信息系统项目管理师第四版学习笔记——信息系统治理

（一）IT治理

IT治理主要目标包括：与业务目标一致、有效利用信息与数据资源、风险管理。

1.IT治理体系

2.IT治理决策

3.IT治理体系框架

IT治理体系框架具体包括：IT战略目标、IT治理组织、IT治理机制、IT治理域、IT治理标准和IT绩效目标等部分，形成一整套IT治理运行闭环。

IT战略目标是指为实现IT价值和目标，使组织从IT投入中获得最大收益，而针对IT与业务关系、IT决策、IT资源利用、IT风险控制等方面制定的目标。

T治理组织是界定组织中各相关主体在各自方面的治理范围、责权利及其相互关系的准则，它的核心是治理机构(如IT治理委员会等)的设置和权限的划分。各治理机构职权的分配以及各机构间的相互协调，它的强弱直接影响到治理的效率和效能，对IT治理效率起着决定性的作用。

IT治理机制是IT治理决策机制、执行机制、风险控制机制、协调机制的综合体，各机制之间是相辅相成、相互促进的关系。

T治理域是在IT治理的规则之下，对组织的IT资源进行整合与配置，根据IT目标所采取的行动。IT治理域内容包括IT信息系统的计划、构建、运维与监控等。

T治理标准包括IT治理基本规范、IT治理实施参照、IT治理评价体系和IT治理审计方法等方面，作为组织实施IT治理最佳实践和对标依据。

IT绩效目标关注IT价值的实现，评价IT规划与IT构建过程中是否满足业务需求以及构建过程中的工期、成本、质量是否达到目标。

4.IT治理核心内容

IT治理本质上关心：①实现IT的业务价值；②IT风险的规避。

IT治理的核心内容包括六个方面：组织职责、战略匹配、资源管理、价值交付、风险管理和绩效管理。

组织职责指组织参与IT决策与管理的所有人员的集合，明确组织信息部门和业务部门之间的关系和责任，正确划分信息系统的所有者、建设者、管理者和监控者。

IT治理的一个重要内容，是使组织的IT建设与组织战略相匹配，也就是通常所说的“战略匹配”。而战略匹配是IT为组织贡献业务价值的重要驱动力。

资源管理的主要功能是确保用户对组织的应用系统和基础设施都有良好的理解和应用，优化IT投资、IT资源(人、应用系统、信息、基础设施)的分配，做好人员的培训、发展计划，以满足组织的业务需求。

通过对IT项目全生命周期的管理，确保IT能够按照组织战略实现预期的业务价值。重点是对整个交付周期成本的控制和IT业务价值的实现，使IT项目能够在预算时间、成本范围内，按预定的质量要求完成。价值交付即是创造业务价值。

风险管理是IT治理中非常重要的内容。风险管理是确保IT资产的安全和灾难的恢复、组织信息资源的安全以及人员的隐私安全。风险管理即是保护业务价值。

没有绩效管理IT治理中任何一个域都不可能有效地进行管理。绩效管理主要是追踪和监视IT战略、IT项目的实施、信息资源的使用、IT服务的提供以及业务流程的绩效。

5.IT治理机制

建立IT治理机制的原则包括：简单、透明、适合。

IT指导委员会要吸纳有才干的业务经理，使之负责组织范围的IT治理决策，并在IT原则中加入严格的成本控制；

谨慎管理组织的IT架构和业务架构，以降低业务成本；

设计严格的架构例外处理流程，使昂贵的例外最小化，并可以从中不断学习；

建立集中化的IT团队，用以管理基础设施、架构和共享服务；

应用连接IT投资和业务需求的流程，既可以增加透明度，又可以权衡中心和各运营部门或团队的需求；

设计需要对IT投资进行集中协作和核准的IT投资流程；

设计简单的费用分摊和服务水平协议机制，以明确分配IT开支等。

组织开展IT治理活动的主要任务聚焦在：全局统筹、价值导向、机制保障、创新发展、文化助推。

6.IT治理方法与标准

1）ITSS中IT服务治理

我国IT治理标准化研究是围绕IT治理研究范畴，为IT过程、IT资源、信息与组织战略、组织目标的连接提供了一种机制。通过指导、实施、管理和评价等过程，确保IT支持并拓展组织的战略和目标。在IT治理目标和边界确定的情况下，IT治理围绕决策体系、责任归属、管理流程、内外评价四个方面，通过相关框架体系的研究，规范和引导组织的IT治理完成“做么”“如何做”“怎么样”“如何评价”等问题。

