信息系統(tǒng)審計(jì) 課件 【ch02】IT 治理

IT治理第二章高等院校公共課系列精品教材信息系統(tǒng)審計(jì)IT治理概述0101IT治理的概念I(lǐng)T治理是信息系統(tǒng)審計(jì)和控制領(lǐng)域中一個(gè)相當(dāng)重要的概念。它是企業(yè)治理在信息時(shí)代的重要發(fā)展，是企業(yè)治理的一部分，用于描述企業(yè)或組織是否采取有效機(jī)制，使IT應(yīng)用能夠完成組織賦予的使命，平衡信息技術(shù)和流程的風(fēng)險(xiǎn)，保證組織戰(zhàn)略目標(biāo)的實(shí)現(xiàn)。02IT治理的目標(biāo)與業(yè)務(wù)目標(biāo)一致有效利用信息資源IT治理要從組織目標(biāo)和信息化戰(zhàn)略中抽取信息需求和功能需求，形成總體的IT治理框架和系統(tǒng)整體模型，為進(jìn)一步系統(tǒng)設(shè)計(jì)和實(shí)施奠定基礎(chǔ)，保證信息技術(shù)跟上持續(xù)變化的業(yè)務(wù)目標(biāo)。由于信息化工程超期，導(dǎo)致客戶的需求沒(méi)有得到較好的滿足，IT平臺(tái)不支持業(yè)務(wù)應(yīng)用等問(wèn)題較為突出。IT治理可以對(duì)信息資源的管理職責(zé)進(jìn)行有效管理，保證投資的回收，并支持決策。02IT治理的目標(biāo)風(fēng)險(xiǎn)管理由于企業(yè)或組織越來(lái)越依賴(lài)信息技術(shù)和網(wǎng)絡(luò)，因此新的風(fēng)險(xiǎn)不斷涌現(xiàn)。IT治理強(qiáng)調(diào)風(fēng)險(xiǎn)管理，通過(guò)制定信息資源的保護(hù)級(jí)別，強(qiáng)調(diào)對(duì)關(guān)鍵的信息技術(shù)資源實(shí)施有效監(jiān)控和做好事故處理。IT治理使企業(yè)或組織可以適應(yīng)外部環(huán)境變化，在內(nèi)部的業(yè)務(wù)流程中實(shí)現(xiàn)對(duì)資源的有效利用，從而達(dá)到提高管理效率和經(jīng)營(yíng)水平的目的。IT治理的目標(biāo)是幫助管理層樹(shù)立以組織戰(zhàn)略為導(dǎo)向、以外界環(huán)境為依據(jù)、以業(yè)務(wù)與IT整合為中心的觀念，正確定位IT部門(mén)在整個(gè)組織中的作用；最終能夠針對(duì)不同業(yè)務(wù)發(fā)展要求，整合信息資源，制定并執(zhí)行推動(dòng)組織發(fā)展的IT戰(zhàn)略。03IT治理可以解決的問(wèn)題發(fā)現(xiàn)信息技術(shù)本身的問(wèn)題幫助管理者處理IT問(wèn)題例如，是否有足夠的IT資源、基礎(chǔ)設(shè)施、競(jìng)爭(zhēng)力來(lái)滿足戰(zhàn)略目標(biāo)；信息技術(shù)操作的失誤原因；IT沒(méi)有推動(dòng)業(yè)務(wù)改善而是阻礙業(yè)務(wù)的次數(shù)。例如，IT和組織戰(zhàn)略目標(biāo)的一致性程度怎么樣；怎樣衡量IT交付的效果；管理人員采取什么樣的手段來(lái)管理和運(yùn)用IT;IT與企業(yè)或組織的運(yùn)營(yíng)與成長(zhǎng)管理相關(guān)的問(wèn)題；對(duì)IT相關(guān)風(fēng)險(xiǎn)(風(fēng)險(xiǎn)規(guī)避和風(fēng)險(xiǎn)承擔(dān))是否有清楚的認(rèn)識(shí)；有沒(méi)有最新的IT風(fēng)險(xiǎn)清單，要采取哪些行動(dòng)防范這些風(fēng)險(xiǎn)。03IT治理可以解決的問(wèn)題自我評(píng)估IT管理的效果例如，是否向最高管理層定期匯報(bào)IT風(fēng)險(xiǎn)；最高管理層是否就組織的戰(zhàn)略目標(biāo)與信息技術(shù)一致性進(jìn)行闡明和溝通；最高管理層對(duì)主要IT投資是否有清楚的觀點(diǎn)，包括風(fēng)險(xiǎn)和回報(bào)；最高管理層是否能定期得到主要IT過(guò)程的報(bào)告；最高管理層在獲取IT目標(biāo)和限制IT風(fēng)險(xiǎn)時(shí)是否得到獨(dú)立的保證。IT治理就是要明確有關(guān)IT決策權(quán)的歸屬機(jī)制和有關(guān)IT責(zé)任的承擔(dān)機(jī)制，從而鼓勵(lì)應(yīng)用IT預(yù)期行為的產(chǎn)生，將戰(zhàn)略目標(biāo)、業(yè)務(wù)目標(biāo)和IT目標(biāo)聯(lián)系起來(lái)，讓企業(yè)或組織從IT中獲得最大價(jià)值。04IT治理與信息系統(tǒng)審計(jì)的關(guān)系那么IT治理與信息系統(tǒng)審計(jì)又是怎樣一種關(guān)系呢?從圖2-1可以看出，在IT治理的八大部分內(nèi)容中，信息系統(tǒng)審計(jì)居于核心位置，信息系統(tǒng)審計(jì)能夠?qū)ζ渌邆€(gè)部分進(jìn)行審計(jì)。也就是說(shuō)，信息系統(tǒng)審計(jì)對(duì)于IT治理中存在的問(wèn)題是一種監(jiān)督檢查和促進(jìn)IT治理的作用，但它不能替代IT治理。信息系統(tǒng)審計(jì)是IT治理的組成部分，IT治理的好壞在很大程度上取決于信息系統(tǒng)審計(jì)。