三、信息系统治理(主要考选择题)

三、信息系统治理(主要考选择题)

内容来源：信息系统项目管理师教程 (第4版）
文章内容主要为第4版教程的核心重点内容。

3.1 IT治理

3.1.1 IT治理基础

IT治理是描述组织采用有效的机制对信息技术和数据资源开发利用，平衡信息化发展和数 字化转型过程中的风险，确保实现组织的战略目标的过程。

1. IT治理的驱动因素

①信息系统成了许多“信息孤岛”, 缺乏共享的、网络化的信息资源，系统集成难题一直无法解决；

②信息资源整合目标空泛，没 有整合“信息孤岛”的措施，数据中心建设和数据集中管理等规划缺乏可操作性，尤其是缺少 数据标准化建设方面的建设规划。

• IT治理是指组织在开发利用信息技术过程中，为鼓励组织所期望的组织行为而明确决策权归属和 责任担当的框架，其目标是通过IT治理的决策权和责任影响组织所期望的组织行为。

2. IT治理的目标价值

IT治理主要目标包括：与业务目标一致、有效利用信息与数据资源、风险管理。

(1) 与业务目标一致。IT治理要从组织目标和数字战略中抽取信息与数据需求和功能需求， 形成总体的IT治理框架和系统整体模型，为进一步系统设计和实施奠定基础，保证信息技术开

(2) 有效利用信息与数据资源。目前信息系统工程超期、IT客户的需求没有满足、IT平台 不支持业务应用、数据开发利用效能与价值不高、信息技术与业务发展融合深度不够等问题突 出，通过IT治理对信息与数据资源的管理职责进行有效管理，保证投资的回收，并支持决策。

(3) 风险管理。由于组织越来越依赖于信息网络、信息系统和数据资源等，新的风险不断 涌现，例如，新出现的技术没有管理，不符合现有法律和规章制度，没有识别对IT服务的威胁 等。IT治理重视风险管理，通过制定信息与数据资源的保护级别，强调对关键的信息与数据资 源，实施有效监控和事件处理。

3. IT治理的管理层次

IT治理要保证总体战略目标能够从上而下贯彻执行，治理层主要集中在最高管理层(如董 事会)和管理执行层。好的IT治理实践需要在组织全部范围内推行。管理层次大致可分为三层：最高管理层、执行管理层、业务与服务执行层。

• 最高管理层的主要职责包括：证实IT战略与业务战略是否一致；证实通过明确的期望和衡量 手段交付IT价值；指导IT战略、平衡支持组织当前和未来发展的投资；指导信息和数据资源的分 配。
• 执行管理层的主要职责包括：制定IT的目标；分析新技术的机遇和风险；建设关键过程与核 心竞争力；分配责任、定义规程、衡量业绩；管理风险和获得可靠保证等。
• 业务及服务执行层的主要职责包括：信息和数据服务的提供和支持；IT基础设施的建设和维护；IT需求的提出和响应。

3.1.2 IT治理体系

IT治理用于描述组织在信息化建设和数字化转型过程中是否采用有效的机制使得信息技术 开发利用能够完成组织赋予它的使命。IT治理的核心是关注IT定位和信息化建设与数字化转型 的责权利划分，如图3-1所示。IT治理体系的具体构成包括IT定位：IT应用的期望行为与业务 目标一致；IT治理架构：业务和IT在治理委员会中的构成、组织IT与各分支机构的IT权责边 界等；IT治理内容：投资、风险、绩效、标准和规范等；IT治理流程：统筹、评估、指导、监 督；IT治理效果(内外评价)等。

​

1. IT治理关键决策

有效的IT治理必须关注五项关键决策，如图3-2所示，包括IT原则、IT架构、IT基础设施、 业务应用需求、IT投资和优先顺序。IT原则驱动着IT整体架构的形成，而IT整体架构又决定 了基础设施，这种基础设施所确定的能力又决定着基于业务需求应用的构建，最后，IT投资和 优先顺序必须为IT原则、整体架构、基础设施和应用需求所驱动。然而，这些决策中又有独特 问题，即IT治理需要确定每个决策由谁来负责输入，以及由谁来负责做出决策。

​

2. IT治理体系框架

IT治理体系框架具体包括：IT战略 目标、IT治理组织、IT治理机制、IT治理域、IT治理标准和IT绩效目标等部分，形成一整套 IT治理运行闭环，如图3-3所示。

​

3. IT治理核心内容

IT治理本质上关心：

①实现IT的业务价值；

②IT风险的规避。前者是通过IT与业务战略匹配来实现的，后者通过在组织内部建立相关职责来实现。两者都需要相关资源的支持，并对 其绩效进行有效度量。IT治理的核心内容包括六个方面：组织职责、战略匹配、资源管理、价 值交付、风险管理和绩效管理，如图3-4所示。

