信息系统项目管理师教材重点汇总--信息系统治理

如果觉得以下内容对你有用，要记得关注➕点赞➕收藏哦！

信息系统治理（IT 治理）是组织开展信息技术及其应⽤活动的重要管控⼿段，也是组织治理的重要组成部分，组织的数字化转型和组织建设过程中，IT 治理起到重要的统筹、评估、指导和监督作⽤。信息技术审计（IT审计）作为与 IT 治理配套的组织管控⼿段，是IT 治理不可或缺的评估和监督⼯具，重点承担着组织信息系统发展的合规性检测以及信息技术风险的管控等职能。

IT 治理主要⽬标包括：与业务⽬标⼀致、有效利⽤信息与数据资源、风险管理。

(1）与业务⽬标⼀致。

IT 治理要从组织⽬标和数字战略中抽取信息与数据需求和功能需求，形成总体的IT治理框架和系统整体模型，为进⼀步系统设计和实施奠定基础，保证信息技术开发利⽤跟上持续变化的业务⽬标。

（2）有效利⽤信息与数据资源。

⽬前信息系统⼯程超期、IT 客户的需求没有满⾜、IT 平台不⽀持业务应⽤、数据开发利⽤效能与价值不⾼、信息技术与业务发展融合深度不够等问题突出，通过IT 治理对信息与数据资源的管理职责进⾏有效管理，保证投资的回收，并⽀持决策。

（3）风险管理。

由于组织越来越依赖于信息⽹络、信息系统和数据资源等，新的风险不断涌现，例如，新出现的技术没有管理，不符合现有法律和规章制度，没有识别对IT服务的威胁等。IT治理重视风险管理，通过制定信息与数据资源的保护级别，强调对关键的信息与数据资源，实施有效监控和事件处理。

管理层次⼤致可分为三层：最⾼管理层、执⾏管理层、业务与服务执⾏层。

最⾼管理层的主要职责包括：证实IT战略与业务战略是否⼀致：证实通过明确的期望和衡量⼿段交付IT价值；指导IT战略、平衡⽀持组织当前和未来发展的投资；指导信息和数据资源的分配。

执⾏管理层的主要职责包括：制定IT的⽬标：分析新技术的机遇和风险；建设关键过程与核⼼竞争⼒；分配责任、定义规程、衡量业绩：管理风险和获得可靠保证等。

业务及服务执⾏层的主要职责包括：信息和数据服务的提供和⽀持；IT基础设施的建设和维护；IT需求的提出和响应。

IT治理的核⼼是关注IT定位和信息化建设与数字化转型的责权利划分

有效的IT治理必须关注五项关键决策，包括IT原则、IT架构、IT基础设施、业务应⽤需求、IT投资和优先顺序。

IT原则驱动着IT整体架构的形成，⽽IT整体架构又决定了基础设施，IT投资和优先顺序必须为IT原则、整体架构、基础设施和应⽤需求所驱动。IT治理需要确定每个决策由谁来负责输⼊，以及由谁来负责做出决策。

IT治理体系框架具体包括：IT战略⽬标、IT治理组织、IT治理机制、IT治理域、IT治理标准和IT绩效⽬标。

IT 治理本质上关⼼：①实现IT的业务价值；②IT⻛险的规避。前者是通过IT与业务战略匹配来实现的，后者通过在组织内部建⽴相关职责来实现。两者都需要相关资源的⽀持，并对其绩效进⾏有效度量。

