第三章信息系统治理
【点拨】IT 治理用于描述组织在信息化建设和数字化转型过程中是否采用有效的机制使得信息技术 开发利用能够完成组织赋予它的使命。IT 治理的核心是关注 IT 定位和信息化建设与数字化转型的责权利划 分。IT 治理本质上关心:①实现 IT 的业务价值;②IT 风险的规避。前者是通过IT 与业务战略匹配来实现的, 后者通过在组织内部建立相关职责来实现。两者都需要相关资源的支持,并对其绩效进行有效度量。IT 治理 的核心内容包括六个方面:组织职责、战略匹配、资源管理、价值交付、风险管理和绩效管理。
建立 IT 治理机制的原则包括:简单、透明、适合。
【2024上选择题】 ( ) 的 核 心 是 关 注IT 治理和信息化建设与数字化转型的责权利划分。
A:IT技术 B:IT管理
C:IT架构 D:IT治理
【参考答案】D
【2023下选择题】建立 IT治理机制时,需要遵守的原则不包括( )。
A: 透明
B: 简单
C: 适合
D: 公平
【参考答案】D
【点拨】组织开展 IT 治理活动的主要任务聚焦在如下五个方面:
(1)全局统筹。统筹规划IT治理的目标范围、技术环境、发展趋势和人员责权利。组织需要适应当前 信息环境和未来发展趋势,保证利益相关者理解和接受IT 的战略、目标和发展方向。组织需要把 IT 治理作 为组织治理的组成部分,建立IT 治理机构,并明确组织负责人对IT 治理工作负责。组织还需要关注IT 发展 的规划、实施、检查和改进全过程,重点包括①制订满足可持续发展的IT 蓝图;②实施科学决策、集约管理 的策略,实现横向的业务集成和纵向的业务管控;通过内外部的监督,确保IT 与业务的一致性和适用性;③ 建立适应内外部信息环境变化的持续改进和创新机制。
(2)价值导向。价值导向包括基于实现有效收益,确保预期收益清晰理解,明确实现收益的问责机制。 组织需要建立IT 投资的价值框架,确保在可承担成本和可接受风险水平的基础上,实现 IT 的战略目标。确 保 IT 治理符合组织治理的价值导向,明确战略投资方向,以及由投资产生的IT 服务、资产和其他资源。组 织需要建立价值递送规则,确保利益相关者明确相应的权利和义务,包括:①认可信息技术、信息系统和数 据在组织中的价值;②识别投资目录,并以相应的方式进行评估和管理;③对关键指标进行设定和监督,并 对变化和偏差做出及时回应;④权衡实施成本与预期效益,并随组织内外部环境的变化及时调整。
(3)机制保障。机制保障是指组织应对自身IT 发展进行有效管控,保证IT 需求与实现的协调发展,并 使 IT 安全和风险得到有效的识别、管理、防范和处置。组织需要建立适合组织特点的机制保障方法,满足疏 漏互补、协同发展、监督改进和安全风险可控的原则,避免扭曲决策目标方向。组织需要明确管理责任,明 晰上下左右权利关系,落实责任制和各项措施。组织可以根据相关法律法规、行业管理和上级监管机构发布 的规范文件要求,制定本组织的信息技术治理制度并实施,重点聚焦在:①指导建立规范过程管理和痕迹管 理,并向利益相关者公开质量设定举措;②评审IT 管理体系的适宜性、充分性和有效性;③审计IT 完整性、 有效性和合规性;④监督由审计和管理评审,提出改进内容的实施。
(4)创新发展。创新发展是指利用IT创新开拓业务领域,提升管理水平,改进质量、绩效和降低成本, 确保实现战略目标的灵活性和对环境变化的适应性。组织需要通过建立围绕知识资产的创新体系,支撑组织 的技术进步、管理提升和业务模式变革。组织可以持续保持管理团队的创造技能,并指导培养各级成员的发 问、观察、交际和实验能力。组织可以建立支持创新的人员、技术、制度、资金、风险、文化和市场需求的 机制体系,包括:①创造基于业务团队与IT 团队的深度沟通以及对内外部环境感知和学习的技术创新环境;
②确保技术发展、管理创新、模式革新的协调联动;③对组织创新能力进行评估,并对关键创新要素进行分 析和评价;④通过促进和创新有效抵御风险,并确保创新是组织文化的组成部分。
