13IT項(xiàng)目監(jiān)理與審計(jì)

1、20.9.15,IT項(xiàng)目管理( ITPM )Information Technology Project Management第十三章 IT項(xiàng)目監(jiān)理與審計(jì),王如龍,2/36,【課程回顧 】,流程是將輸入轉(zhuǎn)化為輸出的一組彼此相關(guān)的資源和活動(dòng)。 流程管理是一個(gè)操作性的定位描述，包括流程分析、流程定義與重定義、資源分配、時(shí)間安排、流程質(zhì)量與效率測(cè)評(píng)、流程優(yōu)化等。 流程管理不僅是一種管理技術(shù)，更體現(xiàn)了現(xiàn)代管理的思想。 理順I(yè)T項(xiàng)目管理的流程，已成為項(xiàng)目成功的關(guān)鍵。,3/36,IT項(xiàng)目監(jiān)理與審計(jì)是信息技術(shù)發(fā)展的必然產(chǎn)物； 隨著組織對(duì)信息系統(tǒng)依賴度越來越高，IT項(xiàng)目工程監(jiān)理與審計(jì)將在企業(yè)IT治理起到更重要

2、的作用。,【本章知識(shí)要點(diǎn)】,P.322,4/36,學(xué)習(xí)完本章后，應(yīng)當(dāng)掌握如下知識(shí)： （1）IT項(xiàng)目工程監(jiān)理與審計(jì)的重要性。 （2）信息系統(tǒng)工程監(jiān)理資質(zhì)和IT審計(jì)資質(zhì)。 （3）IT項(xiàng)目工程監(jiān)理的定位、范圍、依據(jù)和內(nèi)容。 （4）IT項(xiàng)目監(jiān)理實(shí)施的4個(gè)階段。 （5）信息系統(tǒng)審計(jì)的分類與流程。 （6）基于COBIT的IT項(xiàng)目審計(jì)。 （7）IT項(xiàng)目工程監(jiān)理與審計(jì)的區(qū)別。,【本章知識(shí)要點(diǎn)】,P.322,5/36,陷入沉思之中的周總 周總是海天動(dòng)力的技術(shù)總監(jiān)，具有豐富的企業(yè)生產(chǎn)管理和新產(chǎn)品開發(fā)經(jīng)驗(yàn)。他主持的IT項(xiàng)目出現(xiàn)了問題，他陷入沉思之中。 通過調(diào)研分析，他果斷地將監(jiān)理和審計(jì)引入企業(yè)信息化建設(shè)中，較好的解

3、決了由于變更控制不到位所產(chǎn)生的成本提高、進(jìn)度逾期等問題。,【案例13-1】,P.323,6/36,信息系統(tǒng)工程監(jiān)理是指依法設(shè)立且具備相應(yīng)資質(zhì)的信息系統(tǒng)工程監(jiān)理單位，受業(yè)主單位委托，依據(jù)國(guó)家有關(guān)法律法規(guī)、技術(shù)標(biāo)準(zhǔn)和信息系統(tǒng)工程監(jiān)理合同，對(duì)信息系統(tǒng)工程項(xiàng)目實(shí)施的監(jiān)督管理。,13.1 信息系統(tǒng)工程監(jiān)理,P.323,察看并加以管理,7/36,從項(xiàng)目監(jiān)理公司的角度來看，信息系統(tǒng)工程監(jiān)理的工作職責(zé)是完成用戶方的委托，對(duì)IT項(xiàng)目建設(shè)實(shí)施進(jìn)行監(jiān)督管理。 監(jiān)督管理的主要任務(wù)包括： 協(xié)助甲方組織IT項(xiàng)目的招標(biāo)、評(píng)標(biāo)活動(dòng)； 協(xié)助甲方與中標(biāo)單位簽訂IT項(xiàng)目的開發(fā)合同； 根據(jù)甲方的授權(quán)，監(jiān)督并管理開發(fā)合同的履行； 根據(jù)

