信息系统项目管理师——第3章信息系统治理

从近几期的考情来看，本章稳定考选择题2分。本章节记忆性的内容较多，技术内容较少，难度偏简单。对于文科生来说这个章节的分不能丢，大家尽量多读、多背、多刷题，把本章节的教材内容一字一字的看2遍。

1.IT治理
1.1IT治理基础♥♥
定义
IT治理是指组织运用一套有效的机制和框架，对信息技术（IT）和数据资源的开发利用进行规划、决策、监督与控制，旨在平衡信息化发展和数字化转型过程中的风险，确保这些活动与组织的战略目标相一致，进而提升组织的效率、效益和竞争力。

IT治理的驱动因素

确保组织IT投资有效性：随着企业在信息技术领域的投入日益增长，良好的IT治理对于确保这些投资能够带来预期的业务价值至关重要。通过合理的治理结构和决策流程，组织可以更精准地评估、选择、执行和评价IT项目，避免浪费资源，确保IT投资与业务需求紧密结合，从而提高投资回报率。

IT的知识密集型特性与价值弹性：IT作为知识高度密集的领域，其价值创造潜力巨大且具有较大的弹性。有效的IT治理有助于组织充分挖掘IT技术的创新潜力，快速适应市场变化，灵活调整IT策略以应对业务需求的变化，从而最大化IT为组织带来的竞争优势。

IT与组织各领域的深度融合：随着信息技术的广泛应用，IT已深深嵌入到组织管理、运行、生产、交付等各个环节，成为支撑各领域高质量发展的基石。良好的IT治理确保IT与各业务领域的战略、流程、数据、人员等要素紧密协同，消除“信息孤岛”，提升跨部门协作效率，支撑组织整体运营效能的提升。

IT治理的内涵

作为组织上层管理的有机组成部分：IT治理归属于组织治理层或高级管理层的职责范畴，反映了治理层和最高管理层对信息相关活动的高度重视。他们从组织全局的高度出发，对信息化与数字化转型制定长远规划和制度安排，确保这些活动符合组织的整体战略导向。

数字目标与组织战略目标的一致性：IT治理的核心在于确保IT战略、项目和日常运营活动紧密围绕并服务于组织的战略目标。通过明确IT的角色、责任、绩效指标以及与业务部门的互动机制，IT治理确保数字化举措与业务目标保持一致，通过对IT的综合开发利用，有力推动组织战略的落地执行。

IT治理的目标价值

IT治理旨在构建一个与组织战略紧密相连、以实现IT与业务有效匹配为核心、以价值交付为最终成果、以绩效管理为控制手段的IT管理体系，确保IT团队在组织中的角色定位准确，为组织战略的实施提供有力支撑。IT治理的主要目标包括：

(1) 与业务目标一致
IT治理需紧密围绕组织的战略目标和数字战略展开，从这些顶层规划中提炼出对信息与数据的需求和功能要求，构建全面的IT治理框架和系统整体模型。这一过程为后续的系统设计和实施提供了坚实基础，确保信息技术的开发与应用始终紧跟业务目标的变化，保持与业务需求的同步。

(2) 有效利用信息与数据资源
面对信息系统工程延期、客户需求满足度低、IT平台与业务应用不兼容、数据价值挖掘不足、信息技术与业务融合程度浅等常见问题，IT治理通过明确信息与数据资源的管理职责，优化资源配置，提升投资回报，确保信息技术投资能够切实转化为业务价值。同时，IT治理强化数据驱动的决策支持，通过高效的数据分析与应用，助力组织洞察市场趋势、优化业务流程、提升决策效率。

(3) 风险管理
随着组织对信息网络、信息系统和数据资源的依赖加深，新的风险层出不穷，如新技术管理缺失、法规遵从性问题、未知的安全威胁等。IT治理高度重视风险管理，通过确立信息与数据资源的保护等级，对关键信息与数据资源实施严密的监控与事件响应机制，确保信息资产的安全性、完整性和可用性。此外，IT治理还推动建立健全风险识别、评估、应对和监控的闭环管理体系，降低潜在风险对组织运营的影响，保障业务连续性和数据合规性。

