【信息系统项目管理师】 学习笔记 第3章 信息系统治理

3.1 IT治理

IT治理是指组织在开发利用信息技术过程中，为鼓励组织所期望的组织行为而明确决策权归属和责任担当的框架，其目标是通过IT治理的决策权和责任影响组织所期望的组织行为。

3.1.1 IT治理基础

1. IT治理的驱动因素

（1）良好的IT治理能够确保组织IT投资有效性

（2）IT属于知识高度密集型领域，其价值发挥的弹性较大

（3）IT已经融入组织管理、运行、生产和交付等各领域中，成为各领域高质量发展的重要基础

（4）信息技术的发展演进以及新兴信息技术的引入，可为组织提供大量新的发展空间和业务机会等

（5）IT治理能够推动组织充分理解IT价值，从而促进IT价值挖掘和融合利用

（6）IT价值不仅仅取决于好的技术，也需要良好的价值管理，场景化的业务融合应用

（7）高级管理层的管理幅度有限，无法深入到IT每项管理当中，需要采用明确责任权利和清晰管理去确保IT价值

（8）成熟度较高的组织以不同的方式治理IT，获得了领域或行业领先的业务发展效果。

IT治理的内涵主要体现在5个方面：

（1）IT治理作为组织上层管理的一个有机组成部分，由组织治理层或高级管理层负责，从组织全局的高度上对组织信息化与数字化转型做出制度安排，体现了治理层和最高管理层对信息相关活动的关注；

（2）IT治理强调数字目标与组织战略目标保持一致，通过对IT的综合开发利用，为组织战略规划提供技术或控制方面的支持，以保证相关建设能够真正落实并贯彻组织业务战略和目标；

（3）IT治理保护利益相关者的权益，对风险进行有效管理，合理利用IT资源，平衡成本和收益，确保信息系统应用有效、及时地满足需求，并获得期望的收益，增强组织的核心竞争力；

（4）IT治理是一种制度和机制，主要涉及管理和制衡信息系统与业务战略匹配、信息系统建设投资、信息系统安全和信息系统绩效评价等方面的内容；

（5）IT治理的组成部分包括管理层、组织结构、制度、流程、人员、技术等多个方面，共同构建完善的IT治理架构，达到数字战略和支持组织的目标。

2. IT治理的目标价值

IT治理的主要目标包括：

（1）与业务目标一致

（2）有效利用信息与数据资源

（3）风险管理
 

3. IT治理的管理层次

大致可分为三层：最高管理层、执行管理层、业务与服务执行层。

最高管理层的主要职责包括：证实IT战略与业务战略是否一致；证实通过明确的期望和衡量手段交付IT价值；指导IT战略、平衡支持组织当前和未来发展的投资；指导信息和数据资源的分配。

