IT項目監(jiān)理與審計講義課件(-)

IT項目管理

(ITPM)

InformationTechnologyProjectManagement

第十三章IT項目監(jiān)理與審計王如龍2022/12/1IT項目管理

(ITPM)

InformationT【課程回顧】流程是將輸入轉(zhuǎn)化為輸出的一組彼此相關(guān)的資源和活動。流程管理是一個操作性的定位描述，包括流程分析、流程定義與重定義、資源分配、時間安排、流程質(zhì)量與效率測評、流程優(yōu)化等。流程管理不僅是一種管理技術(shù)，更體現(xiàn)了現(xiàn)代管理的思想。理順I(yè)T項目管理的流程，已成為項目成功的關(guān)鍵?！菊n程回顧】流程是將輸入轉(zhuǎn)化為輸出的一組彼此相關(guān)的資源和活I(lǐng)T項目監(jiān)理與審計是信息技術(shù)發(fā)展的必然產(chǎn)物；隨著組織對信息系統(tǒng)依賴度越來越高，IT項目工程監(jiān)理與審計將在企業(yè)IT治理起到更重要的作用?！颈菊轮R要點】P.322IT項目監(jiān)理與審計是信息技術(shù)發(fā)展的必然產(chǎn)物；【本章知識要點】學(xué)習(xí)完本章后，應(yīng)當(dāng)掌握如下知識：（1）IT項目工程監(jiān)理與審計的重要性。（2）信息系統(tǒng)工程監(jiān)理資質(zhì)和IT審計資質(zhì)。（3）IT項目工程監(jiān)理的定位、范圍、依據(jù)和內(nèi)容。（4）IT項目監(jiān)理實施的4個階段。（5）信息系統(tǒng)審計的分類與流程。（6）基于COBIT的IT項目審計。（7）IT項目工程監(jiān)理與審計的區(qū)別?！颈菊轮R要點】P.322學(xué)習(xí)完本章后，應(yīng)當(dāng)掌握如下知識：【本章知識要點】P.322陷入沉思之中的周總周總是海天動力的技術(shù)總監(jiān)，具有豐富的企業(yè)生產(chǎn)管理和新產(chǎn)品開發(fā)經(jīng)驗。他主持的IT項目出現(xiàn)了問題，他陷入沉思之中。通過調(diào)研分析，他果斷地將監(jiān)理和審計引入企業(yè)信息化建設(shè)中，較好的解決了由于變更控制不到位所產(chǎn)生的成本提高、進度逾期等問題?！景咐?3-1】P.323陷入沉思之中的周總【案例13-1】P.323信息系統(tǒng)工程監(jiān)理是指依法設(shè)立且具備相應(yīng)資質(zhì)的信息系統(tǒng)工程監(jiān)理單位，受業(yè)主單位委托，依據(jù)國家有關(guān)法律法規(guī)、技術(shù)標(biāo)準(zhǔn)和信息系統(tǒng)工程監(jiān)理合同，對信息系統(tǒng)工程項目實施的監(jiān)督管理。13.1信息系統(tǒng)工程監(jiān)理P.323察看并加以管理信息系統(tǒng)工程監(jiān)理是指依法設(shè)立且具備相應(yīng)資質(zhì)的信息系統(tǒng)工程監(jiān)理從項目監(jiān)理公司的角度來看，信息系統(tǒng)工程監(jiān)理的工作職責(zé)是完成用戶方的委托，對IT項目建設(shè)實施進行監(jiān)督管理。監(jiān)督管理的主要任務(wù)包括：協(xié)助甲方組織IT項目的招標(biāo)、評標(biāo)活動；協(xié)助甲方與中標(biāo)單位簽訂IT項目的開發(fā)合同；根據(jù)甲方的授權(quán)，監(jiān)督并管理開發(fā)合同的履行；根據(jù)監(jiān)理合同的要求，為甲方提供技術(shù)服務(wù)；監(jiān)理合同終止后，向甲方提交監(jiān)理工作報告。13.1信息系統(tǒng)工程監(jiān)理P.323從項目監(jiān)理公司的角度來看，信息系統(tǒng)工程監(jiān)理的工作職責(zé)是完成用13.1信息系統(tǒng)工程監(jiān)理13.1.1信息系統(tǒng)工程監(jiān)理概述P.3231）我國信息系統(tǒng)工程監(jiān)理的發(fā)展項目的成功需要一個站在公正立場上的第三方機構(gòu)對工程實施的過程進行質(zhì)量把關(guān)和管理協(xié)調(diào)。我國信息工程監(jiān)理開始邁向科學(xué)化、專業(yè)化和規(guī)范化。信息系統(tǒng)工程監(jiān)理工程師將逐步成為國民經(jīng)濟和社會信息化的指導(dǎo)者和執(zhí)法人。13.1信息系統(tǒng)工程監(jiān)理P.3231）我國信息系統(tǒng)工程監(jiān)理13.1信息系統(tǒng)工程監(jiān)理13.1.1信息系統(tǒng)工程監(jiān)理概述P.3242）信息系統(tǒng)工程監(jiān)理的資質(zhì)管理

國家重大信息化工程實行招標(biāo)制和工程監(jiān)理制，工程監(jiān)理承擔(dān)單位必須具有相關(guān)資質(zhì)。監(jiān)理單位資質(zhì)等級劃分從綜合條件、業(yè)績、監(jiān)理能力和人才實力四個方面進行區(qū)分。表13-1信息系統(tǒng)工程監(jiān)理單位資質(zhì)等級監(jiān)理能力對照簡表13.1信息系統(tǒng)工程監(jiān)理P.3242）信息系統(tǒng)工程監(jiān)理的資13.1信息系統(tǒng)工程監(jiān)理13.1.1信息系統(tǒng)工程監(jiān)理概述P.3253）IT項目工程監(jiān)理的相關(guān)知識