2）信息和技术治理框架

COBIT是面向整个组织的信息和技术治理及管理框架，由成立于1969年的美国信息系统审计与控制协会(ISACA)组织设计并编制的。COBIT框架对治理和管理进行了明确区分，这两个学科涵盖不同的活动，需要不同的组织结构，并服务于不同目的：①治理确保对利益干系人的需求、条件和选择方案进行评估，以确定全面均衡、达成共识的组织目标：通过确定优先等级和制定决策来设定方向；根据议定的方向和目标监控绩效与合规性；②管理是指按治理设定的方向计划、构建、运行和监控活动，以实现组织目标。

3）IT治理国际标准

该标准为组织的治理机构(可包括所有者、董事、合伙人、执行经理或类似机构)的成员提供了关于在其组织内有效、高效和可接受地使用信息技术(IT)的指导原则。该标准包括：①责任。组织内的个人和团体理解并接受他们在IT的供应和需求方面的责任。那些负有行动责任的人也有权执行这些行动。②战略。组织的业务战略考虑到IT的当前和未来的能力；使用IT的计划满足了组织业务战略的当前和持续的需求。③收购。IT收购是出于正当的理由，在适当和持续的分析基础上，有明确和透明的决策。在短期和长期内，在利益、机会、成本和风险之间都存在着适当的平衡。④性能。IT适合于支持组织，提供满足当前和未来业务需求所需的服务、服务水平和服务质量。⑤一致性。IT的使用符合所有强制性法律和法规。政策和实践有明确的定义、实施和执行。⑥人的行为。IT团队的政策、实践和决策表明了对人的行为的尊重，包括所有“在这个过程中的人”的当前和不断发展的需求。

该标准规定治理机构应通过评估、指导和监督三个主要任务来治理IT。

（二）IT审计

1.审计基础

IT审计的目的是指通过开展IT审计工作，了解组织IT系统与IT活动的总体状况，对组织是否实现IT目标进行审查和评价，充分识别与评估相关IT风险，提出评价意见及改进建议，促进组织实现IT目标。

组织的IT目标主要包括：

组织的IT战略应与业务战略保持一致；

保护信息资产的安全及数据的完整、可靠、有效；

提高信息系统的安全性、可靠性及有效性；

合理保证信息系统及其运用符合有关法律、法规及标准等的要求。

IT审计风险主要包括固有风险、控制风险、检查风险和总体审计风险。

固有风险：是指IT活动不存在相关控制的情况下，易于导致重大错误的风险。可从IT组织层面控制、一般控制及应用控制三个方面分析固有风险。固有风险是IT活动本身所具有的，审计人员只能评估，却无法控制或影响它；固有风险的衡量是主观的、复杂的，不同的IT活动其固有风险水平不同。

控制风险：是指与IT活动相关的内部控制体系不能及时预防或检查出存在的重大错误的风险。可从IT组织层面控制、一般控制及应用控制三个方面分析控制风险。与内部控制制度执行的有效性有关，与审计无关，属于内部控制的范畴，审计人员只能评估其风险水平而不能对其实施控制和影响。其风险水平的衡量由于需要兼顾传统内部控制的思想和计算机系统管理的知识，因而较为复杂且难以准确计量。

