信息系统治理

信息系统治理（IT治理）是组织进行信息技术及其应用活动的重要管控手段，也是组织治理的重要组成部分。尤其在新时代，数字化发展成为焦点，IT治理在组织数字化转型和建设中扮演着关键角色，通过统筹、评估、指导和监督，确保组织有效运作。

一、IT治理

新时代的信息技术融合深入各领域，是组织现代治理体系的必要部分。如何从信息系统中获取价值，融合信息技术战略与组织战略，制定数字化能力规划，降低IT风险，采用国内外最佳实践，加速数字化发展等问题是IT治理关注的核心。

1、IT治理基础

1）IT治理的驱动因素

IT治理是组织有效管理信息技术和数据资源，平衡信息化和数字化转型风险，以实现战略目标的过程。

IT治理的推动因素包括：

• 需要总体规划信息系统，但存在问题，如分散的信息系统，缺乏共享，以及数据集成问题。

• IT资产是组织资产的一部分，IT治理是不可分割的一部分。 IT治理旨在影响组织行为，使其与组织期望的一致。

• 高质量的IT治理能确保IT投资的有效性，提供支持组织高质量发展的基础。

IT治理的内涵

IT治理主要体现在以下方面：

• 由组织治理层或高级管理层负责，从组织全局的高度对信息化和数字化转型进行制度安排。

• 强调数字目标与组织战略的一致性，为组织战略提供技术和控制支持。

• 保护利益相关者权益，管理风险，合理利用IT资源，平衡成本和收益，确保信息系统有效满足需求，提高组织竞争力。

• 涉及多个方面，构建完善的IT治理架构，以实现数字战略和组织目标。

在数字化时代，IT治理至关重要，它不仅关系到组织的稳定运作，还直接影响了组织的创新和竞争力。因此，组织高层管理者需要投入更多精力来确保IT治理的有效性。只有通过高质量的IT治理，组织才能实现数字化转型，适应不断变化的环境，实现战略目标。

2）IT治理的目标价值组织治理驱动和调整IT治理，将其作为战略计划的重要组成部分，是组织治理的重要功能。IT治理帮助组织建立以组织战略为导向，以实现IT与业务匹配为核心，以价值交付为目标，以绩效管理为手段的IT管理体制，使IT团队在整个组织中发挥合适的作用。IT治理的任务包括明确IT决策权和责任，鼓励期望行为，协调战略、业务和IT目标，以最大化IT的价值。主要目标涵盖与业务目标一致、有效利用信息和数据资源、风险管理。

(1) 与业务目标一致：IT治理应该从组织目标和数字战略中提取信息和数据需求以建立总体的IT治理框架，确保信息技术开发与不断变化的业务目标相一致。

(2) 有效利用信息和数据资源：当前存在信息系统工程超期、未满足客户需求、IT平台不支持业务应用、数据开发利用效率低、信息技术与业务融合不够深入等问题。通过IT治理，可以有效管理信息和数据资源，支持决策，确保投资回报。

(3) 风险管理：随着组织对信息网络、信息系统和数据资源的依赖增加，新的风险不断涌现。IT治理重视风险管理，通过保护信息和数据资源，监控和事件处理，强调对关键信息和数据资源的管理来管理风险。

3）IT治理的管理层次

IT治理的管理层次包括最高管理层、执行管理层和业务与服务执行层。最高管理层的职责包括确保IT战略与业务战略一致、交付IT价值、平衡投资、指导信息和数据资源分配。执行管理层负责制定IT目标、分析技术机遇和风险、管理关键过程和核心竞争力、衡量绩效、管理风险。业务及服务执行层提供信息和数据服务、维护IT基础设施、响应IT需求。

2、IT治理体系

IT治理体系包括IT定位、IT治理架构、IT治理内容、IT治理流程、IT治理效果等元素，确保IT在组织中的有效定位和有效治理。这包括确保IT应用与业务一致、满足组织的期望、制定IT投资、管理风险和维护IT标准。

