信息系统治理
2024-01-17 18:28:52 0 举报AI智能生成
信息系统治理是一种管理和控制信息系统的战略、政策和程序,以确保其有效地支持组织的战略和目标。它涉及信息系统的投资决策、规划、开发、实施、运行和监控。治理过程需要充分考虑组织的需求、风险和资源,以确保信息系统的安全、可靠和高效。
作者其他创作
大纲/内容
IT治理基础
治理的驱动因素
信息孤岛
信息资源整合目标空泛
驱动组织开展高质量 IT 治理因素包括
良好的IT治理能够确保组织IT投资有效性
IT属于知识高度密集型领域,其价值发挥的弹性较大
IT已经融入组织管理、运行、生产和交付等各领域终,成为各领域高质量发展空间和业务机会等
IT治理能够推动组织充分理解IT价值,从而促进IT价值挖掘和融合利用
IT 价值不仅仅去觉得与好的技术,也需要良好的价值管理,场景化的业务融合应用
高级管理层的管理幅度有限,无法深入到IT每项管理当中,需要采用明确责权利和清晰管理去确保IT价值
成熟度较高的组织以不同的方式治理IT,获得了领域或行业领先的业务发展效果
IT治理内涵主要体现在
IT治理作为组织上管理的一个有机组成部分,由组织治理层或高级管理层服务,从组织全局的高度上对组织信息化与数字化转型做出制度安排,体现了治理层和最高管理层对信息相关活动的关注
IT治理强调数字目标与组织战略目标保持一致,通过对IT的综合开发利用,为组织战略规划提供技术或控制方面的支持,以保证相关建设能够真正落实并贯彻组织业务战略和目标
IT治理保护利益相关者的权益,对风险进行有效管理,合理利用IT资源,平衡成本和收益,确保信息系统应用有效、及时地满足需求,并获得期望地收益,增强组织地核心竞争力
IT 治理是一种制度和机制,主要涉及管理和制衡 信息系统与业务战略匹配、信息系统建设投资、信息系统安全和信息系统绩效评价等方面的内 容
IT 治理的组成部分包括管理层、组织结构、制度、流程、人员、技术等多个方面,共同 构建完善的IT 治理架构,达到数字战略和支持组织的目标。
治理的目标价值
主要目标
与业务目标一致
有效利用信息与数据资源
风险管理
治理的管理层次
最高管理层
执行管理层
业务与服务执行层
IT治理体系
IT治理的核心是关注IT 定位和信息化建设与数字化转型 的职责权利划分
IT治理体系的具体构成包括
IT定位
IT应用的期望行为与业务目标一致
IT治理架构
业务和IT在治理委员会中的构成、组织IT与各分支机构的IT 权责边界等
IT治理内容
投资、风险、绩效、标准和规范等
IT治理流程
统筹、评估、指导、监督
IT治理效果(内外评价)
IT治理关键决策
IT原则
IT架构
IT基础设施
业务应用需求
IT投资和优先顺序
IT治理体系框架
IT战略目标
IT治理组织
IT治理机制
IT治理域
IT治理标准
IT绩效目标
等
IT治理核心内容
组织职责
战略匹配
资源管理
价值交付
风险管理
绩效管理
IT治理机制经验
建立IT治理机制原则包括
简单
透明
适合
IT治理方法与标准
IT治理通用要求‘
GB/T34960.1《信息技术服务治理第1部分:通用要求》
建立组织的IT治理体系
开展信息技术审计
研发、选择和评价IT治理相关的软件或解决方案
第三方对组织的IT治理能力进行评价
该标准定义的IT治理模型包含
内外部要i去
治理主体
治理方法
信息技术及其应用的管理体系
该标准定义的IT治理框架包含
信息技术顶层设计
管理体系
管理体系治理域包含信息技术相关的质量管理、项目管理、投资管理、服 务管理、业务连续性管理、信息安全管理、风险管理、供方管理、资产管理和其他管理;资源 治理域包含信息技术相关的基础设施、应用系统和数据。
资源
GB/T34960.2《信息技术服务治理第2部分:实施指南》
该标准适用于
建立组织的IT治理实施框架
明确实施方法和过程
组织内部开展IT治理的实施
IT治理相关软件或解决方案实施落地的指导
第三方开展IT治理评价的指导
该标准规定治理机构应通过评估、指导和监督三个主要任务来治理IT
IT审计
IT 审计重要性是指IT 审计风险(固有风险、控制风险、检查风险) 对组织影响的严重程度,如:财务损失、业务中断、失去客户信任、经济制裁等。
主流的IT审计定义
审计目的
组织的IT目标主要包括
组织的IT战略应与业务战略保持一致
保护信息资产的安全及数据的完整、可靠、有效
提高信息系统的安全性、可靠性及有效性
合理保证信息系统及其运用符合有关法律、法规及标准等的要求
审计范围
总体范围
需要根据审计目的和投入的审计成本来确定
组织范围
明确审计涉及的组织机构、主要流程、活动及人员等
物理范围
具体的物理地点与边界
逻辑范围
涉及的信息系统和逻辑边界
审计人员
GB/T 34690.4《信息技术服务治理第4部分:审计导则》
职业道德
知识、技能、资格与经验
专业胜任能力
利用外部专家服务
IT审计风险
固有风险
是指IT活动不存在相关控制的情况下,易于导致重大错误的风险
控制风险
是指与IT活动相关的内部控制体系不能及时预防或检查出存在的重大错误的风险
检查风险
检查风险是指通过预定的审计程序未能发现重大、单个或与其他错误相结合的风险
总体审计风险
指针对单个控制目标所产生的各类审计风险总和。
审计方法与技术
审计方法
访谈法
调查法
检查法
观察法
测试法
程序代码检查法
审计技术
风险评估技术
风险识别技术
风险分析技术
风险评价技术
风险应对技术
审计抽样技术
属性抽样
变量抽样
计算机辅助审计技术Computer Assisted Audit Tools,CAAT
通用审计软件(GAS)
测试数据
实用工具软件
专家系统
大数据审计技术
大数据智能分析技术
大数据可视化分析技术
大数据多数据源综合分析技术
审计底稿
类型
综合类工作底稿
主要包括:审计业务约定书、审计计划、审计总结、审计报告、 管理建议书、被审计单位管理当局声明书以及审计人员对整个审计工作进行组织管理的所有 记录和资料
业务类工作底稿
符合性测试 中形成的内部控制问题调查表和流程图、实质性测试中形成的项目明细表等
备查类工作底稿
备查类审计工作底稿是由被审计单位或第三者根据 实际情况提供或代为编制,审计人员应认真审核,并对所取得的有关文件、资料标明其具体 来源
审计流程
审计准备阶段
明确审计目的及任务
组建审计项目组
搜集相关信息
编制审计计划
审计实施阶段
深入调查并调整审计计划
了解并初步评估IT内部控制
进行符合性测试
进行实质性测试
审计终结阶段
整理与复核审计工作底稿
整理审计证据
评价相关IT控制目标的实现
判断并报告审计发现
沟通审计结果
出具审计报告
归档管理等
后续审计阶段
后续审 计并不是一次新的审计,而是前一次审计的有机组成部分。实施后续审计,可不必遵守审计流 程的每一过程和要求,但必须依法依规进行检查、调查,收集审计证据,写出后续审计报告。
审计内容
信息系统项目管理审计内容与方法举例
职业:本科
0 条评论
下一页
