信息系統(tǒng)審計 課件 【ch02】IT 治理

IT治理第二章高等院校公共課系列精品教材信息系統(tǒng)審計IT治理概述0101IT治理的概念I(lǐng)T治理是信息系統(tǒng)審計和控制領(lǐng)域中一個相當(dāng)重要的概念。它是企業(yè)治理在信息時代的重要發(fā)展，是企業(yè)治理的一部分，用于描述企業(yè)或組織是否采取有效機制，使IT應(yīng)用能夠完成組織賦予的使命，平衡信息技術(shù)和流程的風(fēng)險，保證組織戰(zhàn)略目標(biāo)的實現(xiàn)。02IT治理的目標(biāo)與業(yè)務(wù)目標(biāo)一致有效利用信息資源IT治理要從組織目標(biāo)和信息化戰(zhàn)略中抽取信息需求和功能需求，形成總體的IT治理框架和系統(tǒng)整體模型，為進一步系統(tǒng)設(shè)計和實施奠定基礎(chǔ)，保證信息技術(shù)跟上持續(xù)變化的業(yè)務(wù)目標(biāo)。由于信息化工程超期，導(dǎo)致客戶的需求沒有得到較好的滿足，IT平臺不支持業(yè)務(wù)應(yīng)用等問題較為突出。IT治理可以對信息資源的管理職責(zé)進行有效管理，保證投資的回收，并支持決策。02IT治理的目標(biāo)風(fēng)險管理由于企業(yè)或組織越來越依賴信息技術(shù)和網(wǎng)絡(luò)，因此新的風(fēng)險不斷涌現(xiàn)。IT治理強調(diào)風(fēng)險管理，通過制定信息資源的保護級別，強調(diào)對關(guān)鍵的信息技術(shù)資源實施有效監(jiān)控和做好事故處理。IT治理使企業(yè)或組織可以適應(yīng)外部環(huán)境變化，在內(nèi)部的業(yè)務(wù)流程中實現(xiàn)對資源的有效利用，從而達(dá)到提高管理效率和經(jīng)營水平的目的。IT治理的目標(biāo)是幫助管理層樹立以組織戰(zhàn)略為導(dǎo)向、以外界環(huán)境為依據(jù)、以業(yè)務(wù)與IT整合為中心的觀念，正確定位IT部門在整個組織中的作用；最終能夠針對不同業(yè)務(wù)發(fā)展要求，整合信息資源，制定并執(zhí)行推動組織發(fā)展的IT戰(zhàn)略。03IT治理可以解決的問題發(fā)現(xiàn)信息技術(shù)本身的問題幫助管理者處理IT問題例如，是否有足夠的IT資源、基礎(chǔ)設(shè)施、競爭力來滿足戰(zhàn)略目標(biāo)；信息技術(shù)操作的失誤原因；IT沒有推動業(yè)務(wù)改善而是阻礙業(yè)務(wù)的次數(shù)。例如，IT和組織戰(zhàn)略目標(biāo)的一致性程度怎么樣；怎樣衡量IT交付的效果；管理人員采取什么樣的手段來管理和運用IT;IT與企業(yè)或組織的運營與成長管理相關(guān)的問題；對IT相關(guān)風(fēng)險(風(fēng)險規(guī)避和風(fēng)險承擔(dān))是否有清楚的認(rèn)識；有沒有最新的IT風(fēng)險清單，要采取哪些行動防范這些風(fēng)險。03IT治理可以解決的問題自我評估IT管理的效果例如，是否向最高管理層定期匯報IT風(fēng)險；最高管理層是否就組織的戰(zhàn)略目標(biāo)與信息技術(shù)一致性進行闡明和溝通；最高管理層對主要IT投資是否有清楚的觀點，包括風(fēng)險和回報；最高管理層是否能定期得到主要IT過程的報告；最高管理層在獲取IT目標(biāo)和限制IT風(fēng)險時是否得到獨立的保證。IT治理就是要明確有關(guān)IT決策權(quán)的歸屬機制和有關(guān)IT責(zé)任的承擔(dān)機制，從而鼓勵應(yīng)用IT預(yù)期行為的產(chǎn)生，將戰(zhàn)略目標(biāo)、業(yè)務(wù)目標(biāo)和IT目標(biāo)聯(lián)系起來，讓企業(yè)或組織從IT中獲得最大價值。04IT治理與信息系統(tǒng)審計的關(guān)系那么IT治理與信息系統(tǒng)審計又是怎樣一種關(guān)系呢?從圖2-1可以看出，在IT治理的八大部分內(nèi)容中，信息系統(tǒng)審計居于核心位置，信息系統(tǒng)審計能夠?qū)ζ渌邆€部分進行審計。也就是說，信息系統(tǒng)審計對于IT治理中存在的問題是一種監(jiān)督檢查和促進IT治理的作用，但它不能替代IT治理。信息系統(tǒng)審計是IT治理的組成部分，IT治理的好壞在很大程度上取決于信息系統(tǒng)審計。