信息系统治理
IT治理
信息系统治理 是组织开展信息技术及其应用活动的重要管控手段, 起到重要的统筹、评估、指导和监督作用。信息技术审计 是 IT 治理不可或缺的评估和监督工具, 承担着 合规性检测以及信息技术风险的管控等职能。
IT 治理是描述组织采用有效的机制对信息技术和数据资源开发利用,平衡信息化发展和数字化转型过程中的风险,确保实现组织的战略目标的过程。
IT 治理主要目标包括:与业务目标一致、有效利用信息与数据资源、风险管理。
治理的管理层次
管理层次大致可分为三层:最高管理层、执行管理层、业务与服务执行层。
高管理层的主要职责包括:证实 IT 战略与业务战略是否一致;
执行管理层的主要职责包括:制定 IT 的目标;分析新技术的机遇和风险;
业务及服务执行层的主要职责包括:信息和数据服务的提供和支持;
IT 治理体系
IT 治理体系的具体构成包括:
1 IT定位 ;
2 IT 治理架构;
3 IT 治理内容 ;
4 IT 治理流程 ;
5 IT 治理效果 。
IT治理关键决策
有效的 IT 治理必须关注五项关键决策, 包括 IT 原则、 IT 架构、 IT 基础设施、业务应用需求、 IT 投资和优先顺序。
IT 治理体系框架
IT 治理体系框架具体包括: IT 战略目标、 IT 治理组织、 IT 治理机制、 IT 治理域、 IT 治理标准和 IT 绩效目标。
IT 治理核心内容
IT 治理本质上关心:①实现 IT 的业务价值;② IT 风险的规避。 IT 治理的核心内容包括六个方面:组织职责、战略匹配、资源管理、价值交付、风险管理和绩效管理。
IT 治理方法与标准
①我国信息技术服务标准库 ITSS 中 IT 治理系列标准;
②信息和技术治理框架 COBIT ;
③ IT 治理国际标准 ISO /IEC38500。
ITSS 中 IT 服务治理
1 IT 治理通用要求
《信息技术服务治理第1部分:通用要求》规定了 IT 治理的模型和框架、实施 IT 治理的原则,以及开展 IT 顶层设计、管理体系和资源的治理要求。该标准可用于:
①建立组织的 IT 治理体系,并实施自我评价;
②开展信息技术审计;
③研发、选择和评价 IT 治理相关的软件或解决方案;
④第三方对组织的 IT 治理能力进行评价。
该标准定义的 IT 治理框架包含信息技术顶层设计、管理体系和资源三大治理域。
2 IT 治理实施指南
《信息技术服务治理第2部分:实施指南》 适用于:
①建立组织的 IT 治理实施框架,明确实施方法和过程;
②组织内部开展 IT 治理的实施;
③ IT 治理相关软件或解决方案实施落地的指导;
④第三方开展 IT 治理评价的指导。
信息和技术治理框架
COBIT 框架 , 治理流程通常由董事会和执行管理层负责,而管理流程则在高级和中级管理层的职责范围内。
董事会和执行管理层负责评估、指导和监控 EDM 领域。
高级和中级管理层的职责包括:
①调整、规划和组织 APO 领域
②内部构建、外部采购和实施 BAD
③交付、服务和支持 DSS
④监控、评价和评估 MEA 领域。
IT 治理国际标准
该标准规定治理机构应通过评估、指导和监督三个主要任务来治理 IT 。
IT审计
为了有效控制 IT 风险,有必要对组织的信息系统治理及 IT 内控与管理等开展 IT 审计,充分发挥 IT 审计监督的作用,提高组织的信息系统治理水平,促进组织信息系统治理目标的实现。
IT 审计重要性是指 IT 审计风险包括固有风险、控制风险、检查风险 对组织影响的严重程度,如:财务损失、业务中断、失去客户信任、经济制裁等。
IT 审计的目的是指通过开展 IT 审计工作, 对组织是否实现 IT 目标进行审查和评价,充分识别与评估相关 IT 风险,提出评价意见及改进建议,促进组织实现 IT 目标。
