第3章 信息系统治理
信息系统治理(IT治理)是组织开展信息技术及其应用活动的重要管控手段,也是组织治理的重要组成部分。组织的数字化转型和组织建设过程中,IT治理起到重要的
统筹、评估、指导和监督
作用。
信息技术审计(IT审计)作为与IT治理配套的组织管控手段,是IT治理不可或缺的评估和监督工具,重点承担着组织信息系统发展的
合规性检测以及信息技术风险的管控
等职能。
3.1IT治理
组织如何从其信息系统投资中获得真正的价值;如何将信息技术战略与组织战略相融合;如何从组织治理的高度,对组织数字化能力做出制度安排;如何从战略投资、组织管理变革的角度,降低IT的风险;如何利用国内外信息技术幵发利用的最佳实践和重要成果,加快组织的信息化、数字化工作推进等。这些都是IT治理所关注的问题。
3.1.1IT治理基础
IT治理是描述
组织采用有效的机制
对信息技术和数据资源开发利用,
平衡信息化发展和数字化转型过程中的风险
,确保实现组织的战略目标的过程。
1.IT治理的驱动因素
组织信息系统建设和运行需要制订总体规划,但制订IT资源统一规划存在很多问题:①分散开发或引进的信息系统,形成了许多“信息孤岛”,缺乏共享的、网络化的信息资源,系统集成难题一直无法解决;②信息资源整合目标空泛,没有整合“信息孤岛”的措施,数据中心建设和数据集中管理等规划缺乏可操作性,尤其是缺少数据标准化建设方面的建设规划。
IT治理是指组织在开发利用信息技术过程中,为鼓励组织所期望的组织行为而明确决策权归属和责任担当的框架,其目标是通过IT治理的决策权和责任影响组织所期望的组织行为。
驱动组织开展高质量IT治理因素包括:
- 良好的IT治理能够确保组织IT投资有效性;
- IT属于知识高度密集型领域其价值发挥的弹性较大;
- IT已经融入组织管理、运行、件产和交付等各领域中,成为各领域高质量发展的重要基础;
- 信息技术的发展演进以及新兴信息技术的引入,可为组织提供新的发展空间和业务机会等;
- IT治理能够推动组织充分理解IT价值,从而促进IT价值挖掘和融合利用:
- IT价值不仅仅取决于好的技术,也需要良好的价值管理,场景化的业务融合应用:
- 高级管理层的管理幅度有限,无法深入到IT每项管理当中,需要采用明确责权利和清晰管理;
- 成熟度较商的组织以不同的方式治理IT,获得了领域或行业领先的业务发展效果。
IT治理的内涵主要体现在5个方面:
- IT治理作为组织上层管理的一个有机组成部分,由组织治理层或高级管理层负责,从组织全局的高度上对组织信息化与数宁化转型做出制度安排;
- IT治理强调数字目标与组织战略目标保待一致,通过对IT的综合开发利用,为组织战略规划提供技术或控制方面的支持,以保证相关建设能够落实并贯彻组织业务战略和目标;
- IT治理保护利益相关者的权益,对风险进行有效管理,合理利用IT资源,平衡成本和收益,确保信息系统应有效、及时地满足需求,并获得期望的收益,增强组织的核心竞争力;
- IT治理是一种制度和机制,主要涉及管理和制衡信息系统与业务战略匹配、信息系统建设投资、信息系统安全和信息系统绩效评价等方面的内容;
- IT治理的组成部分包括管理层、组织结构、制度、流程、人员、技术等多个方面,共同构建完善的IT治理架构,达到数字战略和支持组织的目标。
2.IT治理的目标价值
lT治理主要目标包括:与业务目标一致、有效利用信息与数据资源、风险管理。
- 与业务目标一致。IT治理要从组织目标和数字战略中抽取信息与数据需求和功能需求,形成总体的IT治理框架和系统整体模型,保证信息技术开发利用跟上持续变化的业务目标。
(2)有效利用信息与数据资源。
目前信息系统工程超期、IT客户的需求没有满足、IT平台不支待业务应用、数据开发利用效能与价值不高、信息技术与业务发展融合深度不够等问题突出,通过IT治理对信息与数据资源的管理职资进行有效管理,保证投资的回收,并支持决策。
(3)风险管理。
