标签：审计 第三章 信息系统 组织 业务 2024 3.2 治理 3.1

目录

• 3.1 IT 治理
  • 3.1.1 IT 治理基础
    • 3.1.1.1 信息系统建设中的核心问题
    • 3.1.1.2 什么是IT治理？
    • 3.1.1.3 驱动组织进行IT治理的因素 (为什么大中企业都引入IT治理/IT治理好处)
    • 3.1.1.4 IT治理的内涵
    • 3.1.1.5 IT治理主要目标
    • 3.1.1.5 IT治理的管理层次
  • 3.1.2 IT 治理体系
    • 3.1.2.1 IT治理体系的构成
    • 3.1.2.2 IT治理关键决策
    • 3.1.2.3 IT决策的关键问题(可以不细看)
    • 3.1.2.4 IT治理体系框架
    • 3.1.2.5 IT治理的核心内容
    • 3.1.2.6 建立IT治理机制的原则
    • 3.1.2.7 影响力高且具有挑战性的IT治理机制(了解)
  • 3.1.3 IT 治理任务
    • 3.1.3.1 IT治理活动
    • 3.1.3.2 IT治理的主要任务
  • 3.1.4 IT治理方法与标准
    • 3.1.4.1 典型的IT治理标准
    • 3.1.4.2 ITSS-IT治理标准
      • 3.1.4.2.1 ITSS-IT治理标准化的逻辑关系
      • 3.1.4.2.2 ITSS-IT治理通用要求(做什么)
      • 3.1.4.2.3 ITSS-IT 治理实施指南(怎么做)
    • 3.1.4.3 COBIT信息和技术治理框架
      • 3.1.4.3.1 COBIT治理和管理目标
      • 3.1..4.3.2 COBIT治理系统组件(IT治理要做哪几方面的内容)
      • 3.1..4.3.3 COBIT治理体系设计因素
      • 3.1..4.3.4 COBIT治理系统设计工作流程
    • 3.1.4.4 IT治理国际标准ISO/IEC 38500
      • 3.1.4.4.1 国际标准
      • 3.1.4.4.2 三个主要任务(记住加黑字体)
• 3.2 IT 审计
  • 3.2.1 IT 审计基础
    • 3.2.1.1 IT 审计定义
    • 3.2.1.2 IT 审计目的
    • 3.2.1.3 IT 审计范围(可以审计的内容有什么)
    • 3.2.1.4 IT 审计人员(了解)
    • 3.2.1.5 IT 审计风险(三类记一下)
  • 3.2.2 审计方法与技术
    • 3.2.2.1 IT审计依据与准则(知道即可)
    • 3.2.2.2 IT审计常用方法
    • 3.2.3.3 IT审计技术
      • 3.2.3.3.1 风险评估技术
      • 3.2.3.3.2 审计抽样技术
      • 3.2.3.3.3 计算机辅助审计技术
      • 3.2.3.3.4 大数据审计技术
    • 3.2.3.4 IT 审计证据
    • 3.2.3.5 IT 审计底稿
  • 3.2.3 审计流程
    • 3.2.3.1 审计流程的作用
    • 3.2.3.2 审计流程的四阶段(广义审计流程的阶段)
      • (1) 审计准备阶段(从第三方审计结构接受委托,审计方要做一个立项)
      • (2) 审计实施阶段(核心,审计人员做审计工作)
      • (3) 审计终结阶段(最后形成报告)
      • (4) 后续审计阶段(审计后提出报告和改进意见,改进意见是否执行了,复查就是后续审计阶段)
  • 3.2.4 审计内容
    • 3.2.4.1 IT审计业务分类
    • 3.2.4.2 信息系统项目管理审计内容与方法举例
• 4. 单词汇总
• 附录

• 与生活较远,整个体系逻辑性不强,出现选择题,出自官方教程.

3.1 IT 治理

3.1.1 IT 治理基础

3.1.1.1 信息系统建设中的核心问题

• ① 信息系统应用已有相当的基础，但多年来分散开发或引进的信息系统，形成了许多 “信息孤岛”，缺乏共享的、网络化的信息资源，系统集成难题一直无法解决;(传统企业做项目,都是没有计划的,像烟囱一样的创造一个系统,各个系统之间都是垂直建立的,设计之初没有进行沟通规划,这种现象就叫信息孤岛)
• ② 信息资源整合目标空泛，没有整合“信息孤岛”的措施，数据中心建设和数据集中管理等规划缺乏可操作性，尤其是缺少数据标准化建设方面的建设规划。

3.1.1.2 什么是IT治理？

• IT治理（IT Governance）是描述组织采用有效的机制对信息技术和数据资源开发利用，平衡信息化发展和数字化转型过程中的风险，确保实现组织的战略目标的过程.(治:了解基本的运行原理或者规律或者机制之后,进行疏导,使各方面关系变得和谐,治理比管理层次更高一些,治理是确定谁有资格做决策,IT治理不是让信息技术更好,而是让整个组织更好.)

• 考虑价值,考虑ROI.
• 前三个关注组织层,后三个关注信息技术.