​

4. IT治理机制经验

建立IT治理机制的原则包括：

①简单。机制应该明确地定义特定个人和团体所承担的责任 和目标。

②透明。有效的机制依赖于正式的程序。对于那些被治理决策所影响或是想要挑战治 理决策的人来说，机制如何工作是需要非常清晰的。

③适合。机制鼓励那些处于最佳位置的个 人去制定特定的决策。

3.1.3 IT治理任务

3.1.4 IT治理方法与标准

1. ITSS 中 IT服务治理

   1、IT治理通用要求

   • GB/T34960.1《信息技术服务治理第1部分：通用要求》规定了IT治理的模型和框架、实 施IT治理的原则，以及开展IT顶层设计、管理体系和资源的治理要求。该标准可用于：

     ①建 立组织的IT治理体系，并实施自我评价；

     ②开展信息技术审计；

     ③研发、选择和评价IT治理 相关的软件或解决方案；

     ④第三方对组织的IT治理能力进行评价。各级各类信息化主管部门可 根据法律法规、部门规章的要求，使用该标准对所管辖各类组织的IT治理提出要求，并进行评估、指导和监督。

   • 该标准定义的IT治理框架包含信息技术顶层设计、管理体系和资源三大治理域

   2、IT治理实施指南

   • GB/T 34960.2《信息技术服务治理第2部分：实施指南》提出了IT治理通用要求的实施 指南，分析了实施IT治理的环境因素，规定了IT治理的实施框架、实施环境和实施过程，并明确顶层设计治理、管理体系治理和资源治理的实施要求。该标准适用于：

     ①建立组织的IT治 理实施框架，明确实施方法和过程；

     ②组织内部开展IT治理的实施；

     ③IT治理相关软件或解 决方案实施落地的指导；

     ④第三方开展IT治理评价的指导。

2. 信息和技术治理框架

   1、治理和管理目标

   • 管理目标分为四个领域：

     ①调整、规划和组织(APO)针对IT的整体组织、战略和支持活动；

     ②内部构建、外部采购和实施(BAI)针对IT解决方案的定义、采购和实施以及它们到业务流 程的整合；

     ③交付、服务和支持(DSS)针对IT服务的运营交付和支持，包括安全；

     ④监控、 评价和评估(MEA)针对IT的性能监控及其与内部性能目标、内部控制目标和外部要求的一致 程度。治理目标与治理流程有关，而管理目标与管理流程有关。治理流程通常由董事会和执行 管理层负责，而管理流程则在高级和中级管理层的职责范围内。

   2、信息和技术治理解决方案的设计

   • 组织开展治理系统设计通过流程化的方式进行，如图3-12所示，COBIT给出了建议设计流 程：

     ①了解组织环境和战略；

     ②确定治理系统的初步范围；

     ③优化治理系统的范围；

     ④最终确 定治理系统的设计。

3. IT治理国际标准

3.2 IT审计

3.2.1 IT审计基础

1. IT审计定义
2. IT审计目的

• IT审计的目的是指通过开展IT审计工作，了解组织IT系统与IT活动的总体状况，对组 织是否实现IT目标进行审查和评价，充分识别与评估相关IT风险，提出评价意见及改进建议， 促进组织实现IT目标。
• 组织的IT目标主要包括：①组织的IT战略应与业务战略保持一致；②保护信息资产的安 全及数据的完整、可靠、有效；③提高信息系统的安全性、可靠性及有效性；④合理保证信息 系统及其运用符合有关法律、法规及标准等的要求。

3. IT审计范围

​

4. IT审计人员

5. IT审计风险

IT审计风险主要包括固有风险、控制风险、检查风险和总体审计风险。固有风险、控制风 险、检查风险的内容，如表3-6所示。

​

• 总体审计风险是指针对单个控制目标所产生的各类审计风险总和。良好的审计计划应尽可 能评估和控制审计风险，减少或控制所检查领域的审计风险，比如采取合适的审计工具，在完 成审计时把总体审计风险控制在足够低的水平之内，以达到预期保证水平。
• 审计风险也用于描述审计人员在执行审计任务时可接受的风险水平。审计人员可通过设定 目标风险水平并调整审计工作量，以合适的审计成本满足最小化总体审计风险要求。

