目录
信息系统治理(IT治理)是组织开展信息技术及其应用活动的重要管控手段,也是组织治理的重要组成部分。
组织的数字化转型和组织建设过程中,IT治理起到重要的统筹、评估、指导和监督作用。
信息技术审计(IT审计)作为与IT治理配套的组织管控手段,是IT治理不可或缺的评估和监督工具,重点承担着组织信息系统发展的合规性检测以及信息技术风险的管控等职能。
3.1IT治理
IT治理是描述组织采用有效的机制对信息技术和数据资源开发利用,平衡信息化发展和数字化转型过程中的风险,确保实现组织的战略目标的过程。
3.1.1IT基础治理
1)IT治理的驱动因素
数字特征成为组织发展的一项关键特征。
驱动组织开展高质量IT治理因素包括:
①良好的IT治理能够确保组织IT投资有效性;
②IT属于知识高度密集型领域,其价值发挥的弹性较大;
③IT已经融入组织管理、运行、生产和交付等各领域中,成为各领域高质量发展的重要基础;
④信息技术的发展演进以及新兴信息技术的引入,可为组织提供大量新的发展空间和业务机会等;
⑤IT治理能够推动组织充分理解IT价值,从而促进IT价值挖掘和融合利用;
⑥IT价值不仅仅取决于好的技术,也需要良好的价值管理,场景化的业务融合应用;
⑦高级管理层的管理幅度有限,无法深入到IT每项管理当中,需要采用明确责权利和清晰管理去确保IT价值;
⑧成熟度较高的组织以不同的方式治理IT,获得了领域或行业领先的业务发展效果。
2)IT治理的目标价值
组织治理驱动和调整IT治理。
IT治理主要目标包括:与业务目标一致、有效利用信息与数据资源、风险管理。
(1)与业务目标一致。IT治理要从组织目标和数字战略中抽取信息与数据需求和功能需求,形成总体的IT治理框架和系统整体模型,为进一步系统设计和实施奠定基础,保证信息技术开发利用跟上持续变化的业务目标。
(2)有效利用信息与数据资源。通过IT治理对信息与数据资源的管理职责进行有效管理,保证投资的回收,并支持决策。
(3)风险管理。由于组织越来越依赖于信息网络、信息系统和数据资源等,新的风险不断涌现。IT治理重视风险管理,通过制定信息与数据资源的保护级别,强调对关键的信息与数据资源,实施有效监控和事件处理。
3)IT治理的管理层次
好的IT治理实践需要在组织全部范围内推行。管理层次大致可分为三层:最高管理层、执行管理层、业务与服务执行层。
最高管理层的主要职责包括:证实IT战略与业务战略是否一致;证实通过明确的期望和衡量手段交付IT价值;指导IT战略、平衡支持组织当前和未来发展的投资;指导信息和数据资源的分配。
执行管理层的主要职责包括:制定IT的目标;分析新技术的机遇和风险;建设关键过程与核心竞争力;分配责任、定义规程、衡量业绩;管理风险和获得可靠保证等。
业务及服务执行层的主要职责包括:信息和数据服务的提供和支持;IT基础设施的建设和维护;IT需求的提出和响应。
IT 治理的管理层次可分为三层:最高管理层、执行管理层、业务与服务执行层,请简 要描述这3个层次的主要职责分别是什么?
