項(xiàng)目監(jiān)理與審計(jì)-項(xiàng)目監(jiān)理與審計(jì)

1、項(xiàng)目監(jiān)理與審計(jì)-項(xiàng)目監(jiān)理與審計(jì)【課程回顧課程回顧 】流程是將輸入轉(zhuǎn)化為輸出的一組彼此相關(guān)的資流程是將輸入轉(zhuǎn)化為輸出的一組彼此相關(guān)的資源和活動(dòng)。源和活動(dòng)。流程管理是一個(gè)操作性的定位描述，包括流程分析、流程管理是一個(gè)操作性的定位描述，包括流程分析、流程定義與重定義、資源分配、時(shí)間安排、流程質(zhì)量流程定義與重定義、資源分配、時(shí)間安排、流程質(zhì)量與效率測(cè)評(píng)、流程優(yōu)化等。與效率測(cè)評(píng)、流程優(yōu)化等。流程管理不僅是一種管理技術(shù)，更體現(xiàn)了現(xiàn)代管理流程管理不僅是一種管理技術(shù)，更體現(xiàn)了現(xiàn)代管理的思想。的思想。理順理順I(yè)T項(xiàng)目管理的流程，已成為項(xiàng)目成功的關(guān)鍵。項(xiàng)目管理的流程，已成為項(xiàng)目成功的關(guān)鍵。2IT項(xiàng)目監(jiān)理與審計(jì)是信

2、息技術(shù)發(fā)展項(xiàng)目監(jiān)理與審計(jì)是信息技術(shù)發(fā)展的必然產(chǎn)物；的必然產(chǎn)物；隨著組織對(duì)信息系統(tǒng)依賴度越來(lái)越高，隨著組織對(duì)信息系統(tǒng)依賴度越來(lái)越高，IT項(xiàng)目工程監(jiān)理與審計(jì)將在企業(yè)項(xiàng)目工程監(jiān)理與審計(jì)將在企業(yè)IT治治理起到更重要的作用。理起到更重要的作用?！颈菊轮R(shí)要點(diǎn)本章知識(shí)要點(diǎn)】P.3233 學(xué)習(xí)完本章后，應(yīng)當(dāng)掌握如下知識(shí)：學(xué)習(xí)完本章后，應(yīng)當(dāng)掌握如下知識(shí)：（1）IT項(xiàng)目工程監(jiān)理與審計(jì)的重要性。項(xiàng)目工程監(jiān)理與審計(jì)的重要性。（2）信息系統(tǒng)工程監(jiān)理資質(zhì)和）信息系統(tǒng)工程監(jiān)理資質(zhì)和IT審計(jì)資質(zhì)。審計(jì)資質(zhì)。（3）IT項(xiàng)目工程監(jiān)理的定位、范圍、依據(jù)和內(nèi)容。項(xiàng)目工程監(jiān)理的定位、范圍、依據(jù)和內(nèi)容。（4）IT項(xiàng)目監(jiān)理實(shí)施的項(xiàng)目監(jiān)理

3、實(shí)施的4個(gè)階段。個(gè)階段。（5）信息系統(tǒng)審計(jì)的分類與流程。）信息系統(tǒng)審計(jì)的分類與流程。（6）基于）基于COBIT的的IT項(xiàng)目審計(jì)。項(xiàng)目審計(jì)。（7）IT項(xiàng)目工程監(jiān)理與審計(jì)的區(qū)別。項(xiàng)目工程監(jiān)理與審計(jì)的區(qū)別。【本章知識(shí)要點(diǎn)本章知識(shí)要點(diǎn)】P.3234陷入沉思之中的周總陷入沉思之中的周總n周總是海天動(dòng)力的技術(shù)總監(jiān)，具有豐富的企業(yè)生周總是海天動(dòng)力的技術(shù)總監(jiān)，具有豐富的企業(yè)生產(chǎn)管理和新產(chǎn)品開(kāi)發(fā)經(jīng)驗(yàn)。他主持的產(chǎn)管理和新產(chǎn)品開(kāi)發(fā)經(jīng)驗(yàn)。他主持的IT項(xiàng)目出現(xiàn)了項(xiàng)目出現(xiàn)了問(wèn)題，他陷入沉思之中。問(wèn)題，他陷入沉思之中。n通過(guò)調(diào)研分析，他果斷地將監(jiān)理和審計(jì)引入企業(yè)信通過(guò)調(diào)研分析，他果斷地將監(jiān)理和審計(jì)引入企業(yè)信息化建設(shè)中，較好

