软考高项03信息系统治理，必背知识点，高频考点多方面覆盖，高分手册

2024-11-21 11:51:17   1  举报





AI智能生成

软考高级项目管理师第3章信息系统治理思维导图涵盖了必背知识点和高频考点，是多方面覆盖的高分手册。这份资料以思维导图的形式呈现，使考生能够清晰地理解信息化发展的各个关键概念、技术和趋势。它包括了信息化发展的背景、意义、战略、规划、实施和管理等多个方面的内容，为考生提供了全面的知识体系。通过这份资料，考生可以更好地把握软考高级项目管理师的考试重点和难点，提高考试成功率。预祝上岸！

高项信息系统项目管理师

信息系统

考试复习

软考笔记

作者其他创作

大纲/内容

信息系统治理（IT 治理）是组织开展信息技术及其应用活动的重要管控手段， 也是组织治理的重要组成部分，尤其在以数字化发展为重要关注点的新时代，组织的 数字化转型和组织建设过程中，IT 治理起到重要的统筹、评估、指导和监督作用。 信息技术审计（IT 审计）作为与 IT 治理配套的组织管控手段，是 IT 治理不可或缺的 评估和监督工具，重点承担着组织信息系统发展的合规性检测以及信息技术风险的管 控等职能。

IT 治理

IT 治理是描述组织采用有效的机制对信息技术和数据资源开发利用，平衡信息化发展和数字化转型过程中的风险，确保实现组织的战略目标的过程。

驱动组织开展高质量 IT 治理因素

1）良好的 IT 治理能够确保组织 IT 投资有效性

2）IT 属于知识高度密集型领域，其价值发挥的弹性较大

3）IT 已经融入组织管理、运行、生产和交付等各领域中，成为各领域高质量发 展的重要基础；

4）信息技术的发展演进以及新兴信息技术的引入，可为组织提供大量新的发展空间和业务机会等

5）IT 治理能够推动组织充分理解 IT 价值，从而促进 IT 价值挖掘和融合利用

6) IT 价值不仅仅取决于好的技术，也需要良好的价值管理，场景化的业务融合应用

7) 高级管理层的管理幅度有限，无法深入到 IT 每项管理当中，需要釆用明确责权利和清晰管理去确保 IT 价值

8) 成熟度较高的组织以不同的方式治理 IT,获得了领域或行业领先的业务发展效果

IT 治理的内涵

(1)IT 治理作为组织上层管理的一个有机组成部分

(2)IT 治理强调数字目标与组织战略目标保持一致

(3)IT 治理保护利益相关者的权益，对风险进行有效管理，合理利用 IT 资源，平衡成本和收益，确保信息系统应用有效、及时地满足需求，并获得期望的收益,增强组织的核心竞争力；