這就相當(dāng)于獨(dú)立審計(jì)與企業(yè)治理的作用一樣，正是企業(yè)治理問(wèn)題的出現(xiàn)才產(chǎn)生了對(duì)獨(dú)立審計(jì)和獨(dú)立審計(jì)師的需要，而獨(dú)立審計(jì)又能促進(jìn)企業(yè)所有權(quán)與控制權(quán)分離，促使受托責(zé)任的實(shí)現(xiàn)，發(fā)揮企業(yè)治理的最大作用。企業(yè)的IT治理0201企業(yè)的IT治理IT治理和企業(yè)治理的關(guān)系企業(yè)治理的定義是：為確定組織目標(biāo)和確保目標(biāo)實(shí)現(xiàn)的績(jī)效監(jiān)控所提供的治理結(jié)構(gòu)。IT治理的定義是：IT治理是一種引導(dǎo)和控制企業(yè)各種關(guān)系和流程的結(jié)構(gòu)，這種結(jié)構(gòu)安排，旨在通過(guò)平衡信息技術(shù)及其流程中的風(fēng)險(xiǎn)和收益，增加價(jià)值，以實(shí)現(xiàn)企業(yè)目標(biāo)。IT治理和企業(yè)治理的關(guān)系如圖2-2所示。01企業(yè)的IT治理IT治理和企業(yè)治理的關(guān)系IT治理的一個(gè)關(guān)鍵問(wèn)題是企業(yè)的IT投資是否與其戰(zhàn)略目標(biāo)一致，從而建立必要的核心競(jìng)爭(zhēng)力。因?yàn)槠髽I(yè)目標(biāo)變化太快，很難保證企業(yè)的IT建設(shè)始終契合其商業(yè)目標(biāo)，所以需要有多方面的協(xié)調(diào)來(lái)確保IT治理繼續(xù)朝著正確的方向發(fā)展，這也是IT投資者真正關(guān)心的問(wèn)題。因此，IT建設(shè)時(shí)應(yīng)體現(xiàn)出未來(lái)信息技術(shù)與企業(yè)未來(lái)發(fā)展方向的戰(zhàn)略整合，即要盡可能地保持開(kāi)放性和長(zhǎng)遠(yuǎn)性，以確保系統(tǒng)的穩(wěn)定性和延續(xù)性。01企業(yè)的IT治理IT治理和企業(yè)治理的關(guān)系IT治理中比較有效的做法是，在信息化建設(shè)的規(guī)劃階段仔細(xì)分析企業(yè)戰(zhàn)略和IT治理之間的關(guān)系，合理預(yù)測(cè)環(huán)境變化可能給企業(yè)戰(zhàn)略帶來(lái)的偏差，在規(guī)劃中留出適當(dāng)?shù)目臻g，從業(yè)務(wù)戰(zhàn)略到信息戰(zhàn)略，要通過(guò)務(wù)實(shí)來(lái)牽引，而不是追求大而全的建設(shè)思路。IT治理有助于建立一個(gè)靈活且適應(yīng)性強(qiáng)的企業(yè)，使其能夠迅速感知市場(chǎng)正在發(fā)生的變化并從中學(xué)習(xí)，從而創(chuàng)新產(chǎn)品、服務(wù)、渠道、過(guò)程；迅速變化，將革新帶入市場(chǎng)，衡量業(yè)績(jī)。IT治理應(yīng)體現(xiàn)“以組織戰(zhàn)略目標(biāo)為中心”的理念，通過(guò)合理配置IT資源來(lái)創(chuàng)造價(jià)值。企業(yè)治理側(cè)重于企業(yè)的整體規(guī)劃，而IT治理側(cè)重于企業(yè)信息資源的有效利用和管理。企業(yè)目標(biāo)在于遠(yuǎn)景和商業(yè)模式，IT目標(biāo)在于商業(yè)模式的實(shí)施。01企業(yè)的IT治理IT治理和企業(yè)治理的關(guān)系企業(yè)目標(biāo)在于遠(yuǎn)景和商業(yè)模式，IT目標(biāo)在于商業(yè)模式的實(shí)施。企業(yè)目標(biāo)與IT目標(biāo)之間的關(guān)系如圖2-3所示。01企業(yè)的IT治理IT治理和IT管理IT管理屬于企業(yè)信息系統(tǒng)的運(yùn)營(yíng)，它確定企業(yè)的IT目標(biāo)，以及為實(shí)現(xiàn)此目標(biāo)所采取的行動(dòng)；而IT治理是指最高管理層利用它來(lái)監(jiān)督管理層在IT戰(zhàn)略上的過(guò)程、結(jié)構(gòu)和聯(lián)系，以確保這種運(yùn)營(yíng)處于正確的軌道之上。這就像一個(gè)硬幣的兩面，誰(shuí)也不能脫離對(duì)方而存在。由此可見(jiàn)，IT管理就是在既定的IT治理模式下，管理層為實(shí)現(xiàn)企業(yè)的目標(biāo)而采取的行動(dòng)。01企業(yè)的IT治理IT治理和IT管理IT治理規(guī)定了整個(gè)企業(yè)IT運(yùn)作的基本框架，IT管理則是在這個(gè)既定的框架下駕馭企業(yè)奔向目標(biāo)。缺乏良好IT治理模式的企業(yè)，即使有“很好”的IT管理體系，也像一座地基不牢固的大廈；同樣，企業(yè)沒(méi)有暢通的IT管理體系，單純的IT治理模式也只能是一個(gè)美好的藍(lán)圖，而缺乏實(shí)際的內(nèi)容。就我國(guó)目前信息化建設(shè)的現(xiàn)狀而言，無(wú)論是IT治理，還是IT管理，都是迫切需要不斷創(chuàng)新和建設(shè)的。01企業(yè)的IT治理IT治理和IT管理01企業(yè)的IT治理管理層在IT治理方面的職責(zé)管理層在IT治理方面的職責(zé)如表2-1所示。IT治理的核心問(wèn)題0301IT治理的核心問(wèn)題IT治理的核心問(wèn)題體現(xiàn)在以下五種IT決策上。(1)IT原則：闡述IT的商業(yè)作用。