http://www.mypm.net/articles/show_article_content.asp?articleID=14980&pageNO=1
http://blog.vsharing.com/itgov/A884471.html
企業運營及管理越來越依賴於信息技術,同時監管機構對企業風險管理的要求也越來越明確,對包括軟件研發項目管理在內的信息系統規劃、建設及運行進行審計成爲檢驗企業風險管理充分性與有效性的重要手段。因此我選擇軟件研發項目管理的審計過程和方法作爲碩士論文的研究對象,並在2009年3月14日順利通過答辯。本論文在對軟件研發項目風險管理和信息系統審計方法進行理論研究的基礎上,重點對軟件研發項目管理的審計過程及方法進行了深入的研究。 training.mypm.net
項目管理論壇
首先,在COSO全面風險管理模型的基礎上提出了軟件研發風險管理框架,對軟件研發項目管理審計的過程進行了明確,並按照軟件研發項目管理過程的六個階段(項目啓動、需求分析、軟件設計、編碼及測試、試運行及發佈、項目收尾)給出了軟件研發項目管理的風險控制矩陣,明確了各階段的控制目標、風險描述、最佳控制實踐及相應的測試方法,爲對軟件研發項目管理過程進行評價提供了基礎。
項目管理論壇
接着,本論文又給出了軟件研發項目管理水平的定量評價模型,該評價模型從軟件研發項目管理過程及管理結果(項目進度、項目成本和項目質量目標的實現程度)兩個方面對軟件研發項目管理情況進行整體評價,按照評價得分情況將軟件研發項目管理水平分爲五個等級。 training.mypm.net
最後,本文通過案例研究的方式對軟件研發項目管理審計流程、方法和評價模型的科學性和實用性進行了實證。 blog.mypm.net
blog.mypm.net
1、項目啓動
軟件研發項目管理的審計作爲一個審計項目其項目啓動的過程與傳統的審計項目類似。在信息系統審計項目的啓動階段主要是對審計對象、審計範圍進行確定並據此制定審計計劃、組成審計團隊。
信息系統審計項目或者是作爲內部控制審計項目的子項目或者是作爲某次專項審計而出現。在確定進行信息系統審計後,首先任命審計項目負責人,審計項目負責人應熟悉審計方法論,對審計標準、審計活動的組織十分了解,同時具有較強的項目管理能力。由於審計對象本身的專業性比較強,不少組織將自己的信息系統審計項目外包,在這種情況下,審計項目負責人需要與外包單位簽訂審計協議,對審計項目的相關內容進行規範。
在審計項目啓動階段,最重要的是確定審計目標,審計目標或者是爲了滿足監管要求,或者是爲了提高被審計單位的信息系統風險管控水平。審計項目負責人需要與審計發起者共同協商確定審計目標。軟件研發項目管理的審計目標一般是爲了發現軟件研發管理過程中存在的問題,對軟件研發項目風險管理中存在的薄弱環節提出改進意見和建議,以加強對軟件研發項目的管理,從根本上保證軟件研發項目的成功。
審計範圍需要根據審計目標結合被審計對象的實際情況確定。軟件研發項目管理是一個完整的過程,實際審計過程中既可以對軟件研發項目管理的全過程進行審計,也可以選擇組織認爲問題比較嚴重的某幾個環節進行審計。同時軟件研發項目管理體現在具體的軟件研發項目中,爲了能對組織的軟件研發項目管理狀況有一個整體的印象,需要對多個軟件研發項目的管理過程進行審計。因此對軟件研發項目管理進行審計,既可以針對單個軟件研發項目進行,也可以對企業軟件研發項目管理的整體情況進行評價。
根據確定的審計目標和審計範圍,信息系統審計項目負責人需要制定審計計劃,編制審計方案,準備審計工具等。信息系統項目審計計劃包括審計進度計劃、人員組織計劃等,審計進度計劃應合理設置審計項目的里程碑,如審計項目啓動、初步調研、現場審計、審計分析、審計報告編制等,根據審計發起人確定的最終項目完成時間或者審計內容合理安排各階段的進度;審計組人員主要包括審計項目負責人、審計師、項目管理專家、資深軟件研發工程師、文檔管理員等,需要根據相關人員的時間安排合理確定人員調配計劃,必要時還可能外聘相關專業人員參加。
在確定了審計目標、審計範圍,制定了審計計劃和審計方案之後,應組織召開審計項目啓動會議,除了審計項目組人員之外,還應邀請被審計單位負責人蔘加項目啓動會議。在信息系統審計項目啓動會議上,審計項目負責人應對審計目標、審計範圍、審計計劃進行介紹,爲了保證審計的效果,對審計方案應有選擇地向被審計單位介紹。審計項目啓動會議的目的是爲了統一審計組人員的認識,同時得到被審計單位的支持。
2、信息調研
對軟件研發項目管理進行審計,需要對被審計單位軟件研發項目管理的現狀進行調研,重點了解被審計單位項目的組織情況、項目管理的過程、項目管理內容以及項目管理的有關制度、流程,收集軟件研發項目管理相關的過程文檔。信息調研的目的是爲了在熟悉被審計單位軟件研發項目管理現狀的基礎上,爲編制風險控制矩陣,制定控制測試計劃提供素材。爲了提高工作效率,使被審計單位更好地配合審計項目的工作,審計項目組應擬定“需被審計單位提供的文檔資料清單”。
對軟件研發項目管理的主要調研內容如下:
1)、被審計單位項目治理架構;
2)、被審計單位項目管理的組織架構及職能分工;
3)、被審計單位頒佈的有關項目管理的制度、流程、指南等;
4)、被審計單位軟件研發項目管理的過程及存在的問題;
5)、被審計單位軟件研發項目風險管理的過程及存在的問題;
6)、被審計單位三年內完成或正在進行的軟件研發項目清單;
7)、上述軟件研發項目的項目立項、需求分析、設計、編碼、測試及投產等階段相關的技術文檔和項目管理文檔;
8)、以往軟件研發項目管理審計的審計底稿;
9)、三年內的與軟件研發項目管理相關的外部審計與內部審計報告;
10)、…..
