1. IT治理1.1. 描述组织采用有效的机制对信息技术和数据资源开发利用,平衡信息化发展和数字化转型过程中的风险,确保实现组织的战略目标的过程1.2. 驱动因素1.2.1. 信息孤岛1.2.2. 信息资源整合目标空泛1.3. 高质量IT治理因素1.3.1. 良好的IT治理能够确保组织IT投资有效性1.3.2. IT属于知识高度密集型领域,其价值发挥的弹性较大1.3.3. IT已经融入组织管理、运行、生产和交付等各领域中1.3.4. 信息技术的发展演进以及新兴信息技术的引入1.3.5. IT治理能够推动组织充分理解IT价值1.3.6. IT价值不仅仅取决于好的技术,也需要良好的价值管理,场景化的业务融合应用1.3.7. 高级管理层的管理幅度有限1.3.8. 成熟度较高的组织以不同的方式治理IT1.4. 内涵主要体现1.4.1. IT治理作为组织上层管理的一个有机组成部分1.4.2. IT治理强调数字目标与组织战略目标保持一致1.4.3. IT治理保护利益相关者的权益1.4.4. IT治理是一种制度和机制1.4.5. IT治理的组成部分包括管理层、组织结构、制度、流程、人员、技术等多个方面1.5. 主要目标1.5.1. 与业务目标一致1.5.2. 有效利用信息与数据资源1.5.3. 风险管理1.6. 管理层次1.6.1. 最高管理层1.6.2. 执行管理层1.6.3. 业务及服务执行层1.7. 本质上关心1.7.1. 实现IT的业务价值1.7.2. IT风险的规避2. IT治理体系2.1. 描述组织在信息化建设和数字化转型过程中是否采用有效的机制使得信息技术开发利用能够完成组织赋予它的使命2.2. 关键决策2.2.1. IT原则2.2.2. IT架构2.2.3. IT基础设施2.2.4. 业务应用需求2.2.5. IT投资和优先顺序2.3. 框架2.3.1. IT战略目标2.3.2. IT治理组织2.3.3. IT治理机制2.3.4. IT治理域2.3.5. IT治理标准2.3.6. IT绩效目标2.4. 核心内容2.4.1. 组织职责2.4.2. 战略匹配2.4.3. 资源管理2.4.4. 价值交付2.4.4.1. 创造业务价值2.4.5. 风险管理2.4.5.1. 保护业务价值2.4.6. 绩效管理2.5. 原则2.5.1. 简单2.5.2. 透明2.5.3. 适合3. IT治理任务3.1. 全局统筹3.1.1. 制订满足可持续发展的IT蓝图3.1.2. 实施科学决策、集约管理的策略,实现横向的业务集成和纵向的业务管控;通过内外部的监督,确保IT与业务的一致性和适用性3.1.3. 建立适应内外部信息环境变化的持续改进和创新机制3.2. 价值导向3.2.1. 认可信息技术、信息系统和数据在组织中的价值3.2.2. 识别投资目录,并以相应的方式进行评估和管理3.2.3. 对关键指标进行设定和监督,并对变化和偏差做出及时回应3.2.4. 权衡实施成本与预期效益,并随组织内外部环境的变化及时调整3.3. 机制保障3.3.1. 指导建立规范过程管理和痕迹管理3.3.2. 评审IT管理体系的适宜性、充分性和有效性3.3.3. 审计IT完整性、有效性和合规性3.3.4. 监督由审计和管理评审,提出改进内容的实施3.4. 创新发展3.4.1. 创造基于业务团队与IT团队的深度沟通以及对内外部环境感知和学习的技术创新环境3.4.2. 确保技术发展、管理创新、模式革新的协调联动3.4.3. 对组织创新能力进行评估,并对关键创新要素进行分析和评价3.4.4. 通过促进和创新有效抵御风险,并确保创新是组织文化的组成部分3.5. 文化助推3.5.1. 建立与IT发展相适应的组织文化发展策略3.5.2. 营造包括知识、技术、管理、情操在内的积极向上的文化氛围3.5.3. 根据组织内部环境的变化,评估并改进组织文化的管理4. IT治理方法与标准4.1. ITSS中IT服务治理4.1.1. 逻辑关系图
4.1.2. 治理模型
4.1.3. 治理框架
4.1.4. 治理实施框架
4.2. 信息和技术治理框架(COBIT)4.2.1. 面向整个组织的信息和技术治理及管理框架4.2.2. 治理系统组件4.2.2.1. 流程4.2.2.2. 组织结构4.2.2.3. 原则、政策和程序4.2.2.4. 信息4.2.2.5. 文化、道德和行为4.2.2.6. 人员、技能和胜任能力4.2.2.7. 服务、基础设施和应用程序
