3.1 IT 治理

IT治理起到重要的统筹、评估、指导和监督作用。

信息技术审计(IT审计)作为与IT治理配套 的组织管控手段，是IT治理不可或缺的评估和监督工具，重点承担着组织信息系统发展的合规性检测以及信息技术风险的管控等职能。

IT治理所关注的问题:
• 组织如何从其信息系统投资中获得真正的价值;
• 如何将信息技术战略与组织战略相融合;
• 如何从组织治理的高度，对组织数字化能力做出制度安排;
• 如何从战略投资、组织管理变革的角度，降低IT的风险;
• 如何利用国内外信息技术开发利用的最佳实践和重要成果，加快组织的信息化、数字化工作推进等。

3.1.1 IT治理基础

1、IT治理的驱动因素
IT治理是指组织在开发利用信息技术过程中，为鼓励组织所期望的组织行为而明确决策权归属和责任担当的框架，其目标是通过IT治理的决策权和责任影响组织所期望的组织行为。

IT治理要从 组织目标和数字战略中抽取信息需求和功能需求,形成总体的IT治理框架和系统整体模型。

IT治理的内涵主要体现在5个方面:
（1）IT治理作为组织上层管理的一个有机组成部分，由组织治理层或高级管理层负责，从组织全局的高度上对组织信息化与数字化转型做出制度安排，体现了治理层和最高管理层对信息相关活动 的关注;【高层关注】

（2）IT治理强调数字目标与组织战略目标保持一致，通过对IT的综合开发利用，为组织战略规划提供技术或控制方面的支持，以保证相关建设能够真正落实并贯彻组织业务战略和目标;【落实战略】

（3）IT治理保护利益相关者的权益，对风险进行有效管理，合理利用IT资源，平衡成本和收益， 确保信息系统应用有效、及时地满足需求，并获得期望的收益，增强组织的核心竞争力;【提升竞争力】

（4） IT 治理是一种制度和机制，主要涉及管理和制衡信息系统与业务战略匹配、信息系统建设投资、 信息系统安全和信息系统绩效评价等方面的内容;【管理制衡】
（5）IT治理的组成部分包括管理层、组织结构、制度、流程、人员、技术等多个方面，共同构建完 善的IT治理架构，达到数字战略和支持组织的目标。【支持目标】

2、IT治理的目标价值
组织实施IT治理的使命通常包括: 保持IT与业务目标一致，推动业务发展，促使收益最大化， 合理利用IT资源，恰当理清与IT相关的风险等。

IT治理主要目标包括: 与业务目标一致、有效利用信息与数据资源、风险管理。

3、IT治理的管理层次
IT治理要保证总体战略目标能够从上而下贯彻执行，治理层主要集中在最高管理层(如董事会) 和管理执行层。

管理层次大致可分为三层: 最高管理层、执行管理层、业务与服务执行层。

• 最高管理层的主要职责包括：证实IT战略与业务战略是否一致;证实通过明确的期望和衡量 手段交付IT价值;指导IT战略、平衡支持组织当前和未来发展的投资;指导信息和数据资源的
  分配。
• 执行管理层的主要职责包括：制定IT的目标;分析新技术的机遇和风险;建设关键过程与核心 竞争力;分配责任、定义规程、衡量业绩;管理风险和获得可靠保证等。
• 业务及服务执行层的主要职责包括：信息和数据服务的提供和支持;IT基础设施的建设和维护; IT需求的提出和响应。

3.1.2 IT治理体系

IT治理的核心是：关注IT定位和信息化建设与数字化转型 的责权利划分。

1、IT治理关键决策
有效的IT治理必须关注五项关键决策，包括：IT原则、IT架构、IT基础设施、业务应用需求、IT投资和优先顺序。

2、IT治理体系框架
IT治理体系框架 以组织的战略目标为导向。

IT治理体系框架具体包括：IT战略目标、IT治理组织、IT治理机制、IT治理域、IT治理标准和 IT绩效目标等部分，形成一整套IT治理运行闭环。

3、IT治理核心内容
IT治理本质上关心：①实现IT的业务价值；②IT风险的规避。前者是通过IT与业务战略匹配来实现的，后者通过在组织内部建立相关职责来实现。

IT治理的核心内容包括六个方面：组织职责、战略匹配、资源管理、价值交付、风险管理和绩效管理。其中风险管理是IT治理中非常重要的内容。风险管理是确保IT资产的安全和灾难的恢复、组织信息资源的安全以及人员的隐私安全。风险管理即是保护业务价值。

