信息系统审计 课件 【ch02】IT 治理

IT治理第二章高等院校公共课系列精品教材信息系统审计IT治理概述0101IT治理的概念IT治理是信息系统审计和控制领域中一个相当重要的概念。它是企业治理在信息时代的重要发展，是企业治理的一部分，用于描述企业或组织是否采取有效机制，使IT应用能够完成组织赋予的使命，平衡信息技术和流程的风险，保证组织战略目标的实现。02IT治理的目标与业务目标一致有效利用信息资源IT治理要从组织目标和信息化战略中抽取信息需求和功能需求，形成总体的IT治理框架和系统整体模型，为进一步系统设计和实施奠定基础，保证信息技术跟上持续变化的业务目标。由于信息化工程超期，导致客户的需求没有得到较好的满足，IT平台不支持业务应用等问题较为突出。IT治理可以对信息资源的管理职责进行有效管理，保证投资的回收，并支持决策。02IT治理的目标风险管理由于企业或组织越来越依赖信息技术和网络，因此新的风险不断涌现。IT治理强调风险管理，通过制定信息资源的保护级别，强调对关键的信息技术资源实施有效监控和做好事故处理。IT治理使企业或组织可以适应外部环境变化，在内部的业务流程中实现对资源的有效利用，从而达到提高管理效率和经营水平的目的。IT治理的目标是帮助管理层树立以组织战略为导向、以外界环境为依据、以业务与IT整合为中心的观念，正确定位IT部门在整个组织中的作用；最终能够针对不同业务发展要求，整合信息资源，制定并执行推动组织发展的IT战略。03IT治理可以解决的问题发现信息技术本身的问题帮助管理者处理IT问题例如，是否有足够的IT资源、基础设施、竞争力来满足战略目标；信息技术操作的失误原因；IT没有推动业务改善而是阻碍业务的次数。例如，IT和组织战略目标的一致性程度怎么样；怎样衡量IT交付的效果；管理人员采取什么样的手段来管理和运用IT;IT与企业或组织的运营与成长管理相关的问题；对IT相关风险(风险规避和风险承担)是否有清楚的认识；有没有最新的IT风险清单，要采取哪些行动防范这些风险。03IT治理可以解决的问题自我评估IT管理的效果例如，是否向最高管理层定期汇报IT风险；最高管理层是否就组织的战略目标与信息技术一致性进行阐明和沟通；最高管理层对主要IT投资是否有清楚的观点，包括风险和回报；最高管理层是否能定期得到主要IT过程的报告；最高管理层在获取IT目标和限制IT风险时是否得到独立的保证。IT治理就是要明确有关IT决策权的归属机制和有关IT责任的承担机制，从而鼓励应用IT预期行为的产生，将战略目标、业务目标和IT目标联系起来，让企业或组织从IT中获得最大价值。04IT治理与信息系统审计的关系那么IT治理与信息系统审计又是怎样一种关系呢?从图2-1可以看出，在IT治理的八大部分内容中，信息系统审计居于核心位置，信息系统审计能够对其他七个部分进行审计。也就是说，信息系统审计对于IT治理中存在的问题是一种监督检查和促进IT治理的作用，但它不能替代IT治理。信息系统审计是IT治理的组成部分，IT治理的好坏在很大程度上取决于信息系统审计。这就相当于独立审计与企业治理的作用一样，正是企业治理问题的出现才产生了对独立审计和独立审计师的需要，而独立审计又能促进企业所有权与控制权分离，促使受托责任的实现，发挥企业治理的最大作用。企业的IT治理0201企业的IT治理IT治理和企业治理的关系企业治理的定义是：为确定组织目标和确保目标实现的绩效监控所提供的治理结构。IT治理的定义是：IT治理是一种引导和控制企业各种关系和流程的结构，这种结构安排，旨在通过平衡信息技术及其流程中的风险和收益，增加价值，以实现企业目标。IT治理和企业治理的关系如图2-2所示。01企业的IT治理IT治理和企业治理的关系IT治理的一个关键问题是企业的IT投资是否与其战略目标一致，从而建立必要的核心竞争力。因为企业目标变化太快，很难保证企业的IT建设始终契合其商业目标，所以需要有多方面的协调来确保IT治理继续朝着正确的方向发展，这也是IT投资者真正关心的问题。