驱动IT架构,关于如何使用IT的陈述。
【IT架构】 决定基础设施,逻辑、标准化、一体化。
【IT基础设施】 决定服务能力,共享IT服务。
【业务应用需求】 购买或开发IT应用。
【IT投资和优先顺序】 投资多少、在哪里投资 [教材P70]。
5、【IT治理核心内容(6方面)】
组织职责、战略匹配、资源管理、价值交付、风险管理、绩效管理 [教材P72]。
3.2 标准与框架(GB/T 34960 & COBIT)
6、【GB/T 34960标准】
【顶层设计治理域】 战略、组织、架构。
【管理体系治理域】 包含质量、项目、投资、信息安全等。
【资源治理域】 基础设施、应用系统、数据 [教材P76]。
7、【COBIT 2019框架(核心模型)】
【治理目标(EDM)】 【评估、指导、监控】由【董事会】和【执行管理层】负责。
【管理目标(PBR)】 【计划(APO)、构建(BAI)、运行(DSS)、监控(MEA)】由【高级和中级管理层【负责 [教材P78]。
3.3 IT审计
8、【审计的特性】 职业道德、知识技能、专业胜任能力。审计证据需具备】充分性、客观性、相关性、可靠性、合法性】 [教材P86]。
9、【IT审计风险(三类)】
【固有风险】 IT活动本身具有的,审计人员【只能评估,无法控制】
【控制风险】 内部控制体系不能及时预防或检查出错误(与内控有关)。
【检查风险】 审计人员【未能发现】重大错误的风险(审计人员自身原因)[教材P82-83]。
10、【审计工作底稿(三类)】
【综合类】 审计计划、审计报告、管理建议书。
【业务类】 执行具体审计程序形成(如访谈记录、测试单)。
【备查类】 仅供参考(如被审单位的规章制度、合同复印件)[教材P87-88]。
需要章节重点PDF文件,欢迎私信,
三、 精选高频习题与解析(含页码)
1、 IT治理的最终目标是实现( )。
A. IT与业务的融合
B. 风险的可控性
C. 组织的战略目标
D. 成本的最小化
【答案】C
【解析】【IT治理是描述组织采用有效的机制对信息技术和数据资源开发利用......确保实现【组织的战略目标【的过程。(教材第4版 P67)
2、在IT治理的五项关键决策中,( )驱动着IT整体架构的形成。
A. IT原则
B. IT投资
C. 业务应用需求
D. IT基础设施
【答案】A
【解析】【IT原则】驱动着IT整体架构的形成,而IT整体架构又决定了基础设施。(教材第4版 P70)
3、根据GB/T 34960.1标准,IT治理模型包含三大治理域,其中不包括( )。
A. 顶层设计
B. 管理体系
C. 资源
D. 风险控制
【答案】D
【解析】【GB/T 34960.1定义的IT治理框架包含】顶层设计、管理体系和资源三大治理域。风险管理属于"管理体系"治理域中的一部分,不是并列的一级治理域。(教材第4版 P76)
4、在COBIT 2019核心模型中,属于"治理目标"的是( )。
A. 调整、规划和组织(APO)
B. 评估、指导和监控(EDM)
C. 内部构建、外部采购和实施(BAI)
D. 交付、服务和支持(DSS)
【答案】B
【解析】【只有【EDM(评估、指导、监控)【属于治理目标,由董事会负责;其他A、C、D均属于管理目标。(教材第4版 P78)
5、( )是指审计人员在实施审计程序时,未能发现重大、单个或与其他错误相结合的风险。
A. 固有风险
B. 控制风险
C. 检查风险
D. 总体审计风险
【答案】C
【解析】
固有风险:IT活动本身具有。
控制风险:内控体系失效。
【检查风险】:审计程序未能发现错误(审计人员的问题)。(教材第4版 P83)
6、关于IT审计常用方法的描述,错误的是( )。
A. 访谈法分为结构型访谈和非结构型访谈
B. 检查法是对记录和文件进行审查,或对资产进行实物审查
C. 观察法可以证实审计事项,常用于验证内部控制的执行
D. 测试法只能采用黑盒测试,不能查看程序代码
【答案】D
【解析】【测试法主要包括黑盒法和【白盒法】白盒法是通过测试来检测产品内部动作是否按照规格说明书规定正常进行。(教材第4版 P84)
7、审计工作底稿是审计证据的载体。其中,审计计划、审计总结和审计报告属于( )。
A. 综合类工作底稿
B. 业务类工作底稿
C. 备查类工作底稿
D. 技术类工作底稿
【答案】A
【解析】【综合类工作底稿【包括:审计业务约定书、【审计计划】【审计总结】【审计报告】管理建议书等。(教材第4版 P87)
8、IT治理机制的原则不包括( )。
A. 简单
B. 透明
C. 适合
D. 复杂
【答案】D
【解析】【建立IT治理机制的原则包括】①简单;②透明;③适合】(教材第4版 P72)
9、审计人员在审计过程中,发现被审计单位的内部控制制度虽然建立,但未能有效执行,导致数据出现偏差。这种风险属于( )。
A. 固有风险
B. 控制风险
C. 检查风险
D. 操作风险
【答案】B
【解析】【控制风险】是指与IT活动相关的内部控制体系不能及时预防或检查出存在的重大错误的风险。(教材第4版 P83)
10、在IT治理的层级中,负责制定IT目标、分析新技术机遇与风险的是( )。
A. 最高管理层
B. 执行管理层
C. 业务执行层
D. IT技术层
【答案】B
【解析】
最高管理层:证实IT战略与业务战略一致。
执行管理层:制定IT目标,分析新技术机遇。
业务与服务执行层:信息和数据服务的提供。
(教材第4版 P69)