IT治理的管理层次
IT治理是一个从上至下贯穿整个组织的多层次管理体系，旨在确保总体战略目标能够在各个层级得到贯彻执行。治理活动主要集中在最高管理层（如董事会）和管理执行层，同时依赖于基层的支持以获取决策和评估所需的详细信息。为了实现有效的IT治理，组织需在全范围内推广良好的治理实践。以下是IT治理的三个主要管理层次及其职责概述：

最高管理层（如董事会）

确认IT战略与业务战略的一致性：确保IT战略规划与组织整体战略目标紧密衔接，IT资源的配置与使用服务于业务发展需要。
验证IT价值交付：通过明确的期望设定和绩效衡量标准，监督IT投资是否产生预期的业务价值，确保IT投资的有效性。
指导IT战略：参与并指导IT战略的制定与调整，确保IT战略方向正确，符合组织长期发展规划。
平衡投资：在支持当前业务需求的同时，前瞻性地规划和投资于有助于组织未来发展的IT项目和能力。
指导信息和数据资源分配：制定信息和数据资源的使用策略，确保关键业务领域和创新项目得到充足的数据支持。
执行管理层

制定IT目标：根据组织战略和业务需求，制定具体的IT目标和实施计划，确保IT活动与业务目标保持一致。
分析新技术机遇与风险：评估新兴信息技术对组织的潜在影响，识别并抓住技术变革带来的机遇，同时对相关风险进行有效管理。
建设关键过程与核心竞争力：通过IT手段优化业务流程，构建或强化组织的核心竞争力，提升运营效率和市场响应能力。
分配责任、定义规程、衡量业绩：明确IT治理各环节的责任主体，制定清晰的治理规程，建立有效的绩效评估体系，确保IT治理工作的落实与执行。
管理风险与获取保证：识别、评估和管理IT相关的风险，包括技术风险、合规风险、信息安全风险等，同时寻求并获取外部审计、认证等第三方保证，增强IT治理的公信力。
业务与服务执行层

提供信息和数据服务：负责日常的信息和数据服务运营，确保业务部门能够及时、准确、安全地获取所需信息，支持业务决策与运营。
建设和维护IT基础设施：负责IT硬件、网络、数据中心等基础设施的建设、升级、维护与安全管理，保障IT系统的稳定运行。
提出和响应IT需求：作为业务部门与IT部门的桥梁，识别业务部门的IT需求，协助制定解决方案，并确保需求得到及时响应与满足。
1.2 IT治理体系♥♥♥♥♥
定义:
IT治理是指在组织信息化建设和数字化转型的过程中，通过采用有效的机制和方法，确保信息技术的开发与利用能够有效地支持并实现组织的战略目标，完成其在组织中所肩负的使命。IT治理的核心关注点在于明确IT在组织中的定位，以及在信息化建设与数字化转型过程中责权利的合理划分。

IT治理关键决策
有效的IT治理需要关注并作出以下五项关键决策，以确保IT与组织战略的紧密对接和有效执行：

IT原则：确立指导IT活动的基本价值观、指导方针和行为规范，确保IT决策与组织文化、伦理标准、法律法规等保持一致。
IT架构：设计和维护能够支撑业务需求、促进数据共享、保障系统集成的IT基础架构，包括技术架构、数据架构、应用架构等。
IT基础设施：规划、选型、建设和维护IT硬件、网络、数据中心等基础设施，确保其能够满足业务发展对性能、安全、可用性等方面的要求。
业务应用需求：识别、分析、优先级排序和管理业务部门对IT应用的需求，确保IT项目与业务目标紧密关联，产生实际价值。
IT投资和优先顺序：根据组织战略、业务需求和财务状况，制定IT投资计划，确定项目优先级，确保资金投向最具战略意义和高回报的IT项目。
原价基业咨询公司

