19.9.5IT项目管理InformationTechnologyProjectManagement王如龙第十三章IT项目监理与审计第13章IT项目监理与审计单击此处编辑母版文本样式第二级第三级第四级第五级2/36流程是将输入转化为输出的一组彼此相关的资源和活动。流程管理是一个操作性的定位描述,包括流程分析、流程定义与重定义、资源分配、时间安排、流程质量与效率测评、流程优化等。流程管理不仅是一种管理技术,更体现了现代管理的思想。理顺IT项目管理的流程,已成为项目成功的关键。【课程回顾】第13章IT项目监理与审计单击此处编辑母版文本样式第二级第三级第四级第五级3/36IT项目监理与审计是信息技术发展的必然产物;随着组织对信息系统依赖度越来越高,IT项目工程监理与审计将在企业IT治理起到更重要的作用。P.322【本章知识要点】第13章IT项目监理与审计单击此处编辑母版文本样式第二级第三级第四级第五级4/36学习完本章后,应当掌握如下知识:(1)IT项目工程监理与审计的重要性。(2)信息系统工程监理资质和IT审计资质。(3)IT项目工程监理的定位、范围、依据和内容。(4)IT项目监理实施的4个阶段。(5)信息系统审计的分类与流程。(6)基于COBIT的IT项目审计。(7)IT项目工程监理与审计的区别。P.322【本章知识要点】第13章IT项目监理与审计单击此处编辑母版文本样式第二级第三级第四级第五级5/36陷入沉思之中的周总周总是海天动力的技术总监,具有丰富的企业生产管理和新产品开发经验。他主持的IT项目出现了问题,他陷入沉思之中。通过调研分析,他果断地将监理和审计引入企业信息化建设中,较好的解决了由于变更控制不到位所产生的成本提高、进度逾期等问题。P.323【案例13-1】第13章IT项目监理与审计单击此处编辑母版文本样式第二级第三级第四级第五级6/36信息系统工程监理是指依法设立且具备相应资质的信息系统工程监理单位,受业主单位委托,依据国家有关法律法规、技术标准和信息系统工程监理合同,对信息系统工程项目实施的监督管理。P.323察看并加以管理13.1信息系统工程监理第13章IT项目监理与审计单击此处编辑母版文本样式第二级第三级第四级第五级7/36从项目监理公司的角度来看,信息系统工程监理的工作职责是完成用户方的委托,对IT项目建设实施进行监督管理。监督管理的主要任务包括:协助甲方组织IT项目的招标、评标活动;协助甲方与中标单位签订IT项目的开发合同;根据甲方的授权,监督并管理开发合同的履行;根据监理合同的要求,为甲方提供技术服务;监理合同终止后,向甲方提交监理工作报告。P.32313.1信息系统工程监理第13章IT项目监理与审计单击此处编辑母版文本样式第二级第三级第四级第五级8/36P.323项目的成功需要一个站在公正立场上的第三方机构对工程实施的过程进行质量把关和管理协调。我国信息工程监理开始迈向科学化、专业化和规范化。信息系统工程监理工程师将逐步成为国民经济和社会信息化的指导者和执法人。13.1信息系统工程监理13.1.1信息系统工程监理概述1)我国信息系统工程监理的发展第13章IT项目监理与审计单击此处编辑母版文本样式第二级第三级第四级第五级9/36P.324国家重大信息化工程实行招标制和工程监理制,工程监理承担单位必须具有相关资质。监理单位资质等级划分从综合条件、业绩、监理能力和人才实力四个方面进行区分。表13-1信息系统工程监理单位资质等级监理能力对照简表13.1信息系统工程监理13.1.1信息系统工程监理概述2)信息系统工程监理的资质管理第13章IT项目监理与审计单击此处编辑母版文本样式第二级第三级第四级第五级10/36P.325目标:加强沟通,保证项目的关键技术指标在项目实施过程中处于受控状态。定位:依据国家有关法律法规、技术标准和IT项目工程监理合同,对IT项目工程项目实施监督管理,以保证IT项目工程的顺利实施,达到预定的目标。