因此，IT建设时应体现出未来信息技术与企业未来发展方向的战略整合，即要尽可能地保持开放性和长远性，以确保系统的稳定性和延续性。01企业的IT治理IT治理和企业治理的关系IT治理中比较有效的做法是，在信息化建设的规划阶段仔细分析企业战略和IT治理之间的关系，合理预测环境变化可能给企业战略带来的偏差，在规划中留出适当的空间，从业务战略到信息战略，要通过务实来牵引，而不是追求大而全的建设思路。IT治理有助于建立一个灵活且适应性强的企业，使其能够迅速感知市场正在发生的变化并从中学习，从而创新产品、服务、渠道、过程；迅速变化，将革新带入市场，衡量业绩。IT治理应体现“以组织战略目标为中心”的理念，通过合理配置IT资源来创造价值。企业治理侧重于企业的整体规划，而IT治理侧重于企业信息资源的有效利用和管理。企业目标在于远景和商业模式，IT目标在于商业模式的实施。01企业的IT治理IT治理和企业治理的关系企业目标在于远景和商业模式，IT目标在于商业模式的实施。企业目标与IT目标之间的关系如图2-3所示。01企业的IT治理IT治理和IT管理IT管理属于企业信息系统的运营，它确定企业的IT目标，以及为实现此目标所采取的行动；而IT治理是指最高管理层利用它来监督管理层在IT战略上的过程、结构和联系，以确保这种运营处于正确的轨道之上。这就像一个硬币的两面，谁也不能脱离对方而存在。由此可见，IT管理就是在既定的IT治理模式下，管理层为实现企业的目标而采取的行动。01企业的IT治理IT治理和IT管理IT治理规定了整个企业IT运作的基本框架，IT管理则是在这个既定的框架下驾驭企业奔向目标。缺乏良好IT治理模式的企业，即使有“很好”的IT管理体系，也像一座地基不牢固的大厦；同样，企业没有畅通的IT管理体系，单纯的IT治理模式也只能是一个美好的蓝图，而缺乏实际的内容。就我国目前信息化建设的现状而言，无论是IT治理，还是IT管理，都是迫切需要不断创新和建设的。01企业的IT治理IT治理和IT管理01企业的IT治理管理层在IT治理方面的职责管理层在IT治理方面的职责如表2-1所示。IT治理的核心问题0301IT治理的核心问题IT治理的核心问题体现在以下五种IT决策上。(1)IT原则：阐述IT的商业作用。(2)IT架构：定义集成和标准化的要求。(3)IT基础设施：决定共享和可提供的服务。(4)商业应用需求：确定购买或内部开发应用的商业需求。(5)IT投资：选择资助哪一个项目及投入多少资金。01IT治理的核心问题IT原则IT原则是指企业或组织的IT事业指导方针。也就是说，企业或组织想从IT所提供的服务中得到什么，以及如何在IT上进行投入。在企业或组织的战略发展规划中，通过构建先进适用的IT业务运作平台和管理平台，发挥其基础支持作用，并根据企业或组织的战略方向和业务原则，制定以下的IT原则：技术领先原则；技术和信息集中原则；对业务的全过程风险控制原则；统一、灵活、可扩张性强的基础设施建设原则；实现业务目标，并可对新应用快速部署；完备、可测、可控的运行流程和开发管理流程；利用行业标准；以客户为中心来评估产品的使用效果。01IT治理的核心问题IT架构IT架构是指所有构成信息系统的不同元素及这些元素之间的关联关系，它通过一系列的规则来达到业务流程、数据格式、IT运行的标准化和一体化，以此为基础设施、商业应用、IT投资提供指导方针。简单来讲，IT架构就是设计好IT建设的方向，比如由谁来实施、如何实施、采用什么技术或标准、投资多少和周期多长等，IT架构在执行过程中具有指导和把握方向的作用。因此IT架构决策对于有效的IT治理而言至关重要，它往往是决定IT能力的关键因素。01IT治理的核心问题IT基础设施IT基础设施是企业或组织信息化运营的基础，是运营整个组织所必需的一系列物理设备和应用软件的集合，也是由管理层预算所决定的组织范围内的人和技术能力的服务集合。人们经常提到的信息技术硬件、软件、服务方面的投资，其实就是IT基础设施。