9、信息系统治理

3.1.1 IT治理基础

IT治理是描述组织采用有效的机制对信息技术和数据资源开发利用，平衡信息化发展和数字化转型过程中的风险，确保实现组织的战略目标的过程。

1、IT治理的驱动因素

1、存在很多问题：

（1）信息系统形成了许多“信息孤岛”,缺乏共享的、网络化的信息资源，系统集成难题一直无法解决；

（2）信息资源整合目标空泛，没有整合“信息孤岛”的措施，数据中心建设和数据集中管理等规划缺乏可操作性，尤其是缺少数据标准化建设方面的建设规划。

2、IT治理是指组织在开发利用信息技术过程中，为鼓励组织所期望的组织行为而明确决策权归属和责任担当的框架，其目标是通过IT治理的决策权和责任影响组织所期望的组织行为。

2、IT治理的目标价值

1、IT治理将帮助组织建立以组织战略为导向、以实现IT与业务匹配为重心、以价值交付为成果、以绩效管理为控制手段的IT管理体制，正确定位IT团队在整个组织的作用，最终能够针对不同业务发展要求，统一规划IT资源、整合信息资源、有效规避风险、制定并执行组织发展战略。

2、IT治理主要目标包括：与业务目标一致、有效利用信息与数据资源、风险管理。

（1）与业务目标一致。IT治理要从组织目标和数字战略中抽取信息与数据需求和功能需求，形成总体的IT治理框架和系统整体模型，为进一步系统设计和实施奠定基础，保证信息技术开发利用跟上持续变化的业务目标。

（2）有效利用信息与数据资源。目前信息系统工程超期、IT客户的需求没有满足、IT平台不支持业务应用、数据开发利用效能与价值不高、信息技术与业务发展融合深度不够等问题突出，通过IT治理对信息与数据资源的管理职责进行有效管理，保证投资的回收，并支持决策。

（3）风险管理。由于组织越来越依赖于信息网络、信息系统和数据资源等，新的风险不断涌现，例如，新出现的技术没有管理，不符合现有法律和规章制度，没有识别对IT服务的威胁等。IT治理重视风险管理，通过制定信息与数据资源的保护级别，强调对关键的信息与数据资源，实施有效监控和事件处理。

3、IT治理的管理层次

好的IT治理实践需要在组织全部范围内推行。管理层次大致可分为三层：最高管理层、执行管理层、业务与服务执行层。

（1）最高管理层的主要职责包括：证实IT战略与业务战略是否一致；证实通过明确的期望和衡量手段交付IT价值；指导IT战略、平衡支持组织当前和未来发展的投资；指导信息和数据资源的分配。

（2）执行管理层的主要职责包括：制定IT的目标；分析新技术的机遇和风险；建设关键过程与核心竞争力；分配责任、定义规程、衡量业绩；管理风险和获得可靠保证等。

（3）业务及服务执行层的主要职责包括：信息和数据服务的提供和支持；IT基础设施的建设和维护；IT需求的提出和响应。

3.1.2 IT治理体系

IT治理的核心是关注IT定位和信息化建设与数字化转型的责权利划分，如图3-1所示。IT治理体系的具体构成包括IT定位：IT应用的期望行为与业务目标一致；IT治理架构：业务和IT在治理委员会中的构成、组织IT与各分支机构的IT权责边界等；IT治理内容：投资、风险、绩效、标准和规范等；IT治理流程：统筹、评估、指导、监督；IT治理效果(内外评价)等。24年第2批考题

1、IT治理关键决策

有效的IT治理必须关注五项关键决策，如图3-2所示，包括IT原则、IT架构、IT基础设施、业务应用需求、IT投资和优先顺序。IT原则驱动着IT整体架构的形成，而IT整体架构又决定了基础设施，这种基础设施所确定的能力又决定着基于业务需求应用的构建，最后，IT投资和优先顺序必须为IT原则、整体架构、基础设施和应用需求所驱动。然而，这些决策中又有独特问题，即IT治理需要确定每个决策由谁来负责输入，以及由谁来负责做出决策。

2、IT治理体系框架

IT治理体系框架具体包括：IT战略目标、IT治理组织、IT治理机制、IT治理域、IT治理标准和IT绩效目标等部分，形成一整套IT治理运行闭环，如图3-3所示。23年11月第3批考题