(4)IT 治理是一种制度和机制

(5)IT 治理的组成部分包括管理层、组织结构、制度、流程、人员、技术等多个方面

IT 治理的目标价值

(1)与业务目标一致

(2)有效利用信息与数据资源

(3)风险管理

IT 治理的管理层次

(1)最高管理层

证实 IT 战略与业务战略是否一致；

证实通过明确的期望和衡量手段交付 IT 价值；

指导 IT 战略、平衡支持组织当前和未来发展的投资；

指导信息和数据资源的分配。

(2)执行管理层

制定 IT 的目标；

分析新技术的机遇和风险；

建设关键过程与核心竞争力；

分配责任、定义规程、衡量业绩；管理风险和获得可靠保证等

(3)业务及服务执行层

信息和数据服务的提供和支持；

IT 基础设施的建设和维护

IT 治理体系概述

(1)IT 定位：IT 应用的期望行为与业务目标一致；

IT治理的目标是什么

(2)IT 治理架构：业务和 IT 在治理委员会中的构成、组织 IT 与各分支机构的 IT权责边界等；

IT治理由谁来做

(3)IT 治理内容：投资、风险、绩效、标准和规范等

IT治理做什么

(4)IT 治理流程：统筹、评估、指导、监督

IT治理怎么做

(5)IT 治理效果(内外评价)等。

IT治理做的效果如何

IT 需求的提出和响应

IT 治理关键决策

IT 原则

IT 架构

IT 基础 设施

业务应用 需求

IT 投资和 优先顺序

IT 治理体系框架

IT 治理体系框架以组织的战略目标为导向，架起了组织战略与 IT 的桥梁，实现了 IT 风险的全面管理以及 IT 资源的合理利用

IT 治理体系框架包括

IT 战略目标、IT 治理组织、IT 治理机制、IT 治理域、IT治理标准和 IT 绩效目标

IT 治理核心内容

IT 治理本质上关心：①实现 IT 的业务价值；②IT 风险的规避

IT 治理的核心内容包括六个方面

(1)组织职责。明确组织信息部门和业务部门之间的关系和责任，正确划分信息系 统的所有者、建设者、管理者和监控者

(2)战略匹配。是使组织的 IT 建设与组织战略相匹配。

(3)资源管理。主要功能是确保用户对组织的应用系统和基础设施都有良好的理解 和应用

(4)价值交付。通过对 IT 项目全生命周期的管理，确保 IT 能够按照组织战略实现 预期的业务价值。价值交付即是创造业务价值

(5)风险管理。是确保 IT 资产的安全和灾难的恢复、组织信息资源的安全以及人 员的隐私安全。风险管理即是保护业务价值

(6)绩效管理。绩效管理主要是追踪和监视 IT 战略、IT 项目的实施、信息资源的 使用、IT 服务的提供以及业务流程的绩效。

IT 治理机制的原则

(1)简单

(2)透明

(3)适合

IT 治理活动的主要任务

(1)全局统筹：统筹规划 IT 治理的目标范围、技术环境、发展趋势和人员责权利。

(2)价值导向。包括基于实现有效收益，确保预期收益清晰理解，明确实现收益的 问责机制

(3)机制保障。机制保障是指组织应对自身 IT 发展进行有效管控，保证 IT 需求与 实现的协调发展，并使 IT 安全和风险得到有效的识别、管理、防范和处置

(4)创新发展。创新发展是指利用 IT 创新开拓业务领域，提升管理水平，改进质 量、绩效和降低成本，确保实现战略目标的灵活性和对环境变化的适应性。

(5)文化助推。文化助推是指组织与利益相关者沟通 IT 治理的目标、策略和职责, 营造积极向上、沟通包容的组织文化

IT 审计

概念

为了有效控制 IT 风险，有必要对组织的信息系统治理及 IT 内控与管理等开展 IT 审计，充分发挥 IT 审计监督的作用，提高组织的信息系统治理水平， 促进组织信息系统治理目标的实现

IT 审计重要性是指 IT 审计风险（固有风险、控制风险、检查风险）对组织影响的严重程度

审计目的

（1）IT 审计的目的是指通过开展 IT 审计工作，了解组织 IT 系统与 IT 活动的总体状况，对组织是否实现 IT 目标进行审查和评价，充分识别与评估相关 IT 风险,提出评价意见及改进建议，促进组织实现 IT 目标。

组织的 IT 目标主要包括

1）组织的 IT 战略应与业务战略保持一致

2）保护信息资产的安全及数据的完整、可靠、有效

3）提高信息系统的安全性、可靠性及有效性；

4）合理保证信息系统及其运用符合有关法律、法规及标准等的要求。

IT 审计范围和 IT 审计人员

IT 审计范围

总体范围

组织范围

物理范围

逻辑范围

其他相关内容

IT 审计风险

固有风险

含义

是指 IT 活动不存在相关控制的情况下，易于导致重大错误的风险

分类

可从 IT 组织层面控制、一般控制及应用控制三个方面分析固有风险；

特点

固有风险是 IT 活动本身所具有的，审计人员只能评估，却无法控制或影响它；

固有风险的衡量是主观的、复杂的，不同的 IT 活动其固有风险水平不同

控制风险

含义

是指与 IT 活动相关的内部控制体系不能及时预防或检查出存在的重大错误的风险

分类

可从 IT 组织层面控制、一般控制及应用控制三个方面分析控制风险

特点

与内部控制制度执行的有效性有关，与审计无关，属于内部控制的范畴，审计人员只能评估其风险水平而不能对其实施控制和影响。其风险水平 的衡量由于需要兼顾传统内部控制的思想和计算机系统管理的知识，因而较为复杂且难以准确计量