目標(biāo)：加強溝通，保證項目的關(guān)鍵技術(shù)指標(biāo)在項目實施過程中處于受控狀態(tài)。定位：依據(jù)國家有關(guān)法律法規(guī)、技術(shù)標(biāo)準(zhǔn)和IT項目工程監(jiān)理合同，對IT項目工程項目實施監(jiān)督管理，以保證IT項目工程的順利實施，達到預(yù)定的目標(biāo)。

范圍：監(jiān)理單位應(yīng)根據(jù)建設(shè)單位的意愿來商定監(jiān)理范圍和業(yè)務(wù)內(nèi)容。依據(jù)：國家的政策、法律法規(guī)、技術(shù)標(biāo)準(zhǔn)、行業(yè)規(guī)范以及合同的法律法規(guī)。13.1信息系統(tǒng)工程監(jiān)理P.3253）IT項目工程監(jiān)理的13.1信息系統(tǒng)工程監(jiān)理13.1.2IT項目監(jiān)理的主要內(nèi)容P.326四控制：質(zhì)量、進度、成本和變更控制；三管理：合同管理、信息管理和安全管理；一協(xié)調(diào)：協(xié)調(diào)相關(guān)單位及人員間的工作關(guān)系。13.1信息系統(tǒng)工程監(jiān)理P.326四控制：質(zhì)量、進度、成本13.1信息系統(tǒng)工程監(jiān)理13.1.3IT項目監(jiān)理的實施P.330IT項目工程監(jiān)理從承接監(jiān)理業(yè)務(wù)、簽訂委托監(jiān)理合同開始，到竣工驗收、出具監(jiān)理報告結(jié)束。包括準(zhǔn)備階段、立項階段、實施階段和驗收階段。

圖13-4項目監(jiān)理流程圖13.1信息系統(tǒng)工程監(jiān)理P.330IT項目工程監(jiān)理從承接監(jiān)13.2IT項目審計P.332IT項目審計是指對IT項目的規(guī)劃、開發(fā)、實施、運行和維護等各個環(huán)節(jié)進行評價，確保其符合企業(yè)經(jīng)營目標(biāo)的過程；IT項目審計是客觀獲取、評價與IT項目相關(guān)事項，對組織已建立的控制標(biāo)準(zhǔn)與風(fēng)險程度進行評估，并將最終結(jié)果向使用者進行公布的過程。通過對IT項目工程建設(shè)各環(huán)節(jié)的評估，確保其符合項目建設(shè)的預(yù)定目標(biāo)，并與企業(yè)經(jīng)營目標(biāo)和IT策略保持一致。13.2IT項目審計P.332IT項目審計是指對IT項目13.2IT項目審計13.2.1IT審計概述P.333信息技術(shù)及其運行環(huán)境方面不斷的變化、企業(yè)對信息技術(shù)的依賴性不斷增強，都對IT相關(guān)風(fēng)險的管理提出了更高的要求；外部的法律環(huán)境也要求更加嚴格地控制信息。與IT相關(guān)聯(lián)的風(fēng)險管理，正在作為企業(yè)治理的一個關(guān)鍵部分而加以理解，怎樣合理的評價IT風(fēng)險成為IT項目領(lǐng)域的新課題，IT審計在這種環(huán)境中應(yīng)運而生。13.2IT項目審計P.333信息技術(shù)及其運行環(huán)境方面13.2IT項目審計13.2.1IT審計概述P.333信息時代競爭的加劇、信息流的電子傳播方式使市場對及時了解相關(guān)信息的需求越來越多，現(xiàn)有財務(wù)報告模式的局限性日漸突出。

今天的利益相關(guān)者要求“即需即取”的、格式化的數(shù)據(jù)來幫助他們更好的進行投資決策，商業(yè)信息的在線和實時披露是不可扭轉(zhuǎn)的必然趨勢。

1）IT審計的重要意義

13.2IT項目審計P.333信息時代競爭的加劇、信息流13.2IT項目審計13.2.1IT審計概述P.333信息時代的財務(wù)報告模式將會是以企業(yè)的業(yè)績評估為基礎(chǔ)，在線的、實時的信息披露。在新經(jīng)濟環(huán)境中，要求信息系統(tǒng)審計師能夠以在線、實時的信息為基礎(chǔ)提供鑒證，通過多種方式來保護公眾利益、提供鑒證服務(wù)并滿足投資公眾對決策有用信息的訪問需要。1）IT審計的重要意義

13.2IT項目審計P.333信息時代的財務(wù)報告模式將會13.2IT項目審計13.2.1IT審計概述P.333信息化投資占企業(yè)整體投資的比例越來越大，企業(yè)中越來越多的業(yè)務(wù)流程都建立在IT系統(tǒng)之上；管理業(yè)務(wù)就是管理IT，兩者不可割裂。

1）IT審計的重要意義

13.2IT項目審計P.333信息化投資占企業(yè)整體投資的13.2IT項目審計13.2.1IT審計概述P.334當(dāng)人們開始更多的關(guān)注IT項目的安全性、保密性、完整性及其實現(xiàn)企業(yè)目標(biāo)的效率、效果，真正意義的IT項目風(fēng)險評估與審計才開始出現(xiàn)。隨著電子商務(wù)的全球普及，IT項目的審計對象、范圍及內(nèi)容將逐漸擴大，采用的技術(shù)也將日益復(fù)雜。1）IT審計的重要意義

