3-信息系统治理
3.1 IT治理
信息系统治理(IT治理)是组织开展信息技术及其应用活动的重要管控手段,也是组织治理的重要组成部分,尤其在以数字化发展为重要关注点的新时代,组织的数字化转型和组织建设过程中,IT治理起到重要的统筹、评估、指导和监督作用。
信息技术审计(IT审计)作为与IT治理配套的组织管控手段,是IT治理不可或缺的评估和监督工具,重点承担着组织信息系统发展的合规性检测以及信息技术风险的管控等职能。
3.1.1 IT治理基础
IT治理是描述组织采用有效的机制对信息技术和数据资源开发利用,平衡信息化发展和数字化转型过程中的风险,确保实现组织的战略目标的过程。
1)IT治理的驱动因素
组织信息系统建设和运行需要制定总体规划,但制定IT资源统一计划存在很多问题:
- 分散开发或引进的信息系统,形成了许多 "信息孤岛",缺乏共享的、网络化的信息资源,系统集成难题一直无法解决
- 信息资源整合目标空泛,没有整合 "信息孤岛" 的措施,数据中心建设和数据集中管理等规划缺乏可操作性,尤其是缺少数据标准化建设方面的建设规划
IT治理是指组织在开发利用信息技术过程中,为鼓励组织所期望的组织行为而明确决策权归属和责任担当的框架,其目标是通过IT治理的决策权和责任影响组织所期望的组织行为
2)IT治理的目标价值
IT治理主要目标包括:与业务目标一致、有效利用信息与数据资源、风险管理。
- 与业务目标一致:IT治理要从组织目标和数字战略中抽取信息与数据需求和功能需求,形成总体的IT治理框架和系统整体模型,为进一步系统设计和实施奠定基础,保障信息技术开发利用跟上持续变化的业务目标
- 有效利用信息与数据资源:目前信息系统工程超期、IT客户的需求没有满足、IT平台不支持业务应用、数据开发利用效能与价值不高、信息技术与业务发展融合深度不够等问题突出,通过IT治理对信息与数据资源的管理职责进行有效管理,保障投资的回收,并支持决策
- 风险管理:由于组织越来越依赖于信息网络、信息系统和数据资源等,新的风险不断涌现。
3)IT治理的管理层次
大致分为三层:最高管理层、执行管理层、业务和服务执行层
- 最高管理层
- 证实IT战略与业务战略是否一致
- 证实通过明确的期望和衡量手段交付IT价值
- 指导IT战略、平衡支持组织当前和未来发展的投资
- 指导信息和数据资源的分配
- 执行管理层
- 制定IT的目标
- 分析新技术的机遇和风险
- 建设关键过程与核心竞争力
- 分配责任、定义规程、衡量业绩
- 管理风险和获得可靠保证等
- 业务和服务执行层
- 信息和数据服务的提供和支持
- IT基础设施的建设和维护
- IT需求的提出和响应
3.1.2 IT治理体系
IT治理的核心是关注 IT定位 和 信息化建设与数字化转型的责权利划分,如下图:
- IT定位:IT应用的期望行为与业务目标一致
- IT治理架构:业务和IT在治理委员会中的构成、组织IT与各分支机构的IT权责边界等
- IT治理内容:投资、风险、绩效、标准和规范等
- IT治理流程:统筹、评估、指导、监督
- IT治理效果(内外评价)等
1)IT治理关键决策
包括IT原则、IT架构、IT基础设施、业务应用需求、IT投资和优先顺序。如图:
IT原则驱动着IT整体架构的形成,而IT整体架构又决定了基础设施,这种基础设施所确定的能力又决定着业务需求应用的构建,最后,IT投资和优先顺序必须为IT原则、整体架构、基础设施和应用需求所驱动。然而,这些决策中又有独特问题,即IT治理需要确定每个决策由谁来负责输入,以及由谁来负责做出决策。
2)IT治理体系框架