4、監(jiān)理合同的要求，為甲方提供技術(shù)服務(wù)； 監(jiān)理合同終止后，向甲方提交監(jiān)理工作報(bào)告。,13.1 信息系統(tǒng)工程監(jiān)理,P.323,8/36,13.1 信息系統(tǒng)工程監(jiān)理 13.1.1 信息系統(tǒng)工程監(jiān)理概述,P.323,1）我國(guó)信息系統(tǒng)工程監(jiān)理的發(fā)展,項(xiàng)目的成功需要一個(gè)站在公正立場(chǎng)上的第三方機(jī)構(gòu)對(duì)工程實(shí)施的過程進(jìn)行質(zhì)量把關(guān)和管理協(xié)調(diào)。 我國(guó)信息工程監(jiān)理開始邁向科學(xué)化、專業(yè)化和規(guī)范化 。 信息系統(tǒng)工程監(jiān)理工程師將逐步成為國(guó)民經(jīng)濟(jì)和社會(huì)信息化的指導(dǎo)者和執(zhí)法人。,9/36,13.1 信息系統(tǒng)工程監(jiān)理 13.1.1 信息系統(tǒng)工程監(jiān)理概述,P.324,2）信息系統(tǒng)工程監(jiān)理的資質(zhì)管理,國(guó)家重大信息化工程實(shí)行招標(biāo)制和工程

5、監(jiān)理制，工程監(jiān)理承擔(dān)單位必須具有相關(guān)資質(zhì) 。 監(jiān)理單位資質(zhì)等級(jí)劃分從綜合條件、業(yè)績(jī)、監(jiān)理能力和人才實(shí)力四個(gè)方面進(jìn)行區(qū)分 。,表13-1 信息系統(tǒng)工程監(jiān)理單位資質(zhì)等級(jí)監(jiān)理能力對(duì)照簡(jiǎn)表,10/36,13.1 信息系統(tǒng)工程監(jiān)理 13.1.1 信息系統(tǒng)工程監(jiān)理概述,P.325,3） IT項(xiàng)目工程監(jiān)理的相關(guān)知識(shí),目標(biāo)：加強(qiáng)溝通，保證項(xiàng)目的關(guān)鍵技術(shù)指標(biāo)在項(xiàng)目實(shí)施過程中處于受控狀態(tài)。 定位 ：依據(jù)國(guó)家有關(guān)法律法規(guī)、技術(shù)標(biāo)準(zhǔn)和IT項(xiàng)目工程監(jiān)理合同，對(duì)IT項(xiàng)目工程項(xiàng)目實(shí)施監(jiān)督管理，以保證IT項(xiàng)目工程的順利實(shí)施，達(dá)到預(yù)定的目標(biāo)。 范圍 ：監(jiān)理單位應(yīng)根據(jù)建設(shè)單位的意愿來商定監(jiān)理范圍和業(yè)務(wù)內(nèi)容 。 依據(jù) ：國(guó)家的政策

6、、法律法規(guī)、技術(shù)標(biāo)準(zhǔn)、行業(yè)規(guī)范以及合同的法律法規(guī)。,11/36,13.1 信息系統(tǒng)工程監(jiān)理 13.1.2 IT項(xiàng)目監(jiān)理的主要內(nèi)容,P.326,四控制：質(zhì)量、進(jìn)度、成本和變更控制； 三管理：合同管理、信息管理和安全管理； 一協(xié)調(diào)：協(xié)調(diào)相關(guān)單位及人員間的工作關(guān)系。,12/36,13.1 信息系統(tǒng)工程監(jiān)理 13.1.3 IT項(xiàng)目監(jiān)理的實(shí)施,P.330,IT項(xiàng)目工程監(jiān)理從承接監(jiān)理業(yè)務(wù)、簽訂委托監(jiān)理合同開始，到竣工驗(yàn)收、出具監(jiān)理報(bào)告結(jié)束。 包括準(zhǔn)備階段、立項(xiàng)階段、實(shí)施階段和驗(yàn)收階段。,圖13-4 項(xiàng)目監(jiān)理流程圖,13/36,13.2 IT項(xiàng)目審計(jì),P.332,IT項(xiàng)目審計(jì)是指對(duì)IT項(xiàng)目的規(guī)劃、開發(fā)、實(shí)施

