【信息系统项目管理师】第三章 信息系统治理 考试重点

3.1 IT治理

信息系统治理（IT治理）是组织开展信息技术及其应用活动的重要管控手段，也是组织治理的重要组成部分，尤其在以数字化发展为重要关注点的新时代，组织的数字化转型和组织建设过程中，IT治理起到重要的统筹、评估、指导和监督作用。信息技术审计（IT审计）作为与IT治理配套的组织管控手段，是IT治理不可或缺的评估和监督工具，重点承担着组织信息系统发展的合规性检测以及信息技术风险的管控等职能。

3.1.1 IT治理基础

IT治理是描述组织采用有效的机制对信息技术和数据资源开发利用，平衡信息化发展和数字化转型过程中的风险，确保实现组织的战略目标的过程。

1. IT治理的驱动因素

驱动组织开展高质量IT治理因素包括：

①良好的IT治理能够确保组织IT投资有效性；

②IT属于知识高度密集型领域，其价值发挥的弹性较大；

③IT已经融入组织管理、运行、生产和交付等各领域中，成为各领域高质量发展的重要基础；

④信息技术的发展演进以及新兴信息技术的引入，可为组织提供大量新的发展空间和业务机会等；

⑤IT治理能够推动组织充分理解IT价值，从而促进IT价值挖掘和融合利用；

⑥IT价值不仅仅取决于好的技术，也需要良好的价值管理，场景化的业务融合应用；

⑦高级管理层的管理幅度有限，无法深入到IT每项管理当中，需要采用明确责权利和清晰管理去确保IT价值；

⑧成熟度较高的组织以不同的方式治理IT，获得了领域或行业领先的业务发展效果。

2. IT治理的目标价值

IT治理主要目标包括：与业务目标一致、有效利用信息与数据资源、风险管理。

3. IT治理的管理层次

管理层次大致可分为三层：最高管理层、执行管理层、业务与服务执行层。

最高管理层的主要职责包括：证实IT战略与业务战略是否一致；证实通过明确的期望和衡量
手段交付IT价值；指导IT战略、平衡支持组织当前和未来发展的投资；指导信息和数据资源的分配。