這就相當(dāng)于獨立審計與企業(yè)治理的作用一樣，正是企業(yè)治理問題的出現(xiàn)才產(chǎn)生了對獨立審計和獨立審計師的需要，而獨立審計又能促進企業(yè)所有權(quán)與控制權(quán)分離，促使受托責(zé)任的實現(xiàn)，發(fā)揮企業(yè)治理的最大作用。企業(yè)的IT治理0201企業(yè)的IT治理IT治理和企業(yè)治理的關(guān)系企業(yè)治理的定義是：為確定組織目標(biāo)和確保目標(biāo)實現(xiàn)的績效監(jiān)控所提供的治理結(jié)構(gòu)。IT治理的定義是：IT治理是一種引導(dǎo)和控制企業(yè)各種關(guān)系和流程的結(jié)構(gòu)，這種結(jié)構(gòu)安排，旨在通過平衡信息技術(shù)及其流程中的風(fēng)險和收益，增加價值，以實現(xiàn)企業(yè)目標(biāo)。IT治理和企業(yè)治理的關(guān)系如圖2-2所示。01企業(yè)的IT治理IT治理和企業(yè)治理的關(guān)系IT治理的一個關(guān)鍵問題是企業(yè)的IT投資是否與其戰(zhàn)略目標(biāo)一致，從而建立必要的核心競爭力。因為企業(yè)目標(biāo)變化太快，很難保證企業(yè)的IT建設(shè)始終契合其商業(yè)目標(biāo)，所以需要有多方面的協(xié)調(diào)來確保IT治理繼續(xù)朝著正確的方向發(fā)展，這也是IT投資者真正關(guān)心的問題。因此，IT建設(shè)時應(yīng)體現(xiàn)出未來信息技術(shù)與企業(yè)未來發(fā)展方向的戰(zhàn)略整合，即要盡可能地保持開放性和長遠(yuǎn)性，以確保系統(tǒng)的穩(wěn)定性和延續(xù)性。01企業(yè)的IT治理IT治理和企業(yè)治理的關(guān)系IT治理中比較有效的做法是，在信息化建設(shè)的規(guī)劃階段仔細(xì)分析企業(yè)戰(zhàn)略和IT治理之間的關(guān)系，合理預(yù)測環(huán)境變化可能給企業(yè)戰(zhàn)略帶來的偏差，在規(guī)劃中留出適當(dāng)?shù)目臻g，從業(yè)務(wù)戰(zhàn)略到信息戰(zhàn)略，要通過務(wù)實來牽引，而不是追求大而全的建設(shè)思路。IT治理有助于建立一個靈活且適應(yīng)性強的企業(yè)，使其能夠迅速感知市場正在發(fā)生的變化并從中學(xué)習(xí)，從而創(chuàng)新產(chǎn)品、服務(wù)、渠道、過程；迅速變化，將革新帶入市場，衡量業(yè)績。IT治理應(yīng)體現(xiàn)“以組織戰(zhàn)略目標(biāo)為中心”的理念，通過合理配置IT資源來創(chuàng)造價值。企業(yè)治理側(cè)重于企業(yè)的整體規(guī)劃，而IT治理側(cè)重于企業(yè)信息資源的有效利用和管理。企業(yè)目標(biāo)在于遠(yuǎn)景和商業(yè)模式，IT目標(biāo)在于商業(yè)模式的實施。01企業(yè)的IT治理IT治理和企業(yè)治理的關(guān)系企業(yè)目標(biāo)在于遠(yuǎn)景和商業(yè)模式，IT目標(biāo)在于商業(yè)模式的實施。企業(yè)目標(biāo)與IT目標(biāo)之間的關(guān)系如圖2-3所示。01企業(yè)的IT治理IT治理和IT管理IT管理屬于企業(yè)信息系統(tǒng)的運營，它確定企業(yè)的IT目標(biāo)，以及為實現(xiàn)此目標(biāo)所采取的行動；而IT治理是指最高管理層利用它來監(jiān)督管理層在IT戰(zhàn)略上的過程、結(jié)構(gòu)和聯(lián)系，以確保這種運營處于正確的軌道之上。這就像一個硬幣的兩面，誰也不能脫離對方而存在。由此可見，IT管理就是在既定的IT治理模式下，管理層為實現(xiàn)企業(yè)的目標(biāo)而采取的行動。01企業(yè)的IT治理IT治理和IT管理IT治理規(guī)定了整個企業(yè)IT運作的基本框架，IT管理則是在這個既定的框架下駕馭企業(yè)奔向目標(biāo)。缺乏良好IT治理模式的企業(yè)，即使有“很好”的IT管理體系，也像一座地基不牢固的大廈；同樣，企業(yè)沒有暢通的IT管理體系，單純的IT治理模式也只能是一個美好的藍(lán)圖，而缺乏實際的內(nèi)容。就我國目前信息化建設(shè)的現(xiàn)狀而言，無論是IT治理，還是IT管理，都是迫切需要不斷創(chuàng)新和建設(shè)的。