论文部分内容阅读
[摘要]本文以風险为导向,重点关注资产保护及资源的高效利用,具体探讨信息化项目管理审计“五阶段”的审计要点。
[关键词]信息化 项目 五阶段 管理审计
信息化项目按照建设方式可分为自主开发建设、外包开发、采购通用产品;按照实施内容可分为开发类、工程类、资源类、规划类和标准类。本文所指信息化项目主要涉及机房基础设施更新改造项目、网络建设项目、机房计算机设备更新改造项目以及软件开发项目等。
一、基于ITSS“五阶段”的审计框架
(一)ITSS的“五阶段”
ITSS(信息技术服务标准)由国家信息技术服务标准工作组在工业和信息化部、国家标准化管理委员会共同指导下研究制定,既是我国IT服务行业最佳实践的总结,也是IT服务研发、供应、推广和应用等成果的结晶。ITSS原理如图1所示。
ITSS组成要素包括人员、流程、技术和资源;ITSS生命周期由规划设计、部署实施、服务运营、持续改进、监督管理五个阶段组成。
(二)基于ITSS“五阶段”的审计框架
结合ITSS原理,从信息化项目管理审计角度出发,提出“五阶段”的审计框架(如图2所示)。基于IT服务生命周期的审计思维,信息化项目管理审计应从信息技术服务标准的视角开展,确保审计开展的全面性和专业性。“五阶段”信息化项目管理审计组成要素包括组织能力、规划设计、部署实施、服务运营、监督管理,既考虑了ITSS中IT服务生命周期,又兼顾了IT服务组成要素。
“五阶段”审计框架由ITSS产生,依托ITSS连贯的逻辑体系,改变了信息化项目审计在不同阶段不连贯、相互遗漏的风险,将信息化项目的审计分布在IT服务不同阶段的不同过程,有机整合为一个井然有序、良性循环的整体,使IT审计的质量得以不断改进和提升。
二、基于“五阶段”的信息化项目管理审计
(一)组织能力
关注信息化项目规章制度建立健全情况,如是否覆盖整个信息化项目建设过程;关注信息化项目机制的建立以及整个生命周期指导、协调和监督责任划分与落实情况,分析评价管理运行模式,评价组织管理的适当性和规范性;关注信息化建设是否具有近期与远景规划,避免盲目建设、建设生命周期短、重复度较高,造成不必要的资源浪费;关注信息系统建设是否缺乏统一规划,造成信息化项目建设杂而乱,难以统一管理,不能满足数据集中管理以及大数据发展的需求。
此外,应关注质量管理体系的建立是否符合科学经济、安全可靠、开放稳定的基本原则;项目建设各阶段衔接是否紧密,信息沟通与相互配合是否有效;项目投产前是否明确管理使用和运行维护责任部门,明确项目立项、技术方案确定、重大变更等重要事项决策程序;项目的人员配置、职责分工是否明确,是否具备信息化项目管理的知识、经验和技能要求,对项目实施过程中的质量、过程、资源和技术是否都能清楚地掌握,管理人员是否为参加过信息化项目的专业人才。
(二)规划设计
信息化项目立项:立项流程要规范可行,项目管理部门、承建部门、需求部门分工明确,沟通与协商机制运行通畅。
信息化项目可行性:应对建设目标和可衡量的业务功能等规范性进行评审。
信息化项目建设目标:应明确、合理,经过规范、专业、系统的规划和设计,满足相关业务发展的需要,形成最终的总体技术、建设实施方案。
信息化项目建设的安全性:项目建设需求和设计环节应结合业务,采用安全技术标准和建立安全控制体系对项目的物理安全、信息安全进行规划和设计。
项目应用技术:应具有一定前瞻性、扩充性和先进性,设计兼顾持续升级改造计划。
此外,项目规划设计应考虑知识产权保护、保密协议、项目安全目标、业务连续性目标和系统安全保护等级设定;项目批准立项之后关注启动不及时现象,超过一定的期限应重新开展立项评估工作,及时制订项目实施方案,一般包括技术方案、进度方案、应急方案、资源管理、项目预算等,检查实施方案审核流程的规范性、项目可行性分析的充分性、预算核定以及项目立项审批的合理性。