3、IT治理核心内容

IT治理本质上关心： $⊚$ 实现IT的业务价值； $⊚$ IT风险的规避。前者是通过IT与业务战略匹配来实现的，后者通过在组织内部建立相关职责来实现。两者都需要相关资源的支持，并对其绩效进行有效度量。IT治理的核心内容包括六个方面：组织职责、战略匹配、资源管理、价值交付、风险管理和绩效管理，如图3-4所示。

（1）组织职责。组织职责指组织参与IT决策与管理的所有人员的集合，明确组织信息部门和业务部门之间的关系和责任，正确划分信息系统的所有者、建设者、管理者和监控者。

（2）战略匹配。IT治理的一个重要内容，是使组织的IT建设与组织战略相匹配，也就是通常所说的“战略匹配”。而战略匹配是IT为组织贡献业务价值的重要驱动力。

（3）资源管理。资源管理的主要功能是确保用户对组织的应用系统和基础设施都有良好的理解和应用，优化IT投资、IT资源(人、应用系统、信息、基础设施)的分配，做好人员的培训、发展计划，以满足组织的业务需求。

（4）价值交付。通过对IT项目全生命周期的管理，确保IT能够按照组织战略实现预期的业务价值。重点是对整个交付周期成本的控制和IT业务价值的实现，使IT项目能够在预算时间、成本范围内，按预定的质量要求完成。价值交付即是创造业务价值。

（5）风险管理。风险管理是IT治理中非常重要的内容。风险管理是确保IT资产的安全和灾难的恢复、组织信息资源的安全以及人员的隐私安全。风险管理即是保护业务价值。

（6）绩效管理。没有绩效管理，IT治理中任何一个域都不可能有效地进行管理。绩效管理主要是追踪和监视IT战略、IT项目的实施、信息资源的使用、IT服务的提供以及业务流程的绩效。绩效管理所采用的工具，如平衡积分卡，可以将组织的战略目标转化成各个职能部门或团队具体的业务活动的目标，从而保证组织战略目标的实现。

4、IT治理机制经验

建立IT治理机制的原则包括：

$⊚$ 简单。机制应该明确地定义特定个人和团体所承担的责任和目标。

$⊚$ 透明。有效的机制依赖于正式的程序。对于那些被治理决策所影响或是想要挑战治理决策的人来说，机制如何工作是需要非常清晰的。

$⊚$ 适合。机制鼓励那些处于最佳位置的个人去制定特定的决策。

3.1.3 IT治理任务

组织开展IT治理活动的主要任务聚焦在如下五个方面。24年第1批考题

（1）全局统筹：统筹规划IT治理的目标范围、技术环境、发展趋势和人员责权利。组织需要适应当前信息环境和未来发展趋势，保证利益相关者理解和接受IT的战略、目标和发展方向。组织需要把IT治理作为组织治理的组成部分，建立IT治理机构，并明确组织负责人对IT治理工作负责。组织还需要关注IT发展的规划、实施、检查和改进全过程，重点包括 $⊚$ 制订满足可持续发展的IT蓝图； $⊚$ 实施科学决策、集约管理的策略，实现横向的业务集成和纵向的业务管控；通过内外部的监督，确保IT与业务的一致性和适用性； $⊚$ 建立适应内外部信息环境变化的持续改进和创新机制。

（2）价值导向：价值导向包括基于实现有效收益，确保预期收益清晰理解，明确实现收益的问责机制。组织需要建立IT投资的价值框架，确保在可承担成本和可接受风险水平的基础上，实现IT的战略目标。确保IT治理符合组织治理的价值导向，明确战略投资方向，以及由投资产生的IT服务、资产和其他资源。组织需要建立价值递送规则，确保利益相关者明确相应的权利和义务，包括： $⊚$ 认可信息技术、信息系统和数据在组织中的价值；识别投资目录，并以相应的方式进行评估和管理； PPT对关键指标进行设定和监督，并对变化和偏差做出及时回应； $⊚$ 权衡实施成本与预期效益，并随组织内外部环境的变化及时调整。
（3）机制保障：机制保障是指组织应对自身IT发展进行有效管控，保证IT需求与实现的协调发展，并使IT安全和风险得到有效的识别、管理、防范和处置。组织需要建立适合组织特点的机制保障方法，满足疏漏互补、协同发展、监督改进和安全风险可控的原则，避免扭曲决策目标方向。组织需要明确管理责任，明晰上下左右权利关系，落实责任制和各项措施。组织可以根据相关法律法规、行业管理和上级监管机构发布的规范文件要求，制定本组织的信息技术治理制度并实施，重点聚焦在： $⊚$ 指导建立规范过程管理和痕迹管理，并向利益相关者公开质量设定举措； $⊚$ 评审IT管理体系的适宜性、充分性和有效性： $⊚$ 审计IT完整性、有效性和合规性； $⊚$ 监督由审计和管理评审，提出改进内容的实施。