4、的解決了由于變更控制不到位所產(chǎn)息化建設(shè)中，較好的解決了由于變更控制不到位所產(chǎn)生的成本提高、進(jìn)度逾期等問(wèn)題。生的成本提高、進(jìn)度逾期等問(wèn)題?！景咐咐?3-1】P.3235信息系統(tǒng)工程監(jiān)理是指信息系統(tǒng)工程監(jiān)理是指依法依法設(shè)立且具備相應(yīng)設(shè)立且具備相應(yīng)資質(zhì)資質(zhì)的信息系統(tǒng)工程監(jiān)理單位，受業(yè)主單的信息系統(tǒng)工程監(jiān)理單位，受業(yè)主單位位委托委托，依據(jù)依據(jù)國(guó)家有關(guān)法律法規(guī)、技術(shù)標(biāo)準(zhǔn)和國(guó)家有關(guān)法律法規(guī)、技術(shù)標(biāo)準(zhǔn)和信息系統(tǒng)工程監(jiān)理信息系統(tǒng)工程監(jiān)理合同合同，對(duì)信息系統(tǒng)工程項(xiàng)目，對(duì)信息系統(tǒng)工程項(xiàng)目實(shí)施實(shí)施的監(jiān)督管理。的監(jiān)督管理。13.1 信息系統(tǒng)工程監(jiān)理信息系統(tǒng)工程監(jiān)理P.3236從項(xiàng)目監(jiān)理公司的角度來(lái)看，信息系統(tǒng)工程監(jiān)

5、從項(xiàng)目監(jiān)理公司的角度來(lái)看，信息系統(tǒng)工程監(jiān)理的工作職責(zé)是完成用戶方的委托，對(duì)理的工作職責(zé)是完成用戶方的委托，對(duì)IT項(xiàng)目建項(xiàng)目建設(shè)實(shí)施進(jìn)行監(jiān)督管理。設(shè)實(shí)施進(jìn)行監(jiān)督管理。監(jiān)督管理的主要任務(wù)包括：監(jiān)督管理的主要任務(wù)包括：n協(xié)助甲方組織協(xié)助甲方組織IT項(xiàng)目的招標(biāo)、評(píng)標(biāo)活動(dòng)；項(xiàng)目的招標(biāo)、評(píng)標(biāo)活動(dòng)；n協(xié)助甲方與中標(biāo)單位簽訂協(xié)助甲方與中標(biāo)單位簽訂IT項(xiàng)目的開(kāi)發(fā)合同；項(xiàng)目的開(kāi)發(fā)合同；n根據(jù)甲方的授權(quán)，監(jiān)督并管理開(kāi)發(fā)合同的履行；根據(jù)甲方的授權(quán)，監(jiān)督并管理開(kāi)發(fā)合同的履行；n根據(jù)監(jiān)理合同的要求，為甲方提供技術(shù)服務(wù)；根據(jù)監(jiān)理合同的要求，為甲方提供技術(shù)服務(wù)；n監(jiān)理合同終止后，向甲方提交監(jiān)理工作報(bào)告。監(jiān)理合同終止后，向甲方

6、提交監(jiān)理工作報(bào)告。13.1 信息系統(tǒng)工程監(jiān)理信息系統(tǒng)工程監(jiān)理P.323713.1 信息系統(tǒng)工程監(jiān)理信息系統(tǒng)工程監(jiān)理13.1.1 信息系統(tǒng)工程監(jiān)理概述信息系統(tǒng)工程監(jiān)理概述P.3231）我國(guó)信息系統(tǒng)工程監(jiān)理的發(fā)展我國(guó)信息系統(tǒng)工程監(jiān)理的發(fā)展項(xiàng)目的成功需要一個(gè)站在公正立場(chǎng)上的第三方機(jī)構(gòu)項(xiàng)目的成功需要一個(gè)站在公正立場(chǎng)上的第三方機(jī)構(gòu)對(duì)工程實(shí)施的過(guò)程進(jìn)行質(zhì)量把關(guān)和管理協(xié)調(diào)。對(duì)工程實(shí)施的過(guò)程進(jìn)行質(zhì)量把關(guān)和管理協(xié)調(diào)。我國(guó)信息工程監(jiān)理開(kāi)始邁向科學(xué)化、專業(yè)化和我國(guó)信息工程監(jiān)理開(kāi)始邁向科學(xué)化、專業(yè)化和規(guī)范化規(guī)范化 。信息系統(tǒng)工程監(jiān)理工程師將逐步成為國(guó)民經(jīng)濟(jì)信息系統(tǒng)工程監(jiān)理工程師將逐步成為國(guó)民經(jīng)濟(jì)和社會(huì)信息化的指導(dǎo)者和

7、執(zhí)法人。和社會(huì)信息化的指導(dǎo)者和執(zhí)法人。813.1 信息系統(tǒng)工程監(jiān)理信息系統(tǒng)工程監(jiān)理13.1.1 信息系統(tǒng)工程監(jiān)理概述信息系統(tǒng)工程監(jiān)理概述P.3242）信息系統(tǒng)工程監(jiān)理的資質(zhì)管理）信息系統(tǒng)工程監(jiān)理的資質(zhì)管理 國(guó)家重大信息化工程國(guó)家重大信息化工程實(shí)行招標(biāo)制和工程監(jiān)理實(shí)行招標(biāo)制和工程監(jiān)理制，工程監(jiān)理承擔(dān)單位制，工程監(jiān)理承擔(dān)單位必須具有相關(guān)資質(zhì)必須具有相關(guān)資質(zhì) 。 監(jiān)理單位資質(zhì)等級(jí)監(jiān)理單位資質(zhì)等級(jí)劃分從綜合條件、業(yè)劃分從綜合條件、業(yè)績(jī)、監(jiān)理能力和人才績(jī)、監(jiān)理能力和人才實(shí)力四個(gè)方面進(jìn)行區(qū)實(shí)力四個(gè)方面進(jìn)行區(qū)分分 。表表13-1 13-1 信息系統(tǒng)工程監(jiān)理單位資質(zhì)等級(jí)監(jiān)理能力對(duì)照簡(jiǎn)表信息系統(tǒng)工程監(jiān)理單位資質(zhì)