01企業(yè)的IT治理IT治理和IT管理01企業(yè)的IT治理管理層在IT治理方面的職責(zé)管理層在IT治理方面的職責(zé)如表2-1所示。IT治理的核心問題0301IT治理的核心問題IT治理的核心問題體現(xiàn)在以下五種IT決策上。(1)IT原則：闡述IT的商業(yè)作用。(2)IT架構(gòu)：定義集成和標(biāo)準(zhǔn)化的要求。(3)IT基礎(chǔ)設(shè)施：決定共享和可提供的服務(wù)。(4)商業(yè)應(yīng)用需求：確定購買或內(nèi)部開發(fā)應(yīng)用的商業(yè)需求。(5)IT投資：選擇資助哪一個項目及投入多少資金。01IT治理的核心問題IT原則IT原則是指企業(yè)或組織的IT事業(yè)指導(dǎo)方針。也就是說，企業(yè)或組織想從IT所提供的服務(wù)中得到什么，以及如何在IT上進行投入。在企業(yè)或組織的戰(zhàn)略發(fā)展規(guī)劃中，通過構(gòu)建先進適用的IT業(yè)務(wù)運作平臺和管理平臺，發(fā)揮其基礎(chǔ)支持作用，并根據(jù)企業(yè)或組織的戰(zhàn)略方向和業(yè)務(wù)原則，制定以下的IT原則：技術(shù)領(lǐng)先原則；技術(shù)和信息集中原則；對業(yè)務(wù)的全過程風(fēng)險控制原則；統(tǒng)一、靈活、可擴張性強的基礎(chǔ)設(shè)施建設(shè)原則；實現(xiàn)業(yè)務(wù)目標(biāo)，并可對新應(yīng)用快速部署；完備、可測、可控的運行流程和開發(fā)管理流程；利用行業(yè)標(biāo)準(zhǔn)；以客戶為中心來評估產(chǎn)品的使用效果。01IT治理的核心問題IT架構(gòu)IT架構(gòu)是指所有構(gòu)成信息系統(tǒng)的不同元素及這些元素之間的關(guān)聯(lián)關(guān)系，它通過一系列的規(guī)則來達(dá)到業(yè)務(wù)流程、數(shù)據(jù)格式、IT運行的標(biāo)準(zhǔn)化和一體化，以此為基礎(chǔ)設(shè)施、商業(yè)應(yīng)用、IT投資提供指導(dǎo)方針。簡單來講，IT架構(gòu)就是設(shè)計好IT建設(shè)的方向，比如由誰來實施、如何實施、采用什么技術(shù)或標(biāo)準(zhǔn)、投資多少和周期多長等，IT架構(gòu)在執(zhí)行過程中具有指導(dǎo)和把握方向的作用。因此IT架構(gòu)決策對于有效的IT治理而言至關(guān)重要，它往往是決定IT能力的關(guān)鍵因素。01IT治理的核心問題IT基礎(chǔ)設(shè)施IT基礎(chǔ)設(shè)施是企業(yè)或組織信息化運營的基礎(chǔ)，是運營整個組織所必需的一系列物理設(shè)備和應(yīng)用軟件的集合，也是由管理層預(yù)算所決定的組織范圍內(nèi)的人和技術(shù)能力的服務(wù)集合。人們經(jīng)常提到的信息技術(shù)硬件、軟件、服務(wù)方面的投資，其實就是IT基礎(chǔ)設(shè)施。對于企業(yè)或組織來說，這些設(shè)施能夠為客戶服務(wù)、供應(yīng)商聯(lián)系和內(nèi)部管理打好基礎(chǔ)。IT基礎(chǔ)設(shè)施應(yīng)該是可靠、可共享和可擴展的。有遠(yuǎn)見的基礎(chǔ)設(shè)施規(guī)劃不僅可以對業(yè)務(wù)的良好發(fā)展起到積極的推動作用，而且會節(jié)約成本，反之則會導(dǎo)致資源浪費、工期延誤及客戶流失。01IT治理的核心問題IT基礎(chǔ)設(shè)施從20世紀(jì)60年代至今，IT基礎(chǔ)設(shè)施的迭代已經(jīng)走過了5個階段：通用主機及小型計算機階段；個人計算機階段；客戶機、服務(wù)器階段；企業(yè)級計算階段；云計算及移動計算階段?；A(chǔ)設(shè)施的投資是需要進行資產(chǎn)管理的，有“漸進式”和“爆發(fā)式”兩種投資策略，分別對應(yīng)基礎(chǔ)設(shè)施更新?lián)Q代中的“進化式”和“斷代式”策略。經(jīng)驗證明，漸進式投資策略優(yōu)于“爆發(fā)式”投資策略，主要在于有歷史投資和經(jīng)驗可以傳承。01IT治理的核心問題商業(yè)應(yīng)用需求盡管五種IT決策都涉及IT的商業(yè)價值，但只有滿足特定的商業(yè)需求才能實現(xiàn)其價值。分析和明確商業(yè)應(yīng)用需求的目的就是為了進行信息系統(tǒng)開發(fā)。所謂的需求，就是信息化建設(shè)的需求。