（IT治理体系的构成）

1）IT治理关键决策

有效IT治理需关注五个关键决策：IT原则、IT架构、IT基础设施、业务需求、IT投资和优先顺序。IT原则指导架构，架构决定基础设施，基础设施影响应用，投资和优先顺序需受原则、架构、基础设施和需求引导。IT治理需要明确谁提供这些决策的输入和决策权。

（关键的IT治理决策）

IT 决策过程中，需要关注各类关键问题，如下表所示：

2）IT治理体系框架

IT治理体系框架是组织实施IT治理的关键保障。缺乏有效的IT治理体系框架会导致治理过程无序。该框架以组织战略目标为导向，连接组织战略和IT，实现全面的IT风险管理和资源合理利用。IT治理体系框架包括IT战略目标、IT治理组织、IT治理机制、IT治理域、IT治理标准和IT绩效目标等，形成完整的运行闭环。

（IT治理体系框架）

(1) IT战略目标：这些目标关注IT价值，确保IT投资实现最大回报，促进IT与业务协同、决策、资源利用和风险控制。

(2) IT治理组织：明确组织内不同主体的治理范围、权责和关系，包括IT治理机构的设立和权限分配。治理机构的强弱直接影响治理效率和效能。

(3) IT治理机制：包括决策、执行、风险控制和协调机制。有效的机制确保决策与组织目标匹配、治理高效运作、风险降低、IT价值最大化。

(4) IT治理域：在治理规则下整合和配置IT资源以实现IT目标的行动。这包括IT信息系统的计划、构建、运维和监控。

(5) IT治理标准：涵盖基本规范、实施参照、评价体系和审计方法，作为IT治理的最佳实践和依据。

(6) IT绩效目标：关注IT价值实现，评估IT规划和构建是否满足业务需求，以及工期、成本和质量是否达标。

3）IT治理核心内容

IT治理的核心在于实现IT的业务价值和规避风险。前者通过确保IT与业务战略的协调来实现，后者则依赖于在组织内建立相关职责。这两者都需要得到资源的支持，并需要对其绩效进行有效度量。IT治理的核心内容包括六个方面：组织职责、战略匹配、资源管理、价值交付、风险管理和绩效管理。如下图所示：

（IT治理核心内容）

(1) 组织职责：明确组织内部IT决策和管理的责任分配，确保信息部门和业务部门的关系和责任划分清晰，从信息系统的所有权到建设、管理和监督都有明确责任。

(2) 战略匹配：重点确保组织的IT建设与战略一致，即所谓的“战略匹配”，这对IT为组织创造业务价值至关重要。

(3) 资源管理：资源管理的主要目标是确保用户充分了解和有效利用组织的应用系统和基础设施，优化IT投资和资源分配，包括人员、应用系统、信息和基础设施，以满足组织的业务需求。

(4) 价值交付：通过全生命周期管理确保IT能够按照组织战略实现期望的业务价值，包括项目成本的控制和实现IT业务价值，确保项目按预算、时间、质量完成。

(5) 风险管理：风险管理至关重要，用于确保IT资产的安全、灾难恢复、信息资源的安全和个人隐私的保护，以维护业务价值。

(6) 绩效管理：绩效管理追踪和监控IT战略、项目实施、信息资源使用、IT服务提供和业务流程性能。工具如平衡计分卡可将组织战略目标转化为具体的部门或团队活动目标，确保实现组织战略目标。