8、等級(jí)監(jiān)理能力對(duì)照簡(jiǎn)表913.1 信息系統(tǒng)工程監(jiān)理信息系統(tǒng)工程監(jiān)理13.1.1 信息系統(tǒng)工程監(jiān)理概述信息系統(tǒng)工程監(jiān)理概述P.3253） IT項(xiàng)目工程監(jiān)理的相關(guān)知識(shí)項(xiàng)目工程監(jiān)理的相關(guān)知識(shí) n目標(biāo)：目標(biāo)：加強(qiáng)溝通，保證項(xiàng)目的關(guān)鍵技術(shù)指標(biāo)在項(xiàng)目實(shí)施過(guò)程中加強(qiáng)溝通，保證項(xiàng)目的關(guān)鍵技術(shù)指標(biāo)在項(xiàng)目實(shí)施過(guò)程中處于處于受控受控狀態(tài)狀態(tài)。n定位定位 ：依據(jù)國(guó)家有關(guān)法律法規(guī)、技術(shù)標(biāo)準(zhǔn)和依據(jù)國(guó)家有關(guān)法律法規(guī)、技術(shù)標(biāo)準(zhǔn)和IT項(xiàng)目工程監(jiān)理項(xiàng)目工程監(jiān)理合同，對(duì)合同，對(duì)IT項(xiàng)目工程項(xiàng)目實(shí)施監(jiān)督管理，以保證項(xiàng)目工程項(xiàng)目實(shí)施監(jiān)督管理，以保證IT項(xiàng)目工程項(xiàng)目工程的順利實(shí)施，達(dá)到的順利實(shí)施，達(dá)到預(yù)定預(yù)定的目標(biāo)。的目標(biāo)。 n范圍范圍

9、：監(jiān)理單位應(yīng)根據(jù)建設(shè)單位的意愿來(lái)監(jiān)理單位應(yīng)根據(jù)建設(shè)單位的意愿來(lái)商定商定監(jiān)理范監(jiān)理范圍和業(yè)務(wù)內(nèi)容圍和業(yè)務(wù)內(nèi)容 。n依據(jù)依據(jù) ：國(guó)家的政策、法律法規(guī)、技術(shù)標(biāo)準(zhǔn)、國(guó)家的政策、法律法規(guī)、技術(shù)標(biāo)準(zhǔn)、行業(yè)行業(yè)規(guī)范以及規(guī)范以及合同的法律法規(guī)。合同的法律法規(guī)。1013.1 信息系統(tǒng)工程監(jiān)理信息系統(tǒng)工程監(jiān)理13.1.2 IT項(xiàng)目監(jiān)理的主要內(nèi)容項(xiàng)目監(jiān)理的主要內(nèi)容P.326n四控制：四控制：質(zhì)量、進(jìn)度、成本和變更控制；質(zhì)量、進(jìn)度、成本和變更控制；n三管理：三管理：合同管理、信息管理和安全管理；合同管理、信息管理和安全管理；n一協(xié)調(diào)：一協(xié)調(diào)：協(xié)調(diào)相關(guān)單位及人員間的工作關(guān)系。協(xié)調(diào)相關(guān)單位及人員間的工作關(guān)系。1113.1

10、 信息系統(tǒng)工程監(jiān)理信息系統(tǒng)工程監(jiān)理13.1.3 IT項(xiàng)目監(jiān)理的實(shí)施項(xiàng)目監(jiān)理的實(shí)施P.330IT項(xiàng)目工程監(jiān)理項(xiàng)目工程監(jiān)理從承接監(jiān)理業(yè)務(wù)、從承接監(jiān)理業(yè)務(wù)、簽訂委托監(jiān)理合同簽訂委托監(jiān)理合同開(kāi)始，到竣工驗(yàn)收、開(kāi)始，到竣工驗(yàn)收、出具監(jiān)理報(bào)告結(jié)束。出具監(jiān)理報(bào)告結(jié)束。包括準(zhǔn)備階段、包括準(zhǔn)備階段、立項(xiàng)階段、實(shí)施立項(xiàng)階段、實(shí)施階段和驗(yàn)收階段。階段和驗(yàn)收階段。 圖圖13-4 13-4 項(xiàng)目監(jiān)理流程圖項(xiàng)目監(jiān)理流程圖1213.2 IT項(xiàng)目審計(jì)項(xiàng)目審計(jì)P.332IT項(xiàng)目審計(jì)是指對(duì)項(xiàng)目審計(jì)是指對(duì)IT項(xiàng)目的規(guī)劃、開(kāi)發(fā)、項(xiàng)目的規(guī)劃、開(kāi)發(fā)、實(shí)施、運(yùn)行和維護(hù)等各個(gè)環(huán)節(jié)進(jìn)行評(píng)價(jià)，實(shí)施、運(yùn)行和維護(hù)等各個(gè)環(huán)節(jié)進(jìn)行評(píng)價(jià)，確保其符合企業(yè)經(jīng)