IT治理的核⼼内容包括六个⽅⾯：组织职责、战略匹配、资源管理、价值交付、风险管理和绩效管理。

建⽴IT治理机制的原则包括：

①简单。机制应该明确地定义特定个⼈和团体所承担的责任和⽬标。

②透明。有效的机制依赖于正式的程序。对于那些被治理决策所影响或是想要挑战治理决策的⼈来说，机制如何⼯作是需要⾮常清晰的。

③适合。机制⿎励那些处于最佳位置的个⼈去制定特定的决策。

组织开展IT治理活动的主要任务聚焦在如下五个⽅⾯。

（1）全局统筹。

组织还需要关注IT发展的规划、实施、检查和改进全过程

①制订满⾜可持续发展的IT蓝图；

②实施科学决策、集约管理的策略，实现横向的业务集成和纵向的业务管控；通过内外部的监督，确保IT与业务的⼀致性和适⽤性；

③建⽴适应内外部信息环境变化的持续改进和创新机制。

（2）价值导向。

组织需要建⽴价值递送规则，确保利益相关者明确相应的权利和义务，

①认可信息技术、信息系统和数据在组织中的价值；

②识别投资⽬录，并以相应的⽅式进⾏评估和管理；

③对关键指标进⾏设定和监督，并对变化和偏差做出及时回应；

④权衡实施成本与预期效益，并随组织内外部环境的变化及时调整。

（3）机制保障。

组织可以根据相关法律法规、⾏业管理和上级监管机构发布的规范⽂件要求，制定本组织的信息技术治理制度并实施

①指导建⽴规范过程管理和痕迹管理，并向利益相关者公开质量设定举措；

②评审IT管理体系的适宜性、充分性和有效性；

③审计IT完整性、有效性和合规性；

④监督由审计和管理评审，提出改进内容的实施。

（4）创新发展。

组织可以建⽴⽀持创新的⼈员、技术、制度、资⾦、风险、⽂化和市场需求的机制体系，

①创造基于业务团队与IT团队的深度沟通以及对内外部环境感知和学习的技术创新环境：

②确保技术发展、管理创新、模式⾰新的协调联动：

③对组织创新能⼒进⾏评估，并对关键创新要素进⾏分析和评价：

④通过促进和创新有效抵御风险，并确保创新是组织⽂化的组成部分。

（5）⽂化助推。

按照⽂化营造、实施和改进的⽣命周期，保障利益相关者的沟通和透明，

①建⽴与IT发展相适应的组织⽂化发展策略；

②营造包括知识、技术、管理、情操在内的积极向上的⽂化氛围；

③根据组织内部环境的变化，评估并改进组织⽂化的管理。

为IT过程、IT资源、信息与组织战略、组织⽬标。

IT治理围绕决策体系、责任归属、管理流程、内外评价

1)IT治理通⽤要求

GB/T34960.1《信息技术服务治理第1部分：通⽤要求》该标准可⽤于：

①建⽴组织的IT治理体系，并实施⾃我评价；

②开展信息技术审计；

③研发、选择和评价IT治理相关的软件或解决⽅案；

④第三⽅对组织的IT治理能⼒进⾏评价。

该标准定义的IT治理模型包含治理的内外部要求、治理主体、治理⽅法，以及信息技术及其应⽤的管理体系

IT治理框架包含信息技术顶层设计、管理体系和资源三⼤治理域

顶层设计治理域：信息技术的战略，以及⽀撑战略的组织和架构：

管理体系治理域：信息技术相关的质量管理、项⽬管理、投资管理、服务管理、业务连续性管理、信息安全管理、风险管理、供⽅管理、资产管理和其他管理；

资源治理域：信息技术相关的基础设施、应⽤系统和数据。

GB/T34960.2《信息技术服务治理第2部分：实施指南》该标准适⽤于：

①建⽴组织的IT治理实施框架，明确实施⽅法和过程；

②组织内部开展IT治理的实施；

③IT治理相关软件或解决⽅案实施落地的指导；

④第三⽅开展IT治理评价的指导。

IT治理实施框架包括治理的实施环境、实施过程和治理域

COBIT是⾯向整个组织的信息和技术治理及管理框架，COBIT框架对治理和管理进⾏了明确区分，这两个学科涵盖不同的活动，需要不同的组织结构，并服务于不同⽬的：

①治理确保对利益⼲系⼈的需求、条件和选择⽅案进⾏评估，以确定全⾯均衡、达成共识的组织⽬标；通过确定优先等级和制定决策来设定⽅向；根据议定的⽅向和⽬标监控绩效与合规性；