IT治理体系框架
IT治理体系框架是确保IT与组织战略目标一致、实现全面风险管理以及合理利用IT资源的关键架构。该框架通常包括以下几个核心组成部分：

IT战略目标：明确IT在支持组织战略、提升业务绩效、驱动创新等方面的长期目标，确保IT战略与组织整体战略保持一致。
IT治理组织：设置负责IT治理的组织结构，包括治理委员会、IT部门、业务部门及相关角色的职责分工，确保IT决策的权威性、代表性与执行力。
IT治理机制：建立包括决策机制、沟通机制、监督机制、风险管理机制在内的治理体系，确保IT决策过程的透明、公正与高效。
IT治理域：根据IT活动的不同领域（如信息安全、数据管理、项目管理、供应商管理等），设立专门的治理子领域，制定针对性的政策、流程与标准。
IT治理标准：制定适用于组织的IT治理规范、最佳实践和行业标准，确保IT活动遵循统一的规则和流程，提升IT治理的规范性和一致性。
IT绩效目标：设定IT绩效指标和评价体系，用于衡量IT活动的效果、效率与合规性，驱动IT持续改进与优化。
劣质机遇标记
IT治理核心内容
IT治理的本质集中于两个核心目标：

实现IT的业务价值：确保信息技术的开发与利用能够有效支持组织业务目标的实现，通过IT与业务战略的紧密匹配，确保IT投资与资源能够转化为实实在在的业务成果。

IT风险的规避：在组织内部建立起完善的职责体系，对IT风险进行识别、评估、监控和控制，以防止或减轻因IT问题引发的潜在损失，保障组织运营的连续性与稳定性。

实现这两项目标需要以下核心内容的支持，并对其绩效进行有效度量：

组织职责：明确界定IT治理各参与方（如董事会、高级管理层、IT部门、业务部门、审计部门等）的职责与权力边界，确保各方在IT决策、执行、监督等方面各司其职，协同工作。
战略匹配：确保IT战略与业务战略、市场环境、技术趋势等保持高度一致，通过战略规划、需求管理、项目选择等过程，确保IT投资与项目与组织整体战略目标相吻合。
资源管理：合理配置与优化IT资源（包括人力、财力、技术、信息等），确保资源的有效利用，同时通过预算管理、采购管理、资产管理等手段，控制IT成本，提升投资回报。
价值交付：建立以价值为导向的IT项目管理与服务交付体系，通过项目管理、服务管理、质量管理等手段，确保IT项目按时、按质完成，提升IT服务满意度，实现IT价值的最大化。
风险管理：建立健全IT风险识别、评估、应对与监控机制，涵盖信息安全、合规性、技术风险、业务连续性等多个领域，通过风险偏好设定、风险容忍度管理、风险缓解措施等，降低风险发生的可能性与影响。
绩效管理：建立IT绩效指标体系，包括IT项目成功率、IT服务满意度、IT投资回报率、IT风险控制效果等，定期进行绩效评估与报告，为IT治理决策提供依据，驱动IT绩效的持续改进。
只配管交险，笑

IT治理机制经验
构建IT治理机制应遵循以下原则：

简单：机制设计应清晰明了，易于理解与执行，明确界定特定个人和团体在IT治理过程中的责任与目标，避免过于复杂导致执行困难或责任不清。
透明：有效的机制应依赖于正式、公开的程序，确保治理决策过程对所有相关人员（包括受影响者与挑战者）透明，便于理解和接受，增强决策的公信力与接受度。
适合：机制应鼓励处于最佳决策位置的个人或团体参与到特定决策中来，充分发挥其专业能力与经验，确保决策的合理性与有效性。这意味着要根据组织结构、业务特点、技术环境等因素，设计适应组织实际情况的IT治理机制，避免一刀切或过度标准化。
1.3 IT治理任务
3.1.3 IT治理任务

开展IT治理活动的主要任务包括全局统筹、价值导向、机制保障、创新发展和文化助推，旨在确保IT治理的有效性和影响力，支持组织战略目标的实现。

(1) 全局统筹

目标范围：明确IT治理覆盖的业务领域、信息系统、数据资源等范围，确保治理活动全面覆盖组织IT活动。
技术环境：了解并分析当前及未来的技术趋势、标准、法规等外部环境因素，为IT治理决策提供依据。
发展趋势：预见IT技术、业务模式、市场需求等发展趋势，确保IT治理策略与未来发展方向相契合。
人员责权利：明确IT治理涉及的各角色（如董事会、高级管理层、IT部门、业务部门等）的职责、权力和利益，确保权责分明、协同高效。
(2) 价值导向