4）IT治理机制经验

建立IT治理机制的原则包括简单、透明、适合，要明确定义责任和目标、正式程序、鼓励最佳位置的人制定决策。影响力高且具有挑战性的IT治理机制，如下表所示：

IT治理的经验教训包括：

1. IT指导委员会应吸纳有才干的业务经理，负责组织IT治理决策，并强调成本控制原则。

2. 谨慎管理组织的IT架构和业务架构，以降低业务成本。

3. 设计严格的架构例外处理流程，以最小化昂贵的例外情况并不断学习。

4. 建立集中化的IT团队，管理基础设施、架构和共享服务。

5. 制定流程以确保IT投资与业务需求相匹配，平衡中心和各运营部门或团队的需求。

6. 设计IT投资的集中协作和核准流程。

7. 制定简单的费用分摊和服务水平协议机制，明确分配IT开支。

这些实践有助于提高IT治理的有效性，加强成本控制，提升业务和IT协同工作。

3、IT治理任务

组织的IT治理活动定义为统筹、指导、监督和改进。这包括统筹IT战略和组织规划，指导IT管理实施，监督IT与业务的一致性，以及改进IT战略规划和数据治理。组织的IT治理任务主要集中在以下五个方面：

1. 全局统筹： 组织需要适应当前信息环境和未来发展趋势，确保利益相关者理解和接受IT战略。建立IT治理机构，明确责任，强调可持续发展，制订科学决策策略。

2. 价值导向： 建立IT投资的价值框架，确保在成本和风险可接受的范围内实现IT战略目标，并明确IT服务、资产和资源。

3. 机制保障： 建立满足疏漏互补、协同发展、监督改进和风险可控的机制，包括规范过程管理、审计IT完整性和合规性，制定IT治理制度。

4. 创新发展： 利用IT创新提升管理水平、改进绩效、降低成本，确保实现战略目标的灵活性。建立创新体系，支持技术进步、管理提升和业务模式变革。

5. 文化助推： 营造积极向上、沟通包容的组织文化，引导人员适应IT建设的变革，遵循道德和职业规范。要求管理层将文化建设作为职责的一部分，保障沟通和透明。

这些IT治理活动有助于确保IT与组织战略协同，价值导向，有效机制保障，创新发展和文化助推。

4、IT治理方法与标准

鉴于IT治理对组织战略目标的重要性，国内外各类机构不断研究和制定IT治理的最佳实践方法和标准。其中典型的有我国的信息技术服务标准库（ITSS）、信息和技术治理框架（COBIT）、以及国际标准（ISO/IEC 38500）等。

1）ITSS中的IT服务治理

我国IT治理标准化研究聚焦在IT治理范畴，提供了一种机制，将IT过程、IT资源、信息和组织战略目标连接起来。通过指导、实施、管理和评价等过程，确保IT支持并扩展组织的战略目标。在IT治理的目标和范围确定的情况下，IT治理关注决策体系、责任归属、管理流程以及内外部评估，通过相关框架体系规范和引导组织的IT治理，解答关于“做什么”、“如何做”、“怎么样”和“如何评价”的问题。

ITSS-IT治理标准化的逻辑关系图

1. IT治理通用要求（GB/T34960.1）： 该标准规定了IT治理的模型和框架，实施IT治理的原则，以及进行IT顶层设计、管理体系和资源治理的要求。这一标准可用于建立组织的IT治理体系，进行自我评估，进行信息技术审计，研发、选择和评价IT治理相关的软件或解决方案，以及由第三方对组织的IT治理能力进行评价。各级各类信息化主管部门可依据法律法规和部门规章的要求，使用该标准对所辖各类组织的IT治理提出要求，并进行评估、指导和监督。

该标准定义的IT治理模型包括内外部要求、治理主体、治理方法以及信息技术及其应用的管理体系。治理主体受到组织章程、监管职责、利益相关方期望、业务压力和要求的影响，建立评估、指导和监督的治理过程，并明确任务。治理主体通过信息技术战略和方针，指导管理者完善信息技术及其应用的管理体系，评估相关方案和规划，监督信息技术应用的绩效和合规性。组织结合治理原则和模型，在IT治理实施过程中进行自我监督、自我评估和审计工作，并持续改进。

