3.1 IT治理
3.1.1 IT治理基礎
IT治理的⽬標:
與業務⽬標⼀致
有效利⽤信息與數據資源
⻛險管理
IT治理的管理層次:
最⾼管理層
執⾏管理層
業務與服務執⾏層
3.1.2 IT治理體系
IT治理核⼼關注IT定位和信息化建設與數字化轉型的責權利劃分
IT治理體系構成
IT定位:IT應⽤的期望⾏為與業務⽬標⼀致
IT治理架構:業務和IT在治理委員會中的構成、組織IT與各分⽀機構的IT權責邊界
IT治理內容:投資、⻛險、績效、標準和規範
IT治理流程:統籌、評估、指導、監督
IT治理效果:內外評價
IT治理五項關鍵決策:
IT原則、IT架構、IT基礎設施、業務應⽤需求、IT投資和優先順序
IT治理體系框架:IT戰略⽬標、IT治理組織、IT治理機制、IT治理域、IT治理標準、IT績效⽬標
IT治理核⼼內容:組織職責、戰略匹配、資源管理、價值交付、⻛險管理、績效管理
IT治理機制原則:簡單、透明、適合
3.1.3 IT治理任務
IT治理活動定義為統籌、指導、監督和改進
主要任務聚焦在五個方面:
全局統籌
價值導向
機制保障
創新發展
⽂化助推
3.1.4 IT治理⽅法與標準
ITSS的IT治理框架:
信息技術頂層設計治理域
管理體系治理域
資源治理域
COBIT設計流程:
瞭解組織環境和戰略
確定治理系統的初步範圍
優化治理系統的範圍
最終確定治理系統的設計
IT治理國際標準的IT治理任務:
評估:治理機構應審查和判斷當前和未來的使用,包括計劃、建設和供應安排(無論是內部、外部或兩者兼有)
指導:治理機構應負責戰略和政策的編制和執行
監督:治理機構應通過適當的測量系統來監測IT的表現
3.2 IT審計
3.2.1 IT審計基礎
組織的IT⽬標:
組織的IT戰略應與業務戰略保持⼀致
保護信息資產的安全及數據的完整、可靠、有效
提⾼信息系統的安全性、可靠性及有效性
合理保證信息系統及其運⽤符合有關法律、法
規及標準等的要求
IT審計範圍:
總體範圍:需要根據審計目的和投入的審計成本來確定
組織範圍:明確審計涉及的組織機構、主要流程、活動及人員等
物理範圍:具體的物理地點與邊界
邏輯範圍:涉及的信息系統和邏輯邊界
3.2.2 審計⽅法與技術
IT審計技術:
⻛險評估技術
審計抽樣技術
計算機輔助審計技術
⼤數據審計技術
審計⼯作底稿的作用:
①是形成審計結論、發表審計意見的直接依據:
②是評價考核審計人員的主要依據;
③是審計質量控制與監督的基礎;
④對未來審計業務具有參考備查作用。
審計底稿應保密,以下兩種不屬於洩密情形:
①法院、檢察院及國家其他部門依法查閱,並按規定辦理了必要手續。
②審計協會或其委派單位對審計機構執業情況進行檢查。
審計工作底稿分類:
綜合類⼯作底稿
業務類⼯作底稿
備查類⼯作底稿
審計底稿三級複核制度:
審計機構負責⼈
部⻔負責⼈
項⽬負責⼈(或項⽬經理)
3.2.3審計流程
審計準備階段:
①明確審計目的及任務②組建審計項目組 ③蒐集相關信息 ④編制審計計劃
審計實施階段:
①深入調查並調整審計計劃②瞭解並評估IT內部控制③進行符合性測試④進行實質性測試
審計終結階段:
①整理與複核審計底稿②整理審計證據③評價相關IT控制目標的實現④判斷井報告審計發現⑤溝通審計結果⑥出具審計報告⑦歸檔管理
後續審計階段:
檢查被審計單位對審計問題和建議是否己經採取了適當的糾正措施,並取得預期效果的跟蹤審計
3.2.4審計內容
IT內部控制審計
組織層⾯IT控制審計
IT⼀般控制審計
應⽤控制審計
IT專項審計