4.2.3. 设计流程4.2.3.1. 了解组织环境和战略4.2.3.2. 确定治理系统的初步范围4.2.3.3. 优化治理系统的范围4.2.3.4. 最终确定治理系统的设计4.3. IT治理国际标准(ISO/IEC 38500)4.3.1. 责任4.3.2. 战略4.3.3. 收购4.3.4. 性能4.3.5. 一致性4.3.6. 人的行为4.3.7. 主要任务4.3.7.1. 评估4.3.7.2. 指导4.3.7.3. 监督5. IT审计5.1. 对组织IT目标的达成以及组织战略目的实现具备重要的作用5.2. IT审计重要性是指IT审计风险(固有风险、控制风险、检查风险)对组织影响的严重程度5.3. 定义5.3.1. IT审计是一个获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整以及有效利用组织的资源并有效实现组织目标的过程5.3.1.1. 国际信息系统审计协会5.3.1.2. ISACA5.3.2. IT审计是对计算机化的系统进行审计,不仅是对现有信息系统的控制,还包括对系统建立过程、计算机设备和网络管理等方面的控制5.3.2.1. 国际货币基金组织5.3.2.2. IMF5.3.3. IT审计是一个通过获取并评估证据,以判断IT系统是否保护组织的资产,有效地利用组织的资源,保障数据的安全性和一致性,以及有效地达到组织业务目标的过程5.3.3.1. 最高审计机关国际组织5.3.3.2. INTOSAI5.3.4. IT审计是根据IT审计标准的要求,对信息系统及相关的IT内部控制和流程进行检查、评价,并发表审计意见5.3.4.1. GB/T 34690.4《信息技术服务 治理第4部分:审计导则》5.4. 目的5.4.1. 通过开展IT审计工作,促进组织实现IT目标5.5. 目标5.5.1. 组织的IT战略应与业务战略保持一致5.5.2. 保护信息资产的安全及数据的完整、可靠、有效5.5.3. 提高信息系统的安全性、可靠性及有、效性5.5.4. 合理保证信息系统及其运用符合有关法律、法规及标准等的要求5.6. 范围5.6.1. 总体范围5.6.1.1. 需要根据审计目的和投入的审计成本来确定5.6.2. 组织范围5.6.2.1. 明确审计涉及的组织机构、主要流程、活动及人员等5.6.3. 物理范围5.6.3.1. 具体的物理地点与边界5.6.4. 逻辑范围5.6.4.1. 涉及的信息系统和逻辑边界5.7. 人员要求5.7.1. 职业道德5.7.2. 知识、技能、资格与经验5.7.3. 专业胜任能力5.7.4. 利用外部专家服务5.8. 风险5.8.1. 固有风险5.8.1.1. 指IT活动不存在相关控制的情况下,易于导致重大错误的风险5.8.2. 控制风险5.8.2.1. 与IT活动相关的内部控制体系不能及时预防或检查出存在的重大错误的风险5.8.3. 检查风险5.8.3.1. 检查风险是指通过预定的审计程序未能发现重大、单个或与其他错误相结合的风险5.8.4. 总体审计风险5.8.4.1. 针对单个控制目标所产生的各类审计风险总和6. 审计方法与技术6.1. IT审计依据与准则6.1.1. 法律法规6.1.2. 审计准则6.1.3. IT审计国际标准6.1.4. 组织内部控制6.2. IT审计常用方法6.2.1. 访谈法6.2.2. 调查法6.2.3. 检查法6.2.4. 观察法6.2.5. 测试法6.2.6. 程序代码检查法6.3. IT审计技术6.3.1. 风险评估技术6.3.1.1. 风险识别技术6.3.1.1.1. 德尔菲法6.3.1.1.2. 头脑风暴法6.3.1.1.3. 检查表法6.3.1.1.4. SWOT技术6.3.1.1.5. 图解技术6.3.1.2. 风险分析技术6.3.1.2.1. 定性分析6.3.1.2.2. 定量分析6.3.1.3. 风险评价技术6.3.1.3.1. 单因素风险评价6.3.1.3.2. 总体风险评价6.3.1.4. 风险应对技术6.3.1.4.1. 云计算6.3.1.4.2. 冗余链路6.3.1.4.3. 冗余资源6.3.1.4.4. 系统弹性伸缩6.3.1.4.5. 两地三中心灾备6.3.1.4.6. 业务熔断限流6.3.2. 审计抽样技术6.3.2.1. 统计抽样6.3.2.2. 