（4）创新发展：创新发展是指利用IT创新开拓业务领域，提升管理水平，改进质量、绩效和降低成本，确保实现战略目标的灵活性和对环境变化的适应性。组织需要通过建立围绕知识资产的创新体系，支撑组织的技术进步、管理提升和业务模式变革。组织可以持续保持管理团队的创造技能，并指导培养各级成员的发问、观察、交际和实验能力。组织可以建立支持创新的人员、技术、制度、资金、风险、文化和市场需求的机制体系，包括： $⊚$ 创造基于业务团队与IT团队的深度沟通以及对内外部环境感知和学习的技术创新环境； $⊚$ 确保技术发展、管理创新、模式革新的协调联动； $⊚$ 对组织创新能力进行评估，并对关键创新要素进行分析和评价； $⊚$ 通过促进和创新有效抵御风险，并确保创新是组织文化的组成部分。
（5）文化助推：文化助推是指组织与利益相关者沟通IT治理的目标、策略和职责，营造积极向上、沟通包容的组织文化。组织需要引导组织人员适应IT建设所带来的变革、遵循道德和职业规范、端正态度和规范行为。组织可以要求各级管理层把符合信息技术战略发展的文化建设作为其职责的一部分。按照文化营造、实施和改进的生命周期，保障利益相关者的沟通和透明，包括： $⊚$ 建立与IT发展相适应的组织文化发展策略； $⊚$ 营造包括知识、技术、管理、情操在内的积极向上的文化氛围； $⊚$ 根据组织内部环境的变化，评估并改进组织文化的管理。

3.1.4 IT治理方法与标准

比较典型的是我国信息技术服务标准库(ITSS)中IT治理系列标准、信息和技术治理框架(COBIT)和IT治理国际标准(ISO/IEC38500)等

1、ITSS中IT服务治理

1)IT治理通用要求

1、GB/T34960.1《信息技术服务治理第1部分：通用要求》规定了IT治理的模型和框架、实施IT治理的原则，以及开展IT顶层设计、管理体系和资源的治理要求。该标准可用于：

$⊚$ 建立组织的IT治理体系，并实施自我评价；

$⊚$ 开展信息技术审计；

$⊚$ 研发、选择和评价IT治理相关的软件或解决方案；

$⊚$ 第三方对组织的IT治理能力进行评价。

2、该标准定义的IT治理模型包含治理的内外部要求、治理主体、治理方法，以及信息技术及其应用的管理体系

3、该标准定义的IT治理框架包含信息技术顶层设计、管理体系和资源三大治理域。23年5月第5考题

2)IT治理实施指南

1、GB/T 34960.2《信息技术服务治理第2部分：实施指南》提出了IT治理通用要求的实施指南，分析了实施IT治理的环境因素，规定了IT治理的实施框架、实施环境和实施过程，并明确顶层设计治理、管理体系治理和资源治理的实施要求。该标准适用于：

$⊚$ 建立组织的IT治理实施框架，明确实施方法和过程；

$⊚$ 组织内部开展IT治理的实施；

$⊚$ IT治理相关软件或解决方案实施落地的指导；

$⊚$ 第三方开展IT治理评价的指导。

2、IT治理实施框架包括治理的实施环境、实施过程和治理域，如图3-8所示。实施环境包括组织的内外部环境和促成因素。实施过程规定了IT治理实施的方法论，包括统筹和规划、构建和运行、监督和评估、改进和优化。治理域定义了IT治理对象，包括顶层设计、管理体系和资源。顶层设计包括战略、组织和架构；管理体系包括质量管理、项目管理、投资管理、服务管理、业务连续性管理、信息安全管理、风险管理、供方管理、资产管理和其他管理；资源包括基础设施、应用系统和数据。组织可以结合实施环境的分析，按照实施过程，以治理域为对象开展IT治理实施。