对于企业或组织来说，这些设施能够为客户服务、供应商联系和内部管理打好基础。IT基础设施应该是可靠、可共享和可扩展的。有远见的基础设施规划不仅可以对业务的良好发展起到积极的推动作用，而且会节约成本，反之则会导致资源浪费、工期延误及客户流失。01IT治理的核心问题IT基础设施从20世纪60年代至今，IT基础设施的迭代已经走过了5个阶段：通用主机及小型计算机阶段；个人计算机阶段；客户机、服务器阶段；企业级计算阶段；云计算及移动计算阶段。基础设施的投资是需要进行资产管理的，有“渐进式”和“爆发式”两种投资策略，分别对应基础设施更新换代中的“进化式”和“断代式”策略。经验证明，渐进式投资策略优于“爆发式”投资策略，主要在于有历史投资和经验可以传承。01IT治理的核心问题商业应用需求尽管五种IT决策都涉及IT的商业价值，但只有满足特定的商业需求才能实现其价值。分析和明确商业应用需求的目的就是为了进行信息系统开发。所谓的需求，就是信息化建设的需求。如果一个业务不需要信息系统就能有效开展，就不需要进行需求分析，直接开展业务即可。进行需求分析，就是为开发信息系统服务，是为了让系统开发者明白其需要开发一个怎样的信息系统，如需要什么功能，有什么样的输入/输出，有什么样的交互界面，业务处理的规则是什么等。当然，在分析和明确商业应用需求的过程中，有可能使得业务人员更加清晰地理解原来的业务，进而对其业务进行重新定义，因此技术创新可以优化或重构原有的业务流程。这种优化和重构将在软件系统不断的升级迭代中，逐步推动企业或组织革新和发展，形成业务与技术之间的良性互动。01IT治理的核心问题

IT投资IT投资决策需要处理三个重要问题：投资多少经费?往哪里投?如何协调不同投资者的需求?由于投资回报的不确定性，一般会参考业界同行的投资标准，但这些标准只能作为参考基准。因为不同的企业或组织对IT有不同的战略预期，有远见的最高管理层应该关注IT的战略作用，从而建立相应的投资标准。此外，如何分配IT投资，构成有效的IT投资组合是管理者最为关注的问题。这个问题对不同企业或组织有不同的标准，以下几点是考虑的重点。01IT治理的核心问题

IT投资(1)对IT投资进行管理。这种管理应该具有可以量化的指标体系，而且要在投资者和被投资者之间达成一致，即便同一个单位内部也应区分IT投资部门和IT使用部门，即在单位内部也进行成本摊销与核算。(2)对IT资产进行分类。IT资产通常可分为四类：战略层面(为了获得竞争优势)、信息层面(为了提供信息)、事物层面(为了降低处理事物的成本)和基础设施层面(为了提供共享服务和集成)。一个清晰具体的分类，有助于确定IT投资策略的优先级，使利益最大化。(3)对IT投资进行风险评估。正如任何商业投资决策都有风险一样，IT投资也让企业或组织面临四大风险：财务风险、市场风险、组织风险和技术风险。需要全面分析及反复权衡才能确保IT投资成功。IT投资风险评估通常更注重财务风险和技术风险，而容易忽略市场风险和组织风险，这就可能导致投资回报率低或项目永远无法完成的情况。这是一个需要注意的常见问题。IT治理的标准0401IT治理的标准IT治理框架和标准汇总见表2-2所示。该表列出了IT治理框架的内容及其标准，目前国际上通行的IT治理标准主要有五个：COBIT、ITIL、ISO/IEC38500、PRINCE2和ISO27001。01IT治理的标准IT治理框架和标准汇总见表2-2所示。该表列出了IT治理框架的内容及其标准，目前国际上通行的IT治理标准主要有五个：COBIT、ITIL、ISO/IEC38500、PRINCE2和ISO27001。01IT治理的标准COBITCOBIT(ControlObjectivesforInformationandrelatedTechnology),即信息系统和技术控制目标。国际信息系统审计协会(ISACA)于1996推出了用于信息系统审计的知识体系COBIT,现已更新到COBIT2019。