咸鱼翻身记

第3章 信息系统治理

2025/5/11 软考

# 3.1 IT治理

信息系统治理(IT治理)是组织开展信息技术及其应用活动的重要管控手段,也是组织治理的重要组成部分,尤其在以数字化发展为重要关注点的新时代,组织的数字化转型和组织建设过程中,IT治理起到重要的统筹、评估、指导和监督作用。信息技术审计(IT审计)作为与IT治理配套的组织管控手段,是IT治理不可或缺的评估和监督工具,重点承担着组织信息系统发展的合规性检测以及信息技术风险的管控等职能。

# 3.1.1 IT治理基础

IT治理是描述组织采用有效的机制对信息技术和数据资源开发利用,平衡信息化发展和数字化转型过程中的风险,确保实现组织的战略目标的过程。

# 1.IT治理的驱动因素

IT治理所关注的问题

  • ①组织如何从其信息系统投资中获得真正的价值;
  • ②如何将信息技术战略与组织战略相融合;
  • ③如何从组织治理的高度,对组织数字化能力做出制度安排;
  • ④如何从战略投资、组织管理变革的角度,降低IT的风险;
  • ⑤如何利用国内外信息技术开发利用的最佳实践和重要成果,加快组织的信息化、数字化工作推进等。

驱动组织开展高质量IT治理因素包括

  • ①良好的IT治理能够确保组织IT投资有效性;
  • ②IT属于知识高度密集型领域,其价值发挥的弹性较大;
  • ③IT已经融入组织管理、运行、生产和交付等各领域中,成为各领域高质量发展的重要基础;
  • ④信息技术的发展演进以及新兴信息技术的引入,可为组织提供大量新的发展空间和业务机会等;
  • ⑤IT治理能够推动组织充分理解IT价值,从而促进IT价值挖掘和融合利用;
  • ⑥IT价值不仅仅取决于好的技术,也需要良好的价值管理,场景化的业务融合应用;
  • ⑦高级管理层的管理幅度有限,无法深入到IT每项管理当中,需要采用明确责权利和清晰管理去确保IT价值;
  • ⑧成熟度较高的组织以不同的方式治理IT,获得了领域或行业领先的业务发展效果。

IT治理的内涵主要体现

  • ①IT治理作为组织上层管理的一个有机组成部分,由组织治理层或高级管理层负责;
  • ②IT治理强调数字目标与组织战略目标保持一致;
  • ③IT治理保护利益相关者的权益;
  • ④IT治理是一种制度和机制;
  • ⑤IT治理的组成部分包括管理层、组织结构、制度、流程、人员、技术等多个方面。

# 2.IT治理的目标价值

IT治理主要目标包括:与业务目标一致、有效利用信息与数据资源、风险管理。

# 3.IT治理的管理层次

管理层次大致可分为三层:最高管理层、执行管理层、业务与服务执行层。

  • ①最高管理层的主要职责包括:证实IT战略与业务战略是否一致;证实通过明确的期望和衡量手段交付IT价值;指导IT战略、平衡支持组织当前和未来发展的投资;指导信息和数据资源的分配。
  • ②执行管理层的主要职责包括:制定IT的目标;分析新技术的机遇和风险;建设关键过程与核心竞争力;分配责任、定义规程、衡量业绩;管理风险和获得可靠保证等。
  • ③业务及服务执行层的主要职责包括:信息和数据服务的提供和支持;IT基础设施的建设和维护;IT需求的提出和响应。

# 3.1.2IT治理体系

IT治理用于描述组织在信息化建设和数字化转型过程中是否采用有效的机制使得信息技术开发利用能够完成组织赋予它的使命。IT治理的核心是关注IT定位和信息化建设与数字化转型的责权利划分。

IT治理体系的具体构成包括:

  • ①IT定位;
  • ②IT应用的期望行为与业务目标一致;
  • ③IT治理架构:业务和IT在治理委员会中的构成、组织IT与各分支机构的IT权责边界等;
  • ④IT治理内容:投资、风险、绩效、标准和规范等;
  • ⑤IT治理流程:统筹、评估、指导、监督;
  • ⑥IT治理效果(内外评价)等。

