【高项第4版】【第3章】《信息系统治理》知识点梳理

3.1IT治理

IT治理是描述组织采用有效的机制对信息技术和数据资源开发利用，平衡信息化发展和数字化转型过程中的风险，确保实现组织的战略目标的过程。

IT治理是指组织在开发利用信息技术过程中，为鼓励组织所期望的组织行为而明确决策权归属和责任担当的框架，其目标是通过IT治理的决策权和责任影响组织所期望的组织行为。

通俗点说就是IT治理关注两个方面的问题，“什么”和“谁”。“什么”是指IT治理应该作出哪些决策，IT治理的“谁”则是指这些决策分别应该由谁来作出。

3.1.1IT治理基础

1.IT治理的驱动因素

驱动因素原文太长，用Chatgpt精简了下。

1. IT治理确保组织的IT投资有效性。
2. IT的价值发挥弹性较大且融入组织的各个领域中。
3. IT治理推动组织充分理解IT的价值，促进其价值挖掘和融合利用。
4. IT的发展演进以及新兴信息技术的引入，可为组织提供大量新的发展空间和业务机会等。
5. IT价值不仅依赖于好的技术，还需要良好的价值管理和场景化的业务融合应用。
6. IT治理需要明确责权利和清晰的管理来确保IT价值实现。
7. 成熟度较高的组织以不同方式治理IT，获得了领域或行业领先的业务发展效果。
8. 高级管理层的管理范围有限，无法深入到IT每项管理当中。

IT治理的内涵

1. IT治理是组织上层管理的一个有机组成部分，体现了对信息相关活动的关注。
2. IT治理强调数字目标与组织战略目标保持一致，提供技术或控制方面的支持。
3. IT治理保护利益相关者的权益，对风险进行有效管理，平衡成本和收益。
4. IT治理主要涉及管理和制衡信息系统与业务战略匹配、投资、安全和绩效评价等方面。
5. IT治理需要构建完善的IT治理架构，包括管理层、组织结构、制度、流程、人员、技术等多个方面。

2.IT治理的目标和价值

与业务目标一致，有效利用信息与数据资源、风险管理。

3.IT治理的管理层次

最高管理层、执行管理层、业务与服务执行层。

• 最高管理层的主要职责包括：证实IT战略与业务战略是否一致；证实通过明确的期望和衡量手段交付IT价值；指导IT战略、平衡支持组织当前和未来发展的投资；指导信息和数据资源的分配。
• 执行管理层的主要职责包括：制定IT的目标；分析新技术的机遇和风险；建设关键过程与核心竞争力；分配责任、定义规程、衡量业绩；管理风险和获得可靠保证等。
• 业务及服务执行层的主要职责包括：信息和数据服务的提供和支持；IT基础设施的建设和维护；IT需求的提出和响应。

3.1.2 IT治理体系

IT治理的核心是关注IT定位和信息化建设与数字化转型的责权利划分。

• IT定位：IT应用的期望行为与业务目标一致；
• IT治理架构：业务和IT在治理委员会中的构成、组织IT与各分支机构的IT权责边界等；
• IT治理内容：投资、风险、绩效、标准和规范等；
• IT治理流程：统筹、评估、指导、监督；IT治理效果(内外评价)等。

1.IT治理关键决策

原则、IT架构、IT基础设施、业务应用需求、IT投资和优先顺序。

2. IT治理体系框架

具体包括：IT战略目标、IT治理组织、IT治理机制、IT治理域、IT治理标准和IT绩效目标等部分。

3. IT治理核心内容

IT治理本质上关心：①实现IT的业务价值；②IT风险的规避。

核心内容包括六个方面：组织职责、战略匹配、资源管理、价值交付、风险管理和绩效管理。

• 组织职责：明确所有人员的责任和关系，正确划分信息系统的所有者、建设者、管理者和监控者。
• 战略匹配：将IT建设与组织战略相匹配，为组织贡献业务价值。
• 资源管理：优化IT资源分配，满足组织的业务需求，培训和发展人员。
• 价值交付：确保IT项目按预期实现预定的业务价值，创造业务价值。
• 风险管理：确保IT资产安全，保护组织信息资源和人员隐私安全。
• 绩效管理：追踪和监视IT战略、项目的实施、信息资源的使用、IT服务的提供以及业务流程的绩效，实现组织战略目标。