范围:监理单位应根据建设单位的意愿来商定监理范围和业务内容。依据:国家的政策、法律法规、技术标准、行业规范以及合同的法律法规。13.1信息系统工程监理13.1.1信息系统工程监理概述3)IT项目工程监理的相关知识第13章IT项目监理与审计单击此处编辑母版文本样式第二级第三级第四级第五级11/36P.326四控制:质量、进度、成本和变更控制;三管理:合同管理、信息管理和安全管理;一协调:协调相关单位及人员间的工作关系。13.1信息系统工程监理13.1.2IT项目监理的主要内容第13章IT项目监理与审计单击此处编辑母版文本样式第二级第三级第四级第五级12/36P.330IT项目工程监理从承接监理业务、签订委托监理合同开始,到竣工验收、出具监理报告结束。包括准备阶段、立项阶段、实施阶段和验收阶段。图13-4项目监理流程图13.1信息系统工程监理13.1.3IT项目监理的实施第13章IT项目监理与审计单击此处编辑母版文本样式第二级第三级第四级第五级13/36P.332IT项目审计是指对IT项目的规划、开发、实施、运行和维护等各个环节进行评价,确保其符合企业经营目标的过程;IT项目审计是客观获取、评价与IT项目相关事项,对组织已建立的控制标准与风险程度进行评估,并将最终结果向使用者进行公布的过程。通过对IT项目工程建设各环节的评估,确保其符合项目建设的预定目标,并与企业经营目标和IT策略保持一致。13.2IT项目审计第13章IT项目监理与审计单击此处编辑母版文本样式第二级第三级第四级第五级14/36P.333信息技术及其运行环境方面不断的变化、企业对信息技术的依赖性不断增强,都对IT相关风险的管理提出了更高的要求;外部的法律环境也要求更加严格地控制信息。与IT相关联的风险管理,正在作为企业治理的一个关键部分而加以理解,怎样合理的评价IT风险成为IT项目领域的新课题,IT审计在这种环境中应运而生。13.2IT项目审计13.2.1IT审计概述第13章IT项目监理与审计单击此处编辑母版文本样式第二级第三级第四级第五级15/36P.333信息时代竞争的加剧、信息流的电子传播方式使市场对及时了解相关信息的需求越来越多,现有财务报告模式的局限性日渐突出。今天的利益相关者要求“即需即取”的、格式化的数据来帮助他们更好的进行投资决策,商业信息的在线和实时披露是不可扭转的必然趋势。13.2IT项目审计13.2.1IT审计概述1)IT审计的重要意义第13章IT项目监理与审计单击此处编辑母版文本样式第二级第三级第四级第五级16/36P.333信息时代的财务报告模式将会是以企业的业绩评估为基础,在线的、实时的信息披露。在新经济环境中,要求信息系统审计师能够以在线、实时的信息为基础提供鉴证,通过多种方式来保护公众利益、提供鉴证服务并满足投资公众对决策有用信息的访问需要。13.2IT项目审计13.2.1IT审计概述1)IT审计的重要意义第13章IT项目监理与审计单击此处编辑母版文本样式第二级第三级第四级第五级17/36P.333信息化投资占企业整体投资的比例越来越大,企业中越来越多的业务流程都建立在IT系统之上;管理业务就是管理IT,两者不可割裂。13.2IT项目审计13.2.1IT审计概述1)IT审计的重要意义第13章IT项目监理与审计单击此处编辑母版文本样式第二级第三级第四级第五级18/36P.334当人们开始更多的关注IT项目的安全性、保密性、完整性及其实现企业目标的效率、效果,真正意义的IT项目风险评估与审计才开始出现。随着电子商务的全球普及,IT项目的审计对象、范围及内容将逐渐扩大,采用的技术也将日益复杂。13.2IT项目审计13.2.1IT审计概述1)IT审计的重要意义第13章IT项目监理与审计单击此处编辑母版文本样式第二级第三级第四级第五级19/36P.335信息系统审计师(CISA)是指一批专家级的人士;CISA既通晓信息系统的软件、硬件、开发、运营、维护、管理和安全,又熟悉业务运营管理的核心要义;CISA能够利用规范和先进的审计技术,对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造。