IT审计-项目管理篇
转自:content/08/0113/10/12961_968921.shtml
中国系统分析师/中国系统分析员顾问团高级顾问 张华(来自 )
在进入本文之前,针对目前对IT审计的概念,有必要做一些澄清。采用计算机作为审计手段就叫做计算机审计,这样容易与IT审计相混淆。前者的计算机系统是手段,后者的计算机系统是被审计对象。IT审计关注的对象是信息系统及其整个生命周期。当然不同的信息系统生命模型对应的IT审计流程也就自然不一样,因此我们在实施IT审计的时候切忌千篇一律。
目前项目管理越来越受到IT界的重视,软件项目管理的质量在很大程度上影响着信息系统开发的绩效,从软件项目管理角度进行有效地审计,成为IT审计中一大亮点。本文不想对软件项目管理与IT审计的关系做太多论述,而是以列表的方式列举实施软件项目管理应注意的审计要点,供项目管理者和IT审计师们参考,一来项目经理可以通过本列表对自身的项目管理存在的缺陷做一些分析,二来IT审计师们可以直接利用本列表生成有关软件项目管理的审计报告的主要部分。该列表基本包括项目管理(PMI体系)的绝大多数实施点,适用于不同复杂度和规模的项目,IT审计师们可以自行根据实际情况有所增删。
软件项目管理审计列表
1.0 软件项目管理审计目的
项目管理审计的目的应该达到下列要求:
项目具有清晰的目标、职责划分和归属
成本和收益得到清晰的定义和监控
项目在项目计划的范围、时间和预算限制内得以成功地完成
2.0 软件项目管理审计风险
主要的风险在于:
项目范围和计划与组织的需求不一致
存在时间延迟
成本超支
资源不足以满足项目目标
人员组织结构不合理
项目未能达到目标
3.0 安全和控制
3.1 项目特征
项目管理流程是否包括计划、组织、监控等内容
项目是否被划分为子流程/阶段
子流程/阶段是有明确的定义
3.2 项目管理流程中的质量
在组织中哪些流程是通过成本、资源、时间等利用来确保项目高效的进行的
组织中是否具有保证项目质量的行动指南和流程 3.3 战略流程
顾客和供应商是否需要清晰地知道项目相关的流程是否满足他们的需求
项目是否作为一个计划好的和独立的流程集合被执行
在组织、项目团队、顾客、供应商间有无明确的权责划分
项目进度评估体系是否存在,如果存在,如何评估
质量属性是否存在于项目管理流程中(方法、文档、预防措施、复核、跟踪、培训等)
是否存在支持项目目标的组织结构
项目决定是否基于数据和事实上的信息
是否指派一有责任心、有威信的项目经理负责项目
在项目的流程改进中是否存在一个收集和分析相关信息的机制
3.4 具有关联性的管理流程(时间、资源、顺序等有依赖关系的流程)
3.4.1 概要
谁负责管理项目流程中具有关联性的流程的
3.4.2 项目初始化和项目计划展开
是否存在良好的项目和质量计划,如果有,它是否符合时宜,谁负责管理
项目计划是否设计为可以跟踪(度量、评估),如果否,是否存在一些非正式的跟踪方法
项目的目标是否满足合同的需求,如果是,是否进行了合同的复核
与项目相关的记录是否得到较好的管理
所有复核和进度评估中包括项目计划吗?如果是,复核和评估中还包括预防和矫正的界限吗
存在什么样的项目接口(联络体制、报告制度、组织功能)?它们是否定义项目计划,它们控制项目计划 3.4.3 互动管理
在项目的组织之上,是否存在对项目实施进行互动的项目团队,诸如项目风险小组、项目效率评估团体、项目沟通团体等
3.4.4 项目变更
项目中是否包括变更管理流程/方法
项目变更管理流程中是否包括书面化的控制机制
3.4.5 项目结束
项目结束时,有关项目的所有记录是否保存一段时间
项目结束时,是否对项目结束的相关情况进行复核
3.5 与范围相关的流程
3.5.1 概要
客户的需求是如何映射到具体活动中去的
具体活动与项目目标的关联性如何
3.5.2 范围展开和控制
项目范围是否得以展开
存在项目范围展开和控制的相应方法和解决方案吗
3.5.3 活动定义(任务、工作包、工作分解结构WBS)
已经定义的所有的活动是否有对应的负责人和执行者
活动的输出是否可以度量
3.5.4 活动控制
活动是否明确定义并按项目计划进行展开
对活动的复核是否有相应的计划
已定义活动的相关变化是否在项目计划中得以更新
3.6 与时间相关的管理流程
3.6.1 概要
是否存在一个与时间相关的管理流程来确定活动间的相关性(时间)和估算项目时间
是否有一个清晰的时间表
3.6.2 活动依赖性计划
是否定义了项目活动间的逻辑顺序、关联和依赖等关系(用网络图)
3.6.3 时间估算
谁为项目中活动的时间估算负责
活动时间估算是否与项目资源相关联
时间分配是否包括相关活动的准备时间
3.6.4 进度开发
项目进度表格式如何