COBIT在风险、控制和技术之间构建了全面的框架，为组织IT治理和管理起到指引的作用，以支持企业或组织实现其IT治理和管理的目标。COBIT将企业或组织的战略规划作为重要的因素，对业务环境和业务战略进行分析，并将战略规划所产生的政策、目标、行动规划作为信息技术的关键因素，并由此确定IT准则。在COBIT标准的指导下，企业或组织利用控制目标体系，分别从“调整、计划和组织”“建立、获取和实施”“交付、服务和支持”“监控、评价和评估”过程对信息资源进行控制和管理。01IT治理的标准ITILITIL(InformationTechnologyInfrastructureLibrary),即信息技术基础构架库，是一套被广泛承认的用于有效IT服务管理的实践准则。ITIL主要包括六个方面的管理内容，即业务管理、服务管理、应用管理、安全管理、信息技术服务管理规划与实施、基础设施管理。服务管理是它的核心模块，包括两个过程：“服务交付”和“服务支持”。ITIL关注IT服务过程并考虑了使用者的核心作用，对IT的应用、管理、变更、运维等方面提出了要求，明确每个阶段、每个环节的要求、目标和工作流程。01IT治理的标准IT治理——ISO/IEC38500ISO和IEC在2008年发布了ISO/IEC38500系列标准，这是有关IT治理方面的国际标准，它的出台不仅标志着IT治理从概念模糊的探讨阶段进入了一个正确认识的发展阶段，而且也标志着信息化正式进入IT治理时代。这一系列标准在发布后又陆续进行了更新和增补，截至2022年已包含21个具体标准，其中有以下几个主要标准。01IT治理的标准IT治理——ISO/IEC38500ISO/IEC38500:2008《信息技术IT治理》,给出了IT治理的六个原则(职责、策略、获取、绩效、合规、人员行为)和治理模型，并通过引入评估、指导、监督三个主要治理任务与治理原则构成6×3的治理原则实施矩阵；ISO/IEC38500:2008中给出了IT治理模型，模型中描述了治理主体需要结合外部环境的要求，在评估现状后进行战略决策指导组织对IT的利用，同时监控对IT利用的绩效(见图2-5)。01IT治理的标准IT治理——ISO/IEC38500ISO/IEC38501:2012《信息技术IT治理实施指南》,此标准根据治理模型设计了四个主要的实施过程，并通过环境、范围、架构、角色、职责、策略、流程等内容提出了IT治理实施框架，进一步规范了IT治理实施过程。ISO/IEC38502:2012《信息技术IT治理框架和模型》,此标准将治理原则、IT业务计划、IT管理体系、IT利用过程、IT利用的策略、风险管理等关键要素构成整体，形成IT治理的框架。ISO/IEC38504:2016《基于原则IT治理架构》,此标准以技术报告的形式提出了基于原则的方法论，规定了原则中需要包含的信息项，旨在为其他标准应用基于原则的方法论提供指导。01IT治理的标准IT治理——ISO/IEC38500ISO/IEC38505-1:2021《数据治理》,此标准将ISO/IEC38500:2008的核心思想和模型应用在数据的场景下，在规范数据利用过程(采集、存储、报告、决策、发布、废弃)的同时，从价值、风险和约束三个视角阐述数据治理应关注的主要内容，同时构建数据利用过程和主要内容之间6×3的关系矩阵。ISO/IEC38505-2:2021《数据治理对管理的影响》,此标准以研究报告的形式深化了数据治理国际标准第一部分的工作。通过进一步分析，以数据治理的视角深入数据管理，为最高管理层(董事会)和管理执行层提供监督和评估的具体内容。01IT治理的标准PRINCE2PRINCE2(ProjectsInControlledEnvironments),即受控环境中的项目管理，是一种基于过程的结构化的项目管理方法。PRINCE2描述了一个项目如何被切分成一些可供管理的过程，对每个过程定义关键输入、需要执行的关键活动和特殊的输出目标，以便高效地控制资源的使用和在整个项目周期执行常规的监督流程。