由于组织越来越依赖于信息网络、信息系统和数据资源等,新的风险不断涌现。IT治理通过制定信息与数据资源的保护级别,强调对关键的信息与数据资源,实施有效监控和事件处理。
3.IT治理的管理层次
管理层次大致可分为三层:最高管理层、执行管理层、业务与服务执行层。
最高管理层
的主要职责包括:证实IT战略与业务战略是否一致;证实通过明确的期望和衡屈手段交付IT价值;指导IT战略、平衡支待组织当前和未来发展的投资;指导信息和数据资源的分配。
执行管理层
的主要职责包括:制定lT的目标:分析新技术的机遇和风险;建设关键过程与核心竞争力;分配责任、定义规程、衡量业绩;管理风险和获得可靠保证等。
业务及服务执行层
的主要职责包括:信息和数据服务的提供和支持;IT基础设施的建设和维护;IT需求的提出和响应。
3.1.2IT治理体系
IT治理描述组织在信息化建设和数字化转型过程中是否采用有效的机制使得信息技术开发利用能够完成组织赋予它的使命。IT治理的核心是关注IT定位和信息化建设与数字化转型的责权利划分。
IT定位:IT应用的期望行为与业务目标一致;
IT治理架构:业务和IT在治理委员会中的构成、组织IT与各分支机构的IT权责边界等;
IT治理内容:投资、风险、绩效、标准和规范等;
IT治理流程:统筹、评估、指导、监督;
IT治理效果:内外评价。
添加图片注释,不超过 140 字(可选)
1.IT治理关键决策
有效的lT治理必须关注五项关键决策,包括IT原则、IT架构、IT基础设施、业务应用需求、IT投资和优先顺序。
添加图片注释,不超过 140 字(可选)
添加图片注释,不超过 140 字(可选)
2.IT治理体系框架
IT治理体系框架以组织的战略目标为导向,架起了组织战略与IT的桥梁,实现了IT风险的全面管理以及IT资源的合理利用。IT治理体系框架具体包括:IT战略目标、IT治理组织、IT治理机制、IT治理域、IT治理标准和IT绩效目标等部分,形成一整套IT治理运行闭环。
添加图片注释,不超过 140 字(可选)
- IT战略目标。为实现IT价值和目标,使组织从IT投入中获得砐大收益,而针对IT与业务关系、IT决策、IT资源利用、IT风险控制等方面制定的目标。
- IT治理组织。界定组织中各相关主体在各自方面的治理范围、责权利及其相互关系的准则,它的核心是治理机构(如IT治理委员会等)的设置和权限的划分。
- IT治理机制。IT治理决策机制、执行机制、风险控制机制、协调机制的综合体,各机制之间是相辅相成、相互促进的关系。
- IT治理域。在IT治理的规则之下,对组织的IT资源进行整合与配置,根据IT目标所采取的行动。IT治理域内容包括IT信息系统的计划、构建、运维与监控等。
- IT治理标准。包括IT治理基本规范、IT治理实施参照、IT治理评价体系和IT治理审计方法等方面,作为组织实施IT治理最佳实践和对标依据。
- IT绩效目标。关注IT价值的实现,评价IT规划与IT构建过程中是否满足业务需求以及构建过程中的工期、成本、质量是否达到目标。
3.IT治理核心内容
IT治理本质上关心:
实现IT的业务价值;IT风险的规避
。前者是通过IT与业务战略匹配来实现的,后者通过在组织内部建立相关职责来实现。两者都需要相关资源的支持,并对其绩效进行有效度揽。IT治理的核心内容包括六个方面:组织职贵、战略匹配、资源管理、价值交付、风险管理和绩效管理。
- 组织职责。组织职责指组织参与IT决策与管理的所有入员的集合,明确组织信息部门和业务部门之间的关系和责任,正确划分信息系统的所有者、建设者、管理者和监控者。
- 战略匹配。IT治理的一个厘要内容,是使组织的IT建设与组织战略相匹配,也就是通常所说的“战略匹配"。而战略匹配是IT为组织贡献业务价值的重要驱动力。
- 资源管理。资源管理的主要功能是确保用户对组织的应用系统和基础设施都有良好的理解和应用,优化IT投资、IT资源(人、应用系统、信息、基础设施)的分配,做好人员的培训、发展计划。