如果一個業(yè)務(wù)不需要信息系統(tǒng)就能有效開展，就不需要進行需求分析，直接開展業(yè)務(wù)即可。進行需求分析，就是為開發(fā)信息系統(tǒng)服務(wù)，是為了讓系統(tǒng)開發(fā)者明白其需要開發(fā)一個怎樣的信息系統(tǒng)，如需要什么功能，有什么樣的輸入/輸出，有什么樣的交互界面，業(yè)務(wù)處理的規(guī)則是什么等。當(dāng)然，在分析和明確商業(yè)應(yīng)用需求的過程中，有可能使得業(yè)務(wù)人員更加清晰地理解原來的業(yè)務(wù)，進而對其業(yè)務(wù)進行重新定義，因此技術(shù)創(chuàng)新可以優(yōu)化或重構(gòu)原有的業(yè)務(wù)流程。這種優(yōu)化和重構(gòu)將在軟件系統(tǒng)不斷的升級迭代中，逐步推動企業(yè)或組織革新和發(fā)展，形成業(yè)務(wù)與技術(shù)之間的良性互動。01IT治理的核心問題

IT投資IT投資決策需要處理三個重要問題：投資多少經(jīng)費?往哪里投?如何協(xié)調(diào)不同投資者的需求?由于投資回報的不確定性，一般會參考業(yè)界同行的投資標(biāo)準(zhǔn)，但這些標(biāo)準(zhǔn)只能作為參考基準(zhǔn)。因為不同的企業(yè)或組織對IT有不同的戰(zhàn)略預(yù)期，有遠(yuǎn)見的最高管理層應(yīng)該關(guān)注IT的戰(zhàn)略作用，從而建立相應(yīng)的投資標(biāo)準(zhǔn)。此外，如何分配IT投資，構(gòu)成有效的IT投資組合是管理者最為關(guān)注的問題。這個問題對不同企業(yè)或組織有不同的標(biāo)準(zhǔn)，以下幾點是考慮的重點。01IT治理的核心問題

IT投資(1)對IT投資進行管理。這種管理應(yīng)該具有可以量化的指標(biāo)體系，而且要在投資者和被投資者之間達(dá)成一致，即便同一個單位內(nèi)部也應(yīng)區(qū)分IT投資部門和IT使用部門，即在單位內(nèi)部也進行成本攤銷與核算。(2)對IT資產(chǎn)進行分類。IT資產(chǎn)通?？煞譃樗念悾簯?zhàn)略層面(為了獲得競爭優(yōu)勢)、信息層面(為了提供信息)、事物層面(為了降低處理事物的成本)和基礎(chǔ)設(shè)施層面(為了提供共享服務(wù)和集成)。一個清晰具體的分類，有助于確定IT投資策略的優(yōu)先級，使利益最大化。(3)對IT投資進行風(fēng)險評估。正如任何商業(yè)投資決策都有風(fēng)險一樣，IT投資也讓企業(yè)或組織面臨四大風(fēng)險：財務(wù)風(fēng)險、市場風(fēng)險、組織風(fēng)險和技術(shù)風(fēng)險。需要全面分析及反復(fù)權(quán)衡才能確保IT投資成功。IT投資風(fēng)險評估通常更注重財務(wù)風(fēng)險和技術(shù)風(fēng)險，而容易忽略市場風(fēng)險和組織風(fēng)險，這就可能導(dǎo)致投資回報率低或項目永遠(yuǎn)無法完成的情況。這是一個需要注意的常見問題。IT治理的標(biāo)準(zhǔn)0401IT治理的標(biāo)準(zhǔn)IT治理框架和標(biāo)準(zhǔn)匯總見表2-2所示。該表列出了IT治理框架的內(nèi)容及其標(biāo)準(zhǔn)，目前國際上通行的IT治理標(biāo)準(zhǔn)主要有五個：COBIT、ITIL、ISO/IEC38500、PRINCE2和ISO27001。01IT治理的標(biāo)準(zhǔn)IT治理框架和標(biāo)準(zhǔn)匯總見表2-2所示。該表列出了IT治理框架的內(nèi)容及其標(biāo)準(zhǔn)，目前國際上通行的IT治理標(biāo)準(zhǔn)主要有五個：COBIT、ITIL、ISO/IEC38500、PRINCE2和ISO27001。01IT治理的標(biāo)準(zhǔn)COBITCOBIT(ControlObjectivesforInformationandrelatedTechnology),即信息系統(tǒng)和技術(shù)控制目標(biāo)。國際信息系統(tǒng)審計協(xié)會(ISACA)于1996推出了用于信息系統(tǒng)審計的知識體系COBIT,現(xiàn)已更新到COBIT2019。COBIT在風(fēng)險、控制和技術(shù)之間構(gòu)建了全面的框架，為組織IT治理和管理起到指引的作用，以支持企業(yè)或組織實現(xiàn)其IT治理和管理的目標(biāo)。