GB/T34960.1IT 治理模型

这一标准所定义的IT治理框架涵盖了信息技术的顶层设计、管理体系和资源三大治理领域。每个治理领域都包含一系列治理要素，如下图所示：

GB/T349601T治理框架

• 顶层设计治理领域 包括信息技术的战略规划，以及支持战略目标的组织结构和技术架构。

• 管理体系治理领域 包括与信息技术相关的质量管理、项目管理、投资管理、服务管理、业务连续性管理、信息安全管理、风险管理、供应商管理、资产管理以及其他管理。

• 资源治理领域 包括信息技术基础设施、应用系统和数据等资源。

IT治理实施指南（GB/T 34960.2） 提供了IT治理通用要求的实施指导。它分析了实施IT治理的环境因素，规定了IT治理的实施框架、实施环境和实施过程，并明确了顶层设计治理、管理体系治理和资源治理的实施要求。

该标准适用于：

• 建立组织的IT治理实施框架，明确实施方法和过程。

• 在组织内部进行IT治理的实施。

• 指导第三方进行IT治理评估。

IT治理实施框架 包括治理的实施环境、实施过程和治理领域，如下图3-8所示：

• 实施环境 包括组织的内外部环境以及推动因素。

• 实施过程 规定了IT治理实施的方法，包括统筹和规划、构建和运行、监督和评估、改进和优化。

• 治理领域 定义了IT治理的对象，包括顶层设计、管理体系和资源。其中：

• 顶层设计包括战略规划、组织结构和技术架构。

• 管理体系包括质量管理、项目管理、投资管理、服务管理、业务连续性管理、信息安全管理、风险管理、供应商管理、资产管理以及其他管理。

• 资源包括信息技术基础设施、应用系统和数据等资源。

组织可以通过分析实施环境，在指导下按照实施过程，针对治理领域展开IT治理实施。

GB/T34960.2T治理实施框架

2）信息和技术治理框架

COBIT是由成立于1969年的美国信息系统审计与控制协会（ISACA）设计和编制的一套面向整个组织的信息和技术治理及管理框架。COBIT框架明确区分了治理和管理，它们服务于不同的活动、需要不同的组织结构，并追求不同的目标：

• 治理 确保对利益相关方的需求、条件和选择方案进行评估，以确定全面均衡、达成共识的组织目标。治理通过确定优先等级和制定决策来设定方向，然后监控绩效与合规性。在治理中，主要考虑组织的全局目标。

• 管理 是指按照治理设定的方向计划、构建、运行和监控活动，以实现组织目标。管理通常由首席执行官领导的高级管理层来执行。管理主要关注实际操作和细节。

ISACA设计并编制了COBIT框架的核心文献，包括《框架:治理和管理目标》和《设计指南:信息和技术治理解决方案的设计》，供组织信息和技术治理、鉴证、风险和安全专业人员学习使用。

COBIT框架包括40个核心治理和管理目标，分为两大领域：

• 治理目标 包含在评估、指导和监控（EDM）领域，其中治理机构评估战略方案、指导高级管理层执行所选的战略方案并监督战略的实施。治理目标涉及组织的全局治理流程。

• 管理目标 分为四个领域：

1. 调整、规划和组织（APO） 针对IT的整体组织、战略和支持活动。

2. 内部构建、外部采购和实施（BAI） 针对IT解决方案的定义、采购和实施以及它们与业务流程的整合。

3. 交付、服务和支持（DSS） 针对IT服务的运营交付和支持，包括安全。

4. 监控评价和评估（MEA） 针对IT的性能监控及其与内部性能目标、内部控制目标和外部要求的一致程度。管理目标关注具体的管理流程，通常在高级和中级管理层的职责范围内。