11、營(yíng)目標(biāo)的過(guò)程；確保其符合企業(yè)經(jīng)營(yíng)目標(biāo)的過(guò)程；IT項(xiàng)目審計(jì)是客觀獲取、評(píng)價(jià)與項(xiàng)目審計(jì)是客觀獲取、評(píng)價(jià)與IT項(xiàng)目相項(xiàng)目相關(guān)事項(xiàng)，并對(duì)組織已建立的控制標(biāo)準(zhǔn)與風(fēng)險(xiǎn)程關(guān)事項(xiàng)，并對(duì)組織已建立的控制標(biāo)準(zhǔn)與風(fēng)險(xiǎn)程度進(jìn)行評(píng)估，將最終結(jié)果向使用者進(jìn)行公布的度進(jìn)行評(píng)估，將最終結(jié)果向使用者進(jìn)行公布的過(guò)程。過(guò)程。1313.2 IT項(xiàng)目審計(jì)項(xiàng)目審計(jì)13.2.1 IT 審計(jì)概述審計(jì)概述P.332 信息技術(shù)及其運(yùn)行環(huán)境方面不斷的變化、企業(yè)對(duì)信息技術(shù)的信息技術(shù)及其運(yùn)行環(huán)境方面不斷的變化、企業(yè)對(duì)信息技術(shù)的依賴性不斷增強(qiáng)，都對(duì)依賴性不斷增強(qiáng)，都對(duì)IT相關(guān)風(fēng)險(xiǎn)的管理提出了更高的要求。相關(guān)風(fēng)險(xiǎn)的管理提出了更高的要求。 外部的法律環(huán)境也

12、要求更加嚴(yán)格地控制信息。外部的法律環(huán)境也要求更加嚴(yán)格地控制信息。 與與IT相關(guān)聯(lián)的風(fēng)險(xiǎn)管理，正在作為企業(yè)治理的一個(gè)關(guān)相關(guān)聯(lián)的風(fēng)險(xiǎn)管理，正在作為企業(yè)治理的一個(gè)關(guān)鍵部分而加以理解，怎樣合理的評(píng)價(jià)鍵部分而加以理解，怎樣合理的評(píng)價(jià)IT風(fēng)險(xiǎn)成為風(fēng)險(xiǎn)成為IT項(xiàng)目領(lǐng)項(xiàng)目領(lǐng)域的新課題；域的新課題；IT審計(jì)在這種環(huán)境中應(yīng)運(yùn)而生。審計(jì)在這種環(huán)境中應(yīng)運(yùn)而生。1413.2 IT項(xiàng)目審計(jì)項(xiàng)目審計(jì)13.2.1 IT 審計(jì)概述審計(jì)概述P.332信息時(shí)代競(jìng)爭(zhēng)的加劇、信息流的電子傳播方式信息時(shí)代競(jìng)爭(zhēng)的加劇、信息流的電子傳播方式等使市場(chǎng)對(duì)及時(shí)和相關(guān)信息的需求越來(lái)越多，現(xiàn)等使市場(chǎng)對(duì)及時(shí)和相關(guān)信息的需求越來(lái)越多，現(xiàn)有財(cái)務(wù)報(bào)告模式的局

13、限性日漸突出。有財(cái)務(wù)報(bào)告模式的局限性日漸突出。 今天的利益相關(guān)者要求今天的利益相關(guān)者要求“即需即取即需即取”的、格的、格式化的數(shù)據(jù)來(lái)幫助他們更好的進(jìn)行投資決策，式化的數(shù)據(jù)來(lái)幫助他們更好的進(jìn)行投資決策，商業(yè)信息的在線和實(shí)時(shí)披露是不可扭轉(zhuǎn)的必然商業(yè)信息的在線和實(shí)時(shí)披露是不可扭轉(zhuǎn)的必然趨勢(shì)。趨勢(shì)。 1） IT審計(jì)的重要意義審計(jì)的重要意義 1513.2 IT項(xiàng)目審計(jì)項(xiàng)目審計(jì)13.2.1 IT 審計(jì)概述審計(jì)概述P.333信息時(shí)代的財(cái)務(wù)報(bào)告模式將會(huì)是以企業(yè)的業(yè)績(jī)信息時(shí)代的財(cái)務(wù)報(bào)告模式將會(huì)是以企業(yè)的業(yè)績(jī)?cè)u(píng)估為基礎(chǔ)，在線的、實(shí)時(shí)的信息披露。評(píng)估為基礎(chǔ)，在線的、實(shí)時(shí)的信息披露。在新經(jīng)濟(jì)環(huán)境中，要求信息系統(tǒng)審計(jì)師