3.1.1.3 驱动组织进行IT治理的因素 (为什么大中企业都引入IT治理/IT治理好处)

• ① 良好的IT治理能够确保组织IT投资有效性

• ② IT属于知识高度密集型领域，其价值发挥的弹性较大(价值发挥弹性:有好的规整制度\好的治理结构\好的激励手段,IT人员设备,发挥好的性能,人会驱动设备,否则投入大,效率低)

• ③ IT已经融入组织管理、运行、生产和交付等各领域中，成为各领域高质量发展的重要基础

• ④ 信息技术的发展演进以及新兴信息技术的引入，可为组织提供大量新的发展空间和业务机会等(AI技术引入提供更大发展空间,或者业务机会)

• ⑤ IT治理能够推动组织充分理解IT价值，从而促进IT价值挖掘和融合利用

• ⑥ IT价值不仅仅取决于好的技术，也需要良好的价值管理，场景化的业务融合应用

• ⑦ 高级管理层的管理幅度有限，无法深入到IT每项管理当中，需要采用明确责权利和清晰管理去确保IT价值(明确谁做IT业务的沟通)

• ⑧ 成熟度较高的组织以不同的方式治理IT，获得了领域或行业领先的业务发展效果(由企业做得好,可以效仿)

3.1.1.4 IT治理的内涵

• ① IT治理作为组织上层管理的一个有机组成部分，由组织治理层或高级管理层负责(CEO或者CIO的级别)，从组织全局的高度上对组织信息化与数字化转型做出制度安排，体现了治理层和最高管理层对信息相关活动的关注;

• ② IT治理强调数字目标与组织战略目标保持一致(IT技术的发展要和组织的战略目标保持一致(IT最终是为了实现组织的战略目标))，通过对IT的综合开发利用，为组织战略规划提供技术或控制方面的支持，以保证相关建设能够真正落实并贯彻组织业务战略和目标;

• ③ IT治理保护利益相关者(投资者要保护其利益)的权益，对风险进行有效管理，合理利用IT资源，平衡成本和收益，确保信息系统应用有效、及时地满足需求，并获得期望的收益，增强组织的核心竞争力；

• ④ IT治理是一种制度和机制，主要涉及管理和制衡信息系统与业务战略匹配、信息系统建设投资、信息系统安全和信息系统绩效评价等方面的内容;

• ⑤ IT治理的组成部分包括管理层、组织结构、制度、流程、人员、技术等多个方面，共同构建完善的IT治理架构，达到数字战略和支持组织的目标.

3.1.1.5 IT治理主要目标

1.与业务目标一致(IT治理发展要跟企业业务目标一致)

• IT治理要从组织目标和数字战略中抽取信息与数据需求和功能需求形成总体的IT治理框架和系统整体模型，为进一步系统设计和实施奠定基础，保证信息技术开发利用跟上持续变化的业务目标。

2.有效利用信息与数据资源(辅助决策,支持决策(要实现业务目标))

• 目前信息系统工程超期、IT客户的需求没有满足、IT平台不支持业务应用、数据开发利用效能与价值不高、信息技术与业务发展融合深度不够等问题突出，通过IT治理对信息与数据资源的管理职责进行有效管理，保证投资的回收，并支持决策。

3.风险管理(把风险影响降到最低)

• 由于组织越来越依赖于信息网络、信息系统和数据资源等，新的风险不断涌现，例如，新出现的技术没有管理，不符合现有法律和规章制度，没有识别对IT服务的威胁等。IT治理重视风险管理，通过制定信息与数据资源的保护级别，强调对关键的信息与数据资源，实施有效监控和事件处理。

3.1.1.5 IT治理的管理层次

• IT治理要保证总体战略目标能够从上而下贯彻执行，治理层主要集中在最高管理层（如董事会）和管理执行层.

层次	描述	解析
最高管理层	证实IT战略与业务战略是否一致 证实通过明确的期望和衡量手段交付IT价值 指导IT战略、平衡支持组织当前和未来发展的投资 指导信息和数据资源的分配	最高管理层,除了董事会, 还包括CEO\CIO(首席信息官)\COO(首席运营),相当于副总裁级别
执行管理层	制定T的目标 分析新技术的机遇和风险 建设关键过程与核心竞争力 分配责任、定义规程、衡量业绩 管理风险和获得可靠保证	执行层:IT部门的领导
业务及服务执行层	信息和数据服务的提供和支持 IT基础设施的建设和维护 IT需求的提出和响应	真正的运行执行整个系统

3.1.2 IT 治理体系

3.1.2.1 IT治理体系的构成

• IT治理的核心是关注IT定位(IT在整个组织的定位)和信息化建设与数字化转型的责权利划分

• IT治理架构: 成立委员会,由副总裁,业务人员,IT部门人员参与,在这个委员会中,谁的地位最高.谁来决策
• IT治理效果: 其中用的是IT审计.

3.1.2.2 IT治理关键决策

• 有效的IT治理必须关注五项关键决策，包括IT原则、IT架构、IT基础设施业务应用需求、IT投资和优先顺序.

• IT原则解析: 领导层决定IT在整个部门的地位, 是辅助业务还是跟业务并驾齐驱,IT原则决定IT架构的决策.
• IT架构的决策: 如何决策未来的业务逻辑,哪些用IT实现,标准化的工作.
• IT基础设施的决策: 是不是使用云计算平台,是不是决定使用AI技术,引入区块链等,是不是需要很大的带宽,未来要支撑业务发展.IT基础设施决策业务应用需求决策
• 业务应用需求决策:比IT原则低很多,某个业务开展需要IT配合, 
• IT投资和优先顺序决策:前四个对其有影响.
• IT原则驱动着IT整体架构的形成，而IT整体架构又决定了基础设施，这种基础设施所确定的能力又决定着基于业务需求应用的构建，最后，IT投资和优先顺序必须为IT原则、整体架构、基础设施和应用需求所驱动。然而，这些决策中又有独特问题，即IT治理需要确定每个决策由谁来负责输入，以及由谁来负责做出决策。

