考点1.信息系统治理(IT治理)是组织开展信息技术及其应用活动的重要管控手段,也是组织治理的重要组成部分,尤其在以数字化发展为重要关注点的新时代,组织的数字化转型和组织建设过程中,IT治理起到重要的统筹、评估、指导和监督作用。
信息技术审计(IT审计)作为与 IT治理配套的组织管控手段,是IT治理不可或缺的评估和监督工具,重点承担着组织信息系统发展的合规性检测以及信息技术风险的管控等职能。
3.1IT治理
3.1.1IT治理基础
考点2.IT治理主要目标包括:与业务目标一致、有效利用信息与数据资源、风险管理。
(1)与业务目标一致。IT治理要从组织目标和数字战略中抽取信息与数据需求和功能需求,形成总体的IT治理框架和系统整体模型,为进一步系统设计和实施奠定基础,保证信息技术开发利用跟上持续变化的业务目标。
(2)有效利用信息与数据资源。通过IT治理对信息与数据资源的管理职责进行有效管理,保证投资的回收,并支持决策。
(3)风险管理。IT治理重视风险管理,通过制定信息与数据资源的保护级别,强调对关键的信息与数据资源,实施有效监控和事件处理。
考点3.IT治理管理层次大致可分为三层:最高管理层、执行管理层、业务与服务执行层。
(1)最高管理层的主要职责包括:证实IT战略与业务战略是否一致;证实通过明确的期望和衡量手段交付IT价值;指导IT战略、平衡支持组织当前和未来发展的投资;指导信息和数据资源的分配。
(2)执行管理层的主要职责包括:制定IT的目标;分析新技术的机遇和风险;建设关键过程与核心竞争力;分配责任、定义规程、衡量业绩;管理风险和获得可靠保证等。
(3)业务及服务执行层的主要职责包括:信息和数据服务的提供和支持;IT基础设施的建设和维护;IT需求的提出和响应。
3.1.2IT治理体系
考点4.IT治理的核心是关注IT定位和信息化建设与数字化转型的责权利划分。IT治理体系的具体构成包括IT定位:IT应用的期望行为与业务目标一致;IT治理架构:业务和IT在治理委员会中 的构成、组织IT与各分支机构的IT权责边界等;IT治理内容:投资、风险、绩效、标准和规范等;IT治理流程:统筹、评估、指导、监督;IT治理效果(内外评价)等。
考点5.有效的IT治理必须关注五项关键决策,包括IT原则、IT架构、IT基础设施、业务应用需求、IT投资和优先顺序。IT原则驱动着IT整体架构的形成,而IT整体架构又决定了基础设施,这种基础设施所确定的能力又决定着基于业务需求应用的构建,最后,IT投资和优先顺序必须为IT原则、整体架构、基础设施和应用需求所驱动。然而,这些决策中又有独特问题,即IT治理需要确定每个决策由谁来负责输入,以及由谁来负责做出决策。
考点6.IT治理体系框架具体包括:IT战略目标、IT治理组织、IT治理机制、IT治理域、IT治理标准 和IT绩效目标等部分,形成一整套IT治理运行闭环。
(1)IT战略目标。IT战略目标是指为实现IT价值和目标,使组织从IT投入中获得最大收益,而针对IT与业务关系、IT决策、IT资源利用、IT风险控制等方面制定的目标。
(2)IT治理组织。IT治理组织是界定组织中各相关主体在各自方面的治理范围、责权利及其相互关系的准则,它的核心是治理机构(如IT治理委员会等)的设置和权限的划分。各治理机构职权的分配以及各机构间的相互协调,它的强弱直接影响到治理的效率和效能,对IT治理效率起着决定性的作用。
(3)IT治理机制。IT治理机制是IT治理决策机制、执行机制、风险控制机制、协调机制的综合体,各机制之间是相辅相成、相互促进的关系。有效的决策机制能保障IT决策与组织的业绩目标和战略目标相匹配;有效的执行机制能保证IT治理的良好运作,有效的风险控制机制能降低IT活动的风险,实现信息技术开发利用的价值效益;有效的协调机制能有力地发挥IT治理的协调效应。
(4)IT治理域。IT治理域是在IT治理的规则之下,对组织的IT资源进行整合与配置,根据 IT目标所采取的行动。以科学、规范的做法交付面向业务的高质量IT服务,确保信息化“高效做事情”、数字化“敏捷的决策”。IT治理域内容包括IT信息系统的计划、构建、运维与监控等。