2、信息和技术治理框架

1、COBIT框架对治理和管理进行了明确区分，这两个学科涵盖不同的活动，需要不同的组织结构，并服务于不同目的： $⊚$ 治理确保对利益干系人的需求、条件和选择方案进行评估，以确定全面均衡、达成共识的组织目标；通过确定优先等级和制定决策来设定方向；根据议定的方向和目标监控绩效与合规性； $⊚$ 管理是指按治理设定的方向计划、构建、运行和监控活动，以实现组织目标。在大多数组织中，管理是首席执行官领导下的高级管理层的职责。

2、管理目标分为四个领域：

$⊚$ 调整、规划和组织(APO)针对IT的整体组织、战略和支持活动；

$⊚$ 内部构建、外部采购和实施(BAI)针对IT解决方案的定义、采购和实施以及它们到业务流程的整合；

$⊚$ 交付、服务和支持(DSS)针对IT服务的运营交付和支持，包括安全；

$⊚$ 监控、评价和评估(MEA)针对IT的性能监控及其与内部性能目标、内部控制目标和外部要求的一致程度。治理目标与治理流程有关，而管理目标与管理流程有关。治理流程通常由董事会和执行管理层负责，而管理节日流程则在高级和中级管理层的职责范围内。

3、为满足治理和管理目标，每个组织都需要建立、定制和维护由多个组件构成的治理系统，如图3-10所示。治理系统的组件包括：

$⊚$ 流程。流程描述了一组为实现某种目标而安排有序的实践和活动，并生成了一组支持实现整体IT相关目标的输出内容。

$⊚$ 组织结构。组织结构是组织的主要决策实体。

$⊚$ 原则、政策和程序。原则、政策和程序用于将理想行为转化为日常管理的实用指南。

$⊚$ 信息。在任何组织中，信息无处不在，包括组织生成和使用的全部信息。COBIT侧重于有效运转组织治理系统所需的信息。

$⊚$ 文化、道德和行为。个人和组织的文化、道德和行为作为治理和管理活动的成功因素，其价值往往被低估。

$⊚$ 人员、技能和胜任能力。人员、技能和胜任能力对做出正确决策、采取纠正行动和成功完成所有活动而言是必不可少的。

$⊚$ 服务、基础设施和应用程序。服务、基础设施和应用程序包括为组织提供IT处理治理系统的基础设施、技术和应用程序。

4、组织开展治理系统设计通过流程化的方式进行，如图3-12所示，COBIT给出了建议设计流程： $⊚$ 了解组织环境和战略； $⊚$ 确定治理系统的初步范围； $⊚$ 优化治理系统的范围； $⊚$ 最终确定治理系统的设计。

3、IT治理国际标准

IT治理标准ISO/IEC 38500，该标准规定治理机构应通过评估、指导和监督三个主要任务来治理IT。

（1）评估。治理机构应审查和判断当前和未来的使用，包括计划、建议和供应安排(无论是内部、外部或两者兼有)。在评估IT的使用时，治理机构应考虑作用于组织的外部或内部压力，如技术变革、经济和社会趋势、监管义务、合法的利益相关者期望和政治影响。治理机构应根据情况的变化不断地进行评价。治理机构还应考虑到当前和未来的业务需要，即他们必须实现的当前和未来的组织目标，例如维持竞争优势，以及他们正在评估的计划和建议的具体目标。

（2）指导。治理机构应负责战略和政策的编制和执行。战略应该为IT领域的投资设定方向以及IT应该实现的目标。政策应在使用IT时建立良好的行为。治理机构应通过要求管理者及时提供信息、遵守方向和遵守良好治理的六项原则来鼓励其组织中的良好治理文化。

（3）监督。治理机构应通过适当的测量系统来监测IT的表现。他们应该保证自己业绩符合战略，特别是在业务目标方面。治理机构还应确保IT符合外部义务(法规、立法、普通法、合同)和内部工作惯例等。

