第3章信息系统治理
信息系统治理(IT治理)是组织开展信息技术及其应用活动的重要管控手段,也是组织治理的重要组成部分,尤其在以数字化发展为重要关注点的新时代,组织的数字化转型和组织建设过程中,IT治理起到重要的统筹、评估、指导和监督作用。信息技术审计(IT审计)作为与IT治理配套的组织管控手段,是IT治理不可或缺的评估和监督工具,重点承担着组织信息系统发展的合规性检测以及信息技术风险的管控等职能。
3.1IT治理67
新时代的信息技术与各领域发展进入到了深度融合的发展新阶段,成为各类组织实现治理体系与能力现代化,构建敏捷运行管理体系,打造高质量的生产与服务系统,洞察社会与市场变化等高质量发展的必要过程。组织如何从其信息系统投资中获得真正的价值;如何将信息技术战略与组织战略相融合;如何从组织治理的高度,对组织数字化能力做出制度安排;如何从战略投资、组织管理变革的角度,降低IT的风险;如何利用国内外信息技术开发利用的最佳实践和重要成果,加快组织的信息化、数字化工作推进等。这些都是IT治理所关注的问题。
3.1.1IT治理基础67
IT治理是描述组织采用有效的机制对信息技术和数据资源开发利用,平衡信息化发展和数字化转型过程中的风险,确保实现组织的战略目标的过程。
1.IT治理的驱动因素
组织信息系统建设和运行需要制订总体规划,但制订IT资源统一规划存在很多问题:
⓵信息系统应用已有相当的基础,但多年来分散开发或引进的信息系统,形成了许多"信息孤岛",缺乏共享的、网络化的信息资源,系统集成难题一直无法解决;
⓶信息资源整合目标空泛,没有整合"信息孤岛"的措施,数据中心建设和数据集中管理等规划缺乏可操作性,尤其是缺少数据标准化建设方面的建设规划。这些问题的出现,表明组织在IT资源方面没有做到有效统一规划,如何解决这些问题成为了组织发展的一个重要课题。
IT资产作为组织资产的重要组成部分,IT治理自然就是组织治理结构中不可分割的一部分。 IT治理是指组织在开发利用信息技术过程中,为鼓励组织所期望的组织行为而明确决策权归属和责任担当的框架,其目标是通过IT治理的决策权和责任影响组织所期望的组织行为。随着新时代的发展,数字特征成为组织发展的一项关键特征,组织的高质量发展对IT的依赖越来越强,IT治理对组织愈发重要,为确保IT治理的有效,组织高层管理者需要投入越来越多的时间和精力。
随着组织在IT方面的投资越来越大,组织的IT战略要与组织战略相一致,才能确保组织核心竞争力的建设与保持;要尽可能地保待开放性和长远性,以确保系统的稳定性和延续性;
要认真分析组织的战略与IT支撑之间的影响度,并合理预测环境变化可能给组织战略带来的偏移,在规划时留有适当的余地。组织目标变化太快,很难保证IT与组织目标始终保待一致,因此需要多方面的协调,保证IT治理继续沿着正确的方向走,这也是IT投资者真正关心的问题。 IT治理要从组织目标和数字战略中抽取信息需求和功能需求,形成总体的IT治理框架和系统整体模型,为进一步系统设计和实施奠定基础,保证信息技术开发应用符合持续变化的业务目标。
高质量的IT治理能够使组织的IT管理和应用决策与组织期望的行为和业务目标相一致,这就需要组织IT治理机构对组织IT发展进行科学规划并确保其有效实施。驱动组织开展高质量IT治理因素包括:
⓵良好的IT治理能够确保组织IT投资有效性;
⓶IT属于知识高度密集型领域其价值发挥的弹性较大;
⓷IT已经融入组织管理、运行、生产和交付等各领域中,成为各领域高质量发展的重要基础;
⓸信息技术的发展演进以及新兴信息技术的引入,可为组织提供大量新的发展空间和业务机会等;
⓹IT治理能够推动组织充分理解IT价值,从而促进IT价值挖掘和融合利用;
⓺IT价值不仅仅取决于好的技术,也需要良好的价值管理,场景化的业务融合应用;
⓻高级管理层的管理幅度有限,无法深入到IT每项管理当中,需要采用明确责权利和清晰管理去确保IT价值;
⓼成熟度较高的组织以不同的方式治理IT,获得了领域或行业领先的业务发展效果。
IT治理的内涵主要体现在5个方面:
⓵IT治理作为组织上层管理的一个有机组成部分,由组织治理层或高级管理层负责,从组织全局的高度上对组织信息化与数字化转型做出制度安排,体现了治理层和最高管理层对信息相关活动的关注;
⓶IT治理强调数字目标与组织战略目标保待一致,通过对IT的综合开发利用,为组织战略规划提供技术或控制方面的支待,以保证相关建设能够真正落实并贯彻组织业务战略和目标;
⓷IT治理保护利益相关者的权益,对风险进行有效管理,合理利用IT资源,平衡成本和收益,确保信息系统应用有效、及时地满足需求,并获得期望的收益,增强组织的核心竞争力;
⓸IT治理是一种制度和机制,主要涉及管理和制衡信息系统与业务战略匹配、信息系统建设投资、信息系统安全和信息系统绩效评价等方面的内容;
⓹IT治理的组成部分包括管理层、组织结构、制度、流程、人员、技术等多个方面,共同构建完善的IT治理架构,达到数字战略和支持组织的目标。
2.IT治理的目标价值
组织治理驱动和调整IT治理。同时,IT治理能够提供关键的输入,成为战略计划的一个重要组成部分,是组织治理的一个重要功能。IT治理将帮助组织建立以组织战略为导向、以实现IT与业务匹配为重心、以价值交付为成果、以绩效管理为控制手段的IT管理体制,正确定位 IT团队在整个组织的作用,最终能够针对不同业务发展要求,统一规划IT资源、整合信息资源、有效规避风险、制定并执行组织发展战略。IT治理就是要明确有关IT决策权的归属机制和有关IT责任的承担机制,以鼓励IT应用的期望行为的产生,以联接战略目标、业务目标和IT目标,从而使组织从IT中获得最大的价值。组织实施IT治理的使命通常包括:保持IT与业务目标一致,推动业务发展,促使收益最大化,合理利用IT资源,恰当理清与IT相关的风险等。
IT治理主要目标包括:与业务目标一致、有效利用信息与数据资源、风险管理。
(1)与业务目标一致。IT治理要从组织目标和数字战略中抽取信息与数据需求和功能需求,形成总体的IT治理框架和系统整体模型,为进一步系统设计和实施奠定基础,保证信息技术开发利用跟上持续变化的业务目标。
(2)有效利用信息与数据资源。目前信息系统工程超期、IT客户的需求没有满足、IT平台不支持业务应用、数据开发利用效能与价值不高、信息技术与业务发展融合深度不够等问题突出,通过IT治理对信息与数据资源的管理职责进行有效管理,保证投资的回收,并支持决策。
(3)风险管理。由于组织越来越依赖于信息网络、信息系统和数据资源等,新的风险不断涌现,例如,新出现的技术没有管理,不符合现有法律和规章制度,没有识别对IT服务的威胁等。IT治理重视风险管理,通过制定信息与数据资源的保护级别,强调对关键的信息与数据资源,实施有效监控和事件处理。
3.IT治理的管理层次
IT治理要保证总体战略目标能够从上而下贯彻执行,治理层主要集中在最高管理层(如董事会)和管理执行层。然而,由于IT治理的复杂性和专业性,治理层必须依赖组织的基层来提供决策和评估所需要的信息。基层依据组织总体目标采用相关的原则,提供评估业绩的衡量方法。因此,好的IT治理实践需要在组织全部范围内推行。管理层次大致可分为三层:最高管理层、执行管理层、业务与服务执行层。
最高管理层的主要职责包括:证实IT战略与业务战略是否一致;证实通过明确的期望和衡量手段交付IT价值;指导IT战略、平衡支待组织当前和未来发展的投资;指导信息和数据资源的分配。执行管理层的主要职责包括:制定IT的目标;分析新技术的机遇和风险;建设关键过程与核心竞争力;分配责任、定义规程、衡量业绩;管理风险和获得可靠保证等。业务及服务执行层的主要职责包括:信息和数据服务的提供和支持;IT基础设施的建设和维护;IT需求的提出和响应。
3.1.2IT治理体系
IT治理用于描述组织在信息化建设和数字化转型过程中是否采用有效的机制使得信息技术开发利用能够完成组织赋予它的使命。IT治理的核心是关注IT定位和信息化建设与数字化转型的责权利划分,如图3-1所示。IT治理体系的具体构成包括IT定位:IT应用的期望行为与业务目标一致;IT治理架构:业务和IT在治理委员会中的构成、组织IT与各分支机构的IT权责边界等IT治理内容:投资、风险、绩效、标准和规范等;IT治理流程:统筹、评估、指导、监督;IT治理效果(内外评价)等。
1.IT治理关键决策
有效的IT治理必须关注五项关键决策,如图3-2所示,包括IT原则、IT架构、IT基础设施、业务应用需求、IT投资和优先顺序。IT原则驱动着IT整体架构的形成,而IT整体架构又决定了基础设施,这种基础设施所确定的能力又决定着基于业务需求应用的构建,最后,IT投资和优先顺序必须为IT原则、整体架构、基础设施和应用需求所驱动。然而,这些决策中又有独特问题,即IT治理需要确定每个决策由谁来负责输入,以及由谁来负责做出决策。
| IT原则的决策 组织高层关于如何使用IT的陈述 | ||