(5)IT治理标准。IT治理标准包括IT治理基本规范、IT治理实施参照、IT治理评价体系和IT治理审计方法等方面,作为组织实施IT治理最佳实践和对标依据。
(6)IT绩效目标。IT绩效目标关注IT价值的实现,评价IT规划与IT构建过程中是否满足业务需求以及构建过程中的工期、成本、质量是否达到目标。
考点7.IT治理本质上关心:①实现IT的业务价值;②IT风险的规避。前者是通过IT与业务战略匹 配来实现的,后者通过在组织内部建立相关职责来实现。两者都需要相关资源的支持,并对其 绩效进行有效度量。IT治理的核心内容包括六个方面:组织职责、战略匹配、资源管理、价值交付、风险管理和绩效管理。
(1)组织职责。组织职责指组织参与IT决策与管理的所有人员的集合,明确组织信息部门和业务部门之间的关系和责任,正确划分信息系统的所有者、建设者、管理者和监控者。
(2)战略匹配。IT治理的一个重要内容,是使组织的IT建设与组织战略相匹配,也就是通常所说的“战略匹配”。而战略匹配是IT为组织贡献业务价值的重要驱动力。
(3)资源管理。资源管理的主要功能是确保用户对组织的应用系统和基础设施都有良好的理解和应用,优化IT投资、IT资源(人、应用系统、信息、基础设施)的分配,做好人员的培训、发展计划,以满足组织的业务需求。
(4)价值交付。通过对IT项目全生命周期的管理,确保IT能够按照组织战略实现预期的业务价值。重点是对整个交付周期成本的控制和IT业务价值的实现,使IT项目能够在预算时间、成本范围内,按预定的质量要求完成。价值交付即是创造业务价值。
(5)风险管理。风险管理是IT治理中非常重要的内容。风险管理是确保IT资产的安全和灾难的恢复、组织信息资源的安全以及人员的隐私安全。风险管理即是保护业务价值。
(6)绩效管理。没有绩效管理IT治理中任何一个域都不可能有效地进行管理。绩效管理主要是追踪和监视IT战略、IT项目的实施、信息资源的使用、IT服务的提供以及业务流程的绩效。 绩效管理所采用的工具,如平衡积分卡,可以将组织的战略目标转化成各个职能部门或团队具体的业务活动的目标,从而保证组织战略目标的实现。
考点8.建立IT治理机制的原则包括:简单、透明、适合。
3.1.3治理任务
考点9.组织开展IT治理活动的主要任务聚焦在如下五个方面。
(1)全局统筹。统筹规划IT治理的目标范围、技术环境、发展趋势和人员责权利。
(2)价值导向。价值导向包括基于实现有效收益,确保预期收益清晰理解,明确实现收益的问责机制。
(3)机制保障。机制保障是指组织应对自身IT发展进行有效管控,保证IT需求与实现的协调发展,并使IT安全和风险得到有效的识别、管理、防范和处置。
(4)创新发展。创新发展是指利用IT创新开拓业务领域,提升管理水平,改进质量、绩效和降低成本,确保实现战略目标的灵活性和对环境变化的适应性。
(5)文化助推。文化助推是指组织与利益相关者沟通IT治理的目标、策略和职责,营造积极向上、沟通包容的组织文化。
3.1.4IT治理方法与标准
考点10.在IT治理目标和边界确定的情况下,IT治理围绕决策体系、责任归属、管理流程、内外评价四个方面,通过相关框架体系的研究,规范和引导组织的IT治理完成“做什么”“如何做”“怎么样”“如何评价”等问题,如图所示。
考点11.GB/T34960.2《信息技术服务治理第2部分:实施指南》提出了IT治理通用要求的实施指南,分析了实施IT治理的环境因素,规定了IT治理的实施框架、实施环境和实施过程,并明确顶层设计治理、管理体系治理和资源治理的实施要求。【2023上半年第5考题】
考点12.GB/T34960.2《信息技术服务治理第2部分:实施指南》标准适用于:
①建立组织的IT治理实施框架,明确实施方法和过程;
②组织内部开展IT治理的实施;
③IT治理相关软件或解决方案实施落地的指导;
④第三方开展IT治理评价的指导。
考点13.信息和技术治理框架
(1)管理目标分为四个领域:
