|
IT審計-項目管理篇
中國系統(tǒng)分析師/中國系統(tǒng)分析員顧問團高級顧問 張華(來自CSAI.cn)
在進入本文之前����,針對目前對IT審計的概念,有必要做一些澄清。采用計算機作為審計手段就叫做計算機審計,這樣容易與IT審計相混淆。前者的計算機系統(tǒng)
是手段�,后者的計算機系統(tǒng)是被審計對象�。IT審計關注的對象是信息系統(tǒng)及其整個生命周期��。當然不同的信息系統(tǒng)生命模型對應的IT審計流程也就自然不一樣���,
因此我們在實施IT審計的時候切忌千篇一律�����。
目前項目管理越來越受到IT界的重視���,軟件項目管理的質量在很大程度上影響著信息系統(tǒng)開發(fā)的績效�����,從軟件項目管理角度進行有效地審計�,成為IT審計中
一大亮點��。本文不想對軟件項目管理與IT審計的關系做太多論述,而是以列表的方式列舉實施軟件項目管理應注意的審計要點�,供項目管理者和IT審計師們參
考,一來項目經理可以通過本列表對自身的項目管理存在的缺陷做一些分析�,二來IT審計師們可以直接利用本列表生成有關軟件項目管理的審計報告的主要部分。
該列表基本包括項目管理(PMI體系)的絕大多數(shù)實施點�����,適用于不同復雜度和規(guī)模的項目���,IT審計師們可以自行根據(jù)實際情況有所增刪����。
軟件項目管理審計列表
1.0 軟件項目管理審計目的
項目管理審計的目的應該達到下列要求:
項目具有清晰的目標��、職責劃分和歸屬
成本和收益得到清晰的定義和監(jiān)控
項目在項目計劃的范圍��、時間和預算限制內得以成功地完成
2.0 軟件項目管理審計風險
主要的風險在于:
項目范圍和計劃與組織的需求不一致
存在時間延遲
成本超支
資源不足以滿足項目目標
人員組織結構不合理
項目未能達到目標
3.0 安全和控制
3.1 項目特征
項目管理流程是否包括計劃���、組織、監(jiān)控等內容
項目是否被劃分為子流程/階段
子流程/階段是有明確的定義
3.2 項目管理流程中的質量
在組織中哪些流程是通過成本�、資源、時間等利用來確保項目高效的進行的
組織中是否具有保證項目質量的行動指南和流程 3.3 戰(zhàn)略流程
顧客和供應商是否需要清晰地知道項目相關的流程是否滿足他們的需求
項目是否作為一個計劃好的和獨立的流程集合被執(zhí)行
在組織��、項目團隊、顧客���、供應商間有無明確的權責劃分
項目進度評估體系是否存在�����,如果存在�,如何評估
質量屬性是否存在于項目管理流程中(方法�����、文檔�、預防措施、復核�����、跟蹤�、培訓等)
是否存在支持項目目標的組織結構
項目決定是否基于數(shù)據(jù)和事實上的信息
是否指派一有責任心、有威信的項目經理負責項目
在項目的流程改進中是否存在一個收集和分析相關信息的機制
3.4 具有關聯(lián)性的管理流程(時間�����、資源、順序等有依賴關系的流程)
3.4.1 概要
誰負責管理項目流程中具有關聯(lián)性的流程的
3.4.2 項目初始化和項目計劃展開
是否存在良好的項目和質量計劃����,如果有,它是否符合時宜�����,誰負責管理
項目計劃是否設計為可以跟蹤(度量�����、評估)���,如果否��,是否存在一些非正式的跟蹤方法
項目的目標是否滿足合同的需求��,如果是���,是否進行了合同的復核
與項目相關的記錄是否得到較好的管理
所有復核和進度評估中包括項目計劃嗎��?如果是�,復核和評估中還包括預防和矯正的界限嗎
存在什么樣的項目接口(聯(lián)絡體制、報告制度、組織功能)����?它們是否定義項目計劃,它們控制項目計劃 3.4.3 互動管理
在項目的組織之上�,是否存在對項目實施進行互動的項目團隊,諸如項目風險小組����、項目效率評估團體、項目溝通團體等
3.4.4 項目變更
項目中是否包括變更管理流程/方法
項目變更管理流程中是否包括書面化的控制機制
3.4.5 項目結束
項目結束時��,有關項目的所有記錄是否保存一段時間
項目結束時��,是否對項目結束的相關情況進行復核
3.5 與范圍相關的流程
3.5.1 概要
客戶的需求是如何映射到具體活動中去的
具體活動與項目目標的關聯(lián)性如何
3.5.2 范圍展開和控制
項目范圍是否得以展開
存在項目范圍展開和控制的相應方法和解決方案嗎
3.5.3 活動定義(任務��、工作包���、工作分解結構WBS)
已經定義的所有的活動是否有對應的負責人和執(zhí)行者
活動的輸出是否可以度量
3.5.4 活動控制
活動是否明確定義并按項目計劃進行展開
對活動的復核是否有相應的計劃
已定義活動的相關變化是否在項目計劃中得以更新
3.6 與時間相關的管理流程
3.6.1 概要
是否存在一個與時間相關的管理流程來確定活動間的相關性(時間)和估算項目時間
是否有一個清晰的時間表
3.6.2 活動依賴性計劃
是否定義了項目活動間的邏輯順序��、關聯(lián)和依賴等關系(用網絡圖)
3.6.3 時間估算
誰為項目中活動的時間估算負責
活動時間估算是否與項目資源相關聯(lián)
時間分配是否包括相關活動的準備時間
3.6.4 進度開發(fā)
項目進度表格式如何
關鍵事件�����、里程碑���、進度評估����、關鍵活動是否在進度計劃中標識清楚
