信息系统治理

IT治理

IT治理基础

IT治理的驱动因素

现有问题：

• 信息孤岛
• 信息标准化

驱动因素(变革带来的好处):

融合总结:

• IT治理确保IT投资价值
• IT属于知识密集型产业，价值发挥弹性大
• IT融入到各个部门领域中，是各个部分发展的基础
• 新技术发展带来发展空间和机会
• 推动理解，利用，实现IT价值
• 场景化业务融合需要价值管理
• 组织架构需要IT治理实现IT价值
• 成熟度高的表现

1.IT本身：已融入到其他业务中，需要良好的管理，来更好实现自身和其他融合价值，技术升级也会带来发展机遇。

2.对其他部分而言：确保投资，确保组织成熟度和有效运行

IT治理的目标价值:

价值:让组织从IT中获取最大价值

目标：与业务目标一致，有效利用信息与数据资源，风险管理。

IT治理的管理层次

最高管理层，执行管理层，业务与服务执行层

IT治理体系

IT治理关键决策

内容：

• IT原则(IT定位)
• IT架构(IT与其他部分高效联动)
• IT基础设施(IT落地考量)
• 业务应用需求(现有业务改进，新业务拓展)
• IT投资和优先顺序(IT设施技术升级)

IT治理体系框架

框架：

• IT战略目标(定位和大方向)
• IT治理组织(模块部门权责划分)
• IT治理机制(决策，执行，风控和协调机制)
• IT治理域(治理具体落地场景)
• IT治理标准(评价治理效果的准则)
• IT治理目标(分割要实现的各个小目标)

IT治理核心内容

总目标：实现IT业务价值，规避IT风险

内容：

• 组织职责，确定身份责任。
• 战略匹配，IT建设匹配企业战略。
• 资源管理，人员培训，理解IT系统。
• 价值交付，在预期时间和成本内交付成果。
• 风险管理，保护IT资产，信息资源，隐私和灾难恢复。
• 绩效管理，将企业战略规划转换成部门团队的目标。

IT治理任务

组织的 IT 治理活动定义为统筹、指导、监督和改进。

全局统筹：

• 制定可持续发展蓝图
• 科学决策，集束管理，业务综合管理监督
• 建立适应外部信息环境变化的持续改进和创新机制

价值导向：

• 认可信息技术，信息系统和数据的价值。
• 识别投资目录，并以相应的方式进行评估管理。
• 对关键指标进行设定和监督，并对变化和偏差做出及时回应。
• 权衡实施成本与预期收益，并随组织内外环境的变化及时调整。

机制保障：

• 指导建立规范过程管理和痕迹管理，并向利益相关者公开质量设施举措。(明确标准，留痕)
• 评审IT管理体系的适宜性，充分性和有效性。(管控执行管理层)
• 审计IT完整性，有效性和合规性。(IT部门，IT系统，数据的管理。)
• 监督由审计和管理评审，提出改进内容的实施。(做好步骤，有序执行)

创新发展：

• 创造基于业务团队与IT团队的深度沟通以及对内外环境感知和学习的技术创新环境。(业务与技术融合）
• 确保技术发展，管理创新，模式革新的协调联动。(技术发展带动组织发展)
• 对组织创新能力进行评估，并对关键创新要素进行分析和评价。(抓住关键创新)
• 通过促进和创新有效抵御风险，并确保创新是组织文化的组成部分。(组织创新文化)

文化助推：

• 建立与IT发展相适应的组织文化发展策略。(文化发展策略)
• 营造包括知识，技术，管理，情操在内的积极向上的文化氛围。(文化氛围)
• 根据组织的内部环境的变化，评估并改进组织文化的管理。(组织文化管理)

IT治理方法与标准

ITSS中IT服务治理：

• ITSS IT 治理标准化的逻辑关系图
• GB/T 34960.1 IT 治理模型
• GB/T 34960.1 IT 治理框架

信息和技术治理框架：

• COBIT核心模型
• COBIT治理系统组件
• COBIT治理体系设计因素
• COBIT治理系统设计工作流程

IT治理国际标准：

• ISO/IEC 38500(2008年4月初版，2014年第二版)
• 指导原则:责任，战略，收购，性能，一致性，人的行为。
• 该标准规定治理机构应通过评估、指导和监督 个主要任务来治理 IT。

IT审计

IT审计基础

IT审计定义：IT 审计是根据 IT 审计标准的要求，对信息系统及相关的 IT 内部控制和流程进行检查、评价，并发表审计意见(GB/T 34690.4)。

IT审计目的：通过开展审计工作，了解IT系统和IT活动的状况，对IT目标实现进行审查和评价，充分识别评估IT风险，提出改进建议，促进IT目标实现(了解当前IT系统运行状况，评估风险，提供改进建议，促进IT目标实现)。

IT审计范围：根据审计目的和投入来确定。

IT审计人员，要求职业道德，知识，技能，资格与经验，专业胜任能力及利用外部专家服务等方面。

IT审计风险：固有风险，控制风险，检查风险。

审计方法与技术

IT审计依据和准则

• 法律法规:《中华人民共和国审计法》《 中华人民共和国网络安全法》《 中华人民共和国数据安全 法》《中华人民共和国个人信息保护法》等
• 审计准则：《信 息系统审计指南一一计算机审计实务公告第 》《第 22 号内部审计具体准则一一信息系统审计》等
• IT 审计国际标准：GB/T 49 0.4 《信息技术服务治理第 部分 》等
• 组织内部控制：《组织内部控制基本规范》《组织内部控制应用指引第 号一一信息系统》等
• 行业规范：《商业银行信息科技风险管理指引》《证券期货经营机构信息技术治理工作指引（试 行）》《保险公司信息化工作指引（试行）》等