IT治理体系框架是实现组织IT治理的有效保障,缺乏良好的IT治理体系框架,IT治理的过程将会变得盲目和无序。IT治理体系框架以组织的战略目标为导向,架起了组织战略和IT的桥梁,实现了IT风险的全面管理以及IT资源的合理利用。IT治理体系具体包括:IT战略目标、IT治理组织、IT治理机制、IT治理域、IT治理标准和IT绩效目标等部分,形成一整套IT治理运行闭环,如下图:
3)IT治理核心内容
IT治理本质上关心:
- 实现IT的业务价值
- IT风险的规避
前者是通过IT与业务战略匹配来实现的,后者通过在组织内部建立相关职责来实现。两者都需要相关资源的支持,并对其绩效进行有效度量。
IT治理的核心内容包括六个方面:组织职责、战略匹配、资源管理、价值交付、风险管理和绩效管理。
风险管理:是IT治理中非常重要的内容。是确保IT资产的安全和灾难的恢复、组织信息资源的安全以及人员的隐私安全。风险管理即是保护业务价值。
4)IT治理机制经验
建立IT治理机制的原则包括:
- 简单:机制应该明确地定义特定个人和团队所承担的责任和目标
- 透明:有效的机制依赖于正式的程序。对于那些被治理决策所影响或是想要挑战治理决策的人来说,机制如何工作是需要非常清晰的
- 适合:机制鼓励那些处于最佳位置的个人去制定特定的决策
3.1.3 IT治理任务
组织的IT治理活动定义为统筹、指导、监督和改进
组织开展IT治理活动的主要任务聚焦在如下五个方面:
1)全局统筹
2)价值导向
3)机制保障
4)创新发展
5)文化助推
3.1.4 IT治理方法与标准
IT治理相关的最佳实践方法、定义相关标准,这里面比较典型的是:
- 我国信息技术服务标准库(ITSS)中IT治理系列标准
- IT治理系列标准、信息和技术治理框架(COBIT)
- IT治理国际标准(ISO/IEC 38500)
1)ITSS 中 IT服务治理
a. IT 治理通用要求
GB/T34960.1 <信息技术服务治理第一部分:通用要求> 规定了IT治理的模型和框架、实施IT治理的原则,以及开展IT顶层设计、管理体系和资源的治理要求。该标准可用于:
- 建立组织的IT治理体系,并实施自我评价
- 开展信息技术审计
- 研发、选择和评价治理相关的软件或解决方案
- 第三方对组织的IT治理能力进行评价
该标准定义的IT治理框架包含:信息技术顶层设计、管理体系和资源三大治理域
b. IT 治理实施指南
GB/T34960.1 <信息技术服务治理第二部分:实施指南> 提出了IT治理通用要求的实施指南,分析了实施IT治理的环境因素,规定了IT治理的实施框架、实施环境和实施过程,并明确顶层设计治理、管理体系治理和资源治理的实施要求。
该标准适用于:
- 建立组织的IT治理实施框架,明确实施方法和过程
- 组织内部开展IT治理的实施
- IT治理相关软件或解决方案实施落地的指导
- 第三方开展IT治理评价的指导
IT 治理实施框架包括治理的实施环境、实施过程和治理域
2)信息和技术治理框架
COBIT 是面向整个组织的信息和技术治理及管理框架,由美国信息系统审计与控制协会(ISACA)组织设计并编制的
a. 治理和管理目标
COBIT 框架介绍了40项核心治理和管理目标,以及其中包含的流程和其他相关组件。治理流程通常由董事会和执行管理层负责,而管理流程则在高级和中级管理层的职责范围内。
董事会和执行管理层负责评估、指导和监控(EDM)领域
高级和中级管理层的职责:
- 调整、规划和组织(APO)领域
- 内部构建、外部采购和实施(BAD)
- 交付、服务和支持(DSS)
- 监控、评价和评估(MEA)领域
b. 信息和技术治理解决方案的设计
COBIT给出了建议设计流程:1)了解组织环境和战略 2)确定治理系统的初步范围 3)优化治理系统的范围 4)最终确定治理系统的设计
3)IT治理国际标准