检查风险

含义

检查风险是指通过预定的审计程序未能发现重大、单个或与其他错误相结合的风险

影响检查风险的因素

由于 IT 审计规范不完普、审计人员自身或者技术原因等造成影响审计测试正确性的各种因素

总体审计风险

是指针对单个控制目标所产生的各类审计风险总和

IT 审计常用方法

访谈法

含义

是指通过访谈人和受访人面对面地交谈来了解被审计对象的信息。依据不同研究问题的性质、目的或对象，访谈法具有不同的形式

分类

结构型访谈

非结构型访谈

调查法

含义

是指为了达到预期目的，在制订调研计划的基础上，通过书面或口头回答问题的方式收集研究对象的相关资料，并做出分析、综合，得到某一结论的研究方法

目的

可能是全面把握当前状况，也可能是为了揭示存在的问题，弄清前因后果，以便为进一步的研究或决策提供观点和论据

检查法

含义

是指审计人员对被审计单位内部或外部生成的记录和文件(如纸质、电子或其他介质形式存在的资料)进行审查，或对资产进行实物审查

分类

审阅法

核对法

复算法

分析法

观察法

含义

是审计人员到被审计单位的经营场所及其他有关场所进行实地察看，来证实审计事项的一种方法

应用

观察程序具有方向性，即从书面记录观察到实物或过程，反之，从实物或过程观察到书面记录。观察法既可以用于对通过其他方法获得的审计证 据进行补充，证实审计证据，也可以用于直接收集相关证据。观察法可以比较准确地获得审计项目如何运行的信息，适用于正在进行中的审计事项

测试法

含义

通过测试来评估程序的质量是一项常用的审计技术，其基本原理是从计算机输入开始，跟踪某项业务直至计算机输出，以检验计算机应用程 序、控制程序和系统可靠性。执行此类方法使用的是用于测试目的的业务数据，称之为测试数据

分类

可能是全面把握当前状况，也可能是为了揭示存在的问题，弄清前因后果，以便为进一步的研究或决策提供观点和论据

黑盒法

黑盒法测试是把程序看成黑盒子，完全不考虑其内部结构和处理过程，只检查程序的功能是否符合它的需求规格说明

白盒法

通过测试来检测产品内部动作是否按照规格说明书的规定正常进行，按照程序内部的结构测试程序，检验程序中的每条通路是否都能按预定要求正确工作，主要用于软件验证

程序代码检查法

含义

是指对被审程序的指令逐条加以审查，以验证程序的合法性、完整性和程序逻辑的正确性

应用

审计人员可使用代码静态扫描工具进行程序代码的检查

IT 审计技术

常用的 IT 审计技术包括风险评估技术、审计抽样技术、计算机辅助审计技术及大数据审计技术。

风险评估技术

1）风险识别技术：用以识别可能影响一个或多个目标的不确定性，包括德尔菲法、头脑风暴法、检查表法、SWOT 技术及图解技术等

2）风险分析技术：是对风险影响和后果进行评价和估量，包括定性分析和定量分析。

3）风险评价技术：是在风险分析的基础上，通过相应的指标体系和评价标准，对风险程度进行划分，以揭示影响成败的关键风险因素，包括单因素风险评价和总体风险评价。

4）风险应对技术：IT 技术体系中为特定风险制定的应对技术方案，包括云计算、冗余链路、冗余资源、系统弹性伸缩、两地三中心灾备、业务熔断限流等

审计抽样技术

1）审计抽样是指审计人员在实施审计程序时，从审计对象总体中选取一定数量的样本进行测试，并根据测试结果，推断审计对象总体特征的一种方法。

2）审计抽样适用于时间及成本都不允许对既定总体中的所有交易或事件进行全面审计时。

3）“总体”是指需要检查的全部事项，“样本”是用于测试总体的子集。

统计抽样

采用客观的方法来确定样本量和样本抽取标准。统计抽样釆用概率学原理，涉及计算样本量、抽取样本

评价样本结果并做出推断。利用统计抽样，审计人员可以量化描述样本 与总体的接近程度（评价抽样精度）以及用百分比表示的样本能够代表 总体的概念（可靠性或置信水平）。有效的统计抽样结果是量化的

