信息系统治理
- IT治理
- IT治理基础
概念:IT治理是描述组织采用有效的机制对信息技术和数据资源开发利用,平衡信息化发展和数字化转型过程中的风险,确保实现组织的战略目标过程。
-
-
- 驱动组织开展高质量IT治理因素
-
- 良好的IT治理能够确保组织IT投资有效性;
- IT 属于知识高度密集型领域,其价值发挥的弹性较大;
- IT已经融入组织管理、运行、生产和交付等各领域中,成为各领域高质量发展的重要基础;
- 信息技术的发展演进以及新兴信息技术的引入,可为组织提供大量新的发展空间和业务机会等;
- IT治理能够推动组织充分理解IT价值,从而促进IT价值挖掘和融合利用;
- IT价值不仅仅取决于好的技术,也需要良好的价值管理,场景化的业务融合应用;
- 高级管理层的管理幅度有限,无法深入到IT 每项管理当中,需要采用明确责权利和清晰管理去确保T价值;
- 成熟度较高的组织以不同的方式治理IT,获得了领域或行业领先的业务发展效果。
-
- IT 治理的目标
-
IT治理主要目标包括:与业务目标一致、有效利用信息与数据资源、风险管理。
-
-
- IT治理的管理层次
-
IT治理要保证总体战略目标能够从上而下贯彻执行。
管理层次大致可分为三层:最高管理层、执行管理层、业务与服务执行层。
(1)最高管理层
- 证实IT 战略与业务战略是否一致;
- 证实通过明确的期望和衡量手段交付IT 价值;
- 指导IT战略、平衡支持组织当前和未来发展的投资。
- 指导信息和数据资源的分配。
- 执行管理层
- 制定IT 的目标;
- 分析新技术的机遇和风险;
- 建设关键过程与核心竞争力;
- 分配责任、定义规程、衡量业绩;
- 管理风险和获得可靠保证。
- 业务及服务执行层
- 信息和数据服务的提供和支持;
- IT 基础设施的建设和维护;
- IT 需求的提出和响应。
- IT治理体系
IT治理用于描述组织在信息化建设和数字化转型过程中是否采用有效的机制使得信息技术开发利用能够完成组织赋予它的使命。
IT 治理的核心:关注IT 定位和信息化建设与数字化转型的责权利划分。
IT 治理体系的具体构成:
- IT治理目标:IT 应用的期望行为与业务目标一致;
- IT 治理架构:IT治理谁来做;
- IT 治理内容:投资、风险、绩效、标准和规范;
- IT 治理流程:统筹、评估、指导、监督;
- IT 治理效果:内外评价。
-
- IT治理关键决策
-
有效的IT 治理必须关注五项关键决策:IT 原则、IT 架构、IT 基础设施业务应用需求、IT 投资和优先顺序。
IT 原则驱动着IT 整体架构的形成,而IT 整体架构又决定了基础设施,这种基础设施所确定的能力又决定着基于业务需求应用的构建,最后,IT 投资和优先顺序必须为IT 原则、整体架构、基础设施和应用需求所驱动。
| IT原则的决策 组织高层关于如何使用IT的陈述 | ||
| IT框架的决策 组织从一系列政策、关系以及技术选择中捕获的数据、应用和基础设施的逻辑,以达到预期和商业、技术的标准化和一体化。 | 业务应用需求决策 未购买或内部开发IT应用确定也无需求 | IT投资和优先顺序决策 关于应该在IT的哪些方面投资以及投资多少的决策,包括项目的审批和论证技术。 |
| IT基础设施决策 集中协调、共享IT服务可以给组织的IT能力提供基础 | ||
IT决策的关键问题
| 关键决策 | 关键问题 |
| IT原则 |
|
| IT架构 |
|
| IT基础设施 |
|
| 业务应用需求 |
|
| IT投资和优先顺序 |
|
-
-
- IT治理体系框架
-
IT 治理体系框架具体包括:IT 战略目标、IT 治理组织、IT 治理机制、IT 治理域、IT 治理标准和IT 绩效目标等部分。
- IT 战略目标:IT 战略目标是指为实现IT 价值和目标,使组织从IT 投入中获得最大收益。
- IT 治理组织:IT 治理组织是界定组织中各相关主体在各自方面的治理范围、责权利及其相互关系的准则,它的核心是治理机构(如 IT 治理委员会等)的设置和权限的划分。
- IT 治理机制:IT 治理机制是 IT 治理决策机制、执行机制、风险控制机制、协调机制的综合体,各机制之间是相辅相成、相互促进的关系。
- IT 治理域:IT 治理领域是在 IT 治理的规则之下,对组织的IT 资源进行整合与配置,根据IT 目标所采取的行动。
- IT 治理标准:IT 治理标准包括IT 治理基本规范、IT 治理实施参照、IT 治理评价体系和IT 治理审计方法等方面,作为组织实施IT 治理最佳实践和对标依据。