| IT架构的决策 组织从一系列政策、关系以及技术选择中捕获的数据、应用和基础设施的逻辑,以达到预期和商业、技术的标准化和一体化 |
业务应用需求决策 为购买或内部开发IT应用确定业务需求 |
IT投资和优先顺序决策 关于应该在IT的哪些方面投资以及投资多少的决策,包括项目的审批和论证技术 |
| IT基础设施决策 集中协调、共享IT服务可以给组织的IT能力提供基础 |
||
IT决策过程中,需要关注各类关键问题,如图表3-1所示。
表3-1 IT决策的关键问题
| 关键决策 | 关键问题 |
|---|---|
| IT原则 | 组织的运行模型是什么?IT在业务中的角色是什么?IT期望行为是什么?如何投资IT |
| IT架构 | 组织的核心业务流程是什么?它们之间有什么样的关系?哪些信息在驱动着这些核心流程?数据必须如何整合?哪些技术性能应当在组织范围内得到标准化,以支持IT效率,方便流程标准化和整合?哪些行为应当在组织范围内标准化以支持数据整合?哪些技术选择能够指引组织IT新计划的方法 |
| IT基础设施 | 哪些基础设施对实现组织的战略目标来说是最关键的?对于每个能力集,哪些基础设施服务应该在组织级实现,这些服务的水平需求是什么?应当如何定价基础设施服务?如何保持基础技术的不断更新?哪些基础设施服务应当外包 |
| 业务应用需求 | 新业务应用的市场和业务流程机会是什么?如何设计实验以评估业务应用成功与否?如何在架构标准上满足业务需求?应当在什么时候将一个业务需求从例外转换为标准?谁拥有每个项目的成果并且发起组织变革以确保其价值 |
| IT投资和优先顺序 | 哪些流程变革或者强化对组织来说在战略上是最为重要的?当前的以及在提议中的IT投资组合是如何分配的?这些投资组合同组织的战略目标一致吗?组织级的投资相对于业务单位的投资哪个更重要?实际投资情况会影响它们的相对重要性吗 |
2.IT治理体系框架
IT治理体系框架是实现组织IT治理的有效保障,缺乏良好的IT治理体系框架,IT治理的过程将会变得盲目和无序。IT治理体系框架以组织的战略目标为导向,架起了组织战略与IT的桥梁,实现了IT风险的全面管理以及IT资源的合理利用。IT治理体系框架具体包括:IT战略目标、IT治理组织、IT治理机制、IT治理域、IT治理标准和IT绩效目标等部分,形成一整套 IT治理运行闭环,如图3-3所示。
(1)IT战略目标。IT战略目标是指为实现IT价值和目标,使组织从IT投入中获得最大收益,而针对IT与业务关系、IT决策、IT资源利用、IT风险控制等方面制定的目标。
(2)IT治理组织。IT治理组织是界定组织中各相关主体在各自方面的治理范围、责权利及其相互关系的准则,它的核心是治理机构(如IT治理委员会等)的设置和权限的划分。各治理机构职权的分配以及各机构间的相互协调,它的强弱直接影响到治理的效率和效能,对IT治理效率起着决定性的作用。
(3)IT治理机制。IT治理机制是IT治理决策机制、执行机制、风险控制机制、协调机制的综合体,各机制之间是相辅相成、相互促进的关系。有效的决策机制能保障IT决策与组织的业绩目标和战略目标相匹配;有效的执行机制能保证IT治理的良好运作,有效的风险控制机制能降低IT活动的风险,实现信息技术开发利用的价值效益;有效的协调机制能有力地发挥IT治理的协调效应。
(4)IT治理域。IT治理域是在IT治理的规则之下,对组织的IT资源进行整合与配置,根据IT目标所采取的行动。以科学、规范的做法交付面向业务的高质量IT服务,确保信息化"高效做事情"、数字化"敏捷的决策"。IT治理域内容包括IT信息系统的计划、构建、运维与监控等。
(5)IT治理标准。IT治理标准包括IT治理基本规范、IT治理实施参照、IT治理评价体系和IT治理审计方法等方面,作为组织实施IT治理最佳实践和对标依据。
(6)IT绩效目标。IT绩效目标关注IT价值的实现,评价IT规划与IT构建过程中是否满足业务需求以及构建过程中的工期、成本、质量是否达到目标。
3.IT治理核心内容
IT治理本质上关心:
⓵实现IT的业务价值;
⓶IT风险的规避。
前者是通过IT与业务战略匹配来实现的,后者通过在组织内部建立相关职责来实现。两者都需要相关资源的支持,并对其绩效进行有效度量。IT治理的核心内容包括六个方面:组织职责、战略匹配、资源管理、价值交付、风险管理和绩效管理,如图3-4所示。
(1)组织职责。组织职责指组织参与IT决策与管理的所有人员的集合,明确组织信息部门和业务部门之间的关系和责任,正确划分信息系统的所有者、建设者、管理者和监控者。
(2)战略匹配。IT治理的一个重要内容,是使组织的IT建设与组织战略相匹配,也就是通常所说的"战略匹配"。而战略匹配是IT为组织贡献业务价值的重要驱动力。
(3)资源管理。资源管理的主要功能是确保用户对组织的应用系统和基础设施都有良好的理解和应用,优化IT投资、IT资源(人、应用系统、信息、基础设施)的分配,做好人员的培训、发展计划,以满足组织的业务需求。
(4)价值交付。通过对IT项目全生命周期的管理,确保IT能够按照组织战略实现预期的业务价值。重点是对整个交付周期成本的控制和IT业务价值的实现,使IT项目能够在预算时间、成本范围内,按预定的质量要求完成。价值交付即是创造业务价值。
(5)风险管理。风险管理是IT治理中非常重要的内容。风险管理是确保IT资产的安全和灾难的恢复、组织信息资源的安全以及人员的隐私安全。风险管理即是保护业务价值。
(6)绩效管理。没有绩效管理IT治理中任何一个域都不可能有效地进行管理。绩效管理主要是追踪和监视IT战略、IT项目的实施、信息资源的使用、IT服务的提供以及业务流程的绩效。绩效管理所采用的工具,如平衡积分卡,可以将组织的战略目标转化成各个职能部门或团队具体的业务活动的目标,从而保证组织战略目标的实现。
4.IT治理机制经验
建立IT治理机制的原则包括:
⓵简单。机制应该明确地定义特定个人和团体所承担的责任和目标。
⓶透明。有效的机制依赖于正式的程序。对于那些被治理决策所影响或是想要挑战治理决策的人来说,机制如何工作是需要非常清晰的。
⓷适合。机制鼓励那些处于最佳位置的个人去制定特定的决策。
影响力高且具有挑战性的IT治理机制,如表3-2所示。
表3-2 影响力高且具有挑战性的IT治理机制
| 机制 | 目标 | 期望行为 | 不期望行为 |
|---|---|---|---|
| 执行层和高级管理委员会 | 对业务包括IT的整体观念 | 整合IT的无缝管理 | IT被忽略 |
| 架构委员会 | 明确战略技术和标准是否被执行 | 业务驱动的IT决策制定 | IT限制和延迟 |
| 有IT人员参与的流程团队 | 有效地运用IT视角 | 端对端的流程管理 | 功能性技能的停滞和分散的IT基础设施 |
| 资金投资批准和预算 | 把IT看作另一种业务投资 | 对于不同投资类型的不同方法 | 分析瘫痪小项目,避开了正式批准 |
| 服务水平协议 | 对于IT服务的详细说明和衡量 | 专业的供应和需求 | 管理服务水平协议而不是业务需求 |
| 费用分摊机制 | 从业务中补偿IT成本 | IT的可靠应用 | 关于收费和歪曲的需求的争论 |
| IT业务价值的正式追踪 | 衡量IT投资,并通常运用平衡记分卡计算其对业务价值的贡献 | 使目标、利益和成本透明化 | 将IT同其他资产相分离,只关注资金流,而不关注价值 |
IT治理可以从众多最佳实践中学习的经验主要包括:
● IT指导委员会要吸纳有才干的业务经理,使之负责组织范围的IT治理决策,并在IT原则中加入严格的成本控制;
● 谨慎管理组织的IT架构和业务架构,以降低业务成本;
● 设计严格的架构例外处理流程,使昂贵的例外最小化,并可以从中不断学习;
● 建立集中化的IT团队,用以管理基础设施、架构和共享服务;
● 应用连接IT投资和业务需求的流程,既可以增加透明度,又可以权衡中心和各运营部门或团队的需求;
● 设计需要对IT投资进行集中协作和核准的IT投资流程;
● 设计简单的费用分摊和服务水平协议机制,以明确分配IT开支等。
3.1.3IT治理任务
组织的IT治理活动定义为统筹、指导、监督和改进。统筹现在和未来的IT战略和组织规划、管理和绩效的实施计划、策略;指导IT管理实施、绩效考评、风险控制和业务合规;监督 IT与业务的一致性、符合性及IT应用的合规性;改进IT战略规划、组织策略、信息系统全生命周期管控和数据治理。组织开展IT治理活动的主要任务聚焦在如下五个方面。
(1)全局统筹。统筹规划IT治理的目标范围、技术环境、发展趋势和人员责权利。组织需要适应当前信息环境和未来发展趋势,保证利益相关者理解和接受IT的战略、目标和发展方向。组织需要把IT治理作为组织治理的组成部分,建立IT治理机构,并明确组织负责人对IT治理工作负责。组织还需要关注IT发展的规划、实施、检查和改进全过程,重点包括:
⓵制订满足可持续发展的IT蓝图;
⓶实施科学决策、集约管理的策略,实现横向的业务集成和纵向的业务管控;通过内外部的监督,确保IT与业务的一致性和适用性;
⓷建立适应内外部信息环境变化的持续改进和创新机制。
(2)价值导向。价值导向包括基于实现有效收益,确保预期收益清晰理解,明确实现收益的问责机制。组织需要建立IT投资的价值框架,确保在可承担成本和可接受风险水平的基础上,实现IT的战略目标。确保IT治理符合组织治理的价值导向,明确战略投资方向,以及由投资产生的IT服务、资产和其他资源。组织需要建立价值递送规则,确保利益相关者明确相应的权利和义务,包括:
⓵认可信息技术、信息系统和数据在组织中的价值;
⓶识别投资目录,并以相应的方式进行评估和管理;
⓷对关键指标进行设定和监督,并对变化和偏差做出及时回应;
⓸权衡实施成本与预期效益,并随组织内外部环境的变化及时调整。
(3)机制保障。机制保障是指组织应对自身IT发展进行有效管控,保证IT需求与实现的协调发展,并使IT安全和风险得到有效的识别、管理、防范和处置。组织需要建立适合组织特点的机制保障方法,满足疏漏互补、协同发展、监督改进和安全风险可控的原则,避免扭曲决策目标方向。组织需要明确管理责任,明晰上下左右权利关系,落实责任制和各项措施。组织可以根据相关法律法规、行业管理和上级监管机构发布的规范文件要求,制定本组织的信息技术治理制度并实施,重点聚焦在:
⓵指导建立规范过程管理和痕迹管理,并向利益相关者公开质量设定举措;
⓶评审IT管理体系的适宜性、充分性和有效性;
⓷审计IT完整性、有效性和合规性;
⓸监督由审计和管理评审,提出改进内容的实施。
(4)创新发展。创新发展是指利用IT创新开拓业务领域,提升管理水平,改进质量、绩效和降低成本,确保实现战略目标的灵活性和对环境变化的适应性。组织需要通过建立围绕知识资产的创新体系,支撑组织的技术进步、管理提升和业务模式变革。组织可以持续保持管理团队的创造技能,并指导培养各级成员的发问、观察、交际和实验能力。组织可以建立支持创新的人员、技术、制度、资金、风险、文化和市场需求的机制体系,包括:
⓵创造基于业务团队与IT团队的深度沟通以及对内外部环境感知和学习的技术创新环境;
⓶确保技术发展、管理创新、模式革新的协调联动;
⓷对组织创新能力进行评估,并对关键创新要素进行分析和评价;
⓸通过促进和创新有效抵御风险,并确保创新是组织文化的组成部分。
(5)文化助推。文化助推是指组织与利益相关者沟通IT治理的目标、策略和职责,营造积极向上、沟通包容的组织文化。组织需要引导组织人员适应IT建设所带来的变革、遵循道德和职业规范、端正态度和规范行为。组织可以要求各级管理层把符合信息技术战略发展的文化建设作为其职责的一部分。按照文化营造、实施和改进的生命周期,保障利益相关者的沟通和透明,包括:
⓵建立与IT发展相适应的组织文化发展策略;
⓶营造包括知识、技术、管理、情操在内的积极向上的文化氛围;
⓷根据组织内部环境的变化,评估并改进组织文化的管理。
3.1.4IT治理方法与标准
考虑到IT治理对组织战略目标达成的重要性,国内外各类机构持续研究并沉淀IT治理相关的最佳实践方法、定义相关标准,这里面比较典型的是我国信息技术服务标准库(ITSS)中IT治理系列标准、信息和技术治理框架(COBIT)和IT治理国际标准(ISO/IEC 38500)等。
1.ITSS中IT服务治理
我国IT治理标准化研究是围绕IT治理研究范畴,为IT过程、IT资源、信息与组织战略、组织目标的连接提供了一种机制。通过指导、实施、管理和评价等过程,确保IT支持并拓展组织的战略和目标。在IT治理目标和边界确定的情况下,IT治理围绕决策体系、责任归属、管理流程、内外评价四个方面,通过相关框架体系的研究,规范和引导组织的IT治理完成"做什么"“如何做”“怎么样”"如何评价"等问题,如图3-5所示。
1)IT治理通用要求
GB/T 34960.1《信息技术服务治理第1部分:通用要求》规定了IT治理的模型和框架、实施IT治理的原则,以及开展IT顶层设计、管理体系和资源的治理要求。该标准可用于:
⓵建立组织的IT治理体系,并实施自我评价;
⓶开展信息技术审计;
⓷研发、选择和评价IT治理相关的软件或解决方案;
⓸第三方对组织的IT治理能力进行评价。
各级各类信息化主管部门可根据法律法规、部门规章的要求,使用该标准对所管辖各类组织的IT治理提出要求,并进行评估、指导和监督。
该标准定义的IT治理模型包含治理的内外部要求、治理主体、治理方法,以及信息技术及其应用的管理体系,如图3-6所示。
治理主体以组织章程、监管职责、利益相关方期望、业务压力和业务要求为驱动力,建立评估、指导、监督的治理过程并明确任务。治理主体通过信息技术战略和方针,指导管理者对信息技术及其应用的管理体系进行完善,并对信息技术相关的方案和规划进行评估,对信息技术应用的绩效和符合性进行监督。组织结合治理原则和模型,在IT治理实施的过程中,开展自我监督、自我评估和审计工作,并持续改进。
该标准定义的IT治理框架包含信息技术顶层设计、管理体系和资源三大治理域,每个治理域由如下若干治理要素组成,如图3-7所示。顶层设计治理域包含信息技术的战略,以及支撑战略的组织和架构;管理体系治理域包含信息技术相关的质量管理、项目管理、投资管理、服务管理、业务连续性管理、信息安全管理、风险管理、供方管理、资产管理和其他管理;资源治理域包含信息技术相关的基础设施、应用系统和数据。
2)IT冶理实施指南
GB/T 34960.2《信息技术服务治理第2部分:实施指南》提出了IT治理通用要求的实施指南,分析了实施IT治理的环境因素,规定了IT治理的实施框架、实施环境和实施过程,并明确顶层设计治理、管理体系治理和资源治理的实施要求。该标准适用于:
⓵建立组织的IT治理实施框架,明确实施方法和过程;
⓶组织内部开展IT治理的实施;
⓷IT治理相关软件或解决方案实施落地的指导;
⓸第三方开展IT治理评价的指导。
IT治理实施框架包括治理的实施环境、实施过程和治理域,如图3-8所示。实施环境包括组织的内外部环境和促成因素。实施过程规定了IT治理实施的方法论,包括统筹和规划、构建和运行、监督和评估、改进和优化。治理域定义了IT治理对象,包括顶层设计、管理体系和资源。顶层设计包括战略、组织和架构;管理体系包括质量管理、项目管理、投资管理、服务管理、业务连续性管理、信息安全管理、风险管理、供方管理、资产管理和其他管理;资源包括基础设施、应用系统和数据。组织可以结合实施环境的分析,按照实施过程,以治理域为对象开展IT治理实施。
2.信息和技术治理框架
COBIT是面向整个组织的信息和技术治理及管理框架,由成立于1969年的美国信息系统审计与控制协会(ISACA)组织设计并编制的。COBIT框架对治理和管理进行了明确区分,这两个学科涵盖不同的活动,需要不同的组织结构,并服务于不同目的:
⓵治理确保对利益干系人的需求、条件和选择方案进行评估,以确定全面均衡、达成共识的组织目标;通过确定优先等级和制定决策来设定方向;根据议定的方向和目标监控绩效与合规性;
⓶管理是指按治理设定的方向计划、构建、运行和监控活动,以实现组织目标。在大多数组织中,管理是首席执行官领导下的高级管理层的职责。ISACA设计并编制了《框架:治理和管理目标》《设计指南:信息和技术治理解决方案的设计》,主要供组织信息和技术治理(EGIT)、鉴证、风险和安全专业人员作为学习资料使用。
1)治理和管理目标
COBIT框架介绍了40项核心治理和管理目标,以及其中包含的流程和其他相关组件。 COBIT核心模型如图3-9所示。COBIT中治理目标被列入评估、指导和监控(EDM)领域,在这个领域,治理机构将评估战略方案,指导高级管理层执行所选的战略方案并监督战略的实施。管理目标分为四个领域:
⓵调整、规划和组织(APO)针对IT的整体组织、战略和支持活动;
⓶内部构建、外部采购和实施(BAI)针对IT解决方案的定义、采购和实施以及它们到业务流程的整合;
⓷交付、服务和支待(DSS)针对IT服务的运营交付和支持,包括安全;
⓸监控、评价和评估(MEA)针对IT的性能监控及其与内部性能目标、内部控制目标和外部要求的一致程度。
治理目标与治理流程有关,而管理目标与管理流程有关。治理流程通常由董事会和执行管理层负责,而管理流程则在高级和中级管理层的职责范围内。
为满足治理和管理目标,每个组织都需要建立、定制和维护由多个组件构成的治理系统,如图3-10所示。治理系统的组件包括:
⓵流程。流程描述了一组为实现某种目标而安排有序的实践和活动,并生成了一组支持实现整体IT相关目标的输出内容。
⓶组织结构。组织结构是组织的主要决策实体。
⓷原则、政策和程序。原则、政策和程序用于将理想行为转化为日常管理的实用指南。