COBIT將企業(yè)或組織的戰(zhàn)略規(guī)劃作為重要的因素，對業(yè)務(wù)環(huán)境和業(yè)務(wù)戰(zhàn)略進行分析，并將戰(zhàn)略規(guī)劃所產(chǎn)生的政策、目標(biāo)、行動規(guī)劃作為信息技術(shù)的關(guān)鍵因素，并由此確定IT準(zhǔn)則。在COBIT標(biāo)準(zhǔn)的指導(dǎo)下，企業(yè)或組織利用控制目標(biāo)體系，分別從“調(diào)整、計劃和組織”“建立、獲取和實施”“交付、服務(wù)和支持”“監(jiān)控、評價和評估”過程對信息資源進行控制和管理。01IT治理的標(biāo)準(zhǔn)ITILITIL(InformationTechnologyInfrastructureLibrary),即信息技術(shù)基礎(chǔ)構(gòu)架庫，是一套被廣泛承認(rèn)的用于有效IT服務(wù)管理的實踐準(zhǔn)則。ITIL主要包括六個方面的管理內(nèi)容，即業(yè)務(wù)管理、服務(wù)管理、應(yīng)用管理、安全管理、信息技術(shù)服務(wù)管理規(guī)劃與實施、基礎(chǔ)設(shè)施管理。服務(wù)管理是它的核心模塊，包括兩個過程：“服務(wù)交付”和“服務(wù)支持”。ITIL關(guān)注IT服務(wù)過程并考慮了使用者的核心作用，對IT的應(yīng)用、管理、變更、運維等方面提出了要求，明確每個階段、每個環(huán)節(jié)的要求、目標(biāo)和工作流程。01IT治理的標(biāo)準(zhǔn)IT治理——ISO/IEC38500ISO和IEC在2008年發(fā)布了ISO/IEC38500系列標(biāo)準(zhǔn)，這是有關(guān)IT治理方面的國際標(biāo)準(zhǔn)，它的出臺不僅標(biāo)志著IT治理從概念模糊的探討階段進入了一個正確認(rèn)識的發(fā)展階段，而且也標(biāo)志著信息化正式進入IT治理時代。這一系列標(biāo)準(zhǔn)在發(fā)布后又陸續(xù)進行了更新和增補，截至2022年已包含21個具體標(biāo)準(zhǔn)，其中有以下幾個主要標(biāo)準(zhǔn)。01IT治理的標(biāo)準(zhǔn)IT治理——ISO/IEC38500ISO/IEC38500:2008《信息技術(shù)IT治理》,給出了IT治理的六個原則(職責(zé)、策略、獲取、績效、合規(guī)、人員行為)和治理模型，并通過引入評估、指導(dǎo)、監(jiān)督三個主要治理任務(wù)與治理原則構(gòu)成6×3的治理原則實施矩陣；ISO/IEC38500:2008中給出了IT治理模型，模型中描述了治理主體需要結(jié)合外部環(huán)境的要求，在評估現(xiàn)狀后進行戰(zhàn)略決策指導(dǎo)組織對IT的利用，同時監(jiān)控對IT利用的績效(見圖2-5)。01IT治理的標(biāo)準(zhǔn)IT治理——ISO/IEC38500ISO/IEC38501:2012《信息技術(shù)IT治理實施指南》,此標(biāo)準(zhǔn)根據(jù)治理模型設(shè)計了四個主要的實施過程，并通過環(huán)境、范圍、架構(gòu)、角色、職責(zé)、策略、流程等內(nèi)容提出了IT治理實施框架，進一步規(guī)范了IT治理實施過程。ISO/IEC38502:2012《信息技術(shù)IT治理框架和模型》,此標(biāo)準(zhǔn)將治理原則、IT業(yè)務(wù)計劃、IT管理體系、IT利用過程、IT利用的策略、風(fēng)險管理等關(guān)鍵要素構(gòu)成整體，形成IT治理的框架。ISO/IEC38504:2016《基于原則IT治理架構(gòu)》,此標(biāo)準(zhǔn)以技術(shù)報告的形式提出了基于原則的方法論，規(guī)定了原則中需要包含的信息項，旨在為其他標(biāo)準(zhǔn)應(yīng)用基于原則的方法論提供指導(dǎo)。01IT治理的標(biāo)準(zhǔn)IT治理——ISO/IEC38500ISO/IEC38505-1:2021《數(shù)據(jù)治理》,此標(biāo)準(zhǔn)將ISO/IEC38500:2008的核心思想和模型應(yīng)用在數(shù)據(jù)的場景下，在規(guī)范數(shù)據(jù)利用過程(采集、存儲、報告、決策、發(fā)布、廢棄)的同時，從價值、風(fēng)險和約束三個視角闡述數(shù)據(jù)治理應(yīng)關(guān)注的主要內(nèi)容，同時構(gòu)建數(shù)據(jù)利用過程和主要內(nèi)容之間6×3的關(guān)系矩陣。