- IT 绩效目标:IT 绩效目标关注IT 价值的实现,评价IT 规划与IT 构建过程中是否满足业务需求以及构建过程中的工期、成本、质量是否达到目标。
IT治理体系框架
-
-
- IT治理核心内容
-
IT 治理的核心内容包括六个方面:组织职责、战略匹配、资源管理、价值交付、风险管理、绩效管理。
- 组织职责:组织职责指组织参与IT 决策与管理的所有人员的集合,明确组织信息部门和业务部门之间的关系和责任。
- 战略匹配:IT 治理的一个重要内容,是使组织的IT 建设与组织战略相匹配,也就是通常所说的“战略匹配”。
- 资源管理:资源管理的主要功能是确保用户对组织的应用系统和基础设施都有良好的理解和应用。
- 价值交付。通过对IT 项目全生命周期的管理,确保T 能够按照组织战略实现预期的业务价值。
- 风险管理:风险管理是确保 T 资产的安全和灾难的恢复、组织信息资源的安全以及人员的隐私安全。
- 绩效管理:绩效管理主要是追踪和监视 T 战略、IT 项目的实施、信息资源的使用、IT 服务的提供以及业务流程的绩效管理所采用的工具。
-
- IT治理机制经验
-
建立IT治理机制的原则包括
- 简单:机制应该明确地定义特定个人和团体所承担的责任和目标;
- 透明:对于那些被治理决策所影响或是想要挑战治理决策的人来说,机制如何工作是需要非清晰的;
- 适合:机制鼓励那些处于最佳位置的个人去制定特定的决策。
- IT治理任务
组织开展IT治理活动的主要任务聚焦在如下五个方面:
- 全局统筹
- 价值导向
- 机制保障
- 创新发展
- 文化助推
- IT治理方案与标准
-
-
- COBIT核心模型
-
COBIT 治理系统组件
组织开展治理系统设计通过流程化的方式进行,COBIT 给出了建议设计流程
- 了解组织环境和战略
- 确定治理系统的初步范围
- 优化治理系统的范围
- 最终确定治理系统的设计
-
-
- IT治理国际标准
-
该标准规定治理机构应通过评估、指导和监督三个主要任务来治理IT。
- IT审计
- IT审计基础
- 审计目的
- IT审计基础
IT 审计的目的是指通过开展IT 审计工作,了解组织IT 系统与IT 活动的总体状况,对组织是否实现 IT 目标进行审查和评价,充分识别与评估相关IT 风险,提出评价意见及改进建议促进组织实现IT 目标。
组织的IT 目标主要包括
- 组织的 IT 战略应与业务战略保持一致
- 保护信息资产的安全及数据的完整、可靠、有效
- 提高信息系统的安全性、可靠性及有效性
- 合理保证信息系统及其运用符合有关法律、法规及标准等的要求
-
- 审计风险
-
IT审计的风险主要包括:
- 固有风险
- 控制风险
- 检查风险
- 审计方法与技术
- 审计常用方法
- 审计方法与技术
IT审计方法就是为了完成IT 审计任务所采取的手段。
常用审计方法包括: 访谈法、调查法、检查法、观察法、测试法和程序代码检查法等。
-
-
- 审计技术
-
常用的IT 审计技术包括
- 风险评估技术
- 审计抽样技术
- 计算机辅助审计技术
- 大数据审计技术
- 审计流程
审计流程的作用:
- 有效地指导审计工作
- 有利于提高审计工作效率
- 有利于保证审计项目质量
- 有利于规范审计工作
广义的审计流程分为审计准备、审计实施、审计终结及后续审计四个阶段。
(1)审计准备阶段:IT 审计准备阶段是指 IT 审计项目从计划开始,准备阶段工作一般包括:
- 明确审计目的及任务
- 组建审计项目组
- 搜集相关信息
- 编制审计计划
(2)审计实施阶段:IT 审计实施阶段是审计人员将项目审计计划付诸实施的期间。实施阶段主要完成工作包括:
- 深入调查并调整审计计划
- 了解并初步评估IT 内部控制
- 进行符合性测试
- 进行实质性测试。
(3)审计终结阶段:IT 审计终结阶段是整理审计工作底稿、总结审计工作、编写审计报告做出审计结论的期间。终结阶段的工作一般包括:
- 整理与复核审计工作底稿
- 整理审计证据
- 评价相关IT 控制目标的实现
- 判断并报告审计发现
- 沟通审计结果
- 出具审计报告
- 归档管理。
后续审计阶段。后续审计是在审计报告发出后的一定时间内,审计人员为检查被审计单位对审计问题和建议是否已经采取了适当的纠正措施,并取得预期效果的跟踪审计。
- 章节练习
- 选择题
(1)“计算机硬件故障或软件不足,易造成信息的损坏和丢失,导致数据处理过程中发生偶发错误”,描述的风险类型是( )
A、固有风险 B、控制风险
C、检查风险 D、审计风险
参考答案: A