COBIT框架的设计有助于组织实现信息和技术治理的有效实施，以支持组织的战略目标并确保符合法规合规性。

COBIT核心模型

为满足治理和管理目标，每个组织都需要建立、定制和维护多个组件构成的治理系统，如下所示：

• 流程： 描述了为实现特定目标而有序安排的实践和活动，生成支持整体IT相关目标的输出内容。

• 组织结构： 是主要的决策实体，承担治理和管理的关键职责。

• 原则、政策和程序： 将理想行为转化为日常管理实践的实用指南。

• 信息： 包括组织生成和使用的所有信息，COBIT关注运作治理系统所需的信息。

• 文化、道德和行为： 个人和组织的文化、道德和行为是治理和管理活动的成功要素。

• 人员、技能和胜任能力： 在做出正确决策、采取纠正行动和成功完成活动方面，人员、技能和胜任能力是不可或缺的。

• 服务、基础设施和应用程序： 这些包括提供IT处理治理系统所需的基础设施、技术和应用程序。

COBIT的设计指南描述了组织如何设计定制的IT治理解决方案，这对于创造价值至关重要。IT治理系统的设计需要考虑多个因素，如组织战略、目标、风险、IT问题、威胁、合规性要求、IT角色、采购模式、实施方法、技术采用战略、组织规模和未来因素。这些因素影响着治理系统的设计，为成功使用IT奠定了基础。

COBIT治理体系设计因素

组织进行治理系统设计时，应按照一系列流程进行，COBIT提供以下设计流程的建议：

1. 了解组织环境和战略。

2. 确定治理系统的初步范围。

3. 优化治理系统的范围。

4. 最终确定治理系统的设计。

5. 

6. COBIT治理系统设计工作流程
   

ISO/IEC在2008年发布了IT治理标准ISO/IEC 38500，这一标准标志着IT治理理论得到了统一，帮助组织内的个人和团体理解并接受他们在IT的供应和需求方面的责任。标准包括以下关键原则：

• 责任： 组织内的个人和团体需理解和接受他们在IT方面的责任，负有行动责任的人有权执行这些行动。

• 战略： IT需与组织的业务战略协调，满足当前和未来的需求。

• 收购： IT收购需基于明确和透明的决策，考虑利益、机会、成本和风险的平衡。

• 性能： IT需提供适合组织需求的服务和支持，确保服务质量和满足业务需求。

• 一致性： IT的使用需符合法律法规，政策和实践需有明确定义、实施和执行。

• 人的行为： IT团队的政策、实践和决策需尊重人的行为，包括满足当前和未来需求。

治理机构应通过评估、指导和监督这三个主要任务来管理IT：

1. 评估： 审查和判断当前和未来的IT使用，考虑外部和内部压力、业务需要等，随着情况的变化进行不断的评价。

2. 指导： 负责制定和执行战略和政策，鼓励组织中的良好治理文化。

3. 监督： 通过适当的测量系统来监测IT的表现，确保符合战略和外部义务。

这些标准和框架有助于组织实现有效的信息和技术治理，支持其战略目标并确保合规性。

---

二、IT审计

随着大数据、云计算、人工智能、移动互联网、物联网等新技术广泛应用，以及新商业、制造、运营模式的兴起，组织获快速发展，但也增加了IT风险。为有效控制风险，需进行信息系统治理、IT内控与管理审计，发挥监督作用，提升治理水平，实现目标。

1、IT审计基础

IT审计在组织内的IT目标实现和战略执行中发挥关键作用，与传统审计有所不同。传统审计重点关注会计报表的错误或遗漏对决策的潜在影响。而IT审计重点在IT风险，如财务损失、业务中断、客户信任丧失和经济制裁。

1. IT审计定义IT审计经过多年发展，各国机构提出不同定义，主要定义如下：

1. IT审计目的IT审计旨在审查和评价组织IT系统和活动，识别IT风险，促进IT目标实现。IT目标包括确保IT战略与业务战略一致、保护信息资产、提高信息系统安全和合规性。

2. IT审计范围审计范围需根据目的和成本确定，包括组织范围、物理位置和信息系统逻辑边界。审计内容如下：

在实际应用中，进行IT审计项目前，审计人员应了解组织和信息系统的情况，进行风险评估，明确主要IT风险。这包括与环境控制、系统以及数据相关的风险。然后，审计人员依据这些风险来确定关键控制措施和流程，结合审计项目的时间和审计资源来确定审计范围。

IT审计人员

根据GB/T 34690.4《信息技术服务治理第4部分:审计导则》，IT审计人员应具备职业道德、知识、技能、资格、经验、专业胜任能力，还可借助外部专家。要求如下：