⓸信息。在任何组织中,信息无处不在,包括组织生成和使用的全部信息。COBIT侧重于有效运转组织治理系统所需的信息。
⓹文化、道德和行为。个人和组织的文化、道德和行为作为治理和管理活动的成功因素,其价值往往被低估。
⓺人员、技能和胜任能力。人员、技能和胜任能力对做出正确决策、采取纠正行动和成功完成所有活动而言是必不可少的。
⓻服务、基础设施和应用程序。服务、基础设施和应用程序包括为组织提供IT处理治理系统的基础设施、技术和应用程序。
2)信息和技术治理解决方案的设计
COBIT设计指南描述了组织如何设计量身定制的组织IT治理解决方案。高效和有效的IT治理系统是创造价值的起点。COBIT定义的IT治理系统设计因素包括组织战略、组织目标、风险概况、IT相关问题、威胁环境、合规性要求、IT角色、IT采购模式、IT实施方法、技术采用战略、组织规模和未来因素,如图3-11所示。这些设计因素可能影响组织治理系统的设计,为成功使用IT奠定基础。
组织开展治理系统设计通过流程化的方式进行,如图3-12所示,COBIT给出了建议设计流程:
⓵了解组织环境和战略;
⓶确定治理系统的初步范围;
⓷优化治理系统的范围;
⓸最终确定治理系统的设计。
3.IT治理国际标准
2008年4月,ISO/IEC正式发布IT治理标准ISO/IEC 38500,它的出台不仅标志着IT治理从概念模糊的探讨阶段进入了一个正确认识的发展阶段,而且也标志着信息化正式进入IT治理时代。这一标准将促使国内外一直争论不休的IT治理理论得到统一,也促使我国在引导信息化科学方面发挥重要作用。2014年,ISO/IEC发布了第二版的ISO/IEC FDIS 38500,替换了2008第一版的ISO/IEC 38500, ISO/IEC FDIS 38500: 2014提供了IT良好治理的原则、定义和模式,以帮助最高级别组织的人员理解和履行其在组织使用IT方面的法律、法规和道德义务。
该标准为组织的治理机构(可包括所有者、董事、合伙人、执行经理或类似机构)的成员提供了关于在其组织内有效、高效和可接受地使用信息技术(IT)的指导原则。该标准包括:
⓵责任。组织内的个人和团体理解并接受他们在IT的供应和需求方面的责任。那些负有行动责任的人也有权执行这些行动。
⓶战略。组织的业务战略考虑到IT的当前和未来的能力;使用IT的计划满足了组织业务战略的当前和持续的需求。
⓷收购。IT收购是出于正当的理由,在适当和持续的分析基础上,有明确和透明的决策。在短期和长期内,在利益、机会、成本和风险之间都存在着适当的平衡。
⓸性能。IT适合于支持组织,提供满足当前和未来业务需求所需的服务、服务水平和服务质量。
⓹一致性。IT的使用符合所有强制性法律和法规。政策和实践有明确的定义、实施和执行。
⓺人的行为。IT团队的政策、实践和决策表明了对人的行为的尊重,包括所有"在这个过程中的人"的当前和不断发展的需求。
该标准规定治理机构应通过评估、指导和监督三个主要任务来治理IT。
(1)评估。治理机构应审查和判断当前和未来的使用,包括计划、建议和供应安排(无论是内部、外部或两者兼有)。在评估IT的使用时,治理机构应考虑作用于组织的外部或内部压力,如技术变革、经济和社会趋势、监管义务、合法的利益相关者期望和政治影响。治理机构应根据情况的变化不断地进行评价。治理机构还应考虑到当前和未来的业务需要,即他们必须实现的当前和未来的组织目标,例如维持竞争优势,以及他们正在评估的计划和建议的具体目标。
(2)指导。治理机构应负责战略和政策的编制和执行。战略应该为IT领域的投资设定方向以及IT应该实现的目标。政策应在使用IT时建立良好的行为。治理机构应通过要求管理者及时提供信息、遵守方向和遵守良好治理的六项原则来鼓励其组织中的良好治理文化。
(3)监督。治理机构应通过适当的测量系统来监测IT的表现。他们应该保证自己业绩符合战略,特别是在业务目标方面。治理机构还应确保IT符合外部义务(法规、立法、普通法、合同)和内部工作惯例等。
3.2IT审计
随着大数据、云计算、人工智能、移动互联网、物联网等新一代信息技术快速普及和深入应用,以及商业新模式、制造新模式、运行新模式等的出现和迅速繁荣,在给组织带来快速发展的同时,也加大了组织的IT风险。为了有效控制IT风险,有必要对组织的信息系统治理及IT内控与管理等开展IT审计,充分发挥IT审计监督的作用,提高组织的信息系统治理水乎,促进组织信息系统治理目标的实现。
3.2.1IT审计基础
IT审计对组织IT目标的达成以及组织战略目的实现具备重要的作用,这与人们通常所说的传统审计的重要性概念不同。传统审计的重要性是指被审计单位会计报表中错报或涌报的严重程度,这一严重程度在特定环境下可能影响会计报表使用者的判断或决策。传统审计在量上表现为审计重要性水平,也就是被审计单位财务报表中可能存在的不影响报表使用者做出决策和判断的错报及漏报最大限额。IT审计重要性是指IT审计风险(固有风险、控制风险、检查风险)对组织影响的严重程度,如:财务损失、业务中断、失去客户信任、经济制裁等。
1.IT审计定义
IT审计经过多年的发展,国内外机构对IT审计从不同角度进行了描述,目前主流的IT审计定义如表3-3所示。
表3-3 主流的IT审计定义
| 机构/标准名称 | 定义 |
|---|---|
| 国际信息系统审计协会(Information Systems Audit and Control Association, ISACA) | IT审计是一个获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整以及有效利用组织的资源并有效实现组织目标的过程 |
| 国际货币基金组织(Intemational Monetary Fund, IMF) | IT审计是对计算机化的系统进行审计,不仅是对现有信息系统的控制,还包括对系统建立过程、计算机设备和网络管理等方面的控制 |
| 最高审计机关国际组织(International Organization of Supreme Audit Institutions, INTOSAI) | IT审计是一个通过获取并评估证据,以判断IT系统是否保护组织的资产,有效地利用组织的资源,保障数据的安全性和一致性,以及有效地达到组织业务目标的过程 |
| GB/T 34690.4《信息技术服务治理第4部分:审计导则》 | IT审计是根据IT审计标准的要求,对信息系统及相关的IT内部控制和流程进行检查、评价,并发表审计意见 |
2.IT审计目的
IT审计的目的是指通过开展IT审计工作,了解组织IT系统与IT活动的总体状况,对组织是否实现IT目标进行审查和评价,充分识别与评估相关IT风险,提出评价意见及改进建议,促进组织实现IT目标。
组织的IT目标主要包括:
⓵组织的IT战略应与业务战略保持一致;
⓶保护信息资产的安全及数据的完整、可靠、有效;
⓷提高信息系统的安全性、可靠性及有效性;
⓸合理保证信息系统及其运用符合有关法律、法规及标准等的要求。
3.IT审计范围
一般来说,IT审计范围需要根据审计目的和投入的审计成本来确定。在确定审计范围时,除了考虑前面提及的审计内容外,还需要明确审计的组织范围、物理位置以及信息系统相关逻辑边界。IT审计范围的确定如表3-4所示。
表3-4 IT审计范围的确定
| IT审计范围 | 说明 |
|---|---|
| 总体范围 | 需要根据审计目的和投入的审计成本来确定 |
| 组织范围 | 明确审计涉及的组织机构、主要流程、活动及人员等 |
| 物理范围 | 具体的物理地点与边界 |
| 逻辑范围 | 涉及的信息系统和逻辑边界 |
| 其他相关内容 | … |
在实际的应用实践中,审计人员在实施IT审计项目前,应先对组织与信息系统相关的总体情况进行了解和风险评估,确定主要IT风险,如与环境控制相关的风险、与系统相关的风险、与数据相关的风险等,然后根据确定的风险来判断哪些控制、流程对组织的影响比较大,并结合审计项目预计的时间、配备的审计力量等来确定重点审计范围。
4.IT审计人员
根据GB/T 34690.4《信息技术服务治理第4部分:审计导则》,对IT审计人员的要求包括职业道德、知识、技能、资格与经验、专业胜任能力及利用外部专家服务等方面,如表3-5所示。
表3-5 IT审计人员要求
| 分类 | 具体要求 |
|---|---|
| 职业道德 | ● 在执业过程中保持独立、客观、公正 ● 在执业过程中保持正直、诚实和守信 ● 正确履行审计职责(其中包括遵守相应的职业审计标准) ● 对在实施IT审计业务中所获取的信息负有保密责任 |
| 知识、技能、资格与经验 | ● 掌握与IT相关的专业知识和技能 ● 掌握审计、财务及管理等通用知识和技能 ● 拥有与IT审计工作相关的基本技能、专业技能和软技能 ● 拥有与所处管理或业务岗位相适应的IT审计职业资格及经验 |