②管理是指按治理设定的⽅向计划、构建、运⾏和监控活动，以实现组织⽬标。

COBIT中治理⽬标被列⼊评估、指导和监控（EDM)领域，

治理机构将评估战略⽅案，指导⾼级管理层执⾏所选的战略⽅案并监督战略的实施。

管理⽬标分为四个领域：

①调整、规划和组织（APO）针对IT的整体组织、战略和⽀持活动；

②内部构建、外部采购和实施（BAI)针对IT解决⽅案的定义、采购和实施以及它们到业务流程的整合；

③交付、服务和⽀持（DSS）针对IT服务的运营交付和⽀持，包括安全；

④监控、评价和评估（MEA）针对IT的性能监控及其与内部性能⽬标、内部控制⽬标和外部要求的⼀致程度。

治理⽬标与治理流程有关，⽽管理⽬标与管理流程有关。

治理流程通常由董事会和执⾏管理层负责，⽽管理流程则在⾼级和中级管理层的职责范围内。

治理系统的组件包括：

①流程。

②组织结构。

③原则、政策和程序。

④信息。

⑤⽂化、道德和⾏为。

⑥⼈员、技能和胜任能⼒。

⑦服务、基础设施和应⽤程序。

2）信息和技术治理解决⽅案的设计

⾼效和有效的IT治理系统是创造价值的起点。COBIT定义的IT治理系统设计因素包括组织战略、组织⽬标、风险概况、IT相关问题、威胁环境、合规性要求、IT⾓⾊、IT采购模式、IT实施⽅法、技术采⽤战略、组织规模和未来因素，

COBIT给出了建议设计流程：

①了解组织环境和战略；

②确定治理系统的初步范围；

③优化治理系统的范围；

④最终确定治理系统的设计。

ISO/IEC正式发布IT治理标准ISO/IEC38500，IT治理从概念模糊的探讨阶段进⼊了⼀个正确认识的发展阶段，⽽且也标志着信息化正式进⼊IT治理时代。

该标准包括：

①责任。②战略。③收购。④性能。⑤⼀致性。⑥⼈的⾏为。

该标准规定治理机构应通过评估、指导和监督三个主要任务来治理IT。

IT审计的⽬的是指通过开展IT审计⼯作，了解组织IT系统与IT活动的总体状况，对组织是否实现IT⽬标进⾏审查和评价，充分识别与评估相关IT风险，提出评价意见及改进建议，促进组织实现IT⽬标。

组织的IT⽬标主要包括：

①组织的IT战略应与业务战略保持⼀致；

②保护信息资产的安全及数据的完整、可靠、有效：

③提⾼信息系统的安全性、可靠性及有效性；

④合理保证信息系统及其运⽤符合有关法律、法规及标准等的要求。

对IT审计⼈员的要求包括职业道德、知识、技能、资格与经验、专业胜任能⼒及利⽤外部专家服务等⽅⾯

IT审计风险主要包括固有风险、控制风险、检查风险和总体审计风险。

总体审计风险：针对单个控制⽬标所产⽣的各类审计风险总和。良好的审计计划应尽可能评估和控制审计风险，减少或控制所检查领域的审计风险，⽐如采取合适的审计⼯具，在完成审计时把总体审计风险控制在⾜够低的⽔平之内，以达到预期保证⽔平。

审计凤险也⽤于描述审计⼈员在执⾏审计任务时可接受的风险⽔平。审计⼈员可通过设定⽬标风险⽔平并调整审计⼯作量，以合适的审计成本满⾜最⼩化总体审计风险要求。

常⽤审计⽅法包括：访谈法、调查法、检查法、观察法、测试法和程序代码检查法等

常⽤的IT审计技术包括风险评估技术、审计抽样技术、计算机辅助审计技术及⼤数据审计技术。

1)风险评估技术

IT风险评估技术⼀般包括：

风险识别技术：⽤以识别可能影响⼀个或多个⽬标的不确定性，包括德尔菲法、头脑风暴法、检查表法、SWOT技术及图解技术等。

风险分析技术：是对风险影响和后果进⾏评价和估量，定性分析和定量分析。

风险评价技术：通过相应的指标体系和评价标准，对风险程度进⾏划分，以揭⽰影响成败的关键风险因素，单因素风险评价和总体风险评价。

风险应对技术：为特定风险制定的应对技术⽅案，包括云计算、冗余链路、元余资源、系统弹性伸缩、两地三中⼼灾备、业务熔断限流等。

2）审计抽样技术

审计抽样是指审计⼈员在实施审计程序时，从审计对象总体中选取⼀定数量的样本进⾏测试，并根据测试结果，推断审计对象总体特征的⼀种⽅法。审计抽样适⽤于时间及成本都不允许对既定总体中的所有交易或事件进⾏全⾯审计时。“总体”是指需要检查的全部事项，“样本”是⽤于测试总体的⼦集。

3）计算机辅助审计技术

计算机辅助审计(Computer Assisted Audit Tools,CAAT)，也称为利⽤计算机审计，指审计⼈员在审计过程和审计管理活动中，以计算机为⼯具来执⾏和完成某些审计程序和任务的⼀种新兴审计技术。它并⾮电算化系统审计特有的⼀种⽅法，对⼿⼯系统的审计也可应⽤这些技术。