# 1.IT治理关键决策

IT治理关键决策:有效的IT治理必须关注五项关键决策,如图3-2所示,包括IT原则、IT架构、IT基础设施、业务应用需求、IT投资和优先顺序。

IT决策的关键问题

  • IT原则:组织的运行模型是什么?IT在业务中的角色是什么?IT期望行为是什么?如何投资IT?
  • IT架构:组织的核心业务流程是什么?它们之间有什么样的关系?哪些信息在驱动着这些核心流程?数据必须如何整合?哪些技术性能应当在组织范围内得到标准化,以支持IT效率,方便流程标准化和整合?哪些行为应当在组织范围内标准化以支持数据整合?哪些技术选择能够指引组织IT新计划的方法?
  • IT基础设施:哪些基础设施对实现组织的战略目标来说是最关键的?对于每个能力集,哪些基础设施服务应该在组织级实现,这些服务的水平需求是什么?应当如何定价基础设施服务?如何保持基础技术的不断更新?哪些基础设施服务应当外包?
  • 业务应用需求:新业务应用的市场和业务流程机会是什么?如何设计实验以评估业务应用成功与否?如何在架构标准上满足业务需求?应当在什么时候将一个业务需求从例外转换为标准?谁拥有每个项目的成果并且发起组织变革以确保其价值?
  • IT投资和优先顺序:哪些流程变革或者强化对组织来说在战略上是最为重要的?当前的以及在提议中的IT投资组合是如何分配的?这些投资组合同组织的战略目标一致吗?组织级的投资相对于业务单位的投资哪个更重要?实际投资情况会影响它们的相对重要性吗?

# 2.IT治理体系框架

IT治理体系框架以组织的战略目标为导向,架起了组织战略与IT的桥梁,实现了IT风险的全面管理以及IT资源的合理利用。IT治理体系框架具体包括:IT战略目标、IT治理组织、IT治理机制、IT治理域、IT治理标准和IT绩效目标等部分,形成一整套IT治理运行闭环。

# 3.IT治理核心内容

IT治理本质上关心:①实现IT的业务价值;②IT风险的规避。前者是通过IT与业务战略

IT治理的核心内容包括六个方面:组织职责、战略匹配、资原管理、价值交付、风险管理和绩效管理。

# 4.IT治理机制经验

建立IT治理机制的原则包括:

  • ①简单。应该明确地定义特定个人和团体所承担的责任和目标。
  • ②透明。有效的机制依赖于正式的程序。机制如何工作是需要非常清晰的。
  • ③适合。鼓励那些处于最佳位置的个人去制定特定的决策。

IT治理可以从众多最佳实践中学习的经验主要包括

  • ①IT指导委员会有才干的业务经理负责组织范围IT治理决策,并在IT原则中加入严格的成本控制;
  • ②谨慎管理组织的IT架构和业务架构,以降低业务成本;
  • ③设计严格的架构例外处理流程,使昂贵的例外最小化,并可以从中不断学习;
  • ④建立集中化的IT团队,用以管理基础设施、架构和共享服务;
  • ⑤应用连接IT投资和业务需求的流程,既可以增加透明度,又可以权衡中心和各运营部门或团队的需求;
  • ⑥设计需要对IT投资进行集中协作和核准的IT投资流程;
  • ⑦设计简单的费用分摊和服务水平协议机制,以明确分配IT开支等。

# 3.1.3IT治理任务

组织的IT治理活动定义为统筹、指导、监督和改进。①统筹现在和未来的IT战略和组织规划、管理和绩效的实施计划、策略;②指导IT管理实施、绩效考评、风险控制和业务合规;③监督IT与业务的一致性、符合性及IT应用的合规性;④改进IT战略规划、组织策略、信息系统全生命周期管控和数据治理。

组织开展IT治理活动的主要任务聚焦在如下五个方面:

  • (1)全局统筹。统筹规划IT治理的目标范围、技术环境、发展趋势和人员责权利。
  • (2)价值导向。价值导向包括基于实现有效收益,确保预期收益清晰理解,明确实现收益的问责机制。确保利益相关者明确相应的权利和义务,包括:
    • ①认可信息技术、信息系统和数据在组织中的价值;
    • ②识别投资目录,并以相应的方式进行评估和管理;
    • ③对关键指标进行设定和监督,并对变化和偏差做出及时回应;
    • ④权衡实施成本与预期效益,并随组织内外部环境的变化及时调整。
  • (3)机制保障。机制保障是指组织应对自身IT发展进行有效管控,保证IT需求与实现的协调发展,并使IT安全和风险得到有效的识别、管理、防范和处置。重点聚焦在:
    • ①指导建立规范过程管理和痕迹管理,并向利益相关者公开质量设定举措;
    • ②评审IT管理体系的适宜性、充分性和有效性;
    • ③审计IT完整性、有效性和合规性;
    • ④监督由审计和管理评审,提出改进内容的实施。
  • (4)创新发展。创新发展是指利用IT创新开拓业务领域,提升管理水平,改进质量、绩效和降低成本,确保实现战略目标的灵活性和对环境变化的适应性。组织可以建立支持创新的人员、技术、制度、资金、风险、文化和市场需求的机制体系,包括:
    • ①创造基于业务团队与IT团队的深度沟通以及对内外部环境感知和学习的技术创新环境;
    • ②确保技术发展、管理创新、模式革新的协调联动;
    • ③对组织创新能力进行评估,并对关键创新要素进行分析和评价;
    • ④通过促进和创新有效抵御风险,并确保创新是组织文化的组成部分。
  • (5)文化助推。文化助推是指组织与利益相关者沟通IT治理的目标、策略和职责,营造积极向上、沟通包容的组织文化。
    • ①建立与IT发展相适应的组织文化发展策略;
    • ②营造包括知识、技术、管理、情操在内的积极向上的文化氛围;
    • ③根据组织内部环境的变化,评估并改进组织文化的管理。

# 3.1.4IT治理方法与标准

# 1.ITSS中IT服务治理

我国IT治理标准化研究是围绕IT治理研究范畴,为IT过程、IT资源、信息与组织战略、组织目标的连接提供了一种机制。通过指导、实施、管理和评价等过程,确保IT支持并拓展组织的战略和目标。

在IT治理目标和边界确定的情况下,IT治理围绕决策体系、责任归属、管理流程、内外评价四个方面,通过相关框架体系的研究,规范和引导组织的IT治理完成 "做什么"、"如何做"、"怎么样"、"如何评价"等问题。

  • (1)IT治理通用要求

    GB/T34960.1《信息技术服务治理第1部分:通用要求》规定了IT治理的模型和框架、实施IT治理的原则,以及开展IT顶层设计、管理体系和资源的治理要求。该标准可用于:

    • ①建立组织的IT治理体系,并实施自我评价;
    • ②开展信息技术审计;
    • ③研发、选择和评价IT治理相关的软件或解决方案;
    • ④第三方对组织的IT治理能力进行评价。

    标准定义的IT治理模型包含治理的内外部要求、治理主体、治理方法,以及信息技术及其应用的管理体系。

    标准定义的IT治理框架包含信息技术顶层设计、管理体系和资源三大治理域每个治理域由如下若干治理要素组成。

  • (2)IT治理实施指南

    GB/T34960.2《信息技术服务治理第2部分:实施指南》提出了IT治理通用要求的实施指南,分析了实施IT治理的环境因素,规定了IT治理的实施框架、实施环境和实施过程,并明确顶层设计治理、管理体系治理和资源治理的实施要求。该标准适用于:

    • ①建立组织的IT治理实施框架,明确实施方法和过程;
    • ②组织内部开展IT治理的实施;
    • ③IT治理相关软件或解决方案实施落地的指导;
    • ④第三方开展IT治理评价的指导。

    IT治理实施框架包括治理的实施环境、实施过程和治理域。

    • ①实施环境:包括组织的内外部环境和促成因素。

    • ②实施过程:规定了IT治理实施的方法论,包括统筹和规划、构建和运行、监督和评估、改进和优化。

    • ③治理域:定义了IT治理对象,包括顶层设计、管理体系和资源。

      • 顶层设计:包括战略、组织和架构;
      • 管理体系:包括质量管理、项目管理、投资管理、服务管理、业务连续性管理、信息安全管理、风险管理、供方管理、资产管理和其他管理;
      • 资源:包括基础设施、应用系统和数据。组织可以结合实施环境的分析,按照实施过程,以治理域为对象开展IT治理实施。

