软考高项（三）信息系统治理 ★重点集萃★

个人主页 ：Fish_Vast
个人格言 ：说到做到，言出必行
推荐专栏 ：SpringBoot
推荐专栏 ：Java基础
推荐专栏 ：软考
博客描述 ：行好每一次程，写好每一篇文！
本篇简介 ：分享软考高项核心考点之信息系统治理内容。

1、IT治理是描述组织采用有效的机制对信息技术和数据资源开发利用，平衡信息化发展和数字化转型过程中的风险，确保实现组织的战略目标的过程。

2、IT治理主要目标包括：与业务目标一致、有效利用信息与数据资源、风险管理。
（1）与业务目标一致。IT治理要从组织目标和数字战略中抽取信息和数据需求和功能需求，形成总体的IT治理框架和系统整体模型，为进一步系统设计和实施奠定基础，保证信息技术开发利用跟上持续变化的业务目标。
（2）有效利用信息与数据资源。通过IT治理对信息与数据资源的管理职责进行有效管理，保证投资的回收，并支持决策。
（3）风险管理。IT治理重视风险管理，通过制定信息与数据资源的保护级别，强调对关键的信息与数据资源，实施有效监控和事件处理。

3、IT治理管理层大致可分为三层：最高管理层、执行管理层、业务与服务执行层。
（1）最高管理层的主要职责包括：证实IT战略与业务战略是否一致；证实通过明确的期望和衡量手段交付IT价值；指导IT战略、平衡支持组织当前和未来发展的投资；指导信息和数据资源的分配。
（2）执行管理层的主要职责包括：制定IT的目标；分析新技术的机遇和风险；建设关键过程与核心竞争力；分配责任、定义规程、衡量业绩；管理风险和获得可靠保证等。
（3）业务及服务执行层的主要职责包括：信息和数据服务的提供和支持；IT基础设施的建设和维护；IT需求的提出和响应。

4、IT治理的核心是关注IT定位和信息化建设与数字化转型的责权利划分。IT治理体系的具体构成包括：
① IT定位：IT应用的期望行为与业务目标一致；
② IT治理架构：业务和IT在治理委员会中的构成、组织IT与各分支机构的IT权责边界等；
③ IT治理内容：投资、风险、绩效、标准和规范等；
④ IT治理流程：统筹、评估、指导、监督；
⑤ IT治理效果（内外评价）等。

5、有效的IT治理必须关注五项关键决策，包括：IT原则、IT架构、IT基础设施、业务应用需求、IT投资和优先顺序。IT原则驱动着IT整体架构的形成，而IT整体架构又决定了基础设施，这种基础设施所确定的能力又决定着基于业务需求应用的构建，最后，IT投资和优先顺序必须为IT原则、整体架构、基础设施和应用需求所驱动。然而，这些决策中又有独特问题，即IT治理需要确定每个决策由谁来负责输入，以及由谁来负责做出决策。

6、IT治理体系框架具体包括：IT战略目标、IT治理组织、IT治理机制、IT治理域、IT治理标准和IT绩效目标等部分，形成一整套IT治理运行闭环。

7、IT治理本质上关心：①实现IT的业务价值；②IT风险的规避。前者是通过IT与业务战略匹配来实现的，后者通过在组织内部建立相关职责来实现。两者都需要相关资源的支持，并对其绩效进行有效度量。IT治理的核心内容包括六个方面：组织职责、战略匹配、资源管理、价值交付、风险管理和绩效管理。

8、建立IT治理机制的原则包括：简单、透明、适合。

9、GB/T 34960.1《信息技术服务治理第1部分：通用要求》规定了IT治理的模型和框架、实施IT治理的原则，以及开展IT顶层设计、管理体系和资源的治理要求。该标准可用于：
① 建立组织的IT治理体系，并实施自我评价；
② 开展信息技术审计；
③ 研发、选择和评价IT治理相关的软件或解决方案；
④ 第三方对组织的IT治理能力进行评价。