常用的统计抽样方法

①属性抽样。固定样本量属性抽样或频率估计抽样一用于估计总体中某种特性（属性）的发生比率（百分率）的抽样 方法，属性抽样回答“有多少？"的问题。可被测试的属性的一个例子是计算机访问申请表上的批准签字。

②变量抽样。变量抽样也称为金额估计抽样或平均值估计抽样，是一种由样本估计总体的货币金额或其他度量单位（如重量）的抽样技术。变量抽样的一个例子是检査组织重要交易的余额表及对生成余额表的程序实施的应用系统审计

非统计抽样

常指判断抽样一釆用审计人员判断来确定抽样方法、样本量（从总体中抽取的一定数量的事项以执行测试）及抽样标准（选择哪一些事项用于 测试）。抽样结果是基于审计人员对抽样事项或交易的重要性及风险主观判断

计算机辅助审计技术

计算机辅助审计（CAAT）,也称为利用计算机审计。CAAT 包括多种工具和技术, 如通用审计软件（GAS）、测试数据、实用工具软件、专家系统等。

大数据审计技术

大数据审计技术包括大数据智能分析技术、大数据可视化分析技术及大数据多数 据源综合分析技术等

IT 审计证据

审计证据是指由审计机构和审计人员获取，用于确定所审计实体或数据是否遵循 既定标准或目标，形成审计结论的证明材料

充分性

客观性

相关性

可靠性

合法性

IT 审计底稿

（1）审计工作底稿是审计证据的载体，是审计人员在审计过程中形成的审计工作记录和获取的资料。它形成于审计过程，也反映整个审计过程

（2）审计底稿的作用表现在：是形成审计结论、发表审计意见的直接依据；是评价考核审计人员的主要依据；是审计质量控制与监督的基础；对未来审计业务具有参考备查作用。

（3）审计工作底稿一般分为综合类工作底稿、业务类工作底稿和备查类工作底稿。

综合类工作底稿

指审计人员在审计计划阶段和审计报告阶段，为规划、控制和总结整个审 计工作并发表审计意见所形成的审计工作底稿

业务类工作底稿

指审计人员在审计实施阶段为执行具体审计程序所形成的审计工作底稿

备查类工作底稿

指审计人员在审计过程中形成对审计工作仅具有务査作用的审计工作底稿。

（5）审计工作底稿按照一定的标准归入审计档案后，应交由档案管理部门进行管理，并确保审计档案的安全、完整

审计流程

审计流程是指审计人员在具体审计过程中采取的行动和步骤

审计流程的作用包括：有效地指导审计工作；有利于提高审计工作效率；有利于保证审计项目质量；有利于规范审计工作

阶段划分

审计准备

①明确审计目的及任务

②组建审计项目组

③搜集相关信息

④编制审计计划

审计实施

①深入调查并调整审计计划

②了解并初步评估 IT 内部控制

③进行符合性测试

④进行实质性测试

审计终结

①整理与复核审计工作底稿

②整理审计证据

③评价相关 IT 控制目标的实现

④判断并报告审计发现

⑤沟通审计结果

⑥出具审计报告

⑦归档管理

后续审计

后续审计是在审计报告发出后的一定时间内，审计人员为检查被审计单位对审计问题和建议是否己经釆取了适当的纠正措施，并取得预期效果的跟踪审计。后续审计并不是一次新的审计，而是前一次审计的有机组成部分。实施后续审计，可不必遵守审计流程的每一过程和要求，但必须依法依规进行检查、调查，收集审计证据，写出后续审计报告。

审计内容

IT 内部控制审计

组织层面 IT控制审计

指对 IT 战略、组织、架构、业务连续性、风险管理、外包管理、网络与信息安全及监督管理等进行审计

IT一般控制审计

指针对与应用系统、数据库、操作系统、网络相关的策略和措施等进行审计

应用控制审计

是指针对业务流程层面运行的人工或自动化程序进行审计，主要包括输入控制、处理控制和输出控制的审计

IT 专项审计

主要是指根据当前面临的特殊风险或者需求开展的 IT 审计，审计范围为 IT 综合审计的某一个或几个部分。

分类

信息系统生命周期审计