13.2IT项目审计13.2.1IT审计概述2)IT审计资质认证第13章IT项目监理与审计单击此处编辑母版文本样式第二级第三级第四级第五级20/36P.335拥有CISA资格证书是持证人专业能力的展示,并成为专业程度的衡量基础。随着对信息系统审计、控制与安全专业人士需求量的增长,CISA已成为全球范围内个人与公司机构不可或缺的认证。CISA资格证书代表持证人以卓越的能力服务于公司并致力于信息系统审计、控制与安全领域。13.2IT项目审计13.2.1IT审计概述2)IT审计资质认证第13章IT项目监理与审计单击此处编辑母版文本样式第二级第三级第四级第五级21/36P.335注册信息系统审计师资格考试包括信息系统审计流程和信息系统相关知识内容:①信息系统审计程序②信息系统的管理、计划与组织③信息技术基础设施与操作实务④信息资产的保护⑤灾难恢复与业务持续计划⑥应用系统开发、获得、实施与维护⑦业务处理流程评价与风险管理13.2IT项目审计13.2.1IT审计概述2)IT审计资质认证第13章IT项目监理与审计单击此处编辑母版文本样式第二级第三级第四级第五级22/36P.336①信息系统战略规划与组织审计技术基础平台审计信息资产保护审计持续性管理与灾难恢复审计IT项目审计13.2IT项目审计13.2.1IT审计概述3)信息系统审计的分类第13章IT项目监理与审计单击此处编辑母版文本样式第二级第三级第四级第五级23/36P.337图13-5信息系统策略及流程分析13.2IT项目审计13.2.2信息系统审计的流程1)企业信息系统策略和流程分析第13章IT项目监理与审计单击此处编辑母版文本样式第二级第三级第四级第五级24/36P.338表13-2基于风险的审计评估表13.2IT项目审计13.2.2信息系统审计的流程2)建立基于风险的审计评估表第13章IT项目监理与审计单击此处编辑母版文本样式第二级第三级第四级第五级25/36P.338表13-3审计测试方法一览表13.2IT项目审计13.2.2信息系统审计的流程3)确定审计的技术和步骤第13章IT项目监理与审计单击此处编辑母版文本样式第二级第三级第四级第五级26/36P.339表13-4审计底稿模板13.2IT项目审计13.2.2信息系统审计的流程4)形成审计底稿和审计报告的初稿第13章IT项目监理与审计单击此处编辑母版文本样式第二级第三级第四级第五级27/36P.339当审计完成并发现一些风险隐患后,应对发现的问题进行反馈;反馈的对象包括:流程的操作人员、高层管理人员和企业的审计委员会。提出建议,在与企业沟通探讨后对解决方案进行确认,并跟踪解决的效果。13.2IT项目审计13.2.2信息系统审计的流程5)审计发现的解决和跟进第13章IT项目监理与审计单击此处编辑母版文本样式第二级第三级第四级第五级28/36P.339信息及其相关技术控制目标(COBIT)是一个IT治理的模型,是进行IT审计的重要依据。COBIT在上世纪90年代早期由国际信息系统审计协会(ISACA)提出,目前已成为国际上公认的IT管理与控制框架。COBIT已在世界一百多个国家的重要组织与企业中运用,指导这些组织有效地利用信息资源、管理与信息相关的风险。13.2IT项目审计13.2.3基于COBIT的IT项目审计第13章IT项目监理与审计单击此处编辑母版文本样式第二级第三级第四级第五级29/36P.339COBIT提供了一个全面的涉及公司层面和整体运营的控制框架。它通过寻求支撑业务目标或需求,寻求需要由IT过程来管理的IT相关资源联合应用的结果的信息,逐步接近理想的IT控制。图13-6COBIT概念框架13.2IT项目审计13.2.3基于COBIT的IT项目审计第13章IT项目监理