(2)IT架構(gòu)：定義集成和標(biāo)準(zhǔn)化的要求。(3)IT基礎(chǔ)設(shè)施：決定共享和可提供的服務(wù)。(4)商業(yè)應(yīng)用需求：確定購(gòu)買(mǎi)或內(nèi)部開(kāi)發(fā)應(yīng)用的商業(yè)需求。(5)IT投資：選擇資助哪一個(gè)項(xiàng)目及投入多少資金。01IT治理的核心問(wèn)題IT原則IT原則是指企業(yè)或組織的IT事業(yè)指導(dǎo)方針。也就是說(shuō)，企業(yè)或組織想從IT所提供的服務(wù)中得到什么，以及如何在IT上進(jìn)行投入。在企業(yè)或組織的戰(zhàn)略發(fā)展規(guī)劃中，通過(guò)構(gòu)建先進(jìn)適用的IT業(yè)務(wù)運(yùn)作平臺(tái)和管理平臺(tái)，發(fā)揮其基礎(chǔ)支持作用，并根據(jù)企業(yè)或組織的戰(zhàn)略方向和業(yè)務(wù)原則，制定以下的IT原則：技術(shù)領(lǐng)先原則；技術(shù)和信息集中原則；對(duì)業(yè)務(wù)的全過(guò)程風(fēng)險(xiǎn)控制原則；統(tǒng)一、靈活、可擴(kuò)張性強(qiáng)的基礎(chǔ)設(shè)施建設(shè)原則；實(shí)現(xiàn)業(yè)務(wù)目標(biāo)，并可對(duì)新應(yīng)用快速部署；完備、可測(cè)、可控的運(yùn)行流程和開(kāi)發(fā)管理流程；利用行業(yè)標(biāo)準(zhǔn)；以客戶為中心來(lái)評(píng)估產(chǎn)品的使用效果。01IT治理的核心問(wèn)題IT架構(gòu)IT架構(gòu)是指所有構(gòu)成信息系統(tǒng)的不同元素及這些元素之間的關(guān)聯(lián)關(guān)系，它通過(guò)一系列的規(guī)則來(lái)達(dá)到業(yè)務(wù)流程、數(shù)據(jù)格式、IT運(yùn)行的標(biāo)準(zhǔn)化和一體化，以此為基礎(chǔ)設(shè)施、商業(yè)應(yīng)用、IT投資提供指導(dǎo)方針。簡(jiǎn)單來(lái)講，IT架構(gòu)就是設(shè)計(jì)好IT建設(shè)的方向，比如由誰(shuí)來(lái)實(shí)施、如何實(shí)施、采用什么技術(shù)或標(biāo)準(zhǔn)、投資多少和周期多長(zhǎng)等，IT架構(gòu)在執(zhí)行過(guò)程中具有指導(dǎo)和把握方向的作用。因此IT架構(gòu)決策對(duì)于有效的IT治理而言至關(guān)重要，它往往是決定IT能力的關(guān)鍵因素。01IT治理的核心問(wèn)題IT基礎(chǔ)設(shè)施IT基礎(chǔ)設(shè)施是企業(yè)或組織信息化運(yùn)營(yíng)的基礎(chǔ)，是運(yùn)營(yíng)整個(gè)組織所必需的一系列物理設(shè)備和應(yīng)用軟件的集合，也是由管理層預(yù)算所決定的組織范圍內(nèi)的人和技術(shù)能力的服務(wù)集合。人們經(jīng)常提到的信息技術(shù)硬件、軟件、服務(wù)方面的投資，其實(shí)就是IT基礎(chǔ)設(shè)施。對(duì)于企業(yè)或組織來(lái)說(shuō)，這些設(shè)施能夠?yàn)榭蛻舴?wù)、供應(yīng)商聯(lián)系和內(nèi)部管理打好基礎(chǔ)。IT基礎(chǔ)設(shè)施應(yīng)該是可靠、可共享和可擴(kuò)展的。有遠(yuǎn)見(jiàn)的基礎(chǔ)設(shè)施規(guī)劃不僅可以對(duì)業(yè)務(wù)的良好發(fā)展起到積極的推動(dòng)作用，而且會(huì)節(jié)約成本，反之則會(huì)導(dǎo)致資源浪費(fèi)、工期延誤及客戶流失。01IT治理的核心問(wèn)題IT基礎(chǔ)設(shè)施從20世紀(jì)60年代至今，IT基礎(chǔ)設(shè)施的迭代已經(jīng)走過(guò)了5個(gè)階段：通用主機(jī)及小型計(jì)算機(jī)階段；個(gè)人計(jì)算機(jī)階段；客戶機(jī)、服務(wù)器階段；企業(yè)級(jí)計(jì)算階段；云計(jì)算及移動(dòng)計(jì)算階段?；A(chǔ)設(shè)施的投資是需要進(jìn)行資產(chǎn)管理的，有“漸進(jìn)式”和“爆發(fā)式”兩種投資策略，分別對(duì)應(yīng)基礎(chǔ)設(shè)施更新?lián)Q代中的“進(jìn)化式”和“斷代式”策略。經(jīng)驗(yàn)證明，漸進(jìn)式投資策略優(yōu)于“爆發(fā)式”投資策略，主要在于有歷史投資和經(jīng)驗(yàn)可以傳承。01IT治理的核心問(wèn)題商業(yè)應(yīng)用需求盡管五種IT決策都涉及IT的商業(yè)價(jià)值，但只有滿足特定的商業(yè)需求才能實(shí)現(xiàn)其價(jià)值。分析和明確商業(yè)應(yīng)用需求的目的就是為了進(jìn)行信息系統(tǒng)開(kāi)發(fā)。所謂的需求，就是信息化建設(shè)的需求。如果一個(gè)業(yè)務(wù)不需要信息系統(tǒng)就能有效開(kāi)展，就不需要進(jìn)行需求分析，直接開(kāi)展業(yè)務(wù)即可。進(jìn)行需求分析，就是為開(kāi)發(fā)信息系統(tǒng)服務(wù)，是為了讓系統(tǒng)開(kāi)發(fā)者明白其需要開(kāi)發(fā)一個(gè)怎樣的信息系統(tǒng)，如需要什么功能，有什么樣的輸入/輸出，有什么樣的交互界面，業(yè)務(wù)處理的規(guī)則是什么等。當(dāng)然，在分析和明確商業(yè)應(yīng)用需求的過(guò)程中，有可能使得業(yè)務(wù)人員更加清晰地理解原來(lái)的業(yè)務(wù)，進(jìn)而對(duì)其業(yè)務(wù)進(jìn)行重新定義，因此技術(shù)創(chuàng)新可以優(yōu)化或重構(gòu)原有的業(yè)務(wù)流程。這種優(yōu)化和重構(gòu)將在軟件系統(tǒng)不斷的升級(jí)迭代中，逐步推動(dòng)企業(yè)或組織革新和發(fā)展，形成業(yè)務(wù)與技術(shù)之間的良性互動(dòng)。01IT治理的核心問(wèn)題