IT审计常用方法

访谈法，调查法，检查法，观察法，观察法，测试法，程序代码检查法

IT审计技术

风险评估技术:

• 风险识别技术：用以识别可能影响 个或多个目标的不确定性，包括德尔菲法、头脑风 暴法、检查表法、 SWOT技术及图解技术等
• 风险分析技术：是对风险影响和后果进行评价和估量，包括定性分析和定量分析。
• 风险评价技术：是在风险分析的基础上，通过相应的指标体系和评价标准，对风险程度 进行划分，以揭示影响成败的关键风险因素，包括单因素风险评价和总体风险评价。
• 风险应对技术： IT 技术体系中为特定风险制定的应对技术方案，包括云计算、冗余链 路、冗余资源、系统弹性伸缩、两地 中心灾备、业务熔断限流等。

审计抽样技术:

• 统计抽样
• 非统计抽样

计算机辅助审计技术(CAAT)

大数据审计技术:

• 大数据智能分析技术
• 大数据可视化分析技术
• 大数据多数源综合分析技术

IT审计证据

充分性，客观性，相关性，可靠性，合法性。

IT审计底稿

• 综合类工作底稿(计划阶段和审计报告阶段)
• 业务类工作底稿
• 备查类工作底稿

审计流程

• 审计准备阶段(综合类工作底稿)
• 审计实施阶段
• 审计终结阶段
• 后续审计阶段(备查类工作底稿)

审计内容

IT审计业务分类：

• IT内部控制审计
• IT专项审计

审计内容与审计方法:

• 组织管理
• 项目启动与计划
• 项目实施与控制
• 项目收尾管理
• 工程方法审计

课后习题

选择题

1.“计算机硬件故障或软件不足，易造成信息的损坏和丢失，导致数据处理过程中发生偶发错误” 描述的风险类型是固有风险。

2.业务类工作底稿指审计人员在审计实施阶段为执行具体审计程序所形成的审计工作底稿。

3.关于 IT 审计范围的描述，不正确的是逻辑范围需明确涉及的信息系统。

4.组织外包其软件开发， 控制服务提供商遵守服务合同是该组织 IT 管理的责任。

5.质量控制不属于 IT 治理的三大主要目标。(三大目标：与业务目标一致，有效利用信息与数据资源，风险控制)

6.《信息技术服务治理第 部分：通用要求》标准不适用于组织的 IT 治理能力进行自我评价。

7.COBIT 2019 核心模型中的治理和管理目标分为五个领域，评估、指导和监控（ EDM)领域是由董事会和执行管理层负责

问答题

IT 治理的管理层次可分为 层：最高管理层、执行管理层、业务与服务执行层，请简要描述这个层次的主要职责分别是什么？

最高管理层的主要职责包括：证实盯战略与业务战略是否 致;证实通过明确的期望和衡量手段交付 价值;指导战略、平衡支持组织当前和未来发展的投资;指导信息和数据资源的分配。(制定与业务相匹配的战略，获取调配对应资源。) 执行管理 的主要职责包括：制定 的目标;分析新技术的机遇和风险;建设关键过程与核心竞争力;分配责任、定义规程、衡量业绩;管理风险和获得可靠保证等。(战略分解成具体目标，风险与绩效把控) 业务及服务执行层的主要职责包括：信息和数据服务的提供和支持; IT 基础设施的建设和维护; IT 需求的提出和响应。(目标落地与维护)

IT 治理的核心内容包括哪几个方面，请简述？

总目标：实现IT业务价值，规避IT风险。 IT 治理的核心内容包括六个方面：组织职责、战略匹配、资源管理、价值交付、风险管理和绩效管理。 组织职责，确定身份责任。 战略匹配，IT建设匹配企业战略。 资源管理，人员培训，理解IT系统。 价值交付，在预期时间和成本内交付成果。 风险管理，保护IT资产，信息资源，隐私和灾难恢复。 绩效管理，将企业战略规划转换成部门团队的目标。

请指出 IT 审计的常用方法，并根据你的理解举例说明信息系统项目管理可能使用的方法及具体运用。

略，抄配套资料。

知识点速查

IT治理

IT治理基础

IT治理的驱动因素，包含现有问题，驱动因素有哪些？

IT治理的目标和价值是什么？

IT治理的管理层次分为哪三层，具体有职责是什么？

IT治理体系

IT治理关键决策有那五个？

IT治理体系框架有哪六方面？

IT治理核心内容是啥，总目标是什么？

IT治理任务

IT治理任务又可分为哪五个模块？

IT治理方法与标准

具体有哪些参考模型，体系，标准？

IT审计

IT审计基础

IT审计是啥？

IT审计的目的是啥？

IT审计的范围？

IT审计的风险分为哪三类？

审计方法与技术

IT审计依据和准则有哪些？

IT审计常用方法有哪些？

IT审计技术可分为哪四大类？

IT审计证据的五个特性是指？

IT审计底稿的三大分类是指？

审计流程

审计流程的四个阶段是指？

审计内容

T审计业务分类分为哪两类？

审计内容与审计方法可分为哪五类？