14、能夠以在線、在新經(jīng)濟(jì)環(huán)境中，要求信息系統(tǒng)審計(jì)師能夠以在線、實(shí)時(shí)的信息為基礎(chǔ)提供鑒證，通過(guò)多種方式來(lái)保護(hù)公實(shí)時(shí)的信息為基礎(chǔ)提供鑒證，通過(guò)多種方式來(lái)保護(hù)公眾利益、提供鑒證服務(wù)并滿足投資公眾對(duì)決策有用信眾利益、提供鑒證服務(wù)并滿足投資公眾對(duì)決策有用信息的訪問(wèn)需要息的訪問(wèn)需要。1）IT審計(jì)的重要意義審計(jì)的重要意義 1613.2 IT項(xiàng)目審計(jì)項(xiàng)目審計(jì)13.2.1 IT 審計(jì)概述審計(jì)概述P.333信息化投資占企業(yè)整體投資的比例越來(lái)信息化投資占企業(yè)整體投資的比例越來(lái)越大，企業(yè)中越來(lái)越多的業(yè)務(wù)流程都建立越大，企業(yè)中越來(lái)越多的業(yè)務(wù)流程都建立在在IT系統(tǒng)之上；系統(tǒng)之上；管理業(yè)務(wù)就是管理管理業(yè)務(wù)就是管理IT，兩者不可

15、割裂。，兩者不可割裂。 1）IT審計(jì)的重要意義審計(jì)的重要意義 1713.2 IT項(xiàng)目審計(jì)項(xiàng)目審計(jì)13.2.1 IT 審計(jì)概述審計(jì)概述P.334當(dāng)人們開(kāi)始更多的關(guān)注當(dāng)人們開(kāi)始更多的關(guān)注IT項(xiàng)目的安全性、保密性、項(xiàng)目的安全性、保密性、完整性及其實(shí)現(xiàn)企業(yè)目標(biāo)的效率、效果，真正意完整性及其實(shí)現(xiàn)企業(yè)目標(biāo)的效率、效果，真正意義的義的IT項(xiàng)目風(fēng)險(xiǎn)評(píng)估與審計(jì)才開(kāi)始出現(xiàn)。項(xiàng)目風(fēng)險(xiǎn)評(píng)估與審計(jì)才開(kāi)始出現(xiàn)。隨著電子商務(wù)的全球普及，隨著電子商務(wù)的全球普及，IT項(xiàng)目的審計(jì)對(duì)象、項(xiàng)目的審計(jì)對(duì)象、范圍及內(nèi)容將逐漸擴(kuò)大，采用的技術(shù)也將日益復(fù)雜。范圍及內(nèi)容將逐漸擴(kuò)大，采用的技術(shù)也將日益復(fù)雜。1）IT審計(jì)的重要意義審計(jì)的重要意義

16、1813.2 IT項(xiàng)目審計(jì)項(xiàng)目審計(jì)13.2.1 IT 審計(jì)概述審計(jì)概述P.335信息系統(tǒng)審計(jì)師（信息系統(tǒng)審計(jì)師（CISA）是指一批專家級(jí)的人士；）是指一批專家級(jí)的人士；CISA既通曉信息系統(tǒng)的軟件、硬件、開(kāi)發(fā)、運(yùn)營(yíng)、維護(hù)、既通曉信息系統(tǒng)的軟件、硬件、開(kāi)發(fā)、運(yùn)營(yíng)、維護(hù)、管理和安全，又熟悉業(yè)務(wù)運(yùn)營(yíng)管理的核心要義；管理和安全，又熟悉業(yè)務(wù)運(yùn)營(yíng)管理的核心要義；CISA能夠利用規(guī)范和先進(jìn)的審計(jì)技術(shù)，對(duì)信息系統(tǒng)的安全能夠利用規(guī)范和先進(jìn)的審計(jì)技術(shù)，對(duì)信息系統(tǒng)的安全性、穩(wěn)定性和有效性進(jìn)行審計(jì)、檢查、評(píng)價(jià)和改造。性、穩(wěn)定性和有效性進(jìn)行審計(jì)、檢查、評(píng)價(jià)和改造。2）IT審計(jì)資質(zhì)認(rèn)證審計(jì)資質(zhì)認(rèn)證 1913.2 IT項(xiàng)目

17、審計(jì)項(xiàng)目審計(jì)13.2.1 IT 審計(jì)概述審計(jì)概述P.335 擁有擁有CISA資格證書(shū)是持證人專業(yè)能力的展示，并成為專業(yè)程資格證書(shū)是持證人專業(yè)能力的展示，并成為專業(yè)程度的衡量基礎(chǔ)。度的衡量基礎(chǔ)。 隨著對(duì)信息系統(tǒng)審計(jì)、控制與安全專業(yè)人士需求量的增長(zhǎng)，隨著對(duì)信息系統(tǒng)審計(jì)、控制與安全專業(yè)人士需求量的增長(zhǎng)，CISA已成為全球范圍內(nèi)個(gè)人與公司機(jī)構(gòu)不可或缺的認(rèn)證。已成為全球范圍內(nèi)個(gè)人與公司機(jī)構(gòu)不可或缺的認(rèn)證。 CISA資格證書(shū)代表持證人以卓越的能力服務(wù)于公司并資格證書(shū)代表持證人以卓越的能力服務(wù)于公司并致力于信息系統(tǒng)審計(jì)、控制與安全領(lǐng)域。致力于信息系統(tǒng)審計(jì)、控制與安全領(lǐng)域。2）IT審計(jì)資質(zhì)認(rèn)證審計(jì)資質(zhì)認(rèn)證 2