(5)文化助推。文化助推是指组织与利益相关者沟通IT 治理的目标、策略和职责,营造积极向上、沟 通包容的组织文化。组织需要引导组织人员适应IT 建设所带来的变革、遵循道德和职业规范、端正态度和规 范行为。组织可以要求各级管理层把符合信息技术战略发展的文化建设作为其职责的一部分。按照文化营造、 实施和改进的生命周期,保障利益相关者的沟通和透明,包括:①建立与IT 发展相适应的组织文化发展策 略;②营造包括知识、技术、管理、情操在内的积极向上的文化氛围;③根据组织内部环境的变化,评估并 改进组织文化的管理。
【2024上选择题】 IT 治理活动的主要任务聚焦在全局统筹,价值导向,机制保障,创新发展,文化助 推五个方面。其中“指导建立规范过程管理和痕迹管理,并向利益相关者公开质量设定举措”属于( )的内 容。
A: 机制保障
B: 创新发展
C: 价值导向
D: 全局统筹
【参考答案】A
【点拨】GB/T 34960.1《信息技术服务治理第1部分:通用要求》规定了IT 治理的模型和框架、 实施 IT 治理的原则,以及开展IT 顶层设计、管理体系和资源的治理要求。该标准可用于:建立组织的IT 治 理体系,并实施自我评价;开展信息技术审计;研发、选择和评价IT 治理相关的软件或解决方案;三方对组 织的 IT 治理能力进行评价。各级各类信息化主管部门可根据法律法规、部门规章的要求,使用该标准对所管 辖各类组织的IT治理提出要求,并进行评估、指导和监督。
【2023上选择题】 GB/T34960.1 中定义了IT 治 理 框 架 , ( ) 不 属 于IT 治理框架的三大治理域。
A: 管理体系
B: 技术体系
C: 顶层设计
D: 资源
【参考答案】B
【点拨】IT 审计的目的是指通过开展IT 审计工作,了解组织IT 系统与IT 活动的总体状况,对组织 是否实现 IT目标进行审查和评价,充分识别与评估相关IT 风险,提出评价意见及改进建议,促进组织实现 IT 目标。
一般来说,IT审计范围需要根据审计目的和投入的审计成本来确定。IT审计范围的确定如下表所示。
| IT审计范围 | 说明 |
| 总体范围 | 需要根据审计目的和投入的审计成本来确定 |
| 组织范围 | 明确审计涉及的组织机构、主要流程、活动及人员等 |
| 物理范围 | 具体的物理地点与边界 |
| 逻辑范围 | 涉及的信息系统和逻辑边界 |
| 其他相关内容 | …… |
【2024上选择题】在确定IT 审计范围时,( )需要根据审计的目的和投入的审计成本来确定。
A: 逻辑范围
B: 物理范围
C: 组织范围
D: 总体范围
【参考答案】D
【2023上选择题】 ( ) 不 属 于IT 审计的目标。
A: 对 IT目标的实现进行审查和评价
B: 识别与评估IT 风险
C: 保护信息资产的安全
D: 提出评价意见及改进
【参考答案】C
【点拨】常用的IT审计技术包括风险评估技术、审计抽样技术、计算机辅助审计技术及大数据审计 技 术 。
【2024上选择题】 IT 审计常用的审计技术不包括( )。
A: 产品分析技术
B: 审计抽样技术
C: 风险评估技术
D: 大数据审计技术
【参考答案】A
【点拨】通常,审计流程的含义有广义和狭义两种之分。狭义的审计流程是指审计人员在取得审计 证据、完成审计目标、得出审计结论过程中所采取的步骤和方法。广义的审计流程是指审计机构和审计人员 对审计项目从开始到结束的整个过程采取的系统性工作步骤,一般分为审计准备、审计实施、审计终结及后 续审计四个阶段,每个阶段又包含若干具体内容。
(1)审计准备阶段。 IT审计准备阶段是指IT 审计项目从计划开始,到发出审计通知书为止的期间。准 备阶段是整个审计过程的起点和基础,准备阶段的工作是否充分、合理、细致,对提高审计工作效率,保证 审计工作质量至关重要。准备阶段工作一般包括:①明确审计目的及任务:②组建审计项目组;③搜集相关 信息;④编制审计计划等。
(2)审计实施阶段。 IT 审计实施阶段是审计人员将项目审计计划付诸实施的期间。此阶段的工作是审 计全过程的中心环节,是整个审计流程的关键阶段,关系到整个审计工作的成败。实施阶段主要完成工作包 括:①深入调查并调整审计计划;②了解并初步评估IT 内部控制;③进行符合性测试;④进行实质性测试等。
