03-信息系统治理
03-信息系统治理
学习建议
2023年5月:2分选择
3.1 IT治理
目标:与业务目标一致、有效利用信息与数据资源、风险管理
管理层次:最高、执行、业务与服务
核心:关注IT定位和信息化建设与数字化转型的责权利划分
五项关键决策:IT原则、IT架构、IT基础设施、业务应用需求、IT投资和优先顺序
IT治理本质:业务价值、风险规避
IT治理体系框架:IT战略目标、IT治理组织、IT治理机制、IT治理域、IT治理标准、IT绩效目标
核心内容:组织职责、战略匹配、资源管理、价值交付、风险管理、绩效管理
原则:简单、透明、适合
任务:全局统筹、价值导向、机制保障、创新发展、文化内推
标准:IT治理系列标准、信息和技术治理框架(COBIT)、IT治理国际标准(1S0/IEC38500)
IT治理标准化研究:IT过程、IT资源、信息与组织战略、组织目标的连接机制。
四个方面:决策体系、责任归属、管理流程、内外评价
IT治理通用要求:自我评价、信息技术审计、相关软件或解决方案、第三方评价
治理模型:治理的内外部要求、治理主体、治理方法、信息技术及其应用的管理体系
三大治理域:信息技术顶层设计、管理体系、资源
IT治理实施指南
IT治理实施框架:实施环境、实施过程、治理域
评估、指导和监控(EDM)领域,董事会和执行管理层负责
管理目标4个领域:
APO-调整、规划、组织
BAI-内部构建、外部采购、实施
DSS-交付、服务、支持
MEA-监控、评价、评估
治理流程有董事会和执行管理层负责,管理流程由高级和中级管理层负责
高效和有效的IT治理系统是创造价值的起点
COBIT定义的IT治理系统设计因素:组织战略、组织目标、风险概况、IT相关问题、威胁环境、合规性要求、IT角色、IT采购模式、IT实施方法、技术采用战略、组织规模和未来因素
COBIT建议设计流程:
- 了解组织环境和战略
- 确定范围
- 优化范围
- 最终设计
ISO/IEC标准
标准包括:责任、战略、收购、性能、一致性、人的行为
三个主要任务:评估、指导、监督
3.2 IT审计
目的:了解状况、审查评价、评估风险、提出意见、促进实现目标
目标:战略一直、完整可靠有效、合规
审计范围:总体范围、组织范围、物理范围、逻辑范围、其他相关内容
审计人员要求:职业道德、知识、技能、资格与经验、专业胜任能力、利用外部专家服务
审计风险:固有风险、控制风险、检查风险、总体审计风险
固有:IT活动本身,无法控制影响
控制:内部执行的有效性,无法控制影响
检查:IT审计规范不完善造成影响
审计方法:访谈、调查、检查、观察、测试、程序代码检查
审计技术:风险评估、审计抽样、计算机辅助审计、大数据审计
审计证据:证明材料,审计工作质量的关键
审计证据特性:充分性、客观、相关、可靠、合法
审计工作底稿:记录文件,形成于审计过程
审计底稿作用:结论意见的直接依据、考核审计人员的依据、质量控制的基础、参考备查
审计底稿分类:综合类、业务类、备查类
三级复核制度:审计机构负责人、部门负责人、项目负责人
不属于泄密:部门依法查阅、审计协会检查
审计底稿归档由档案管理部门管理
审计流程:审计准备、审计实施、审计终结、后续审计
IT内部审计:组织层面IT控制、IT一般控制审计、应用控制审计
IT专项审计:特殊风险或需求
ccab cacc b
1,6.7.89