ISO/IEC38505-2:2021《數(shù)據(jù)治理對管理的影響》,此標(biāo)準(zhǔn)以研究報告的形式深化了數(shù)據(jù)治理國際標(biāo)準(zhǔn)第一部分的工作。通過進一步分析，以數(shù)據(jù)治理的視角深入數(shù)據(jù)管理，為最高管理層(董事會)和管理執(zhí)行層提供監(jiān)督和評估的具體內(nèi)容。01IT治理的標(biāo)準(zhǔn)PRINCE2PRINCE2(ProjectsInControlledEnvironments),即受控環(huán)境中的項目管理，是一種基于過程的結(jié)構(gòu)化的項目管理方法。PRINCE2描述了一個項目如何被切分成一些可供管理的過程，對每個過程定義關(guān)鍵輸入、需要執(zhí)行的關(guān)鍵活動和特殊的輸出目標(biāo)，以便高效地控制資源的使用和在整個項目周期執(zhí)行常規(guī)的監(jiān)督流程。PRINCE2的視野并不僅限于對具體項目的管理，還涵蓋了在組織范圍內(nèi)對項目的管理。01IT治理的標(biāo)準(zhǔn)ISO27001ISO27001信息安全管理實用規(guī)則起源于英國標(biāo)準(zhǔn)協(xié)會(BSI)于1995年頒布的BS7799標(biāo)準(zhǔn)。1999年BSI對該標(biāo)準(zhǔn)進行了修改。ISO27001是一套全面性很強的實施規(guī)則，為信息安全管理提供了參照，并且適用各種規(guī)模類型的組織。目前，在信息安全管理方面，英國標(biāo)準(zhǔn)ISO27001已經(jīng)成為世界上應(yīng)用最全面的、最權(quán)威的信息安全管理標(biāo)準(zhǔn)，適用于各種性質(zhì)、各種規(guī)模的組織，如政府、銀行、電信、研究機構(gòu)、外包服務(wù)企業(yè)、軟件服務(wù)企業(yè)等。該標(biāo)準(zhǔn)偏重安全，從組織架構(gòu)、人力、安全策略、訪問控制等11個方面提出了信息系統(tǒng)管理的要求和操作實踐。該標(biāo)準(zhǔn)已被我國頒布為國家標(biāo)準(zhǔn)(GB/T22080-2008和GB/T22081-2008)。信息系統(tǒng)審計準(zhǔn)則0501ISACA信息系統(tǒng)審計基本準(zhǔn)則國際信息系統(tǒng)審計協(xié)會(ISACA)主要致力于信息系統(tǒng)審計準(zhǔn)則的制定與發(fā)布工作。截至2013年12月，ISACA發(fā)布的規(guī)范包括16項基本準(zhǔn)則、41項審計指南和11項作業(yè)程序，這些規(guī)范層次清晰、可操作性強。ISACA的信息系統(tǒng)審計準(zhǔn)則體系類似注冊會計師審計準(zhǔn)則體系，ISACA的信息系統(tǒng)審計準(zhǔn)則體系由基本準(zhǔn)則、審計指南和作業(yè)程序構(gòu)成，該框架為信息系統(tǒng)審計人員的執(zhí)業(yè)提供了多層次的指引。雖然ISACA成立于1969年，但其基本準(zhǔn)則的制定經(jīng)歷了一段很長的時間，至1997年才發(fā)布信息系統(tǒng)審計基本準(zhǔn)則，包括審計章程、獨立性、職業(yè)道德和準(zhǔn)則、職業(yè)技術(shù)、審計計劃、實施審計工作、報告和后續(xù)工作八個部分，該準(zhǔn)則于1997年7月25日開始生效。隨著審計指南與作業(yè)程序的制定與發(fā)布，以及對信息系統(tǒng)審計基本準(zhǔn)則可擴展性的考慮，ISACA于2005年將1997年所發(fā)布的信息系統(tǒng)審計基本準(zhǔn)則拆分為八個基本準(zhǔn)則，并對原有內(nèi)容根據(jù)信息技術(shù)發(fā)展?fàn)顩r進行了修訂。同時，于2005年9月之后陸續(xù)發(fā)布了S9到S16八個基本準(zhǔn)則。02ISACA信息系統(tǒng)審計基本準(zhǔn)則與審計指南、審計程序的關(guān)系ISACA信息系統(tǒng)審計基本準(zhǔn)則、審計指南與審計程序關(guān)系如圖2-6所示。圖2-6所顯示的關(guān)系為國際信息系統(tǒng)審計師的執(zhí)業(yè)提供了多層次的指引。第一層次：信息系統(tǒng)審計基本準(zhǔn)則。