ISO/IEC 38500,它的出台不仅标志着IT治理从概念模糊的探讨阶段接入了一个正确认识的发展阶段,而且也标志着信息化正式进入IT治理时代。
该标准规定治理机构应通过评估、指导和监督三个主要任务来治理IT
3.2 IT审计
为了有效控制IT风险,有必要对组织的信息系统治理及IT内控与管理等开展IT审计,充分发挥IT审计监督的作用,提高组织的信息系统治理水平,促进组织信息系统治理目标的实现。
3.2.1 IT审计基础
IT审计重要性是指IT审计风险(固有风险、控制风险、检查风险)对组织影响的严重程度,如:财务损失、业务中断、失去客户信任、经济制裁等。
1)IT审计定义
IT审计经过多年发展,国内外机构对IT审计从不同角度进行了描述,目前主流的IT审计定义如表所示:
| 机构/标准名称 | 定义 |
|---|---|
| 国际信息系统审计协会(Information Systems Audit and Control Association,ISACA) | IT审计是一个获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整以及有效利用组织的资源并有效实现组织目标的过程 |
| 国际货币基金组织(International Monetary Fund,IMF) | IT审计是对计算机化的系统进行审计,不仅是对现有信息系统的控制,还包括对系统建立过程、计算机设备和网络管理等方面的控制 |
| 最高审计机关国际组织(International Organization of Supreme AuditInstitutions,INTOSAI) | IT审计是一个通过获取并评估证据,以判断IT系统是否保护组织的资产,有效地利用组织的资源,保障数据的安全性和一致性,以及有效地达到组织业务目标的过程 |
GB/T 34690.4《信息技术服务治理第4部分: 审计原则》 |
IT审计是根据IT审计标准的要求,对信息系统及相关的IT内部控制和流程进行检查、评价,并发表审计意见 |
2)IT审计目的
:是指通过开展IT审计工作,了解组织IT系统与IT活动的总体状况,对组织是否实现IT目标进行审查和评价,充分识别与评估相关IT风险,提出评价意见及改进建议,促进组织实现IT目标
组织的IT目标主要包括:
1)组织的IT战略应与业务战略保持一致
2)保护信息资产的安全及数据的完整、可靠、有效
3)提高信息系统的安全性、可靠性及有效性
4)合理保障信息系统及其运用符合有关法律、法规及标准等的要求
3)IT审计范围
一般来说,IT审计范围需要根据审计目的和投入的审计成本来确定。在确定审计范围时,除了考虑前面提及的审计内容外,还需要明确审计的组织范围、物理位置以及信息系统相关逻辑边界。
IT审计范围的确定如表所示:
| IT审计范围 | 说明 |
|---|---|
| 总体范围 | 需要根据审计目的和投入的审计成本来确定 |
| 组织范围 | 明确审计涉及的组织机构、主要流程、活动及人员等 |
| 物理范围 | 具体的物理地点与边界 |
| 逻辑范围 | 涉及的信息系统和逻辑边界 |
| 其他相关内容 | ,,, |
4)IT审计人员
根据 GB/T 34690.4 <信息技术服务治理第四部分:审计导则>,对IT审计人员的要求包括职业道德、知识、技能、资格与经验、专业胜任能力及利用外部专家服务等方面。
5)IT审计风险
:主要包括固有风险、控制风险、检查风险和总体审计风险。
| 类别 | 描述 |
|---|---|
| 固有风险 | 含义:是指IT活动不存在相关控制的情况下,易于导致重大错误的风险; 分类:可从IT组织层面控制、一般控制及应用控制三个方面分析固有风险 特点:固有风险是IT活动本身所具有的,审计人员只能评估,却无法控制或影响它;固有风险的衡量是主观的、复杂的,不同的IT活动其固有风险水平不同 |
