信息系统治理
2024-01-17 18:28:52 0 举报
AI智能生成
登录查看完整内容
信息系统治理是一种管理和控制信息系统的战略、政策和程序,以确保其有效地支持组织的战略和目标。它涉及信息系统的投资决策、规划、开发、实施、运行和监控。治理过程需要充分考虑组织的需求、风险和资源,以确保信息系统的安全、可靠和高效。
作者其他创作
大纲/内容
信息孤岛
信息资源整合目标空泛
良好的IT治理能够确保组织IT投资有效性
IT属于知识高度密集型领域,其价值发挥的弹性较大
IT已经融入组织管理、运行、生产和交付等各领域终,成为各领域高质量发展空间和业务机会等
IT治理能够推动组织充分理解IT价值,从而促进IT价值挖掘和融合利用
IT 价值不仅仅去觉得与好的技术,也需要良好的价值管理,场景化的业务融合应用
高级管理层的管理幅度有限,无法深入到IT每项管理当中,需要采用明确责权利和清晰管理去确保IT价值
成熟度较高的组织以不同的方式治理IT,获得了领域或行业领先的业务发展效果
驱动组织开展高质量 IT 治理因素包括
IT治理作为组织上管理的一个有机组成部分,由组织治理层或高级管理层服务,从组织全局的高度上对组织信息化与数字化转型做出制度安排,体现了治理层和最高管理层对信息相关活动的关注
IT治理强调数字目标与组织战略目标保持一致,通过对IT的综合开发利用,为组织战略规划提供技术或控制方面的支持,以保证相关建设能够真正落实并贯彻组织业务战略和目标
IT治理保护利益相关者的权益,对风险进行有效管理,合理利用IT资源,平衡成本和收益,确保信息系统应用有效、及时地满足需求,并获得期望地收益,增强组织地核心竞争力
IT 治理是一种制度和机制,主要涉及管理和制衡 信息系统与业务战略匹配、信息系统建设投资、信息系统安全和信息系统绩效评价等方面的内 容
IT 治理的组成部分包括管理层、组织结构、制度、流程、人员、技术等多个方面,共同 构建完善的IT 治理架构,达到数字战略和支持组织的目标。
IT治理内涵主要体现在
治理的驱动因素
与业务目标一致
有效利用信息与数据资源
风险管理
主要目标
治理的目标价值
最高管理层
执行管理层
业务与服务执行层
治理的管理层次
IT治理基础
IT治理的核心是关注IT 定位和信息化建设与数字化转型 的职责权利划分
IT应用的期望行为与业务目标一致
IT定位
业务和IT在治理委员会中的构成、组织IT与各分支机构的IT 权责边界等
IT治理架构
投资、风险、绩效、标准和规范等
IT治理内容
统筹、评估、指导、监督
IT治理流程
IT治理效果(内外评价)
IT治理体系的具体构成包括
IT原则
IT架构
IT基础设施
业务应用需求
IT投资和优先顺序
IT治理关键决策
IT战略目标
IT治理组织
IT治理机制
IT治理域
IT治理标准
IT绩效目标
等
IT治理体系框架
组织职责
战略匹配
资源管理
价值交付
绩效管理
IT治理核心内容
简单
透明
适合
建立IT治理机制原则包括
IT治理机制经验
建立组织的IT治理体系
开展信息技术审计
研发、选择和评价IT治理相关的软件或解决方案
第三方对组织的IT治理能力进行评价
GB/T34960.1《信息技术服务治理第1部分:通用要求》
内外部要i去
治理主体
治理方法
信息技术及其应用的管理体系
该标准定义的IT治理模型包含
信息技术顶层设计
管理体系治理域包含信息技术相关的质量管理、项目管理、投资管理、服 务管理、业务连续性管理、信息安全管理、风险管理、供方管理、资产管理和其他管理;资源 治理域包含信息技术相关的基础设施、应用系统和数据。
管理体系
资源
该标准定义的IT治理框架包含
建立组织的IT治理实施框架
明确实施方法和过程
组织内部开展IT治理的实施
IT治理相关软件或解决方案实施落地的指导
第三方开展IT治理评价的指导
该标准适用于
该标准规定治理机构应通过评估、指导和监督三个主要任务来治理IT
GB/T34960.2《信息技术服务治理第2部分:实施指南》
IT治理通用要求‘
IT治理方法与标准
IT治理体系
IT 审计重要性是指IT 审计风险(固有风险、控制风险、检查风险) 对组织影响的严重程度,如:财务损失、业务中断、失去客户信任、经济制裁等。
主流的IT审计定义
组织的IT战略应与业务战略保持一致
保护信息资产的安全及数据的完整、可靠、有效
提高信息系统的安全性、可靠性及有效性
合理保证信息系统及其运用符合有关法律、法规及标准等的要求
组织的IT目标主要包括
审计目的
需要根据审计目的和投入的审计成本来确定
总体范围
明确审计涉及的组织机构、主要流程、活动及人员等
组织范围
具体的物理地点与边界
物理范围
涉及的信息系统和逻辑边界
逻辑范围
审计范围
职业道德
知识、技能、资格与经验
专业胜任能力
利用外部专家服务
GB/T 34690.4《信息技术服务治理第4部分:审计导则》
审计人员
是指IT活动不存在相关控制的情况下,易于导致重大错误的风险
固有风险
是指与IT活动相关的内部控制体系不能及时预防或检查出存在的重大错误的风险
控制风险
检查风险是指通过预定的审计程序未能发现重大、单个或与其他错误相结合的风险
检查风险
指针对单个控制目标所产生的各类审计风险总和。
总体审计风险
IT审计风险
IT审计
访谈法
调查法
检查法
观察法
测试法
程序代码检查法
审计方法
风险识别技术
风险分析技术
风险评价技术
风险应对技术
风险评估技术
属性抽样
变量抽样
审计抽样技术
通用审计软件(GAS)
测试数据
实用工具软件
专家系统
大数据智能分析技术
大数据可视化分析技术
大数据多数据源综合分析技术
大数据审计技术
主要包括:审计业务约定书、审计计划、审计总结、审计报告、 管理建议书、被审计单位管理当局声明书以及审计人员对整个审计工作进行组织管理的所有 记录和资料
综合类工作底稿
符合性测试 中形成的内部控制问题调查表和流程图、实质性测试中形成的项目明细表等
业务类工作底稿
备查类审计工作底稿是由被审计单位或第三者根据 实际情况提供或代为编制,审计人员应认真审核,并对所取得的有关文件、资料标明其具体 来源
备查类工作底稿
类型
审计底稿
明确审计目的及任务
组建审计项目组
搜集相关信息
编制审计计划
审计准备阶段
深入调查并调整审计计划
了解并初步评估IT内部控制
进行符合性测试
进行实质性测试
审计实施阶段
整理与复核审计工作底稿
整理审计证据
评价相关IT控制目标的实现
判断并报告审计发现
沟通审计结果
出具审计报告
归档管理等
审计终结阶段
后续审 计并不是一次新的审计,而是前一次审计的有机组成部分。实施后续审计,可不必遵守审计流 程的每一过程和要求,但必须依法依规进行检查、调查,收集审计证据,写出后续审计报告。
后续审计阶段
审计流程
审计内容
信息系统项目管理审计内容与方法举例
审计技术
审计方法与技术
信息系统治理
0 条评论
回复 删除
下一页