| 专业胜任能力 | ● 具备相应的IT审计专业胜任能力 ● 拥有与所处管理或业务岗位相适应的IT审计职业资格 ● 定期参加持续的职业教育和培训 |
| 利用外部专家服务 | ● 对外部专家的专业资格及专业经验进行评价 ● 对外部专家的独立性、客观性进行评价 ● 对外部专家的专业胜任能力进行评价 ● 与外部专家签订书面协议 ● 对外部专家的服务结果进行评价和利用 |
5.IT审计风险
IT审计风险主要包括固有风险、控制风险、检查风险和总体审计风险。固有风险、控制风险、检查风险的内容,如表3-6所示。
表3-6 固有风险、控制风险和检查风险的内容
| 类别 | 描述 |
|---|---|
| 固有风险 | ● 含义:是指IT活动不存在相关控制的情况下,易于导致重大错误的风险 ● 分类:可从IT组织层面控制、一般控制及应用控制三个方面分析固有风险 ● 特点:固有风险是IT活动本身所具有的,审计人员只能评估,却无法控制或影响它;固有风险的衡量是主观的、复杂的,不同的IT活动其固有风险水平不同 |
| 控制风险 | ● 含义:是指与IT活动相关的内部控制体系不能及时预防或检查出存在的重大错误的风险 ● 分类:可从IT组织层面控制、一般控制及应用控制三个方面分析控制风险 ● 特点:与内部控制制度执行的有效性有关,与审计无关,属于内部控制的范畴,审计人员只能评估其风险水平而不能对其实施控制和影响。其风险水平的衡量由于需要兼顾传统内部控制的思想和计算机系统管理的知识,因而较为复杂且难以准确计量 |
| 检查风险 | ● 含义:检查风险是指通过预定的审计程序未能发现重大、单个或与其他错误相结合的风险 ● 影响检查风险的因素:由于IT审计规范不完善、审计人员自身或者技术原因等造成影响审计测试正确性的各种因素 |
总体审计风险是指针对单个控制目标所产生的各类审计风险总和。良好的审计计划应尽可能评估和控制审计风险,减少或控制所检查领域的审计风险,比如采取合适的审计工具,在完成审计时把总体审计风险控制在足够低的水平之内,以达到预期保证水平。
审计风险也用于描述审计人员在执行审计任务时可接受的风险水平。审计人员可通过设定目标风险水平并调整审计工作量,以合适的审计成本满足最小化总体审计风险要求。
3.2.2审计方法与技术
1.IT审计依据与准则
IT审计活动的开展需要结合相关法律法规、准则与标准。国际上发布的常用审计准则有:
● 信息系统审计准则(ISACA, 国际信息系统审计协会发布)。
● 《内部控制一整体框架》报告,即通称的COSO (The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting, 美国虚假财务报告委员会下属的发起人委员会)报告。
● 《萨班斯法案》(Sarbanes-Oxley Act, SOX)。SOX是美国政府出台的一部涉及会计职业监管、组织治理、证券市场监管等方面改革的重要法律。
● 信息及相关技术控制目标(Control Objectives for Information and related Technology, COBIT)是目前国际上通用的信息及相关技术控制规范。
我国的IT审计相关法律法规、准则与标准如表3-7所示。
表3-7 IT审计相关法律法规、准则与标准(举例)
| 类别 | 名称 |
|---|---|
| 法律法规 | 《中华人民共和国审计法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等 |
| 审计准则 | 《信息系统审计指南————计算机审计实务公告第34号》《第2203号内部审计具体准则————信息系统审计》等 |
| IT审计国际标准 | GB/T 34960.4《信息技术服务治理第4部分:审计导则》等 |
| 组织内部控制 | 《组织内部控制基本规范》《组织内部控制应用指引第18号————信息系统》等 |
| 行业规范 | 《商业银行信息科技风险管理指引》《证券期货经营机构信息技术治理工作指引(试行)》《保险公司信息化工作指引(试行)》等 |
2.IT审计常用方法
IT审计方法就是为了完成IT审计任务所采取的手段。在IT审计工作中,要完成每一项审计工作,都应选择合适的审计方法。常用审计方法包括:访谈法、调查法、检查法、观察法、测试法和程序代码检查法等,如表3-8所示。
表3-8 IT审计常用方法表(举例)
| 分类 | 说明 |
|---|---|
| 访谈法 | ● 含义:是指通过访谈人和受访入面对面地交谈来了解被审计对象的信息。依据不同研究问题的性质、目的或对象,访谈法具有不同的形式 ● 分类:根据访谈进程的结构化程度,可将它分为结构型访谈和非结构型访谈 |
| 调查法 | ● 含义:是指为了达到预期目的,在制订调研计划的基础上,通过书面或口头回答问题的方式收集研究对象的相关资料,并做出分析、综合,得到某一结论的研究方法 ● 目的:可能是全面把握当前状况,也可能是为了揭示存在的问题,弄清前因后果,以便为进一步的研究或决策提供观点和论据 |
| 检查法 | ● 含义:是指审计人员对被审计单位内部或外部生成的记录和文件(如纸质、电子或其他介质形式存在的资料)进行审查,或对资产进行实物审查 ● 分类:从技术层面上可分为审阅法、核对法、复算法和分析法 |
| 观察法 | ● 含义:是审计人员到被审计单位的经营场所及其他有关场所进行实地察看,来证实审计事项的一种方法 ● 应用:观察程序具有方向性,即从书面记录观察到实物或过程,反之,从实物或过程观察到书面记录。观察法既可以用于对通过其他方法获得的审计证据进行补充,证实审计证据,也可以用于直接收集相关证据。观察法可以比较准确地获得审计项目如何运行的信息,适用于正在进行中的审计事项 |
| 测试法 | ● 含义:通过测试来评估程序的质量是一项常用的审计技术,其基本原理是从计算机输入开始,跟踪某项业务直至计算机输出,以检验计算机应用程序、控制程序和系统可靠性。执行此类方法使用的是用于测试目的的业务数据,称之为测试数据 ● 分类:主要包括黑盒法和白盒法。黑盒法测试是把程序看成黑盒子,完全不考虑其内部结构和处理过程,只检查程序的功能是否符合它的需求规格说明。白盒法是通过测试来检测产品内部动作是否按照规格说明书的规定正常进行,按照程序内部的结构测试程序,检验程序中的每条通路是否都能按预定要求正确工作,主要用于软件验证 |
| 程序代码检查法 | ● 含义:是指对被审程序的指令逐条加以审查,以验证程序的合法性、完整性和程序逻辑的正确性 ● 应用:审计人员可使用代码静态扫描工具进行程序代码的检查 |
3.IT审计技术
常用的IT审计技术包括风险评估技术、审计抽样技术、计算机辅助审计技术及大数据审计技术。
1)风险评估技术
IT风险评估技术一般包括:
● 风险识别技术:用以识别可能影响一个或多个目标的不确定性,包括德尔菲法、头脑风暴法、检查表法、SWOT技术及图解技术等。
● 风险分析技术:是对风险影响和后果进行评价和估量,包括定性分析和定量分析。
● 风险评价技术:是在风险分析的基础上,通过相应的指标体系和评价标准,对风险程度进行划分,以揭示影响成败的关键风险因素,包括单因素风险评价和总体风险评价。
● 风险应对技术:IT技术体系中为特定风险制定的应对技术方案,包括云计算、冗余链路、冗余资源、系统弹性伸缩、两地三中心灾备、业务熔断限流等。
2)审计抽样技术
审计抽样是指审计人员在实施审计程序时,从审计对象总体中选取一定数量的样本进行测试,并根据测试结果,推断审计对象总体特征的一种方法。审计抽样适用于时间及成本都不允许对既定总体中的所有交易或事件进行全面审计时。"总体"是指需要检查的全部事项,"样本"是用于测试总体的子集。审计抽样的方法如表3-9所示。
表3-9 审计抽样方法分类表
| 类别 | 说明 |
|---|---|
| 统计抽样 | ● 采用客观的方法来确定样本量和样本抽取标准。统计抽样采用概率学原理,涉及计算样本量、抽取样本 ● 评价样本结果并做出推断。利用统计抽样,审计人员可以量化描述样本与总体的接近程度(评价抽样精度)以及用百分比表示的样本能够代表总体的概念(可靠性或置信水平)。有效的统计抽样结果是量化的 ● 常用的统计抽样方法有: ⓵属性抽样。固定样本量属性抽样或频率估计抽样——用于估计总抽样体中某种特性(属性)的发生比率(百分率)的抽样方法,属性抽样回答"有多少?"的问题。可被测试的属性的一个例子是计算机访问申请表上的批准签字。 ⓶变量抽样。变量抽样也称为金额估计抽样或平均值估计抽样,是一种由样本估计总体的货币金额或其他度量单位(如重量)的抽样技术。变量抽样的一个例子是检查组织重要交易的余额表及对生成余额表的程序实施的应用系统审计 |
| 非统计抽样 | 常指判断抽样——采用审计人员判断来确定抽样方法、样本量(从总体中抽取的一定数量的事项以执行测试)及抽样标准(选择哪一些事项用于测试)。抽样结果是基于审计人员对抽样事项或交易的重要性及风险的主观判断 |