IT投資IT投資決策需要處理三個(gè)重要問(wèn)題：投資多少經(jīng)費(fèi)?往哪里投?如何協(xié)調(diào)不同投資者的需求?由于投資回報(bào)的不確定性，一般會(huì)參考業(yè)界同行的投資標(biāo)準(zhǔn)，但這些標(biāo)準(zhǔn)只能作為參考基準(zhǔn)。因?yàn)椴煌钠髽I(yè)或組織對(duì)IT有不同的戰(zhàn)略預(yù)期，有遠(yuǎn)見(jiàn)的最高管理層應(yīng)該關(guān)注IT的戰(zhàn)略作用，從而建立相應(yīng)的投資標(biāo)準(zhǔn)。此外，如何分配IT投資，構(gòu)成有效的IT投資組合是管理者最為關(guān)注的問(wèn)題。這個(gè)問(wèn)題對(duì)不同企業(yè)或組織有不同的標(biāo)準(zhǔn)，以下幾點(diǎn)是考慮的重點(diǎn)。01IT治理的核心問(wèn)題

IT投資(1)對(duì)IT投資進(jìn)行管理。這種管理應(yīng)該具有可以量化的指標(biāo)體系，而且要在投資者和被投資者之間達(dá)成一致，即便同一個(gè)單位內(nèi)部也應(yīng)區(qū)分IT投資部門(mén)和IT使用部門(mén)，即在單位內(nèi)部也進(jìn)行成本攤銷(xiāo)與核算。(2)對(duì)IT資產(chǎn)進(jìn)行分類(lèi)。IT資產(chǎn)通?？煞譃樗念?lèi)：戰(zhàn)略層面(為了獲得競(jìng)爭(zhēng)優(yōu)勢(shì))、信息層面(為了提供信息)、事物層面(為了降低處理事物的成本)和基礎(chǔ)設(shè)施層面(為了提供共享服務(wù)和集成)。一個(gè)清晰具體的分類(lèi)，有助于確定IT投資策略的優(yōu)先級(jí)，使利益最大化。(3)對(duì)IT投資進(jìn)行風(fēng)險(xiǎn)評(píng)估。正如任何商業(yè)投資決策都有風(fēng)險(xiǎn)一樣，IT投資也讓企業(yè)或組織面臨四大風(fēng)險(xiǎn)：財(cái)務(wù)風(fēng)險(xiǎn)、市場(chǎng)風(fēng)險(xiǎn)、組織風(fēng)險(xiǎn)和技術(shù)風(fēng)險(xiǎn)。需要全面分析及反復(fù)權(quán)衡才能確保IT投資成功。IT投資風(fēng)險(xiǎn)評(píng)估通常更注重財(cái)務(wù)風(fēng)險(xiǎn)和技術(shù)風(fēng)險(xiǎn)，而容易忽略市場(chǎng)風(fēng)險(xiǎn)和組織風(fēng)險(xiǎn)，這就可能導(dǎo)致投資回報(bào)率低或項(xiàng)目永遠(yuǎn)無(wú)法完成的情況。這是一個(gè)需要注意的常見(jiàn)問(wèn)題。IT治理的標(biāo)準(zhǔn)0401IT治理的標(biāo)準(zhǔn)IT治理框架和標(biāo)準(zhǔn)匯總見(jiàn)表2-2所示。該表列出了IT治理框架的內(nèi)容及其標(biāo)準(zhǔn)，目前國(guó)際上通行的IT治理標(biāo)準(zhǔn)主要有五個(gè)：COBIT、ITIL、ISO/IEC38500、PRINCE2和ISO27001。01IT治理的標(biāo)準(zhǔn)IT治理框架和標(biāo)準(zhǔn)匯總見(jiàn)表2-2所示。該表列出了IT治理框架的內(nèi)容及其標(biāo)準(zhǔn)，目前國(guó)際上通行的IT治理標(biāo)準(zhǔn)主要有五個(gè)：COBIT、ITIL、ISO/IEC38500、PRINCE2和ISO27001。01IT治理的標(biāo)準(zhǔn)COBITCOBIT(ControlObjectivesforInformationandrelatedTechnology),即信息系統(tǒng)和技術(shù)控制目標(biāo)。國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì)(ISACA)于1996推出了用于信息系統(tǒng)審計(jì)的知識(shí)體系COBIT,現(xiàn)已更新到COBIT2019。COBIT在風(fēng)險(xiǎn)、控制和技術(shù)之間構(gòu)建了全面的框架，為組織IT治理和管理起到指引的作用，以支持企業(yè)或組織實(shí)現(xiàn)其IT治理和管理的目標(biāo)。COBIT將企業(yè)或組織的戰(zhàn)略規(guī)劃作為重要的因素，對(duì)業(yè)務(wù)環(huán)境和業(yè)務(wù)戰(zhàn)略進(jìn)行分析，并將戰(zhàn)略規(guī)劃所產(chǎn)生的政策、目標(biāo)、行動(dòng)規(guī)劃作為信息技術(shù)的關(guān)鍵因素，并由此確定IT準(zhǔn)則。