13.2IT項目審計P.334當(dāng)人們開始更多的關(guān)注IT項13.2IT項目審計13.2.1IT審計概述P.335信息系統(tǒng)審計師（CISA）是指一批專家級的人士；CISA既通曉信息系統(tǒng)的軟件、硬件、開發(fā)、運營、維護、管理和安全，又熟悉業(yè)務(wù)運營管理的核心要義；CISA能夠利用規(guī)范和先進的審計技術(shù)，對信息系統(tǒng)的安全性、穩(wěn)定性和有效性進行審計、檢查、評價和改造。2）IT審計資質(zhì)認證13.2IT項目審計P.335信息系統(tǒng)審計師（CISA）13.2IT項目審計13.2.1IT審計概述P.335擁有CISA資格證書是持證人專業(yè)能力的展示，并成為專業(yè)程度的衡量基礎(chǔ)。隨著對信息系統(tǒng)審計、控制與安全專業(yè)人士需求量的增長，CISA已成為全球范圍內(nèi)個人與公司機構(gòu)不可或缺的認證。CISA資格證書代表持證人以卓越的能力服務(wù)于公司并致力于信息系統(tǒng)審計、控制與安全領(lǐng)域。2）IT審計資質(zhì)認證13.2IT項目審計P.335擁有CISA資格證書是持13.2IT項目審計13.2.1IT審計概述P.335注冊信息系統(tǒng)審計師資格考試包括信息系統(tǒng)審計流程和信息系統(tǒng)相關(guān)知識內(nèi)容：信息系統(tǒng)審計程序信息系統(tǒng)的管理、計劃與組織信息技術(shù)基礎(chǔ)設(shè)施與操作實務(wù)信息資產(chǎn)的保護災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計劃應(yīng)用系統(tǒng)開發(fā)、獲得、實施與維護業(yè)務(wù)處理流程評價與風(fēng)險管理2）IT審計資質(zhì)認證13.2IT項目審計P.335注冊信息系統(tǒng)審計師資格考試13.2IT項目審計13.2.1IT審計概述P.336信息系統(tǒng)戰(zhàn)略規(guī)劃與組織審計技術(shù)基礎(chǔ)平臺審計信息資產(chǎn)保護審計持續(xù)性管理與災(zāi)難恢復(fù)審計IT項目審計3）信息系統(tǒng)審計的分類

13.2IT項目審計P.336信息系統(tǒng)戰(zhàn)略規(guī)劃與組織審計13.2IT項目審計13.2.2信息系統(tǒng)審計的流程P.3371）企業(yè)信息系統(tǒng)策略和流程分析

圖13-5信息系統(tǒng)策略及流程分析13.2IT項目審計P.3371）企業(yè)信息系統(tǒng)策略和流程13.2IT項目審計13.2.2信息系統(tǒng)審計的流程P.3382）建立基于風(fēng)險的審計評估表表13-2基于風(fēng)險的審計評估表13.2IT項目審計P.3382）建立基于風(fēng)險的審計評估13.2IT項目審計13.2.2信息系統(tǒng)審計的流程P.3383）確定審計的技術(shù)和步驟表13-3審計測試方法一覽表13.2IT項目審計P.3383）確定審計的技術(shù)和步驟13.2IT項目審計13.2.2信息系統(tǒng)審計的流程P.3394）形成審計底稿和審計報告的初稿

表13-4審計底稿模板13.2IT項目審計P.3394）形成審計底稿和審計報告13.2IT項目審計13.2.2信息系統(tǒng)審計的流程P.3395）審計發(fā)現(xiàn)的解決和跟進當(dāng)審計完成并發(fā)現(xiàn)一些風(fēng)險隱患后，應(yīng)對發(fā)現(xiàn)的問題進行反饋；反饋的對象包括：流程的操作人員、高層管理人員和企業(yè)的審計委員會。提出建議，在與企業(yè)溝通探討后對解決方案進行確認，并跟蹤解決的效果。13.2IT項目審計P.3395）審計發(fā)現(xiàn)的解決和跟進當(dāng)13.2IT項目審計13.2.3基于COBIT的IT項目審計P.339信息及其相關(guān)技術(shù)控制目標(biāo)(COBIT)是一個IT治理的模型，是進行IT審計的重要依據(jù)。COBIT在上世紀(jì)90年代早期由國際信息系統(tǒng)審計協(xié)會（ISACA）提出，目前已成為國際上公認的IT管理與控制框架。COBIT已在世界一百多個國家的重要組織與企業(yè)中運用，指導(dǎo)這些組織有效地利用信息資源、管理與信息相關(guān)的風(fēng)險。13.2IT項目審計P.339信息及其相關(guān)技術(shù)控制目標(biāo)(13.2IT項目審計13.2.3基于COBIT的IT項目審計P.339COBIT提供了一個全面的涉及公司層面和整體運營的控制框架。它通過尋求支撐業(yè)務(wù)目標(biāo)或需求，尋求需要由IT過程來管理的IT相關(guān)資源聯(lián)合應(yīng)用的結(jié)果的信息，逐步接近理想的IT控制。

圖13-6COBIT概念框架13.2IT項目審計P.339COBIT提供了一個全面的13.2IT項目審計13.2.3基于COBIT的IT項目審計P.341在審計過程中，通常把IT項目建設(shè)分為：可行性研究和立項階段、項目規(guī)劃階段、實質(zhì)性開發(fā)階段、驗收維護階段。項目的安全管理與有效溝通是貫穿在整個項目的建設(shè)過程中的。4個階段、2個管理在項目建設(shè)中的34個IT過程是否符合企業(yè)預(yù)定目標(biāo)，成為項目成功的關(guān)鍵。審計人員在項目審計的過程中應(yīng)該進行全面分析和綜合評估。13.2IT項目審計P.341在審計過程中，通常把IT項13.2IT項目審計13.2.4IT項目工程監(jiān)理與IT項目審計的區(qū)別