(2)( )指审计人员在审计实施阶段为执行具体审计程序所形成的审计工作底稿。
A、综合类工作底稿
B、业务类工作底稿
C、备查类工作底稿
D、技术类工作底稿
参考答案:B
3()关于IT 审计范围的描述,不正确的是()
A、总体范围需要根据审计目的和投入的审计成本来确定
B、组织范围需明确审计涉及的组织机构、主要的流程、活动及人员等
C、逻辑范围需明确涉及的信息系统
D、物理范围需明确具体的物理地点与边界
参考答案:C
(4)组织外包其软件开发,()是该组织 IT 管理的责任。
A、作为开发人员参加系统设计
B、支付服务提供商
C、与服务提供商谈判合同
D、控制服务提供商遵守服务合同
参考答案:D
(5)( )不属于 IT 治理的三大主要目标。
A、与业务目标一致
B、质量控制
C、有效利用信息与数据资源
D、风险管理
参考答案: B
(6)《信息技术服务 治理 第 1 部分: 通用要求》标准不适用于()
A、建立组织的IT 治理体系并实施自我评价
B、组织的IT 治理能力进行自我评价
C、研发、选择和评价IT 治理相关的软件或解决方案
D、开展信息技术审计
参考答案:B
(7)COBIT 2019核心模型中的治理和管理目标分为五个领域,( )领域是由董事会和执行管理层负责。
A、评估、指导和监控(EDM)
B、调整、规划和组织(APO)
C、内部构建、外部采购和实施(BAI)
D、交付、服务和支持(DSS)
参考答案:A
-
- 解答题
(1)IT 治理的管理层次可分为三层: 最高管理层、执行管理层、业务与服务执行层,请简要描述这 3 个层次的主要职责分别是什么?
IT 治理的管理层次一般可以分为三个层次:最高管理层、执行管理层和业务与服务执行层。
最高管理层的主要职责是制定 IT 治理政策,负责 IT 治理的战略规划,确定 IT 治理的投资方向,建立 IT 治理的组织框架,定期对 IT 治理进行评估。
执行管理层的主要职责是根据最高管理层的决策,制定 IT 治理的实施方案,组织实施,确保 IT 治理的实施质量,定期对 IT 治理的实施进行评估。
业务与服务执行层的主要职责是根据执行管理层的方案,组织实施 IT 治理,确保 IT 治理的各项业务和服务按照要求进行,定期对 IT 治理的业务和服务进行评估。
(2) IT 治理的核心内容包括哪 6 个方面,请简述?
IT 治理的核心内容包括:技术架构、信息安全、系统运行管理、企业资源规划、业务流程管理以及风险管理。
技术架构是指构建 IT 技术架构,以确保 IT 系统的稳定性、可靠性和可用性。
信息安全是指实施严格的安全控制措施,以确保 IT 系统的安全性和保护组织的信息资源。
系统运行管理是指实施有效的运行管理,以确保 IT 系统的稳定性、可靠性和可用性。
企业资源规划是指企业 IT 资源的统筹规划,以提高 IT 系统的性价比,满足企业发展的需求。
业务流程管理是指实施有效的业务流程管理,以实现 IT 系统的有效运行,提高企业业务的效率。
风险管理是指实施有效的风险管理,以确保 IT 系统的安全性,防止可能发生的灾难性后果。
总之,IT 治理的核心内容包括:技术架构、信息安全、系统运行管理、企业资源规划、业务流程管理以及风险管理,这些内容都是IT治理的重要组成部分,旨在确保IT系统的稳定性、可靠性和可用性,保护企业信息资源,提高企业业务的效率,防止可能发生的灾难性后果。
(3) 请指出IT 审计的常用方法,并根据你的理解举例说明信息系统项目管理可能使用的方法及具体运用。
IT 审计是一种以信息系统为核心的审计活动,它的主要目的是检查组织的信息系统是否按照有效的安全管理措施进行管理,以确保它们能够满足组织的业务需求。IT 审计的常用方法包括:审计计划、审计程序、审计报告、审计报表、审计测试和审计审查等。
信息系统项目管理可以使用审计计划来确定要审计的项目,审计程序则可以帮助识别和评估项目的风险,审计报告则可以提供有关项目审计结果的详细信息,审计报表可以帮助识别项目的审计趋势,审计测试可以检测项目的安全性,而审计审查则可以检查项目是否按照规定的安全标准来实施。例如,在信息系统项目管理中,可以使用审计计划来确定要审计的项目,审计程序来识别和评估项目的风险,审计报告来提供有关项目审计结果的详细信息,审计报表来识别项目的审计趋势,审计测试来检测项目的安全性,以及审计审查来检查项目是否按照规定的安全标准来实施。通过使用这些方法,可以有效地管理信息系统项目,确保它们能够满足组织的业务需求。
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