在COBIT標(biāo)準(zhǔn)的指導(dǎo)下，企業(yè)或組織利用控制目標(biāo)體系，分別從“調(diào)整、計(jì)劃和組織”“建立、獲取和實(shí)施”“交付、服務(wù)和支持”“監(jiān)控、評(píng)價(jià)和評(píng)估”過(guò)程對(duì)信息資源進(jìn)行控制和管理。01IT治理的標(biāo)準(zhǔn)ITILITIL(InformationTechnologyInfrastructureLibrary),即信息技術(shù)基礎(chǔ)構(gòu)架庫(kù)，是一套被廣泛承認(rèn)的用于有效IT服務(wù)管理的實(shí)踐準(zhǔn)則。ITIL主要包括六個(gè)方面的管理內(nèi)容，即業(yè)務(wù)管理、服務(wù)管理、應(yīng)用管理、安全管理、信息技術(shù)服務(wù)管理規(guī)劃與實(shí)施、基礎(chǔ)設(shè)施管理。服務(wù)管理是它的核心模塊，包括兩個(gè)過(guò)程：“服務(wù)交付”和“服務(wù)支持”。ITIL關(guān)注IT服務(wù)過(guò)程并考慮了使用者的核心作用，對(duì)IT的應(yīng)用、管理、變更、運(yùn)維等方面提出了要求，明確每個(gè)階段、每個(gè)環(huán)節(jié)的要求、目標(biāo)和工作流程。01IT治理的標(biāo)準(zhǔn)IT治理——ISO/IEC38500ISO和IEC在2008年發(fā)布了ISO/IEC38500系列標(biāo)準(zhǔn)，這是有關(guān)IT治理方面的國(guó)際標(biāo)準(zhǔn)，它的出臺(tái)不僅標(biāo)志著IT治理從概念模糊的探討階段進(jìn)入了一個(gè)正確認(rèn)識(shí)的發(fā)展階段，而且也標(biāo)志著信息化正式進(jìn)入IT治理時(shí)代。這一系列標(biāo)準(zhǔn)在發(fā)布后又陸續(xù)進(jìn)行了更新和增補(bǔ)，截至2022年已包含21個(gè)具體標(biāo)準(zhǔn)，其中有以下幾個(gè)主要標(biāo)準(zhǔn)。01IT治理的標(biāo)準(zhǔn)IT治理——ISO/IEC38500ISO/IEC38500:2008《信息技術(shù)IT治理》,給出了IT治理的六個(gè)原則(職責(zé)、策略、獲取、績(jī)效、合規(guī)、人員行為)和治理模型，并通過(guò)引入評(píng)估、指導(dǎo)、監(jiān)督三個(gè)主要治理任務(wù)與治理原則構(gòu)成6×3的治理原則實(shí)施矩陣；ISO/IEC38500:2008中給出了IT治理模型，模型中描述了治理主體需要結(jié)合外部環(huán)境的要求，在評(píng)估現(xiàn)狀后進(jìn)行戰(zhàn)略決策指導(dǎo)組織對(duì)IT的利用，同時(shí)監(jiān)控對(duì)IT利用的績(jī)效(見(jiàn)圖2-5)。01IT治理的標(biāo)準(zhǔn)IT治理——ISO/IEC38500ISO/IEC38501:2012《信息技術(shù)IT治理實(shí)施指南》,此標(biāo)準(zhǔn)根據(jù)治理模型設(shè)計(jì)了四個(gè)主要的實(shí)施過(guò)程，并通過(guò)環(huán)境、范圍、架構(gòu)、角色、職責(zé)、策略、流程等內(nèi)容提出了IT治理實(shí)施框架，進(jìn)一步規(guī)范了IT治理實(shí)施過(guò)程。ISO/IEC38502:2012《信息技術(shù)IT治理框架和模型》,此標(biāo)準(zhǔn)將治理原則、IT業(yè)務(wù)計(jì)劃、IT管理體系、IT利用過(guò)程、IT利用的策略、風(fēng)險(xiǎn)管理等關(guān)鍵要素構(gòu)成整體，形成IT治理的框架。ISO/IEC38504:2016《基于原則IT治理架構(gòu)》,此標(biāo)準(zhǔn)以技術(shù)報(bào)告的形式提出了基于原則的方法論，規(guī)定了原則中需要包含的信息項(xiàng)，旨在為其他標(biāo)準(zhǔn)應(yīng)用基于原則的方法論提供指導(dǎo)。01IT治理的標(biāo)準(zhǔn)IT治理——ISO/IEC38500ISO/IEC38505-1:2021《數(shù)據(jù)治理》,此標(biāo)準(zhǔn)將ISO/IEC38500:2008的核心思想和模型應(yīng)用在數(shù)據(jù)的場(chǎng)景下，在規(guī)范數(shù)據(jù)利用過(guò)程(采集、存儲(chǔ)、報(bào)告、決策、發(fā)布、廢棄)的同時(shí)，從價(jià)值、風(fēng)險(xiǎn)和約束三個(gè)視角闡述數(shù)據(jù)治理應(yīng)關(guān)注的主要內(nèi)容，同時(shí)構(gòu)建數(shù)據(jù)利用過(guò)程和主要內(nèi)容之間6×3的關(guān)系矩陣。ISO/IEC38505-2:2021《數(shù)據(jù)治理對(duì)管理的影響》,此標(biāo)準(zhǔn)以研究報(bào)告的形式深化了數(shù)據(jù)治理國(guó)際標(biāo)準(zhǔn)第一部分的工作。通過(guò)進(jìn)一步分析，以數(shù)據(jù)治理的視角深入數(shù)據(jù)管理，為最高管理層(董事會(huì))和管理執(zhí)行層提供監(jiān)督和評(píng)估的具體內(nèi)容。