(三)部署实施
项目部署实施应遵循相应的建设指导规范,如机房建设规范指导、软件开发规范和信息系统建设安全指引等,形成必要的技术文档和实施资料。
项目部署进度:根据项目计划和采购时间及早提交采购需求,采购的软硬件到货后组织验收,留存验收文档,在此期间关注项目采购的风险、采购的决策和执行程序是否公开、透明,检查采购合同是否有效履行,是否存在未按期交付和未满足系统需求的情况。
项目测试:常见的测试包括功能测试、性能测试、安全测试、信息安全等级保护测试、数据安全性测试、用户测试等;分析信息化项目引入第三方测试的必要性,以及第三方测试的资格是否符合项目保密要求,建立第三方测试规范。
项目变更:是指项目因制度、政策、标准、技术要求、业务需求等变化,导致项目功能、技术架构和方案、实施计划等与项目任务或立项计划不一致,出现暂停、终止等情况。应根据涉及的资金、时间、技术等要素的调整情况划分变更的重要程度,根据不同程度的变更以及轻重缓急建立相应的变更流程。项目的变更次数超过两次或一个适度阈值,应进行变更评估,确保项目的进度、资金与预定任务符合预期。变更结束后要对变更进行绩效管理,加强项目变更风险的防控。
(四)服务运营
项目的上线运行应建立审核流程,程序源代码及其相关技术文档形成最终版,试运行通过方可投产应用。项目的验收工作一般分为阶段性验收和总体性验收,其中阶段性验收分布在硬件的到货验收、需求分析、设计开发、信息安全、试运行等项目开展过程中的重要节点;总体性验收包含项目总体目标的实现情况、预算支出情况以及阶段性验收情况等。参与项目验收的人员应熟悉项目任务,掌握项目的建设管理情况,根据验收结论及问题答复情况编制项目验收报告。
信息化项目档案是记录和反映项目建设、项目管理以及运行维护等过程中形成的以纸张、磁盘、光盘、磁带、实物等形式存在的具有保存价值的文字、图表、声像等历史记录,是项目后期升级、风险管理和故障追溯的重要史料。项目档案的收集整理工作应与项目建设同步进行,防止项目结束后突击补充资料。档案的管理应统一分类,资料齐全,归档及时,整齐有序,查阅方便,严防丢失和泄密,确保档案的完整、准确、安全、保密和有效利用。档案借阅应履行借阅审批手续,填写借阅登记簿。
(五)监督管理
项目监督管理需关注项目建设的效益性、重复投资和重复建设情况、新建项目功能是否类似或具有可替代性。项目建设各阶段工作是否在计划时间内完成且达到预定建设目标,项目进度、成本和质量控制措施是否得到有效控制与实施且达到预期效果。
项目的资金拨付情况:应与项目进度相匹配,项目进行过程中针对项目的监管情况,如建立月报或者季度报送机制,报送的情况不限于项目进展情况、采购进度、资金拨付、项目预估风险或者已发生风险和资源的准备等,不定期组织开展项目绩效评审。项目运行一段时间后,应组织项目相关部门进行项目使用、运行后评估,形成最终的评估报告。
项目建设外包的经济性、有效性和风险管理:分析公开招投标流程,综合评价项目承建单位的市场信誉、资质条件、财务状况、技术服务能力、业务经验等;关注外包合同签订的规范性、准确性和有效性,评估是否满足技术和服务外包合同的基本要求,监督合同履行情况,指出外包项目面临的风险。
数据安全:应加强数据收集、存储、传输、处理过程的管理,防范数据泄露、被篡改与不当使用的风险,保障数据安全。信息化项目中的数据安全管理应遵循分级分类、确保安全、统一标准、充分利用、责任明确等原则。
基于以上“五阶段”的信息化项目审计框架,以风险为导向,贯穿信息化项目的整个生命周期,为大数据、人工智能时代的信息化基础建设服务,为信息战略规划发展保驾护航。