3)计算机辅助审计技术
计算机辅助审计(Computer Assisted Audit Tools, CAAT),也称为利用计算机审计,是指审计人员在审计过程和审计管理活动中,以计算机为工具来执行和完成某些审计程序和任务的一种新兴审计技术。它并非电算化系统审计特有的一种方法,对手工系统的审计也可应用这些技术。
计算机辅助审计技术是审计人员在这种环境下收集信息的重要工具。由于系统有不同的硬件和软件环境、数据结构、记录格式或处理功能,如果没有软件工具来收集和分析记录内容,审计人员收集证据几乎是不可能的。CAAT也使得审计人员可以独立地收集信息,CAAT为针对既定的审计目标访问和分析数据提供了一种方法,并以系统记录的可靠性为重点报告审计发现。源信息可靠性是审计发现的保证基础。CAAT包括多种工具和技术,如通用审计软件 (GAS)、测试数据、实用工具软件、专家系统等。
4)大数据审计技术
大数据审计是指遵循大数据理念,运用大数据技术方法和工具,利用数量巨大、来源分散、格式多样的数据,开展跨层级、跨系统、跨部门和跨业务等的深入挖掘与分析,提升审计发现问题、评价判断、宏观分析的能力。大数据审计技术包括大数据智能分析技术、大数据可视化分析技术及大数据多数据源综合分析技术等,如表3-10所示。
表3-10 大数据审计技术(举例)
| 分类 | 说明 |
|---|---|
| 大数据智能分析技术 | 以各种高性能处理算法、智能搜索与挖掘算法等为主要研究内容,是目前大数据分析领域的大数据智能研究主流。该技术从计算机的视角出发,强调计算机的计算能力和人工智能,如各类面向大数据的机器学习和数据挖掘方法等。常用技术包括幻BTesting、关联规则分析、分类、聚类、遗传算法、神经网络、预测模型、模式识别、时间序列分析、回归分析、系统仿真等 |
| 大数据可视化分析技术 | 从人作为分析主体和需求主体的视角出发,强调基于人机交互的、符合人的认知规律的分析方法,目的是将人所具备的、机器并不擅长的认知能力融入数据分析过程中,如R语言、Python、D3.js、Leaflet等 |
| 大数据多数据源综合分析技术 | 大多数大数据多数据源综合分析技术是对采集来的各行、各业、各类大数据,采用数据查询等常用方法或其他大数据技术方法进行相关数据的综合对比和关联分析,从而发现更多隐藏的审计线索的技术 |
4.IT审计证据
审计证据是指由审计机构和审计人员获取,用于确定所审计实体或数据是否遵循既定标准或目标,形成审计结论的证明材料。审计证据是审计意见的支柱,是审计人员形成审计结论的基础。审计人员必须基于足够、相关和适当的审计证据,为其审计观点提供合理的结论。审计证据还可以被作为解除或追究被审计人经济责任的依据,并且审计证据还是控制审计工作质量的关键。
审计证据的特性是指审计证据内在性质和特征,具体体现为审计人员围绕这些性质和特征收集审计证据时应达到的基本要求。对审计证据的属性,在国际上有不同的描述。审计证据的特性如表3-11所示。
表3-11 审计证据的特性
| 分类 | 说明 |
|---|---|
| 充分性 | 指要求审计人员根据所获证据足以对被审计对象提出一定程度保证的结论,是对审计证据数量的要求,主要与审计人员确定的样本量有关 |
| 客观性 | 指审计证据必须是客观存在的事实材料。客观的审计证据比需要判断或解释的证据可靠 |
| 相关性 | 指审计证据与审计事项之间必须有实质性联系 |
| 可靠性 | 指审计证据能够反映和证实客观经济活动特征的程度。审计证据的可靠性受到审计证据的类型、取证的渠道和方式等因素的影响 |
| 合法性 | 指审计证据必须符合法定种类,并依照法定程序取得 |
电子证据是信息环境下经常使用的一种证据类型。电子证据是指以电子的、数据的、磁性的或类似性能的相关技术形式存在并能够证明事件事实真实情况的一切材料。刑事诉讼法中指出电子证据无论是形式还是证据规则都与传统证据有很大区别,高要求的技术规范,贯穿于电子证据的收集、提取、保存到出示、审查、判断、认证的各个环节。因此,通过司法解释缓解司法实践中的矛盾仅仅是权宜之计,彻底解决电子证据法律定位问题还是要从立法上予以突破,即应通过修改诉讼法或出台证据法典来明确电子证据的法律地位,赋予电子证据独立的法律地位,以电子证据取代视听资料的证据地位。
为了使收集到的分散、个别、不系统审计证据变成充分、适当、具有证明力证据,审计人员必须按照一定的方法对审计证据进行分类整理与分析,使之条理化、系统化,然后对各种审计证据进行合理归纳,并在此基础上形成恰当的整体审计结论。审计证据评价应考虑的因素包括证据提供者的独立性、提供信息/证据的个人资质、证据的客观性、证据的时效性、与审计目标的相关性、审计证据的说服力及审计证据的充分性。此外,在审计过程中还必须考虑取得审计证据的经济性,必须考虑成本效益原则,合理把握审计证据的充分性。
5.IT审计底稿
审计工作底稿是指审计人员对制订的审计计划、实施的审计程序、获取的相关审计证据,以及得出的审计结论做出的记录。审计工作底稿是审计证据的载体,是审计人员在审计过程中形成的审计工作记录和获取的资料。它形成于审计过程,也反映整个审计过程。审计底稿的作用表现在:
● 是形成审计结论、发表审计意见的直接依据;
● 是评价考核审计人员的主要依据;
● 是审计质量控制与监督的基础;
● 对未来审计业务具有参考备查作用。
审计工作底稿一般分为综合类工作底稿、业务类工作底稿和备查类工作底稿,具体如表3-12所示。
表3-12 审计工作底稿分类
|底稿类型|说明|
|综合类工作底稿|指审计人员在审计计划阶段和审计报告阶段,为规划、控制和总结整个审计工作并发表审计工意见所形成的审计工作底稿,主要包括:审计业务约定书、审计计划、审计总结、审计报告、管理建议书、被审计单位管理当局声明书以及审计人员对整个审计工作进行组织管理的所有|
|记录和资料作底稿|指审计人员在审计实施阶段为执行具体审计程序所形成的审计工作底稿,包括:符合性测试中形成的内部控制间题调查表和流程图、实质性测试中形成的项目明细表等|
|业务类工作底稿|指审计人员在审计过程中形成对审计工作仅具有备查作用的审计工作底稿。备查类工作底稿应随被审计单位有关情况的变化而不断更新;应详细列明目录清单,并将更新的文件资料随工时归档;应根据需要,将其中与具体审计项目有关的内容复印、摘录、综合后归入业务类审计工作底稿的具体审计项目之后。通常,备查类审计工作底稿是由被审计单位或第三者根据实际情况提供或代为编制,审计人员应认真审核,并对所取得的有关文件、资料标明其具体来源|
审计工作底稿作为审计人员在整个审计过程中形成的审计工作记录资料,在编制上应满足内容和形式两方面的要求:
● 内容要求包括资料翔实、重点突出、繁简得当、结论明确;
● 形式要求包括要素齐全、格式规范、标识一致、记录清晰。
通常,根据审计机构的组织规模和业务范围,可以实行对审计工作底稿的三级复核制度。审计工作底稿三级复核制度是指以审计机构负责人、部门负责人和项目负责人(或项目经理)为复核人,依照规定的程序和要点对审计工作底稿进行逐级复核的制度。三级复核制度目前已成为较为普遍采用的形式,对于提高审计工作质量、加强质量控制起了重要的作用。
为了维护被审计单位及相关单位的利益,审计机构对审计工作底稿中涉及的商业秘密保密,建立健全审计工作底稿保密制度。但由于下列两种情况需要查阅审计工作底稿的,不属于泄密情形:
● 法院、检察院及国家其他部门依法查阅,并按规定办理了必要手续;
● 审计协会或其委派单位对审计机构执业情况进行检查。
审计工作底稿按照一定的标准归入审计档案后,应交由档案管理部门进行管理,并确保审计档案的安全、完整。
3.2.3审计流程
审计流程是指审计人员在具体审计过程中采取的行动和步骤。科学、规范的审计流程不但是分配审计工作的具体依据,还是控制审计工作的有效工具,并同时具有的作用包括:
⓵有效地指导审计工作;
⓶有利于提高审计工作效率;
⓷有利于保证审计项目质量;
⓸有利于规范审计工作。
通常,审计流程的含义有广义和狭义两种之分。狭义的审计流程是指审计人员在取得审计证据、完成审计目标、得出审计结论过程中所采取的步骤和方法。广义的审计流程是指审计机构和审计人员对审计项目从开始到结束的整个过程采取的系统性工作步骤,一般分为审计准备、审计实施、审计终结及后续审计四个阶段,每个阶段又包含若干具体内容。
(1)审计准备阶段。IT审计准备阶段是指IT审计项目从计划开始,到发出审计通知书为止的期间。准备阶段是整个审计过程的起点和基础,准备阶段的工作是否充分、合理、细致,对提高审计工作效率,保证审计工作质量至关重要。准备阶段工作一般包括:
⓵明确审计目的及任务;
⓶组建审计项目组;
⓷搜集相关信息;
⓸编制审计计划等。