实现有效收益：确保IT投资与项目能够带来明显的经济效益、社会效益或战略价值，提升组织竞争力。
预期收益清晰理解：通过量化指标、案例分析等方式，使组织内外部利益相关者对IT治理预期收益有清晰认知。
实现收益的问责机制：建立IT项目收益实现情况的跟踪、评估与问责机制，确保收益目标得到落实。
(3) 机制保障

IT需求与实现的协调发展：确保IT需求管理、项目管理、资源配置等机制有效运作，确保IT项目与业务需求紧密对接，实现供需平衡。
IT安全与风险管理：建立健全信息安全管理体系、风险识别与评估机制、应急预案与响应流程，有效防范、识别、管理与处置各类IT风险。
(4) 创新发展

业务领域拓展：利用IT创新推动产品、服务、商业模式等创新，开拓新的业务增长点。
管理水平提升：借助IT技术优化管理流程、提升决策效率、强化内部控制，提升组织整体管理水平。
改进质量和绩效：通过IT应用提升产品质量、服务质量和运营绩效，降低成本、提高客户满意度。
战略目标灵活性与适应性：确保IT治理能够灵活应对市场变化、技术革新、竞争态势等外部环境变化，保持对战略目标的持续支持。
(5) 文化助推

沟通IT治理目标、策略和职责：通过内部培训、外部宣传等方式，向全体员工及利益相关者传达IT治理的重要性、目标、策略和各角色职责。
营造积极向上、沟通包容的组织文化：倡导开放、合作、创新、学习的文化氛围，鼓励跨部门、跨层级的沟通与协作，支持员工积极参与IT治理活动，形成全员参与、共担责任的IT治理文化。
1.4IT治理方法与标准♥♥♥♥♥
IT治理通用要求-GB/T34960.1《信息技术服务治理第1部分:通用要求》与IT治理实施指南-GB/T34960.2《信息技术服务治理第2部分:实施指南》是中国国家标准，分别规定了IT治理的模型与框架、原则、通用要求以及实施的具体指南。以下是两份标准的主要内容概览：

IT治理通用要求（GB/T34960.1）

(1) 适用范围与用途

建立组织的IT治理体系：为组织提供构建IT治理体系的参考依据，包括治理结构、角色分工、流程规范等。
实施自我评价：提供IT治理自我评估的标准和方法，帮助组织评估自身IT治理的成熟度与效果。
信息技术审计：为审计人员进行信息技术审计提供标准依据，确保审计工作的规范性和有效性。
研发、选择与评价IT治理相关软件或解决方案：为软件开发商、选型者、评价者提供评判IT治理工具或解决方案的标准。
第三方对组织的IT治理能力评价：为第三方评估机构评价组织IT治理能力提供统一标准。
(2) IT治理模型

内外部要求：规定IT治理应遵循的法律法规、行业标准、最佳实践等外部要求，以及组织内部的业务需求、战略目标等内部要求。
治理主体：明确IT治理涉及的各利益相关方，如董事会、高级管理层、IT部门、业务部门、审计部门等，以及各自的职责与权力。
治理方法：介绍IT治理常用的管理方法与工具，如风险管理、绩效管理、决策支持等。
信息技术及其应用的管理体系：定义涵盖信息技术规划、建设、运行、维护、改进等全生命周期的管理体系结构与要求。
(3) IT治理框架

信息技术顶层设计：对组织信息技术的整体布局、架构设计、技术路线等进行高层次规划与决策。
管理体系：构建包括战略管理、需求管理、项目管理、服务管理、风险管理等在内的IT管理体系，确保IT活动有序、高效进行。
资源治理：对IT资源（如硬件、软件、数据、人力资源等）进行有效管理，包括资源规划、配置、使用、维护、退役等全生命周期管理。
IT治理实施指南（GB/T34960.2）

(1) 适用范围与用途

建立IT治理实施框架：指导组织制定详细的IT治理实施计划，明确实施路径、方法、工具与时间节点。
组织内部IT治理实施：为组织内部执行IT治理提供具体的操作指南，包括流程设计、职责分配、工具选用等。
IT治理相关软件或解决方案实施落地：为软件或解决方案供应商提供实施IT治理产品的指导，确保产品与组织IT治理需求相符。
第三方开展IT治理评价指导：为第三方评价机构提供评价组织IT治理实施效果的方法与标准。
(2) IT治理实施框架