4、IT治理机制经验
建立IT治理机制的原则包括: ①简单(明确定义责任和目标); ②透明(依赖正式的程序; ③适合(鼓励处于最佳位置的个人制定特定决策)。

3.1.3 IT治理任务

组织的IT治理活动定义为统筹、指导、监督和改进。组织开展 IT治理活动的主要任务聚焦在如下五个方面:
(1)全局统筹。 (2)价值导向。 (3)机制保障。 (4)创新发展。 (5)文化助推。

3.1.4 IT治理方法与标准

IT治理相关的最佳实践方法、定义相关标准，比较典型的是:

• 我国信息技术服务标准库(ITSS)中IT治理系列标准
• 信息和技术治理框架(COBIT)【美国信息系统审计与控制协会(ISACA)】
• IT 治理国际标准(IS0/IEC38500)0

1、ITSS中IT服务治理
1)IT治理通用要求
GB/T34960.1《信息技术服务治理第1部分:通用要求》规定了 IT治理的模型和框架、实施IT治 理的原则，以及开展IT顶层设计、管理体系和资源的治理要求。该标准可用于:

• ①建立组织的IT治理体系，并实施自我评价;
• ②开展信息技术审计;
• ③研发、选择和评价IT治理相关的软件或解决方案;
• ④第三方对组织的IT治理能力进行评价。

2)IT治理实施指南
GB/T34960.2《信息技术服务治理第2部分:实施指南》提出了 IT治理通用要求的实施指南，分析了实施IT治理的环境因素，规定了 IT治理的实施框架、实施环境和实施过程，并明确顶层设 计治理、管理体系治理和资源治理的实施要求。该标准适用于:

• ①建立组织的IT治理实施框架，明确实施方法和过程;
• ②组织内部开展IT治理的实施;
• ③IT治理相关软件或解决方案实施落地的指导;
• ④第三方开展IT治理评价的指导。

2、信息和技术治理框架
IT治理实施框架包括治理的 实施环境、实施过程和治理域。

COBIT是面向整个组织的信息和技术治理及管理框架，由美国信息系统审计与控制协会(ISACA) 组织设计并编制的。

COBIT框架对治理和管理进行了区分，这两个学科涵盖不同的活动，需要不同的组织结构，服务于不同目的:

• 治理确保对利益干系人的需求、条件和选择方案进行评估，以确定全面均衡、达成共识的组织目标;通过确定优先等级和制定决策来设定方向;根据议定的方向和目标监控绩效与合规性;

• 管理是指按治理设定的方向计划、构建、运行和监控活动，以实现组织目标。 1)治理和管理目标

3、IT治理国际标准
ISO/IEC正式发布IT治理标准IS0/IEC38500,它的出台不仅标志着IT治理从概念模糊的探讨阶 段进入了一个正确认识的发展阶段，而且也标志着信息化正式进入IT治理时代。
该标准规定治理机构应通过评估、指导和监督三个主要任务来治理IL

3.2 IT 审计

3.2.1 IT审计基础

IT审计重要性是指IT审计风险(固有风险、控制风险、检查风险)对组织影响的严重程度，如: 财务损失、业务中断、失去客户信任、经济制裁等。

1、IT审计定义

2、IT审计目的
IT审计的目的是指 通过开展IT审计工作，了解组织IT系统与IT活动的总体状况，对组织是否实现IT目标进行审查和评价，充分识别与评估相关IT风险，提出评价意见及改进建议，促进组织实现IT目标。

组织的IT目标主要包括:

• ①组织的IT战略应与业务战略保持一致;
• ②保护信息资产的安全及数据的完整、可靠、有效;
• ③提高信息系统的安全性、可靠性及有效性;
• ④合理保证信息系统及其运用符合有关法律、法规及标准等的要求。
  【2023年5月第6题】