18、013.2 IT項(xiàng)目審計(jì)項(xiàng)目審計(jì)13.2.1 IT 審計(jì)概述審計(jì)概述P.335注冊(cè)信息系統(tǒng)審計(jì)師資格考試包括信息系統(tǒng)審計(jì)流程注冊(cè)信息系統(tǒng)審計(jì)師資格考試包括信息系統(tǒng)審計(jì)流程和信息系統(tǒng)相關(guān)知識(shí)兩大方面內(nèi)容：和信息系統(tǒng)相關(guān)知識(shí)兩大方面內(nèi)容：n 信息系統(tǒng)的管理、計(jì)劃與組織信息系統(tǒng)的管理、計(jì)劃與組織n 信息技術(shù)基礎(chǔ)設(shè)施與操作實(shí)務(wù)信息技術(shù)基礎(chǔ)設(shè)施與操作實(shí)務(wù)n 信息資產(chǎn)的保護(hù)信息資產(chǎn)的保護(hù)n 災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計(jì)劃災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計(jì)劃n 應(yīng)用系統(tǒng)開(kāi)發(fā)、獲得、實(shí)施與維護(hù)應(yīng)用系統(tǒng)開(kāi)發(fā)、獲得、實(shí)施與維護(hù)n 業(yè)務(wù)處理流程評(píng)價(jià)與風(fēng)險(xiǎn)管理業(yè)務(wù)處理流程評(píng)價(jià)與風(fēng)險(xiǎn)管理2）IT審計(jì)資質(zhì)認(rèn)證審計(jì)資質(zhì)認(rèn)證 2113.2 IT項(xiàng)

19、目審計(jì)項(xiàng)目審計(jì)13.2.1 IT 審計(jì)概述審計(jì)概述P.335n信息系統(tǒng)戰(zhàn)略規(guī)劃與組織審計(jì)信息系統(tǒng)戰(zhàn)略規(guī)劃與組織審計(jì)n技術(shù)基礎(chǔ)平臺(tái)審計(jì)技術(shù)基礎(chǔ)平臺(tái)審計(jì)n信息資產(chǎn)保護(hù)審計(jì)信息資產(chǎn)保護(hù)審計(jì)n持續(xù)性管理與災(zāi)難恢復(fù)審計(jì)持續(xù)性管理與災(zāi)難恢復(fù)審計(jì)nIT項(xiàng)目審計(jì)項(xiàng)目審計(jì)3）信息系統(tǒng)審計(jì)的分類）信息系統(tǒng)審計(jì)的分類 2213.2 IT項(xiàng)目審計(jì)項(xiàng)目審計(jì)13.2.2 信息系統(tǒng)審計(jì)的流程信息系統(tǒng)審計(jì)的流程P.3371）企業(yè)信息系統(tǒng)策略和流程分析）企業(yè)信息系統(tǒng)策略和流程分析 圖圖13-5 13-5 信息系統(tǒng)策略及流程分析信息系統(tǒng)策略及流程分析 2313.2 IT項(xiàng)目審計(jì)項(xiàng)目審計(jì)13.2.2 信息系統(tǒng)審計(jì)的流程信息系統(tǒng)審計(jì)

20、的流程P.3382）建立基于風(fēng)險(xiǎn)的審計(jì)評(píng)估表）建立基于風(fēng)險(xiǎn)的審計(jì)評(píng)估表 表表13-2 13-2 基于風(fēng)險(xiǎn)的審計(jì)評(píng)估表基于風(fēng)險(xiǎn)的審計(jì)評(píng)估表2413.2 IT項(xiàng)目審計(jì)項(xiàng)目審計(jì)13.2.2 信息系統(tǒng)審計(jì)的流程信息系統(tǒng)審計(jì)的流程P.3383）確定審計(jì)的技術(shù)和步驟）確定審計(jì)的技術(shù)和步驟 表表13-3 13-3 審計(jì)測(cè)試方法一覽表審計(jì)測(cè)試方法一覽表 2513.2 IT項(xiàng)目審計(jì)項(xiàng)目審計(jì)13.2.2 信息系統(tǒng)審計(jì)的流程信息系統(tǒng)審計(jì)的流程P.3384）形成審計(jì)底稿和審計(jì)報(bào)告的初稿）形成審計(jì)底稿和審計(jì)報(bào)告的初稿 表表13-4 13-4 審計(jì)底稿模板審計(jì)底稿模板2613.2 IT項(xiàng)目審計(jì)項(xiàng)目審計(jì)13.2.2 信息系

21、統(tǒng)審計(jì)的流程信息系統(tǒng)審計(jì)的流程P.3395）審計(jì)發(fā)現(xiàn)的解決和跟進(jìn)）審計(jì)發(fā)現(xiàn)的解決和跟進(jìn)當(dāng)審計(jì)完成并發(fā)現(xiàn)一些風(fēng)險(xiǎn)隱患后，應(yīng)對(duì)發(fā)現(xiàn)的當(dāng)審計(jì)完成并發(fā)現(xiàn)一些風(fēng)險(xiǎn)隱患后，應(yīng)對(duì)發(fā)現(xiàn)的問(wèn)題進(jìn)行反饋；問(wèn)題進(jìn)行反饋；反饋的對(duì)象包括：流程的操作人員、高層管理人反饋的對(duì)象包括：流程的操作人員、高層管理人員和企業(yè)的審計(jì)委員會(huì)。員和企業(yè)的審計(jì)委員會(huì)。提出建議，在與企業(yè)溝通探討后對(duì)解決方案進(jìn)提出建議，在與企業(yè)溝通探討后對(duì)解決方案進(jìn)行確認(rèn)，并跟蹤解決的效果。行確認(rèn)，并跟蹤解決的效果。2713.2 IT項(xiàng)目審計(jì)項(xiàng)目審計(jì)13.2.3 基于基于COBIT的的IT項(xiàng)目審計(jì)項(xiàng)目審計(jì)P.339信息及其相關(guān)技術(shù)控制目標(biāo)信息及其相關(guān)技術(shù)控