4）⼤数据审计技术

⼤数据审计：遵循⼤数据理念，运⽤⼤数据技术⽅法和⼯具，利⽤数量巨⼤、来源分散、格式多样的数据，开展跨层级、跨系统、跨部门和跨业务等的深⼊挖掘与分析，提升审计发现问题、评价判断、宏观分析的能⼒。

⼤数据审计技术包括⼤数据智能分析技术、⼤数据可视化分析技术及⼤数据多数据源综合分析技术等

审计证据是指由审计机构和审计⼈员获取，⽤于确定所审计实体或数据是否遵循既定标准或⽬标，形成审计结论的证明材料。

审计证据是审计意见的⽀柱，是审计⼈员形成审计结论的基础。审计⼈员必须基于⾜够、相关和适当的审计证据，为其审计观点提供合理的结论。

审计证据被作为解除或追究被审计⼈经济责任的依据，并且审计证据还是控制审计⼯作质量的关键。

审计⼯作底稿是指审计⼈员对制订的审计计划、实施的审计程序、获取的相关审计证据，以及得出的审计结论做出的记录。

审计⼯作底稿是审计证据的载体，是审计⼈员在审计过程中形成的审计⼯作记录和获取的资料。它形成于审计过程，也反映整个审计过程。

是形成审计结论、发表审计意见的直接依据；

是评价考核审计⼈员的主要依据：

是审计质量控制与监督的基础：

对未来审计业务具有参考备查作⽤。

审计⼯作底稿⼀般分为综合类⼯作底稿、业务类⼯作底稿和备查类⼯作底稿

审计⼯作底稿三级复核制度是指以审计机构负责⼈、部门负责⼈和项⽬负责⼈（或项⽬经理）为复核⼈

但由于下列两种情况需要查阅审计⼯作底稿的，不属于泄密情形：

法院、检察院及国家其他部门依法查阅，并按规定办理了必要⼿续：

审计协会或其委派单位对审计机构执业情况进⾏检查。

审计⼯作底稿按照⼀定的标准归⼊审计档案后，应交由档案管理部门进⾏管理，并确保审计档案的安全、完整。

审计流程：

①有效地指导审计⼯作；

②有利于提⾼审计⼯作效率；

③有利于保证审计项⽬质量；

④有利于规范审计⼯作。

⼴义的审计流程：审计准备、审计实施、审计终结及后续审计四个阶段，

（1）审计准备阶段。

IT审计项⽬从计划开始，到发出审计通知书为⽌的期间。准备阶段是起点和基础，

准备阶段⼯作⼀般包括：

①明确审计⽬的及任务；

②组建审计项⽬组；

③搜集相关信息；

④编制审计计划等。

（2）审计实施阶段。

审计⼈员将项⽬审计计划付诸实施的期间。是审计全过程的中⼼环节，是整个审计流程的关键阶段，实施阶段主要完成⼯作包括：

①深⼊调查并调整审计计划；

②了解并初步评估IT内部控制；

③进⾏符合性测试；

④进⾏实质性测试等。

(3）审计终结阶段。

整理审计⼯作底稿、总结审计⼯作、编写审计报告、做出审计结论的期间。

运⽤专业判断，综合分析所收集到的相关证据，以经过核实的审计证据为依据，形成审计意见、出具审计报告。

终结阶段的⼯作⼀般包括：

①整理与复核审计⼯作底稿；

②整理审计证据；

③评价相关IT控制⽬标的实现；

④判断并报告审计发现：

⑤沟通审计结果；

⑥出具审计报告；

⑦归档管理等。

(4）后续审计阶段。

在审计报告发出后的⼀定时间内，审计⼈员为检查被审计单位对审计问题和建议是否⼰经采取了适当的纠正措施，并取得预期效果的跟踪审计。后续审计并不是⼀次新的审计，⽽是前⼀次审计的有机组成部分。实施后续审计，可不必遵守审计流程的每⼀过程和要求，但必须依法依规进⾏检查、调查，收集审计证据，写出后续审计报告。

IT审计业务和服务通常分为IT内部控制审计和IT专项审计。

IT内部控制审计：组织层⾯IT控制审计、IT⼀般控制审计及应⽤控制审计；

IT专项审计：根据当前⾯临的特殊风险或者需求开展的IT审计，审计范围为IT综合审计的某⼀个或⼏个部分。

​​​​​​​