第三章-信息系统治理

信息系统治理（IT治理）是组织开展信息技术及其应用活动的重要管控手段，也是组织治理的重要组成部分，尤其在以数字化发展为重要关注点的新时代，组织的数字化转型和组织建设过程中，IT治理起到重要的统筹、评估、指导和监督作用。信息技术审计（IT审计）作为与IT治理配套的组织管控手段，是IT治理不可或缺的评估和监督工具，重点承担着组织信息系统发展的合规性检测以及信息技术风险的管控等职能。

IT治理

IT治理基础

1. IT治理的驱动因素
1. IT治理的目标价值
IT治理主要目标包括：与业务目标一致、有效利用信息与数据资源、风险管理。
1. IT治理的管理层次

管理层次大致可分为三层：最高管理层、执行管理层、业务与服务执行层。

最高管理层的主要职责包括：证实IT战略与业务战略是否一致；证实通过明确的期望和衡量手段交付IT价值；指导IT 战略、平衡支持组织当前和未来发展的投资；指导信息和数据资源的分配。

执行管理层的主要职责包括：制定IT的目标；分析新技术的机遇和风险；建设关键过程与核心竞争力；分配责任、定义规程、衡量业绩；管理风险和获得可靠保证等。

业务及服务执行层的主要职责包括：信息和数据服务的提供和支持；IT基础设施的建设和维护；IT需求的提出和响应。

IT治理体系

IT治理的核心是关注IT定位和信息化建设与数字化转型的责权利划分，如下图所示：

1. IT治理关键决策
有效的IT治理必须关注五项关键决策，如下图所示：

包括IT原则、IT架构、IT基础设施业务应用需求、IT投资和优先顺序。

IT原则驱动着IT整体架构的形成，而IT整体架构又决定了基础设施，这种基础设施所确定的能力又决定着基于业务需求应用的构建，最后，IT投资和优先顺序必须为IT原则、整体架构、基础设施和应用需求所驱动。然而，这些决策中又有独特问题，即IT治理需要确定每个决策由谁来负责输入，以及由谁来负责做出决策。
1. IT治理体系框架
IT治理体系框架具体包括：IT战略目标、IT治理组织、IT治理机制、IT治理域、IT治理标准和IT绩效目标等部分，形成一整套IT治理运行闭环，如下图所示：
1. IT治理核心内容
IT治理本质上关心：①实现IT的业务价值；②IT风险的规避。

IT治理核心内容包括六个方面：组织职责、战略匹配、资源管理、价值交付、风险管理和绩效管理。如下图所示：
1. IT治理机制经验
建立IT治理机制的原则包括: ①简单。机制应该明确地定义特定个人和团体所承担的责任和目标。②透明。有效的机制依赖于正式的程序。对于那些被治理决策所影响或是想要挑战治理决策的人来说，机制如何工作是需要非常清晰的。③适合。机制鼓励那些处于最佳位置的个人去制定特定的决策。

IT治理任务

组织开展IT治理活动的主要任务聚焦在如下五个方面：

全局统筹

组织还需要关注IT发展的规划、实施、检查和改进全过程，重点包括①制订满足可持续发展的IT蓝图；②实施科学决策、集约管理的策略，实现横向的业务集成和纵向的业务管控；通过内外部的监督，确保IT与业务的一致性和适用性；③建立适应内外部信息环境变化的持续改进和创新机制。
价值导向

组织需要建立价值递送规则，确保利益相关者明确相应的权利和义务，包括①认可信息技术、信息系统和数据在组织中的价值；②识别投资目录并以相应的方式进行评估和管理；③对关键指标进行设定和监督，并对变化和偏差做出及时回应；④权衡实施成本与预期效益，并随组织内外部环境的变化及时调整。
机制保障

组织可以根据相关法律法规、行业管理和上级监管机构发布的规范文件要求，制定本组织的信息技术治理制度并实施，重点聚焦在①指导建立规范过程管理和痕迹管理，并向利益相关者公开质量设定举措；②评审IT 管理体系的适宜性、充分性和有效性；③审计IT完整性、有效性和合规性；④监督由审计和管理评审，提出改进内容的实施。
创新发展

组织可以建立支持创新的人员、技术、制度、资金、风险、文化和市场需求的机制体系，包括①创造基于业务团队与IT团队的深度沟通以及对内外部环境感知和学习的技术创新环境；②确保技术发展、管理创新、模式革新的协调联动；③对组织创新能力进行评估，并对关键创新要素进行分析和评价；④通过促进和创新有效抵御风险，并确保创新是组织文化的组成部分。
文化助推

按照文化营造、实施和改进的生命周期，保障利益相关者的沟通和透明，包括①建立与IT发展相适应的组织文化发展策略；②营造包括知识、技术、管理、情操在内的积极向上的文化氛围；③根据组织内部环境的变化，评估并改进组织文化的管理。