01IT治理的標(biāo)準(zhǔn)PRINCE2PRINCE2(ProjectsInControlledEnvironments),即受控環(huán)境中的項(xiàng)目管理，是一種基于過(guò)程的結(jié)構(gòu)化的項(xiàng)目管理方法。PRINCE2描述了一個(gè)項(xiàng)目如何被切分成一些可供管理的過(guò)程，對(duì)每個(gè)過(guò)程定義關(guān)鍵輸入、需要執(zhí)行的關(guān)鍵活動(dòng)和特殊的輸出目標(biāo)，以便高效地控制資源的使用和在整個(gè)項(xiàng)目周期執(zhí)行常規(guī)的監(jiān)督流程。PRINCE2的視野并不僅限于對(duì)具體項(xiàng)目的管理，還涵蓋了在組織范圍內(nèi)對(duì)項(xiàng)目的管理。01IT治理的標(biāo)準(zhǔn)ISO27001ISO27001信息安全管理實(shí)用規(guī)則起源于英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)(BSI)于1995年頒布的BS7799標(biāo)準(zhǔn)。1999年BSI對(duì)該標(biāo)準(zhǔn)進(jìn)行了修改。ISO27001是一套全面性很強(qiáng)的實(shí)施規(guī)則，為信息安全管理提供了參照，并且適用各種規(guī)模類(lèi)型的組織。目前，在信息安全管理方面，英國(guó)標(biāo)準(zhǔn)ISO27001已經(jīng)成為世界上應(yīng)用最全面的、最權(quán)威的信息安全管理標(biāo)準(zhǔn)，適用于各種性質(zhì)、各種規(guī)模的組織，如政府、銀行、電信、研究機(jī)構(gòu)、外包服務(wù)企業(yè)、軟件服務(wù)企業(yè)等。該標(biāo)準(zhǔn)偏重安全，從組織架構(gòu)、人力、安全策略、訪問(wèn)控制等11個(gè)方面提出了信息系統(tǒng)管理的要求和操作實(shí)踐。該標(biāo)準(zhǔn)已被我國(guó)頒布為國(guó)家標(biāo)準(zhǔn)(GB/T22080-2008和GB/T22081-2008)。信息系統(tǒng)審計(jì)準(zhǔn)則0501ISACA信息系統(tǒng)審計(jì)基本準(zhǔn)則國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì)(ISACA)主要致力于信息系統(tǒng)審計(jì)準(zhǔn)則的制定與發(fā)布工作。截至2013年12月，ISACA發(fā)布的規(guī)范包括16項(xiàng)基本準(zhǔn)則、41項(xiàng)審計(jì)指南和11項(xiàng)作業(yè)程序，這些規(guī)范層次清晰、可操作性強(qiáng)。ISACA的信息系統(tǒng)審計(jì)準(zhǔn)則體系類(lèi)似注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則體系，ISACA的信息系統(tǒng)審計(jì)準(zhǔn)則體系由基本準(zhǔn)則、審計(jì)指南和作業(yè)程序構(gòu)成，該框架為信息系統(tǒng)審計(jì)人員的執(zhí)業(yè)提供了多層次的指引。雖然ISACA成立于1969年，但其基本準(zhǔn)則的制定經(jīng)歷了一段很長(zhǎng)的時(shí)間，至1997年才發(fā)布信息系統(tǒng)審計(jì)基本準(zhǔn)則，包括審計(jì)章程、獨(dú)立性、職業(yè)道德和準(zhǔn)則、職業(yè)技術(shù)、審計(jì)計(jì)劃、實(shí)施審計(jì)工作、報(bào)告和后續(xù)工作八個(gè)部分，該準(zhǔn)則于1997年7月25日開(kāi)始生效。隨著審計(jì)指南與作業(yè)程序的制定與發(fā)布，以及對(duì)信息系統(tǒng)審計(jì)基本準(zhǔn)則可擴(kuò)展性的考慮，ISACA于2005年將1997年所發(fā)布的信息系統(tǒng)審計(jì)基本準(zhǔn)則拆分為八個(gè)基本準(zhǔn)則，并對(duì)原有內(nèi)容根據(jù)信息技術(shù)發(fā)展?fàn)顩r進(jìn)行了修訂。同時(shí)，于2005年9月之后陸續(xù)發(fā)布了S9到S16八個(gè)基本準(zhǔn)則。02ISACA信息系統(tǒng)審計(jì)基本準(zhǔn)則與審計(jì)指南、審計(jì)程序的關(guān)系ISACA信息系統(tǒng)審計(jì)基本準(zhǔn)則、審計(jì)指南與審計(jì)程序關(guān)系如圖2-6所示。圖2-6所顯示的關(guān)系為國(guó)際信息系統(tǒng)審計(jì)師的執(zhí)業(yè)提供了多層次的指引。第一層次：信息系統(tǒng)審計(jì)基本準(zhǔn)則。信息系統(tǒng)審計(jì)基本準(zhǔn)則是整個(gè)信息系統(tǒng)審計(jì)準(zhǔn)則體系的總綱，是制定信息系統(tǒng)審計(jì)指南和審計(jì)程序的基礎(chǔ)依據(jù)。它規(guī)定了審計(jì)章程及審計(jì)過(guò)程(從計(jì)劃、實(shí)施、報(bào)告到跟蹤)必須達(dá)到的基本要求，是注冊(cè)信息系統(tǒng)審計(jì)師(CISA)的資格條件、執(zhí)業(yè)行為的基本規(guī)范，表明了管理層和其他利益方對(duì)執(zhí)業(yè)者在專(zhuān)業(yè)工作上的期待，最新的信息系統(tǒng)審計(jì)基本準(zhǔn)則分為11大類(lèi)，共43條，只要是CISA執(zhí)行審計(jì)業(yè)務(wù)、出具審計(jì)報(bào)告，就必須遵守執(zhí)行，具有強(qiáng)制性。