治理是管理的控制
IT治理:关注风险
治理的驱动因素:
信息孤岛
资源整合目的空泛,缺少规划
目标价值:
与业务目标一致
有效利用信息资源
风险管理
管理层次:
最高管理层:董事会、证实***、战略
执行管理层:中层,具体目标制定
业务与服务执行层:提供和支持,建设和维护、提出和响应
IT治理关键决策:
IT原则、IT架构、IT基础设施、业务应用需求、IT投资和优先顺序
治理经验:
简单、透明、合适
IT治理通用要求:
GB/T 34960.1适用于
建立组织的IT治理体系、实施自我评价
开展信息技术审计
研发、选择和评价IT治理相关的关键或解决方案
第三方对组织的IT治理能力进行评价
GB/T 34960.2适用于
建立组织的IT治理框架、明确实施方法和过程
组织内部开展IT治理实施
IT治理相关软件或解决方案的落地
第三方开展IT治理评价指导
信息和技术治理框架
调整、规划和组织APO针对IT整体组织、战略和支持活动
内部构件、外部采购和实施BAI针对IT解决方案的定义、采购和实施
交付、服务和支持DSS针对IT服务的运营交付和支持,包括安全
监控、评价和评估MEA针对IT服务的性能监控及其内部性能目标、内部控制目标和外部要求的一致程度
治理流程通常由董事会和执行管理层负责,评估、指导和监控领域
而管理流程由高级和中级管理层的职责范围内,监控、评价和评估
COBIT治理系统设计工作流程:
了解组织环境和战略
确定治理系统的初步范围
优化治理系统的范围
最终确定治理系统的设计
IT审计
审计范围:
总体范围: 目的
组织范围:明确涉及的组织机构、流程和人员
物理范围:具体的物理地点与边界
逻辑范围:设计的信息系统和逻辑边界
IT审计风险
固有风险:本社具备的,只能评估,无法控制的、易于导致重大错误的
控制风险:内部控制体系不能及时预防的
检查风险:通过预定程序未能发现的
总体审计风险 :各类风险的总和
审计方法:
访谈、调查、检查、等
审计技术:
风险评估技术
审计抽样:适用于时间和成本都不允许对既定总体中所有交易或事件全面审计的
计算机辅助审计
大数据审计:智能分析、可视化、多数据源综合分析
审计证据:
特性:充分、客观、相关、可靠、合法
审计底稿:
作用:
形成结论、发表意见的直接依据
评价考核审计人员的依据
审计质量控制和监督
对未来审计参考备查
分类:
综合类: 审计计划阶段、框架性的,规划总结
业务类:具体某个方面具体实施的
备查类:被审单位或第三方编制的,时候追溯查找,存档用的
三级复核:审计机构负责人、部门负责人、项目负责人(或项目经理)为复核人
审计流程:
审计准备:计划开始到发出通知书期间;明确任务、组建审计组织、搜集信息、编制计划
审计实施:
审计终审:总结报告、文档
后续审计: 跟踪整改
审计内容:
内部控制审计
专项审计
82 87 81