(3)审计终结阶段。 IT 审计终结阶段是整理审计工作底稿、总结审计工作、编写审计报告、做出审计 结论的期间。审计人员应运用专业判断,综合分析所收集到的相关证据,以经过核实的审计证据为依据,形 成审计意见、出具审计报告。终结阶段的工作一般包括:①整理与复核审计工作底稿;②整理审计证据;③ 评价相关 IT 控制目标的实现:④判断并报告审计发现;⑤沟通审计结果;⑥出具审计报告;⑦归档管理等。
(4)后续审计阶段。后续审计是在审计报告发出后的一定时间内,审计人员为检查被审计单位对审计问 题和建议是否已经采取了适当的纠正措施,并取得预期效果的跟踪审计。后续审计并不是一次新的审计,而 是前一次审计的有机组成部分。实施后续审计,可不必遵守审计流程的每一过程和要求,但必须依法依规进 行检查、调查,收集审计证据,写出后续审计报告。
【2024上选择题】在IT审计流程中,“深入调查并调整审计计划”属于( )的工作内容之一。
A: 审计终结阶段
B: 审计准备阶段
C: 后续审计阶段
D: 审计实施阶段
【参考答案】D
【2023下选择题】关于审计流程的描述,不正确的是:( )。
A: 审计流程分为审计准备、审计实施、审计终结及后续审计四个阶段
B: 后续审计时需要遵守审计流程的每一过程和要求
C: 审计终结阶段总结审计工作、编写审计报告并做出审计结论
D: 审计实施阶段的工作是审计全过程的中心环节 【参考答案】B
【点拨】IT 审计业务和服务通常分为IT 内部控制审计和IT 专项审计。IT 内部控制审计主要包括组 织层面 IT 控制审计、IT 一般控制审计及应用控制审计;IT 专项审计主要是指根据当前面临的特殊风险或者 需求开展的IT 审计,审计范围为IT 综合审计的某一个或几个部分。有关IT 内部控制审计与 IT 专项审计的 具体内容如下表所示。
| 大类名称 | 子类名称 | 审计内容 |
| IT内部控制 审计 | 组织层面IT控制审计、 IT一般控制审计及应用 控制审计 | ●组织层面IT控制审计主要指对IT战略、组织、架构、业务连 续性、风险管理、外包管理、网络与信息安全及监督管理等进行 审计 ●IT一般控制审计主要是指针对与应用系统、数据库、操作系 统、网络相关的策略和措施等进行审计 ●应用控制审计是指针对业务流程层面运行的人工或自动化程 序进行审计,主要包括输入控制、处理控制和输出控制的审计 |
| IT专项审计 | 信息系统生命周期审计 | 主要是对信息系统的规划、设计、开发、测试、运行和维护等进 行审计 |
| 信息系统开发过程审计 | 主要围绕信息系统规划、设计、建设、实施是否符合IT架构和 战略进行评估和监督 | |
| 信息系统运行维护审计 | 主要针对IT运维能力、IT运维流程策划、实施、监控改进等情 况进行审计,内容包括基础设施的运行、系统的运行、维护、质 量保证及IT服务管理等 | |
| 网络与信息安全审计 | 主要以网络与信息安全为核心,围绕安全相关的组织、人员、系 统、设备和环境等,重点关注网络与信息安全相关流程、制度的 执行情况,对相关法律法规的遵从性,包括适用的数据保护,个 人隐私保护等合规要求 | |
| 信息系统项目审计 | 主要是通过对信息系统项目管理过程的评价,向管理层提供信息 系统项目管理过程得到控制、监督并遵循最佳实践要求的合理保 证 | |
| 数据审计 | 通过控制活动,负责定期分析、验证、讨论、改进数据安全管理 相关的政策、标准和活动 | |
| … | … |
【2024上选择题】 IT 审计业务和服务通常分为 IT 内部控制审计和IT 专项审计,( )属于IT 内部控 制审计。
A: 应用控制审计
B: 数据审计
C: 网络与信息安全审计
D: 信息系统生命周期审计
【参考答案】A
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