10、GB/T 34960.2《信息技术服务治理第2部分：实施指南》提出了IT治理通用要求的实施指南，分析了实施IT治理的环境因素，规定了IT治理的实施框架、实施环境和实施过程，并明确顶层设计治理、管理体系治理和资源治理的实施要求。该标准适用于：
① 建立组织的IT治理实施框架，明确实施方法和过程；
② 组织内部开展IT治理的实施；
③ IT治理相关软件或解决方案实施落地的指导；
④ 第三方开展IT治理评价的指导。

11、IT审计的目的是指通过开展IT审计工作，了解组织IT系统与IT活动的总体状况，对组织是否实现IT目标进行审查和评价，充分识别与评估相关IT风险，提出评价意见及改进建议，促进组织实现IT目标。

12、组织的IT目标主要包括：
① 组织的IT战略应与业务战略保持一致；
② 保护信息资产的安全及数据的完整、可靠、有效；
③ 提高信息系统的安全性、可靠性及有效性；
④ 合理保证信息系统及其运用符合有关法律、法规及标准等的要求。

13、IT审计范围主要包括：
① 总体范围：需要根据审计目的和投入的审计成本来确定；
② 组织范围：明确审计涉及的组织机构、主要流程、活动及人员等；
③ 物理范围：具体的物理地点与边界；
④ 逻辑范围：涉及的信息系统和逻辑边界。

14、IT审计风险主要包括：固有风险、控制风险、检查风险和总体审计风险。主要描述如下：
（1）固有风险：
① 含义：是指IT活动不存在相关控制的情况下，易于导致重大错误的风险；
② 分类：可从IT组织层面控制、一般控制及应用控制三个方面分析固有风险；
③ 特点：固有风险是IT活动本身所具有的，审计人员只能评估，却无法控制或影响它；固有风险的衡量是主观的、复杂的，不同的IT活动其固有风险水平不同。
（2）控制风险：
① 含义：是指与IT活动相关的内部控制体系不能及时预防或检查出存在的重大错误的风险；
② 分类：可从IT组织层面控制、一般控制及应用控制三个方面分析控制风险；
③ 特点：与内部控制制度执行的有效性有关，与审计无光，属于内部控制的范畴，审计人员只能评估其风险水平而不能对其实施控制和影响。其风险水平的衡量由于需要兼顾传统内部控制的思想和计算机系统管理的知识，因而较为复杂且难以准确计量。
（3）检查风险：
① 含义：检查风险是指通过预定的审计程序未能发现重大、单个或与其他错误相结合的风险；
② 影响检查风险的因素：由于IT审计规范不完善、审计人员自身或者技术原因等造成影响审计测试正确性的各种因素。

15、总体审计风险是指针对单个控制目标所产生的各类审计风险总和。良好的审计计划应尽可能评估和控制审计风险，减少或控制所检查领域的审计风险，比如采取合适的审计工具。

16、审计风险也用于描述审计人员在执行审计任务时可接受的风险水平。审计人员可通过设定目标风险水平并调整审计工作量，以合适的审计成本满足最小化总体审计风险要求。

17、常用审计方法包括：访谈法、调查法、检查法、观察法、测试法和程序代码检查法等。

18、IT审计技术包括：风险评估技术、审计抽样技术、计算机辅助审计技术及大数据审计技术。
（1）风险评估技术：包括：① 风险评估技术 ② 风险分析技术 ③ 风险评价技术 ④ 风险应对技术
（2）审计抽样技术：从审计对象总体中选取一定数量的样本进行测试，并根据测试结果，推断审计对象总体特征的一种方法。审计抽样适用于时间及成本都不允许对既定总体中的所有交易或事件进行全面审计时。
（3）计算机辅助审计技术：也称为利用计算机审计，是以计算机为工具来执行和完成某些审计程序和任务的一种新兴审计技术。它并非电算化系统审计特有的一种方法，对手工系统的审计也可应用这些技术。
（4）大数据审计技术：是指遵循大数据理念，运用大数据技术方法和工具，利用数量巨大、来源分散、格式多样的数据，开展跨层级、跨系统、跨部门和跨业务等的深入挖掘与分析，提升审计发现问题、评价判断、宏观分析的能力。大数据审计技术包括：大数据智能分析技术、大数据可视化分析技术及大数据多数据源综合分析技术等。