实施环境：分析组织IT治理实施的内外部环境因素，如组织文化、技术基础、业务需求、市场环境等。
实施过程：规定IT治理实施的阶段划分、任务分解、关键活动、里程碑设置等，形成标准化的实施流程。
治理域：细化实施指南中涉及的各个治理领域，如信息技术顶层设计、管理体系、资源治理等，提供具体的操作指引。
2.IT审计
2.1 IT审计基础♥♥♥♥♥
IT审计定义：
IT审计是依照国家或国际标准（如GB/T 34690.4），对组织的信息系统、相关IT活动及其内部控制和流程进行系统性检查、客观评价，并出具审计意见的专业活动。其目的是通过对IT系统的全面审视，了解组织IT系统与IT活动的现状，评估组织是否有效地实现了其IT目标，识别和评估相关IT风险，提出改进意见和建议，以促进组织IT目标的实现。

IT审计目的：
组织的IT目标主要包括：

IT战略与业务战略的一致性：确保IT战略规划、投资决策、项目实施等与组织的业务战略、市场环境、发展目标紧密契合，支持业务创新和增长。
信息资产的安全与数据完整性：保护组织的信息资产（如硬件、软件、数据、知识产权等）不受非法访问、破坏、泄露等风险，确保数据的完整、可靠、有效。
信息系统安全性、可靠性和有效性：提升信息系统的技术安全水平、运行稳定性和服务质量，满足业务需求，提高业务效率。
合规性：确保信息系统及其应用符合国家法律法规、行业标准、内部规章制度等要求，避免违规操作带来的法律风险和声誉损害。
IT审计范围：
审计范围应根据审计目的和审计成本进行合理确定，通常包括：

组织范围：确定需要审计的部门、子公司或业务单元。
物理位置：明确需要审计的现场、数据中心、远程办公地点等物理场所。
信息系统相关逻辑边界：界定审计所涉及的信息系统、网络、数据库、应用系统、用户权限等逻辑边界。
IT审计人员要求：
审计人员应具备以下素质和能力：

职业道德：遵守审计职业道德规范，保持独立、客观、公正。
知识与技能：掌握IT审计、信息系统管理、信息安全、审计技术等相关知识，具备较强的分析判断、沟通协调、报告撰写等技能。
资格与经验：具备相应的审计资格证书（如CISA、CISSP等），具有丰富的IT审计或相关工作经验。
专业胜任能力：具备独立完成审计任务的专业能力，能够应对复杂IT环境下的审计挑战。
利用外部专家服务：在必要时，能够有效利用外部专家（如IT安全专家、法律顾问、行业顾问等）提供的专业服务，增强审计工作的深度和广度。
IT审计风险：

固有风险：源自IT活动本身的风险，审计人员只能评估其存在，无法直接控制或影响。例如，技术缺陷、外部攻击、自然灾害等。
控制风险：与组织内部控制制度执行的有效性相关，审计人员只能评估其风险水平，无法对其进行控制或影响。例如，制度不完善、执行不到位、人员素质不足等。
检查风险：通过预定的审计程序未能发现重大错误或风险，可能源于审计方法不当、样本选取不合理、审计人员专业能力不足等。
总体审计风险：针对单个控制目标所产生的各类审计风险的总和，反映了审计工作对特定控制目标的覆盖程度和审计结果的可靠性。
2.2 审计方法与技术♥♥♥♥♥
IT审计常用方法
IT审计方法是审计人员在实施审计任务时采用的各种手段和技术，以确保审计工作的全面、准确和有效。以下列举了一些常用的IT审计方法：

1. 访谈法
通过与被审计单位的管理人员、IT人员、业务用户等进行面对面或远程访谈，获取关于信息系统、IT流程、控制措施、问题和挑战的第一手信息。访谈法有助于理解业务流程、识别关键控制点、揭示潜在风险和问题，以及评估相关人员对IT控制的认知和执行情况。可分为结构型访谈和非结构型访谈