IT审计风险

IT审计风险主要包括固有风险、控制风险、检查风险和总体审计风险。风险内容如下：

总体审计风险是单个控制目标产生的各种审计风险的综合。合理的审计计划应评估和管理审计风险，降低所检查领域的风险，例如采用适当工具，确保总体审计风险在可接受范围内，以达到预期的保障水平。

审计风险描述了审计人员在履行任务时可以接受的风险水平。审计人员可设定目标风险水平，并调整工作量，以满足最低总体审计风险要求。

2、审计方法与技术

IT审计依据与准则IT审计需要遵循相关法律法规、准则与标准。国际上常用的审计准则包括：

• 信息系统审计准则 (ISACA)。

• 内部控制整体框架，通称COSO。

• 萨班斯法案 (Sarbanes-Oxley Act，SOX)。

• 信息及相关技术控制目标 (Control Objectives for Information and Related Technology，COBIT)。

我国的IT审计相关法律法规、准则与标准如下：

IT审计常用方法为完成IT审计任务，需采用合适的审计方法。常用审计方法包括：

• 访谈法

• 调查法

• 检查法

• 观察法

• 测试法

• 程序代码检查法

这些方法在IT审计工作中发挥重要作用。

IT审计技术

IT审计中使用的技术涵盖风险评估、审计抽样、计算机辅助审计以及大数据审计等方面。

(1) 风险评估技术

IT风险评估技术包括：

• 风险识别技术：用以识别可能影响一个或多个目标的不确定性，包括德尔菲法、头脑风暴法、检查表法、SWOT技术及图解技术等。

• 风险分析技术：对风险影响和后果进行评价和估量，包括定性分析和定量分析。

• 风险评价技术：基于风险分析，通过指标和标准，对风险程度进行划分，以揭示影响成败的关键风险因素，包括单因素风险评价和总体风险评价。

• 风险应对技术：为特定风险制定应对技术方案，包括云计算、冗余链路、冗余资源、系统弹性伸缩、两地三中心灾备、业务熔断限流等。

(2) 审计抽样技术

审计抽样是从审计对象总体中选取一定数量的样本进行测试，根据测试结果推断审计对象总体特征的方法。这适用于不允许对全部交易或事件进行全面审计的情况。审计抽样方法包括在下表中列出的方法。

(3) 计算机辅助审计技术

计算机辅助审计技术 (CAAT) 使用计算机作为工具，执行和完成某些审计程序和任务，用于审计过程和审计管理活动。CAAT可应用于手工系统审计以及电算化系统审计，帮助审计人员收集信息、访问和分析数据，以报告审计发现。

(4) 大数据审计技术

大数据审计使用大数据技术方法和工具，利用巨大、多源、多格式的数据进行深入挖掘和分析，增强审计发现问题、评价判断和宏观分析的能力。大数据审计技术包括大数据智能分析、大数据可视化分析和大数据多数据源综合分析。

这些技术在IT审计中起到关键作用，提高审计的有效性和效率。

IT审计证据

审计证据是指审计机构和审计人员获取的证明材料，用于确定所审计实体或数据是否符合既定标准或目标，以形成审计结论。审计证据是审计意见的支持，审计人员需基于足够、相关和适当的审计证据提供合理结论。此外，审计证据可作为解除或追究被审计人的经济责任依据，也是控制审计质量的关键。审计证据的特性如表3-11所示。

电子证据是信息环境下常见的一种证据类型，以电子、数据、磁性或类似形式存在，能证明事件事实的真实性。电子证据与传统证据有显著区别，涉及高要求的技术规范，从收集、提取、保存到出示、审查、判断和认证等环节都有专门规定。解决电子证据法律地位问题需要通过法律手段，赋予其独立地位，修改法律或出台证据法典明确电子证据法律地位。

为将分散、个别、无系统的审计证据整理成有力证据，审计人员需分类、分析、整理这些证据。然后，对各种审计证据进行合理归纳，从而形成恰当的综合审计结论。评估审计证据时，要考虑证据提供者的独立性、提供者的资质、证据的客观性、时效性、与审计目标的相关性、说服力和充分性。审计人员还需注意审计证据的经济性，遵循成本效益原则，确保充分性。