IT治理方法与标准

1. ITSS中IT服务治理
我国IT治理标准化研究是围绕IT治理研究范，为IT过程、IT资源、信息与组织战略组织目标的连接提供了一种机制。

在IT治理目标和边界确定的情况下，IT治理围绕决策体系、责任归属、管理流程、内外评价四个方面，通过相关框架体系的研究，规范和引导组织的IT 治理完成“做什么”“如何做”“怎么样”“如何评价”等问题，如下图所示：
- IT治理通用要求
  
  GB/T 34960.1《信息技术服务治理第1部分：通用要求》规定了IT治理的模型和框架、实施IT治理的原则，以及开展IT顶层设计、管理体系和资源的治理要求。该标准可用于：①建立组织的IT 治理体系，并实施自我评价；②开展信息技术审计；③研发、选择和评价IT 治理相关的软件或解决方案；④第三方对组织的IT治理能力进行评价。
  
  该标准定义的IT治理模型包含治理的内外部要求、治理主体、治理方法，以及信息技术及其应用的管理体系。如下图所示：
  
  该标准定义的IT治理框架包含信息技术顶层设计、管理体系和资源三大治理域，每个治理域由如下若干治理要素组成，如下图所示：
  
  顶层设计治理域包含信息技术的战略，以及支撑战略的组织和架构；管理体系治理域包含信息技术相关的质量管理、项目管理、投资管理、服务管理、业务连续性管理、信息安全管理、风险管理、供方管理、资产管理和其他管理；资源治理域包含信息技术相关的基础设施、应用系统和数据。
- IT治理实施指南
  
  GB/T 34960.2《信息技术服务治理第2部分：实施指南》提出了IT治理通用要求的实施指南，分析了实施IT治理的环境因素，规定了IT治理的实施框架、实施环境和实施过程，并明确顶层设计治理、管理体系治理和资源治理的实施要求。该标准适用于：①建立组织的IT治理实施框架，明确实施方法和过程；②组织内部开展IT治理的实施；③IT治理相关软件或解决方案实施落地的指导；④第三方开展IT治理评价的指导。
  
  IT治理实施框架包括治理的实施环境、实施过程和治理域，如下图所示：
1. 信息和技术治理框架
COBIT是面向整个组织的信息和技术治理及管理框架，由成立于1969年的美国信息系统审计与控制协会(ISACA)组织设计并编制的。COBIT框架对治理和管理进行了明确区分，这两个学科涵盖不同的活动，需要不同的组织结构，并服务于不同目的；①治理确保对利益干系人的需求、条件和选择方案进行评估，以确定全面均衡、达成共识的组织目标；通过确定优先等级和制定决策来设定方向；根据议定的方向和目标监控绩效与合规性；②管理是指按治理设定的方向计划、构建、运行和监控活动，以实现组织目标。
- 治理和管理目标
COBIT中治理目标被列入评估、指导和监控（EDM）领域，在这个领域，治理机构将评估战略方案，指导高级管理层执行所选的战略方案并监督战略的实施。管理目标分为四个领域：①调整、规划和组织（APO）针对IT的整体组织、战略和支持活动；②内部构建、外部采购和实施（BAI）针对IT解决方案的定义、采购和实施以及它们到业务流程的整合；③交付、服务和支持（DSS）针对IT服务的运营交付和支持，包括安全；④监控评价和评估（MEA）针对IT的性能监控及其与内部性能目标、内部控制目标和外部要求的一致程度。
- 信息和技术治理解决方案的设计
  
  高效和有效的IT治理系统是创造价值的起点。COBIT定义的IT治理系统设计因素包括组织战略、组织目标、风险概况、IT相关问题、威胁环境、合规性要求、IT角色、IT采购模式、IT实施方法、技术采用战略、组织规模和未来因素，如下图所示：
  
  COBIT给出了建议设计流程：①了解组织环境和战略；②确定治理系统的初步范围；③优化治理系统的范围；④最终确定治理系统的设计。如下图所示：
1. IT治理国际标准
ISO/IEC 正式发布IT治理标准ISO/IEC 38500，它的出台不仅标志着IT治理从概念模糊的探讨阶段进入了一个正确认识的发展阶段，而且也标志着信息化正式进入IT治理时代。

该标准包括： 责任、战略、收购、性能、一致性、人的行为等。

该标准规定治理机构应通过评估、指导和监督三个主要任务来治理IT。

IT审计

为了有效控制IT风险，有必要对组织的信息系统治理及IT内控与管理等开展IT审计，充分发挥IT审计监督的作用，提高组织的信息系统治理水平促进组织信息系统治理目标的实现。

IT审计基础

1. IT审计定义
1. IT审计目的
1. IT审计范围
1. IT审计人员
对IT审计人员的要求包括职业道德、知识、技能、资格与经验、专业胜任能力及利用外部专家服务等方面。
1. IT审计风险
IT审计风险主要包括固有风险、控制风险、检查风险和总体审计风险。