检查风险：是指通过预定的审计程序未能发现重大、单个或与其他错误相结合的风险。由于IT审计规范不完善、审计人员自身或者技术原因等影响审计测试正确性。

2.审计方法与技术

法律法规：《中华人民共和国审计法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等。

审计准则：《信息系统审计指南——计算机审计实务公告第34号》《第2203号内部审计具体准则——信息系统审计》等。

IT审计国际标准：GB/T 34960.4《信息技术服务治理第4部分：审计导则》等。

组织内部控制：《组织内部控制基本规范》《组织内部控制应用指引第18号——信息系统》等。

行业规范：《商业银行信息科技风险管理指引》《证券期货经营机构信息技术治理工作指引(试行)》《保险公司信息化工作指引(试行)》等。

IT审计方法就是为了完成IT审计任务所采取的手段。在IT审计工作中，要完成每一项审计工作，都应选择合适的审计方法。常用审计方法包括：访谈法、调查法、检查法、观察法、测试法和程序代码检查法等。

常用的IT审计技术包括风险评估技术、审计抽样技术、计算机辅助审计技术及大数据审计技术。

IT风险评估技术一般包括：风险识别技术（德尔菲法、头脑风暴法、检查表法、SWOT技术及图解技术等）、风险分析技术（定性分析、定量分析）、风险评价技术（单因素风险评价、总体风险评价）、风险应对技术（云计算、冗余链路、冗余资源、系统弹性伸缩、两地三中心灾备、业务熔断限流等）。

审计抽样是指审计人员在实施审计程序时，从审计对象总体中选取一定数量的样本进行测试，并根据测试结果，推断审计对象总体特征的一种方法。审计抽样适用于时间及成本都不允许对既定总体中的所有交易或事件进行全面审计时。“总体”是指需要检查的全部事项，“样本”是用于测试总体的子集。

计算机辅助审计(Computer Assisted Audit Tools,CAAT),也称为利用计算机审计，是指审计人员在审计过程和审计管理活动中，以计算机为工具来执行和完成某些审计程序和任务的一种新兴审计技术。它并非电算化系统审计特有的一种方法，对手工系统的审计也可应用这些技术。

大数据审计是指遵循大数据理念，运用大数据技术方法和工具，利用数量巨大、来源分散、格式多样的数据，开展跨层级、跨系统、跨部门和跨业务等的深入挖掘与分析，提升审计发现问题、评价判断、宏观分析的能力。大数据审计技术包括大数据智能分析技术、大数据可视化分析技术及大数据多数据源综合分析技术等。

审计证据是指由审计机构和审计人员获取，用于确定所审计实体或数据是否遵循既定标准或目标，形成审计结论的证明材料。审计证据是审计意见的支柱，是审计人员形成审计结论的基础。审计人员必须基于足够、相关和适当的审计证据，为其审计观点提供合理的结论。审计证据还可以被作为解除或追究被审计人经济责任的依据，并且审计证据还是控制审计工作质量的关键。

审计工作底稿是指审计人员对制订的审计计划、实施的审计程序、获取的相关审计证据，以及得出的审计结论做出的记录。审计工作底稿是审计证据的载体，是审计人员在审计过程中形成的审计工作记录和获取的资料。它形成于审计过程，也反映整个审计过程。

3.审计流程

审计流程的作用包括：①有效地指导审计工作；②有利于提高审计工作效率；③有利于保证审计项目质量；④有利于规范审计工作。
广义的审计流程是指审计机构和审计人员对审计项目从开始到结束的整个过程采取的系统性工作步骤，一般分为审计准备、审计实施、审计终结及后续审计四个阶段

审计准备阶段：①明确审计目的及任务；②组建审计项目组；③搜集相关信息；④编制审计计划等。

审计实施阶段：①深入调查并调整审计计划；②了解并初步评估IT内部控制；③进行符合性测试；④进行实质性测试等。

审计终结阶段：①整理与复核审计工作底稿；②整理审计证据；③评价相关IT控制目标的实现；④判断并报告审计发现；⑤沟通审计结果；⑥出具审计报告；⑦归档管理等。

后续审计阶段：续审计是在审计报告发出后的一定时间内，审计人员为检查被审计单位对审计问题和建议是否已经采取了适当的纠正措施，并取得预期效果的跟踪审计。实施后续审计，可不必遵守审计流程的每一过程和要求，但必须依法依规进行检查、调查，收集审计证据，写出后续审计报告。