3.2.2 审计方法与技术

1. IT审计依据与准则

2. IT审计常用方法

常用审计方法包括：访谈法、调查法、检查法、观察法、 测试法和程序代码检查法等，如表3-8所示。

​

3. IT审计技术

常用的TT审计技术包括风险评估技术、审计抽样技术、计算机辅助审计技术及大数据审计技术。

1）风险评估技术

2）审计抽样技术

• 审计抽样是指审计人员在实施审计程序时，从审计对象总体中选取一定数量的样本进行测 试，并根据测试结果，推断审计对象总体特征的一种方法。

  3）计算机辅助审计技术

• 计算机辅助审计(Computer Assisted Audit Tools,CAAT),也称为利用计算机审计，是指审计 人员在审计过程和审计管理活动中，以计算机为工具来执行和完成某些审计程序和任务的一种新 兴审计技术。它并非电算化系统审计特有的一种方法，对手工系统的审计也可应用这些技术。

  4）大数据审计技术

• 大数据审计是指遵循大数据理念，运用大数据技术方法和工具，利用数量巨大、来源分散、 格式多样的数据，开展跨层级、跨系统、跨部门和跨业务等的深入挖掘与分析，提升审计发现 问题、评价判断、宏观分析的能力。大数据审计技术包括大数据智能分析技术、大数据可视化分析技术及大数据多数据源综合分析技术等，如表3-10所示。

​

4. IT审计证据

审计证据是指由审计机构和审计人员获取，用于确定所审计实体或数据是否遵循既定标准 或目标，形成审计结论的证明材料。

​

5. IT审计底稿（相当于工作存档&产物）

审计工作底稿是指审计人员对制订的审计计划、实施的审计程序、获取的相关审计证据，以及 得出的审计结论做出的记录。审计工作底稿是审计证据的载体，是审计人员在审计过程中形成的审 计工作记录和获取的资料。它形成于审计过程，也反映整个审计过程。审计底稿的作用表现在：

• 是形成审计结论、发表审计意见的直接依据；
• 是评价考核审计人员的主要依据；
• 是审计质量控制与监督的基础；
• 对未来审计业务具有参考备查作用。

审计工作底稿一般分为综合类工作底稿、业务类工作底稿和备查类工作底稿，具体如表3-12所示。

​

通常，根据审计机构的组织规模和业务范围，可以实行对审计工作底稿的三级复核制度。 审计工作底稿三级复核制度是指以审计机构负责人、部门负责人和项目负责人(或项目经理) 为复核人，依照规定的程序和要点对审计工作底稿进行逐级复核的制度。三级复核制度目前已 成为较为普遍采用的形式，对于提高审计工作质量、加强质量控制起了重要的作用。

3.2.3 审计流程

一般分为审计准备、 审计实施、审计终结及后续审计四个阶段，每个阶段又包含若干具体内容。

1. 审计准备阶段。IT审计准备阶段是指IT审计项目从计划开始，到发出审计通知书为止 的期间。准备阶段是整个审计过程的起点和基础，准备阶段的工作是否充分、合理、细致，对 提高审计工作效率，保证审计工作质量至关重要。准备阶段工作一般包括：

   • ①明确审计目的及 任务；
   • ②组建审计项目组；
   • ③搜集相关信息；
   • ④编制审计计划等。

2. 审计实施阶段。IT审计实施阶段是审计人员将项目审计计划付诸实施的期间。此阶段 的工作是审计全过程的中心环节，是整个审计流程的关键阶段，关系到整个审计工作的成败。实 施阶段主要完成工作包括：

   • ①深入调查并调整审计计划；
   • ②了解并初步评估IT内部控制；
   • ③进行 符合性测试；
   • ④进行实质性测试等。

3. 审计终结阶段。IT审计终结阶段是整理审计工作底稿、总结审计工作、编写审计报告、 做出审计结论的期间。审计人员应运用专业判断，综合分析所收集到的相关证据，以经过核实 的审计证据为依据，形成审计意见、出具审计报告。终结阶段的工作一般包括：

   • ①整理与复核审计工作底稿；
   • ②整理审计证据；
   • ③评价相关IT控制目标的实现；
   • ④判断并报告审计发现；
   • ⑤沟通审计结果；
   • ⑥出具审计报告；
   • ⑦归档管理等。

4. 后续审计阶段。后续审计是在审计报告发出后的一定时间内，审计人员为检查被审计 单位对审计问题和建议是否已经采取了适当的纠正措施，并取得预期效果的跟踪审计。后续审 计并不是一次新的审计，而是前一次审计的有机组成部分。实施后续审计，可不必遵守审计流 程的每一过程和要求，但必须依法依规进行检查、调查，收集审计证据，写出后续审计报告。

3.2.4 审计内容

IT审计业务和服务通常分为IT内部控制审计和IT专项审计。IT内部控制审计主要包括组 织层面IT控制审计、IT一般控制审计及应用控制审计；IT专项审计主要是指根据当前面临的特 殊风险或者需求开展的IT审计，审计范围为IT综合审计的某一个或几个部分。有关IT内部控制审计与IT专项审计的具体内容如表3-13所示。

​

‍欢迎关注我的CSDN、个人博客、知乎