- 价值交付。通过对IT项目全生命周期的管理,确保IT能够按照组织战略实现预期的业务价值。
- 风险管理。风险管理是IT治理中非常霆要的内容。风险管理是确保IT资产的安全和灾难的恢复、组织信息资源的安全以及人员的隐私安全。风险管理即是保护业务价值。
- 绩效管理。绩效管理主要是追踪和监视IT战略、IT项目的实施、信息资源的使用、IT服务的提供以及业务流程的绩效。绩效管理所采用的工具,如平衡积分卡,可以将组织的战略目标转化成各个职能部门或团队具体的业务活动的目标,从而保证组织战略目标的实现。
4.IT治理机制经验
建立IT治理机制的原则包括:
- 简单。机制应该明确地定义特定个人和团体所承担的贲任和目标。
- 透明。有效的机制依赖于正式的程序。
- 适合。机制鼓励那些处于最佳位置的个人去制定特定的决策。
编辑
切换为居中
添加图片注释,不超过 140 字(可选)
IT治理可以从众多最佳实践中学习的经验主要包括:
- IT指导委员会有才干的业务经理负责组织范围IT治理决策,并在IT原则中加入严格的成本控制;
- 谨慎管理组织的IT架构和业务架构,以降低业务成本;
- 设计严格的架构例外处理流程,使昂贵的例外砓小化,并可以从中不断学习;
- 建立集中化的IT团队,用以管理基础设施、架构和共享服务;
- 应用连接IT投资和业务需求的流程,既可以增加透明度,又可以权衡中心和各运营部门或团队的需求;
- 设计需要对IT投资进行集中协作和核准的IT投资流程;
- 设计简单的费用分摊和服务水平协议机制,以明确分配IT开支等。
3.1.3 IT治理任务
组织的IT治理活动定义为统筹、指导、监督和改进。
- 全局统筹。统筹规划IT治理的目标范围、技术环境、发展趋势和人员资权利。组织需要适应当前信息环境和未来发展趋势,保证利益相关者理解和接受IT的战略、目标和发展方向。
- 价值导向。价值导向包括基于实现有效收益,确保预期收益清晰理解,明确实现收益的问责机制。组织需要建立IT投资的价值框架,确保在可承担成本和可接受风险水平的基础上,实现IT的战略目标。
- 机制保障。机制保陷是指组织应对自身IT发展进行有效管控,保证IT需求与实现的协调发展,并使IT安全和风险得到有效的识别、管理、防范和处置。
- 创新发展。创新发展是指利用IT创新开拓业务领域,提升治理水平,改进质量、绩效和降低成本,确保实现战略目标的灵活性和对环境变化的适应性。
- 文化助推。文化助推是指组织与利益相关者沟通IT治理的目标、策略和职责,苞造积极向上、沟通包容的组织文化。
3.1.4 IT治理方法与标准
1.ITSS中IT服务治理
我国IT治理标准化研究是围绕IT治理研究范畴,为IT过程、IT资源、信息与组织战略、组织目标的连接提供了一种机制。
添加图片注释,不超过 140 字(可选)
- IT治理通用要求GB/T 34960.l《信息技术服务治理 第1部分:通用耍求》规定了IT治理的模型和框架、实施IT治理的原则,以及开展IT顶层设计、管理体系和资源的治理要求。该标准定义的IT治理模型包含治理的内外部要求、治理主体、治理方法,以及信息技术及其应用的管理体系。
添加图片注释,不超过 140 字(可选)
该标准定义的IT治理框架包含信息技术顶层设计、管理体系和资源三大治理域,每个治理域由如下若干治理要素组成。
添加图片注释,不超过 140 字(可选)
- IT治理实施指南
GB/T 34960.2《信息技术服务治理 第2部分:实施指南》提出了IT治理通用要求的实施指南,分析了实施IT治理的环境因素,规定了IT治理的实施框架、实施环境和实施过程,并明确顶层设计治理、管理体系治理和资源治理的实施要求。该
IT治理实施框架包括治理的实施环境、实施过程和治理域。实施环境包括组织的内外部环境和促成因素。实施过程规定了IT治理实施的方法论,包括统筹和规划、构建和运行、监督和评估、改进和优化。治理域定义了IT治理对象,包括顶层设计、管理体系和资源。
