文集：《信息系统项目管理师第四版攻略》

信息系统治理思维导图.png

考点猜测

IT 审计风险

1. 固有风险
   指 IT 活动不存在相关控制的情况下，易于导致重大错误的风险。例子：”计算机硬件故障或软件不足，易造成信息的损坏和丢失，导致数据处理过程中发生偶发错误”

2. 控制风险
   是指与 IT 活动相关的内部控制体系不能及时预防或检查出存在的重大错误的风险。

3. 检查风险
   检查风险是指通过预定的审计程序未能发现重大、单个或与其他错误相结合的风险。（只有这个与审计人员水平相关）

审计底稿分类

1. 综合类工作底稿
   指审计人员在审计计划阶段和审计报告阶段，为规划、控制和总结整个审计工作并发表审计意见所形成的审计工作底稿，主要包括：审计业务约定书、审计计划、审计总结、审计报告、管理建议书、被审计单位管理当局声明书以及审计人员对整个审计工作进行组织管理的所有记录和资料。

2. 业务类工作底稿
   指审计人员在审计实施阶段为执行具体审计程序所形成的审计工作底稿，包括：符合性测试中形成的内部控制问题调查表和流程图、实质性测试中形成的项目明细表等。

3. 备查类工作底稿
   指审计人员在审计过程中形成对审计工作仅具有备查作用的审计工作底稿。备查类工作底稿应随被审计单位有关情况的变化而不断更新；应详细列明目录清单，并将更新的文件资料随时归档；应根据需要，将其中与具体审计项目有关的内容复印、摘录、综合后归入业务类审计工作底稿的具体审计项目之后。通常，备查类审计工作底稿是由被审计单位或第三者根据实际情况提供或代为编制，审计人员应认真审核，并对所取得的有关文件、资料标明其具体来源。

IT 审计范围

审计范围需要根据审计目的和投入的审计成本来确定。在实际的应用实践中，审计人员在实施 IT 审计项目前，应先对组织与信息系统相关的总体情况进行了解和风险评估，确定主要 IT 风险，如与环境控制相关的风险、与系统相关的风险、与数据相关的风险等，然后根据确定的风险来判断哪些控制、流程对组织的影响比较大，并结合审计项目预计的时间、配备的审计力量等来确定重点审计范围。

1. 总体范围：需要根据审计目的和投入的审计成本来确定；
2. 组织范围：明确审计涉及的组织机构、主要流程、活动及人员等；
3. 物理范围：具体的物理地点与边界；
4. 逻辑范围：涉及的信息系统和逻辑边界；

IT 治理的三大主要目标

1. 与业务目标一致；
2. 有效利用信息与数据资源；
3. 风险管理。

《信息技术服务 治理 第 1 部分：通用要求》标准

1. 建立组织的 IT 治理体系并实施自我评价；
2. 研发、选择和评价 IT 治理相关的软件或解决方案；
3. 开展信息技术审计。

《信息技术服务 治理 第 4 部分：审计导则》标准（GB/T 34690.4）

1. 对 IT 审计人员的具体要求
2. IT 审计是根据 IT 审计标准的要求，对信息系统及相关的 IT 内部控制和流程进行检查、评价，并发表审计意见。

信息及相关技术控制目标（COBIT）

《Control Objectives for Information and related Technology》 是目前国际上通用的信息及相关技术控制规范。

治理和管理目标分为五个领域：

1. 评估、指导和监控(EDM)：由董事会和执行管理层负责；
2. 调整、规划和组织（APO）；
3. 内部构建、外部采购和实施（BAI）；
4. 交付、服务和支持（DSS）

IT 治理管理的三个层次

1. 最高管理层的主要职责包括：
   证实 IT 战略与业务战略是否一致；证实通过明确的期望和衡量手段交付 IT 价值；指导 IT 战略、平衡支持组织当前和未来发展的投资；指导信息和数据资源的分配。

2. 执行管理层的主要职责包括：
   制定 IT 的目标；分析新技术的机遇和风险；建设关键过程与核心竞争力；分配责任、定义规程、衡量业绩；管理风险和获得可靠保证等。

3. 业务及服务执行层的主要职责包括：
   信息和数据服务的提供和支持；IT 基础设施的建设和维护；IT 需求的提出和响应。

IT 治理六大核心内容

1. 组织职责。
   组织职责指组织参与 IT 决策与管理的所有人员的集合，明确组织信息部门和业务部门之间的关系和责任，正确划分信息系统的所有者、建设者、管理者和监控者。

2. 战略匹配。
   IT 治理的一个重要内容，是使组织的 IT 建设与组织战略相匹配，也就是通常所说的“战略匹配”。而战略匹配是 IT 为组织贡献业务价值的重要驱动力。

3. 资源管理。
   资源管理的主要功能是确保用户对组织的应用系统和基础设施都有良好的理解和应用，优化 IT 投资、IT 资源（人、应用系统、信息、基础设施）的分配，做好人员的培训、发展计划，以满足组织的业务需求。

4. 价值交付。
   通过对 IT 项目全生命周期的管理，确保 IT 能够按照组织战略实现预期的业务价值。重点是对整个交付周期成本的控制和 IT 业务价值的实现，使 IT 项目能够在预算时间、成本范围内，按预定的质量要求完成。价值交付即是创造业务价值。

5. 风险管理。
   风险管理是 IT 治理中非常重要的内容。风险管理是确保 IT 资产的安全和灾难的恢复、组织信息资源的安全以及人员的隐私安全。风险管理即是保护业务价值。

6. 绩效管理。
   没有绩效管理 IT 治理中任何一个域都不可能有效地进行管理。绩效管理主要是追踪和监视 IT 战略、IT 项目的实施、信息资源的使用、IT 服务的提供以及业务流程的绩效。绩效管理所采用的工具，如平衡积分卡，可以将组织的战略目标转化成各个职能部门或团队具体的业务活动的目标，从而保证组织战略目标的实现。

IT 审计的常用方法

1. 访谈法
2. 调查法
3. 检查法
4. 观察法
5. 测试法
6. 程序代码检查法