3.1.2IT治理体系
IT治理的核心是关注IT定位和信息化建设与数字化转型的责权利划分。
1)IT治理关键决策
有效的IT治理必须关注五项关键决策,包括IT原则、IT架构、IT基础设施、业务应用需求、IT投资和优先顺序。
2)IT治理体系框架
IT治理体系框架以组织的战略目标为导向,架起了组织战略与IT的桥梁,实现了IT风险的全面管理以及IT资源的合理利用。IT治理体系框架具体包括:IT战略目标、IT治理组织、IT治理机制、IT治理域、IT治理标准和IT绩效目标等部分,形成一整套IT治理运行闭环。
3)IT治理核心内容
IT治理本质上关心:①实现IT的业务价值;②IT风险的规避。
IT治理的核心内容包括六个方面:组织职责、战略匹配、资源管理、价值交付、风险管理和绩效管理。
(1) 组织职责。组织职责指组织参与IT 决策与管理的所有人员的集合,明确组织信息部门和业务部门之间的关系和责任,正确划分信息系统的所有者、建设者、管理者和监控者。
(2) 战略匹配。IT 治理的一个重要内容,是使组织的IT 建设与组织战略相匹配,也就是通 常所说的“战略匹配”。而战略匹配是IT 为组织贡献业务价值的重要驱动力。
(3) 资源管理。资源管理的主要功能是确保用户对组织的应用系统和基础设施都有良好的 理解和应用,优化IT 投 资 、IT 资源(人、应用系统、信息、基础设施)的分配,做好人员的培 训、发展计划,以满足组织的业务需求。
(4) 价值交付。 通 过 对IT 项目全生命周期的管理,确保IT 能够按照组织战略实现预期的 业务价值。重点是对整个交付周期成本的控制和IT 业务价值的实现,使IT 项目能够在预算时 间、成本范围内,按预定的质量要求完成。价值交付即是创造业务价值。
(5) 风 险 管 理 。风险管理是IT 治理中非常重要的内容。风险管理是确保IT 资产的安全和 灾难的恢复、组织信息资源的安全以及人员的隐私安全。风险管理即是保护业务价值。
(6) 绩效管理。没 有 绩 效 管 理 IT 治理中任何一个域都不可能有效地进行管理。绩效管理主 要是追踪和监视IT 战略、IT 项目的实施、信息资源的使用、IT 服务的提供以及业务流程的绩效。 绩效管理所采用的工具,如平衡积分卡,可以将组织的战略目标转化成各个职能部门或团队具 体的业务活动的目标,从而保证组织战略目标的实现。
IT治理的核心内容包括哪6个方面,请简述?
4)IT治理机制经验
建立IT治理机制的原则包括:①简单。机制应该明确地定义特定个人和团体所承担的责任和目标。②透明。有效的机制依赖于正式的程序。对于那些被治理决策所影响或是想要挑战治理决策的人来说,机制如何工作是需要非常清晰的。③适合。机制鼓励那些处于最佳位置的个人去制定特定的决策。
3.1.3IT治理任务
组织的IT治理活动定义为统筹、指导、监督和改进。
组织开展IT治理活动的主要任务聚焦在如下五个方面。
(1)全局统筹。组织还需要关注IT发展的规划、实施、检查和改进全过程,重点包括①制订满足可持续发展的IT蓝图;②实施科学决策、集约管理的策略,实现横向的业务集成和纵向的业务管控;通过内外部的监督,确保IT与业务的一致性和适用性;③建立适应内外部信息环境变
化的持续改进和创新机制。
(2)价值导向。组织需要建立价值递送规则,确保利益相关者明确相应的权利和义务,包括:①认可信息技术、信息系统和数据在组织中的价值;②识别投资目录,并以相应的方式进行评估和管理;③对关键指标进行设定和监督,并对变化和偏差做出及时回应;④权衡实施成本与预期效益,并随组织内外部环境的变化及时调整。
(3)机制保障。重点聚焦在:①指导建立规范过程管理和痕迹管理,并向利益相关者公开质量设定举措;②评审IT管理体系的适宜性、充分性和有效性;③审计IT完整性、有效性和合规性;④监督由审计和管理评审,提出改进内容的实施。
(4)创新发展。创新发展是指利用IT创新开拓业务领域,提升管理水平,改进质量、绩效和降低成本,确保实现战略目标的灵活性和对环境变化的适应性。
(5)文化助推。①建立与IT发展相适应的组织文化发展策略;②营造包括知识、技术、管理、情操在内的积极向上的文化氛围;③根据组织内部环境的变化,评估并改进组织文化的管理。
3.1.4IT治理方法与标准