信息系統(tǒng)審計基本準(zhǔn)則是整個信息系統(tǒng)審計準(zhǔn)則體系的總綱，是制定信息系統(tǒng)審計指南和審計程序的基礎(chǔ)依據(jù)。它規(guī)定了審計章程及審計過程(從計劃、實施、報告到跟蹤)必須達(dá)到的基本要求，是注冊信息系統(tǒng)審計師(CISA)的資格條件、執(zhí)業(yè)行為的基本規(guī)范，表明了管理層和其他利益方對執(zhí)業(yè)者在專業(yè)工作上的期待，最新的信息系統(tǒng)審計基本準(zhǔn)則分為11大類，共43條，只要是CISA執(zhí)行審計業(yè)務(wù)、出具審計報告，就必須遵守執(zhí)行，具有強制性。如果CISA未能遵守執(zhí)行，ISACA董事會和相應(yīng)委員會將會對其進行調(diào)查并給予紀(jì)律處分。02ISACA信息系統(tǒng)審計基本準(zhǔn)則與審計指南、審計程序的關(guān)系第二層次：信息系統(tǒng)審計指南。信息系統(tǒng)審計指南是依據(jù)信息系統(tǒng)審計基本準(zhǔn)則制定的，是信息系統(tǒng)審計基本準(zhǔn)則的具體化，為信息系統(tǒng)審計基本準(zhǔn)則體系中11大類標(biāo)準(zhǔn)的實施提供了指引，圖2-6中的虛線箭頭反映了此關(guān)系。它詳細(xì)規(guī)定了CISA實施審計業(yè)務(wù)、出具審計報告的具體指引，為CISA在執(zhí)行審計業(yè)務(wù)中如何遵循審計準(zhǔn)則提供指導(dǎo)。CISA在執(zhí)業(yè)過程中參考這些指南時要有職業(yè)判斷，任何偏離信息系統(tǒng)審計基本準(zhǔn)則的行為都要有充分的理由。02ISACA信息系統(tǒng)審計基本準(zhǔn)則與審計指南、審計程序的關(guān)系第三層次：信息系統(tǒng)審計程序。信息系統(tǒng)審計程序是依據(jù)信息系統(tǒng)審計基本準(zhǔn)則和信息系統(tǒng)審計指南制定的。它為CISA提供了一般審計業(yè)務(wù)(尤其是審計計劃和審計實施階段的業(yè)務(wù))的程序和步驟，是遵守基本準(zhǔn)則和指南的一些通常審計程序，它為CISA提供了很好的工作范例。但這僅是CISA的一個參照而已，它所提供的只是CISA在審計時能滿足審計準(zhǔn)則要求的通常做法，但并不要求CISA在執(zhí)行具體的審計業(yè)務(wù)時強制執(zhí)行，CISA要根據(jù)特定的信息系統(tǒng)和特定的技術(shù)環(huán)境做出自己的職業(yè)判斷，選擇適當(dāng)?shù)膶徲嫵绦颉?2ISACA信息系統(tǒng)審計基本準(zhǔn)則與審計指南、審計程序的關(guān)系此外，圖2-6中信息系統(tǒng)審計基本準(zhǔn)則可以分為4個部分：(1)審計章程或?qū)徲嫎I(yè)務(wù)約定書；(2)對審計師職業(yè)資格的要求，包括獨立性、職業(yè)道德和職業(yè)能力的要求；(3)從計劃、實施、報告到后續(xù)這4個審計過程；(4)其他，包括不正當(dāng)及非法行為、信息系統(tǒng)管理、審計計劃中風(fēng)險評估的利用。02ISACA信息系統(tǒng)審計基本準(zhǔn)則與審計指南、審計程序的關(guān)系03ISACA信息系統(tǒng)審計基本準(zhǔn)則的內(nèi)容審計章程獨立性(1)信息系統(tǒng)審計職能機構(gòu)或信息系統(tǒng)審計任務(wù)的目的、責(zé)任、權(quán)限及職責(zé)，應(yīng)在審計章程或?qū)徲嫎I(yè)務(wù)約定書中載明。(2)審計章程或?qū)徲嫎I(yè)務(wù)約定書應(yīng)得到組織中適當(dāng)?shù)墓芾韺拥耐夂团鷾?zhǔn)。(1)職業(yè)獨立性：信息系統(tǒng)審計師在從事審計事項時，應(yīng)該在實質(zhì)和形式上獨立于被審計方。(2)組織獨立性：信息系統(tǒng)審計職能機構(gòu)應(yīng)充分獨立于被審計單位，以實現(xiàn)審計目標(biāo)。03ISACA信息系統(tǒng)審計基本準(zhǔn)則的內(nèi)容專業(yè)勝任能力審計計劃(1)擔(dān)任信息系統(tǒng)審計工作的審計師應(yīng)當(dāng)具備審計工作所必需的專門技能與學(xué)識。(2)信息系統(tǒng)審計師要通過充分且持續(xù)的職業(yè)后續(xù)教育，以保持和提高其專業(yè)勝任能力。