执行管理层的主要职责包括：制定lT的目标；分析新技术的机遇和风险；建设关键过程与核心竞争力；分配责任、定义规程、衡量业绩；管理风险和获得可靠保证等。

业务及服务执行层的主要职责包括：信息和数据服务的提供和支持；IT基础设施的建设和维护；IT需求的提出与响应。

3.1.2  IT治理体系

IT治理用于描述组织在信息化建设和数字化转型过程中是否采用有效的机制使得信息技术开发利用能够完成组织赋予它的使命。

IT治理的核心是关注IT定位和信息化建设与数字化转型的责权利划分。

IT治理体系的具体构成包括：

（1）IT定位：IT应用的期望行为与业务目标一致；

（2）IT治理架构：业务和IT在治理委员会中的构成、组织IT与各分支机构的IT权责边界等；

（3）IT治理内容：投资、风险、绩效、标准和规范等；

（4）IT治理流程：统筹、评估、指导、监督；

（5）IT治理效果：内外评价。

1.  IT治理关键决策

有效的IT治理必须关注五项关键决策，包括IT原则、IT架构、IT基础设置、业务应用需求、IT投资和优先顺序。

2.  IT治理体系框架

IT治理体系框架具体包括：IT战略目标、IT治理组织、IT治理机制、IT治理域、IT治理标准和IT绩效目标。

3.   IT治理核心内容

IT治理本质上关心：①实现IT的业务价值；②IT风险的规避。

IT治理的核心内容包括六个方面：

（1）组织职责

（2）战略匹配

（3）资源管理

（4）价值交付

（5）风险管理

（6）绩效管理

4.  IT治理机制经验

建立IT治理机制的原则包括：①简单。②透明。③适合。

IT治理可以从众多最佳实践中学习的经验主要包括：

• IT指导委员会要吸纳有才干的业务经理，使之负责组织范围的IT治理决策，并在IT原则中加入严格的成本控制；
• 谨慎管理组织的IT架构和业务架构，以降低业务成本；
• 设计严格的架构例外处理流程，使昂贵的例外最小化，并可以从中不断学习；
• 建立集中化的IT团队，用以管理基础设施、架构和共享服务；
• 应用连接IT投资和业务需求的流程，既可以增加透明度，又可以权衡中心和各运营部门或团队的需求
• 设计需要对IT投资进行集中协作和核准的IT投资流程；
• 设计简单的费用分摊和服务水平协议机制，以明确分配IT开支等。

3.1.3  IT治理任务

组织的IT治理活动定义为统筹、指导、监督和改进。

组织开展IT治理活动的主要任务聚焦在如下五个方面。

（1）全局统筹

（2）价值导向

（3）机制保障

（4）创新发展

（5）文化助推

3.1.4  IT治理方法与标准

1. 信息技术服务标准库（ITSS）中IT服务治理

IT治理围绕决策系统系、责任归属、管理流程、内外评价四个方面，通过相关框架体系的研究，规范和引导组织的IT治理完成“做什么”“如何做”“怎么样”“如何评价”等问题。

（1）IT治理通用要求

GB/T 34960.1《信息技术服务 治理 第1部分：通用要求》

该标准可用于：

①建立组织的IT治理体系，并实施自我评价；

②开展信息技术审计；

③研发、选择和评价IT治理相关的软件或解决方案；

④第三方对组织的IT治理能力讲行评价。

（2）IT治理实施指南

GB/T 34960.2《信息技术服务 治理 第2部分：实施指南》

该标准适用于：

①建立组织的T治理实施框架，明确实施方法和过程；

②组织内部开展IT治理的实施；

③IT治理相关软件或解决方案实施落地的指导；

④第三方开展IT治理评价的指导。

IT治理实施框架包括治理的实施环境、实施过程和治理域。

2.信息和技术治理框架

COBIT是面向整个组织的信息和技术治理及管理框架，由成立于1969年的美国信息系统审计与控制协会（ISACA）组织设计并编制的。

（1）治理和管理目标

治理目标被列入评估、指导和监控领域。

管理目标分为四个领域：

①调整、规划和组织（APO）针对IT的整体组织、战略和支持活动；

②内部构建、外部采购和实施(BAI)针对IT解决方案的定义、采购和实施以及它们到业务流程的整合；

③交付、服务和支持(DSS) 针对IT服务的运营交付和支持，包括安全；

④监控、评价和评估(MEA) 针对IT的性能监控及其与内部性能目标、内部控制目标和外部要求的一致程度。

治理系统的组件包括：

①流程。

②组织结构。

③原则、政策和程序。

④信息。

⑤文化、道德和行为。

⑥人员、技能和胜任能力。

⑦服务、基础设施和应用程序。

（2）信息和技术治理解决方案的设计

COBIT给出了建议设计流程：

①了解组织环境和战略；

②确定治理系统的初步范围；

③优化治理系统的范围；

④最终确定治理系统的设计。

3.IT治理国际标准

2008年4月，ISO/IEC正式发布IT治理标准ISO/IEC 38500，它的出台不仅标志着IT治理从概念模糊的探讨阶段进入了一个正确认识的发展阶段，而且也标志着信息化正式进入IT治理时代。

2014年，ISO/IEC发布了第二版的ISO/IEC FDIS 38500，替换了2008第一版。

该标准包括

①责任。

②战略。

③收购。

④性能。

⑤一致性。

⑥人的行为。

该标准规定治理机构应通过评估、指导和监督三个主要任务来治理IT。

3.2 审计

为了有效控制IT风险，有必要对组织的信息系统治理及IT内控与管理等开展IT审计，充分发挥IT审计监督的作用，提高组织的信息系统治理水平，促进组织信息系统治理目标的实现。