4. IT治理机制经验

IT治理机制的原则包括：简单，透明，适合。

简单：机制应该简明地定义责任和目标，使每个人都能够理解其角色和责任。

Chatgpt：这种简洁性确保了所有人都在同一个方向上努力，避免产生混乱和不必要的麻烦。

透明：有效的机制依赖于正式的程序，确保决策的透明性和公正性。

Chatgpt：如果有人受到治理决策的影响，或是想要挑战决策，他们需要明确了解机制如何工作。

适合：机制应该鼓励那些处于最佳位置的人去制定特定的决策。

Chatgpt：这意味着机制应该根据组织的特点和需要进行量身定制，确保机制是基于具体的情况而制定的，并且能够切实适应变化。

3.1.3 IT治理任务

IT治理活动定义为统筹、指导、监督和改进。

组织开展IT治理活动的5个方面：全局统筹、价值导向、机制保障、创新发展、文化助推。

3.1.4 IT治理方法与标准

国信息技术服务标准库(ITSS)中IT治理系列标准、信息和技术治理框架(COBIT)和IT治理国际标准(ISO/IEC 38500)。

个人觉得方法和标准是非常可能会出题的

1）ITSS中IT服务治理

这是我国制定的标准，是规范，很重要

GB/T 34960.1《信息技术服务治理第1部分：通用要求》规定了IT治理的模型和框架、实施IT治理的原则，以及开展IT顶层设计、管理体系和资源的治理要求。

该标准可用于：

• ①建立组织的IT治理体系，并实施自我评价；
• ②开展信息技术审计；
• ③研发、选择和评价IT治理相关的软件或解决方案；
• ④第三方对组织的IT治理能力进行评价。

该标准定义的IT治理框架包含信息技术顶层设计、管理体系和资源三大治理域。

GB/T 34960.2《信息技术服务治理第2部分：实施指南》提出了IT治理通用要求的实施指南，分析了实施IT治理的环境因素，规定了IT治理的实施框架、实施环境和实施过程，并明确顶层设计治理、管理体系治理和资源治理的实施要求。

该标准适用于：

• ①建立组织的IT治理实施框架，明确实施方法和过程；
• ②组织内部开展IT治理的实施；
• ③IT治理相关软件或解决方案实施落地的指导；
• ④第三方开展IT治理评价的指导。

2）信息和技术治理框架

COBIT中治理目标被列入评估、指导和监控(EDM)领域，在这个领域，治理机构将评估战略方案，指导高级管理层执行所选的战略方案并监督战略的实施。

管理目标分为四个领域：

• ①调整、规划和组织(APO)针对IT的整体组织、战略和支持活动；
• ②内部构建、外部采购和实施(BAI)针对IT解决方案的定义、采购和实施以及它们到业务流程的整合；
• ③交付、服务和支持(DSS)针对IT服务的运营交付和支持，包括安全；
• ④监控、评价和评估(MEA)针对IT的性能监控及其与内部性能目标、内部控制目标和外部要求的一致程度。

治理系统的组件包括：

• ①流程。流程描述了一组为实现某种目标而安排有序的实践和活动，并生成了一组支持实现整体IT相关目标的输出内容。
• ②组织结构。组织结构是组织的主要决策实体。
• ③原则、政策和程序。原则、政策和程序用于将理想行为转化为日常管理的实用指南。
• ④信息。在任何组织中，信息无处不在，包括组织生成和使用的全部信息。COBIT侧重于有效运转组织治理系统所需的信息。
• ⑤文化、道德和行为。个人和组织的文化、道德和行为作为治理和管理活动的成功因素，其价值往往被低估。
• ⑥人员、技能和胜任能力。人员、技能和胜任能力对做出正确决策、采取纠正行动和成功完成所有活动而言是必不可少的。
• ⑦服务、基础设施和应用程序。服务、基础设施和应用程序包括为组织提供IT处理治理系统的基础设施、技术和应用程序。

