【速通软考】信息系统项目管理师第4版--第三章--信息系统治理

本文链接：https://blog.csdn.net/qq_48185387/article/details/139339599

该章节属于IT治理和审计概念章节，大家主要以理解为主，定期复习，加深印象，考前突击！

一、考情分析

分值占比：大概2分；在上午选择题中出现！！

基础选择：2分

案例分析：不考

论文写作：不考

二、重要考点

信息系统治理（IT 治理）是组织开展信息技术及其应用活动的重要管控手段，也是组织治理的重要组成部分。

1、IT治理

1.1、IT治理基础

IT治理是描述组织采用有效的机制对信息技术和数据资源开发利用，平衡信息化发展和数字化转型过程中的风险，确保实现组织的战略目标的过程。

1、IT治理因素

分散开发或引进的信息系统，形成了许多“信息孤岛”，缺乏共享的、网络化的信息资源，系统集成难题一直无法解决；信息资源整合目标空泛，没有整合“信息孤岛”的措施，数据中心建设和数据集中管理等规划缺乏可操作性，尤其是缺少数据标准化建设方面的建设规划。

2、IT治理的目标价值【☆☆☆】

与业务目标一致、有效利用信息与数字资源、风险管理

3、IT治理的管理层次【☆☆☆】

IT治理要保证总体战略目标能够从上而下贯彻执行，治理层主要集中在最高管理层和管理执行层。

管理层次大致可分为三层：

最高管理层，主要职责包括：证实IT战略与业务战略是否一致；证实通过明确的期望和衡量手段交付IT价值；指导IT战略、平衡支持组织当前和未来发展投资；指导信息和数据资源的分配；

执行管理层，主要职责包括：制定IT的目标；分析新技术的基于和风险；建设关键过程与核心竞争力；分配责任、定义规程、衡量业绩；管理风险和获得可靠保证等；

业务及服务执行层，主要职责包括：信息和数据服务的提供和支持；IT基础设施的建设和维护；IT需求的提出和响应；

1.2、IT治理体系

IT 治理用于描述组织在信息化建设和数字化转型过程中是否采用有效的机制使得信息技术开发利用能够完成组织赋予它的使命。 IT 治理的核心是关注 IT 定位和信息化建设与数字化转型的责权利划分。

IT治理体系的具体构成包括【☆☆☆】：

IT定位：IT应用的期望行为与业务目标一致；

IT治理架构：业务和IT在治理委员会中的构成、组织IT与各分支机构的IT权责边界等；

IT治理内容：投资、风险、绩效、标准和规范等；

IT治理流程：统筹、评估、指导、监督；

IT治理效果：内外评价；

1、IT治理关键决策【☆☆☆】

有效的 IT 治理必须关注五项关键决策，包括 IT 原则、 IT 架构、 IT 基础设施、业务应用需求、 IT 投资和优先顺序。

IT 原则驱动着 IT 整体架构的形成，而 IT 整体架构又决定了基础设施，这种基础设施所确定的能力又决定着基千业务需求应用的构建，最后，IT 投资和优先顺序必须为 IT 原则、整体架构、基础设施和应用需求所驱动。