如果CISA未能遵守執(zhí)行，ISACA董事會(huì)和相應(yīng)委員會(huì)將會(huì)對(duì)其進(jìn)行調(diào)查并給予紀(jì)律處分。02ISACA信息系統(tǒng)審計(jì)基本準(zhǔn)則與審計(jì)指南、審計(jì)程序的關(guān)系第二層次：信息系統(tǒng)審計(jì)指南。信息系統(tǒng)審計(jì)指南是依據(jù)信息系統(tǒng)審計(jì)基本準(zhǔn)則制定的，是信息系統(tǒng)審計(jì)基本準(zhǔn)則的具體化，為信息系統(tǒng)審計(jì)基本準(zhǔn)則體系中11大類(lèi)標(biāo)準(zhǔn)的實(shí)施提供了指引，圖2-6中的虛線箭頭反映了此關(guān)系。它詳細(xì)規(guī)定了CISA實(shí)施審計(jì)業(yè)務(wù)、出具審計(jì)報(bào)告的具體指引，為CISA在執(zhí)行審計(jì)業(yè)務(wù)中如何遵循審計(jì)準(zhǔn)則提供指導(dǎo)。CISA在執(zhí)業(yè)過(guò)程中參考這些指南時(shí)要有職業(yè)判斷，任何偏離信息系統(tǒng)審計(jì)基本準(zhǔn)則的行為都要有充分的理由。02ISACA信息系統(tǒng)審計(jì)基本準(zhǔn)則與審計(jì)指南、審計(jì)程序的關(guān)系第三層次：信息系統(tǒng)審計(jì)程序。信息系統(tǒng)審計(jì)程序是依據(jù)信息系統(tǒng)審計(jì)基本準(zhǔn)則和信息系統(tǒng)審計(jì)指南制定的。它為CISA提供了一般審計(jì)業(yè)務(wù)(尤其是審計(jì)計(jì)劃和審計(jì)實(shí)施階段的業(yè)務(wù))的程序和步驟，是遵守基本準(zhǔn)則和指南的一些通常審計(jì)程序，它為CISA提供了很好的工作范例。但這僅是CISA的一個(gè)參照而已，它所提供的只是CISA在審計(jì)時(shí)能滿足審計(jì)準(zhǔn)則要求的通常做法，但并不要求CISA在執(zhí)行具體的審計(jì)業(yè)務(wù)時(shí)強(qiáng)制執(zhí)行，CISA要根據(jù)特定的信息系統(tǒng)和特定的技術(shù)環(huán)境做出自己的職業(yè)判斷，選擇適當(dāng)?shù)膶徲?jì)程序。02ISACA信息系統(tǒng)審計(jì)基本準(zhǔn)則與審計(jì)指南、審計(jì)程序的關(guān)系此外，圖2-6中信息系統(tǒng)審計(jì)基本準(zhǔn)則可以分為4個(gè)部分：(1)審計(jì)章程或?qū)徲?jì)業(yè)務(wù)約定書(shū)；(2)對(duì)審計(jì)師職業(yè)資格的要求，包括獨(dú)立性、職業(yè)道德和職業(yè)能力的要求；(3)從計(jì)劃、實(shí)施、報(bào)告到后續(xù)這4個(gè)審計(jì)過(guò)程；(4)其他，包括不正當(dāng)及非法行為、信息系統(tǒng)管理、審計(jì)計(jì)劃中風(fēng)險(xiǎn)評(píng)估的利用。02ISACA信息系統(tǒng)審計(jì)基本準(zhǔn)則與審計(jì)指南、審計(jì)程序的關(guān)系03ISACA信息系統(tǒng)審計(jì)基本準(zhǔn)則的內(nèi)容審計(jì)章程獨(dú)立性(1)信息系統(tǒng)審計(jì)職能機(jī)構(gòu)或信息系統(tǒng)審計(jì)任務(wù)的目的、責(zé)任、權(quán)限及職責(zé)，應(yīng)在審計(jì)章程或?qū)徲?jì)業(yè)務(wù)約定書(shū)中載明。(2)審計(jì)章程或?qū)徲?jì)業(yè)務(wù)約定書(shū)應(yīng)得到組織中適當(dāng)?shù)墓芾韺拥耐夂团鷾?zhǔn)。(1)職業(yè)獨(dú)立性：信息系統(tǒng)審計(jì)師在從事審計(jì)事項(xiàng)時(shí)，應(yīng)該在實(shí)質(zhì)和形式上獨(dú)立于被審計(jì)方。(2)組織獨(dú)立性：信息系統(tǒng)審計(jì)職能機(jī)構(gòu)應(yīng)充分獨(dú)立于被審計(jì)單位，以實(shí)現(xiàn)審計(jì)目標(biāo)。03ISACA信息系統(tǒng)審計(jì)基本準(zhǔn)則的內(nèi)容專(zhuān)業(yè)勝任能力審計(jì)計(jì)劃(1)擔(dān)任信息系統(tǒng)審計(jì)工作的審計(jì)師應(yīng)當(dāng)具備審計(jì)工作所必需的專(zhuān)門(mén)技能與學(xué)識(shí)。(2)信息系統(tǒng)審計(jì)師要通過(guò)充分且持續(xù)的職業(yè)后續(xù)教育，以保持和提高其專(zhuān)業(yè)勝任能力。(1)信息系統(tǒng)審計(jì)人員應(yīng)依據(jù)審計(jì)目標(biāo)和相應(yīng)的法律和審計(jì)準(zhǔn)則，對(duì)信息系統(tǒng)審計(jì)工作編制計(jì)劃。(2)信息系統(tǒng)審計(jì)人員應(yīng)采取基于風(fēng)險(xiǎn)的審計(jì)方法。