| 控制风险 | 含义:是指与IT相关的内部控制体系不能及时预防或检查出存在的重大错误的风险 分类:可从IT组织层面控制、一般控制及应用控制三个方面分析控制风险 特点:与内部控制制度执行的有效性有关,与审计无关,属于内部控制的范畴,审计人员只能评估其风险水平而不能对其实施控制和影响。其风险水平的衡量由于需要兼顾传统内部控制的思想和计算机系统管理的知识,因而较为复杂且难以准确计量 |
| 检查风险 | 含义: 检查风险是指通过预定的审计程序未能发现重大、单个或与其他错误相结合的风险 影响检查风险的因素:由于IT审计规范不完善、审计人员自身或者技术原因等造成影响审计测试正确性的各种因素 |
总体审计风险是指针对单个控制目标所产生的各类审计风险总和。
3.2.2 审计方法与技术
1)IT审计依据与准则
IT审计活动的开展需求结合相关法律法规、准则与标准
2)IT审计常用方法
常用审计方法包括:访谈法、调查法、检查法、观察法、测试法和程序代码检查法,如表所示:
| 分类 | 说明 |
|---|---|
| 访谈法 | 含义:是指通过访谈人和受访人面对面地交谈来了解被审计对象的信息。依据不同研究问题的性质、目的或对象,访谈法具有不同的形式 分类: 根据访谈进程的结构化程度,可将它分为结构型访谈和非结构型访谈 |
| 调查法 | 含义:是指为了达到预期目的,在制定调研计划的基础上,通过书面或口头回答问题的方式收集研究对象的相关资料,并做分析、综合,得到某一结论的研究方法 目的:可能是全面把握当前状况,也可能是为了揭示存在的问题,弄清前因后果,以便为进一步的研究或决策提供观点和结论 |
| 检查法 | 含义:是指审计人员对被审计单位内部或外部生成的记录和文件 (如纸质、电子或其他介质形式存在的资料)进行审计,或对资产进行实物审查 分类: 从技术层面上可分为审阅法、核对法、复算法和分析法 |
| 观察法 | 含义: 是审计人员到被审计单位的经营场所及其他有关场所实地察看,来证实审计事项的一种方法 应用: 观察程序具有方向性,即从书面记录观察到实物或过程,反之,从实物或过程观察到书面记录。观察法既可以用于对通过其他方法获得的审计证据进行补充证实审计证据,也可以用于直接收集相关证据。观察法可以比较准确地获得审计项目如何运行的信息,适用于正在进行中的审计事项 |
| 测试法 | 含义: 通过测试来评估程序的质量是一项常用的审计技术,其基本原理是从计算机输入开始,跟踪某项业务直至计算机输出,以检验计算机应用程序、控制程序和系统可靠性。执行此类方法使用的是用于测试目的的业务数据,称之为测试数据 分类:主要包括黑盒法和白盒法。黑盒法测试是把程序看成黑盒子,完全不考虑其内部结构和处理过程,只检查程序的功能是否符合它的需求规格说明。白盒法是通过测试来检测产品内部动作是否按照规格说明书的规定正常进行,按照程序内部的结构测试程序,检验程序中的每条通路是否都能按预定要求正确工作,主要用于软件验证 |
| 程序代码检查法 | 含义:是指对被审程序的指令逐条审查,以验证程序的合法性、完整性和程序逻辑的正确性 应用:审计人员可使用代码静态扫描工具进行程序代码的检查 |
3)IT审计技术
:包括风险评估技术、审计抽样技术、计算机辅助审计技术、大数据审计技术
a. 风险评估技术
风险评估技术包括:
-
风险识别技术:包括德尔菲法、头脑风暴法、检查表法、SWOT技术及图解技术等(德尔菲法_百度百科)
-
风险分析技术:对风险影响和后果进行评价和估量,包括定性分析和定量分析
-
风险评价技术:揭示影响成败的关键风险因素,包括单因素风险评价和总体风险评价
-