3.1.2.3 IT决策的关键问题(可以不细看)

关键决策	关键问题	解析
IT原则	组织的运行模型是什么？IT在业务中的角色是什么？IT期望行为是什么?如何投资IT
IT架构	组织的核心业务流程是什么？它们之间有什么样的关系？哪些信息在驱动着这些核心流程？数据必须如何整合？哪些技术性能应当在组织范围内得到标准化，以支持IT效率，方便流程标准化和整合？哪些行为应当在组织范围内标准化以支持数据整合?哪些技术选择能够指引组织IT新计划的方法
IT基础设施	哪些基础设施对实现组织的战略目标来说是最关键的？对于每个能力集，哪些基础设施服务应该在组织级实现，这些服务的水平需求是什么？应当如何定价基础设施服务？如何保持基础技术的不断更新？哪些基础设施服务应当外包
业务应用需求	新业务应用的市场和业务流程机会是什么？如何设计实验以评估业务应用成功与否？如何在架构标准上满足业务需求？应当在什么时候将一个业务需求从例外转换为标准？谁拥有每个项目的成果并且发起组织变革以确保其价值
IT投资和优先顺序	哪些流程变革或者强化对组织来说在战略上是最为重要的?当前的以及在提议中的T投资组合是如何分配的?这些投资组合同组织的战略目标一致吗?组织级的投资相对于业务单位的投资哪个更重要？实际投资情况会影响它们的相对重要性吗

3.1.2.4 IT治理体系框架

• IT治理体系框架是实现组织IT治理的有效保障，IT治理体系框架具体包括：IT战略目标、IT治理组织、IT治理机制、IT治理域、IT治理标准和IT绩效目标.

  

• 解析:

  • IT战略目标: 要跟业务相匹配(最重要的).
  • IT治理组织: 管理层做的事(责权利,IT人员做什么).
  • IT治理机制: 相应职权的人做决策,针对具体的IT资源,进行控制,对IT各个方面做评价,确定评估指标.
  • IT治理域: 做IT到底要治理什么.
  • IT治理标准: 为了让IT治理落地,就要引入IT治理标准,实现制度上的保障.(落地:就是落实到实处,实现这个治理这件事)
  • IT绩效目标: 做了IT治理,是不是辅助业务,是不是达成业务目标,建造过程中,成本进度是否满足要求,使用绩效来衡量.

原文

• 1. IT 战略目标。是指为实现IT价值和目标，使组织从IT投入中获得最大收益，而针对IT与业务关系、IT决策、IT资源利用、IT风险控制等方面制定的目标。
• 2. IT治理组织。IT治理组织是界定组织中各相关主体在各自方面的治理范围、责权利及其相互关系的准则,它的核心是治理机构（如IT治理委员会等）的设置和权限的划分。各治理机构职权的分配以及各机构间的相互协调，它的强弱直接影响到治理的效率和效能，对IT治理效率起着决定性的作用。
• 3. IT治理机制。是IT治理决策机制、执行机制、风险控制机制、协调机制的综合体，各机制之间是相辅相成、相互促进的关系。有效的决策机制能保障IT决策与组织的业绩目标和战略目标相匹配；有效的执行机制能保证IT治理的良好运作；有效的风险控制机制能降低IT活动的风险，实现信息技术开发利用的价值效益，有效的协调机制能有力地发挥IT治理的协调效应。
• 4. IT治理域。在IT治理的规则之下，对组织的IT资源进行整合与配置，根据IT目标所采取的行动。以科学、规范的做法交付面向业务的高质量IT服务，确保信息化“高效做事情”、数字化“敏捷的决策”。IT治理域内容包括IT信息系统的计划、构建、运维与监控等。
• 5. IT治理标准。包括IT治理基本规范、IT治理实施参照、IT治理评价体系和IT治理审计方法等方面，作为组织实施IT治理最佳实践和对标依据。
• 6. IT绩效目标。IT价值的实现，评价IT规划与IT构建过程中是否满足业务需求以及构建过程中的工期、成本、质量是否达到目标。

3.1.2.5 IT治理的核心内容

• IT治理本质记住即可,记住六个核心内容的标题就可以了.

• 1. 组织职责(谁参与IT治理)。组织职责指组织参与IT决策与管理的所有人员的集合，明确组织信息部门和业务部门之间的关系和责任，正确划分信息系统的所有者、建设者、管理者和监控者。
• 2. 战略匹配。IT治理的一个重要内容，是使组织的IT建设与组织战略相匹配，也就是通常所说的“战略匹配”。而战略匹配是IT为组织贡献业务价值的重要驱动力。
• 3. 资源管理(主要是IT资源)。资源管理的主要功能是确保用户对组织的应用系统和基础设施都有良好的理解和应用，优化IT投资、IT资源（人、应用系统、信息、基础设施）的分配，做好人员的培训、发展计划，以满足组织的业务需求。
• 4. 价值交付。通过对IT项目全生命周期的管理，确保IT能够按照组织战略实现预期的业务价值。重点是对整个交付周期成本的控制和T业务价值的实现，使IT项目能够在预算时间、成本范围内，按预定的质量要求完成。价值交付即是创造业务价值。
• 5. 风险管理。风险管理是IT治理中非常重要的内容。风险管理是确保IT资产的安全和灾难的恢复、组织信息源的安全以及人员的隐私安全。风险管理即是保护业务价值。
• 6. 绩效管理。没有绩效管理IT治理中任何一个域都不可能有效地进行管理。绩效管理主要是追踪和监视IT战略、IT项目的实施、信息资源的使用、IT服务的提供以及业务流程的绩效，绩效管理所采用的工具,如平衡积分卡，可以(最终做到:)将组织的战略目标转化成各个职能部门或团队具体的业务活动的目标，从而保证组织战略目标的实现。(平衡积分卡,也叫平衡记分卡,就是平衡绩效目标的)

3.1.2.6 建立IT治理机制的原则

• 简单: 每个人的,团队的责权要定义出来.(就是找到每个事情的负责人)
• 透明:任何决策/抉择要公布出来.
• 适合 : 把合适的决策分给合适的人

3.1.2.7 影响力高且具有挑战性的IT治理机制(了解)

• 下边的机制又重要又难做.