P.348實施范圍的區(qū)別目的與目標(biāo)的區(qū)別服務(wù)對象的不同持續(xù)時間的不同采用的技術(shù)與方法的區(qū)別

13.2IT項目審計P.348實施范圍的區(qū)別P.349

IT項目監(jiān)理與審計是信息技術(shù)發(fā)展的產(chǎn)物，隨著組織對信息系統(tǒng)依賴度越來越高，IT項目工程監(jiān)理與審計將在企業(yè)IT治理起到更重要的作用。IT項目工程監(jiān)理是指依法設(shè)立且具備相應(yīng)資質(zhì)的IT項目監(jiān)理單位，受業(yè)主委托，依據(jù)法律法規(guī)、技術(shù)標(biāo)準(zhǔn)和工程監(jiān)理合同，對IT工程項目實施的監(jiān)督管理。IT項目工程監(jiān)理是組織外包于獨立第三方的管理業(yè)務(wù)，其工作職能包括規(guī)劃與組織、協(xié)調(diào)與溝通、控制、監(jiān)督與評價4個方面。IT項目監(jiān)理分為準(zhǔn)備階段、立項階段、實施階段和驗收階段4個階段?！拘〗Y(jié)】P.349IT項目監(jiān)理與審計是信息技術(shù)發(fā)展的產(chǎn)物，隨著組織P.349信息系統(tǒng)審計是客觀獲取、評價與信息系統(tǒng)相關(guān)事項，并對企業(yè)已建立的控制標(biāo)準(zhǔn)與風(fēng)險程度進行評估,并將最終結(jié)果向使用著進行公布的過程。信息系統(tǒng)審計的流程包括企業(yè)信息系統(tǒng)策略和流程分析、建立基于風(fēng)險的審計評估表、確定審計的技術(shù)和步驟、形成審計報告初稿和審計發(fā)現(xiàn)的解決和跟進5個步驟。信息系統(tǒng)的審計分為信息系統(tǒng)戰(zhàn)略規(guī)劃與組織審計、技術(shù)基礎(chǔ)平臺審計、信息資產(chǎn)保護審計、持續(xù)性管理和災(zāi)難恢復(fù)審計和IT項目審計。COBIT是一個IT治理的模型，是進行IT審計的重要依據(jù)，它通過尋求支撐業(yè)務(wù)目標(biāo)或需求的信息，獲取需要由IT過程來管理的相關(guān)資源聯(lián)合應(yīng)用的結(jié)果信息，以逐步接近理想的IT控制。

【小結(jié)】P.349信息系統(tǒng)審計是客觀獲取、評價與信息系統(tǒng)相關(guān)事項，并P.35013.4.1IT項目監(jiān)理的主要目標(biāo)是什么？項目監(jiān)理公司的工作職責(zé)有哪些？13.4.3請說明IT項目工程監(jiān)理的工作范圍，工作內(nèi)容和工作依據(jù)。13.4.4IT項目監(jiān)理人員，需要對IT項目的哪些環(huán)節(jié)進行控制與監(jiān)督？13.4.5IT項目審計的主要目標(biāo)是什么？IT項目審計的內(nèi)容包括哪些？13.4.6信息系統(tǒng)審計的流程有哪些？信息系統(tǒng)審計有哪幾類？13.4.7根據(jù)你的項目經(jīng)驗，按照表13-2所示的格式，編制一張基于風(fēng)險的審計評估表。13.4.11結(jié)合COBIT四個領(lǐng)域、34個控制過程，在軟件需求分析階段，需要牽涉到那些信息資源？需要實施那些領(lǐng)域的控制過程？這些控制過程需要達到什么樣的目標(biāo)？【習(xí)題與思考

】P.35013.4.1IT項目監(jiān)理的主要目標(biāo)是什么？項目5、世上最美好的事是：我已經(jīng)長大，父母還未老;我有能力報答，父母仍然健康。

6、沒什么可怕的，大家都一樣，在試探中不斷前行。

7、時間就像一張網(wǎng)，你撒在哪里，你的收獲就在哪里。紐扣第一顆就扣錯了，可你扣到最后一顆才發(fā)現(xiàn)。有些事一開始就是錯的，可只有到最后才不得不承認。

8、世上的事，只要肯用心去學(xué)，沒有一件是太晚的。要始終保持敬畏之心，對陽光，對美，對痛楚。

9、別再去抱怨身邊人善變，多懂一些道理，明白一些事理，畢竟每個人都是越活越現(xiàn)實。

10、山有封頂，還有彼岸，慢慢長途，終有回轉(zhuǎn)，余味苦澀，終有回甘。

11、人生就像是一個馬爾可夫鏈，你的未來取決于你當(dāng)下正在做的事，而無關(guān)于過去做完的事。

12、女人，要么有美貌，要么有智慧，如果兩者你都不占絕對優(yōu)勢，那你就選擇善良。

13、時間，抓住了就是黃金，虛度了就是流水。理想，努力了才叫夢想，放棄了那只是妄想。努力，雖然未必會收獲，但放棄，就一定一無所獲。

14、一個人的知識，通過學(xué)習(xí)可以得到;一個人的成長，就必須通過磨練。若是自己沒有盡力，就沒有資格批評別人不用心。開口抱怨很容易，但是閉嘴努力的人更加值得尊敬。

15、如果沒有人為你遮風(fēng)擋雨，那就學(xué)會自己披荊斬棘，面對一切，用倔強的驕傲，活出無人能及的精彩。5、人生每天都要笑，生活的下一秒發(fā)生什么，我們誰也不知道。所以，放下心里的糾結(jié)，放下腦中的煩惱，放下生活的不愉快，活在當(dāng)下。人生喜怒哀樂，百般形態(tài)，不如在心里全部淡然處之，輕輕一笑，讓心更自在，生命更恒久。積極者相信只有推動自己才能推動世界，只要推動自己就能推動世界。

6、人性本善，純?nèi)缜逑魉冬摖q。欲望與情緒如風(fēng)沙襲擾，把原本如天空曠蔚藍的心蒙蔽。但我知道，每個人的心靈深處，不管烏云密布還是陰淤蒼茫，但依然有一道彩虹，亮麗于心中某處。

7、每個人的心里，都藏著一個了不起的自己，只要你不頹廢，不消極，一直悄悄醞釀著樂觀，培養(yǎng)著豁達，堅持著善良，只要在路上，就沒有到達不了的遠方！

8、不要活在別人眼中，更不要活在別人嘴中。世界不會因為你的抱怨不滿而為你改變，你能做到的只有改變你自己！

9、欲戴王冠，必承其重。哪有什么好命天賜，不都是一路披荊斬棘才換來的。

10、放手如拔牙。牙被拔掉的那一刻，你會覺得解脫。但舌頭總會不由自主地往那個空空的牙洞里舔，一天數(shù)次。不痛了不代表你能完全無視，留下的那個空缺永遠都在，偶爾甚至?xí)惓炷?。適應(yīng)是需要時間的，但牙總是要拔，因為太痛，所以終歸還是要放手，隨它去。