22、制目標(biāo)(COBIT) 是一個(gè)是一個(gè)IT治治理的模型，是進(jìn)行理的模型，是進(jìn)行IT審計(jì)的重要依據(jù)。審計(jì)的重要依據(jù)。COBIT在上世紀(jì)在上世紀(jì)90年代早期由年代早期由IT治理協(xié)會(huì)治理協(xié)會(huì)（ISACA）提出，目前已成為國(guó)際上公認(rèn)的）提出，目前已成為國(guó)際上公認(rèn)的IT管理管理與控制框架。與控制框架。COBIT已在世界一百多個(gè)國(guó)家的重要組織與企業(yè)已在世界一百多個(gè)國(guó)家的重要組織與企業(yè)中運(yùn)用，指導(dǎo)這些組織有效地利用信息資源，有效地中運(yùn)用，指導(dǎo)這些組織有效地利用信息資源，有效地管理與信息相關(guān)的風(fēng)險(xiǎn)。管理與信息相關(guān)的風(fēng)險(xiǎn)。2813.2 IT項(xiàng)目審計(jì)項(xiàng)目審計(jì)13.2.3 基于基于COBIT的的IT項(xiàng)目審計(jì)項(xiàng)目審計(jì)P.

23、339COBIT提供了一個(gè)全面的涉及公司層面和提供了一個(gè)全面的涉及公司層面和整體運(yùn)營(yíng)的控制框架。整體運(yùn)營(yíng)的控制框架。它通過(guò)尋求支撐業(yè)務(wù)目標(biāo)或需求，獲取需要它通過(guò)尋求支撐業(yè)務(wù)目標(biāo)或需求，獲取需要由由IT過(guò)程來(lái)管理的過(guò)程來(lái)管理的IT資源聯(lián)合應(yīng)用的結(jié)果信資源聯(lián)合應(yīng)用的結(jié)果信息，以逐步接近理想的息，以逐步接近理想的IT控制?？刂?。 2913.2 IT項(xiàng)目審計(jì)項(xiàng)目審計(jì)13.2.3 基于基于COBIT的的IT項(xiàng)目審計(jì)項(xiàng)目審計(jì)P.339COBIT提供了一個(gè)提供了一個(gè)全面的涉及公司層面全面的涉及公司層面和整體運(yùn)營(yíng)的控制框和整體運(yùn)營(yíng)的控制框架。架。它通過(guò)尋求支撐業(yè)務(wù)它通過(guò)尋求支撐業(yè)務(wù)目標(biāo)或需求，尋求需目標(biāo)或需求

24、，尋求需要由要由IT過(guò)程來(lái)管理過(guò)程來(lái)管理的的IT相關(guān)資源聯(lián)合應(yīng)相關(guān)資源聯(lián)合應(yīng)用的結(jié)果的信息，逐用的結(jié)果的信息，逐步接近理想的步接近理想的IT控制?？刂啤?圖圖13-6 COBIT13-6 COBIT概念框架概念框架3013.2 IT項(xiàng)目審計(jì)項(xiàng)目審計(jì)13.2.3 基于基于COBIT的的IT項(xiàng)目審計(jì)項(xiàng)目審計(jì)P.341在審計(jì)過(guò)程中，通常把在審計(jì)過(guò)程中，通常把IT項(xiàng)目建設(shè)分為：可行性研究和立項(xiàng)項(xiàng)目建設(shè)分為：可行性研究和立項(xiàng)階段、項(xiàng)目規(guī)劃階段、實(shí)質(zhì)性開(kāi)發(fā)階段、驗(yàn)收維護(hù)階段。階段、項(xiàng)目規(guī)劃階段、實(shí)質(zhì)性開(kāi)發(fā)階段、驗(yàn)收維護(hù)階段。項(xiàng)目的安全管理與有效溝通是貫穿在整個(gè)項(xiàng)目的建設(shè)過(guò)項(xiàng)目的安全管理與有效溝通是貫穿在整