IT 审计风险主要包括固有风险、控制风险、检查风险和总体审计风险。
固有风险:
●含义:是指 IT 活动不存在相关控制的情况下,易于导致重大错误的风险。
●特点:固有风险是 IT 活动本身所具有的,审计人员只能评估,却无法控制或影响它:固有风险的衡量是主观的,复杂的,不同的 IT 活动其固有风险水平不同
控制风险:
●含义:是指与 IT 相关的内部控制体系不能及时预防或检查出存在的重大错误的风险。
●特点:与内部控制制度执行的有效性有关,与审计无关,属于内部控制的范畴,审计人员只能评估其风险水平而不能对其实施控制和影响。其风险水平的衡量由于需要兼顾传统内部控制的思想和计算机系统管理的知识,因而较为复杂且难以准确计量。
检查风险:
●含义:检查风险是指通过预定的审计程序未能发现重大、单个或与其他错误相结合的风险。
常用审计方法包括:访谈法、调查法、检查法、观察法、测试法和程序代码检查法。
常用的 IT 审计技术包括风险评估技术、审计抽样技术、计算机辅助审计技术及大数据审计技术。
审计工作底稿一般分为综合类工作底稿、业务类工作底稿和备查类工作底稿。
综合类工作底稿指审计人员在审计计划阶段和审计报告阶段,为规划、控制和总结整个审计工作并发表审计意见所形成的审计工作底稿。
业务类工作底稿指审计人员在审计实施阶段为执行具体审计程序所形成的审计工作底稿。
备查类工作底稿指审计人员在审计过程中形成对审计工作仅具有备查作用的审计工作底稿。 通常,备查类审计工作底稿是由被审计单位或第三者根据实际情况提供或代为编制。
广义的审计流程 一般分为审计准备、审计实施、审计终结及后续审计 四个阶段 。
IT 审计业务和服务通常分为 IT 内部控制审计和 IT 专项审计。
信息系统治理 是组织开展信息技术及其应用活动的重要管控手段, 起到重要的统筹、评估、指导和监督作用。信息技术审计 是 IT 治理不可或缺的评估和监督工具, 承担着 合规性检测以及信息技术风险的管控等职能。
IT 治理是描述组织采用有效的机制对信息技术和数据资源开发利用,平衡信息化发展和数字化转型过程中的风险,确保实现组织的战略目标的过程。
IT 治理主要目标包括:与业务目标一致、有效利用信息与数据资源、风险管理。
治理的管理层次
管理层次大致可分为三层:最高管理层、执行管理层、业务与服务执行层。
高管理层的主要职责包括:证实 IT 战略与业务战略是否一致;
执行管理层的主要职责包括:制定 IT 的目标;分析新技术的机遇和风险;
业务及服务执行层的主要职责包括:信息和数据服务的提供和支持;
IT 治理体系
IT 治理体系的具体构成包括:
1 IT定位 ;
2 IT 治理架构;
3 IT 治理内容 ;
4 IT 治理流程 ;
5 IT 治理效果 。
IT治理关键决策
有效的 IT 治理必须关注五项关键决策, 包括 IT 原则、 IT 架构、 IT 基础设施、业务应用需求、 IT 投资和优先顺序。
IT 治理体系框架
IT 治理体系框架具体包括: IT 战略目标、 IT 治理组织、 IT 治理机制、 IT 治理域、 IT 治理标准和 IT 绩效目标。
IT 治理核心内容
IT 治理本质上关心:①实现 IT 的业务价值;② IT 风险的规避。 IT 治理的核心内容包括六个方面:组织职责、战略匹配、资源管理、价值交付、风险管理和绩效管理。
IT 治理方法与标准
①我国信息技术服务标准库 ITSS 中 IT 治理系列标准;
②信息和技术治理框架 COBIT ;
③ IT 治理国际标准 ISO /IEC38500。
ITSS 中 IT 服务治理
1 IT 治理通用要求