2. 调查法
通过发放调查问卷、进行问卷调查、收集书面材料等方式，系统地收集大量关于IT环境、系统功能、控制措施、用户满意度等定量或定性数据。调查法有利于获取广泛且结构化的信息，便于统计分析和对比评估可分为审阅法、核对法、复算法和分析法。

3. 检查法
查阅和审查相关的文档、记录、报告、系统日志、配置文件、政策手册等书面材料，以核实IT系统的设置、操作、维护是否符合规定，控制措施是否得到有效执行，以及是否存在异常或违规现象。检查法是验证事实、确认合规性的重要手段。

4. 观察法
现场观察IT系统的运行、操作人员的实际操作、系统环境的物理安全措施等，直接了解IT系统的实际运行状况和控制措施的执行情况。观察法有助于发现文档记录可能未反映的实际情况，以及操作过程中的潜在风险和非正规做法。

5. 测试法
通过模拟正常业务操作、故意引入错误数据、执行异常流程等方式，对IT系统的功能、控制措施、应急响应能力等进行实际验证。主要包括黑盒法和白盒法。

6. 程序代码检查法
对软件源代码进行审查，查找可能存在的编程错误、安全漏洞、逻辑缺陷、不符合规范或标准的地方。代码检查可以通过人工审查、自动化工具（如静态代码分析器）或二者结合的方式进行。代码审计对于确保软件质量和安全性至关重要，特别是对于处理敏感数据或关键业务流程的系统。

IT审计技术
IT审计技术是审计人员在实施IT审计过程中所采用的专业工具、方法和系统，以提高审计效率、精度和覆盖面。以下是一些常用的IT审计技术：

风险评估技术

风险识别技术：用于识别可能影响组织IT目标实现的不确定性因素，包括：

德尔菲法：通过专家匿名投票和意见汇总，达成对风险因素的共识。
头脑风暴法：通过集体讨论、自由联想，激发创新思维，发现潜在风险。
检查表法：使用预设的问题清单，系统性地检查风险来源。
SWOT技术：分析组织的内部优势、劣势、外部机会和威胁，识别风险与机遇。
图解技术：如鱼骨图、因果图、流程图等，直观展示风险因素及其相互关系。
风险分析技术：对识别的风险进行深入分析，评估其影响程度和发生概率，包括：

定性分析：基于专家判断、经验法则、案例分析等，对风险进行非数值化的描述和评估。
定量分析：通过数学模型、统计方法、仿真技术等，对风险进行数值化计算和预测。
风险评价技术：在风险分析基础上，对风险等级进行划分，确定关键风险因素，包括：

单因素风险评价：对单一风险因素单独评估其风险等级。
总体风险评价：综合考虑所有风险因素，评价整体风险水平，确定风险承受能力和应对策略。
风险应对技术：针对特定风险，制定相应的技术方案，以降低风险影响或恢复系统正常运行，包括：

云计算：利用云服务商提供的弹性和冗余资源，实现故障隔离、数据备份和快速恢复。
冗余链路与资源：设置备用网络连接和计算资源，确保系统在主链路或资源故障时仍能运行。
系统弹性伸缩：根据负载变化自动调整资源分配，应对突发流量或业务波动。
两地三中心灾备：在不同地理位置设立多个数据中心，实现数据备份、业务切换和灾难恢复。
业务熔断限流：当系统压力过大时，暂时停止非关键服务或限制请求速率，保护系统稳定。
审计抽样技术

审计抽样是在总体数据量庞大、全面审计成本过高时，从总体中选取一定数量的样本进行测试，根据样本测试结果推断总体特征。审计抽样技术包括统计抽样、非统计抽样、属性抽样、变量抽样等，旨在以较小的成本获取对总体情况的合理估计。

计算机辅助审计技术

计算机辅助审计技术（CAAT）是指利用计算机软件和硬件工具，辅助审计人员进行数据采集、分析、测试、报告等工作。CAAT不仅适用于电算化系统的审计，也可应用于手工系统的审计。常见的CAAT包括审计软件、数据分析工具、数据挖掘技术、电子证据采集工具等。

大数据审计技术

大数据审计是基于大数据理念和技术，对海量、多源、异构的审计数据进行深度挖掘、关联分析和可视化展现，以提升审计发现问题、评价判断、宏观分析的能力。大数据审计技术主要包括：

