第三章 信息系统治理
3.1 IT治理
-
IT治理所关注的问题:
①组织如何从其信息系统投资中获得真正的价值
②如何将信息技术战略与组织战略想融合
③如何从组织治理的高度,对组织数字化能力做出制度安排
④如何从战略投资、组织管理变革的角度,降低IT的风险
⑤如何利用国内外信息技术开发利用的最佳实践和重要成功,加快组织的信息化、数字化工作推进等。 -
IT治理是指组织在开发利用信息技术过程中,为鼓励组织所期望的组织行为而明确决策权归属和责任担当的框架,目标是通过IT治理的决策权和责任影响组织所期望的组织行为。
-☆ IT治理三大目标:与业务目标一致、有效利用信息与数据资源、风险管理。 -
IT治理的管理层次大致分为三层:最高管理层、执行管理层、业务与服务执行曾。
-
IT治理用于描述组织在信息化建设和数字化转型过程中是否采用有效的机制使得信息技术开发利用能够完成组织赋予它的使命。
-
IT治理的核心是关注IT定位和信息化建设与数字化转型的责权利划分。
-
IT 治理的核心内容包括六个方面:组织职责、战略匹配、资源管理、价值交付、风险管理和绩效管理。
-
IT治理体系的具体构成包括:IT定位、IT治理架构、IT治理内容、IT治理流程、IT治理效果。
-
☆有效的IT治理必须要关注五项关键决策:IT原则、IT架构、IT基础设施、业务应用需求、IT投资和优先顺序。
-
☆IT治理体系框架:IT战略目标、IT治理组织、IT治理机制、IT治理域、IT治理标准和IT绩效目标。
-
IT治理本质上关心:实现IT的业务价值;IT风险的规避。
-
建立IT治理机制的原则:①简单②透明③适合
-
组织IT治理活动定义为统筹、指导、监督和改进。
-
IT治理方法与标准:信息技术服务标准库ITSS中的IT治理系列标准、信息和技术治理框架COBIT和IT治理国际标准ISO/IEC38500
3.2 IT审计
- IT审计的目的是了解组织IT系统与IT活动的总体状况,对组织是否实现IT目标进行审查和评价,充分识别与评估相关IT风险,提出评价意见及改进建议,促进组织实现IT目标。
- 组织的IT目标包括①组织的IT战略应与业务战略保持一致②保护信息资产的安全及数据的完整、可靠、有效③提高信息系统的安全性、可靠性及有效性④合理保证信息系统及运用符合有关法律、法规及标准等的要求。
- 在实施IT审计项目前,先对组织与信息系统相关的==总体情况进行了解的风险评估,==确定主要风险,根据确定的风险来判断哪些控制、流程对组织的影响较大,并结合审计项目的预计时间、配备的审计力量来确定重点审计范围。
- ☆IT审计风险包括固有风险、控制风险、检查风险和总体审计风险。
- IT审计常用方法:访谈法、调查法、检查法、观察法、测试法、程序代码检查法。
- IT审计技术:风险评估审计、审计抽样技术、计算机辅助审计技术、大数据审计技术。
| IT审计技术 | 详情 |
|---|---|
| 风险评估技术 | 包括:风险识别技术、风险分析技术、风险评价技术、风险应对技术 |
| 审计抽样技术 | 包括:统计抽样、非统计抽样 |
| 计算机辅助审计技术 | CAAT也称利用计算机审计,指审计人员在审计过程和审计管理活动中,以计算机为工具来执行和完成某些审计程序和任务的一种新兴审计技术。CAAT包括多种工具和技术,如通用审计软件GAS、测试数据、实用工具软件、专家系统。 |
| 大数据审计技术 | 包括:大数据智能分析技术、大数据可视化分析技术、大数据多数据源综合分析技术。 |
- IT审计证据由审计机构和审计人员获取,是审计意见的支柱,是审计人员形成审计结论的基础。特性:充分性、客观性、相关性、可靠性、合法性。
- 审计流程指审计人员在具体审计过程中采取的行动和步骤。作用:①有效地指导审计工作②有利于提高审计工作效率③有利于保证审计项目质量④有利于规范审计工作。
- 审计流程:审计准备、审计实施、审计终结、后续审计。
- 业务类工作底稿指审计人员在审计实施阶段为执行具体审计程序所形成的审计工作底稿。
- IT审计业务和服务通常分为IT内部控制审计和IT专项审计。
| 大类名称 | 子类名称 |
|---|---|
| IT内部控制审计 | 组织层面IT控制审计、IT一般控制审计及应用控制审计。 |
| IT专项审计 | 信息系统生命周期统计、信息系统开发过程审计、信息系统运行维护审计、网络与信息安全审计、信息系统项目审计、数据审计等 |
892
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