《信息技术服务治理第1部分:通用要求》规定了 IT 治理的模型和框架、实施 IT 治理的原则,以及开展 IT 顶层设计、管理体系和资源的治理要求。该标准可用于:
①建立组织的 IT 治理体系,并实施自我评价;
②开展信息技术审计;
③研发、选择和评价 IT 治理相关的软件或解决方案;
④第三方对组织的 IT 治理能力进行评价。
该标准定义的 IT 治理框架包含信息技术顶层设计、管理体系和资源三大治理域。
2 IT 治理实施指南
《信息技术服务治理第2部分:实施指南》 适用于:
①建立组织的 IT 治理实施框架,明确实施方法和过程;
②组织内部开展 IT 治理的实施;
③ IT 治理相关软件或解决方案实施落地的指导;
④第三方开展 IT 治理评价的指导。
信息和技术治理框架
COBIT 框架 , 治理流程通常由董事会和执行管理层负责,而管理流程则在高级和中级管理层的职责范围内。
董事会和执行管理层负责评估、指导和监控 EDM 领域。
高级和中级管理层的职责包括:
①调整、规划和组织 APO 领域
②内部构建、外部采购和实施 BAD
③交付、服务和支持 DSS
④监控、评价和评估 MEA 领域。
IT 治理国际标准
该标准规定治理机构应通过评估、指导和监督三个主要任务来治理 IT 。
IT审计
为了有效控制 IT 风险,有必要对组织的信息系统治理及 IT 内控与管理等开展 IT 审计,充分发挥 IT 审计监督的作用,提高组织的信息系统治理水平,促进组织信息系统治理目标的实现。
IT 审计重要性是指 IT 审计风险包括固有风险、控制风险、检查风险 对组织影响的严重程度,如:财务损失、业务中断、失去客户信任、经济制裁等。
IT 审计的目的是指通过开展 IT 审计工作, 对组织是否实现 IT 目标进行审查和评价,充分识别与评估相关 IT 风险,提出评价意见及改进建议,促进组织实现 IT 目标。
IT 审计风险主要包括固有风险、控制风险、检查风险和总体审计风险。
固有风险:
●含义:是指 IT 活动不存在相关控制的情况下,易于导致重大错误的风险。
●特点:固有风险是 IT 活动本身所具有的,审计人员只能评估,却无法控制或影响它:固有风险的衡量是主观的,复杂的,不同的 IT 活动其固有风险水平不同
控制风险:
●含义:是指与 IT 相关的内部控制体系不能及时预防或检查出存在的重大错误的风险。
●特点:与内部控制制度执行的有效性有关,与审计无关,属于内部控制的范畴,审计人员只能评估其风险水平而不能对其实施控制和影响。其风险水平的衡量由于需要兼顾传统内部控制的思想和计算机系统管理的知识,因而较为复杂且难以准确计量。
检查风险:
●含义:检查风险是指通过预定的审计程序未能发现重大、单个或与其他错误相结合的风险。
常用审计方法包括:访谈法、调查法、检查法、观察法、测试法和程序代码检查法。
常用的 IT 审计技术包括风险评估技术、审计抽样技术、计算机辅助审计技术及大数据审计技术。
审计工作底稿一般分为综合类工作底稿、业务类工作底稿和备查类工作底稿。
综合类工作底稿指审计人员在审计计划阶段和审计报告阶段,为规划、控制和总结整个审计工作并发表审计意见所形成的审计工作底稿。
业务类工作底稿指审计人员在审计实施阶段为执行具体审计程序所形成的审计工作底稿。
备查类工作底稿指审计人员在审计过程中形成对审计工作仅具有备查作用的审计工作底稿。 通常,备查类审计工作底稿是由被审计单位或第三者根据实际情况提供或代为编制。
广义的审计流程 一般分为审计准备、审计实施、审计终结及后续审计 四个阶段 。
IT 审计业务和服务通常分为 IT 内部控制审计和 IT 专项审计。
以上内容来自专辑
用户评论
还没有评论,快来发表第一个评论!
猜你喜欢
© 2014-2024 喜马拉雅 版权所有