比较典型的是我国信息技术服务标准库(ITSS)中IT治理系列标准、信息和技术治理框架(COBIT)和IT治理国际标准(ISO/IEC38500)等。
1.ITSS中IT服务治理
IT治理围绕决策体系、责任归属、管理流程、内外评价四个方面,通过相关框架体系的研究,规范和引导组织的IT治理完成“做什么”“如何做”“怎么样”“如何评价”等问题。
1)IT治理通用要求
B/T34960.1《信息技术服务治理第1部分:通用要求》规定了IT治理的模型和框架、实施IT治理的原则,以及开展IT顶层设计、管理体系和资源的治理要求。该标准可用于:①建立组织的IT治理体系,并实施自我评价;②开展信息技术审计;③研发、选择和评价IT治理相关的软件或解决方案;④第三方对组织的IT治理能力进行评价。
该标准定义的IT治理模型包含治理的内外部要求、治理主体、治理方法,以及信息技术及
其应用的管理体系。
该标准定义的IT治理框架包含信息技术顶层设计、管理体系和资源三大治理域。
顶层设计治理域包含信息技术的战略,以及支撑战略的组织和架构;管理体系治理域包含信息技术相关的质量管理、项目管理、投资管理、服务管理、业务连续性管理、信息安全管理、风险管理、供方管理、资产管理和其他管理;资源治理域包含信息技术相关的基础设施、应用系统和数据。
2)IT治理实施指南
该标准适用于:①建立组织的IT治理实施框架,明确实施方法和过程;②组织内部开展IT治理的实施;③IT治理相关软件或解决方案实施落地的指导;④第三方开展IT治理评价的指导。
IT治理实施框架包括治理的实施环境、实施过程和治理域。
2.信息和技术治理框架
COBIT是面向整个组织的信息和技术治理及管理框架,由成立于1969年的美国信息系统审计与控制协会(ISACA)组织设计并编制的。COBIT框架对治理和管理进行了明确区分,这两个学科涵盖不同的活动,需要不同的组织结构,并服务于不同目的。
1)治理和管理目标
管理目标分为四个领域:①调整、规划和组织(APO)针对IT的整体组织、战略和支持活动;②内部构建、外部采购和实施(BAI)针对IT解决方案的定义、采购和实施以及它们到业务流程的整合;③交付、服务和支持(DSS)针对IT服务的运营交付和支持,包括安全;④监控、评价和评估(MEA)针对IT的性能监控及其与内部性能目标、内部控制目标和外部要求的一致程度。治理目标与治理流程有关,而管理目标与管理流程有关。治理流程通常由董事会和执行管理层负责,而管理流程则在高级和中级管理层的职责范围内。
治理系统的组件包括:①流程。②组织结构。③原则、政策和程序。④信息。COBIT侧重于有效运转组织治理系统所需的信息。⑤文化、道德和行为。⑥人员、技能和胜任能力。⑦服务、基础设施和应用程序。
2)信息和技术治理解决方案的设计
高效和有效的IT治理系统是创造价值的起点。COBIT定义的IT治理系统设计因素包括组织战略、组织目标、风险概况、IT相关问题、威胁环境、合规性要求、IT角色、IT采购模式、IT实施方法、技术采用战略、组织规模和未来因素。
COBIT给出了建议设计流程:①了解组织环境和战略;②确定治理系统的初步范围;③优化治理系统的范围;④最终确定治理系统的设计。
3.IT治理国际标准
2008年4月,ISO/IEC正式发布IT治理标准ISO/IEC38500,它的出台不仅标志着IT治理从概念模糊的探讨阶段进入了一个正确认识的发展阶段,而且也标志着信息化正式进入IT治理时代。
该标准规定治理机构应通过评估、指导和监督三个主要任务来治理IT。
3.2IT审计
3.2.1IT审计基础
IT审计重要性是指IT审计风险(固有风险、控制风险、检查风险)对组织影响的严重程度,如:财务损失、业务中断、失去客户信任、经济制裁等。
1.IT审计定义
2.IT审计目的
IT审计的目的是指通过开展IT审计工作,了解组织IT系统与IT活动的总体状况,对组织是否实现IT目标进行审查和评价,充分识别与评估相关IT风险,提出评价意见及改进建议,促进组织实现IT目标。
组织的IT目标主要包括:①组织的IT战略应与业务战略保持一致;②保护信息资产的安全及数据的完整、可靠、有效;③提高信息系统的安全性、可靠性及有效性;④合理保证信息系统及其运用符合有关法律、法规及标准等的要求。
3.IT审计范围
IT审计范围需要根据审计目的和投入的审计成本来确定。
4.IT审计人员
