1.IT治理
组织的数字化转型和组织建设过程种,IT治理起到统筹、评估、指导和监督的作用。IT审计不可或缺的评估、监督工具。
1.IT治理基础
组织采用有效的机制对信息技术和数据资源开发利用,平衡信息化发展和数字化转型过程种的风险,确保实现组织的战略目标的过程。
1.IT治理的驱动因素
IT治理的内涵5方面:
- IT治理作为组织上层管理的一个有机组成部分,由组织治理层或高级管理层负责
- IT治理强调数字目标与组织战略目标保持一致
- IT治理保护利益相关方的权益,对风险进行有效管理,合理利用IT资源
- IT治理是一种制度和机制
- IT治理的组成部分包括管理层、组织结构、制度、流程、人员、技术等多个方面
2.IT治理的目标价值
IT治理的主要目标:与业务目标一致、有效利用信息与数据资源、风险管理
3.IT治理的管理层次
主要集中在最高管理层和管理执行层。
最高管理层、执行管理层、业务与服务执行层
最高管理层:证实IT战略与业务战略是否一致,证实通过明确的期望和衡量手段交付IT价值,指导IT战略、平衡支持组织当前和未来发展的投资、指导信息和数据资源的分配。
执行管理层:制定IT的目标、分析新技术的机遇和风险、建设关键过程与核心竞争力、分配责任、定义规程、衡量业绩、管理风险和获得可靠保证
业务与服务执行层:信息和数据服务的提供与支持、IT基础设施的建设和维护、IT需求的提出和响应。
2.IT治理体系
1.IT治理关键决策
- IT原则 组织高层关于如何使用IT的陈述
- IT架构 核心业务流程是什么?
- IT基础设施 集中协调、共享IT服务可以给组织的IT能力提供基础
- 业务应用需求 为购买或内部开发IT应用确定业务需求
- IT投资和优先顺序 应该在IT的那些方面投资以及投资多少的决策
2.IT治理体系框架
上战略目标 下治理标准 左治理组织 右绩效目标 中上 治理机制 中下 治理域
- IT战略目标
- IT治理组织
- IT治理机制
- IT治理域
- IT治理标准
- IT绩效目标
3.IT治理核心内容
本质上关系:实现IT的业务价值、IT风险的规避
- 组织职责
- 战略匹配
- 资源管理
- 价值交付
- 风险管理
- 绩效管理
4.IT治理机制经验
IT治理机制的原则:简单、透明、适合
3.IT治理任务
组织的IT治理活动定义为统筹、指导、监督和改进
- 全局统筹 统筹规划IT治理的目标范围、技术环节、发展趋势和人员责权利
- 价值导向 基于实现有效收益,确保预期收益清晰理解,明确实现收益的问责机制。
- 机制保障 对自身IT发展进行有效管控,保证IT需求与实现的协调发展。
- 创新发展 利用IT创新开拓业务领域,提升管理水平,改进质量,绩效和降低成本
- 文化助推 组织与利益相关者沟通IT治理的目标、策略和职责,营造积极向上、沟通包容的组织文化。
4.IT治理方法与标准
1.ITSS种的IT服务治理
2.信息和技术治理框架
- 了解组织环境和战略
- 确定治理系统的初步范围
- 优化治理系统的范围
- 最终确定治理系统的设计
3.IT治理国际标准
三个主要任务来治理IT
- 评估 治理机构应审查和判断当前和未来得使用。计划、建议和供应安排。
- 指导 治理机构应该负责战略和政策的编制和执行
- 监督 治理机构应通过适当的测量系统来监测IT的表现。
2.IT审计
1.IT审计基础
1.IT审计定义
IT审计是一个获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整以及有效利用组织的资源并有效实现组织的目标的过程。
2.IT审计目的
- 组织的IT战略业务战略保持一致
- 保护信息资产的安全及数据的完整、可靠、有效
- 提高信息系统的安全性、可靠性及有效性
- 合理保护信息系统及其运行符合有关法律、法规及标准等的要求
3.IT审计范围
4.IT审计人员
- 职业道德
- 知识、技能、资格与经验
- 专业胜任能力
- 利用外部专家服务
5.IT审计风险
- 固有风险 IT活动本身所具有的,审计人员只能评估,却无法控制或影响它
- 控制风险 审计人员只能评估其风险水平而不能对其实施控制和影响。
- 检查风险 通过预定的审计程序未能发现重大、单个或其他错误相结合的风险。
- 总体审计风险 单个控制目标所产生的各类审计风险综合。
2.审计方法与技术
1.IT审计依据与准则
2.IT审计常用方法
- 访谈法 面对面交谈
- 调查法 书面或口头回答问题的方式收集研究对象的相关资料
- 检查法 内部外部的生成的记录和文件进行审查
- 观察法 实地察看,来正式审计事项
- 测试法 测试来评估程序的质量
- 程序代码检查法
3.IT审计技术
- 风险评估技术
- 审计抽样技术
- 计算机辅助审计技术
- 大数据审计技术
4.IT审计证据
形成审计结论的证明材料
特性:充分性、客观性、相关性、可靠性、合法性
5.IT审计底稿
审计人员队制定的审计计划、实施的审计程序、获取的相关审计证据,以及得出的审计结论做出的记录。
综合类审计底稿
业务类审计底稿
备查类审计底稿
3.审计流程
- 审计准备阶段
- 审计实施阶段
- 审计终结阶段
- 后续审计阶段
4.审计内容
- IT内部控制审计
组织层面IT控制审计、IT一般控制审计及应用控制审计 - IT专项审计
1.信息系统生命周期审计
2.信息系统开发过程审计
3.信息系统运行维护审计
4.网络与信息安全审计
5.信息系统项目审计
6.数据审计