①调整、规划和组织(APO)针对IT的整体组织、战略和支持活动;②内部构建、外部采购和实施(BAI)针对IT解决方案的定义、采购和实施以及它们到业务流程的整合;③交付、服务和支持(DSS)针对IT服务的运营交付和支持,包括安全;④监控、评价和评估(MEA)针对IT的性能监控及其与内部性能目标、内部控制目标和外部要求的一致程度。
(2)治理目标与治理流程有关,而管理目标与管理流程有关。治理流程通常由董事会和执行管理层负责,而管理流程则在高级和中级管理层的职责范围内。
(3)组织开展治理系统设计通过流程化的方式进行,COBIT给出了建议设计流程:①了解组织环境和战略;②确定治理系统的初步范围;③优化治理系统的范围;④最终确定治理系统的设计。
3.2IT审计
3.2.1IT审计基础
考点14.IT审计的目的是指通过开展IT审计工作,了解组织IT系统与IT活动的总体状况,对组织是否实现IT目标进行审查和评价,充分识别与评估相关IT风险,提出评价意见及改进建议,促进组织实现IT目标。【2023上半年第6考题】
考点15.组织的IT目标主要包括:
①组织的IT战略应与业务战略保持一致;
②保护信息资产的安全及数据的完整、可靠、有效;
③提高信息系统的安全性、可靠性及有效性;
④合理保证信息系统及其运用符合有关法律、法规及标准等的要求。
考点16.IT审计范围
| IT审计范围 | 说明 |
| 总体范围 | 需要根据审计目的和投入的审计成本来确定 |
| 组织范围 | 明确审计涉及的组织机构、主要流程、活动及人员等 |
| 物理范围 | 具体的物理地点与边界 |
| 逻辑范围 | 涉及的信息系统和逻辑边界 |
| 其他相关内容 |
考点17.IT审计风险主要包括固有风险、控制风险、检查风险和总体审计风险。固有风险、控制风
险、检查风险的内容,如表所示。
| 类别 | 描述 |
| 固有 风险 | (1)含义:是指IT活动不存在相关控制的情况下,易于导致重大错误的风险 (2)分类:可从IT组织层面控制、一般控制及应用控制三个方面分析固有风险 (3)特点:固有风险是IT活动本身所具有的,审计人员只能评估,却无法控制或影响 |
| 控制 风险 | (1)含义:是指与IT活动相关的内部控制体系不能及时预防或检查出存在的重大错误的风险 (2)分类:可从IT组织层面控制、一般控制及应用控制三个方面分析控制风险 (3)特点:与内部控制制度执行的有效性有关,与审计无关,属于内部控制的范畴,审计人员只能评估其风险水平而不能对其实施控制和影响。其风险水平的衡量由于要兼顾传统内部控制的思想和计算机系统管理的知识,因而较为复杂且难以准确计量。 |
| 检查 风险 | (1)含义:检查风险是指通过预定的审计程序未能发现重大、单个或与其他错误相结合的风险 (2)影响检查风险的因素:由于IT审计规范不完善、审计人员自身或者技术原因等造成影响审计测试正确性的各种因素 |
考点18.总体审计风险是指针对单个控制目标所产生的各类审计风险总和。良好的审计计划应尽可能评估和控制审计风险,减少或控制所检查领域的审计风险,比如采取合适的审计工具。
考点19.审计风险也用于描述审计人员在执行审计任务时可接受的风险水平。审计人员可通过设定目标风险水平并调整审计工作量,以合适的审计成本满足最小化总体审计风险要求。
3.2.2审计方法与技术
考点20.常用审计方法包括:访谈法、调查法、检查法、观察法、测试法和程序代码检查法等
考点21.IT审计技术包括风险评估技术、审计抽样技术、计算机辅助审计技术及大数据审计技术。
(1)风险评估技术:包括:①风险识别技术②风险分析技术③风险评价技术④风险应对技术
(2)审计抽样技术:审计抽样是指审计人员在实施审计程序时,从审计对象总体中选取一定数量的样本进行测试,并根据测试结果,推断审计对象总体特征的一种方法。审计抽样适用于时间及成本都不允 许对既定总体中的所有交易或事件进行全面审计时。“总体”是指需要检查的全部事项,“样本”是用于测试总体的子集。
(3)计算机辅助审计(Computer Assisted Audit Tools,CAAT),也称为利用计算机审计,是指审计人员在审计过程和审计管理活动中,以计算机为工具来执行和完成某些审计程序和任务的一种新兴审计技术。它并非电算化系统审计特有的一种方法,对手工系统的审计也可应用这些技术。