4.审计内容

组织管理的审计内容：

●组织是否设立项目管理机构或明确项目管理职能的归属
●组织是否制定了项目管理制度与流程
●组织级的项目管理制度与流程是否全面合理
●是否对信息系统项目团队的组成、人员的配备及能力等进行要求

组织管理的审计方法：

●访谈组织级项目管理相关人员，了解组织级信息系统相关组织机构、项目管理制度及流程等的制定情况
●检查组织级信息系统相关组织机构的架构、职责与权限设计的合理性

项目启动与计划的审计内容：

●项目启动会的组织是否规范
●项目管理目标是否清晰定义及跟踪
●是否建立与项目规模及重要程度相适应的项目
管理团队并明确职责
●团队人员是否稳定
●是否存在职责不相容的情况
●项目人员配备及能力是否满足要求
●是否制订项目计划
●项目计划是否完备

项目启动与计划的审计方法：

●访谈项目负责人，了解项目启动与计划的总体情况
●取得项目组织机构图、职责及人员配备，检查项目组织机构图、人员职责对应表的合理性；检查团队人员变更的情况
●取得项目资料(如项目合同、工作说明书、项目计划等),检查文档的编制是否符合要求，内容的全面性及合理性

项目实施与控制的审计内容：

●项目干系人是否参与到项目活动中，发挥作用
●是否建立了科学、高效的项目沟通机制
●项目的资源是否有效利用
●项目是否进行了必要的配置管理
●项目的采购是否规范
●项目是否建立了绩效评价体系
●是否建立了适合组织的风险管理方法
●各阶段产生的文档是否合理、真实
●项目是否采取措施，有效地制订了进度计划，控制进度的活动
●项目是否建立规划质量、实施质量保证、实施质量控制的控制手段

项目实施与控制的审计方法：

●访谈项目相关人员，了解项目实施与控制的总体情况
●检查与观察项目现场物理环境的控制情况
●访谈项目相关人员，询问文档有关内容
●取得项目相关文档(如项目审查记录和发布通知、项目有效性审查评估记录、项目安全事件记录等),检查文档编制的规范性以及相关控制的合理性
●取得应用系统的测试资料，检查测试过程控制的规范性，以及测试报告编制的合理性等

项目收尾管理的审计内容：

●项目验收申请材料是否完整且规范
●是否建立项目验收流程
●项目验收评审流程是否规范
●是否在规定时间内完成项目验收
●项目质量是否达标
●第三方项目质量检测机构的流程是否规范，报告内容是否完整

项目收尾管理的审计方法：

●访谈项目验收相关人员，了解项目收尾相关情况
●取得项目验收相关材料，检查材料编写的规范性、内容的合理性和全面性

工程方法审计的审计内容：

●是否真实地进行了可行性调研
●可行性阶段产生文档是否合理
●是否对系统实施的技术方案和方法进行过论证
●是否编制项目需求计划?内容是否全面、合理
●是否编制概要设计文档?内容是否全面合理
●是否进行产品技术方案选型
●是否制定编码规范?内容是否全面合理
●是否每个开发人员都熟悉编码规范
●是否制订测试计划
●测试计划的内容是否全面、合理
●上线前是否对系统进行了确认测试，填写业务测试验收文档?是否得到客户的确认
●是否有系统运行的日志

工程方法审计的审计方法：

●访谈相关人员了解项目可行性研究情况
●取得项目投资报告及其审批文档，检查手续费的规范性、完整性
●检查信息来源的真实性及内容的合理性
●取得项目技术方案及其论证文档，检查对系统实施的技术方案和方法论证内容的全面性、合理性
●访谈相关人员，了解项目需求计划制订情况
●取得项目需求计划及评审、批准的相关记录
●检查项目需求计划的内容是否全面合理