11、這個世界其實很公平，你想要比別人強，你就必須去做別人不想做的事，你想要過更好的生活，你就必須去承受更多的困難，承受別人不能承受的壓力。

12、逆境給人寶貴的磨煉機會。只有經(jīng)得起環(huán)境考驗的人，才能算是真正的強者。自古以來的偉人，大多是抱著不屈不撓的精神，從逆境中掙扎奮斗過來的。

13、不同的人生，有不同的幸福。去發(fā)現(xiàn)你所擁有幸運，少抱怨上蒼的不公，把握屬于自己的幸福。你，我，我們大家都可以經(jīng)歷幸福的人生。

14、給自己一份堅強，擦干眼淚；給自己一份自信，不卑不亢；給自己一份灑脫，悠然前行。輕輕品，靜靜藏。為了看陽光，我來到這世上；為了與陽光同行，我笑對憂傷。

15、總不能流血就喊痛，怕黑就開燈，想念就聯(lián)系，疲憊就放空，被孤立就討好，脆弱就想家，不要被現(xiàn)在而蒙蔽雙眼，終究是要長大，最漆黑的那段路終要自己走完。5、從來不跌倒不算光彩，每次跌倒后能再站起來，才是最大的榮耀。

6、這個世界到處充滿著不公平，我們能做的不僅僅是接受，還要試著做一些反抗。

7、一個最困苦、最卑賤、最為命運所屈辱的人，只要還抱有希望，便無所怨懼。

8、有些人，因為陪你走的時間長了，你便淡然了，其實是他們給你撐起了生命的天空；有些人，分開了，就忘了吧，殘缺是一種大美。

9、照自己的意思去理解自己，不要小看自己，被別人的意見引入歧途。

10、沒人能讓我輸，除非我不想贏！

11、花開不是為了花落，而是為了開的更加燦爛。

12、隨隨便便浪費的時間，再也不能贏回來。

13、不管從什么時候開始，重要的是開始以后不要停止；不管在什么時候結(jié)束，重要的是結(jié)束以后不要后悔。

14、當(dāng)你決定堅持一件事情，全世界都會為你讓路。

15、只有在開水里，茶葉才能展開生命濃郁的香氣。5、世上最美好的事是：我已經(jīng)長大，父母還未老;我有能力報答，35IT項目管理

(ITPM)

InformationTechnologyProjectManagement

第十三章IT項目監(jiān)理與審計王如龍2022/12/1IT項目管理

(ITPM)

InformationT【課程回顧】流程是將輸入轉(zhuǎn)化為輸出的一組彼此相關(guān)的資源和活動。流程管理是一個操作性的定位描述，包括流程分析、流程定義與重定義、資源分配、時間安排、流程質(zhì)量與效率測評、流程優(yōu)化等。流程管理不僅是一種管理技術(shù)，更體現(xiàn)了現(xiàn)代管理的思想。理順I(yè)T項目管理的流程，已成為項目成功的關(guān)鍵?！菊n程回顧】流程是將輸入轉(zhuǎn)化為輸出的一組彼此相關(guān)的資源和活I(lǐng)T項目監(jiān)理與審計是信息技術(shù)發(fā)展的必然產(chǎn)物；隨著組織對信息系統(tǒng)依賴度越來越高，IT項目工程監(jiān)理與審計將在企業(yè)IT治理起到更重要的作用?！颈菊轮R要點】P.322IT項目監(jiān)理與審計是信息技術(shù)發(fā)展的必然產(chǎn)物；【本章知識要點】學(xué)習(xí)完本章后，應(yīng)當(dāng)掌握如下知識：（1）IT項目工程監(jiān)理與審計的重要性。（2）信息系統(tǒng)工程監(jiān)理資質(zhì)和IT審計資質(zhì)。（3）IT項目工程監(jiān)理的定位、范圍、依據(jù)和內(nèi)容。（4）IT項目監(jiān)理實施的4個階段。（5）信息系統(tǒng)審計的分類與流程。（6）基于COBIT的IT項目審計。（7）IT項目工程監(jiān)理與審計的區(qū)別?！颈菊轮R要點】P.322學(xué)習(xí)完本章后，應(yīng)當(dāng)掌握如下知識：【本章知識要點】P.322陷入沉思之中的周總周總是海天動力的技術(shù)總監(jiān)，具有豐富的企業(yè)生產(chǎn)管理和新產(chǎn)品開發(fā)經(jīng)驗。他主持的IT項目出現(xiàn)了問題，他陷入沉思之中。通過調(diào)研分析，他果斷地將監(jiān)理和審計引入企業(yè)信息化建設(shè)中，較好的解決了由于變更控制不到位所產(chǎn)生的成本提高、進度逾期等問題?！景咐?3-1】P.323陷入沉思之中的周總【案例13-1】P.323信息系統(tǒng)工程監(jiān)理是指依法設(shè)立且具備相應(yīng)資質(zhì)的信息系統(tǒng)工程監(jiān)理單位，受業(yè)主單位委托，依據(jù)國家有關(guān)法律法規(guī)、技術(shù)標(biāo)準(zhǔn)和信息系統(tǒng)工程監(jiān)理合同，對信息系統(tǒng)工程項目實施的監(jiān)督管理。13.1信息系統(tǒng)工程監(jiān)理P.323察看并加以管理信息系統(tǒng)工程監(jiān)理是指依法設(shè)立且具備相應(yīng)資質(zhì)的信息系統(tǒng)工程監(jiān)理從項目監(jiān)理公司的角度來看，信息系統(tǒng)工程監(jiān)理的工作職責(zé)是完成用戶方的委托，對IT項目建設(shè)實施進行監(jiān)督管理。監(jiān)督管理的主要任務(wù)包括：協(xié)助甲方組織IT項目的招標(biāo)、評標(biāo)活動；協(xié)助甲方與中標(biāo)單位簽訂IT項目的開發(fā)合同；根據(jù)甲方的授權(quán)，監(jiān)督并管理開發(fā)合同的履行；根據(jù)監(jiān)理合同的要求，為甲方提供技術(shù)服務(wù)；監(jiān)理合同終止后，向甲方提交監(jiān)理工作報告。13.1信息系統(tǒng)工程監(jiān)理P.323從項目監(jiān)理公司的角度來看，信息系統(tǒng)工程監(jiān)理的工作職責(zé)是完成用13.1信息系統(tǒng)工程監(jiān)理13.1.1信息系統(tǒng)工程監(jiān)理概述P.3231）我國信息系統(tǒng)工程監(jiān)理的發(fā)展項目的成功需要一個站在公正立場上的第三方機構(gòu)對工程實施的過程進行質(zhì)量把關(guān)和管理協(xié)調(diào)。我國信息工程監(jiān)理開始邁向科學(xué)化、專業(yè)化和規(guī)范化。信息系統(tǒng)工程監(jiān)理工程師將逐步成為國民經(jīng)濟和社會信息化的指導(dǎo)者和執(zhí)法人。13.1信息系統(tǒng)工程監(jiān)理P.3231）我國信息系統(tǒng)工程監(jiān)理13.1信息系統(tǒng)工程監(jiān)理13.1.1信息系統(tǒng)工程監(jiān)理概述P.3242）信息系統(tǒng)工程監(jiān)理的資質(zhì)管理