# 2.信息和技术治理框架

COBIT(信息系统和技术治理框架)是面向整个组织的信息和技术治理及管理框架。

COBIT框架对治理和管理进行了明确区分,这两个学科涵盖不同的活动,需要不同的组织结构,并服务于不同目的。

①治理:确保对利益干系人的需求、条件和选择方案进行评估,以确定全面均衡、达成共识的组织目标;通过确定优先等级和制定决策来设定方向;根据议定的方向和目标监控绩效与合规性;

②管理:是指按治理设定的方向计划、构建、运行和监控活动,以实现组织目标。在大多数组织中,管理是首席执行官领导下的高级管理层的职责。

  • (1)治理和管理目标

    COBIT框架介绍了40项核心治理和管理目标,以及其中包含的流程和其他相关组件。

    管理目标分为四个领域:

    • ①调整、规划和组织(APO)针对IT的整体组织、战略和支持活动;
    • ②内部构建、外部采购和实施(BAI)针对IT解决方案的定义、采购和实施以及它们到业务流程的整合;
    • ③交付、服务和支持(DSS)针对IT服务的运营交付和支持,包括安全;
    • ④监控、评价和评估(MEA)针对IT的性能监控及其与内部性能目标、内部控制目标和外部要求的一致程度。

    治理系统的组件包括:①流程。②组织结构。③原则、政策和程序。④信息。⑤文化、道德和行为。⑥人员、技能和胜任能力。⑦服务、基础设施和应用程序。

  • (2)信息和技术治理解决方案的设计

    COBIT(面向整个组织的信息和技术治理及管理框架)定义的IT治理系统设计因素包括:组织战略、组织目标、风险概况、IT相关问题、威胁环境、合规性要求、IT角色、IT采购模式、IT实施方法、技术采用战略、组织规模和未来因素。

    组织开展治理系统设计通过流程化的方式进行,COBIT给出了建议设计流程

    • ①了解组织环境和战略;
    • ②确定治理系统的初步范围;
    • ③优化治理系统的范围;
    • ④最终确定治理系统的设计。

# 3.IT治理国际标准

  • 2008年4月,ISO/IEC正式发布IT治理标准ISO/IEC 38500,它的出台不仅标志着IT治理从概念模糊的探讨阶段进入了一个正确认识的发展阶段,而且也标志着信息化正式进入IT治理时代。
  • 2014年,ISO/IEC发布了第二版的ISO/IECFDIS38500:2014提供了IT良好治理的原则、定义和模式,以帮助最高级别组织的人员理解和履行其在组织使用IT方面的法律、法规和道德义务。
  • 该标准为组织的治理机构(可包括所有者、董事、合伙人、执行经理或类似机构)的成员提供了关于在其组织内有效、高效和可接受地使用信息技术(IT)的指导原则。该标准包括:①责任、②战略、③收购、④性能、⑤一致性、⑥人的行为。
  • 该标准规定治理机构应通过评估、指导和监督三个主要任务来治理IT。

# 3.2 IT审计

为了有效控制IT风险,有必要对组织的信息系统治理及IT内控制与管理等开展IT审计,充分发挥IT审计监督的作用,提高组织的信息系统治理水乎,促进组织信息系统治理目标的实现。

# 1.IT审计定义

  • 国际信息系统审计协会(Information Systems Audit and Control Association,ISACA)
    • 定义:IT审计是一个获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整以及有效利用组织的资源并有效实现组织目标的过程
  • 国际货币基金组织(International Monetary Fund,IMF)
    • 定义:IT审计是对计算机化的系统进行审计,不仅是对现有信息系统的控制,还包括对系统建立过程、计算机设备和网络管理等方面的控制
  • 最高审计机关国际组织(International Organization of Supreme Audit Institutions,INTOSAI)
    • 定义:IT审计是一个通过获取并评估证据,以判断IT系统是否保护组织的资产,有效地利用组织的资源,保障数据的安全性和一致性,以及有效地达到组织业务目标的过程
  • GB/T34690.4《信息技术服务治理第4部分:审计导则》
    • 定义:IT审计是根据IT审计标准的要求,对信息系统及相关的IT内部控制和流程进行检查、评价,并发表审计意见