3.2.1  IT审计基础

IT审计重要性是指IT审计风险（固有风险、控制风险、检查风险）对组织影响的严重程度，如：财务损失、业务中断、失去客户信任、经济制裁等。

1.IT审计定义

2.IT审计目的

组织的IT目标主要包括：
①组织的IT战略应与业务战略保持一致；
②保护信息资产的安全及数据的完整、可靠、有效；
③提高信息系统的安全性、可靠性及有效性；
④合理保证信息系统及其运用符合有关法律、法规及标准等的要求。

3.IT审计范围

（1）总体范围，需要根据审计目的和投入的审计成本来确定

（2）组织范围，明确审计涉及的组织机构、主要流程、活动及人员等

（3）物理范围，具体的物理地点与边界

（4）逻辑范围，涉及的信息系统和逻辑边界

4.IT审计人员

根据GB/T 34960.2《信息技术服务 治理 第4部分：审计导则》，对IT审计人员的要求包括职业道德、知识、技能、资格与经验、专业胜任能力及利用外部专家服务等方面。

5.IT审计风险

IT审计风险主要包括固有风险、控制风险、检查风险和总体审计风险。

总体审计风险是指针对单个控制目标所产生的各类审计风险总和。

3.2.2 审计方法与技术

1.IT审计依据与准则

IT审计活动的开展需要结合相关法律法规、准则与标准。国际上发布的常用审计准则有：

• 《信息系统审计准则》（ISACA）。
• 《内部控制 — 整体框架》（COSO）。
• 《萨班斯法案》（SOX）。
• 《信息及相关技术控制目标》（COBIT）。

2.IT审计常用方法

常用审计方法包括：访谈法、调查法、检查法、观察法、测试法和程序代码检查法等。

3.IT审计技术

IT审计技术包括风险评估技术、审计抽样技术、计算机辅助审计技术及大数据审计技术。

IT风险评估技术一般包括：

• 风险识别技术
• 风险分析技术
• 风险评价技术
• 风险应对技术

4.IT审计证据

审计证据是指由审计机构和审计人员获取，用于确定所审计实体或数据是否遵循既定标准或目标，形成审计结论的证明材料。

审计证据是审计意见的支柱，是审计人员形成审计结论的基础。

审计证据的特征是指审计证据在内的性质和特征，具体体现为审计人员围绕这些性质和特征收集审计证据时应达到的基本要求。

审计证据的特征有：

（1）充分性

（2）客观性

（3）相关性

（4）可靠性

（5）合法性

5.IT审计底稿

审计工作底稿是指审计人员对制定的审计计划、实施的审计程序、获取的相关审计证据，以及得出的审计结论做出的记录。

审计工作底稿是审计证据的载体，是审计人员在审计过程中形成的审计工作记录和获取的资料。

审计底稿的作用表现在：

• 是形成审计结论、发表审计意见的直接依据；
• 是评价考核审计人员的主要依据；
• 是审计质量控制与监督的基础；
• 对未来审计业务具有参考备查作用。

审计工作底稿分类

• 综合类工作底稿
• 业务类工作底稿
• 备查类工作底稿

审计底稿内容和形式要求：

• 内容要求包括资料翔实、重点突出、繁简得当、结论明确；
• 形式要求包括要素齐全、格式规范、标识一致、记录清晰。

下列两种情况需要查阅审计工作底稿的，不属于泄密情形：

• 法院、检察院及国家其他部门依法查阅，并按规定办理了必要手续；
• 审计协会或其委派单位对审计机构执业情况进行检查。

3.2.3  审计流程

审计流程是指审计人员在具体审计过程中采用的行动和步骤。

审计流程的作用：

（1）有效地指导审计工作；

（2）有利于提高审计工作效率；

（3）有利于保证审计项目质量；

（4）有利于规范审计工作。

系统性工作步骤：

（1）审计准备阶段。

（2）审计实施阶段。

（3）审计终结阶段。

（4）后续审计阶段。

3.2.4  审计内容

IT审计业务和服务通常分为IT内部控制审计和IT专项审计。

IT内部控制审计主要包括组织层面IT控制审计、IT一般控制审计及应用控制审计。

IT专项审计主要是根据当前面临的特殊风险或需求开展的IT审计。

审计范围为IT综合审计的某一个或几个部分。

信息系统项目管理审计类别有组织管理、项目启动与计划、项目实施与控制、项目收尾管理、工程方法审计。