3.2 IT审计

3.2.1 IT审计基础

1、IT审计定义

无重要考点。

2、IT审计目的

1、IT审计的目的是指通过开展IT审计工作，了解组织IT系统与IT活动的总体状况，对组织是否实现IT目标进行审查和评价，充分识别与评估相关IT风险，提出评价意见及改进建议，促进组织实现IT目标。23年5月第6考题

2、组织的IT目标主要包括：

$⊚$ 组织的IT战略应与业务战略保持一致；

$⊚$ 保护信息资产的安全及数据的完整、可靠、有效；

$⊚$ 提高信息系统的安全性、可靠性及有效性；

$⊚$ 合理保证信息系统及其运用符合有关法律、法规及标准等的要求。

3、IT审计范围 24年第2批考题

4、IT审计人员

对IT审计人员的要求包括职业道德、知识、技能、资格与经验、专业胜任能力及利用外部专家服务等方面。

5、IT审计风险

1、IT审计风险主要包括固有风险、控制风险、检查风险和总体审计风险。固有风险、控制风险、检查风险的内容，如表3-6所示。

2、总体审计风险是指针对单个控制目标所产生的各类审计风险总和。良好的审计计划应尽可能评估和控制审计风险，减少或控制所检查领域的审计风险，比如采取合适的审计工具，在完成审计时把总体审计风险控制在足够低的水平之内，以达到预期保证水平。

3、审计风险也用于描述审计人员在执行审计任务时可接受的风险水平。审计人员可通过设定目标风险水平并调整审计工作量，以合适的审计成本满足最小化总体审计风险要求。

3.2.2审计方法与技术

1、IT审计依据与准则

无重要考点。

2、IT审计常用方法

IT审计方法就是为了完成IT审计任务所采取的手段。在IT审计工作中，要完成每一项审计工作，都应选择合适的审计方法。常用审计方法包括：访谈法、调查法、检查法、观察法、测试法和程序代码检查法等，如表3-8所示。

3、IT审计技术

24年第1批考题

常用的TT审计技术包括风险评估技术、审计抽样技术、计算机辅助审计技术及大数据审计技术。1)风险评估技术

IT风险评估技术一般包括：

（1）风险识别技术：用以识别可能影响一个或多个目标的不确定性，包括德尔菲法、头脑风暴法、检查表法、SWOT技术及图解技术等。

（2）风险分析技术：是对风险影响和后果进行评价和估量，包括定性分析和定量分析。

（3）风险评价技术：是在风险分析的基础上，通过相应的指标体系和评价标准，对风险程度进行划分，以揭示影响成败的关键风险因素，包括单因素风险评价和总体风险评价。

（4）风险应对技术：IT技术体系中为特定风险制定的应对技术方案，包括云计算、冗余链路、冗余资源、系统弹性伸缩、两地三中心灾备、业务熔断限流等。

审计抽样技术

审计抽样是指审计人员在实施审计程序时，从审计对象总体中选取一定数量的样本进行测试，并根据测试结果，推断审计对象总体特征的一种方法。审计抽样适用于时间及成本都不允许对既定总体中的所有交易或事件进行全面审计时。

计算机辅助审计技术

计算机辅助审计(CAAT),也称为利用计算机审计，是指审计人员在审计过程和审计管理活动中，以计算机为工具来执行和完成某些审计程序和任务的一种新兴审计技术。它并非电算化系统审计特有的一种方法，对手工系统的审计也可应用这些技术。

大数据审计技术

大数据审计是指遵循大数据理念，运用大数据技术方法和工具，利用数量巨大、来源分散、格式多样的数据，开展跨层级、跨系统、跨部门和跨业务等的深入挖掘与分析，提升审计发现问题、评价判断、宏观分析的能力。大数据审计技术包括大数据智能分析技术、大数据可视化分析技术及大数据多数据源综合分析技术等，如表3-10所示。

4、IT审计证据

审计证据是指由审计机构和审计人员获取，用于确定所审计实体或数据是否遵循既定标准或目标，形成审计结论的证明材料。审计证据是审计意见的支柱，是审计人员形成审计结论的基础。审计证据还可以被作为解除或追究被审计人经济责任的依据，并且审计证据还是控制审计工作质量的关键。23年11月第2批考题