7、、運(yùn)行和維護(hù)等各個(gè)環(huán)節(jié)進(jìn)行評(píng)價(jià)，確保其符合企業(yè)經(jīng)營(yíng)目標(biāo)的過程； IT項(xiàng)目審計(jì)是客觀獲取、評(píng)價(jià)與IT項(xiàng)目相關(guān)事項(xiàng)，對(duì)組織已建立的控制標(biāo)準(zhǔn)與風(fēng)險(xiǎn)程度進(jìn)行評(píng)估，并將最終結(jié)果向使用者進(jìn)行公布的過程。 通過對(duì)IT項(xiàng)目工程建設(shè)各環(huán)節(jié)的評(píng)估，確保其符合項(xiàng)目建設(shè)的預(yù)定目標(biāo)，并與企業(yè)經(jīng)營(yíng)目標(biāo)和IT策略保持一致。,14/36,13.2 IT項(xiàng)目審計(jì) 13.2.1 IT 審計(jì)概述,P.333,信息技術(shù)及其運(yùn)行環(huán)境方面不斷的變化、企業(yè)對(duì)信息技術(shù)的依賴性不斷增強(qiáng)，都對(duì)IT相關(guān)風(fēng)險(xiǎn)的管理提出了更高的要求； 外部的法律環(huán)境也要求更加嚴(yán)格地控制信息。 與IT相關(guān)聯(lián)的風(fēng)險(xiǎn)管理，正在作為企業(yè)治理的一個(gè)關(guān)鍵部分而加以理解， 怎樣合

8、理的評(píng)價(jià)IT風(fēng)險(xiǎn)成為IT項(xiàng)目領(lǐng)域的新課題，IT審計(jì)在這種環(huán)境中應(yīng)運(yùn)而生。,15/36,13.2 IT項(xiàng)目審計(jì) 13.2.1 IT 審計(jì)概述,P.333,信息時(shí)代競(jìng)爭(zhēng)的加劇、信息流的電子傳播方式使市場(chǎng)對(duì)及時(shí)了解相關(guān)信息的需求越來越多，現(xiàn)有財(cái)務(wù)報(bào)告模式的局限性日漸突出。 今天的利益相關(guān)者要求“即需即取”的、格式化的數(shù)據(jù)來幫助他們更好的進(jìn)行投資決策，商業(yè)信息的在線和實(shí)時(shí)披露是不可扭轉(zhuǎn)的必然趨勢(shì)。,1） IT審計(jì)的重要意義,16/36,13.2 IT項(xiàng)目審計(jì) 13.2.1 IT 審計(jì)概述,P.333,信息時(shí)代的財(cái)務(wù)報(bào)告模式將會(huì)是以企業(yè)的業(yè)績(jī)?cè)u(píng)估為基礎(chǔ)，在線的、實(shí)時(shí)的信息披露。 在新經(jīng)濟(jì)環(huán)境中，要求信息

9、系統(tǒng)審計(jì)師能夠以在線、實(shí)時(shí)的信息為基礎(chǔ)提供鑒證，通過多種方式來保護(hù)公眾利益、提供鑒證服務(wù)并滿足投資公眾對(duì)決策有用信息的訪問需要。,1）IT審計(jì)的重要意義,17/36,13.2 IT項(xiàng)目審計(jì) 13.2.1 IT 審計(jì)概述,P.333,信息化投資占企業(yè)整體投資的比例越來越大，企業(yè)中越來越多的業(yè)務(wù)流程都建立在IT系統(tǒng)之上； 管理業(yè)務(wù)就是管理IT，兩者不可割裂。,1）IT審計(jì)的重要意義,18/36,13.2 IT項(xiàng)目審計(jì) 13.2.1 IT 審計(jì)概述,P.334,當(dāng)人們開始更多的關(guān)注IT項(xiàng)目的安全性、保密性、完整性及其實(shí)現(xiàn)企業(yè)目標(biāo)的效率、效果，真正意義的IT項(xiàng)目風(fēng)險(xiǎn)評(píng)估與審計(jì)才開始出現(xiàn)。 隨著電子商務(wù)