添加图片注释,不超过 140 字(可选)
2.信息和技术治理框架
COBIT是面向整个组织的信息和技术治理及管理框架,由成立于1969年的美国信息系统审计与控制协会(ISACA)组织设计并编制的。COBlT框架对治理和管理进行了明确区分,这两个学科涵盖不同的活动,需要不同的组织结构,并服务于不同目的。
ISACA设计并编制了《框架:治理和管理目标》《设计指南:信息和技术治理解决方案的设计》,主要供组织信息和技术治理(EGIT)、鉴证、风险和安全专业人员作为学习资料使用。
- 治理和管理目标COBIT框架介绍了40项核心治理和管理目标,以及其中包含的流程和其他相关组件。COBIT中治理目标被列入评估、指导和监控(EDM)领域,在这个领域,治理机构将评估战略方案,指导高级管理层执行所选的战略方案并监督战略的实施。治理目标与治理流程有关,而管理目标与管理流程有关。治理流程通常由蓝事会和执行管理层负责,而管理流程则在高级和中级管理层的职责范围内。
添加图片注释,不超过 140 字(可选)
为满足治理和管理目标,每个组织都摇要建立、定制和维护由多个组件构成的治理系统。
添加图片注释,不超过 140 字(可选)
- 信息和技术治理解决方案的设计
COBIT设计指南描述了组织如何设计量身定制的组织IT治理解决方案。这些设计因素可能影响组织治理系统的设计,为成功使用IT奠定基础。
添加图片注释,不超过 140 字(可选)
组织开展治理系统设计通过流程化的方式进行, COBIT给出了建议设计流程:1.了解组织环境和战略;2.确定治理系统的初步范围:3.优化治理系统的范围;4.最终确定治理系统的设计。
编辑
切换为居中
添加图片注释,不超过 140 字(可选)
3.IT治理国际标准
2008年4月,ISO/IEC正式发布IT治理标准ISO/IEC38500,它的出台不仅标志着IT治理从概念模糊的探讨阶段进入了一个正确认识的发展阶段,而且也标志着信息化正式进入IT治理时代。2014年,ISO/IEC发布了第二版的ISO/IECFDIS38500:2014,提供了IT良好治理的原则、定义和模式,以帮助最高级别组织的人员理解和履行其在组织使用IT方面的法律、法规和道德义务。该标准包括:
责任。
组织内的个人和团体理解并接受他们在IT的供应和需求方面的责任。
战略。
组织的业务战略考虑到IT的当前和未来的能力。
收购。
IT收购是出于正当的理由,在适当和待续的分析基础上,有明确和透明的决策。
性能。
IT适合于支待组织,提供满足当前和未来业务需求所需的服务、服务水平和服务质量。
一致性。
IT的使用符合所有强制性法律和法规。政策和实践有明确的定义、实施和执行。
人的行为。
IT团队的政策、实践和决策表明了对人的行为的尊重。
该标准规定治理机构应通过评估、指导和监督三个主要任务来治理IT:
- 评估。治理机构应审查和判断当前和未来的使用,包括计划、建议和供应安排(无论是内部、外部或两者兼有)。
- 指导。治理机构应负责战略和政策的编制和执行。
- 监督。治理机构应通过适当的测量系统来监测IT的表现。
3.2 IT审计
为了有效控制IT风险,有必要对组织的信息系统治理及IT内控与管理等开展IT审计,充分发挥IT审计监督的作用,提高组织的信息系统治理水乎,促进组织信息系统治理目标的实现。
3.2.1 IT审计基础
IT审计重要性是指IT审计风险(固有风险、控制风险、检查风险)对组织影响的严重程度,如:财务损失、业务中断、失去客户信任、经济制裁等。
1.IT审计定义
添加图片注释,不超过 140 字(可选)
IT审计的目的是指通过开展IT审计工作,了解组织IT系统与IT活动的总体状况,对组织是否实现IT目标进行审查和评价,充分识别与评估相关IT风险,提出评价意见及改进建议,促进组织实现IT目标。
组织的IT目标主要包括:
- 组织的IT战略应与业务战略保待一致;