(3)信息系統(tǒng)審計(jì)人員應(yīng)編制詳細(xì)的審計(jì)計(jì)劃，包括審計(jì)性質(zhì)、目標(biāo)、范圍和所需的資源。(4)信息系統(tǒng)審計(jì)人員應(yīng)編制審計(jì)程序和步驟。03ISACA信息系統(tǒng)審計(jì)基本準(zhǔn)則的內(nèi)容審計(jì)實(shí)施(1)監(jiān)督：信息系統(tǒng)審計(jì)人員應(yīng)受到適當(dāng)?shù)谋O(jiān)督，以確保實(shí)現(xiàn)審計(jì)目標(biāo)，并遵守審計(jì)基本準(zhǔn)則。(2)在信息系統(tǒng)審計(jì)過(guò)程中，信息系統(tǒng)審計(jì)人員應(yīng)當(dāng)搜集充分的、可靠的、相關(guān)的和有用的證據(jù)，以有效實(shí)現(xiàn)審計(jì)目標(biāo)。審計(jì)發(fā)現(xiàn)和審計(jì)結(jié)論必須以合理地分析、利用審計(jì)證據(jù)為基礎(chǔ)。(3)審計(jì)底稿：審計(jì)過(guò)程應(yīng)該有書(shū)面記錄，以表明審計(jì)工作和審計(jì)證據(jù)支持信息系統(tǒng)審計(jì)人員的發(fā)現(xiàn)和結(jié)論。(1)信息系統(tǒng)審計(jì)師應(yīng)遵守信息系統(tǒng)審計(jì)及控制協(xié)會(huì)規(guī)定的職業(yè)道德準(zhǔn)則。(2)信息系統(tǒng)審計(jì)師應(yīng)保持應(yīng)有的職業(yè)審慎態(tài)度，并堅(jiān)持以審計(jì)基本準(zhǔn)則為執(zhí)業(yè)標(biāo)準(zhǔn)。職業(yè)道德及準(zhǔn)則03ISACA信息系統(tǒng)審計(jì)基本準(zhǔn)則的內(nèi)容后續(xù)審計(jì)(1)信息系統(tǒng)審計(jì)人員在完成審計(jì)工作后，應(yīng)向委托者出具按照適當(dāng)?shù)母袷骄幹频膶徲?jì)報(bào)告。審計(jì)報(bào)告應(yīng)當(dāng)標(biāo)明機(jī)構(gòu)名稱(chēng)、審計(jì)報(bào)告報(bào)送對(duì)象及報(bào)告使用限制。(2)審計(jì)報(bào)告應(yīng)當(dāng)說(shuō)明審計(jì)范圍、審計(jì)目標(biāo)、審計(jì)工作所涵蓋的期間及所執(zhí)行審計(jì)工作的性質(zhì)和內(nèi)容。(3)審計(jì)報(bào)告應(yīng)當(dāng)說(shuō)明審計(jì)人員執(zhí)行審計(jì)工作中所發(fā)現(xiàn)的問(wèn)題、形成的結(jié)論和建議及審計(jì)師關(guān)于審計(jì)的任何保留意見(jiàn)。(4)信息系統(tǒng)審計(jì)人員應(yīng)該有充分的、適當(dāng)?shù)膶徲?jì)證據(jù)來(lái)支持所報(bào)告的審計(jì)結(jié)論。(5)審計(jì)報(bào)告簽發(fā)時(shí)，信息系統(tǒng)審計(jì)人員應(yīng)該依據(jù)審計(jì)章程或?qū)徲?jì)業(yè)務(wù)約定書(shū)中的規(guī)定簽名、簽署日期再對(duì)外發(fā)放。審計(jì)實(shí)施信息系統(tǒng)審計(jì)人員應(yīng)當(dāng)要求并評(píng)價(jià)被審計(jì)單位對(duì)審計(jì)發(fā)現(xiàn)的問(wèn)題、結(jié)論及建議采取處理措施，以判斷被審計(jì)單位是否已及時(shí)、妥善地處理了相關(guān)問(wèn)題。03ISACA信息系統(tǒng)審計(jì)基本準(zhǔn)則的內(nèi)容(1)在計(jì)劃和實(shí)施審計(jì)工作時(shí)，信息系統(tǒng)審計(jì)人員應(yīng)該考慮不合規(guī)和非法行為等可能帶來(lái)的審計(jì)風(fēng)險(xiǎn)。(2)無(wú)論不合規(guī)和非法行為的風(fēng)險(xiǎn)評(píng)估結(jié)果如何，信息系統(tǒng)審計(jì)人員在實(shí)施審計(jì)作業(yè)時(shí)都要對(duì)由于不合規(guī)和非法行為而導(dǎo)致的重大誤報(bào)的可能性保持職業(yè)懷疑的態(tài)度。(3)信息系統(tǒng)審計(jì)人員應(yīng)該了解組織及其所處的環(huán)境，包括內(nèi)部控制。(4)信息系統(tǒng)審計(jì)人員應(yīng)該獲得充分的、適當(dāng)?shù)膶徲?jì)證據(jù)來(lái)確定組織內(nèi)的管理層或其他人是否了解任何事實(shí)上的或可能的不合規(guī)和非法行為。(5)在了解組織及其所處的環(huán)境時(shí)，信息系統(tǒng)審計(jì)人員應(yīng)該注意那些不正常的關(guān)系人員，這些人員可能因?yàn)閷?shí)施不合規(guī)和非法行為而導(dǎo)致重大誤報(bào)。不合規(guī)和非法行為03ISACA信息系統(tǒng)審計(jì)基本準(zhǔn)則的內(nèi)容(6)信息系統(tǒng)審計(jì)人員應(yīng)該設(shè)計(jì)和實(shí)施測(cè)試程序，以測(cè)試內(nèi)部控制的適當(dāng)性和是否存在管理層超越控制的情況。(7)當(dāng)信息系統(tǒng)審計(jì)人員確認(rèn)被審計(jì)方存在誤報(bào)事實(shí)時(shí)，審計(jì)人員應(yīng)該評(píng)估該誤報(bào)是否