10、的全球普及，IT項(xiàng)目的審計(jì)對(duì)象、范圍及內(nèi)容將逐漸擴(kuò)大，采用的技術(shù)也將日益復(fù)雜。,1）IT審計(jì)的重要意義,19/36,13.2 IT項(xiàng)目審計(jì) 13.2.1 IT 審計(jì)概述,P.335,信息系統(tǒng)審計(jì)師（CISA）是指一批專家級(jí)的人士； CISA既通曉信息系統(tǒng)的軟件、硬件、開發(fā)、運(yùn)營(yíng)、維護(hù)、管理和安全，又熟悉業(yè)務(wù)運(yùn)營(yíng)管理的核心要義； CISA能夠利用規(guī)范和先進(jìn)的審計(jì)技術(shù)，對(duì)信息系統(tǒng)的安全性、穩(wěn)定性和有效性進(jìn)行審計(jì)、檢查、評(píng)價(jià)和改造。,2）IT審計(jì)資質(zhì)認(rèn)證,20/36,13.2 IT項(xiàng)目審計(jì) 13.2.1 IT 審計(jì)概述,P.335,擁有CISA資格證書是持證人專業(yè)能力的展示，并成為專業(yè)程度的衡量基礎(chǔ)

11、。 隨著對(duì)信息系統(tǒng)審計(jì)、控制與安全專業(yè)人士需求量的增長(zhǎng)，CISA已成為全球范圍內(nèi)個(gè)人與公司機(jī)構(gòu)不可或缺的認(rèn)證。 CISA資格證書代表持證人以卓越的能力服務(wù)于公司并致力于信息系統(tǒng)審計(jì)、控制與安全領(lǐng)域。,2）IT審計(jì)資質(zhì)認(rèn)證,21/36,13.2 IT項(xiàng)目審計(jì) 13.2.1 IT 審計(jì)概述,P.335,注冊(cè)信息系統(tǒng)審計(jì)師資格考試包括信息系統(tǒng)審計(jì)流程和信息系統(tǒng)相關(guān)知識(shí)內(nèi)容： 信息系統(tǒng)審計(jì)程序 信息系統(tǒng)的管理、計(jì)劃與組織 信息技術(shù)基礎(chǔ)設(shè)施與操作實(shí)務(wù) 信息資產(chǎn)的保護(hù) 災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計(jì)劃 應(yīng)用系統(tǒng)開發(fā)、獲得、實(shí)施與維護(hù) 業(yè)務(wù)處理流程評(píng)價(jià)與風(fēng)險(xiǎn)管理,2）IT審計(jì)資質(zhì)認(rèn)證,22/36,13.2 IT項(xiàng)目審

12、計(jì) 13.2.1 IT 審計(jì)概述,P.336,信息系統(tǒng)戰(zhàn)略規(guī)劃與組織審計(jì) 技術(shù)基礎(chǔ)平臺(tái)審計(jì) 信息資產(chǎn)保護(hù)審計(jì) 持續(xù)性管理與災(zāi)難恢復(fù)審計(jì) IT項(xiàng)目審計(jì),3）信息系統(tǒng)審計(jì)的分類,23/36,13.2 IT項(xiàng)目審計(jì) 13.2.2 信息系統(tǒng)審計(jì)的流程,P.337,1）企業(yè)信息系統(tǒng)策略和流程分析,圖13-5 信息系統(tǒng)策略及流程分析,24/36,13.2 IT項(xiàng)目審計(jì) 13.2.2 信息系統(tǒng)審計(jì)的流程,P.338,2）建立基于風(fēng)險(xiǎn)的審計(jì)評(píng)估表,表13-2 基于風(fēng)險(xiǎn)的審計(jì)評(píng)估表,25/36,13.2 IT項(xiàng)目審計(jì) 13.2.2 信息系統(tǒng)審計(jì)的流程,P.338,3）確定審計(jì)的技術(shù)和步驟,表13-3 審計(jì)測(cè)試方