非统计抽样6.3.3. 计算机辅助审计技术6.3.3.1. Computer Assisted Audit Tools, CAAT6.3.4. 大数据审计技术6.3.4.1. 大数据智能分析技术6.3.4.2. 大数据可视化分析技术6.3.4.3. 大数据多数据源综合分析技术6.4. IT审计证据6.4.1. 审计证据是指由审计机构和审计人员获取,用于确定所审计实体或数据是否遵循既定标准或目标,形成审计结论的证明材料6.4.2. 特性6.4.2.1. 充分性6.4.2.2. 客观性6.4.2.3. 相关性6.4.2.4. 可靠性6.4.2.5. 合法性6.4.3. 电子证据6.4.3.1. 电子证据是信息环境下经常使用的一种证据类型6.4.3.2. 电子证据是指以电子的、数据的、磁性的或类似性能的相关技术形式存在并能够证明事件事实真实情况的一切材料6.5. IT审计底稿6.5.1. 审计证据的载体,是审计人员在审计过程中形成的审计工作记录和获取的资料6.5.2. 形成于审计过程,也反映整个审计过程6.5.3. 作用6.5.3.1. 是形成审计结论、发表审计意见的直接依据6.5.3.2. 是评价考核审计人员的主要依据6.5.3.3. 是审计质量控制与监督的基础6.5.3.4. 对未来审计业务具有参考备查作用6.5.4. 分类6.5.4.1. 综合类工作底稿6.5.4.1.1. 审计人员在审计计划阶段和审计报告阶段,为规划、控制和总结整个审计工作并发表审计意见所形成的审计工作底稿6.5.4.1.2. 审计业务约定书6.5.4.1.3. 审计计划6.5.4.1.4. 审计总结6.5.4.1.5. 审计报告6.5.4.1.6. 管理建议书6.5.4.1.7. 被审计单位管理当局声明书以及审计人员对整个审计工作进行组织管理的所有记录和资料6.5.4.2. 业务类工作底稿6.5.4.2.1. 审计人员在审计实施阶段为执行具体审计程序所形成的审计工作底稿6.5.4.2.2. 符合性测试中形成的内部控制问题调查表和流程图6.5.4.2.3. 实质性测试中形成的项目明细表6.5.4.3. 备查类工作底稿6.5.4.3.1. 审计人员在审计过程中形成对审计工作仅具有备查作用的审计工作底稿6.5.5. 要求6.5.5.1. 内容要求包括资料翔实、重点突出、繁简得当、结论明确6.5.5.2. 形式要求包括要素齐全、格式规范、标识一致、记录清晰6.5.6. 审计工作底稿的三级复核制度6.5.7. 审计工作底稿按照一定的标准归入审计档案后,应交由档案管理部门进行管理6.5.8. 建立健全审计工作底稿保密制度6.5.8.1. 不属于泄密情形6.5.8.1.1. 法院、检察院及国家其他部门依法查阅,并按规定办理了必要手续6.5.8.1.2. 审计协会或其委派单位对审计机构执业情况进行检查7. 审计流程7.1. 审计人员在具体审计过程中采取的行动和步骤7.2. 作用7.2.1. 有效地指导审计工作7.2.2. 有利于提高审计工作效率7.2.3. 有利于保证审计项目质量7.2.4. 有利于规范审计工作7.3. 审计准备阶段7.3.1. 明确审计目的及任务7.3.2. 组建审计项目组7.3.3. 搜集相关信息7.3.4. 编制审计计划7.4. 审计实施阶段7.4.1. 深入调查并调整审计计划7.4.2. 了解并初步评估IT内部控制7.4.3. 进行符合性测试7.4.4. 进行实质性测试7.5. 审计终结阶段7.5.1. 整理审计工作底稿、总结审计工作、编写审计报告、做出审计结论的期间7.5.2. 整理与复核审计工作底稿7.5.3. 整理审计证据7.5.4. 评价相关IT控制目标的实现7.5.5. 判断并报告审计发现7.5.6. 沟通审计结果7.5.7. 出具审计报告7.5.8. 归档管理7.6. 后续审计阶段7.6.1. 审计人员为检查被审计单位对审计问题和建议是否己经采取了适当的纠正措施,并取得预期效果的跟踪审计7.6.2. 后续审计报告8. 审计内容8.1. IT内部控制审计8.1.1. 组织层面IT控制审计8.1.2. IT一般控制审计8.1.3. 应用控制审计8.2. IT专项审计8.2.1. 信息系统生命周期审计8.2.2. 信息系统开发过程审计8.2.3. 信息系统运行维护审计8.2.4. 网络与信息安全审计8.2.5. 信息系统项目审计8.2.6. 数据审计