审计方法与技术

1. IT审计依据与准则
1. IT审计常用方法
常用审计方法包括： 访谈法、调查法、检查法、观察法、测试法和程序代码检查法等。
1. IT审计技术
常用的IT审计技术包括风险评估技术、审计抽样技术、计算机辅助技术及大数据审计技术。
- 风险评估技术
  
  IT风险评估技术一般包括：
  - 风险识别技术： 用以识别可能影响一个或多个目标的不确定性，包括德尔菲法、头脑风暴法、检查表法、SWOT技术及图解技术等。
  - 风险分析技术：是对风险影响和后果进行评价和估量，包括定性分析和定量分析。
  - 风险评价技术：是在风险分析的基础上，通过相应的指标体系和评价标准，对风险程度进行划分，以揭示影响成败的关键风险因素，包括单因素风险评价和总体风险评价。
  - 风险应对技术：IT技术体系中为特定风险制定的应对技术方案，包括云计算、冗余链路、冗余资源、系统弹性伸缩、两地三中心灾备、业务熔断限流等。
- 审计抽样技术
  
  审计抽样是指审计人员在实施审计程序时，从审计对象总体中选取一定数量的样本进行测试，并根据测试结果，推断审计对象总体特征的一种方法。审计抽样适用于时间及成本都不允许对既定总体中的所有交易或事件进行全面审计时。“总体”是指需要检查的全部事项，“样本”是用于测试总体的子集。
- 计算机辅助技术
  
  计算机辅助审计（CAAT），也称为利用计算机审计，是指审计人员在审计过程和审计管理活动中，以计算机为工具来执行和完成某些审计程序和任务的一种新兴审计技术。它并非电算化系统审计特有的一种方法，对手工系统的审计也可应用这些技术。
- 大数据审计技术
  
  大数据审计是指遵循大数据理念，运用大数据技术方法和工具，利用数量巨大、来源分散、格式多样的数据，开展跨层级、跨系统、跨部门和跨业务等的深入挖掘与分析，提升审计发现问题、评价判断、宏观分析的能力。
  
  大数据审计技术包括大数据智能分析技术、大数据可视化分析技术及大数据多数据源综合分析技术等。
1. IT审计证据
审计证据是指由审计机构和审计人员获取，用于确定所审计实体或数据是否遵循既定标准或目标，形成审计结论的证明材料。

审计证据是审计意见的支柱，是审计人员形成审计结论的基础。审计人员必须基于足够、相关和适当的审计证据，为其审计观点提供合理的结论。

审计证护还可以被作为解除或追究被审计人经济责任的依据，并且审计证据还是控制审计工作质量的关键。
1. IT审计底稿
审计工作底稿是指审计人员对制订的审计计划、实施的审计程序、获取的相关审计证据，以及得出的审计结论做出的记录。

审计工作底稿是审计证据的载体，是审计人员在审计过程中形成的审计工作记录和获取的资料。它形成于审计过程，也反映整个审计过程。

审计底稿的作用表现在:
- 是形成审计结论、发表审计意见的直接依据；
- 是评价考核审计人员的主要依据；
- 是审计质量控制与监督的基础；
- 对未来审计业务具有参考备查作用；
审计工作底稿一般分为综合类工作底稿、业务类工作底稿和备查类工作底稿。

审计工作底稿作为审计人员在整个审计过程中形成的审计工作记录资料，在编制上应满足内容和形式两方面的要求:
- 内容要求包括资料翔实、重点突出、繁简得当、结论明确；
- 形式要求包括要素齐全、格式规范、标识一致、记录清晰；
审计工作底稿三级复核制度是指以审计机构负责人、部门负责人和项目负责人(或项目经理)为复核人，依照规定的程序和要点对审计工作底稿进行逐级复核的制度。

下列两种情况需要查阅审计工作底稿的，不属于泄密情形:
- 法院、检察院及国家其他部门依法查阅，并按规定办理了必要手续；
- 审计协会或其委派单位对审计机构执业情况进行检查；
审计工作底稿按照一定的标准归入审计档案后，应交由档案管理部门进行管理，并确保审计档案的安全、完整。

审计流程

广义的审计流程是指审计机构和审计人员对审计项目从开始到结束的整个过程采取的系统性工作步骤，一般分为：

审计准备阶段。是指IT审计项目从计划开始，到发出审计通知书为止的期间。准备阶段工作一般包括: ①明确审计目的及任务；②组建审计项目组； ③搜集相关信息；④编制审计计划等。
审计实施阶段。是审计人员将项目审计计划付诸实施的期间。实施阶段主要完成工作包括：①深入调查并调整审计计划；②了解并初步评估IT内部控制；③进行符合性测试；④进行实质性测试等。
审计终结阶段。是整理审计工作底稿、总结审计工作、编写审计报告做出审计结论的期间。终结阶段的工作一般包括: ①整理与复核审计工作底稿；②整理审计证据；③评价相关IT控制目标的实现；④判断并报告审计发现；⑤沟通审计结果；⑥出具审计报告；⑦归档管理等。
后续审计阶段