13、法一覽表,26/36,13.2 IT項(xiàng)目審計(jì) 13.2.2 信息系統(tǒng)審計(jì)的流程,P.339,4）形成審計(jì)底稿和審計(jì)報(bào)告的初稿,表13-4 審計(jì)底稿模板,27/36,13.2 IT項(xiàng)目審計(jì) 13.2.2 信息系統(tǒng)審計(jì)的流程,P.339,5）審計(jì)發(fā)現(xiàn)的解決和跟進(jìn),當(dāng)審計(jì)完成并發(fā)現(xiàn)一些風(fēng)險(xiǎn)隱患后，應(yīng)對(duì)發(fā)現(xiàn)的問題進(jìn)行反饋； 反饋的對(duì)象包括：流程的操作人員、高層管理人員和企業(yè)的審計(jì)委員會(huì)。 提出建議，在與企業(yè)溝通探討后對(duì)解決方案進(jìn)行確認(rèn)，并跟蹤解決的效果。,28/36,13.2 IT項(xiàng)目審計(jì) 13.2.3 基于COBIT的IT項(xiàng)目審計(jì),P.339,信息及其相關(guān)技術(shù)控制目標(biāo)(COBIT) 是一個(gè)IT治理的

14、模型，是進(jìn)行IT審計(jì)的重要依據(jù)。 COBIT在上世紀(jì)90年代早期由國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì)（ISACA）提出，目前已成為國(guó)際上公認(rèn)的IT管理與控制框架。 COBIT已在世界一百多個(gè)國(guó)家的重要組織與企業(yè)中運(yùn)用，指導(dǎo)這些組織有效地利用信息資源、管理與信息相關(guān)的風(fēng)險(xiǎn)。,29/36,13.2 IT項(xiàng)目審計(jì) 13.2.3 基于COBIT的IT項(xiàng)目審計(jì),P.339,COBIT提供了一個(gè)全面的涉及公司層面和整體運(yùn)營(yíng)的控制框架。 它通過尋求支撐業(yè)務(wù)目標(biāo)或需求，尋求需要由IT過程來管理的IT相關(guān)資源聯(lián)合應(yīng)用的結(jié)果的信息，逐步接近理想的IT控制。,圖13-6 COBIT概念框架,30/36,13.2 IT項(xiàng)目審計(jì) 1

15、3.2.3 基于COBIT的IT項(xiàng)目審計(jì),P.341,在審計(jì)過程中，通常把IT項(xiàng)目建設(shè)分為：可行性研究和立項(xiàng)階段、項(xiàng)目規(guī)劃階段、實(shí)質(zhì)性開發(fā)階段、驗(yàn)收維護(hù)階段。 項(xiàng)目的安全管理與有效溝通是貫穿在整個(gè)項(xiàng)目的建設(shè)過程中的。 4個(gè)階段、2個(gè)管理在項(xiàng)目建設(shè)中的34個(gè)IT過程是否符合企業(yè)預(yù)定目標(biāo)，成為項(xiàng)目成功的關(guān)鍵。 審計(jì)人員在項(xiàng)目審計(jì)的過程中應(yīng)該進(jìn)行全面分析和綜合評(píng)估。,31/36,13.2 IT項(xiàng)目審計(jì) 13.2.4 IT項(xiàng)目工程監(jiān)理與IT項(xiàng)目審計(jì)的區(qū)別,P.348,實(shí)施范圍的區(qū)別 目的與目標(biāo)的區(qū)別 服務(wù)對(duì)象的不同 持續(xù)時(shí)間的不同 采用的技術(shù)與方法的區(qū)別,32/36,P.349,IT項(xiàng)目監(jiān)理與審計(jì)是信

