【正文】 推動的過程，這些指標(biāo)是基于組織業(yè)務(wù)活動和流程的復(fù)雜性、戰(zhàn)略性 的IT解決方案以及公司實施IT的主要戰(zhàn)略目標(biāo)來確定的。 績效指標(biāo)的主要功能：衡量產(chǎn)品和服務(wù)、管理產(chǎn)品和服務(wù)、確保責(zé)任制、制定預(yù)算決策、優(yōu)化績效 ?績效優(yōu)化的工具COBIT管理指南－它是為了滿足IT 經(jīng)理進(jìn)行績效評價的需求而設(shè)計的，它為IT的34個 主要流程定義了關(guān)鍵成功要素、關(guān)鍵目標(biāo)指標(biāo)、關(guān) 鍵績效指標(biāo)和成熟度模型。 管理指南的重要內(nèi)容： u 關(guān)鍵成功要素(CSF ) 管理指南要回答的問題： uu關(guān)鍵目標(biāo)指標(biāo)(KGI ) 成本與效益　　我們究竟應(yīng)該走多遠(yuǎn)，成本與利潤比例是否合適？ 關(guān)鍵績效指標(biāo)(KPI ) 成熟度模型 績效評價　　對于好的績效的度量指標(biāo)是什么？ u u IT控制環(huán)境　　什么是重要點(diǎn)？關(guān)鍵成功要素是什么？ u 意識　　不能達(dá)到我們的目標(biāo)的風(fēng)險是什么？ u 基準(zhǔn)測量　　他人在做什么？我們應(yīng)該怎樣測量和比較？ 信息系統(tǒng)部門的組織結(jié)構(gòu)（略） 對信息系統(tǒng)各種職能進(jìn)行審查技術(shù)支持 ?技術(shù)支持經(jīng)理(Technique Support Manager) ?系統(tǒng)管理員（System Administrator ） ?網(wǎng)絡(luò)管理員（Network Managers ） ?系統(tǒng)程序員(Systems Programmers)運(yùn)行部門（Operations ） ?運(yùn)行經(jīng)理(Operations Manager) ?計算機(jī)操作員(Computer Operator) ?控制組 （Control Group ） ?資料庫管理員（Librarian ） ?數(shù)據(jù)錄入 （Data Entry ） 應(yīng)用系統(tǒng)開發(fā)（Application Development ） ?系統(tǒng)開發(fā)經(jīng)理(System Development Manager) ?系統(tǒng)分析員（Systems Analysts ） ?應(yīng)用系統(tǒng)程序員(Applications Programmers) 安全與質(zhì)量(Security and Quality) ?安全架構(gòu)師 （Security Architect ） ?安全管理員（Security Administrator ） ?質(zhì)量保證 （Quality Assurance ） 數(shù)據(jù)管理（Data Administration ） ? 數(shù)據(jù)經(jīng)理(Data Manager) ?數(shù)據(jù)庫管理員（Database Administrator ） 客戶服務(wù)(Customer Services) ?最終用戶支持經(jīng)理(Enduser Support Manager) ?幫助臺(Help Desk) ?最終用戶 （End User ） l 職責(zé)分離可以避免因為某一個人負(fù)責(zé)多個關(guān)鍵的職位而造成不能在日常的業(yè)務(wù)活動中及時地 發(fā)現(xiàn)其錯誤的情況。 職責(zé)分離是威懾和預(yù)防欺詐或惡意行為的一種手段。 應(yīng)當(dāng)分離的職責(zé)包括：資產(chǎn)保管、授權(quán)批準(zhǔn)、交易記錄 審計師必須獲得足夠的信息以了解各種工作職位、責(zé)任和授權(quán)之間的關(guān)系，從而評估職責(zé)分離是否充分。 職責(zé)分離矩陣（略）對職責(zé)分離的控制 216。交易授權(quán) 216。資產(chǎn)保管 216。數(shù)據(jù)訪問控制（物理層、系統(tǒng)層及應(yīng)用層，職責(zé)分離和最小授權(quán)原則） 216。授權(quán)表單（Authorization Forms ） 216。用戶授權(quán)表格 （UAT，也叫訪問控制列表ACL ） 216。