2、IT治理体系框架【☆☆☆】

IT治理体系框架是实现组织IT治理的有效保障；

IT治理体体系框架以组织的战略目标为导向，架起了组织战略与IT的桥梁，实现了IT风险的全面管控以及IT资源的合理利用；

IT治理体系框架具体包括：IT战略目标、IT治理组织、IT治理机制、IT治理域、IT治理标准和IT绩效目标等部分，形成一整套IT治理运行闭环，如下图：

IT 战略目标：是指为实现IT价值和目标，使组织从IT投入中获得最大收益，而针对IT与业务关系、 IT决策、IT资源利用、IT风险控制等方面制定的目标。

IT 治理组织：是界定组织中各相关主体在各自方面的治理范围、责权利及其相互关系的准则，它的核心是治理机构（如 IT 治理委员会等）的设置和权限的划分。

IT 治理机制：是 IT 治理决策机制、执行机制、风险控制机制、协调机制的综合体，各机制之间是相辅相成、相互促进的关系。

IT 治理域：是在IT治理的规则之下，对组织的IT资源进行整合与配置，根据IT目标所采取的行动。IT治理域内容包括IT信息系统的计划、构建、运维与监控等。

IT治理标准：包括IT治理基本规范、IT治理实施参照、IT治理评价体系、IT 治理审计方法等方面，作为组织实施 IT 治理最佳实践和对标依据。

IT 绩效目标：关注 IT 价值的实现，评价 IT 规划与 IT 构建过程中是否满足业务需求以及构建过程中的工期、成本、质量是否达到目标。

3、IT治理的核心内容【☆☆☆】

IT治理本质上关心：实现IT的业务价值；IT风险的规避。

IT治理的核心内容包括六个方面：组织职责、战略匹配、资源管理、价值交付、风险管理和绩效管理。

(1) 组织职责。组织职责指组织参与 IT 决策与管理的所有人员的集合，明确组织信息部门和业务部门之间的关系和责任，正确划分信息系统的所有者、建设者、管理者和监控者。

(2) 战略匹配。IT 治理的一个重要内容，是使组织的 IT 建设与组织战略相匹配，也就是通常所说的“战略匹配＂。而战略匹配是 IT 为组织贡献业务价值的重要驱动力。

(3) 资源管理。资源管理的主要功能是确保用户对组织的应用系统和基础设施都有良好的理解和应用，优化 IT 投资、IT 资源（人、应用系统、信息、基础设施）的分配，做好人员的培训、发展计划，以满足组织的业务需求。

(4) 价值交付。通过对 IT 项目全生命周期的管理，确保 IT 能够按照组织战略实现预期的业务价值。重点是对整个交付周期成本的控制和 IT 业务价值的实现，使 IT 项目能够在预算时间、成本范围内，按预定的质量要求完成。价值交付即是创造业务价值。

(5) 风险管理。风险管理是 IT 治理中非常重要的内容。风险管理是确保 IT 资产的安全和灾难的恢复、组织信息资源的安全以及人员的隐私安全。风险管理即是保护业务价值。

(6) 绩效管理。没有绩效管理 IT 治理中任何一个域都不可能有效地进行管理。绩效管理主要是追踪和监视 IT 战略、 IT 项目的实施、信息资源的使用、 IT 服务的提供以及业务流程的绩效。

4、IT治理机制经验【☆☆☆】

建立IT治理机制的原则包括：简单、透明、适合。

1.3、IT治理任务

企业的IT治理活动定义为：

统筹：统筹现在和未来的IT战略和组织规划、管理和绩效的实施计划、策略；

指导：指导IT管理实施、绩效考评、风险控制和业务合规；

监督：监督IT与业务的一致性、符合性及IT应用的合规性；

改进：改进IT战略规划、组织策略、信息兄台那个全生命周期管控和数据治理；

组织开展IT治理活动的主要任务聚焦在【☆☆☆】：全局统筹、价值导向、机制保障、创新发展、文化助推；

1.4、IT治理方法与标准

IT治理相关标准：我国信息技术服务标准库（ITSS）中IT治理系列标准、信息和技术治理框架（COBIT）和IT治理国际标准（ISO/IEC 38500）等。

1、ITSS中的IT服务治理

（1）IT治理通用要求【☆☆☆】

GB/T 34960.1《信息技术服务治理第1部分：通用要求》规定了IT治理的模型和框架、实施IT治理的原则以及开展IT顶层涉及、管理体系和资源的治理要求。

该标准可用于：1.建立组织的IT治理体系，并实施自我评价；2.开展信息技术审计；3.研发、选择和评价IT治理相关的软件或解决方案；4.对第三方组织的IT治理能力进行评价。