(作者单位:中国人民银行乌鲁木齐中心支行,邮政编码:830001,电子邮箱:[email protected])
[关键词]信息化 项目 五阶段 管理审计
信息化项目按照建设方式可分为自主开发建设、外包开发、采购通用产品;按照实施内容可分为开发类、工程类、资源类、规划类和标准类。本文所指信息化项目主要涉及机房基础设施更新改造项目、网络建设项目、机房计算机设备更新改造项目以及软件开发项目等。
一、基于ITSS“五阶段”的审计框架
(一)ITSS的“五阶段”
ITSS(信息技术服务标准)由国家信息技术服务标准工作组在工业和信息化部、国家标准化管理委员会共同指导下研究制定,既是我国IT服务行业最佳实践的总结,也是IT服务研发、供应、推广和应用等成果的结晶。ITSS原理如图1所示。
ITSS组成要素包括人员、流程、技术和资源;ITSS生命周期由规划设计、部署实施、服务运营、持续改进、监督管理五个阶段组成。
(二)基于ITSS“五阶段”的审计框架
结合ITSS原理,从信息化项目管理审计角度出发,提出“五阶段”的审计框架(如图2所示)。基于IT服务生命周期的审计思维,信息化项目管理审计应从信息技术服务标准的视角开展,确保审计开展的全面性和专业性。“五阶段”信息化项目管理审计组成要素包括组织能力、规划设计、部署实施、服务运营、监督管理,既考虑了ITSS中IT服务生命周期,又兼顾了IT服务组成要素。
“五阶段”审计框架由ITSS产生,依托ITSS连贯的逻辑体系,改变了信息化项目审计在不同阶段不连贯、相互遗漏的风险,将信息化项目的审计分布在IT服务不同阶段的不同过程,有机整合为一个井然有序、良性循环的整体,使IT审计的质量得以不断改进和提升。
二、基于“五阶段”的信息化项目管理审计
(一)组织能力
关注信息化项目规章制度建立健全情况,如是否覆盖整个信息化项目建设过程;关注信息化项目机制的建立以及整个生命周期指导、协调和监督责任划分与落实情况,分析评价管理运行模式,评价组织管理的适当性和规范性;关注信息化建设是否具有近期与远景规划,避免盲目建设、建设生命周期短、重复度较高,造成不必要的资源浪费;关注信息系统建设是否缺乏统一规划,造成信息化项目建设杂而乱,难以统一管理,不能满足数据集中管理以及大数据发展的需求。
此外,应关注质量管理体系的建立是否符合科学经济、安全可靠、开放稳定的基本原则;项目建设各阶段衔接是否紧密,信息沟通与相互配合是否有效;项目投产前是否明确管理使用和运行维护责任部门,明确项目立项、技术方案确定、重大变更等重要事项决策程序;项目的人员配置、职责分工是否明确,是否具备信息化项目管理的知识、经验和技能要求,对项目实施过程中的质量、过程、资源和技术是否都能清楚地掌握,管理人员是否为参加过信息化项目的专业人才。
(二)规划设计
信息化项目立项:立项流程要规范可行,项目管理部门、承建部门、需求部门分工明确,沟通与协商机制运行通畅。
信息化项目可行性:应对建设目标和可衡量的业务功能等规范性进行评审。
信息化项目建设目标:应明确、合理,经过规范、专业、系统的规划和设计,满足相关业务发展的需要,形成最终的总体技术、建设实施方案。
信息化项目建设的安全性:项目建设需求和设计环节应结合业务,采用安全技术标准和建立安全控制体系对项目的物理安全、信息安全进行规划和设计。
项目应用技术:应具有一定前瞻性、扩充性和先进性,设计兼顾持续升级改造计划。
此外,项目规划设计应考虑知识产权保护、保密协议、项目安全目标、业务连续性目标和系统安全保护等级设定;项目批准立项之后关注启动不及时现象,超过一定的期限应重新开展立项评估工作,及时制订项目实施方案,一般包括技术方案、进度方案、应急方案、资源管理、项目预算等,检查实施方案审核流程的规范性、项目可行性分析的充分性、预算核定以及项目立项审批的合理性。