机制	目标	期望行为	不期望行为
执行层和高级管理委员会	对业务包括IT的整体观念	整合IT 的无缝管理	IT被忽略
架构委员会	明确战略技术和标准是否被执行	业务驱动的IT决策制定	IT限制和延迟
有IT人员参与的流程团队	有效地运用IT视角	端对端的流程管理	功能性技能的停滞和分散的IT基础设施
资金投资批准和预算	把IT看作另一种业务投资	对于不同投资类型的不同方法	分析瘫痪小项目，避开了正式批准
服务水平协议	对于IT服务的详细说明和衡量	专业的供应和需求	管理服务水平协议而不是业务需求
费用分摊机制	从业务中补偿IT成本	IT 的可靠应用	关于收费和歪曲的需求的争论
IT业务价值的正式追踪	衡量IT投资,并通常运用平衡记分卡计算其对业务价值的贡献	使目标、利益和成本透明化	将IT同其他资产和分类，只关注资金流，而不关注价值

3.1.3 IT 治理任务

3.1.3.1 IT治理活动

• 组织的IT治理活动定义为统筹、指导、监督和改进。

活动	描述
统筹	统筹现在和未来的IT战略和组织规划、管理和绩效的实施计划策略
指导	指导T管理实施、绩效考评、风险控制和业务合规
监督	监督T与业务的一致性、符合性及T应用的合规性
改进	改进IT战略规划、组织策略、信息系统全生命周期管控和数据治理

3.1.3.2 IT治理的主要任务

• 组织开展T治理活动的主要任务聚焦在如下五个方面。

任务	描述	解析
全局统筹	统筹规划T治理的目标范围、 技术环境、发展趋势和人员责权利
价值导向	包括基于实现有效收益，确保预期收益清晰理解， 明确实现收益的问责机制
机制保障	组织应对自身IT发展进行有效管控， 保证IT需求与实现的协调发展并使IT安全 和风险得到有效的识别、管理、防范和处置	要制定制度
创新发展	利用IT创新开拓业务领域，提升管理水平， 改进质量、绩效和降低成本，确保实现战略目标的 灵活性和对环境变化的适应性
文化助推	组织与利益相关者沟通IT治理的目标、 策略和职责，营造积极向上、沟通包容的组织文化	整个企业 如何看待IT这件事

3.1.4 IT治理方法与标准

3.1.4.1 典型的IT治理标准

• 考虑到T治理对组织战略目标达成的重要性，国内外各类机构持续研究并沉淀IT治理相关的最佳实践方法、定义相关标准，这里面比较典型的是

  • 我国信息技术服务标准库(ITSS)中IT治理系列标准(最容易考这个,因为这是我国出太的)
  • 信息和技术治理框架（COBIT)
  • IT治理国际标准（ISO/IEC 38500）等

3.1.4.2 ITSS-IT治理标准

3.1.4.2.1 ITSS-IT治理标准化的逻辑关系

• 我国IT治理标准化研究是围绕IT治理研究范畴，为IT过程、IT资源、信息与组织战略、组织目标的连接提供了一种机制。通过指导、实施、管理和评价等过程，确保T支持并拓展组织的战略和目标

• IT治理通用要求 :IT治理要做什么.(指导原则就是做什么).
• IT治理实施指南: 通用要求的前提下,告知怎么去实施.如何去做,如何进行IT治理.
• IT管理:指标体系,怎么样
• IT治理审计导则 : IT治理是不是真的支撑战略,要做评价
• 核心:三方面人员的参与,核心的人是管理层和IT治理委员会-->高级管理层-->业务技术管理层

3.1.4.2.2 ITSS-IT治理通用要求(做什么)

• GB/T 34960.1《信息技术服务治理第1部分：通用要求》规定了IT治理的模型和框架、实施IT治理的原则，以及开展IT顶层设计、管理体系和资源的治理要求。该标准可用于：

  • ① 建立组织的IT治理体系，并实施自我评价
  • ② 开展信息技术审计
  • ③ 研发、选择和评价IT治理相关的软件或解决方案
  • ④ 第三方对组织的IT治理能力进行评价。

• 该标准定义的IT治理模型包含治理的内外部要求、治理主体、治理方法，以及信息技术及其应用的管理体系.

​ IT治理模型

• 驱动力: 业务压力\监管职责\组织章程\利益相关方期望\业务要求.(会驱动组织做IT治理).

• 向下的箭头指导,指导战略和方针

• 向上箭头,管理者提出的方案和规划,通过IT治理实施指南,进行评估

• IT治理做的好不好要进行监督.

  ​ IT治理框架(IT治理领域包括哪几个框架,要治理什么)-----了解即可

3.1.4.2.3 ITSS-IT 治理实施指南(怎么做)

• GB/T 34960.2《信息技术服务治理第2部分：实施指南》提出了IT治理通用要求的实施指南，分析了实施IT治理的环境因素，规定了IT治理的实施框架、实施环境和实施过程，并明确顶层设计治理、管理体系治理和资源治理的实施要求。(在操作层面解析,怎么去做IT治理.)

• 该标准适用于：

  • ① 建立组织的IT治理实施框架，明确实施方法和过程

  • ② 组织内部开展IT治理的实施

  • ③ IT治理相关软件或解决方案实施落地的指导(如何落地)

  • ④ 第三方开展IT治理评价的指导

    ​ IT治理实施框架(需要掌握)

• 实施环境: 包括组织的内外部环境和促成因素
• 实施过程: 规定了IT治理实施的方法论，包括统筹和规划、构建和运行、监督和评估、改进和优化.(具体讲怎么进行IT治理,要走几个步骤)
• 治理域: 定义了IT治理对象，包括(怎么实施)顶层设计、管理体系和资源(如何确定三个治理域)

3.1.4.3 COBIT信息和技术治理框架

• COBIT是面向整个组织的信息和技术治理及管理框架，由成立于1969年的美国信息系统审计与控制协会（ISACA）组织设计并编制的。(主要包含两部分,即包括如何做治理,也包括如何做管理.横跨两方面.)

