3.1 IT治理
3.1.1 IT治理基础
IT治理的⽬标:
与业务⽬标⼀致
有效利⽤信息与数据资源
⻛险管理
IT治理的管理层次:
最⾼管理层
执⾏管理层
业务与服务执⾏层
3.1.2 IT治理体系
IT治理核⼼关注IT定位和信息化建设与数字化转型的责权利划分
IT治理体系构成
IT定位:IT应⽤的期望⾏为与业务⽬标⼀致
IT治理架构:业务和IT在治理委员会中的构成、组织IT与各分⽀机构的IT权责边界
IT治理内容:投资、⻛险、绩效、标准和规范
IT治理流程:统筹、评估、指导、监督
IT治理效果:内外评价
IT治理五项关键决策:
IT原则、IT架构、IT基础设施、业务应⽤需求、IT投资和优先顺序
IT治理体系框架:IT战略⽬标、IT治理组织、IT治理机制、IT治理域、IT治理标准、IT绩效⽬标
IT治理核⼼内容:组织职责、战略匹配、资源管理、价值交付、⻛险管理、绩效管理
IT治理机制原则:简单、透明、适合
3.1.3 IT治理任务
IT治理活动定义为统筹、指导、监督和改进
主要任务聚焦在五个方面:
全局统筹
价值导向
机制保障
创新发展
⽂化助推
3.1.4 IT治理⽅法与标准
ITSS的IT治理框架:
信息技术顶层设计治理域
管理体系治理域
资源治理域
COBIT设计流程:
了解组织环境和战略
确定治理系统的初步范围
优化治理系统的范围
最终确定治理系统的设计
IT治理国际标准的IT治理任务:
评估:治理机构应审查和判断当前和未来的使用,包括计划、建设和供应安排(无论是内部、外部或两者兼有)
指导:治理机构应负责战略和政策的编制和执行
监督:治理机构应通过适当的测量系统来监测IT的表现
3.2 IT审计
3.2.1 IT审计基础
组织的IT⽬标:
组织的IT战略应与业务战略保持⼀致
保护信息资产的安全及数据的完整、可靠、有效
提⾼信息系统的安全性、可靠性及有效性
合理保证信息系统及其运⽤符合有关法律、法
规及标准等的要求
IT审计范围:
总体范围:需要根据审计目的和投入的审计成本来确定
组织范围:明确审计涉及的组织机构、主要流程、活动及人员等
物理范围:具体的物理地点与边界
逻辑范围:涉及的信息系统和逻辑边界
3.2.2 审计⽅法与技术
IT审计技术:
⻛险评估技术
审计抽样技术
计算机辅助审计技术
⼤数据审计技术
审计⼯作底稿的作用:
①是形成审计结论、发表审计意见的直接依据:
②是评价考核审计人员的主要依据;
③是审计质量控制与监督的基础;
④对未来审计业务具有参考备查作用。
审计底稿应保密,以下两种不属于泄密情形:
①法院、检察院及国家其他部门依法查阅,并按规定办理了必要手续。
②审计协会或其委派单位对审计机构执业情况进行检查。
审计工作底稿分类:
综合类⼯作底稿
业务类⼯作底稿
备查类⼯作底稿
审计底稿三级复核制度:
审计机构负责⼈
部⻔负责⼈
项⽬负责⼈(或项⽬经理)
3.2.3审计流程
审计准备阶段:
①明确审计目的及任务②组建审计项目组 ③搜集相关信息 ④编制审计计划
审计实施阶段:
①深入调查并调整审计计划②了解并评估IT内部控制③进行符合性测试④进行实质性测试
审计终结阶段:
①整理与复核审计底稿②整理审计证据③评价相关IT控制目标的实现④判断井报告审计发现⑤沟通审计结果⑥出具审计报告⑦归档管理
后续审计阶段:
检查被审计单位对审计问题和建议是否己经采取了适当的纠正措施,并取得预期效果的跟踪审计
3.2.4审计内容
IT内部控制审计
组织层⾯IT控制审计
IT⼀般控制审计
应⽤控制审计
IT专项审计