國家重大信息化工程實行招標(biāo)制和工程監(jiān)理制，工程監(jiān)理承擔(dān)單位必須具有相關(guān)資質(zhì)。監(jiān)理單位資質(zhì)等級劃分從綜合條件、業(yè)績、監(jiān)理能力和人才實力四個方面進行區(qū)分。表13-1信息系統(tǒng)工程監(jiān)理單位資質(zhì)等級監(jiān)理能力對照簡表13.1信息系統(tǒng)工程監(jiān)理P.3242）信息系統(tǒng)工程監(jiān)理的資13.1信息系統(tǒng)工程監(jiān)理13.1.1信息系統(tǒng)工程監(jiān)理概述P.3253）IT項目工程監(jiān)理的相關(guān)知識

目標(biāo)：加強溝通，保證項目的關(guān)鍵技術(shù)指標(biāo)在項目實施過程中處于受控狀態(tài)。定位：依據(jù)國家有關(guān)法律法規(guī)、技術(shù)標(biāo)準(zhǔn)和IT項目工程監(jiān)理合同，對IT項目工程項目實施監(jiān)督管理，以保證IT項目工程的順利實施，達到預(yù)定的目標(biāo)。

范圍：監(jiān)理單位應(yīng)根據(jù)建設(shè)單位的意愿來商定監(jiān)理范圍和業(yè)務(wù)內(nèi)容。依據(jù)：國家的政策、法律法規(guī)、技術(shù)標(biāo)準(zhǔn)、行業(yè)規(guī)范以及合同的法律法規(guī)。13.1信息系統(tǒng)工程監(jiān)理P.3253）IT項目工程監(jiān)理的13.1信息系統(tǒng)工程監(jiān)理13.1.2IT項目監(jiān)理的主要內(nèi)容P.326四控制：質(zhì)量、進度、成本和變更控制；三管理：合同管理、信息管理和安全管理；一協(xié)調(diào)：協(xié)調(diào)相關(guān)單位及人員間的工作關(guān)系。13.1信息系統(tǒng)工程監(jiān)理P.326四控制：質(zhì)量、進度、成本13.1信息系統(tǒng)工程監(jiān)理13.1.3IT項目監(jiān)理的實施P.330IT項目工程監(jiān)理從承接監(jiān)理業(yè)務(wù)、簽訂委托監(jiān)理合同開始，到竣工驗收、出具監(jiān)理報告結(jié)束。包括準(zhǔn)備階段、立項階段、實施階段和驗收階段。

圖13-4項目監(jiān)理流程圖13.1信息系統(tǒng)工程監(jiān)理P.330IT項目工程監(jiān)理從承接監(jiān)13.2IT項目審計P.332IT項目審計是指對IT項目的規(guī)劃、開發(fā)、實施、運行和維護等各個環(huán)節(jié)進行評價，確保其符合企業(yè)經(jīng)營目標(biāo)的過程；IT項目審計是客觀獲取、評價與IT項目相關(guān)事項，對組織已建立的控制標(biāo)準(zhǔn)與風(fēng)險程度進行評估，并將最終結(jié)果向使用者進行公布的過程。通過對IT項目工程建設(shè)各環(huán)節(jié)的評估，確保其符合項目建設(shè)的預(yù)定目標(biāo)，并與企業(yè)經(jīng)營目標(biāo)和IT策略保持一致。13.2IT項目審計P.332IT項目審計是指對IT項目13.2IT項目審計13.2.1IT審計概述P.333信息技術(shù)及其運行環(huán)境方面不斷的變化、企業(yè)對信息技術(shù)的依賴性不斷增強，都對IT相關(guān)風(fēng)險的管理提出了更高的要求；外部的法律環(huán)境也要求更加嚴格地控制信息。與IT相關(guān)聯(lián)的風(fēng)險管理，正在作為企業(yè)治理的一個關(guān)鍵部分而加以理解，怎樣合理的評價IT風(fēng)險成為IT項目領(lǐng)域的新課題，IT審計在這種環(huán)境中應(yīng)運而生。13.2IT項目審計P.333信息技術(shù)及其運行環(huán)境方面13.2IT項目審計13.2.1IT審計概述P.333信息時代競爭的加劇、信息流的電子傳播方式使市場對及時了解相關(guān)信息的需求越來越多，現(xiàn)有財務(wù)報告模式的局限性日漸突出。