3、控制矩陣編制
在這個階段,審計項目組首先應對軟件研發項目管理每個階段的控制目標進行明確,這些控制目標一般是根據風險管理控制措施對保證項目目標達成的角度來確定的。軟件研發項目每個階段的風險管理控制目標一般都是固定的,必要時應根據被審計單位軟件研發項目管理的實際情況進行修訂。對應軟件研發項目各個階段的管理控制目標,審計項目組應根據項目管理的最佳實踐,結合監管部門的有關要求,明確每個階段的最佳風險控制措施。
對收集到的被審計單位軟件研發項目管理相關資料的基礎上,結合現場訪談調研的結果,對應軟件研發的各個階段列出被審計單位現有的風險管理控制措施。按照控制目標、最佳控制實踐,對被審計單位現有軟件研發項目管理的控制措施進行差距分析,明確被審計單位軟件研發項目管理過程的風險大小,對風險比較大的控制措施應作爲下一階段控制測試的重點。
對軟件研發項目管理控制目標、最佳控制措施、現有控制措施以及軟件研發項目風險管理控制的差距以風險控制矩陣的形式記錄。
4、控制測試及分析
對風險控制的審計主要是從控制措施的充分性和有效性進行分析,從而確定被審計單位軟件研發項目管理的狀況。所謂控制措施的充分性主要是指組織根據軟件研發項目管理過程風險分析的結果,確定了軟件研發項目管理的風險管理策略,並在此基礎據上制定了合適的軟件研發項目管理流程、制度。如果這些管理制度、流程能夠有效落實,那麼組織的軟件發研發項目管理將能夠滿足有關要求,保證軟件研發項目目標的實現。
對於軟件研發項目管理過程控制措施的充分性,審計人員利用自己的知識、經驗通過分析就可以得出結論。對於軟件研發項目管理過程控制措施的有效性驗證則需要通過控制測試來實現。在風險控制矩陣中,按照軟件研發項目的不同階段分別列出了現有項目管理過程存在風險的對應控制措施,審計人員需要根據不同控制措施的實際情況,制定控制測試方案,來檢查這些控制措施是否在實際的軟件研發項目管理過程中得到了有效落實。
5、審計報告及建議
在完成對被審計單位軟件研發項目管理過程的控制測試及分析後,需要將審計發現、審計結論及建議等有關內容按照規範的格式形成審計報告。在最後審閱審計工作底稿的基礎上,審計項目負責人召開審計小組的內部會議,對記錄的審計發現、結論和建議進行充分的討論,評估發現問題的重要性並決定是否予以報告。
對軟件研發項目管理的審計結論既可以在定性分析的基礎上給出,也可以進行定量分析後給出。定性分析主要由審計項目組按照軟件研發項目管理的不同階段,對控制測試的結果進行分析,進而形成對被審計單位軟件研發項目管理的整體印象。定量分析主要是通過對軟件研發項目各階段以及每個階段的主要控制目標進行賦值,然後進行加權彙總,然後根據總體得分情況確定被審計單位軟件研發項目管理的等級水平。在實際的審計項目中,對小型的審計項目一般採用定性分析的方式,對比較複雜的審計項目一般採用定量分析和定性分析相結合的方式。
審計建議的基礎是審計人員在對被審計單位軟件研發項目管理審計中的發現和結論,它們要求採取措施糾正存在的問題或改進操作。對於軟件研發項目管理的審計來說,審計人員應爲被審計單位提出軟件研發項目管理的改進建議,改進建議應符合被審計單位的實際情況,具有一定的可操作性。
通常,正式的最終書面審計報告應該包括背景介紹,審查範圍,意見或評價,發現的問題、建議和結論,被審查者的評論等幾個方面的內容。審計報告要在現場審計實施完成後及時予以編寫,並在語法、風格和技術上給予恰當的考慮,達到客觀,簡潔、及時並富有建設性的標準。
6、後續監督
在內部審計實務中,作爲完整審計過程的一個階段,後續監督意味對報告中反映的問題進行跟蹤檢查,確認管理層針對已報告的審計發現和建議所採取的行動是否適當、有效和及時的過程。《內部審計專業實務標準》指出,內部審計人員應該進行後續跟蹤,以確定對已報告的審計發現是否採取了恰當的糾正措施:確定糾正的措施是否已經實施並正在取得預期的效果,或者是確定企業管理當局(或董事會審計委員會)是否對已報告的發現已經承擔了不採取糾正的風險。