本文详细阐述了信息系统治理的核心要素,包括IT治理的目标(如与业务目标一致和风险管理)、管理层次、治理体系构成(如IT定位、治理架构等),以及关键决策。同时强调了IT审计在风险控制中的重要性,涉及审计范围、风险分类、方法和技术等内容。
3. 信息系统治理
1.IT治理的主要目标:
①与业务目标一致
②有效利用信息与数据资源
③风险管理
2.IT治理要保证总体战略目标能够从上而下贯彻执行,治理层主要集中在最高管理层(如董事会)和管理执行层。好的IT治理实践需要在组织全部范围内推行。
3.IT治理的管理层次大致可分为三层:最高管理层、执行管理层、业务与服务执行层。
4. IT治理体系的具体构成包括:
- IT定位:IT应用的期望行为与业务目标一致;
- IT治理架构:业务和IT在治理委员会中的构成、组织IT与各分支机构的IT权责边界等;
- IT治理内容:投资、风险、绩效、标准和规范等;
- IT治理流程:统筹、评估、指导、监督;
- IT治理效果(内外评价)等。
5.IT治理关键决策:IT原则、IT架构、IT基础设施、业务应用需求、IT投资、优先顺序。
6.IT治理体系框架以组织的战略目标为导向,架起了组织战略与IT的桥梁。
7.IT治理体系框架包括:IT战略目标、IT治理组织、IT治理机制、IT治理域、IT治理标准、IT绩效目标等部分,形成一整套IT治理运行闭环。
8.IT治理本质上关心:实现IT的业务价值、IT风险的规避。
9.IT治理的核心:组织职责、战略匹配、资源管理、价值交付、风险管理和绩效管理。
10.IT治理机制的原则:简单(明确定义人员责任、目标)、透明(正式的程序)、适合(最佳位置的人决策)
11.IT治理任务:全局统筹、价值导向、机制保障、创新发展、文化主推。
12.IT治理完成“做什么”“如何做’“怎么样”“如何评价”等问题。
13. GB/T34960.1《信息技术服务治理第1部分:通用要求》可用于:①建立组织的IT治理体系,并实施自我评价;
②开展信息技术审计;
③研发、选择和评价IT治理相关的软件或解决方案
④第三方对组织的IT治理能力进行评价。
14.IT治理框架包含信息技术顶层设计、管理体系和资源三大治理域。
15.治理目标与治理流程有关,而管理目标与管理流程有关。治理流程通常由董事会和执行管理层负责,而管理流程则在高级和中级管理层的职责范围内。
16.COBIT给出了建议设计流程:
①了解组织环境和战略
②确定治理系统的初步范围
③优化治理系统的范围
④最终确定治理系统的设计
17.为了优先控制IT风险,开展IT审计。
IT审计重要性是指IT审计风险(固有风险、控制风险、检查风险)对组织影响的严重程度。
18.IT审计的目的:通过开展IT审计工作,了解组织IT系统与IT活动的总体状况,对组织是否实现IT目标进行审查和评价,充分识别与评估相关IT风险,提出评价已建及改进建议,促进组织实现IT审计目标。
19.组织的IT目标:
①组织的IT战略应与业务战略保持一致
②保护信息资产的安全及数据的完整、可靠、有效
③提高信息系统的安全性、可靠性及有效性
④合理保证信息系统及其运用符合有关法律、法规及标准等要求
20.IT审计范围
| 审计范围 | 说明 |
| 总体范围 | 需要根据审计目的和投入的审计成本来确定 |
| 组织范围 | 明确审计涉及的组织机构、主要流程、活动及人员等 |
| 物理范围 | 具体的物理地点与边界 |
| 逻辑范围 | 涉及的信息系统和逻辑边界 |
| 其他相关内容 |
21.审计风险
| 类别 | 描述 |
| 固有风险 | 1、含义:是指IT活动不存在相关控制的情况下,易于导致重大错误的风险 |
| 控制风险 | 1、含义:是指与IT活动相关的内部控制体系不能及时预防或检查出存在的重大错误的风险 |
| 检查风险 | 1、含义:检查风险是指通过预定的审计程序未能发现重大、单个或与其他错误相结合的风险 |
| 总体审计风险 | 是指针对单个控制目标所产生的各类审计风险总和 |
审计风险也用于描述审计人员在执行审计任务时可接受的风险水平。审计人员可通过设定目标风险水平并调整审计工作量,以合适的审计成本满足最小化总体审计风险要求。
22.IT审计方法:访谈法(结构型/非结构型)、调查法、检查法(审阅法、核对法、复算法、分析法)、观察法(适用于正在进行中的审计事项)、测试法(白盒/黑盒)、程序代码检查法(程序的合法性、完整性和程序逻辑的正确性)
23.IT审计技术:风险评估技术、审计抽样技术、计算机辅助审计技术、大数据审计技术
24.IT风险评估技术:
- 风险识别技术:用以识别可能影响一个或多个目标的不确定性,包括德尔菲法、头脑风暴法、检查表法、SWOT技术及图解技术等。
- 风险分析技术:是对风险影响和后果进行评价和估量,包括定性分析和定量分析。
- 风险评价技术:是在风险分析的基础上,通过相应的指标体系和评价标准,对风险程度进行划分,以揭示影响成败的关键风险因素,包括单因素风险评价和总体风险评价。
- 风险应对技术:IT技术体系中为特定风险制定的应对技术方案,包括云计算、冗余链路、冗余资源、系统弹性伸缩、两地三中心灾备、业务熔断限流等。
25.审计抽样是指审计人员在实施审计程序时,从审计对象总体中选取-定数量的样本进行测试,并根据测试结果,推断审计对象总体特征的一种方法。
审计抽样适用于时间及成本都不允许对既定总体中的所有交易或事件进行全面审计时。
26.IT审计证据:
| 分类 | 说明 |
| 充分性 | 指要求审计人员根据所获证据足以对被审计对象提出一定程度保证的结论,是对审计证据数量的要求,主要与审计人员确定的样本量有关 |
| 客观性 | 指审计证据必须是客观存在的事实材料。客观的审计证据比需要判断或解释的证据可靠 |
| 相关性 | 指审计证据与审计事项之间必须有实质性联系 |
| 可靠性 | 指审计证据能够反映和证实客观经济活动特征的程度。审计证据的可靠性受到审计证据的类型、取证的渠道和方式等因素的影响 |
| 合法性 | 指审计证据必须符合法定种类,并依照法定程序取得 |
27.审计底稿的作用:
- 是形成审计结论、发表审计意见的直接依据,
- 是评价考核审计人员的主要依据
- 是审计质量控制与监督的基础
- 对未来审计业务具有参考备查作用。
28.广义的审计流程:审计准备、审计实施、审计终结以及后续审计。
29.IT审计业务和服务通常分为IT内部控制审计和IT专项审计。
805
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