- 保护信息资产的安全及数据的完整、可靠、有效:
- 提高信息系统的安全性、可靠性及有效性;
- 合理保证信息系统及其运用符合有关法律、法规及标准等的要求。
3.IT审计范图
IT审计范围需要根据审计目的和投入的审计成本来确定。在确定审计范围时,除了考虑前面提及的审计内容外,还需要明确审计的组织范围、物理位置以及信息系统相关逻辑边界。
添加图片注释,不超过 140 字(可选)
审计人员在实施IT审计项目前,应先对组织与信息系统相关的总体情况进行了解和风险评估,确定主要IT风险,并结合审计项目预计的时间、配备的审计力量等来确定重点审计范围。
4.IT审计人员
根据GB/T34690.4《信息技术服务治理第4部分:审计导则》,对IT审计人员的要求包括职业道德、知识、技能、资格与经验、专业胜任能力及利用外部专家服务等方面。
添加图片注释,不超过 140 字(可选)
5.IT审计风险
IT审计风险主要包括固有风险、控制风险、检查风险和总体审计风险。
添加图片注释,不超过 140 字(可选)
添加图片注释,不超过 140 字(可选)
3.2.2 审计方法与技术
1.IT审计依据与准则
IT审计活动的开展需要结合相关法律法规、准则与标准。国际上发布的常用审计准则有:
- 信息系统审计准则(ISACA,国际信息系统审计协会发布)。
- 《内部控制一整体框架》报告,即通称的COSO(The Organizations of The National Commission of Fraudulent Financial Reporting,美国虚假财务报告委员会下属的发起人委员会)报告。
- 《萨班斯法案》(Sarbanes-Oxley Act, SOX)。SOX是美国政府出台的一部涉及会计职业监管、组织治理、证券市场监管等方面改革的重要法律。
- 信息及相关技术控制目标(Control Objectives for Information and related Technology, COBIT)是目前国际上通用的信息及相关技术控制规范。
我国的IT审计相关法律法规、准则与标准如表3-7所示。
添加图片注释,不超过 140 字(可选)
添加图片注释,不超过 140 字(可选)
2.IT审计常用方法
IT审计方法就是为了宪成IT审计任务所采取的手段。在IT审计工作中,要完成每一项审计工作,都应选择合适的审计方法。常用审计方法包括:访谈法、调查法、检查法、观察法、测试法和程序代码检查法等,如表3-8所示。
添加图片注释,不超过 140 字(可选)
3.IT审计技术
常用的IT审计技术包括风险评估技术、审计抽样技术、计算机辅助审计技术及大数据审计技术。
- 风险评估技术
- 风险识别技术:用以识别可能影响一个或多个目标的不确定性,包括德尔菲法、头脑风暴法、检查表法、SWOT技术及图解技术等。
- 风险分析技术:是对风险影响和后果进行评价和估拯,包括定性分析和定蠹分析。
- 风险评价技术:是在风险分析的基础上,通过相应的指标体系和评价标准,对风险程度进行划分,以揭示影响成败的关键风险因素,包括单因素风险评价和总体风险评价。
- 风险应对技术:IT技术体系中为特定风险制定的应对技术方案,包括云计算、冗余链路、冗余资源、系统弹性伸缩、两地三中心灾备、业务熔断限流等。
2)审计抽样技术
审计抽样是指审计人员在实施审计程序时,从审计对象总体中选取一定数量的样本进行测试,并根据测试结果,推断审计对象总体特征的一种方法。审计抽样适用于时间及成本都不允许对既定总体中的所有交易或事件进行全面审计时。
添加图片注释,不超过 140 字(可选)
3)计算机辅助审计技术
计算机辅助审计(Computer Assisted AudIT Tools, CAAT),也称为利用计算机审计,是指审计人员在审计过程和审计管理活动中,以计算机为工具来执行和完成某些审计程序和任务的一种新兴审计技术。