今天的利益相關(guān)者要求“即需即取”的、格式化的數(shù)據(jù)來幫助他們更好的進行投資決策，商業(yè)信息的在線和實時披露是不可扭轉(zhuǎn)的必然趨勢。

1）IT審計的重要意義

13.2IT項目審計P.333信息時代競爭的加劇、信息流13.2IT項目審計13.2.1IT審計概述P.333信息時代的財務(wù)報告模式將會是以企業(yè)的業(yè)績評估為基礎(chǔ)，在線的、實時的信息披露。在新經(jīng)濟環(huán)境中，要求信息系統(tǒng)審計師能夠以在線、實時的信息為基礎(chǔ)提供鑒證，通過多種方式來保護公眾利益、提供鑒證服務(wù)并滿足投資公眾對決策有用信息的訪問需要。1）IT審計的重要意義

13.2IT項目審計P.333信息時代的財務(wù)報告模式將會13.2IT項目審計13.2.1IT審計概述P.333信息化投資占企業(yè)整體投資的比例越來越大，企業(yè)中越來越多的業(yè)務(wù)流程都建立在IT系統(tǒng)之上；管理業(yè)務(wù)就是管理IT，兩者不可割裂。

1）IT審計的重要意義

13.2IT項目審計P.333信息化投資占企業(yè)整體投資的13.2IT項目審計13.2.1IT審計概述P.334當(dāng)人們開始更多的關(guān)注IT項目的安全性、保密性、完整性及其實現(xiàn)企業(yè)目標(biāo)的效率、效果，真正意義的IT項目風(fēng)險評估與審計才開始出現(xiàn)。隨著電子商務(wù)的全球普及，IT項目的審計對象、范圍及內(nèi)容將逐漸擴大，采用的技術(shù)也將日益復(fù)雜。1）IT審計的重要意義

13.2IT項目審計P.334當(dāng)人們開始更多的關(guān)注IT項13.2IT項目審計13.2.1IT審計概述P.335信息系統(tǒng)審計師（CISA）是指一批專家級的人士；CISA既通曉信息系統(tǒng)的軟件、硬件、開發(fā)、運營、維護、管理和安全，又熟悉業(yè)務(wù)運營管理的核心要義；CISA能夠利用規(guī)范和先進的審計技術(shù)，對信息系統(tǒng)的安全性、穩(wěn)定性和有效性進行審計、檢查、評價和改造。2）IT審計資質(zhì)認證13.2IT項目審計P.335信息系統(tǒng)審計師（CISA）13.2IT項目審計13.2.1IT審計概述P.335擁有CISA資格證書是持證人專業(yè)能力的展示，并成為專業(yè)程度的衡量基礎(chǔ)。隨著對信息系統(tǒng)審計、控制與安全專業(yè)人士需求量的增長，CISA已成為全球范圍內(nèi)個人與公司機構(gòu)不可或缺的認證。CISA資格證書代表持證人以卓越的能力服務(wù)于公司并致力于信息系統(tǒng)審計、控制與安全領(lǐng)域。2）IT審計資質(zhì)認證13.2IT項目審計P.335擁有CISA資格證書是持13.2IT項目審計13.2.1IT審計概述P.335注冊信息系統(tǒng)審計師資格考試包括信息系統(tǒng)審計流程和信息系統(tǒng)相關(guān)知識內(nèi)容：信息系統(tǒng)審計程序信息系統(tǒng)的管理、計劃與組織信息技術(shù)基礎(chǔ)設(shè)施與操作實務(wù)信息資產(chǎn)的保護災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計劃應(yīng)用系統(tǒng)開發(fā)、獲得、實施與維護業(yè)務(wù)處理流程評價與風(fēng)險管理2）IT審計資質(zhì)認證13.2IT項目審計P.335注冊信息系統(tǒng)審計師資格考試13.2IT項目審計13.2.1IT審計概述P.336信息系統(tǒng)戰(zhàn)略規(guī)劃與組織審計技術(shù)基礎(chǔ)平臺審計信息資產(chǎn)保護審計持續(xù)性管理與災(zāi)難恢復(fù)審計IT項目審計3）信息系統(tǒng)審計的分類

13.2IT項目審計P.336信息系統(tǒng)戰(zhàn)略規(guī)劃與組織審計13.2IT項目審計13.2.2信息系統(tǒng)審計的流程P.3371）企業(yè)信息系統(tǒng)策略和流程分析

圖13-5信息系統(tǒng)策略及流程分析13.2IT項目審計P.3371）企業(yè)信息系統(tǒng)策略和流程13.2IT項目審計13.2.2信息系統(tǒng)審計的流程P.3382）建立基于風(fēng)險的審計評估表表13-2基于風(fēng)險的審計評估表13.2IT項目審計P.3382）建立基于風(fēng)險的審計評估13.2IT項目審計13.2.2信息系統(tǒng)審計的流程P.3383）確定審計的技術(shù)和步驟表13-3審計測試方法一覽表13.2IT項目審計P.3383）確定審計的技術(shù)和步驟13.2IT項目審計13.2.2信息系統(tǒng)審計的流程P.3394）形成審計底稿和審計報告的初稿

表13-4審計底稿模板13.2IT項目審計P.3394）形成審計底稿和審計報告13.2IT項目審計13.2.2信息系統(tǒng)審計的流程P.3395）審計發(fā)現(xiàn)的解決和跟進當(dāng)審計完成并發(fā)現(xiàn)一些風(fēng)險隱患后，應(yīng)對發(fā)現(xiàn)的問題進行反饋；反饋的對象包括：流程的操作人員、高層管理人員和企業(yè)的審計委員會。提出建議，在與企業(yè)溝通探討后對解決方案進行確認，并跟蹤解決的效果。13.2IT項目審計P.3395）審計發(fā)現(xiàn)的解決和跟進當(dāng)13.2IT項目審計13.2.3基于COBIT的IT項目審計P.339信息及其相關(guān)技術(shù)控制目標(biāo)(COBIT)是一個IT治理的模型，是進行IT審計的重要依據(jù)。COBIT在上世紀(jì)90年代早期由國際信息系統(tǒng)審計協(xié)會（ISACA）提出，目前已成為國際上公認的IT管理與控制框架。COBIT已在世界一百多個國家的重要組織與企業(yè)中運用，指導(dǎo)這些組織有效地利用信息資源、管理與信息相關(guān)的風(fēng)險。13.2IT項目審計P.339信息及其相關(guān)技術(shù)控制目標(biāo)(13.2IT項目審計13.2.3基于COBIT的IT項目審計P.339COBIT提供了一個全面的涉及公司層面和整體運營的控制框架。它通過尋求支撐業(yè)務(wù)目標(biāo)或需求，尋求需要由IT過程來管理的IT相關(guān)資源聯(lián)合應(yīng)用的結(jié)果的信息，逐步接近理想的IT控制。