执行管理层的主要职责包括：制定IT的目标；分析新技术的机遇和风险；建设关键过程与核心竞争力；分配责任、定义规程、衡量业绩；管理风险和获得可靠保证等。

业务及服务执行层的主要职责包括：信息和数据服务的提供和支持；IT基础设施的建设和维护；IT需求的提出和响应。

3.1.2 IT治理体系

IT治理的核心是关注IT定位和信息化建设与数字化转型的责权利划分。

1. IT治理关键决策

有效的IT治理必须关注五项关键决策，包括IT原则、IT架构、IT基础设施、业务应用需求、IT投资和优先顺序。

IT原则驱动着IT整体架构的形成，而IT整体架构又决定了基础设施，这种基础设施所确定的能力又决定着基于业务需求应用的构建。

IT投资和优先顺序必须为IT原则、整体架构、基础设施和应用需求所驱动。

IT治理需要确定每个决策由谁来负责输入，以及由谁来负责做出决策

2. IT治理体系框架

IT治理体系框架具体包括：IT战略目标、IT治理组织、IT治理机制、1T治理域、IT治理标准和IT绩效目标等部分，形成一整套IT治理运行闭环。

3. IT治理核心内容

IT治理的核心内容包括六个方面：组织职责、战略匹配、资源管理、价值交付、风险管理和绩效管理。

4. IT治理机制经验

建立IT治理机制的原则包括：

①简单。机制应该明确地定义特定个人和团体所承担的责任和目标。

②透明。有效的机制依赖于正式的程序。对于那些被治理决策所影响或是想要挑战治理决策的人来说，机制如何工作是需要非常清晰的。

③适合。机制鼓励那些处于最佳位置的个人去制定特定的决策。

3.1.3 IT治理任务

组织开展IT治理活动的主要任务聚焦在五个方面：全局统筹、价值导向、机制保障、创新发展、文化助推。

（1）全局统筹

组织还需要关注IT发展的规划、实施、检查和改进全过程，重点包括：

①制订满足可持续发展的IT蓝图；

②实施科学决策、集约管理的策略，实现横向的业务集成和纵向的业务管控；通过内外部的监督，确保IT与业务的一致性和适用性；

③建立适应内外部信息环境变化的持续改进和创新机制。

（2）价值导向

投资产生的IT服务、资产和其他资源。组织需要建立价值递送规则，确保利益相关者明确相应的权利义务，包括：

①认可信息技术、信息系统和数据在组织中的价值；

②识别投资目录，并以相应的方式进行评估和管理；

③对关键指标进行设定和监督，并对变化和偏差做出及时回应；

④权衡实施成本与预期效益，并随组织内外部环境的变化及时调整。

（3）机制保障

组织可以根据相关法律法规、行业管理和上级监管机构发布的规范文件要求，制定本组织的信息技术治理制度并实施，重点聚焦在：

①指导建立规范过程管理和痕迹管理，并向利益相关者公开质量设定举措；

②评审IT管理体系的适宜性、充分性和有效性：

③审计IT完整性、有效性和合规性；

④监督由审计和管理评审，提出改进内容的实施。

（4）创新发展

组织可以建立支持创新的人员、技术、制度、资金、风险、文化和市场需求的机制体系，包括：

①创造基于业务团队与IT团队的深度沟通以及对内外部环境感知和学习的技术创新环境；

②确保技术发展、管理创新、模式革新的协调联动；

③对组织创新能力进行评估，并对关键创新要素进行分析和评价；

④通过促进和创新有效抵御风险，并确保创新是组织文化的组成部分。

（5）文化助推

按照文化营造、实施和改进的生命周期，保障利益相关者的沟通和透明，包括：

①建立与IT发展相适应的组织文化发展策略；

②营造包括知识、技术、管理、情操在内的积极向上的文化氛围；

③根据组织内部环境的变化，评估并改进组织文化的管理。

3.1.4 IT治理方法与标准

比较典型的是我国信息技术服务标准库（ITSS）中IT治理系列标准、信息和技术治理框架（COBIT）和IT治理国际标准（1S0/IEC38500）等。

1. ITSS中IT服务治理

我国IT治理标准化研究是围绕IT治理研究范畴，为IT过程、IT资源、信息与组织战略、组织目标的连接提供了一种机制。通过指导、实施、管理和评价等过程，确保IT支持并拓展组织的战略和目标。在IT治理目标和边界确定的情况下，IT治理围绕决策体系、责任归属、管理流程、内外评价四个方面，通过相关框架体系的研究，规范和引导组织的IT治理完成“做什么” “如何” “怎么样” “如何评价”等问题。

IT治理通用要求-GB/T34960.1《信息技术服务治理第1部分：通用要求》

该标准可用于：

①建立组织的IT治理体系，并实施自我评价；

②开展信息技术审计；

③研发、选择和评价IT治理相关的软件或解决方案；

④第三方对组织的IT治理能力进行评价。

该标准定义的IT治理模型包含治理的内外部要求、治理主体、治理方法，以及信息技术及其应用的管理体系。

该标准定义的IT治理框架包含信息技术顶层设计、管理体系和资源三大治理域。

顶层设计治理域包含信息技术的战略，以及支撑战略的组织和架构；

管理体系治理域包含信息技术相关的质量管理、项目管理、投资管理、服务管理、业务连续性管理、信息安全管理、风险管理、供方管理、资产管理和其他管理；

资源治理域包含信息技术相关的基础设施、应用系统和数据。

**IT治理实施指南-GB/T34960.2《信息技术服务治理第2部分：实施指南》**该标准适用于：

①建立组织的IT治理实施框架，明确实施方法和过程；

②组织内部开展IT治理的实施；

③IT治理相关软件或解决方案实施落地的指导；

④第三方开展IT治理评价的指导。

IT治理实施框架包括治理的实施环境、实施过程和治理域。

2.信息和技术治理框架

COBIT是面向整个组织的信息和技术治理及管理框架，COBIT框架对治理和管理进行了明确区分这两个学科涵盖不同的活动，需要不同的组织结构，并服务于不同目的：①治理确保对利益干系人的需求、条件和选择方案进行评估，以确定全面均衡、达成共识的组织目标；通过确定优先等级和制定决策来设定方向；根据议定的方向和目标监控绩效与合规性；②管理是指按治理设定的方向计划、构建、运行和监控活动，以实现组织目标。

COBIT中治理目标被列入评估、指导和监控（EDM）领域，在这个领域，治理机构将评估战略方案，指导高级管理层执行所选的战略方案并监督战略的实施。董事会和执行管理层负责。

管理目标分为四个领域：
①调整、规划和组织（APO）针对IT的整体组织、战略和支持活动；

②内部构建、外部采购和实施（BAI)针对IT解决方案的定义、采购和实施以及它们到业务流程的整合；

③交付、服务和支持（DSS）针对IT服务的运营交付和支持，包括安全；

④监控、评价和评估（MEA)针对IT的性能监控及其与内部性能目标、内部控制目标和外部要求的一致程度。

高效和有效的IT治理系统是创造价值的起点。COBIT定义的IT治理系统设计因素包括组织战略、组织目标、风险概况、IT相关问题、威胁环境、合规性要求、IT角色、IT采购模式、IT实施方法、技术采用战略、组织规模和未来因素，如图3-11所示。这些设计因素可能影响组织治理系统的设计，为成功使用IT奠定基础。