CAAT使得审计人员可以独立地收集信息,CAAT为针对既定的审计目标访问和分析数据提供了一种方法,并以系统记录的可靠性为重点报告审计发现。源信息可靠性是审计发现的保证基础。CAAT包括多种工具和技术,如通用审计软件(GAS)、测试数据、实用工具软件、专家系统等。
4)大数据审计技术
指遵循大数据理念,运用大数据技术方法和工具,利用数益巨大、来源分散、格式多样的数据,开展跨层级、跨系统、跨部门和跨业务等的深入挖掘与分析,提升审计发现问题、评价判断、宏观分析的能力。
添加图片注释,不超过 140 字(可选)
4.IT审计证据
审计证据是指由审计机构和审计人员获取,用于确定所审计实体或数据是否遵循既定标准或目标,形成审计结论的证明材料。审计证据是审计意见的支柱,是审计人员形成审计结论的基础。审计人员必须基于足够、相关和适当的审计证据,为其审计观点提供合理的结论。审计证据还可以被作为解除或追究被审计入经济责任的依据,并且审计证据还是控制审计工作质量的关键。
添加图片注释,不超过 140 字(可选)
电子证据是信息环境下经常使用的一种证据类型。电子证据是指以电子的、数据的、磁性的或类似性能的相关技术形式存在并能够证明事件事实真实悄况的一切材料。
为了使收集到的分散、个别、不系统审计证据变成充分、适当、具有证明力证据,审计入员必须按照一定的方法对审计证据进行分类整理与分析,使之条理化、系统化,然后对各种审计证据进行合理归纳,并在此基础上形成恰当的整体审计结论。审计证据评价应考虑的因素包括证据提供者的独立性、提供信息/证据的个人资质、证据的客观性、证据的时效性、与审计目标的相关性、审计证据的说服力及审计证据的充分性。此外,在审计过程中还必须考虑取得审计证据的经济性,必须考虑成本效益原则。
5.IT审计底稿
审计工作底稿是指审计人员对制订的审计计划、实施的审计程序、获取的相关审计证据,以及得出的审计结论做出的记录。审计工作底稿是审计证据的载体,是审计人员在审计过程中形成的审计工作记录和获取的资料。它形成于审计过程,也反映整个审计过程。审计底稿的作用表现在:
- 是形成审计结论、发表审计意见的直接依据;
- 是评价考核审计入员的主要依据;
- 是审计质姑控制与监督的基础;
- 对未来审计业务具有参考备查作用。
审计工作底稿一般分为综合类工作底稿、业务类工作底稿和备查类工作底稿。
添加图片注释,不超过 140 字(可选)
通常,根据审计机构的组织规模和业务范围,可以实行对审计工作底稿的三级复核制度。
审计工作底稿三级复核制度是指以审计机构负责人、部门负责人和项目负责人(或项目经理)复核人,依照规定的程序和要点对审计工作底稿进行逐级复核的制度。三级复核制度目前已成为较为普遍采用的形式,对于提高审计工作质量、加强质量控制起了重要的作用。
为了维护被审计单位及相关单位的利益,审计机构对审计工作底稿中涉及的商业秘密保密,建立健全审计工作底稿保密制度。但由于下列两种悄况需要查阅审计工作底稿的,不屈于泄密情形:
- 法院、检察院及国家其他部门依法查阅,并按规定办理了必要手续:
- 审计协会或其委派单位对审计机构执业情况进行检查。
审计工作底稿按照一定的标准归入审计档案后,应交由档案管理部门进行管理,并确保安全、完整。
3.2.3审计流程
审计流程是指审计人员在具体审计过程中采取的行动和步骤。科学、规范的审计流程不但是分配审计工作的具体依据,还是控制审计工作的有效工具,并同时具有的作用包括:
有效地指导审计工作;
有利于提高审计工作效率;
有利于保证审计项目质量;
有利于规范审计工作。
通常,审计流程的含义有广义和狭义两种之分。狭义的审计流程是指审计人员在取得审计证据、完成审计目标、得出审计结论过程中所采取的步骤和方法。广义的审计流程是指审计机构和审计人员对审计项目从开始到结束的整个过程采取的系统性工作步骤,一般分为审计准备、审计实施、审计终结及后续审计四个阶段,每个阶段又包含若干具体内容。