• COBIT框架对治理和管理进行了明确区分：

  • ① 治理确保对利益干系人的需求、条件和选择方案进行评估，以确定全面均衡、达成共识的组织目标；通过确定优先等级和制定决策来设定方向；根据议定的方向和目标监控绩效与合规性；

  • ② 管理是指按治理设定的方向计划、构建、运行和监控活动，以实现组织目标。在大多数组织中，管理是首席执行官领导下的高级管理层的职责。

3.1.4.3.1 COBIT治理和管理目标

• COBIT框架介绍了40项核心治理和管理目标，以及其中包含的流程和其他相关组件COBIT核心模型.(其中五项是IT治理的,无需背记,主要关注的IT管理的.)

3.1..4.3.2 COBIT治理系统组件(IT治理要做哪几方面的内容)

• 为满足治理和管理目标，每个组织都需要建立、定制和维护由多个组件构成的治理系统治理系统的组件包括：(记忆下图黑体字部分)

3.1..4.3.3 COBIT治理体系设计因素

• COBIT设计指南描述了组织如何设计量身定制的组织IT治理解决方案。高效和有效的IT治理系统是创造价值的起点。

• 这些设计因素可能影响组织治理系统的设计，为成功使用IT奠定基础。

3.1..4.3.4 COBIT治理系统设计工作流程

• 组织开展治理系统设计通过流程化的方式进行.

  

3.1.4.4 IT治理国际标准ISO/IEC 38500

3.1.4.4.1 国际标准

• 该标准为组织的治理机构(可包括所有者、董事、合伙人、执行经理或类似机构）的成员提供了关于在其组织内有效、高效和可接受地使用信息技术(IT)的指导原则，该标准包括：
  • ① 责任。组织内的个人和团体理解并接受他们在IT的供应和需求方面的责任。那些负有行动责任的人也有权执行这些行动。
  • ② 战略。组织的业务战略考虑到T的当前和未来的能力：使用IT的计划满足了组织业务战略的当前和持续的需求
  • ③ 收购。IT收购是出于正当的理由，在适当和持续的分析基础上，有明确和透明的决策。在短期和长期内，在利益、机会、成本和风险之间都存在着适当的平衡。
  • ④ 性能。IT适合于支持组织，提供满足当前和未来业务需求所需的服务、服务水平和服务质量。
  • ⑤ 一致性。IT的使用符合所有强制性法律和法规。政策和实践有明确的定义、实施和执行。(合规性)
  • ⑥ 人的行为。IT团队的政策、实践和决策表明了对人的行为的尊重包括所有“在这个过程中的人”的当前和不断发展的需求。

3.1.4.4.2 三个主要任务(记住加黑字体)

• 该标准规定治理机构应通过评估、指导和监督三个主要任务来治理IT。
  • ① 评估。治理机构应审查和判断当前和未来的使用，包括计划、建议和供应安排（无论是内部、外部或两者兼有）。在评估IT的使用时，治理机构应考虑作用于组织的外部或内部压力，如技术变革、经济和社会趋势、监管义务、合法的利益相关者期望和政治影响。治理机构应根据情况的变化不断地进行评价。治理机构还应考虑到当前和未来的业务需要，即他们必须实现的当前和未来的组织目标，例如维持竞争优势，以及他们正在评估的计划和建议的具体目标。
  • ② 指导。治理机构应负责战略和政策的编制和执行。战略应该为IT领域的投资设定方向以及IT应该实现的目标。政策应在使用IT时建立良好的行为。治理机构应通过要求管理者及时提供信息、遵守方向和遵守良好治理的六项原则来鼓励其组织中的良好治理文化。
  • ③ 监督。治理机构应通过适当的测量系统来监测T的表现。他们应该保证自己业绩符合战略，特别是在业务目标方面。治理机构还应确保IT符合外部义务（法规、立法、普通法、合同）和内部工作惯例等。

3.2 IT 审计

• 实际企业会单独分出一个部们做审计,比如财务审计,IT审计,IT审计实际对整个IT的设计规划运行状况进行监督,如果发现状况,进行报告.

3.2.1 IT 审计基础

3.2.1.1 IT 审计定义

• IT审计对组织IT目标的达成以及组织战略目的实现具备重要的作用。IT审计重要性是指IT审计风险(固有风险、控制风险、检查风险)对组织影响的严重程度，如：财务损失、业务中断、失去客户信任、经济制裁等。(不同组织对IT审计定义不一样)

  ​ 主流的IT审计定义如表所示(无需记忆,了解前两个就好)

机构/标准名称	定义
国际信息系统审计协会 (Information Systems Audit and Control Association,ISACA)	IT审计是一个获取并评价证据，以判断计算机系统是否能够保证资产的安全、数据的完整以及有效利用组织的资源并有效实现组织目标的过程
国际货币基金组织 (International Monetary Fund,IMF)	IT审计是对计算机化的系统进行审计，不仅是对现有信息系统的控制，还包括对系统建立过程、计算机设备和网络管理等方面的控制
最高审计机关国际组织 (International Organization of Supreme Audit Institutions,INTOSAI)	IT审计是一个通过获取并评估证据，以判断IT系统是否保护组织的资产，有效地利用组织的资源，保障数据的安全性和一致性，以及有效地达到组织业务目标的过程
GB/T 34690.4《信息技术服务治理第4部分：审计导则》	IT审计是根据T审计标准的要求，对信息系统及相关的IT内部控制和流程进行检查、评价，并发表审计意见

• 国内的审计做的就是是不是每台机器都安装了杀毒软件,安装的windows软件是否有授权,整个系统是否达到战略目标很难审.(还有审计计算机内是否存在敏感信息,是否拷贝重要文件)

3.2.1.2 IT 审计目的

• IT审计的目的是指通过开展IT审计工作，了解组织IT系统与IT活动的总体状况, 对组织是否实现IT目标进行审查和评价，充分识别与评估相关IT风险，提出评价意见及改进建议促进组织实现IT目标。(审计就是全盘掌握信息,做评价,通过审计识别风险,提出意见和建议.)

