1、IT 治理由组织治理层或高级管理层负责; IT 治理强调数字目标与组织战略目标保持一致;IT 治理是一种 制度和机制。
2、IT 治理层次分为三层:最高管理层、执行管理层、业务与服务执行层
◆ 最高管理层:证 实IT 战略与业务战略是否一致、证实通过明确的期望和衡量手段交付IT 价值、指导IT 战略、平衡支持组织当前和未来发展的投资、指导信息和数据资源的分配;
◆ 执行管理层: 制定 IT 目标、分析新结束的机遇和风险、建设关键过程与核心竞争力、分配责任、定义 规程、衡量业绩、管理风险和获得可靠保证;
◆ 业务与服务执行层:信息和数据服务的的提供和支持、IT 基础设施的建设和维护、 IT 需求的提出和响应。
3、建 立 IT 治理机制的原则包括:简单、透明、适合。
4、IT 治理主要三大目标: 与业务目标一致、有效利用信息与数据资源、风险管理。
5、IT 治理核心内容:组织指责、战略匹配、资源管理、价值交付(创造业务价值)、风险管理(保护业务价 值)、绩效管理。
GB/T34960.1 《信息技术服务》定义了IT 治理框架包含:信息技术顶层设计、管理体系和资源三大治理域。
6、IT 审计范围:
◆ 总体范围: 需要根据审计目的和投入的审计成本来确定;
◆ 组织范围: 明确审计涉及的组织机构、主要流程、活动及人员等;
◆ 物理范围: 具体的物理地点及边界;
◆ 逻辑范围: 涉及的信息系统和逻辑边界。
7、IT 审计风险
(1) 固有风险: IT 活 动不存在相关控制的情况下,易于导致重大错误的风险。
(2) 控制风险: 指 与IT 活动相关的内部控制体系不能及时预防或检查出存在的重大错误的风险。
(3) 检查风险: 指通过预定的审计程序未能发现重大、单个或与其他错误相结合的风险。
(4) 总体审计风险:针对单个控制目标所产生的各类审计风险总和。
8、IT 审计方法:访谈法、调查法、检查法、观察法、测试法、程序代码检查法。
9、IT 审计技术:风险评估技术、审计抽样技术、计算机辅助审计技术、大数据审计技术。
10、IT 风险评估技术一般包括:
◆ 风险识别技术:德尔菲法、头脑风暴法、检查表法、SWOT 技术及图解技术
◆ 风险分析技术:定性、定量;
◆ 风险评价技术:单因素风险评价、总体风险评价;
◆ 风险应对技术:云计算、冗余链路、冗余资源、系统弹性伸缩、两地三中心灾备、业务熔断限流等。
11、统计抽样技术:高于45分及格,低于45分不及格:抽查100人。
(1) 属性抽样: 70人及格,30人不及格;
(2) 变量抽样:50分以上:30人;45~50分:40人;40~44分:20人;低于40分:10人
12、审计证据特征:
(1) 充分性:指要求审计人员根据所获证据足以对被审计对象提出一定程度保证的 结论,是对审计证据数量的要求,主要与审计人员确定的样本量有关。
(2) 客观性:指审计证据必须是客观存在的事实材料。客观的审计证据比需要判断或 解释的证据可靠。
(3) 相关性:指审计证据与审计事项之间必须有实质性联系。
(4) 可靠性:指审计证据能够反映和证实客观经济活动特征的程度。审计证据的可靠 性受到审计证据的类型、取证的渠道和方式等因素的影响。
(5) 合法性:指审计证据必须符合法定种类,并依照法定程序取得。
13、审计工作底稿是审计证据的载体。
◆ 综合类工作底稿:计划阶段;
◆ 业务类工作底稿: 实施阶段;
◆ 备查类工作底稿:备查作用。
14、审计流程: 一般分为审计准备、审计实施、审计终结及后续审计四个阶段。