COBIT给出了建议设计流程：

①了解组织环境和战略；

②确定治理系统的初步范围；

③优化治理系统的范围；

④最终确定治理系统的设计。

3. IT治理国际标准

ISO/IEC正式发布IT治理标准IS0/1EC38500，它的出台不仅标志着IT治理从概念模糊的探讨阶段进入了一个正确认识的发展阶段，而且也标志着信息化正式进入IT治理时代。

(1）该标准包括：责任、战略、收购、性能、一致性和人的行为。

(2）该标准规定治理机构应通过评估、指导和监督三个主要任务来治理IT。

3.2 IT审计

为了有效控制IT风险，有必要对组织的信息系统治理及IT内控与管理等开展IT审计，充分发挥IT审计监督的作用，提高组织的信息系统治理水平，促进组织信息系统治理目标的实现。

3.2.1 IT审计基础

IT审计重要性是指IT审计风险（固有风险、控制风险、检查风险）对组织影响的严重程度，如：财务损失、业务中断、失去客户信任、经济制裁等。

1. IT审计定义

2. IT审计目的

IT审计的目的是指通过开展IT审计工作，了解组织IT系统与IT活动的总体状况，对组织是否实现IT目标进行审查和评价，充分识别与评估相关IT风险，提出评价意见及改进建议，促进组织实现IT目标。

组织的IT目标主要包括：

①组织的IT战略应与业务战略保持一致；

②保护信息资产的安全及数据的完整、可靠、有效；

③提高信息系统的安全性、可靠性及有效性；

④合理保证信息系统及其运用符合有关法律、法规及标准等的要求。

3. IT审计范围

4. IT审计人员

根据GB/T34690.4《信息技术服务治理第4部分：审计导则》，对IT审计人员的要求包括职业道德、知识、技能、资格与经验、专业胜任能力及利用外部专家服务等方面。

5. IT审计风险

IT审计风险主要包括固有风险、控制风险、检查风险和总体审计风险。

3.2.2审计方法与技术

1. IT审计依据与准则

2. IT审计常用方法

常用审计方法包括：访谈法、调查法、检查法、观察法、测试法和程序代码检查法等。

3. IT审计技术

常用的IT审计技术包括风险评估技术、审计抽样技术、计算机辅助审计技术及大数据审计技术。

4. IT审计证据

审计证据是指由审计机构和审计人员获取，用于确定所审计实体或数据是否遵循既定标准或目标，形成审计结论的证明材料。审计证据是审计意见的支柱，是审计人员形成审计结论的基础。审计人员必须基于足够、相关和适当的审计证据，为其审计观点提供合理的结论。审计证据还可以被作为解除或追究被审计人经济责任的依据，并且审计证据还是控制审计工作质量的关键；

5. IT审计底稿

审计工作底稿是指审计人员对制订的审计计划、实施的审计程序、获取的相关审计证据，以及得出的审计结论做出的记录。审计工作底稿是审计证据的载体，是审计人员在审计过程中形成的审计工作记录和获取的资料。它形成于审计过程，也反映整个审计过程。

审计底稿的作用表现在：

（1）是形成审计结论、发表审计意见的直接依据；

（2）是评价考核审计人员的主要依据；

（3）是审计质量控制与监督的基础；

（4）对未来审计业务具有参考备查作用。

审计工作底稿一般分为综合类工作底稿、业务类工作底稿和备查类工作底稿。

审计工作底稿作为审计人员在整个审计过程中形成的审计工作记录资料，在编制上应满足内容和形式两方面的要求：

（1）内容要求包括资料翔实、重点突出、繁简得当、结论明确；

（2）形式要求包括要素齐全、格式规范、标识一致、记录清晰。

审计工作底稿三级复核制度是指以审计机构负责人、部门负责人和项目负责人（或项目经理）为复核人；

下列两种情况需要查阅审计工作底稿的，不属于泄密情形：

（1）法院、检察院及国家其他部门依法查阅，并按规定办理了必要手续；

（2）审计协会或其委派单位对审计机构执业情况进行检查。

审计工作底稿按照一定的标准归入审计档案后，应交由档案管理部门进行管理，并确保审计档案的安全、完整。

3.2.3审计流程

审计流程一般分为审计准备、审计实施、审计终结及后续审计四个阶段。

3.2.4审计内容

IT审计业务和服务通常分为IT内部控制审计和IT专项审计。

IT内部控制审计主要包括组织层面IT控制审计、IT一般控制审计及应用控制审计；

IT专项审计主要是指根据当前面临的特殊风险或者需求开展的IT审计，审计范围为IT综合审计的某个或几个部分。