16、息技術(shù)發(fā)展的產(chǎn)物，隨著組織對(duì)信息系統(tǒng)依賴度越來越高，IT項(xiàng)目工程監(jiān)理與審計(jì)將在企業(yè)IT治理起到更重要的作用。 IT項(xiàng)目工程監(jiān)理是指依法設(shè)立且具備相應(yīng)資質(zhì)的IT項(xiàng)目監(jiān)理單位，受業(yè)主委托，依據(jù)法律法規(guī)、技術(shù)標(biāo)準(zhǔn)和工程監(jiān)理合同，對(duì)IT工程項(xiàng)目實(shí)施的監(jiān)督管理。 IT項(xiàng)目工程監(jiān)理是組織外包于獨(dú)立第三方的管理業(yè)務(wù)，其工作職能包括規(guī)劃與組織、協(xié)調(diào)與溝通、控制、監(jiān)督與評(píng)價(jià)4個(gè)方面 。IT項(xiàng)目監(jiān)理分為準(zhǔn)備階段、立項(xiàng)階段、實(shí)施階段和驗(yàn)收階段4個(gè)階段。,【小結(jié)】,33/36,P.349,信息系統(tǒng)審計(jì)是客觀獲取、評(píng)價(jià)與信息系統(tǒng)相關(guān)事項(xiàng)，并對(duì)企業(yè)已建立的控制標(biāo)準(zhǔn)與風(fēng)險(xiǎn)程度進(jìn)行評(píng)估,并將最終結(jié)果向使用著進(jìn)行公布的過程。

17、信息系統(tǒng)審計(jì)的流程包括企業(yè)信息系統(tǒng)策略和流程分析、建立基于風(fēng)險(xiǎn)的審計(jì)評(píng)估表、確定審計(jì)的技術(shù)和步驟、形成審計(jì)報(bào)告初稿和審計(jì)發(fā)現(xiàn)的解決和跟進(jìn)5個(gè)步驟。 信息系統(tǒng)的審計(jì)分為信息系統(tǒng)戰(zhàn)略規(guī)劃與組織審計(jì)、技術(shù)基礎(chǔ)平臺(tái)審計(jì)、信息資產(chǎn)保護(hù)審計(jì)、持續(xù)性管理和災(zāi)難恢復(fù)審計(jì)和IT項(xiàng)目審計(jì)。 COBIT是一個(gè)IT治理的模型，是進(jìn)行IT審計(jì)的重要依據(jù)，它通過尋求支撐業(yè)務(wù)目標(biāo)或需求的信息，獲取需要由IT過程來管理的相關(guān)資源聯(lián)合應(yīng)用的結(jié)果信息，以逐步接近理想的IT控制。,【小結(jié)】,34/36,P.350,13.4.1 IT項(xiàng)目監(jiān)理的主要目標(biāo)是什么？項(xiàng)目監(jiān)理公司的工作職責(zé)有哪些？ 13.4.3 請(qǐng)說明IT項(xiàng)目工程監(jiān)理的工作范圍，工作內(nèi)容和工作依據(jù)。 13.4.4 IT項(xiàng)目監(jiān)理人員，需要對(duì)IT項(xiàng)目的哪些環(huán)節(jié)進(jìn)行控制與監(jiān)督？ 13.4.5 IT項(xiàng)目審計(jì)的主要目標(biāo)是什么？IT項(xiàng)目審計(jì)的內(nèi)容包括哪些？ 13.4.6 信息系統(tǒng)審計(jì)的流程有哪些？信息系統(tǒng)審計(jì)有哪幾類？ 13.4.7 根據(jù)你的項(xiàng)目經(jīng)驗(yàn)，按照表13-2所示的格式，編制一張基于風(fēng)險(xiǎn)的審計(jì)評(píng)估表。 1