风险应对技术:IT技术体系中为特定风险制定的应对技术方案,包括云计算、冗余链路、冗余资源、系统弹性伸缩、两地三中心灾备、业务熔断限流等
b. 审计抽样技术
选取一定数量的样本进行测试,并根据测试结果,推断审计对象总体特征的一种方法
c. 计算机辅助审计技术
以计算机为工具来执行和完成某项审计程序和任务的一种新兴审计技术。它并非电算化系统审计特有的一种方法,对手工系统的审计也可应用这些技术。包括多种工具和技术,如通用审计软件(GAS)、测试数据、实用工具软件、专家系统等。
d. 大数据审计技术
包括大数据智能分析技术、大数据可视化分析技术及大数据多数据源综合分析技术等
4)IT审计证据
:是指由审计机构和审计人员获取,用于确定所审计实体或数据是否遵循既定标准或目标,形成审计结论的证明材料。
审计证据的特性如表所示。
| 分类 | 说明 |
|---|---|
| 充分性 | 指要求审计人员根据所获得证据足以对被审计对象提出一定程度保证的结论,是对审计证据数量的要求,主要与审计人员确定的样本量有关 |
| 客观性 | 指审计证据必须是客观存在的事实材料。客观的审计证据比需要判断或解释的证据可靠 |
| 相关性 | 指审计证据与审计事项之间必须有实质性联系 |
| 可靠性 | 指审计证据能够反映和证实客观经济活动特征的程度。审计证据的可靠性受到审计证据的类型、取证的渠道和方法等因素的影响 |
| 合法性 | 指审计证据必须符合法定种类,并依照法定程序取得 |
5)IT审计底稿
:是指审计人员对制订的审计计划、实施的审计程序、获取的相关审计证据,以及得出的审计结论做出的记录。审计工作底稿是审计证据的载体,是审计人员在审计过程中形成的审计工作记录和获取的资料。它形成于审计过程,也反映整个审计过程。
审计底稿的作用表现在:
- 是形成审计结论、发表审计意见的直接依据
- 是评价考核审计人员的主要依据
- 是审计质量控制与监督的基础
- 对未来审计业务具有参考备查作用
一般分为综合类工作底稿、业务类工作底稿和备查类工作底稿,具体如表所示:
| 底稿类型 | 说明 |
|---|---|
| 综合类 | 指审计人员在审计计划阶段和审计报告阶段,为规划、控制和总结整个审计工作并发表审计意见所形成的审计工作底稿 主要包括: 审计业务约定书、审计计划、审计总结、审计报告、管理建议书、被审计单位管理当局声明书以及审计人员对整个审计工作进行组织管理的所有记录和资料 |
| 业务类 | 指审计人员在审计实施阶段为执行具体审计程序所形成的审计工作底稿 包括:符合性测试中形成的内部控制问题调查表和流程图、实质性测试中形成的项目明细表 |
| 备查类 | 指审计人员在审计过程中形成对审计工作仅具有备查作用的审计工作底稿。备查类工作底稿应随被审计单位有关情况的变化而不断更新;应详细列明目录清单,并将更新的文件资料随时归档;应根据需要,将其中与具体审计项目有关的内容复印、摘录、综合后归入业务类审计工作底稿的具体审计项目之后。通常,备查类审计工作底稿是由被审计单位或第三者根据实际情况提供或代为编制,审计人员应认真审核,并对所取得的有关文件、资料标明其具体来源 |
3.2.3 审计流程
:是指审计人员在具体审计过程中采取的行动和步骤
广义的审计流程是指审计机构和审计人员对审计项目从开始到结束的整个过程采取的系统性工作步骤,一般分为审计准备、审计实施、审计终结及后续审计(跟踪审计)四个阶段,每个阶段又包含若干具体内容。
3.2.4 审计内容
IT审计业务和服务通常分为IT内部控制审计和IT专项审计
IT内部控制:主要包括组织层面IT控制审计、IT一般控制审计及应用控制审计
IT专项审计:指根据当前面临的特殊风险或者需求开展的IT审计,审计范围为IT综合审计的某一个或几个部分