# 2.IT审计目的

IT审计的目的是指通过开展IT审计工作,了解组织IT系统与IT活动的总体状况,对组织是否实现IT目标进行审查和评价,充分识别与评估相关IT风险,提出评价意见及改进建议,促进组织实现IT目标。

组织的IT目标主要包括:

  • ①组织的IT战略应与业务战略保持一致;
  • ②保护信息资产的安全及数据的完整、可靠、有效;
  • ③提高信息系统的安全性、可靠性及有效性;
  • ④合理保证信息系统及其运用符合有关法律、法规及标准等的要求。

# 3.IT审计范围

IT审计范围需要根据审计目的和投入的审计成本来确定。在确定审计范围时,除了考虑前面提及的审计内容外,还需要明确审计的组织范围、物理位置以及信息系统相关逻辑边界。

  • 总体范围:需要根据审计目的和投入的审计成本来确定
  • 组织范围:明确审计涉及的组织机构、主要流程、活动及人员等
  • 物理范围:具体的物理地点与边界
  • 逻辑范围:涉及的信息系统和逻辑边界

审计人员在实施IT审计项目前,应先对组织与信息系统相关的总体情况进行了解和风险评估,确定主要IT风险,如与环境控制相关的风险、与系统相关的风险、与数据相关的风险等,然后根据确定的风险来判断哪些控制、流程对组织的影响比较大,并结合审计项目预计的时间、配备的审计力量等来确定重点审计范围。

# 4.IT审计人员

根据GB/T34690.4《信息技术服务治理第4部分:审计导则》,对IT审计人员的要求包括:职业道德、知识/技能/资格与经验、专业胜任能力及利用外部专家服务等方面。

  • 职业道德
    • 在执业过程中保持独立、客观、公正
    • 在执业过程中保持正直、诚实和守信
    • 正确履行审计职责(其中包括遵守相应的职业审计标准)
    • 对在实施IT审计业务中所获取的信息负有保密责任
  • 知识、技能、资格与经验
    • 掌握与IT相关的专业知识和技能
    • 掌握审计、财务及管理等通用知识和技能
    • 拥有与IT审计工作相关的基本技能、专业技能和软技能
    • 拥有与所处管理或业务岗位相适应的IT审计职业资格及经验
  • 专业胜任能力
    • 具备相应的IT审计专业胜任能力
    • 拥有与所处管理或业务岗位相适应的IT审计职业资格
    • 定期参加持续的职业教育和培训
  • 利用外部专家服务
    • 对外部专家的专业资格及专业经验进行评价
    • 对外部专家的独立性、客观性进行评价
    • 对外部专家的专业胜任能力进行评价
    • 与外部专家签订书面协议
    • 对外部专家的服务结果进行评价和利用

# 5.IT审计风险

IT审计风险主要包括固有风险、控制风险、检查风险和总体审计风险。固有风险、控制风险、检查风险的内容:

  • 固有风险
    • 含义:是指IT活动不存在相关控制的情况下,易于导致重大错误的风险
    • 分类:可从IT组织层面控制、一般控制及应用控制三个方面分析固有风险
    • 特点:固有风险是IT活动本身所具有的,审计人员只能评估,却无法控制或影响它;固有风险的衡量是主观的、复杂的,不同的IT活动其固有风险水平不同
  • 控制风险
    • 含义:是指与IT活动相关的内部控制体系不能及时预防或检查出存在的重大错误的风险
    • 分类:可从IT组织层面控制、一般控制及应用控制三个方面分析控制风险
    • 特点:与内部控制制度执行的有效性有关,与审计无关,属于内部控制的范畴,审计人员只能评估其风险水平而不能对其实施控制和影响。其风险水平的衡量由于需要兼顾传统内部控制的思想和计算机系统管理的知识,因而较为复杂且难以准确计量
  • 检查风险
    • 含义:检查风险是指通过预定的审计程序未能发现重大、单个或与其他错误相结合的风险
    • 影响检查风险的因素:由于IT审计规范不完善、审计人员自身或者技术原因等造成影响审计测试正确性的各种因素
  • 总体审计风险
    • 是指针对单个控制目标所产生的各类审计风险总和。