（2）IT治理实施指南【☆☆☆】

GB/T 34960.2《信息技术服务治理第2部分：实施指南》提出了IT治理通用要求的实施指南，分析了实施IT治理的环境因素，规定了IT治理的实施框架、实施环境和实施过程，并明确顶层设计治理、管理体系治理和资源治理的实施要求。

该标准适用于：1.建立组织的IT治理实施框架，明确实施方法和过程；2.组织内部开展IT治理的实施；3.IT治理相关软件或解决方案实施落地的指导；4.第三方开展IT治理评价的指导。

2、信息和技术治理框架

COBIT框架对治理和管理进行了明确区分，这连个学科涵盖不同的活动，需要不同的组织结构，并服务与不同目的。

（1）治理和管理目标【☆☆☆】

COBIT框架介绍了40项核心治理和管理目标，以及其中包含的流程和其他相关组件；治理流程通常由董事会和执行管理层负责，而管理流程则在高级和中级管理层的职责范围内。

董事会和执行管理层负责评估、指导和监控（EDM）领域；

高级和中级管理层的职责：监控、评价和评估（MEA）领域；

COBIT给出了建议设计流程：1.了解组织环境和战略；2.确定治理系统的初步范围；3.优化治理系统的范围；4.最终确定治理系统的设计。

3、IT治理国际标准

ISO/IEC FDIS 38500:2014提供了IT良好治理的原则、定义和模式，以帮助最高级别组织的人员理解和旅行其在组织使用IT方面的法律、法规和道德义务，规定了治理机构应通过评估、指导和监督三个主要任务来治理IT。

2、IT审计

2.1、IT审计基础

IT审计重要性【☆☆☆】：指IT审计风险（固有风险、控制风险、检查风险）对组织影响的严重程度，如：财产损失、业务中断、失去客户信任、经济制裁等。

IT审计的目的【☆☆☆】：指通过开展IT审计工作，了解组织IT系统与IT活动的总体状况，对组织是否实现IT目标进行审查和评价，充分识别与评估相关IT风险，提出评价意见及改进建议，促进组织实现IT目标。

IT审计的范围【☆☆☆】：需要根据审计目的和投入审计成本来确定，还需要明确审计的组织范围、物理位置以及信息系统相关逻辑边界。

IT审计人员要求：职业道德；知识、技能、资格与经验；专业圣人能力；利用外部专家服务。

IT审计风险【☆☆☆】：主要包括固有风险、控制风险、检查风险和总体审计风险。

2.2、审计方法与技术

IT审计常用方法【☆☆☆】：访谈法、调查法、检查法、观察法、测试法和程序代码检查法。

IT审计技术【☆☆☆】：包括风险评估技术、审计抽样技术、计算机辅助审计技术及大数据审计技术。

IT审计证据特点：充分性、客观性、相关性、可靠性、合法性。

审计工作底稿分类【☆☆☆】：综合类工作底稿、业务类工作底稿、备查类工作底稿。

2.3、审计流程

科学、规范的审计流程不但是分配审计工作的具体依据，还是控制审计的有效工具。

作用包括：1.有效地指导审计工作；2.有利于提高审计工作效率；3.有利于保证审计项目质量；4.有利于规范审计工作。

狭义的审计流程是指审计人员再取得审计证据、完成审计目标、得出审计结论过程中采取的步骤和方法。

广义的审计流程是指审计机构和审计人员对审计项目从开始到结束的整个过程采取的系统性工作步骤，一般分为审计准备、审计实施、审计终结及后续审计四个阶段。

2.4、审计内容

IT审计业务和服务通常分为：

IT内部控制审计主要包括组织层面IT控制审计、IT一般控制审计及应用控制审计；

IT转向审计主要是指根据当前面临的特殊风险或需求开展的IT审计，审计范围为IT综合审计的某一个或几个部分；

信息系统项目管理审计内容与方法：组织管理、项目启动与计划、项目实施与控制、项目收尾管理、工程方法审计；