(三)部署实施
项目部署实施应遵循相应的建设指导规范,如机房建设规范指导、软件开发规范和信息系统建设安全指引等,形成必要的技术文档和实施资料。
项目部署进度:根据项目计划和采购时间及早提交采购需求,采购的软硬件到货后组织验收,留存验收文档,在此期间关注项目采购的风险、采购的决策和执行程序是否公开、透明,检查采购合同是否有效履行,是否存在未按期交付和未满足系统需求的情况。
项目测试:常见的测试包括功能测试、性能测试、安全测试、信息安全等级保护测试、数据安全性测试、用户测试等;分析信息化项目引入第三方测试的必要性,以及第三方测试的资格是否符合项目保密要求,建立第三方测试规范。
项目变更:是指项目因制度、政策、标准、技术要求、业务需求等变化,导致项目功能、技术架构和方案、实施计划等与项目任务或立项计划不一致,出现暂停、终止等情况。应根据涉及的资金、时间、技术等要素的调整情况划分变更的重要程度,根据不同程度的变更以及轻重缓急建立相应的变更流程。项目的变更次数超过两次或一个适度阈值,应进行变更评估,确保项目的进度、资金与预定任务符合预期。变更结束后要对变更进行绩效管理,加强项目变更风险的防控。
(四)服务运营
项目的上线运行应建立审核流程,程序源代码及其相关技术文档形成最终版,试运行通过方可投产应用。项目的验收工作一般分为阶段性验收和总体性验收,其中阶段性验收分布在硬件的到货验收、需求分析、设计开发、信息安全、试运行等项目开展过程中的重要节点;总体性验收包含项目总体目标的实现情况、预算支出情况以及阶段性验收情况等。参与项目验收的人员应熟悉项目任务,掌握项目的建设管理情况,根据验收结论及问题答复情况编制项目验收报告。
信息化项目档案是记录和反映项目建设、项目管理以及运行维护等过程中形成的以纸张、磁盘、光盘、磁带、实物等形式存在的具有保存价值的文字、图表、声像等历史记录,是项目后期升级、风险管理和故障追溯的重要史料。项目档案的收集整理工作应与项目建设同步进行,防止项目结束后突击补充资料。档案的管理应统一分类,资料齐全,归档及时,整齐有序,查阅方便,严防丢失和泄密,确保档案的完整、准确、安全、保密和有效利用。档案借阅应履行借阅审批手续,填写借阅登记簿。
(五)监督管理
项目监督管理需关注项目建设的效益性、重复投资和重复建设情况、新建项目功能是否类似或具有可替代性。项目建设各阶段工作是否在计划时间内完成且达到预定建设目标,项目进度、成本和质量控制措施是否得到有效控制与实施且达到预期效果。
项目的资金拨付情况:应与项目进度相匹配,项目进行过程中针对项目的监管情况,如建立月报或者季度报送机制,报送的情况不限于项目进展情况、采购进度、资金拨付、项目预估风险或者已发生风险和资源的准备等,不定期组织开展项目绩效评审。项目运行一段时间后,应组织项目相关部门进行项目使用、运行后评估,形成最终的评估报告。
项目建设外包的经济性、有效性和风险管理:分析公开招投标流程,综合评价项目承建单位的市场信誉、资质条件、财务状况、技术服务能力、业务经验等;关注外包合同签订的规范性、准确性和有效性,评估是否满足技术和服务外包合同的基本要求,监督合同履行情况,指出外包项目面临的风险。
数据安全:应加强数据收集、存储、传输、处理过程的管理,防范数据泄露、被篡改与不当使用的风险,保障数据安全。信息化项目中的数据安全管理应遵循分级分类、确保安全、统一标准、充分利用、责任明确等原则。
基于以上“五阶段”的信息化项目审计框架,以风险为导向,贯穿信息化项目的整个生命周期,为大数据、人工智能时代的信息化基础建设服务,为信息战略规划发展保驾护航。
(作者单位:中国人民银行乌鲁木齐中心支行,邮政编码:830001,电子邮箱:[email protected])