• 组织的IT目标主要包括：

  • ① 组织的IT战略应与业务战略保持一致
  • ② 保护信息资产的安全及数据的完整、可靠、有效
  • ③ 提高信息系统的安全性、可靠性及有效性
  • ④ 合理保证信息系统及其运用符合有关法律、法规及标准等的要求

3.2.1.3 IT 审计范围(可以审计的内容有什么)

• IT审计范围需要根据审计目的和投入的审计成本来确定。需要明确审计的组织范围、物理位置以及信息系统相关逻辑边界.

3.2.1.4 IT 审计人员(了解)

• 对IT审计人员的要求包括职业道德、知识、技能、资格与经验、专业胜任能力及利用外部专家服务等方面，如表所示.(能做审计的人员考取的证书都是比较高的.)

  

3.2.1.5 IT 审计风险(三类记一下)

• IT审计风险主要包括三类，内容如表

• 固有风险 : 跟审计没有关系,指的是IT本身面临的风险.

• 控制风险 : 已知一些固有的风险,一些用来防止或规避减低固有风险的行为,没有做,就是控制风险.

• 检查风险 : 审计不到位,审计有疏漏,会导致的风险

总体审计风险是指针对单个控制目标所产生的各类审计风险总和。良好的审计计划应尽可能把总体审计风险控制在足够低的水平之内。
(总体风险就是上述三个风险合一起)审计风险也用于描述审计人员在执行审计任务时可接受的风险水平。可通过设定目标风险水平并调整审计工作量，以合适的审计成本满足最小化总体审计风险要求。

3.2.2 审计方法与技术

3.2.2.1 IT审计依据与准则(知道即可)

• 国际上发布的常用审计准则有：

  • 信息系统审计准则（ISACA，国际信息系统审计协会发布)。
  • 《内部控制一整体框架》报告，即通称COSO（美国反虚假财务报告委员会下属的发起人委员会）报告。
  • 《萨班斯法案》（Sarbanes-Oxley Act，SOX)。SOX是美国政府出台的一部涉及会计职业监管、组织治理、证券市场监管等方面改革的重要法律。
  • 信息及相关技术控制目标（Control Objectives for Information and related Technology，COBIT），是目前国际上通用的信息及相关技术控制规范。

• 我国的IT审计相关法律法规、准则与标准(举例)

3.2.2.2 IT审计常用方法

• 有很多是收集需求的方法

• 访谈法 : 收集重要的干系人的方法,比较耗费时间.
• 调查法 : 可以是桌面也可以是向大量人调查.
• 检查法 : 对各种记录或文件进行审查.
• 观察法 : 收集需求也会用到,亲自到IT运行现场,看一下各类流程,各类工作人员如何进行操作.
• 测试法 / 程序代码检查法 : 平时做测试经常用到 ,测试代码,代码审计,用黑盒或者白盒测试,查看代码有没有植入木马,就用程序代码检查法.

3.2.3.3 IT审计技术

• 常用的IT审计技术包括
  • 风险评估技术
  • 审计抽样技术
  • 计算机辅助审计技术
  • 大数据审计技术

3.2.3.3.1 风险评估技术

• 做项目管理的风险管理也要做风险评估.
• IT风险评估技术包括：

评估技术	描述	解析
风险识别技术	用以识别可能影响一个或多个目标的不确定性， 包括德尔菲法头脑风暴法、检查表法、 SWOT技术及图解技术等	从各个维度一起跟干系人做风险识别
风险分析技术	是对风险影响和后果进行评价和估量， 包括定性分析和定量分析
风险评价技术	是在风险分析的基础上， 通过相应的指标体系和评价标准， 对风险程度进行划分， 以揭示影响成败的关键风险因素， 包括单因素风险评价和总体风险评价
风险应对技术	IT技术体系中为特定风险制定的应对技术方案， 包括云计算、余链路、 冗余资源、系统弹性伸缩、 两地三中心灾备、业务熔断限流等	为每一个风险,制定应对方案

3.2.3.3.2 审计抽样技术

• 审计抽样是指审计人员在实施审计程序时，从审计对象总体中选取一定数量的样本进行测试，并根据测试结果，推断审计对象总体特征的一种方法。
• 审计抽样适用于时间及成本都不允许对既定总体中的所有交易或事件进行全面审计时。“总体”是指需要检查的全部事项，“样本”是用于测试总体的子集

类别	说明	解析
统计抽样	采用客观的方法来确定样本量和样本抽取标准。统计抽样采用概率学原理，涉及计算样本量、抽取样本 评价样本结果并做出推断。利用统计抽样，审计人员可以量化描述样本与总体的接近程度(评价抽样精度)以及用百分比表示的样本能够代表总体的概念(可靠性或置信水平)。有效的统计抽样结果是量化的 常用的统计抽样方法有： 1、属性抽样。固定样本量属性抽样或频率估计抽样一一用于估计总体中某种特性(属性)的发生比率(百分率)的抽样方法，属性抽样回答“有多少？"的问题。可被测试的属性的一个例子是计算机访问申请表上的批准签字 2、变量抽样。变量抽样也称为金额估计抽样或平均值估计抽样，是一种由样本估计总体的货币金额或其他度量单位（如重量）的抽样技术。变量抽样的一个例子是检查组织重要交易的余额表及对生成余额表的程序实施的应用系统审计	大部分使用统计抽样 属性抽样:用少量代表整体
非统计抽样	常指判断抽样一一采用审计人员判断来确定抽样方法、样本量（从总体中抽取的一定数量的事项以执行测试)及抽样标准(选择哪一些事项用于测试)。 抽样结果是基于审计人员对抽样事项或交易的重要性及风险的主观判断	统计人员主观统计