3、IT审计范围
一般来说，IT审计范围需要根据 审计目的和投入的审计成本 来确定。

4、IT审计人员
根据GB/T34690.4《信息技术服务治理第4部分:审计导则》，对IT审计人员的要求包括职业道德、知识、技能、资格与经验、专业胜任能力及利用外部专家服务等方面。

5、IT审计风险
IT审计风险主要包括 固有风险、控制风险、检查风险和总体审计风险。体审计风险是指针对单个控制目标所产生的各类审计风险总和。

参考例子:
固有风险例子：硬件故障或软件不足，造成信息损坏和丢失
控制风险例子：未按规范 的流程测试，发布的增量导致系统崩溃;
检查风险例子：审计程序不完善，未能发现一些制度或流程漏洞。

3.2.2 审计方法与技术

1、IT审计依据与准则
国际上发布的常用审计准则有:

• 信息系统审计准则OSACA,国际信息系统审计协会发布)。
• 《内部控制-整体框架》，通称的COSO (美国虚假财务报告委员会下属发起人委员会)报告。
• 《萨班斯法案》(SOX),美国政府
• 信息及相关技术控制目标(COBIT)是目前国际上通用的信息及相关技术控制规范。

2、IT审计常用方法
常用审计方法包括: 访谈法、调查法、检查法、观察法、测试法和程序代码检查法等。

3、IT审计技术
常用的IT审计技术包括: 风险评估技术、审计抽样技术、计算机辅助审计技术及大数据审计技术。

• （1）风险评估技术：风险识别(德尔菲法、头脑风暴等);•分析(对影响和后果进行评价和估量，定性、定量);•评价(揭示响应成败的关键风险因素，包括单因素和总体风险评价)、•应对技术(制定的应对技术方案，包括云计算、冗余链路、冗余资源、系统弹性伸缩、两地三中心灾备、业务熔断限流等)。
• （2）审计抽样技术：选取一定数量的样本进行测试。
• （3）计算机辅助审计技术(CAAT)：利用计算机，如通用审计软件(GAS)、测试数据、实用工具软件、 专家系统等。
• （4）大数据审计技术：包括 大数据智能分析技术、大数据可视化分析技术及大数据多数据源综合分析技术。

4、IT审计证据
审计证据是审计意见的支柱，是审计人员形成审计结论的基础。审计证据的特性包括：充分性、客观性、相关性、可靠性、合法性。

5、IT审计底稿
审计工作底稿是指审计人员对制订的审计计划、实施的审计程序、获取的相关审计证据，以及得出的审计结论做出的记录。审计工作底稿是审计证据的载体，是审计人员在审计过程中形成的审计工作记录和获取的资料。审计底稿的作用表现在:

• 是形成审计结论、发表审计意见的直接依据;
• 是评价考核审计人员的主要依据;
• 是审计质量控制与监督的基础;
• 对未来审计业务具有参考备查作用。

审计工作底稿一般分为: 综合类工作底稿、业务类工作底稿和备查类工作底稿。

审计机构对审计工作底稿中涉及的商业秘密保密，建立健全审计工作底稿保密制度。但由于下列两种情况需要查阅审计工作底稿的，不属于泄密情形:

• 法院、检察院及国家其他部门依法查阅，并按规定办理了必要手续;
• 审计协会或其委派单位对审计机构执业情况进行检查。

3.2.3 审计流程

1、审计流程的作用

• ①有效地指导审计工作;
• ②有利于提高审计工作效率;
• ③有利于保证 审计项目质量;
• ④有利于规范审计工作。

2、审计流程的含义
审计流程的含义有广义和狭义两种之分。
狭义的审计流程是指审计人员在取得审计证据、完成审计目标、得出审计结论过程中所采取的步骤和方法。

广义的审计流程是指审计机构和审计人员对审计项目从开始到结束的整个过程采取的系统性工作步骤，一般分为 审计准备、审计实施、审计终结及后续审计 (属于跟踪审计)四个阶段。

3.2.4 审计内容

IT审计业务和服务通常分为: IT内部控制审计和IT专项审计。

IT内部控制审计：主要包括组织层面IT控制审计、IT一般控制审计及应用控制审计;

IT专项审计：主要是指根据当前面临的特殊风险或者需求开展的IT审计。