COBIT给出了建议设计流程：

• ①了解组织环境和战略；
• ②确定治理系统的初步范围；
• ③优化治理系统的范围；
• ④最终确定治理系统的设计。

3）IT治理国际标准

IT治理标准主要分为以下六个方面：

1. 责任：明确组织内个人和团体在IT供应和需求方面的责任和权利。
2. 战略：确保组织的业务战略与IT的能力和计划相匹配。
3. 收购：在适当的分析和决策基础上进行IT收购。
4. 性能：提供满足当前和未来业务需求的IT系统服务。
5. 一致性：确保IT的使用符合法律法规，并有明确的定义、实施和执行。
6. 人的行为：尊重所有参与IT治理过程中人的需求，建立健康的治理文化和良好的声誉。

IT治理机构应该实施的三个步骤：评估、指导和监督。

• 评估：包括审查和判断当前和未来的IT使用，考虑外部和内部压力，同时考虑组织当前和未来的业务需要；
• 指导：包括制定和执行IT的战略和政策，建立良好的行为和治理文化；
• 监督：包括通过适当的测量系统来监测IT的表现，确保其业绩符合战略，特别是在业务目标方面，并确保IT符合外部义务和内部工作惯例等。

3.2 IT审计

IT审计重要性是指IT审计风险（固有风险、控制风险、检查风险）。

3.2.1 IT审计基础

2.IT审计目的

组织的IT目标主要包括：

• ①组织的IT战略应与业务战略保持一致；
• ②保护信息资产的安全及数据的完整、可靠、有效；
• ③提高信息系统的安全性、可靠性及有效性；
• ④合理保证信息系统及其运用符合有关法律、法规及标准等的要求。

3. IT审计范围

总体范围、组织范围、物理范围、逻辑范围等。

该小节最后一段，确定范围的过程归纳为如下：

了解总体情况；进行风险评估，确定主要IT风险；确定关键控制和流程；确定审计范围和目标。

4. IT审计人员

根据GB/T 34690.4《信息技术服务治理第4部分：审计导则》，对IT审计人员的要求包括职业道德，知识、技能、资格与经验，专业胜任能力及利用外部专家服务等方面。

5. IT审计风险

IT审计风险主要包括固有风险、控制风险、检查风险和总体审计风险。

如果这里出题估计会问属于什么审计风险，用Chatgpt归纳了一下。

固有风险：指与IT系统和业务有关的内部和外部因素所造成的风险，如错误配置、网络故障、电力中断等。

控制风险：指IT系统和业务中设计的控制措施无法有效防止或抵御固有风险所产生的风险。

检查风险：指审计人员或审计程序本身的缺陷或不足所导致的风险，如审计人员缺乏专业知识、审计程序不完善等。

总体审计风险：指在IT审计的整个过程中，各种风险综合作用而产生的审计风险。

3.2.2审计方法与技术

2. IT审计常用方法

常用审计方法包括：访谈法、调查法、检查法、观察法、测试法和程序代码检查法等。

3. IT审计技术

常用的IT审计技术包括风险评估技术、审计抽样技术、计算机辅助审计技术及大数据审计技术。

• 风险评估技术：风险识别技术、风险分析技术、风险评价技术、风险应对技术。
• 审计抽样技术：统计抽样、非统计抽样。
• 计算机辅助审计技术：如通用审计软件(GAS)、测试数据、实用工具软件、专家系统等。
• 大数据审计技术：大数据智能分析技术，大数据大数据可视化分析技术，大数据多数据源综合分析技术。

4. IT审计证据

审计证据的特性：充分性，客观性，相关性，可靠性，合法性。

5. IT审计底稿

审计工作底稿一般分为：综合类工作底稿、业务类工作底稿和备查类工作底稿。

3.2.3 审计流程

审计流程通常分为四个阶段：审计准备、审计实施、审计终结和后续审计。

使用百度文心一言归纳了下，发现还需要加强，所以还是用Chatgpt吧。

审计准备阶段：包括明确审计目的和任务、组建项目组、搜集相关信息、编制审计计划等。

审计实施阶段：是审计工作的核心环节，包括深入调查、了解IT内部控制、进行符合性测试和实质性测试等。

审计终结阶段：包括整理审计工作底稿、总结审计工作、编写审计报告和做出审计结论等。

后续审计阶段：是在审计报告发出后进行的跟踪审计，目的是检查被审计单位是否已采取适当纠正措施并取得预期效果。

3.2.4 审计内容

IT审计业务和服务通常分为IT内部控制审计和IT专项审计。