- 审计准备阶段。IT审计准备阶段是指IT审计项目从计划开始,到发出审计通知书为止的期间。准备阶段是整个审计过程的起点和基础,准备阶段的工作是否充分、合理、细致,对提高审计工作效率,保证审计工作质猖至关亟要。准备阶段工作一般包括:1.明确审计目的及任务;2.组建审计项目组;3.搜集相关信息;4.编制审计计划等。
- 审计实施阶段。IT审计实施阶段是审计人员将项目审计计划付诸实施的期间。此阶段的工作是审计全过程的中心环节,是整个审计流程的关键阶段,关系到整个审计工作的成败。实施阶段主要先成工作包括:1.祩入调查并调整审计计划:2.了解并初步评估IT内部控制;3.进行符合性测试;4.进行实质性测试等。
- 审计终结阶段。IT审计终结阶段是整理审计工作底稿、总结审计工作、编写审计报告、做出审计结论的期间。审计人员应运用专业判断,综合分析所收渠到的相关证据,以经过核实的审计证据为依据,形成审计意见、出具审计报告。终结阶段的工作一般包括:1.整理与复核审计工作底稿2.整理审计证据;3.评价相关IT控制目标的实现;4.判断并报告审计发现;5.沟通审计结果;6.出具审计报告;7.归档管理等。
- 后续审计阶段。后续审计是在审计报告发出后的一定时间内,审计人员为检查被审计单位对审计问题和建议是否已经采取了适当的纠正措施,并取得预期效果的跟踪审计。后续审计并不是一次新的审计,而是前一次审计的有机组成部分。实施后续审计,可不必遵守审计流程的每一过程和要求,但必须依法依规进行检查、调查,收集审计证据,写出后续审计报告。
3.2.4审计内容
IT审计业务和服务通常分为lT内部控制审计和IT专项审计。IT内部控制审计主要包括组织层面IT控制审计、IT一般控制审计及应用控制审计;IT专项审计主要是指根据当前面临的特殊风险或者需求开展的TT审计,审计范围为IT综合审计的某一个或几个部分。
添加图片注释,不超过 140 字(可选)
添加图片注释,不超过 140 字(可选)
添加图片注释,不超过 140 字(可选)
3.3本章练习
1选择题
- ”计算机硬件故障或软件不足,易造成信息的损坏和丢失,导致数据处理过程中发生偶发错误",描述的风险类型是。A固有风险B控制风险C.检查风险 D.审计风险参考答案:A
- 指审计人员在审计实施阶段为执行具体审计程序所形成的审计工作底稿。A.综合类工作底稿B业务类工作底稿C备查类工作底稿D技术类工作底稿参考答案:B
- 关于IT审计范围的描述,不正确的是:___。A总体范围需要根据审计目的和投入的审计成本来确定B组织范围需明确审计涉及的组织机构、主要的流程、活动及人员等C.逻辑范围需明确涉及的信息系统D.物理范围需明确具体的物理地点与边界参考答案:C
- 组织外包其软件开发,_____是该组织IT管理的责任。A作为开发人员参加系统设计B支付服务提供商C与服务提供商谈判合同D控制服务提供商遵守服务合同参考答案:D
- 不屈于IT治理的三大主要目标。A与业务目标一致B.质量控制C有效利用信息与数据资源D风险管理参考答案:B
- 《信息技术服务治理第1部分:通用要求》标准不适用于___。A.建立组织的IT治理体系并实施自我评价B组织的IT治理能力进行自我评价C研发、选择和评价IT治理相关的软件或解决方案D开展信息技术审计参考答案:B
- COBIT 2019核心模型中的治理和管理目标分为五个领域,____领域是由董事会和执行管理层负责。
A评估、指导和监控(EDM)
B调整、规划和组织(APO)
C内部构建、外部采购和实施(BAI)
D交付、服务和支持(DSS)
参考答案:A
2.思考题
IT治理的管理层次可分为三层:最高管理层、执行管理层、业务与服务执行层,诮简要描述这3个层次的主要职贡分别是什么?
IT治理的核心内容包括哪6个方面,请简述?
标签:审计,140,信息系统,组织,审计工作,治理,第四版,摘编 From: https://blog.51cto.com/u_14540126/6145998