大数据智能分析技术：利用人工智能、机器学习等技术，自动识别异常、预测风险、提供决策支持。
大数据可视化分析技术：通过数据可视化工具，将复杂数据转化为直观图表，便于审计人员快速理解数据关系、发现模式和异常。
大数据多数据源综合分析技术：整合来自不同系统、部门、业务的数据，进行跨层级、跨系统、跨部门的综合分析，揭示深层次问题和风险。
IT审计证据
定义
IT审计证据是指在IT审计过程中，由审计机构和审计人员获取的，用于验证被审计实体（如组织、信息系统、业务流程等）是否遵循既定标准、政策、法规或目标，从而支持审计结论形成的各类证明材料。这些证据可以是纸质文档、电子记录、口头陈述、实物证据、系统日志、数据文件、测试结果等多种形式。

重要性
审计证据在IT审计工作中扮演着至关重要的角色：

审计意见的支柱：审计人员基于收集到的证据来评估被审计对象的合规性、有效性和效率，进而形成审计意见。没有充分、可靠的证据支持，审计意见就缺乏说服力和公信力。
审计结论的基础：审计人员必须基于充分、相关且适当的审计证据，对被审计对象的情况进行分析和判断，从而得出客观、公正的审计结论。审计证据的质量直接影响审计结论的准确性。
经济责任依据：审计证据可以作为解除或追究被审计人经济责任的依据。如果审计发现存在违规行为或管理缺陷，审计证据将成为判定责任归属、确定损失金额、提出整改建议的重要依据。
质量控制关键：审计证据的质量直接影响审计工作的整体质量。审计人员需要确保证据的收集、分析、记录和保存过程符合审计准则和职业规范，以保证审计工作的公正性和可靠性。
审计证据的特性

审计证据应具备以下特性，以确保其能够有效支持审计结论：

充分性：审计证据的数量应足以支持审计结论，避免因证据不足导致审计结论的片面或不完整。充分性并不意味着越多越好，而是要确保证据能够覆盖审计目标涉及的所有重要方面，不留明显空白或盲点。
客观性：审计证据应是独立于审计人员主观判断的客观事实，不受个人偏见、利益冲突或其他非客观因素的影响。客观性要求审计证据来源于可靠的源头，且经过恰当的核实和验证。
相关性：审计证据应与审计目标、审计程序和审计结论直接相关，能够直接或间接证明被审计对象是否符合审计标准或目标。无关的证据即使再充分、客观，也不能有效支持审计结论。
可靠性：审计证据应是真实、准确、完整的，能够反映被审计对象的真实状况。可靠性要求审计证据来源可靠、记录准确、保存完好，不易被篡改或伪造。
合法性：审计证据的获取、使用和处理应符合法律法规、审计准则以及职业道德规范的要求，不得侵犯他人合法权益，不得违反保密义务。合法性是审计证据合法有效、具有法律效力的前提。
IT审计底稿
定义与作用
IT审计底稿是指审计人员在进行IT审计过程中，对制定的审计计划、实施的审计程序、获取的相关审计证据，以及得出的审计结论所做的详细记录。它是审计证据的集合载体，完整记录了审计工作的全过程，包括审计思路、方法、步骤、结果和结论等信息。审计工作底稿是审计工作质量控制的重要手段，为审计报告的编写、审计意见的形成、审计质量的评价以及后续审计工作的开展提供了坚实的基础。

分类
审计工作底稿通常划分为以下几类：

综合类工作底稿：记录审计总体情况、审计计划、审计策略、审计风险评估、审计范围与对象、重要性水平设定等综合性信息。
业务类工作底稿：针对具体审计项目的详细工作记录，包括审计程序执行情况、审计证据收集与分析、审计发现、审计建议、审计结论等内容。
备查类工作底稿：与审计项目相关的背景资料、法规依据、参考资料、往来函件、会议记录等辅助性文档。
三级复核制度
审计工作底稿实行三级复核制度，旨在确保审计质量，降低审计风险。该制度包括：