关键事件、里程碑、进度评估、关键活动是否在进度计划中标识清楚
3.6.5 进度控制
影响项目目标的变更在处理前是否得到顾客和供货商的首肯
项目计划修订频度如何
3.7 与成本关联的流程
3.7.1 概要
项目成本如何满足最初预算限制的
3.7.2 成本估算
项目成本是否得到清晰定义,如果是,谁做的
项目成本开销是否与定义的活动相关联
项目估算中是否包括风险成分,该风险成分如何控制
项目中是否建立相应的成本估算流程,它与组织的财务核算流程是否一致
3.7.3 预算
项目预算是否与项目需求、假设、风险和偶然性被书面化定义
3.7.4 成本控制
项目的采购/花费需求的流程如何定义
成本控制是否被流程化,谁为成本控制负责
项目支出记录是否被复核、控制和维护
导致项目预算变化的因素是否被标识,如果有,是否在项目预算复核中
3.8 与资源相关的流程
3.8.1 概要
项目中是否进行资源计划和分配
3.8.2 资源计划
是否有存在项目资源计划
3.8.3 资源控制
如何确知现有的资源能够满足项目需要
3.9 人员相关的管理流程
3.9.1 概要
是否建立了一个项目组织结构
是否建立了一个项目组织的沟通体制
项目组织结构是否符合项目范围、大小和特定的条件
项目组织结构包括顾客和供应商吗
有关项目的角色、职权、岗位描述是否得到书面的定义
项目组织结构的可行性和适合性的复核频度如何
3.9.2 职员定位
项目成员选择符合员工的定位吗
项目成员的教育背景、知识、经验是否存在记录
项目经理是否具有指派权
项目人员是否工作高效
3.9.3 团队开发
项目组是否得到表彰和奖赏
项目的环境是否为一维持良好的工作关系、信任、尊敬和开放式的沟通的环境
3.10 与沟通关联的流程
3.10.1 概要
项目计划中包括沟通计划吗
"项目流程报告"中包含项目沟通部分吗
3.10.2 信息管理
信息管理的流程是否包括下列过程
准备信息
收集信息
信息归类
信息散发
筛选信息
更新信息
更正信息(错误信息)
项目会议中有无议事事项
3.10.3 沟通控制
项目的沟通计划是否得到监控和复核以确保满足项目需求
3.11与风险相关管理流程
3.11.1 概要
项目生命周期内风险识别的频度如何
这些风险如何得到控制?
3.11.2 风险评估
风险的发生频度、影响范围、可识别程度得到评估了吗
何种评估技术被用于衡量风险优先级、控制、记录已标识的风险
对进度、预算发生影响的风险是否得到区分、对待
3.11.3 风险控制
项目计划中是否包括偶然性计划或意外计划
项目风险是否在项目进度报告中
3.12 与采购相关的流程
3.12.1 概要
项目计划中是否包括采购流程
该流程是否包含项目内部和外部采购的途径
在项目组织结构是否定义了与采购相对应角色
采购流程是否得到审核
3.12.2 需求文档
项目中有无采购文档
户的需求是否列入采购文档中
采购文档是否得到严格审核以确保所有采购需求说明完全
3.12.3 子承包商评价
与项目相关的子承包商是否得以评价(技术经验、时间、质量控制系统、财务状况等)?
3.12.4 子承包流程
与项目相关的信息时如何传递并提供给子承包商的?
子承包商的估价如何?
3.12.5 合同控制
项目中是否包括所有合同需求、应付日期、相关记录的管理流程?
对子承包商的合同执行情况的检查频度如何
在项目结束前的所有合同是否得到复核和更新?
3.13 项目结束
项目结束时,项目组织是否收集、存储、更新、和审核项目 的有关信息
项目结束时,有关项目绩效、优秀的经验是否得到审核,客户是否参与其审核
预算和目标的花费是否达到预期目标,是否与项目账目相符
4.0 项目评估
Seriously Deficient(极差)
没有项目相关的管理流程(计划、组织、监控、实施)
项目范围未能符合项目目标
组织涣散、时间和成本严重超支
项目组成员的技能未能达到项目的需求
项目结果未能符合项目目标
Weak(较差)
项目管理流程虽然存在、但未能正确的执行
项目范围与项目目标不一致
组织涣散、出现时间和成本超支
项目组成员的技能未能达到项目的高效性需求
项目结果未能完全符合项目目标
Satisfactory(满意)
基本的流程符合定义、基本满足项目目标
项目控制环境效率较高,时间和成本基本固定、超支部分不严重
项目组成员的技能达到项目的需求
项目结果基本符合项目目标
Good(好)
项目管理流程得到定义
项目范围在项目目标的范围限定内
项目符合时间和预算限制
项目组成员的技能达到项目的需求
项目达到预期目标
Very Good(非常好)
项目管理流程得到清晰地定义、项目的计划、组织、实施与监控符合组织目标。
项目符合时间和预算限制甚至大大低于限定值。
项目完全符合预期目标。
优秀的项目经验得到标识并提供给其它项目管理过程复用。
|