PRINCE2的视野并不仅限于对具体项目的管理，还涵盖了在组织范围内对项目的管理。01IT治理的标准ISO27001ISO27001信息安全管理实用规则起源于英国标准协会(BSI)于1995年颁布的BS7799标准。1999年BSI对该标准进行了修改。ISO27001是一套全面性很强的实施规则，为信息安全管理提供了参照，并且适用各种规模类型的组织。目前，在信息安全管理方面，英国标准ISO27001已经成为世界上应用最全面的、最权威的信息安全管理标准，适用于各种性质、各种规模的组织，如政府、银行、电信、研究机构、外包服务企业、软件服务企业等。该标准偏重安全，从组织架构、人力、安全策略、访问控制等11个方面提出了信息系统管理的要求和操作实践。该标准已被我国颁布为国家标准(GB/T22080-2008和GB/T22081-2008)。信息系统审计准则0501ISACA信息系统审计基本准则国际信息系统审计协会(ISACA)主要致力于信息系统审计准则的制定与发布工作。截至2013年12月，ISACA发布的规范包括16项基本准则、41项审计指南和11项作业程序，这些规范层次清晰、可操作性强。ISACA的信息系统审计准则体系类似注册会计师审计准则体系，ISACA的信息系统审计准则体系由基本准则、审计指南和作业程序构成，该框架为信息系统审计人员的执业提供了多层次的指引。虽然ISACA成立于1969年，但其基本准则的制定经历了一段很长的时间，至1997年才发布信息系统审计基本准则，包括审计章程、独立性、职业道德和准则、职业技术、审计计划、实施审计工作、报告和后续工作八个部分，该准则于1997年7月25日开始生效。随着审计指南与作业程序的制定与发布，以及对信息系统审计基本准则可扩展性的考虑，ISACA于2005年将1997年所发布的信息系统审计基本准则拆分为八个基本准则，并对原有内容根据信息技术发展状况进行了修订。同时，于2005年9月之后陆续发布了S9到S16八个基本准则。02ISACA信息系统审计基本准则与审计指南、审计程序的关系ISACA信息系统审计基本准则、审计指南与审计程序关系如图2-6所示。图2-6所显示的关系为国际信息系统审计师的执业提供了多层次的指引。第一层次：信息系统审计基本准则。信息系统审计基本准则是整个信息系统审计准则体系的总纲，是制定信息系统审计指南和审计程序的基础依据。它规定了审计章程及审计过程(从计划、实施、报告到跟踪)必须达到的基本要求，是注册信息系统审计师(CISA)的资格条件、执业行为的基本规范，表明了管理层和其他利益方对执业者在专业工作上的期待，最新的信息系统审计基本准则分为11大类，共43条，只要是CISA执行审计业务、出具审计报告，就必须遵守执行，具有强制性。如果CISA未能遵守执行，ISACA董事会和相应委员会将会对其进行调查并给予纪律处分。02ISACA信息系统审计基本准则与审计指南、审计程序的关系第二层次：信息系统审计指南。信息系统审计指南是依据信息系统审计基本准则制定的，是信息系统审计基本准则的具体化，为信息系统审计基本准则体系中11大类标准的实施提供了指引，图2-6中的虚线箭头反映了此关系。它详细规定了CISA实施审计业务、出具审计报告的具体指引，为CISA在执行审计业务中如何遵循审计准则提供指导。CISA在执业过程中参考这些指南时要有职业判断，任何偏离信息系统审计基本准则的行为都要有充分的理由。02ISACA信息系统审计基本准则与审计指南、审计程序的关系第三层次：信息系统审计程序。信息系统审计程序是依据信息系统审计基本准则和信息系统审计指南制定的。它为CISA提供了一般审计业务(尤其是审计计划和审计实施阶段的业务)的程序和步骤，是遵守基本准则和指南的一些通常审计程序，它为CISA提供了很好的工作范例。但这仅是CISA的一个参照而已，它所提供的只是CISA在审计时能满足审计准则要求的通常做法，但并不要求CISA在执行具体的审计业务时强制执行，CISA要根据特定的信息系统和特定的技术环境做出自己的职业判断，选择适当的审计程序。