(2)审计实施阶段。IT审计实施阶段是审计人员将项目审计计划付诸实施的期间。此阶段的工作是审计全过程的中心环节,是整个审计流程的关键阶段,关系到整个审计工作的成败。实施阶段主要完成工作包括:
⓵深入调查并调整审计计划;
⓶了解并初步评估IT内部控制;
⓷进行符合性测试;
⓸进行实质性测试等。
(3)审计终结阶段。IT审计终结阶段是整理审计工作底稿、总结审计工作、编写审计报告、做出审计结论的期间。审计人员应运用专业判断,综合分析所收集到的相关证据,以经过核实的审计证据为依据,形成审计意见、出具审计报告。终结阶段的工作一般包括:
⓵整理与复核审计工作底稿;
⓶整理审计证据;
⓷评价相关IT控制目标的实现;
⓸判断并报告审计发现;
⓹沟通审计结果;
⓺出具审计报告;
⓻归档管理等。
(4)后续审计阶段。后续审计是在审计报告发出后的一定时间内,审计人员为检查被审计单位对审计问题和建议是否已经采取了适当的纠正措施,并取得预期效果的跟踪审计。后续审计并不是一次新的审计,而是前一次审计的有机组成部分。实施后续审计,可不必遵守审计流程的每一过程和要求,但必须依法依规进行检查、调查,收集审计证据,写出后续审计报告。
3.2.4审计内容
IT审计业务和服务通常分为IT内部控制审计和IT专项审计。IT内部控制审计主要包括组织层面IT控制审计、IT一般控制审计及应用控制审计;IT专项审计主要是指根据当前面临的特殊风险或者需求开展的IT审计,审计范围为IT综合审计的某一个或几个部分。有关IT内部控制审计与IT专项审计的具体内容如表3-13所示。
表3-13 IT审计业务分类表
大类名称 |
子类名称 |
审计内容 |
IT内部控制审计 |
组织层面IT控制审计、IT一般控制审计及应用控制审计 |
● 组织层面IT控制审计主要指对IT战略、组织、架构、业务连续性、风险管理、外包管理、网络与信息安全及监督管理等进行审计 |
| ● IT一般控制审计主要是指针对与应用系统、数据库、操作系统、网络相关的策略和措施等进行审计 | ||
| ● 应用控制审计是指针对业务流程层面运行的人工或自动化程序进行审计,主要包括输入控制、处理控制和输出控制的审计 | ||
| IT专项审计 | 信息系统生命周期审计 | 主要是对信息系统的规划、设计、开发、测试、运行和维护等进行审计 |
| 信息系统开发过程审计 | 主要围绕信息系统规划、设计、建设、实施是否符合IT架构和战略进行评估和监督 | |
| 信息系统运行维护审计 | 主要针对IT运维能力、IT运维流程策划、实施、监控改进等情况进行审计,内容包括基础设施的运行、系统的运行、维护、质量保证及IT服务管理等 | |
| 网络与信息安全审计 | 主要以网络与信息安全为核心,围绕安全相关的组织、人员、系统、设备和环境等,重点关注网络与信息安全相关流程、制度的执行情况,对相关法律法规的遵从性,包括适用的数据保护,个人隐私保护等合规要求 | |
| 信息系统项目审计 | 主要是通过对信息系统项目管理过程的评价,向管理层提供信息系统项目管理过程得到控制、监督并遵循最佳实践要求的合理保证 | |
| 数据审计 | 通过控制活动,负责定期分析、验证、讨论、改进数据安全管理相关的政策、标准和活动 | |
| ... | ... |
针对信息系统项目的专项审计,其目标是通过对信息系统项目管理过程的评价,向管理层提供信息系统项目管理过程得到控制、监督并遵循最佳实践要求的合理保证。信息系统项目管理审计内容与方法举例如表3-14所示。
表3-14 信息系统项目管理审计内容与方法举例
| 类别 | 审计内容 | 审计方法 |
|---|---|---|
| 组织管理 | ● 组织是否设立项目管理机构或明确项目管理职能的归属 ● 组织是否制定了项目管理制度与流程 ● 组织级的项目管理制度与流程是否全面合理 ● 是否对信息系统项目团队的组成、人员的配备及能力等进行要求 |
● 访谈组织级项目管理相关人员,了解组织级信息系统相关组织机构、项目管理制度及流程等的制定情况 ● 检查组织级信息系统相关组织机构的架构、职责与权限设计的合理性 |
| 项目启动与计划 | ● 项目启动会的组织是否规范 ● 项目管理目标是否清晰定义及跟踪 ● 是否建立与项目规模及重要程度相适应的项目管理团队并明确职责 ● 团队人员是否稳定 ● 是否存在职责不相容的情况 ● 项目人员配备及能力是否满足要求 ● 是否制订项目计划 ● 项目计划是否完备 |
● 访谈项目负责人,了解项目启动与计划的总体情况 ● 取得项目组织机构图、职责及人员配备,检查项目组织机构图、人员职责对应表的合理性;检查团队人员变更的情况 ● 取得项目资料(如项目合同、工作说明书、项目计划等),检查文档的编制是否符合要求,内容的全面性及合理性 |
| 项目实施与控制 | ● 项目干系人是否参与到项目活动中,发挥作用 ● 是否建立了科学、高效的项目沟通机制 ● 项目的资源是否有效利用 ● 项目是否进行了必要的配置管理 ● 项目的采购是否规范 ● 是否建立了适合组织的风险管理方法 ● 项目是否建立了绩效评价体系 ● 各阶段产生的文档是否合理、真实 ● 项目是否采取措施,有效地制订了进度计划、控制进度的活动 ● 项目是否建立规划质量、实施质量保证、实施质量控制的控制手段 |
● 访谈项目相关人员,了解项目实施与控制的总体情况 ● 检查与观察项目现场物理环境的控制情况 ● 访谈项目相关人员,询问文档有关内容 ● 取得项目相关文档(如项目审查记录和发布通知、项目有效性审查评估记录、项目安全事件记录等),检查文档编制的规范性以及相关控制的合理性 ● 取得应用系统的测试资料,检查测试过程控制的规范性,以及测试报告编制的合理性等 |
| 项目收尾管理 | ● 项目验收申请材料是否完整且规范 ● 是否建立项目验收流程 ● 项目验收评审流程是否规范 ● 是否在规定时间内完成项目验收 ● 项目质量是否达标 ● 第三方项目质量检测机构的流程是否规范,报告内容是否完整 |
● 访谈项目验收相关人员,了解项目收尾相关情况 ● 取得项目验收相关材料,检查材料编写的规范性、内容的合理性和全面性 |
| 工程方法审计 | ● 是否真实地进行了可行性调研 ● 可行性阶段产生文档是否合理 ● 是否对系统实施的技术方案和方法进行过论证 ● 是否编制项目需求计划?内容是否全面、合理 ● 是否编制概要设计文档?内容是否全面合理 ● 是否进行产品技术方案选型 ● 是否制定编码规范?内容是否全面合理 ● 是否每个开发人员都熟悉编码规范 ● 是否制订测试计划 ● 测试计划的内容是否全面、合理 ● 上线前是否对系统进行了确认测试,填写业务测试验收文档?是否得到客户的确认 ● 是否有系统运行的日志 |
● 访谈相关人员了解项目可行性研究情况 ● 取得项目投资报告及其审批文档,检查手续费的规范性、完整性 ● 检查信息来源的真实性及内容的合理性 ● 取得项目技术方案及其论证文档,检查对系统实施的技术方案和方法论证内容的全面性、合理性 ● 访谈相关人员,了解项目需求计划制订情况 ● 取得项目需求计划及评审、批准的相关记录 ● 检查项目需求计划的内容是否全面合理 |
3.3本章练习91
1选择题
(1)"计算机硬件故障或软件不足,易造成信息的损坏和丢失,导致数据处理过程中发生偶发错误",描述的风险类型是____。A
A.固有风险 B.控制风险 c.检查风险 D.审计风险
(2)____指审计人员在审计实施阶段为执行具体审计程序所形成的审计工作底稿。B
A.综合类工作底稿 C.备查类工作底稿 B.业务类工作底稿 D.技术类工作底稿
(3)关于IT审计范围的描述,不正确的是:____。
A.总体范围需要根据审计目的和投入的审计成本来确定
B.组织范围需明确审计涉及的组织机构、主要的流程、活动及人员等
c.逻辑范围需明确涉及的信息系统
D.物理范围需明确具体的物理地点与边界
(4)组织外包其软件开发,____是该组织IT管理的责任。D
A.作为开发人员参加系统设计 B.支付服务提供商 c.与服务提供商谈判合同 D.控制服务提供商遵守服务合同
(5)____不属于IT治理的三大主要目标。
A.与业务目标一致
C.有效利用信息与数据资源
B.质量控制
D.风险管理
(6)《信息技术服务治理第1部分:通用要求》标准不适用于____。
A.建立组织的IT治理体系并实施自我评价
B.组织的IT治理能力进行自我评价
C.研发、选择和评价IT治理相关的软件或解决方案
D.开展信息技术审计
(7)COBIT®2019核心模型中的治理和管理目标分为五个领域,____领域是由董事会和执行管理层负责。A
A.评估、指导和监控(EDM)
B.调整、规划和组织(APO)
C.内部构建、外部采购和实施(BAI)
D.交付、服务和支持(DSS)
2思考题
(1)IT治理的管理层次可分为三层:最高管理层、执行管理层、业务与服务执行层,请简要描述这3个层次的主要职责分别是什么?