25、個(gè)項(xiàng)目的建設(shè)過(guò)程中的。程中的。4個(gè)階段、個(gè)階段、2個(gè)管理在項(xiàng)目建設(shè)中的個(gè)管理在項(xiàng)目建設(shè)中的34個(gè)個(gè)IT過(guò)程是否符合過(guò)程是否符合企業(yè)預(yù)定目標(biāo)，成為項(xiàng)目成功的關(guān)鍵。企業(yè)預(yù)定目標(biāo)，成為項(xiàng)目成功的關(guān)鍵。審計(jì)人員在項(xiàng)目審計(jì)的過(guò)程中應(yīng)該進(jìn)行全面分析和綜合審計(jì)人員在項(xiàng)目審計(jì)的過(guò)程中應(yīng)該進(jìn)行全面分析和綜合評(píng)估。評(píng)估。3113.2 IT項(xiàng)目審計(jì)項(xiàng)目審計(jì)13.2.4 IT項(xiàng)目工程監(jiān)理與項(xiàng)目工程監(jiān)理與IT項(xiàng)目審計(jì)的區(qū)別項(xiàng)目審計(jì)的區(qū)別 P.348n實(shí)施范圍的區(qū)別實(shí)施范圍的區(qū)別 n目的與目標(biāo)的區(qū)別目的與目標(biāo)的區(qū)別 n服務(wù)對(duì)象的不同服務(wù)對(duì)象的不同 n持續(xù)時(shí)間的不同持續(xù)時(shí)間的不同 n采用的技術(shù)與方法的區(qū)別采用的技術(shù)與方法的

26、區(qū)別 32P.349l IT項(xiàng)目監(jiān)理與審計(jì)是信息技術(shù)發(fā)展的產(chǎn)物，隨著組織項(xiàng)目監(jiān)理與審計(jì)是信息技術(shù)發(fā)展的產(chǎn)物，隨著組織對(duì)信息系統(tǒng)依賴度越來(lái)越高，對(duì)信息系統(tǒng)依賴度越來(lái)越高，IT項(xiàng)目工程監(jiān)理與審計(jì)將項(xiàng)目工程監(jiān)理與審計(jì)將在企業(yè)在企業(yè)IT治理起到更重要的作用。治理起到更重要的作用。l IT項(xiàng)目工程監(jiān)理是指依法設(shè)立且具備相應(yīng)資質(zhì)的項(xiàng)目工程監(jiān)理是指依法設(shè)立且具備相應(yīng)資質(zhì)的IT項(xiàng)目監(jiān)項(xiàng)目監(jiān)理單位，受業(yè)主委托，依據(jù)法律法規(guī)、技術(shù)標(biāo)準(zhǔn)和工程理單位，受業(yè)主委托，依據(jù)法律法規(guī)、技術(shù)標(biāo)準(zhǔn)和工程監(jiān)理合同，對(duì)監(jiān)理合同，對(duì)IT工程項(xiàng)目實(shí)施的監(jiān)督管理。工程項(xiàng)目實(shí)施的監(jiān)督管理。lIT項(xiàng)目工程監(jiān)理是組織外包于獨(dú)立第三方的管理業(yè)務(wù)，

27、其項(xiàng)目工程監(jiān)理是組織外包于獨(dú)立第三方的管理業(yè)務(wù)，其工作職能包括規(guī)劃與組織、協(xié)調(diào)與溝通、控制、監(jiān)督與評(píng)價(jià)工作職能包括規(guī)劃與組織、協(xié)調(diào)與溝通、控制、監(jiān)督與評(píng)價(jià)4個(gè)方面?zhèn)€方面 。IT項(xiàng)目監(jiān)理分為準(zhǔn)備階段、立項(xiàng)階段、實(shí)施階項(xiàng)目監(jiān)理分為準(zhǔn)備階段、立項(xiàng)階段、實(shí)施階段和驗(yàn)收階段段和驗(yàn)收階段4個(gè)階段。個(gè)階段。 【小結(jié)小結(jié)】33P.349l信息系統(tǒng)審計(jì)是客觀獲取、評(píng)價(jià)與信息系統(tǒng)相關(guān)事項(xiàng)，并對(duì)企業(yè)已建立信息系統(tǒng)審計(jì)是客觀獲取、評(píng)價(jià)與信息系統(tǒng)相關(guān)事項(xiàng)，并對(duì)企業(yè)已建立的控制標(biāo)準(zhǔn)與風(fēng)險(xiǎn)程度進(jìn)行評(píng)估的控制標(biāo)準(zhǔn)與風(fēng)險(xiǎn)程度進(jìn)行評(píng)估,并將最終結(jié)果向使用著進(jìn)行公布的過(guò)程。并將最終結(jié)果向使用著進(jìn)行公布的過(guò)程。l信息系統(tǒng)審計(jì)的流程包括企業(yè)信息系統(tǒng)策略和流程分析、建立基于風(fēng)險(xiǎn)的審信息系統(tǒng)審計(jì)的流程包括企業(yè)信息系統(tǒng)策略和流程分析、建立基于風(fēng)險(xiǎn)的審計(jì)評(píng)估表、確定審計(jì)的技術(shù)和步驟、形成審計(jì)報(bào)告初稿和審計(jì)發(fā)現(xiàn)的解決和跟計(jì)評(píng)估表、確定審計(jì)的技術(shù)和步驟、形成審計(jì)報(bào)告初稿和審計(jì)發(fā)現(xiàn)的解決和跟進(jìn)進(jìn)5個(gè)步驟。個(gè)步驟。l信息系統(tǒng)的審計(jì)分為信息系統(tǒng)戰(zhàn)略規(guī)劃與組織審計(jì)、技術(shù)基礎(chǔ)平臺(tái)審計(jì)、信息系統(tǒng)的審計(jì)分為信息系統(tǒng)戰(zhàn)略規(guī)劃與組織審計(jì)、技術(shù)基礎(chǔ)平臺(tái)