5、IT审计底稿

1、审计工作底稿是指审计人员对制订的审计计划、实施的审计程序、获取的相关审计证据，以及得出的审计结论做出的记录。审计工作底稿是审计证据的载体，是审计人员在审计过程中形成的审计工作记录和获取的资料。它形成于审计过程，也反映整个审计过程。审计底稿的作用表现在：23年11月第1批考题

（1）是形成审计结论、发表审计意见的直接依据；

（2）是评价考核审计人员的主要依据；

（3）是审计质量控制与监督的基础；

（4）对未来审计业务具有参考备查作用。

2、审计工作底稿一般分为综合类工作底稿、业务类工作底稿和备查类工作底稿，具体如表3-12所示。
3、通常，根据审计机构的组织规模和业务范围，可以实行对审计工作底稿的三级复核制度。审计工作底稿三级复核制度是指以审计机构负责人、部门负责人和项目负责人(或项目经理)为复核人，依照规定的程序和要点对审计工作底稿进行逐级复核的制度。三级复核制度目前已成为较为普遍采用的形式，对于提高审计工作质量、加强质量控制起了重要的作用。4、审计机构对审计工作底稿中涉及的商业秘密保密，建立健全审计工作底稿保密制度。但由于下列两种情况需要查阅审计工作底稿的，不属于泄密情形：

（1）法院、检察院及国家其他部门依法查阅，并按规定办理了必要手续；

（2）审计协会或其委派单位对审计机构执业情况进行检查。5、审计工作底稿按照一定的标准归入审计档案后，应交由档案管理部门进行管理，并确保审计档案的安全、完整。

3.2.3审计流程

1、审计流程是指审计人员在具体审计过程中采取的行动和步骤。科学、规范的审计流程不但是分配审计工作的具体依据，还是控制审计工作的有效工具，并同时具有的作用包括： $⊚$ 有效地指导审计工作； $⊚$ 有利于提高审计工作效率； $⊚$ 有利于保证审计项目质量； $⊚$ 有利于规范审计工作。

2、一般分为审计准备、审计实施、审计终结及后续审计四个阶段，每个阶段又包含若干具体内容。

（1）审计准备阶段。IT审计准备阶段是指IT审计项目从计划开始，到发出审计通知书为止的期间。准备阶段是整个审计过程的起点和基础，准备阶段的工作是否充分、合理、细致，对提高审计工作效率，保证审计工作质量至关重要。准备阶段工作一般包括： $⊚$ 明确审计目的及任务； $⊚$ 组建审计项目组； $⊚$ 搜集相关信息； $⊚$ 编制审计计划等。

（2）审计实施阶段。IT审计实施阶段是审计人员将项目审计计划付诸实施的期间。此阶段的工作是审计全过程的中心环节，是整个审计流程的关键阶段，关系到整个审计工作的成败。实施阶段主要完成工作包括： $⊚$ 深入调查并调整审计计划； $⊚$ 了解并初步评估IT内部控制； $⊚$ 进行符合性测试； $⊚$ 进行实质性测试等。

（3）审计终结阶段。IT审计终结阶段是整理审计工作底稿、总结审计工作、编写审计报告、做出审计结论的期间。审计人员应运用专业判断，综合分析所收集到的相关证据，以经过核实的审计证据为依据，形成审计意见、出具审计报告。终结阶段的工作一般包括： $⊚$ 整理与复核审计工作底稿； $⊚$ 整理审计证据； $⊚$ 评价相关IT控制目标的实现； $⊚$ 判断并报告审计发现； $⊚$ 沟通审计结果； $⊚$ 出具审计报告； $⊚$ 归档管理等。

（4）后续审计阶段。后续审计是在审计报告发出后的一定时间内，审计人员为检查被审计单位对审计问题和建议是否已经采取了适当的纠正措施，并取得预期效果的跟踪审计。后续审计并不是一次新的审计，而是前一次审计的有机组成部分。实施后续审计，可不必遵守审计流程的每一过程和要求，但必须依法依规进行检查、调查，收集审计证据，写出后续审计报告。

3.2.4审计内容

IT审计业务和服务通常分为IT内部控制审计和IT专项审计。IT内部控制审计主要包括组织层面IT控制审计、IT一般控制审计及应用控制审计；IT专项审计主要是指根据当前面临的特殊风险或者需求开展的IT审计，审计范围为IT综合审计的某一个或几个部分。有关IT内部控制审计与IT专项审计的具体内容如表3-13所示。