参考答案:略
chatGPT
在IT治理中,管理层次可分为三个主要层次:最高管理层、执行管理层和业务与服务执行层。下面是每个层次的主要职责的简要描述:
- 最高管理层:
最高管理层通常由高级领导人、董事会成员或执行董事组成,他们对整个组织的战略方向和目标负责。在IT治理中,最高管理层的主要职责包括:
- 制定和审查IT治理策略和目标,确保其与组织整体战略一致。
- 确定IT治理框架、政策和流程,以保证信息技术的合规性和有效性。
- 监督整个IT治理过程,确保适当的风险管理和合规性控制。
- 提供足够的资源和支持,以实现IT治理的成功实施。
- 监督IT项目和投资决策,确保其与组织战略的一致性和回报。
- 执行管理层:
执行管理层位于最高管理层和业务与服务执行层之间,通常由高级IT管理人员和部门领导组成。他们负责将最高管理层的策略和目标转化为可执行的计划和行动。执行管理层的主要职责包括:
- 拟定和执行IT治理的详细计划和项目,确保其与最高管理层的战略方向一致。
- 确定IT治理的关键绩效指标和评估方法,以衡量IT治理的效果和结果。
- 管理IT资源和预算,以支持组织的IT治理需求。
- 协调各部门之间的合作与沟通,确保IT治理的协调和一致性。
- 监督IT服务提供商和合同管理,确保其满足组织的需求和合规性要求。
- 业务与服务执行层:
业务与服务执行层是IT治理中的操作层,负责实施和管理具体的业务和服务交付。这一层通常包括IT经理、项目经理和技术专家。业务与服务执行层的主要职责包括:
- 实施和管理IT治理流程和政策,确保其按照规定的标准和要求运行。
- 管理和维护IT基础设施和系统,以支持组织的日常业务和服务交付。
- 提供技术支持和问题解决,确保IT系统的高效运行和用户满意度。
- 协调和与其他部门合作,以实现IT服务的交付和集成。
- 监督IT团队的绩效和能力发展,确保其具备所需的技术和专业知识。
这些层次之间的合作和协调是IT治理的关键,以确保整个组织能够在信息技术的支持下实现战略目标,并管理风险和合规性。
(2)IT治理的核心内容包括哪6个方面,请简述?参考答案:略
chatGPT
IT治理的核心内容包括以下六个方面:
-
战略对齐(Strategic Alignment):战略对齐是确保组织的IT战略与业务战略相一致的过程。这意味着IT治理需要紧密关联组织的目标、愿景和战略,以确保IT资源和投资能够为业务增长和创新提供支持。战略对齐涉及制定IT治理框架、规划IT战略、明确IT目标和指标,并确保IT决策与业务需求相一致。
-
价值交付(Value Delivery):价值交付是通过IT资源和服务提供实际价值给组织的过程。IT治理需要确保IT投资能够产生预期的业务效益,并在业务流程中提供创新和改进。价值交付涉及优化IT项目和投资的选择和实施,有效管理IT服务交付,确保IT资源的高效利用,并评估IT投资的回报。
-
资源管理(Resource Management):资源管理涉及有效管理和利用IT资源,包括人员、技术、设备、基础设施和预算。IT治理需要确保资源分配和利用与业务需求相匹配,以支持组织的目标和战略。资源管理包括人员管理和发展、技术规划和评估、基础设施规划和维护,以及预算和成本管理。
-
风险管理(Risk Management):风险管理是识别、评估和管理与IT活动相关的风险的过程。IT治理需要建立有效的风险管理框架和流程,以确保IT决策和操作符合合规性要求,并能够及时应对和应对潜在的风险和安全威胁。风险管理涉及风险评估、风险缓解和控制措施的制定、安全性管理以及应急响应计划的制定。
-
绩效评估(Performance Measurement):绩效评估是对IT治理过程和结果进行定量和定性评估的过程。通过绩效评估,组织可以衡量IT治理的有效性和效率,并进行持续改进。绩效评估涉及定义和监控关键绩效指标(KPIs)、收集和分析数据、制定改进计划,并与最高管理层共享评估结果和建议。
-
合规性管理(Compliance Management):合规性管理是确保组织遵守法规、法律、标准和行业要求的过程。IT治理需要建立合规性框架和控制措施,以确保IT活动符合相关的法律和监管要求,保护组织和客户的利益,并降低法律和合规性风险。合规性管理涉及合规性评估、合规性政策和流程的制定、监督和报告,以及合规性培训和沟通。
这六个方面共同构成了一个完整的IT治理框架,可以帮助组织有效管理和利用信息技术,实现业务目标,并确保合规性和风险管理。
(3)请指出IT审计的常用方法,并根据你的理解举例说明信息系统项目管理可能使用的方法及具体运用。
参考答案:略
chatGPT
IT审计的常用方法包括以下几种:
-
审查文档和记录:审计人员会仔细审查与信息系统相关的文档和记录,如政策文件、操作手册、配置文件、系统日志等,以了解系统的配置、操作和记录情况。
-
独立验证和确认:审计人员会通过独立验证和确认系统的功能、配置和操作,以核实其是否符合规定的标准和要求。
-
抽样调查:由于审计通常面对大量的数据和信息,审计人员会使用抽样调查方法,从总体中选取样本进行审计,以评估整体的合规性和效果。
-
测试和演练:审计人员可能会进行系统的功能测试、安全演练和容灾演练,以评估系统的性能、安全性和应急响应能力。
-
问卷调查和访谈:审计人员可能会向系统用户、管理员和相关人员发送问卷或进行面谈,以获取关于系统使用、管理和风险控制方面的信息和意见。
信息系统项目管理可能使用的方法及具体运用有很多,以下是一些常见的方法及其具体运用示例:
-
项目计划和排期:项目管理可以使用甘特图、网络图等方法,对项目的任务、里程碑和关键路径进行计划和排期,确保项目按时交付。
-
风险管理:项目管理可以使用风险管理方法,如风险识别、风险评估和风险应对计划,以识别和管理项目中的潜在风险。
-
质量管理:项目管理可以使用质量管理方法,如制定质量计划、执行质量控制和进行质量审计,以确保项目交付的结果符合质量标准。
-
变更管理:项目管理可以使用变更管理方法,如变更控制、变更评估和变更记录,以管理项目中的变更请求和变更影响。
-
沟通管理:项目管理可以使用沟通管理方法,如制定沟通计划、组织会议和进行沟通跟踪,以确保项目相关方之间的有效沟通和信息共享。
举例来说,假设一个信息系统项目的目标是开发一个新的电子商务平台。在项目计划和排期阶段,项目管理团队可以使用甘特图来制定项目的时间表,并确定开发、测试、上线等关键任务的时间节点。在风险管理方面,团队可以识别潜在的风险,如安全漏洞、性能问题等,并制定相应的风险应对计划。在质量管理方面,团队可以制定质量计划,包括测试策略、测试用例和验收标准,以确保开发的电子商务平台符合质量要求。在变更管理方面,团队可以建立变更控制流程,确保任何变更都经过评估和记录,并最终决策是否进行变更。在沟通管理方面,团队可以制定沟通计划,明确项目各方的沟通需求,安排定期会议和报告,确保项目进展和问题及时沟通和解决。
以上是一些信息系统项目管理常用的方法和具体运用示例,根据具体项目的需求和情况,还可以使用其他方法和工具来支持项目的顺利实施和交付。