針對缺乏職責(zé)分離的補(bǔ)償控制 u 審計蹤跡(Audit Trails) u 核對(Reconciliation) u 例外報告(Exception Reporting) u 交易日志(Transaction Logs) u 監(jiān)督性審核(Supervisory Reviews) u 獨(dú)立性審核(Independent Reviews) 、計劃和組織的審計 審計時，這些重要信號表明信息系統(tǒng)具有潛在風(fēng)險： 最終用戶的態(tài)度不友好 不受支持或未經(jīng)授權(quán)的采購 過多的成本 216。頻繁的軟硬件升級 預(yù)算超支 216。 大量的例外報告 延期的項目 216。未跟蹤處理的例外報告 216。 缺乏動力 過高的員工離職率 216。 缺乏持續(xù)性計劃 216。缺乏經(jīng)驗的員工 216。依賴一兩個關(guān)鍵員工 216。頻繁的軟硬件故障 216。缺乏充分的培訓(xùn) 216。用戶請求的過度積壓 216。遲緩的計算機(jī)響應(yīng)時間 216。大量的中止或暫停的開發(fā)項目 216。信息技術(shù)戰(zhàn)略、計劃和預(yù)算 安全政策文檔 組織/職能圖 工作描述 指導(dǎo)委員會報告 系統(tǒng)開發(fā)和程序變更流程 操作程序 人力資源手冊 質(zhì)量保證程序 216。制定合同需求和服務(wù)水平 216。合同競標(biāo)過程 216。合同選擇過程 合同接受 合同維護(hù) 合同遵守 ?在管理層授權(quán)的前提下，每個階段都應(yīng)當(dāng)有法律文件。?信息系統(tǒng)審計師應(yīng)當(dāng)驗證合同訂立過程中管理層的參與，并確保在恰當(dāng)?shù)闹芷趦?nèi)對合同遵循性進(jìn)行審核。本章小結(jié) 企業(yè)治理目標(biāo)是在保證組織運(yùn)營滿足法律要求及社會責(zé)任的前提下，實現(xiàn)充分利用機(jī)遇和增加利益相關(guān)人價值之間的平衡。 IT戰(zhàn)略委員會監(jiān)督IT價值、風(fēng)險和績效，為董事會提供IT戰(zhàn)略決策的支持信息。 IT治理的一個關(guān)鍵內(nèi)容是信息安全治理。 信息安全治理應(yīng)當(dāng)有信息安全戰(zhàn)略、政策和組織結(jié)構(gòu)來實行和支 持。 IT治理關(guān)注確保IT向業(yè)務(wù)交付價值。 風(fēng)險管理是一個流程，通過它來識別組織為實現(xiàn)業(yè)務(wù)目標(biāo)所使用的信息資源的脆弱性和威脅，并基于信息資源對組織的價值，確定能降低風(fēng)險至可接受水平的對策。 衡量風(fēng)險可使用定性分析、半定量分析或定量分析。 影響戰(zhàn)略、資源使用和IS部門有效性的關(guān)鍵管理流程包括：人力資源管理、變更管理、財務(wù)管理、質(zhì)量管理、信息安全管理和績效優(yōu)化實務(wù)。 職責(zé)分離的目標(biāo)是通過識別補(bǔ)償性控制來降低或消除業(yè)務(wù)風(fēng)險。必須明確分離的職責(zé)包括：資產(chǎn)保管、授權(quán)和交易記錄，如果需要合并這些職責(zé)，應(yīng)當(dāng)采用補(bǔ)償性控制。 CISA難點(diǎn)之二 理解業(yè)務(wù)需求的重要性l對一個組織而言，IT因業(yè)務(wù)而存在，離開了業(yè)務(wù)需求IT沒有存在的價值，不管是IT治理目標(biāo)，IT戰(zhàn)略、計劃、流程、開發(fā)、設(shè)計、實施均應(yīng)落腳在業(yè)務(wù)需求上，業(yè)務(wù)需求、風(fēng)險與控制是貫穿整個CISA教程的主線，應(yīng)特別關(guān)注試題中與此有關(guān)的選項。 CISA難點(diǎn)之三 知識掌握的廣度與深度 l 對于從事審計相關(guān)工作的，對風(fēng)險與控制的把握不會存在問題，準(zhǔn)備的重點(diǎn)可放在知識面上，主要是理解概念及其應(yīng)用，具體來講就是概念及主要特點(diǎn)、實際應(yīng)用中的優(yōu)缺點(diǎn)、存在的主要風(fēng)險及控制手段、相應(yīng)的審計方法或步驟等等，尤其應(yīng)當(dāng)注意審計的第一個步驟，對于技術(shù)細(xì)節(jié)則不必理解太深。 l 對于有著豐富IT背景，尤其是IT科班出身的，知識面和深度都不是問題，但如果未參加過CIA或類似考試，也沒有太多審計經(jīng)驗，準(zhǔn)備的重點(diǎn)應(yīng)是理解CISA的考試?yán)砟睿攸c(diǎn)學(xué)習(xí)ISACA的審計準(zhǔn)則，把握什么是審計視角，理解風(fēng)險與控制的概念，掌握如何從技術(shù)管理或?qū)嵤┙巧忻撾x出來，站在旁觀者的位置看待問題。 l CISA是對審計師的考試，不是IT工程師。 16 / 16