(1)信息系統(tǒng)審計人員應(yīng)依據(jù)審計目標(biāo)和相應(yīng)的法律和審計準(zhǔn)則，對信息系統(tǒng)審計工作編制計劃。(2)信息系統(tǒng)審計人員應(yīng)采取基于風(fēng)險的審計方法。(3)信息系統(tǒng)審計人員應(yīng)編制詳細(xì)的審計計劃，包括審計性質(zhì)、目標(biāo)、范圍和所需的資源。(4)信息系統(tǒng)審計人員應(yīng)編制審計程序和步驟。03ISACA信息系統(tǒng)審計基本準(zhǔn)則的內(nèi)容審計實施(1)監(jiān)督：信息系統(tǒng)審計人員應(yīng)受到適當(dāng)?shù)谋O(jiān)督，以確保實現(xiàn)審計目標(biāo)，并遵守審計基本準(zhǔn)則。(2)在信息系統(tǒng)審計過程中，信息系統(tǒng)審計人員應(yīng)當(dāng)搜集充分的、可靠的、相關(guān)的和有用的證據(jù)，以有效實現(xiàn)審計目標(biāo)。審計發(fā)現(xiàn)和審計結(jié)論必須以合理地分析、利用審計證據(jù)為基礎(chǔ)。(3)審計底稿：審計過程應(yīng)該有書面記錄，以表明審計工作和審計證據(jù)支持信息系統(tǒng)審計人員的發(fā)現(xiàn)和結(jié)論。(1)信息系統(tǒng)審計師應(yīng)遵守信息系統(tǒng)審計及控制協(xié)會規(guī)定的職業(yè)道德準(zhǔn)則。(2)信息系統(tǒng)審計師應(yīng)保持應(yīng)有的職業(yè)審慎態(tài)度，并堅持以審計基本準(zhǔn)則為執(zhí)業(yè)標(biāo)準(zhǔn)。職業(yè)道德及準(zhǔn)則03ISACA信息系統(tǒng)審計基本準(zhǔn)則的內(nèi)容后續(xù)審計(1)信息系統(tǒng)審計人員在完成審計工作后，應(yīng)向委托者出具按照適當(dāng)?shù)母袷骄幹频膶徲媹蟾?。審計報告?yīng)當(dāng)標(biāo)明機構(gòu)名稱、審計報告報送對象及報告使用限制。(2)審計報告應(yīng)當(dāng)說明審計范圍、審計目標(biāo)、審計工作所涵蓋的期間及所執(zhí)行審計工作的性質(zhì)和內(nèi)容。(3)審計報告應(yīng)當(dāng)說明審計人員執(zhí)行審計工作中所發(fā)現(xiàn)的問題、形成的結(jié)論和建議及審計師關(guān)于審計的任何保留意見。(4)信息系統(tǒng)審計人員應(yīng)該有充分的、適當(dāng)?shù)膶徲嬜C據(jù)來支持所報告的審計結(jié)論。(5)審計報告簽發(fā)時，信息系統(tǒng)審計人員應(yīng)該依據(jù)審計章程或?qū)徲嫎I(yè)務(wù)約定書中的規(guī)定簽名、簽署日期再對外發(fā)放。審計實施信息系統(tǒng)審計人員應(yīng)當(dāng)要求并評價被審計單位對審計發(fā)現(xiàn)的問題、結(jié)論及建議采取處理措施，以判斷被審計單位是否已及時、妥善地處理了相關(guān)問題。03ISACA信息系統(tǒng)審計基本準(zhǔn)則的內(nèi)容(1)在計劃和實施審計工作時，信息系統(tǒng)審計人員應(yīng)該考慮不合規(guī)和非法行為等可能帶來的審計風(fēng)險。(2)無論不合規(guī)和非法行為的風(fēng)險評估結(jié)果如何，信息系統(tǒng)審計人員在實施審計作業(yè)時都要對由于不合規(guī)和非法行為而導(dǎo)致的重大誤報的可能性保持職業(yè)懷疑的態(tài)度。(3)信息系統(tǒng)審計人員應(yīng)該了解組織及其所處的環(huán)境，包括內(nèi)部控制。(4)信息系統(tǒng)審計人員應(yīng)該獲得充分的、適當(dāng)?shù)膶徲嬜C據(jù)來確定組織內(nèi)的管理層或其他人是否了解任何事實上的或可能的不合規(guī)和非法行為。(5)在了解組織及其所處的環(huán)境時，信息系統(tǒng)審計人員應(yīng)該注意那些不正常的關(guān)系人員，這些人員可能因為實施不合規(guī)和非法行為而導(dǎo)致重大誤報。不合規(guī)和非法行為03ISACA信息系統(tǒng)審計基本準(zhǔn)則的內(nèi)容(6)信息系統(tǒng)審計人員應(yīng)該設(shè)計和實施測試程序，以測試內(nèi)部控制的適當(dāng)性和是否存在管理層超越控制的情況。(7)當(dāng)信息系統(tǒng)審計人員確認(rèn)被審計方存在誤報事實時，審計人員應(yīng)該評估該誤報是否