圖13-6COBIT概念框架13.2IT項目審計P.339COBIT提供了一個全面的13.2IT項目審計13.2.3基于COBIT的IT項目審計P.341在審計過程中，通常把IT項目建設(shè)分為：可行性研究和立項階段、項目規(guī)劃階段、實質(zhì)性開發(fā)階段、驗收維護階段。項目的安全管理與有效溝通是貫穿在整個項目的建設(shè)過程中的。4個階段、2個管理在項目建設(shè)中的34個IT過程是否符合企業(yè)預(yù)定目標(biāo)，成為項目成功的關(guān)鍵。審計人員在項目審計的過程中應(yīng)該進行全面分析和綜合評估。13.2IT項目審計P.341在審計過程中，通常把IT項13.2IT項目審計13.2.4IT項目工程監(jiān)理與IT項目審計的區(qū)別

P.348實施范圍的區(qū)別目的與目標(biāo)的區(qū)別服務(wù)對象的不同持續(xù)時間的不同采用的技術(shù)與方法的區(qū)別

13.2IT項目審計P.348實施范圍的區(qū)別P.349

IT項目監(jiān)理與審計是信息技術(shù)發(fā)展的產(chǎn)物，隨著組織對信息系統(tǒng)依賴度越來越高，IT項目工程監(jiān)理與審計將在企業(yè)IT治理起到更重要的作用。IT項目工程監(jiān)理是指依法設(shè)立且具備相應(yīng)資質(zhì)的IT項目監(jiān)理單位，受業(yè)主委托，依據(jù)法律法規(guī)、技術(shù)標(biāo)準(zhǔn)和工程監(jiān)理合同，對IT工程項目實施的監(jiān)督管理。IT項目工程監(jiān)理是組織外包于獨立第三方的管理業(yè)務(wù)，其工作職能包括規(guī)劃與組織、協(xié)調(diào)與溝通、控制、監(jiān)督與評價4個方面。IT項目監(jiān)理分為準(zhǔn)備階段、立項階段、實施階段和驗收階段4個階段?！拘〗Y(jié)】P.349IT項目監(jiān)理與審計是信息技術(shù)發(fā)展的產(chǎn)物，隨著組織P.349信息系統(tǒng)審計是客觀獲取、評價與信息系統(tǒng)相關(guān)事項，并對企業(yè)已建立的控制標(biāo)準(zhǔn)與風(fēng)險程度進行評估,并將最終結(jié)果向使用著進行公布的過程。信息系統(tǒng)審計的流程包括企業(yè)信息系統(tǒng)策略和流程分析、建立基于風(fēng)險的審計評估表、確定審計的技術(shù)和步驟、形成審計報告初稿和審計發(fā)現(xiàn)的解決和跟進5個步驟。信息系統(tǒng)的審計分為信息系統(tǒng)戰(zhàn)略規(guī)劃與組織審計、技術(shù)基礎(chǔ)平臺審計、信息資產(chǎn)保護審計、持續(xù)性管理和災(zāi)難恢復(fù)審計和IT項目審計。COBIT是一個IT治理的模型，是進行IT審計的重要依據(jù)，它通過尋求支撐業(yè)務(wù)目標(biāo)或需求的信息，獲取需要由IT過程來管理的相關(guān)資源聯(lián)合應(yīng)用的結(jié)果信息，以逐步接近理想的IT控制。

【小結(jié)】P.349信息系統(tǒng)審計是客觀獲取、評價與信息系統(tǒng)相關(guān)事項，并P.35013.4.1IT項目監(jiān)理的主要目標(biāo)是什么？項目監(jiān)理公司的工作職責(zé)有哪些？13.4.3請說明IT項目工程監(jiān)理的工作范圍，工作內(nèi)容和工作依據(jù)。13.4.4IT項目監(jiān)理人員，需要對IT項目的哪些環(huán)節(jié)進行控制與監(jiān)督？13.4.5IT項目審計的主要目標(biāo)是什么？IT項目審計的內(nèi)容包括哪些？13.4.6信息系統(tǒng)審計的流程有哪些？信息系統(tǒng)審計有哪幾類？13.4.7根據(jù)你的項目經(jīng)驗，按照表13-2所示的格式，編制一張基于風(fēng)險的審計評估表。13.4.11結(jié)合COBIT四個領(lǐng)域、34個控制過程，在軟件需求分析階段，需要牽涉到那些信息資源？需要實施那些領(lǐng)域的控制過程？這些控制過程需要達到什么樣的目標(biāo)？【習(xí)題與思考

】P.35013.4.1IT項目監(jiān)理的主要目標(biāo)是什么？項目5、世上最美好的事是：我已經(jīng)長大，父母還未老;我有能力報答，父母仍然健康。

6、沒什么可怕的，大家都一樣，在試探中不斷前行。

7、時間就像一張網(wǎng)，你撒在哪里，你的收獲就在哪里。紐扣第一顆就扣錯了，可你扣到最后一顆才發(fā)現(xiàn)。有些事一開始就是錯的，可只有到最后才不得不承認。

8、世上的事，只要肯用心去學(xué)，沒有一件是太晚的。要始終保持敬畏之心，對陽光，對美，對痛楚。

9、別再去抱怨身邊