对IT审计人员的要求包括职业道德、知识、技能、资格与经验、专业胜任能力及利用外部专家服务等方面
5.IT审计风险
IT审计风险主要包括固有风险、控制风险、检查风险和总体审计风险。
总体审计风险是指针对单个控制目标所产生的各类审计风险总和。
审计风险也用于描述审计人员在执行审计任务时可接受的风险水平。审计人员可通过设定目标风险水平并调整审计工作量,以合适的审计成本满足最小化总体审计风险要求。
3.2.2审计方法与技术
1.IT审计依据与准则
![](https://img-blog.csdnimg.cn/direct/067d737921bf4550b704929412a0a1e7.png)
2.IT审计常用方法
常用审计方法包括:访谈法、调查法、检查法、观察法、测试法和程序代码检查法等。
3.IT审计技术
常用的IT审计技术包括风险评估技术、审计抽样技术、计算机辅助审计技术及大数据审计技术。
1)风险评估技术
IT风险评估技术一般包括:
●风险识别技术:用以识别可能影响一个或多个目标的不确定性,包括德尔菲法、头脑风暴法、检查表法、SWOT技术及图解技术等。
●风险分析技术:是对风险影响和后果进行评价和估量,包括定性分析和定量分析。
●风险评价技术:是在风险分析的基础上,通过相应的指标体系和评价标准,对风险程度
进行划分,以揭示影响成败的关键风险因素,包括单因素风险评价和总体风险评价。
●风险应对技术:IT技术体系中为特定风险制定的应对技术方案,包括云计算、冗余链
路、冗余资源、系统弹性伸缩、两地三中心灾备、业务熔断限流等。
2)审计抽样技术
审计抽样适用于时间及成本都不允许对既定总体中的所有交易或事件进行全面审计时。
3)计算机辅助审计技术
计算机辅助审计(ComputerAssistedAuditTools,CAAT),也称为利用计算机审计,是指审计人员在审计过程和审计管理活动中,以计算机为工具来执行和完成某些审计程序和任务的一种新兴审计技术。它并非电算化系统审计特有的一种方法,对手工系统的审计也可应用这些技术。
4)大数据审计技术
大数据审计是指遵循大数据理念,运用大数据技术方法和工具,利用数量巨大、来源分散、格式多样的数据,开展跨层级、跨系统、跨部门和跨业务等的深入挖掘与分析,提升审计发现问题、评价判断、宏观分析的能力。大数据审计技术包括大数据智能分析技术、大数据可视化分析技术及大数据多数据源综合分析技术等
4.IT审计证据
审计证据是指由审计机构和审计人员获取,用于确定所审计实体或数据是否遵循既定标准或目标,形成审计结论的证明材料。审计证据是审计意见的支柱,是审计人员形成审计结论的基础。审计人员必须基于足够、相关和适当的审计证据,为其审计观点提供合理的结论。审计证据还可以被作为解除或追究被审计人经济责任的依据,并且审计证据还是控制审计工作质量的关键。
审计证据的特性:
5.IT审计底稿
审计工作底稿是指审计人员对制订的审计计划、实施的审计程序、获取的相关审计证据,以及得出的审计结论做出的记录。审计工作底稿是审计证据的载体,是审计人员在审计过程中形成的审计工作记录和获取的资料。它形成于审计过程,也反映整个审计过程。审计底稿的作用表现在:
●是形成审计结论、发表审计意见的直接依据;
●是评价考核审计人员的主要依据;
●是审计质量控制与监督的基础;
●对未来审计业务具有参考备查作用。
审计工作底稿一般分为综合类工作底稿、业务类工作底稿和备查类工作底稿。
审计工作底稿三级复核制度是指以审计机构负责人、部门负责人和项目负责人(或项目经理)为复核人
下列两种情况需要查阅审计工作底稿的,不属于泄密情形:
●法院、检察院及国家其他部门依法查阅,并按规定办理了必要手续;
●审计协会或其委派单位对审计机构执业情况进行检查。
3.2.3审计流程
审计流程是指审计人员在具体审计过程中采取的行动和步骤。作用包括:①有效地指导审计工作;②有利于提高审计工作效率;③有利于保证审计项目质量;④有利于规范审计工作。
广义的审计流程步骤,一般分为审计准备、审计实施、审计终结及后续审计四个阶段。
3.2.4审计内容
IT审计业务和服务通常分为IT内部控制审计和IT专项审计。IT内部控制审计主要包括组织层面IT控制审计、IT一般控制审计及应用控制审计;IT专项审计主要是指根据当前面临的特殊风险或者需求开展的IT审计,审计范围为IT综合审计的某一个或几个部分。