19、审计证据是指由审计机构和审计人员获取，用于确定所审计实体或数据是否遵循既定标准或目标，形成审计结论的证明材料。审计证据需要包含以下特性：
① 充分性：指要求审计人员根据所获证据足以对被审计对象提出一定程度保证的结论，是对审计证据数量的要求，主要与审计人员确定的样本量有关。
② 客观性：指审计证据必须是客观存在的事实材料。客观的审计证据比需要判断或解释的证据可靠。
③ 相关性：指审计证据与审计事项之间必须有实质性联系。
④ 可靠性：指审计证据能够反映和证实客观经济活动特征的程度。审计证据的可靠性收到审计证据的类型、取证的渠道和方式等因素的影响。
⑤ 合法性：指审计证据必须符合法定种类，并依照法定程序取得。

20、审计工作底稿是指审计人员对制订的审计计划、实施的审计程序、获取的相关审计证据，以及得到的审计结论做出的记录。审计工作底稿是审计证据的载体，是审计人员在审计过程中形成的审计工作记录和获取的资料。审计底稿的作用表现在：
① 是形成审计结论、发表审计意见的直接依据；
② 是评价考核审计人员的主要依据；
③ 是审计质量控制与监督的基础；
④ 对未来审计业务具有参考备查作用。

21、审计工作底稿一般分为：综合类工作底稿、业务类工作底稿和备查类工作底稿。
（1）综合类工作底稿：指审计人员在审计计划阶段和审计报告阶段，为规划、控制和总结整个审计工作并发表审计意见所形成的审计工作底稿。
（2）业务类工作底稿：指审计人员在审计实施阶段为执行具体审计程序所形成的审计工作底稿。
（3）备查类工作底稿：指审计人员在审计过程中形成对审计工作仅具有备查作用的审计工作底稿。

22、审计工作底稿三级复核制度是指以审计机构负责人、部门负责人和项目负责人（或项目经理）为复核人，依照规定的程序和要点对审计工作底稿进行逐级复核的制度。

23、审计流程一般分为：审计准备、审计实施、审计终结及后续审计四个阶段。
（1）审计准备阶段。IT审计准备阶段是指IT审计项目从计划开始，到发出审计通知书为止的期间。准备阶段是整个审计过程的起点和基础。准备阶段工作一般包括：① 明确审计目的及任务；② 组建审计项目组；③ 搜集相关信息；④ 编制审计计划等。
（2）审计实施阶段。IT审计实施阶段是审计人员将项目审计计划付诸实施的期间。实施阶段主要完成工作包括：① 深入调查并调整审计计划；② 了解并初步评估IT内部控制；③ 进行符合性测试；④ 进行实质性测试等。
（3）审计终结阶段。IT审计终结阶段是整理审计工作底稿、总结审计工作、编写审计报告、做出审计结论的期间。终结阶段的工作一般包括：① 整理与复核审计工作底稿；② 整理审计证据；③ 评价相关IT控制目标的实现；④ 判断并报告审计发现；⑤ 沟通审计结果；⑥ 出具审计报告；⑦ 归档管理等。
（4）后续审计阶段。后续审计是在审计报告发出后的一定时间内，审计人员为检查被审计单位对审计问题和建议是否已经采取了适当的纠正措施，并取得预期效果的跟踪审计。实施后续审计，可不必遵守审计流程的每一过程和要求，但必须依法依规进行检查、调查，收集审计证据，写出后续审计报告。

24、IT审计业务和服务通常分为IT内部控制审计和IT专项审计。IT内部控制审计主要包括组织层面IT控制审计、IT一般控制审计及应用控制审计；IT专项审计主要是指根据当前面临的特殊风险或者需求开展的IT审计，审计范围为IT综合审计的某一个或几个部分。