(4)大数据审计是指遵循大数据理念,运用大数据技术方法和工具,利用数量巨大、来源分散、格式多样的数据,开展跨层级、跨系统、跨部门和跨业务等的深入挖掘与分析,提升审计发现问题、评价判断、宏观分析的能力。大数据审计技术包括大数据智能分析技术、大数据可视化 分析技术及大数据多数据源综合分析技术等。
考点22.审计证据是指由审计机构和审计人员获取,用于确定所审计实体或数据是否遵循既定标准
或目标,形成审计结论的证明材料。审计证据的特性见下表。
考点23.审计工作底稿是指审计人员对制订的审计计划、实施的审计程序、获取的相关审计证据, 以及得出的审计结论做出的记录。审计工作底稿是审计证据的载体,是审计人员在审计过程中形成的审计工作记录和获取的资料。审计底稿的作用表现在:
- 是形成审计结论、发表审计意见的直接依据;
- 是评价考核审计人员的主要依据;
- 是审计质量控制与监督的基础;
- 对未来审计业务具有参考备查作用。
考点24.审计工作底稿一般分为综合类工作底稿、业务类工作底稿和备查类工作底稿,如表所示。
| 底稿类型 | 说明 |
| 综合类工作底稿 | 指审计人员在审计计划阶段和审计报告阶段,为规划、控制和总结整个审计工作并发表审计意见所形成的审计工作底稿,主要包括:审计业务约定书、审计计划、审计总结、审计报告、管理建议书、被审计单位管理当局声明书以及审计人员对整个审计工作进行组织管理的所有记录和资料 |
| 业务类工作底稿 | 指审计人员在审计实施阶段为执行具体审计程序所形成的审计工作底稿,包括:符合性测试中形成的内部控制问题调查表和流程图、实质性测试中形成的项目明细表等 |
| 备查类工作底稿 | 指审计人员在审计过程中形成对审计工作仅具有备查作用的审计工作底稿。备查类工作底稿应随被审计单位有关情况的变化而不断更新:应详细列明目录清单,并将更新的文件资料随时归档;应根据需要,将其中与具体审计项目有关的内容复印、摘录、综合后归入业务类审计工作底稿的具体审计项目之后。通常,备查类审计工作底稿是由被审计单位或第三者根据实际情况提供或代为编制,审计人员应认真审核,并对所取得的有关文件、资料标明其具体来源 |
考点25.审计工作底稿三级复核制度是指以审计机构负责人、部门负责人和项目负责人(或项目经理)为复核人,依照规定的程序和要点对审计工作底稿进行逐级复核的制度。
3.2.3审计流程
考点26.审计流程一般分为审计准备、审计实施、审计终结及后续审计四个阶段。
(1)审计准备阶段。IT审计准备阶段是指IT审计项目从计划开始,到发出审计通知书为止的期间。准备阶段是整个审计过程的起点和基础。准备阶段工作一般包括:①明确审计目的及任务;②组建审计项目组;③搜集相关信息;④编制审计计划等。
(2)审计实施阶段。IT审计实施阶段是审计人员将项目审计计划付诸实施的期间。实施阶段主要完成工作包括:①深入调查并调整审计计划;②了解并初步评估IT内部控制;③进行符合性 测试;④进行实质性测试等。
(3)审计终结阶段。IT审计终结阶段是整理审计工作底稿、总结审计工作、编写审计报告、做出审计结论的期间。终结阶段的工作一般包括:①整理与复核审计工作底稿;②整理审计证据;③评价相关IT控制目标的实现;④判断并报告审计发现;⑤沟通审计结果;⑥出具审计报告;⑦归档管理等。
(4)后续审计阶段。后续审计是在审计报告发出后的一定时间内,审计人员为检查被审计单位对审计问题和建议是否已经采取了适当的纠正措施,并取得预期效果的跟踪审计。实施后续审计,可不必遵守审计流程的每一过程和要求,但必须依法依规进行检查、调查,收集审计证据,写出后续审计报告。
考点27.IT审计业务和服务通常分为IT内部控制审计和IT专项审计。IT内部控制审计主要包括组织层面IT控制审计、IT一般控制审计及应用控制审计;IT专项审计主要是指根据当前面临的特殊风险或者需求开展的IT审计,审计范围为IT综合审计的某一个或几个部分。
862
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