考题举例

1、GB/T 34960.1中定义了IT治理框架，（5）不属于IT治理框架的三大治理域。

A、管理体系 B、技术体系 C、顶层设计 D、资源

2、（6）不属于IT审计的目标。A、对IT目标的实现进行审查和评价B、识别与评估IT风险 C、保护信息资产的安全D、提出评价意见及改进

3、IT审计技术不包括（）

A、风险评估技术 B、审计抽样技术 C、计算机辅助审计技术 D、区块链技术
4、管理目标分为四个领域，其中：针对IT解决方案的定义、采购和实施以及它们到业务流程的整合属于（）A、调整、规划和组织（APO）

B、内部构建、外部采购和实施（BAI）

C、交付、服务和支持（DSS）D、监控、评价和评估（MEA）

5、审计证据的特点不包括（）

A、充分性 B、主观性 C、客观性 D、合法性

6、IT审计业务和服务通常分为IT内部控制审计和IT专项审计,（）属于IT内部控制审计。

A、应用控制审计 B、数据审计 C、网络与信息安全审计 D、信息系统生命周期审计

7、治理活动的主要任务聚焦在全局统等，价值导向，机制保障，创新发展，文化助推五个方面。其中“指导建立规范过程管理和痕迹管理，并向利益相关者公开质量设定举措”属于( )的内容。

A、机制保障 B、创新发展 C、价值导向 D、全局统筹
8、IT 审计常用的审计技术不包括（）。

A、产品分析技术 B、审计抽样技术 C、风险评估技术 D、大数据审计技术

答案

1、【答案】B

【解析】本题考查IT治理框架，必须会。

P76页。IT治理框架包含信息技术顶层设计、管理体系和资源三大治理域

2、【答案】C

【解析】本题考查IT审计的目标的内容，必须会。P81页，IT审计的目的是指通过开展IT审计工作，了解组织IT系统与IT活动的总体状况，对组织是否实现IT目标进行审查和评价，充分识别与评估相关IT风险，提出评价意见及改进建议，促进组织实现IT目标。

3、【答案】D

【解析】我自己按新教材写的模拟题，建议还是需要做下。IT审计技术包括风险评估技术、审计抽样技术、计算机辅助审计技术及大数据审计技术。
4、【答案】B

【解析】我自己按新教材写的模拟题，建议还是需要做下。

管理目标分为四个领域：

$⊚$ 调整、规划和组织（APO）:针对IT的整体组织、战略和支持活动；

$⊚$ 内部构建、外部采购和实施（BAI）:针对IT解决方案的定义、采购和实施以及它们到业务流程的整合；

$⊚$ 交付、服务和支持（DSS）:针对IT服务的运营交付和支持，包括安全；

$⊚$ 监控、评价和评估（MEA）:针对IT的性能监控及其与内部性能目标、内部控制目标和外部要求的一致程度。

5、【答案】B

【解析】我自己按新教材写的模拟题，建议还是需要做下。

主观性一看就不对。具体请看下面的表格。
6、【答案】A

【解析】本题考查IT审计的相关知识，必须掌握。P89页，见如下表

7、【答案】A

【解析】本题考查治理活动的相关内容，必须会。

P74页，机制保障是指组织应对自身IT发展进行有效管控，保证IT需求与实现的协调发展，并使IT安全和风险得到有效的识别、管理、防范和处置。组织需要建立适合组织特点的机制保障方法，满足疏漏互补、协同发展、监督改进和安全风险可控的原则，避免扭曲决策目标方向。组织需要明确管理责任，明晰上下左右权利关系，落实责任制和各项措施。组织可以根据相关法律法规、行业管理和上级监管机构发布的规范文件要求，制定本组织的信息技术治理制度并实施，重点聚焦在： $⊚$ 指导建立规范过程管理和痕迹管理，并向利益相关者公开质量设定举措； $⊚$ 评审IT管理体系的适宜性、充分性和有效性： $⊚$ 审计IT完整性、有效性和合规性； $⊚$ 监督由审计和管理评审，提出改进内容的实施。

8、【答案】A

【解析】本题考查IT审计的技术，必须会。常用的IT审计技术包括风险评估技术、审计抽样技术、计算机辅助审计技术及大数据审计技术。