3.2.3.3.3 计算机辅助审计技术

• 计算机辅助审计（Computer Assisted Audit Tools，CAAT)，也称为利用计算机审计，是指审计人员在审计过程和审计管理活动中，以计算机为工具来执行和完成某些审计程序和任务的一种新兴审计技术。对手工系统的审计也可应用这些技术。(计算机辅助:用计算机辅助审计工作)
• 由于系统有不同的硬件和软件环境、数据结构、记录格式或处理功能，如果没有软件工具来收集和分析记录内容，审计人员收集证据几乎是不可能的。CAAT使得审计人员可以独立地收集信息，为针对既定的审计目标访问和分析数据提供了一种方法，并以系统记录的可靠性为重点报告审计发现。
• CAAT包括多种工具和技术，如通用审计软件(GAS)、测试数据、实用工具软件、专家系统等。

源信息可靠性是审计发现的保证基础(记这个)

3.2.3.3.4 大数据审计技术

• 大数据审计是指遵循大数据理念，运用大数据技术方法和工具，利用数量巨大、来源分散格式多样的数据，开展跨层级、跨系统、跨部门和跨业务等的深入挖掘与分析，提升审计发现问题、评价判断、宏观分析的能力。
• 大数据审计技术包括大数据智能分析技术、大数据可视化分析技术及大数据多数据源综合分析技术等

分类	说明	解析
大数据智能分析技术	以各种高性能处理算法、智能搜索与挖掘算法等为主要研究内容，是目前大数据分析领域的研究主流。该技术从计算机的视角出发，强调计算机的计算能力和人工智能，如各类面向大数据的机器学习和数据挖掘方法等。常用技术包括A/B Testing、关联规则分析、分类、聚类、遗传算法、神经网络、预测模型、模式识别、时间序列分析、回归分析、系统仿真等
大数据可视化分析技术	从人作为分析主体和需求主体的视角出发，强调基于人机交互的、符合人的认知规律的分析方法，目的是将人所具备的、机器并不擅长的认知能力融入数据分析过程中，如R语言Python、D3.is、Leaflet等
大数据多数据源综合分析技术	大数据多数据源综合分析技术是对采集来的各行、各业、各类大数据，采用数据查询等常用方法或其他大数据技术方法进行相关数据的综合比对和关联分析，从而发现更多隐藏的审计线索的技术

3.2.3.4 IT 审计证据

• 审计证据是指由审计机构和审计人员获取，用于确定所审计实体或数据是否遵循既定标准或目标，形成审计结论的证明材料。(审计证据:就是审计结论的材料,由审计机构和审计人员获取.)
• 审计证据的特性是指审计证据内在性质和特征，具体体现为审计人员围绕这些性质和特征收集审计证据时应达到的基本要求。

分类	说明	解析
充分性	指要求审计人员根据所获证据足以对被审计对象提出一定程度保证的结论， 是对审计证据数量的要求，主要与审计人员确定的样本量有关
客观性	指审计证据必须是客观存在的事实材料。客观的审计证据比需要判断 或解释的证据可靠
相关性	指审计证据与审计事项之间必须有实质性联系
可靠性	指审计证据能够反映和证实客观经济活动特征的程度。审计证据 的可靠性受到审计证据的类型、取证的渠道和方式等因素的影响
合法性	指审计证据必须符合法定种类，并依照法定程序取得

审计证据是审计意见的支柱，是审计人员形成审计结论的基础

• 电子证据是信息环境下经常使用的一种证据类型。

  • 电子证据是指以电子的、数据的、磁性的或类似性能的相关技术形式存在并能够证明事件事实真实情况的一切材料。

• 为了使收集到的分散、个别、不系统审计证据变成充分、适当、具有证明力证据，审计人员必须按照一定的方法对审计证据进行分类整理与分析，使之条理化、系统化，然后对各种审计证据进行合理归纳，并在此基础上形成恰当的整体审计结论。

• 审计证据评价应考虑的因素包括证据提供者的独立性、提供信息/证据的个人资质、证据的客观性、证据的时效性、与审计目标的相关性、审计证据的说服力及审计证据的充分性。

• 此外，在审计过程中还必须考虑取得审计证据的经济性，必须考虑成本效益原则，合理把握审计证据的充分性。(花费的经历要跟回报相匹配)

3.2.3.5 IT 审计底稿

• 审计工作底稿是指审计人员对制订的审计计划、实施的审计程序、获取的相关审计证据，以及得出的审计结论做出的记录。

• 审计工作底稿是审计证据的载体，是审计人员在审计过程中形成的审计工作记录和获取的资料。它形成于审计过程，也反映整个审计过程。(审计证据的载体:审计证据也是进入到工作底稿里的.复盘审计工作,就可以查看审计底稿.)