02ISACA信息系统审计基本准则与审计指南、审计程序的关系此外，图2-6中信息系统审计基本准则可以分为4个部分：(1)审计章程或审计业务约定书；(2)对审计师职业资格的要求，包括独立性、职业道德和职业能力的要求；(3)从计划、实施、报告到后续这4个审计过程；(4)其他，包括不正当及非法行为、信息系统管理、审计计划中风险评估的利用。02ISACA信息系统审计基本准则与审计指南、审计程序的关系03ISACA信息系统审计基本准则的内容审计章程独立性(1)信息系统审计职能机构或信息系统审计任务的目的、责任、权限及职责，应在审计章程或审计业务约定书中载明。(2)审计章程或审计业务约定书应得到组织中适当的管理层的同意和批准。(1)职业独立性：信息系统审计师在从事审计事项时，应该在实质和形式上独立于被审计方。(2)组织独立性：信息系统审计职能机构应充分独立于被审计单位，以实现审计目标。03ISACA信息系统审计基本准则的内容专业胜任能力审计计划(1)担任信息系统审计工作的审计师应当具备审计工作所必需的专门技能与学识。(2)信息系统审计师要通过充分且持续的职业后续教育，以保持和提高其专业胜任能力。(1)信息系统审计人员应依据审计目标和相应的法律和审计准则，对信息系统审计工作编制计划。(2)信息系统审计人员应采取基于风险的审计方法。(3)信息系统审计人员应编制详细的审计计划，包括审计性质、目标、范围和所需的资源。(4)信息系统审计人员应编制审计程序和步骤。03ISACA信息系统审计基本准则的内容审计实施(1)监督：信息系统审计人员应受到适当的监督，以确保实现审计目标，并遵守审计基本准则。(2)在信息系统审计过程中，信息系统审计人员应当搜集充分的、可靠的、相关的和有用的证据，以有效实现审计目标。审计发现和审计结论必须以合理地分析、利用审计证据为基础。(3)审计底稿：审计过程应该有书面记录，以表明审计工作和审计证据支持信息系统审计人员的发现和结论。(1)信息系统审计师应遵守信息系统审计及控制协会规定的职业道德准则。(2)信息系统审计师应保持应有的职业审慎态度，并坚持以审计基本准则为执业标准。职业道德及准则03ISACA信息系统审计基本准则的内容后续审计(1)信息系统审计人员在完成审计工作后，应向委托者出具按照适当的格式编制的审计报告。审计报告应当标明机构名称、审计报告报送对象及报告使用限制。(2)审计报告应当说明审计范围、审计目标、审计工作所涵盖的期间及所执行审计工作的性质和内容。(3)审计报告应当说明审计人员执行审计工作中所发现的问题、形成的结论和建议及审计师关于审计的任何保留意见。(4)信息系统审计人员应该有充分的、适当的审计证据来支持所报告的审计结论。(5)审计报告签发时，信息系统审计人员应该依据审计章程或审计业务约定书中的规定签名、签署日期再对外发放。审计实施信息系统审计人员应当要求并评价被审计单位对审计发现的问题、结论及建议采取处理措施，以判断被审计单位是否已及时、妥善地处理了相关问题。03ISACA信息系统审计基本准则的内容(1)在计划和实施审计工作时，信息系统审计人员应该考虑不合规和非法行为等可能带来的审计风险。(2)无论不合规和非法行为的风险评估结果如何，信息系统审计人员在实施审计作业时都要对由于不合规和非法行为而导致的重大误报的可能性保持职业怀疑的态度。(3)信息系统审计人员应该了解组织及其所处的环境，包括内部控制。(4)信息系统审计人员应该获得充分的、适当的审计证据来确定组织内的管理层或其他人是否了解任何事实上的或可能的不合规和非法行为。(5)在了解组织及其所处的环境时，信息系统审计人员应该注意那些不正常的关系人员，这些人员可能因为实施不合规和非法行为而导致重大误报。不合规和非法行为03ISACA信息系统审计基本准则的内容(6)信息系统审计人员应该设计和实施测试程序，以测试内部控制的适当性和是否存在管理层超越控制的情况。(7)当信息系统审计人员确认被审计方存在误报事实时，审计人员应该评估该误报是否