信息系统项目管理师 第3章 信息系统治理

1.IT治理

组织的数字化转型和组织建设过程种,IT治理起到统筹、评估、指导和监督的作用。IT审计不可或缺的评估、监督工具。

1.IT治理基础

组织采用有效的机制对信息技术和数据资源开发利用,平衡信息化发展和数字化转型过程种的风险,确保实现组织的战略目标的过程。

1.IT治理的驱动因素

IT治理的内涵5方面:

• IT治理作为组织上层管理的一个有机组成部分,由组织治理层或高级管理层负责
• IT治理强调数字目标与组织战略目标保持一致
• IT治理保护利益相关方的权益,对风险进行有效管理,合理利用IT资源
• IT治理是一种制度和机制
• IT治理的组成部分包括管理层、组织结构、制度、流程、人员、技术等多个方面

2.IT治理的目标价值

IT治理的主要目标:与业务目标一致、有效利用信息与数据资源、风险管理

3.IT治理的管理层次

主要集中在最高管理层和管理执行层。
最高管理层、执行管理层、业务与服务执行层
最高管理层:证实IT战略与业务战略是否一致,证实通过明确的期望和衡量手段交付IT价值,指导IT战略、平衡支持组织当前和未来发展的投资、指导信息和数据资源的分配。
执行管理层:制定IT的目标、分析新技术的机遇和风险、建设关键过程与核心竞争力、分配责任、定义规程、衡量业绩、管理风险和获得可靠保证
业务与服务执行层:信息和数据服务的提供与支持、IT基础设施的建设和维护、IT需求的提出和响应。

2.IT治理体系

1.IT治理关键决策

• IT原则 组织高层关于如何使用IT的陈述
• IT架构 核心业务流程是什么？
• IT基础设施 集中协调、共享IT服务可以给组织的IT能力提供基础
• 业务应用需求 为购买或内部开发IT应用确定业务需求
• IT投资和优先顺序 应该在IT的那些方面投资以及投资多少的决策

2.IT治理体系框架

上战略目标 下治理标准 左治理组织 右绩效目标 中上 治理机制 中下 治理域

• IT战略目标
• IT治理组织
• IT治理机制
• IT治理域
• IT治理标准
• IT绩效目标

3.IT治理核心内容

本质上关系:实现IT的业务价值、IT风险的规避

• 组织职责
• 战略匹配
• 资源管理
• 价值交付
• 风险管理
• 绩效管理

4.IT治理机制经验

IT治理机制的原则:简单、透明、适合

3.IT治理任务

组织的IT治理活动定义为统筹、指导、监督和改进

• 全局统筹 统筹规划IT治理的目标范围、技术环节、发展趋势和人员责权利
• 价值导向 基于实现有效收益,确保预期收益清晰理解,明确实现收益的问责机制。
• 机制保障 对自身IT发展进行有效管控,保证IT需求与实现的协调发展。
• 创新发展 利用IT创新开拓业务领域,提升管理水平,改进质量，绩效和降低成本
• 文化助推 组织与利益相关者沟通IT治理的目标、策略和职责,营造积极向上、沟通包容的组织文化。

4.IT治理方法与标准

1.ITSS种的IT服务治理

2.信息和技术治理框架

• 了解组织环境和战略
• 确定治理系统的初步范围
• 优化治理系统的范围
• 最终确定治理系统的设计

3.IT治理国际标准

三个主要任务来治理IT

• 评估 治理机构应审查和判断当前和未来得使用。计划、建议和供应安排。
• 指导 治理机构应该负责战略和政策的编制和执行
• 监督 治理机构应通过适当的测量系统来监测IT的表现。

2.IT审计

1.IT审计基础

1.IT审计定义

IT审计是一个获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整以及有效利用组织的资源并有效实现组织的目标的过程。

2.IT审计目的

• 组织的IT战略业务战略保持一致
• 保护信息资产的安全及数据的完整、可靠、有效
• 提高信息系统的安全性、可靠性及有效性
• 合理保护信息系统及其运行符合有关法律、法规及标准等的要求

3.IT审计范围

4.IT审计人员

• 职业道德
• 知识、技能、资格与经验
• 专业胜任能力
• 利用外部专家服务

5.IT审计风险

• 固有风险 IT活动本身所具有的,审计人员只能评估,却无法控制或影响它
• 控制风险 审计人员只能评估其风险水平而不能对其实施控制和影响。
• 检查风险 通过预定的审计程序未能发现重大、单个或其他错误相结合的风险。
• 总体审计风险 单个控制目标所产生的各类审计风险综合。

2.审计方法与技术

1.IT审计依据与准则

2.IT审计常用方法

• 访谈法 面对面交谈
• 调查法 书面或口头回答问题的方式收集研究对象的相关资料
• 检查法 内部外部的生成的记录和文件进行审查
• 观察法 实地察看,来正式审计事项
• 测试法 测试来评估程序的质量
• 程序代码检查法

3.IT审计技术

• 风险评估技术
• 审计抽样技术
• 计算机辅助审计技术
• 大数据审计技术

4.IT审计证据

形成审计结论的证明材料
特性:充分性、客观性、相关性、可靠性、合法性

5.IT审计底稿

审计人员队制定的审计计划、实施的审计程序、获取的相关审计证据，以及得出的审计结论做出的记录。
综合类审计底稿
业务类审计底稿
备查类审计底稿

3.审计流程

• 审计准备阶段
• 审计实施阶段
• 审计终结阶段
• 后续审计阶段

4.审计内容

• IT内部控制审计
  组织层面IT控制审计、IT一般控制审计及应用控制审计
• IT专项审计
  1.信息系统生命周期审计
  2.信息系统开发过程审计
  3.信息系统运行维护审计
  4.网络与信息安全审计
  5.信息系统项目审计
  6.数据审计