# 3.2.2审计方法与技术

# 1.IT审计依据与准则

IT审计活动的开展需要结合相关法律法规、准则与标准。国际上发布的常用审计准则有:

  • 信息系统审计准则(ISACA,国际信息系统审计协会发布)。
  • 《内部控制一整体框架》报告,即通称的COSO(The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting,美国虚假财务报告委员会下属的发起人委员会)报告。
  • 《萨班斯法案》(Sarbanes-Oxley Act,SOX)。SOX是美国政府出台的一部涉及会计职业监管、组织治理、证券市场监管等方面改革的重要法律。
  • 信息及相关技术控制目标(Control Objectives for Information and related Technology,COBIT)是目前国际上通用的信息及相关技术控制规范。

我国的IT审计相关法律法规、准则与标准

  • 法律法规:《中华人民共和国审计法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等
  • 审计准则:《信息系统审计指南——计算机审计实务公告第34号》、《第2203号内部审计具体准则——信息系统审计》等
  • IT审计国际标准:GB/T34960.4《信息技术服务治理第4部分:审计导则》等
  • 组织内部控制:《组织内部控制基本规范》《组织内部控制应用指引第18号——信息系统》等
  • 行业规范:《商业银行信息科技风险管理指引》《证券期货经营机构信息技术治理工作指引(试行)》《保险公司信息化工作指引(试行)》等

# 2.IT审计常用方法

IT审计方法就是为了完成IT审计任务所采取的手段。常用审计方法包括:访谈法、调查法、检查法、观察法、测试法和程序代码检查法等。

  • 访谈法
    • 含义:是指通过访谈人和受访人面对面地交谈来了解被审计对象的信息。依据不同研究问题的性质、目的或对象,访谈法具有不同的形式
    • 分类:根据访谈进程的结构化程度,可将它分为结构型访谈和非结构型访谈
  • 调查法
    • 含义:是指为了达到预期目的,在制订调研计划的基础上,通过书面或口头回答问题的方式收集研究对象的相关资料,并做出分析、综合,得到某一结论的研究方法
    • 目的:可能是全面把握当前状况,也可能是为了揭示存在的问题,弄清前因后果,以便为进一步的研究或决策提供观点和论据
  • 检查法
    • 含义:是指审计人员对被审计单位内部或外部生成的记录和和文件(如纸质、电子或其他介质形式存在的资料)进行审查,或对资产进行实物审查
    • 分类:从技术层面上可分为审阅法、核对法、复算法和分析法
  • 观察法
    • 含义:是审计人员到被审计单位的经营场所及其他有关场所进行实地察看,来证实审计事项的一种方法
    • 应用:观察程序具有方向性,即从书面记录观察到实物或过程,反之,从实物或过程观察到书面记录。观察法既可以用于对通过其他方法获得的审计证据进行补充,证实审计证据,也可以用于直接收集相关证据。观察法可以比较准确地获得审计项目如何运行的信息,适用于正在进行中的审计事项
  • 测试法
    • 含义:通过测试来评估程序的质量,是一项常用的审计技术,其基本原理是从计算机输入开始,跟踪某项业务直至计算机输出,以检验计算机应用程序、控制程序和系统可靠性。执行此类方法使用的是用于测试目的的业务数据,称之为测试数据
    • 分类:主要包括黑盒法和白盒法。黑盒法测试是把程序看成黑盒子,完全不考虑其内部结构和处理过程,只检查程序的功能是否符合它的需求规格说明。白盒法是通过测试来检测产品内部动作是否按照规格说明书的规定正常进行,按照程序内部的结构测试程序,检验程序中的每条通路是否都能按预定要求正确工作,主要用于软件验证
  • 程序代码检查法
    • 含义:是指对被审程序的指令逐条加以审查,以验证程序的合法性、完整性和程序逻辑的正确性
    • 应用:审计人员可使用代码静态扫描工具进行程序代码的检查

# 3.IT审计技术

常用的IT审计技术包括风险评估技术、审计抽样技术、计算机辅助审计技术及大数据审计技术。

  • (1)IT风险评估技术,一般包括:

    • ①风险识别技术:用以识别可能影响一个或多个目标的不确定性,包括德尔菲法、头脑风暴法、检查表法、SWOT技术及图解技术等。
    • ②风险分析技术:是对风险影响和后果进行评价和估量,包括定性分析和定量分析。
    • ③风险评价技术:是在风险分析的基础上,通过相应的指标体系和评价标准,对风险程度进行划分,以揭示影响成败的关键风险因素,包括单因素风险评价和总体风险评价。
    • ④风险应对技术:IT技术体系中为特定风险制定的应对技术方案,包括云计算、冗余链路、冗余资源、系统弹性伸缩、两地三中心灾备、业务熔断限流等。

  • (2)审计抽样技术

    审计抽样是指审计人员在实施审计程序时,从审计对象总体中选取一定数量的样本进行测试,并根据测试结果,推断审计对象总体特征的一种方法。审计抽样适用于时间及成本都不允许对即定总体中的所有交易或事件进行全面审计时。

    • ①统计抽样:采用客观的方法来确定样本量和样本抽取标准。评价样本结果并做出推断。常用的统计抽样方法有属性抽样和变量抽样。
    • ②非统计抽样:常指判断抽样一一采用审计人员判断来确定抽样方法、样本量及抽样标准。抽样结果是基于审计人员对抽样事项或交易的重要性及风险的主观判断

  • (3)计算机辅助审计技术

    计算机辅助审计(Computer Assisted Audit Tools,CAAT),也称为利用计算机审计,是指审计人员在审计过程和审计管理活动中,以计算机为工具来执行和完成某些审计程序和任务的一种新兴审计技术。CAAT包括多种工具和技术,如通用审计软件(GAS)、测试数据、实用工具软件、专家系统等。

  • (4)大数据审计技术

    大数据审计是指遵循大数据理念,运用大数据技术方法和工具,利用数量巨大、来源分散、格式多样的数据,开展跨层级、跨系统、跨部门和跨业务等的深入挖掘与分析,提升审计发现问题、评价判断、宏观分析的能力。大数据审计技术包括大数据智能分析技术、大数据可视化分析技术及大数据多数据源综合分析技术等。

    • 大数据智能分析技术:以各种高性能处理算法、智能搜索与挖掘算法等为主要研究内容,是目前大数据分析领域的研究主流。该技术从计算机的视角出发,强调计算机的计算能力和人工智能,如各类面向大数据的机器学习和数据挖掘方法等。常用技术包括A/BTesting、关联规则分析、分类、聚类、遗传算法、神经网络、预测模型、模式识别、时间序列分析、回归分析、系统仿真等
    • 大数据可视化分析技术:从人作为分析主体和需求主体的视角出发,强调基于人机交互的、符合人的认知规律的分析方法,目的是将人所具备的、机器并不擅长的认知能力融入数据分析过程中,如R语言、Python、D3.js、Leaflet等
    • 大数据多数据源综合分析技术:大多数大数据多数据源综合分析技术是对采集来的各行、各业、各类大数据,采用数据查询等常用方法或其他大数据技术方法进行相关数据的综合比对和关联分析,从而发现更多隐藏的审计线索的技术

# 4.IT审计证据

审计证据是指由审计机构和审计人员获取,用于确定所审计实体或数据是否遵循既定标准或目标,形成审计结论的证明材料。

审计证据是审计意见的支柱,是审计人员形成审计结论的基础。

审计证据可以被作为解除或追究被审计人经济责任的依据,并且审计证据还是控制审计工作质量的关键。

审计证据的特性包括:充分性、客观性、相关性、可靠性以及合法性

电子证据是信息环境下经常使用的一种证据类型。

审计证据评价应考虑的因素包括证据提供者的独立性、提供信息/证据的个人资质、证据的客观性、证据的时效性、与审计目标的相关性、审计证据的说服力及审计证据的充分性。

此外,在审计过程中还必须考虑取得审计证据的经济性,必须考虑成本效益原则,合理把握审计证据的充分性。

# 5.IT审计底稿

审计工作底稿是指审计人员对制订的审计计划、实施的审计程序、获取的相关审计证据,以及得出的审计结论做出的记录。审计工作底稿是审计证据的载体,是审计人员在审计过程中形成的审计工作记录和获取的资料。