审计机构负责人：对审计工作底稿进行最终复核，确保审计结论的准确性和审计报告的合规性。
部门负责人：对业务类工作底稿进行详细复核，核实审计程序的适当性、审计证据的充分性、审计发现的准确性和审计建议的合理性。
项目负责人（或项目经理）：对审计工作底稿进行初步复核，检查审计计划的执行情况、审计程序的执行细节、审计证据的收集与整理、审计结论的初步形成等。
查阅权限与保密
审计工作底稿在以下情况下可以被查阅，且不属于泄密情形：

司法机关查阅：法院、检察院及其他国家部门依法查阅，并按规定办理了必要的手续。
行业监管与自律检查：审计协会或其委派单位对审计机构执业情况进行检查时，有权查阅审计工作底稿。
审计档案管理
审计工作底稿在按照一定的标准整理、归档后，应交由档案管理部门进行专业化管理。档案管理部门需确保审计档案的安全与完整性

2.3 审计流程♥♥♥♥
审计流程是指审计人员在具体审计过程中采取的行动和步骤。
审计流程的作用:①有效地指导审计工作;②有利于提高审计工作效率;③有利于保证审计项目 质量;④有利于规范审计工作。
广义的审计流程一般分为审计准备、审计实施、审计终结及后续审计四个阶段。
(1)审计准备阶段
准备阶段工作一 般包括: ①明确审计目的及任务; ② 组建审计项目组:③搜集相关信息;④编制审计计划等。
(2)审计实施
①深入调查并调整审计计划;②了解并初步评估IT内部控制;③进行符合性测试;④进行实质性测试
(3)审计终结
终结阶段的工作一般包括:①整理与复核审计工作底稿;②整理审计证据;③评价相关IT控制目标的实现;④判断并报告审计发现;⑤沟通审计结果;⑥出具审计报告;⑦归档管理等。
(3)后续审计
后续审计是在审计报告发出后的一定时间内，审计人员为检查被审计单位对审计问题和建议是否己经采取了适当的纠正措施，并取得于预期效果的跟踪审计。

2.4审计内容
IT审计业务和服务通常分为IT内部控制审计和IT专项审计
IT内部控制审计主要包括组织层面IT控制审计、IT一般控制审计及应用控制审计。
IT专项审计主要是指根据当前面临的特殊风险或者需求开展的IT审计，审计范围为IT综合审计的某一个或几个部。
审计内容包括：
IT内部控制审计

IT战略审计：审查IT战略与组织整体战略的契合度、战略制定过程的合理性、战略实施的进展情况等。
组织与架构审计：评估IT组织结构、职责分工、决策机制的合理性，以及IT架构的适应性、稳定性、安全性等。
业务连续性审计：检查业务连续性计划的完备性、应急响应机制的有效性、灾备系统的健壮性等。
风险管理审计：审查IT风险识别、评估、应对、监控的全过程，以及风险管理文化的建立和执行情况。
外包管理审计：评估外包决策的合理性、外包合同的合规性、外包服务商的选择与管理、外包风险的管控等。
网络与信息安全审计：检查网络安全策略、防火墙设置、访问控制、数据加密、安全事件响应等方面的合规性与有效性。
监督管理审计：审查IT审计、内部监督、外部审计等机制的建立与执行情况，以及对审计发现的整改落实情况。
IT专项审计

信息系统生命周期审计：对信息系统从规划、设计、开发、测试、运行到维护的全生命周期进行审计，确保各阶段符合IT架构和战略要求。
信息系统开发过程审计：对信息系统开发过程中的需求分析、系统设计、编码实现、系统测试、上线部署等环节进行监督和评估。
信息系统运行维护审计：关注IT运维能力的建设、运维流程的策划与执行、运维监控与改进机制的建立与执行等情况。
网络与信息安全专项审计：重点审查网络与信息安全相关的流程、制度、技术措施的执行情况，以及信息安全事件的应对与处置能力。
信息系统项目审计：对信息系统项目的立项决策、项目管理、成本控制、进度管理、质量管理、风险管理等进行评价。
数据审计：通过定期分析、验证、讨论、改进数据安全管理相关的政策、标准和活动，确保数据的完整、准确、安全和合规
————————————————

                            版权声明：本文为博主原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接和本声明。
                        
原文链接：https://blog.youkuaiyun.com/Luck_gun/article/details/137429970