3.6.5 進度控制
影響項目目標的變更在處理前是否得到顧客和供貨商的首肯
項目計劃修訂頻度如何
3.7 與成本關聯(lián)的流程
3.7.1 概要
項目成本如何滿足最初預算限制的
3.7.2 成本估算
項目成本是否得到清晰定義�,如果是,誰做的
項目成本開銷是否與定義的活動相關聯(lián)
項目估算中是否包括風險成分����,該風險成分如何控制
項目中是否建立相應的成本估算流程,它與組織的財務核算流程是否一致
3.7.3 預算
項目預算是否與項目需求���、假設���、風險和偶然性被書面化定義
3.7.4 成本控制
項目的采購/花費需求的流程如何定義
成本控制是否被流程化,誰為成本控制負責
項目支出記錄是否被復核����、控制和維護
導致項目預算變化的因素是否被標識,如果有�����,是否在項目預算復核中
3.8 與資源相關的流程
3.8.1 概要
項目中是否進行資源計劃和分配
3.8.2 資源計劃
是否有存在項目資源計劃
3.8.3 資源控制
如何確知現(xiàn)有的資源能夠滿足項目需要
3.9 人員相關的管理流程
3.9.1 概要
是否建立了一個項目組織結構
是否建立了一個項目組織的溝通體制
項目組織結構是否符合項目范圍��、大小和特定的條件
項目組織結構包括顧客和供應商嗎
有關項目的角色�����、職權�����、崗位描述是否得到書面的定義
項目組織結構的可行性和適合性的復核頻度如何
3.9.2 職員定位
項目成員選擇符合員工的定位嗎
項目成員的教育背景��、知識�����、經驗是否存在記錄
項目經理是否具有指派權
項目人員是否工作高效
3.9.3 團隊開發(fā)
項目組是否得到表彰和獎賞
項目的環(huán)境是否為一維持良好的工作關系�、信任、尊敬和開放式的溝通的環(huán)境
3.10 與溝通關聯(lián)的流程
3.10.1 概要
項目計劃中包括溝通計劃嗎
"項目流程報告"中包含項目溝通部分嗎
3.10.2 信息管理
信息管理的流程是否包括下列過程
準備信息
收集信息
信息歸類
信息散發(fā)
篩選信息
更新信息
更正信息(錯誤信息)
項目會議中有無議事事項
3.10.3 溝通控制
項目的溝通計劃是否得到監(jiān)控和復核以確保滿足項目需求
3.11與風險相關管理流程
3.11.1 概要
項目生命周期內風險識別的頻度如何
這些風險如何得到控制����?
3.11.2 風險評估
風險的發(fā)生頻度、影響范圍�、可識別程度得到評估了嗎
何種評估技術被用于衡量風險優(yōu)先級、控制���、記錄已標識的風險
對進度����、預算發(fā)生影響的風險是否得到區(qū)分、對待
3.11.3 風險控制
項目計劃中是否包括偶然性計劃或意外計劃
項目風險是否在項目進度報告中
3.12 與采購相關的流程
3.12.1 概要
項目計劃中是否包括采購流程
該流程是否包含項目內部和外部采購的途徑
在項目組織結構是否定義了與采購相對應角色
采購流程是否得到審核
3.12.2 需求文檔
項目中有無采購文檔
戶的需求是否列入采購文檔中
采購文檔是否得到嚴格審核以確保所有采購需求說明完全
3.12.3 子承包商評價
與項目相關的子承包商是否得以評價(技術經驗�����、時間����、質量控制系統(tǒng)、財務狀況等)����?
3.12.4 子承包流程
與項目相關的信息時如何傳遞并提供給子承包商的?
子承包商的估價如何���?
3.12.5 合同控制
項目中是否包括所有合同需求��、應付日期�����、相關記錄的管理流程�����?
對子承包商的合同執(zhí)行情況的檢查頻度如何
在項目結束前的所有合同是否得到復核和更新�����?
3.13 項目結束
項目結束時��,項目組織是否收集���、存儲、更新�����、和審核項目 的有關信息
項目結束時���,有關項目績效���、優(yōu)秀的經驗是否得到審核,客戶是否參與其審核
預算和目標的花費是否達到預期目標��,是否與項目賬目相符
4.0 項目評估
Seriously Deficient(極差)
沒有項目相關的管理流程(計劃��、組織����、監(jiān)控�、實施)
項目范圍未能符合項目目標
組織渙散����、時間和成本嚴重超支
項目組成員的技能未能達到項目的需求
項目結果未能符合項目目標
Weak(較差)
項目管理流程雖然存在、但未能正確的執(zhí)行
項目范圍與項目目標不一致
組織渙散����、出現(xiàn)時間和成本超支
項目組成員的技能未能達到項目的高效性需求
項目結果未能完全符合項目目標
Satisfactory(滿意)
基本的流程符合定義、基本滿足項目目標
項目控制環(huán)境效率較高�,時間和成本基本固定、超支部分不嚴重
項目組成員的技能達到項目的需求
項目結果基本符合項目目標
Good(好)
項目管理流程得到定義
項目范圍在項目目標的范圍限定內
項目符合時間和預算限制
項目組成員的技能達到項目的需求
項目達到預期目標
Very Good(非常好)
項目管理流程得到清晰地定義���、項目的計劃�、組織���、實施與監(jiān)控符合組織目標��。
項目符合時間和預算限制甚至大大低于限定值�����。
項目完全符合預期目標�。
優(yōu)秀的項目經驗得到標識并提供給其它項目管理過程復用。
回《信息工程》頁
|