审计底稿的作用表现在

  • 是形成审计结论、发表审计意见的直接依据;
  • 是评价考核审计人员的主要依据;
  • 是审计质量控制与监督的基础;
  • 对未来审计业务具有参考备查作用。

审计工作底稿一般分为综合类工作底稿、业务类工作底稿和备查类工作底稿

审计工作底稿在编制上应满足内容和形式两方面的要求

  • 内容:要求包括资料详实、重点突出、繁简得当、结论明确;
  • 形式:要求包括要素齐全、格式规范、标识一致、记录清晰。

根据审计机构的组织规模和业务范围,可以实行对审计工作底稿的三级复核制度。

为了维护被审计单位及相关单位的利益,审计机构对审计工作底稿中涉及的商业秘密保密,建立健全审计工作底稿保密制度。但由于下列两种情况需要查阅审计工作底稿的,不属于泄密情形:

  • 法院、检察院及国家其他部门依法查阅,并按规定办理了必要手续;
  • 审计协会或其委派单位对审计机构执业情况进行检查。

审计工作底稿按照一定的标准归入审计档案后,应交由档案管理部门进行管理,并确保审计档案的安全、完整。

# 3.2.3审计流程

审计流程是指审计人员在具体审计过程中采取的行动和步骤。科学、规范的审计流程不但是分配审计工作的具体依据,还是控制审计工作的有效工具,并同时具有的作用包括:

  • ①有效地指导审计工作;
  • ②有利于提高审计工作效率;
  • ③有利于保证审计项目质量;
  • ④有利于规范审计工作。

审计流程的含义有广义和狭义两种之分。狭义的审计流程是指审计人员在取得审计证据、完成审计目标、得出审计结论过程中所采取的步骤和方法。广义的审计流程是指审计机构和审计人员对审计项目从开始到结束的整个过程采取的系统性工作步骤,一般分为审计准备、审计实施、审计终结及后续审计四个阶段。

  • (1)审计准备阶段。IT审计准备阶段是指IT审计项目从计划开始,到发出审计通知书为止的期间。准备阶段工作一般包括:①明确审计目的及任务;②组建审计项目组;③搜集相关信息;④编制审计计划等。
  • (2)审计实施阶段。IT审计实施阶段是审计人员将项目审计计划付诸实施的期间。实施阶段主要完成工作包括:①深入调查并调整审计计划;②了解并初步评估IT内部控制;③进行符合性测试;④进行实质性测试等。
  • (3)审计终结阶段。IT审计终结阶段是整理审计工作底稿、总结审计工作、编写审计报告、做出审计结论的期间。终结阶段的工作一般包括:①整理与复核审计工作底稿;②整理审计证据;③评价相关IT控制目标的实现;④判断并报告审计发现;⑤沟通审计结果;⑥出具审计报告;⑦归档管理等。
  • (4)后续审计阶段。后续审计是在审计报告发出后的一定时间内,审计人员为检查被审计单位对审计问题和建议是否已经采取了适当的纠正措施,并取得预期效果的跟踪审计。实施后续审计,可不必遵守审计流程的每一过程和要求,但必须依法依规进行检查、调查,收集审计证据,写出后续审计报告。

# 3.2.4审计内容

IT审计业务和服务通常分为:IT内部控制审计和IT专项审计

  • ①IT内部控制审计:主要包括组织层面IT控制审计、IT一般控制审计及应用控制审计;

  • ②IT专项审计:主要是指根据当前面临的特殊风险或者需求开展的IT审计,审计范围为IT综合审计的某一个或几个部分,包括:信息系统生命周期审计、信息系统开发过程审计、信息系统运行维护审计、网络与信息安全审计、信息系统项目审计、数据审计等。

    针对信息系统项目的专项审计,其目标是通过对信息系统项目管理过程的评价,向管理层提供信息系统项目管理过程得到控制、监督并遵循最佳实践要求的合理保证。

信息系统项目管理审计内容与方法包括:组织管理、项目启动与计划、项目实施与控制、项目收尾管理、工程方法审计等。