• 审计底稿的作用：

  • 是形成审计结论、发表审计意见的直接依据
  • 是评价考核审计人员的主要依据
  • 是审计质量控制与监督的基础
  • 对未来审计业务具有参考备查作用

审计底稿分类(了解类别)

底稿类型	说明	解析
综合类工作底稿	指审计人员在审计计划阶段和审计报告阶段，为规划、控制和总结整个审计工作并发表审计意见所形成的审计工作底稿， 主要包括： 审计业务约定书、审计计划、审计总结、审计报告、管理建议书、 被审计单位管理当局声明书以及审计人员 对整个审计工作进行组织管理的所有记录和资料	强调在审计的规划阶段, 执行阶段,报告阶段,所形成的各种记录
业务类工作底稿	指审计人员在审计实施阶段为执行具体审计程序所形成的审计工作底稿， 包括： 符合性测试中形成的内部控制问题调查表和流程图、 实质性测试中形成的项目明细表等	访谈,现场调查这些非常细致 的记录或调查单,都属于业务类工作底稿
备查类工作底稿	指审计人员在审计过程中形成对审计工作仅具有备查作用的审计工作底稿。 备查类工作底稿应随被审计单位有关情况的变化而不断更新； 应详细列明目录清单，并将更新的文件资料随时归档； 应根据需要，将其中与具体审计项目有关的内容复印、摘录、综合后 归入业务类审计工作底稿的具体审计项目之后。通常，备查类审计 工作底稿是由被审计单位或第三者根据实际情况提供或代为编制， 审计人员应认真审核，并对所取得的有关文件、资料标明其具体来源	为了支撑某个证据,复印了发票,复印件,叫做备查类工作底稿

审计底稿要求

• 内容要求包括资料翔实、重点突出、繁简得当、结论明确

• 形式要求包括要素齐全、格式规范、标识一致、记录清晰

审计工作底稿三级复核制度(比较重要,三类人记一下)：

• 以审计机构负责人、部门负责人和项目负责人（或项目经理）为复核人，依照规定的程序和要点对审计工作底稿进行逐级复核的制度。(项目负责人:指的是审计项目的负责人,而不是被审核项目的项目负责人,部门负责人是审计部分的部门负责人,审计机构负责人:整个审计机构的)

• 审计机构对审计底稿保密。但下列两种情况不属于泄密情形：

• 法院、检察院及国家其他部门依法查阅，并按规定办理了必要手续审计协会或其委派单位对审计机构执业情况进行检查

• 审计工作底稿按照一定的标准归入审计档案后，应交由档案管理部门进行管理并确保审计档案的安全、完整

3.2.3 审计流程

3.2.3.1 审计流程的作用

• 审计流程是指审计人员在具体审计过程中采取的行动和步骤。

  

• 审计流程的含义：

  • 狭义的审计流程(不用记)：指审计人员在取得审计证据、完成审计目标、得出审计结论过程中所采取的步骤和方法
  • 广义的审计流程：指审计机构和审计人员对审计项目从开始到结束的整个过程采取的系统性工作步骤

3.2.3.2 审计流程的四阶段(广义审计流程的阶段)

(1) 审计准备阶段(从第三方审计结构接受委托,审计方要做一个立项)

• 是指IT审计项目从计划开始，到发出审计通知书为止的期间。准备阶段是整个审计过程的起点和基础 , 准备阶段的工作是否充分、合理、细致，对提高审计工作效率，保证审计工作质量至关重要。准备阶段工作一般包括；
  • ① 明确审计目的及在务；
  • ② 组建审计项目组；
  • ③ 搜集相关信息；
  • ④ 编制审计计划等。

(2) 审计实施阶段(核心,审计人员做审计工作)

• 是审计人员将项目审计计划付诸实施的期间。此阶段的工作是审计全过程的中心环节是整个审计流程的关键阶段，关系到整个审计工作的成败。实施阶段主要完成工作包括：
  • ① 深入调查并调整审计计划；
  • ② 了解并初步评估IT内部控制；
  • ③ 进行符合性测试；
  • ④ 进行实质性测试等。

(3) 审计终结阶段(最后形成报告)

• 是整理审计工作底稿、总结审计工作、编写审计报告做出审计结论的期间。审计人员应运用专业判断,综合分析所收集的相关证据,以经过核实的审计证据为依据,形成审计意见、出具审计报告。终结阶段的工作一般包括：
  • ① 整理与复核审计工作底稿：
  • ② 整理审计证据：
  • ③ 评价相关IT控制目标的实现；
  • ④ 判断并报告审计发现；
  • ⑤ 沟通审计结果；
  • ⑥ 出具审计报告；
  • ⑦ 归档管理等。

(4) 后续审计阶段(审计后提出报告和改进意见,改进意见是否执行了,复查就是后续审计阶段)

• 是在审计报告发出看的一定时间内，审计人员为检查被审计单位对审计问题和建议是否已经采取了适当的纠正措施，并取得预期效巢的跟踪审计。后续审计并不是一次新的审计，而是前一次审计的有机组成部分, 实施后续审计，可不必遵守审计流程的每一过程和要求，但必须依法依规进行检查、调查，收集审计证据，写出后续审计报告。

3.2.4 审计内容

3.2.4.1 IT审计业务分类

• 信息系统项目审计:项目做的是否合规合理,符合绩效.下面详述.

3.2.4.2 信息系统项目管理审计内容与方法举例

4. 单词汇总

序号	单词	简写	翻译	描述
1	IT Governance		IT治理
2	Information Systems Audit and Control Association	ISACA	国际信息系统审计协会
3	International Monetary Fund	IMF	国际货币基金组织
4	International Organization of Supreme Audit Institutions	INTOSAI	最高审计机关国际组织
5	Sarbanes-Oxley Act	SOX	萨班斯法案
6	Control Objectives for Information and related Technology	COBIT	信息及相关技术控制目标
7	Computer Assisted Audit Tools	CAAT	计算机辅助审计
8	General AuditSoftware	GAS	通用审计软件

附录

• 教材音频版,可以不用看书,听着语音听完本章的教材

序号	章节	链接
1	第3章章信息系统治理	https://www.bilibili.com/video/BV1cDe7eaEco/?spm_id_from=333.999.0.0&vd_source=0bb2dec1aa524e2dda1f4e45974694e9

标签：审计,第三章,信息系统,组织,业务,2024,3.2,治理,3.1
From： https://www.cnblogs.com/liuyangfirst/p/18441116