IT审计底稿

审计工作底稿记录了审计人员的工作，包括审计计划、程序、证据和结论。底稿是审计证据的载体，是审计人员在审计过程中的工作记录。它对于形成审计结论、评价审计人员以及控制审计质量都至关重要，并可供将来参考备查。

审计工作底稿通常分为综合、业务和备查三类，详见表3-12。

IT审计证据与工作底稿

审计工作底稿是审计人员在审计过程中形成的记录资料，应满足内容和形式两方面的要求。

内容要求： 底稿内容应丰富详实，突出关键信息，表达简明扼要，结论清晰明了。

形式要求： 底稿格式规范，包括必要的要素和一致的标识，记录应清晰易读。

通常，审计机构可以根据其规模和业务范围实施三级复核制度。这意味着负责人、部门领导和项目负责人（或项目经理）依照规定的程序和要点对底稿进行逐级复核。这一制度有助于提高审计工作质量和加强质量控制。

为维护机构和相关方的利益，审计机构需要建立底稿保密制度，确保商业机密的保密性。然而，在下列情况下查阅底稿不属于泄密行为：

1. 法院、检察院和其他政府部门合法查阅，并按规定办理手续。

2. 审计协会或其指派的单位对审计机构执业情况进行检查。

审计底稿归入审计档案后，应由档案管理部门管理，确保档案的安全和完整。

3、审计流程

审计流程是审计人员在执行审计时采取的一系列行动和步骤。科学和规范的审计流程不仅是分配审计工作的依据，还是确保审计工作质量和效率的重要工具。

通常，审计流程可以分为广义和狭义两个层面。狭义的审计流程指的是审计人员在获得审计证据、达成审计目标、得出审计结论时所采取的具体步骤和方法。广义的审计流程则包括审计项目的从头到尾的系统性工作步骤，通常分为四个阶段：审计准备、审计实施、审计终结和后续审计。

1. 审计准备阶段： 这一阶段从审计计划的制定一直到审计通知书的发布。审计准备是整个审计过程的基础，影响审计工作的效率和质量。它包括明确定审计目标和任务、组建审计项目组、收集相关信息、编制审计计划等工作。

2. 审计实施阶段： 这是将审计计划付诸实践的核心阶段。在这个阶段，审计人员深入调查并调整审计计划，初步评估IT内部控制，执行符合性测试和实质性测试等工作。

3. 审计终结阶段： 这个阶段包括整理审计工作底稿、总结审计工作、编写审计报告和形成审计结论。审计人员要应用专业判断，综合分析收集到的证据，以核实的审计证据为依据，撰写审计报告并提出审计意见。

4. 后续审计阶段： 后续审计是在审计报告发布后的一段时间内进行的，旨在检查被审计单位是否采取了纠正措施并取得了预期效果。后续审计不是全新的审计，但需要依法进行检查、调查，收集审计证据，撰写后续审计报告。

审计流程的规范执行有助于指导审计工作、提高工作效率、确保工作质量、规范工作程序。审计人员必须遵循这些步骤以确保审计工作的顺利进行。

4、审计内容

IT审计业务和服务通常分为IT内部控制审计和IT专项审计。IT内部控制审计主要包括组织层面的IT控制审计、IT一般控制审计以及应用控制审计。IT专项审计主要是指根据当前面临的特定风险或需求进行的IT审计，审计范围可以是IT综合审计的某一部分或几个部分。有关IT内部控制审计与IT专项审计的详细内容如表3-13所示。

对于信息系统项目的专项审计，其目标是通过评估信息系统项目管理过程，向管理层提供信息系统项目管理过程的控制、监督情况，并确保其符合最佳实践要求，提供合理保证。信息系统项目管理审计的内容和方法举例如表3-14所示。

转载本站内容时，请务必注明来自W3xue，违者必究。