IT項目監(jiān)理與審計詳解

1、22.6.17王如龍王如龍 榮輝桂榮輝桂 李珩李珩第第13章章 IT項目監(jiān)理與審計項目監(jiān)理與審計單擊此處編輯母版文本樣式第二級第三級第四級第五級 2/36【課程回顧課程回顧 】流程是將輸入轉(zhuǎn)化為輸出的一組彼此相關(guān)的資源和流程是將輸入轉(zhuǎn)化為輸出的一組彼此相關(guān)的資源和活動?；顒印Ａ鞒坦芾硎且粋€操作性的定位描述，包括流程分析、流程管理是一個操作性的定位描述，包括流程分析、流程定義與重定義、資源分配、時間安排、流程質(zhì)量流程定義與重定義、資源分配、時間安排、流程質(zhì)量與效率測評、流程優(yōu)化等。與效率測評、流程優(yōu)化等。流程管理不僅是一種管理技術(shù)，更體現(xiàn)了現(xiàn)代管理流程管理不僅是一種管理技術(shù)，更體現(xiàn)了現(xiàn)代管理的思

2、想。的思想。理順理順I(yè)T項目管理的流程，已成為項目成功的關(guān)鍵。項目管理的流程，已成為項目成功的關(guān)鍵。第第13章章 IT項目監(jiān)理與審計項目監(jiān)理與審計單擊此處編輯母版文本樣式第二級第三級第四級第五級 3/36IT項目監(jiān)理與審計是信息技術(shù)發(fā)項目監(jiān)理與審計是信息技術(shù)發(fā)展的必然產(chǎn)物；展的必然產(chǎn)物；隨著組織對信息系統(tǒng)依賴度越來隨著組織對信息系統(tǒng)依賴度越來越高，越高，IT項目工程監(jiān)理與審計將在項目工程監(jiān)理與審計將在企業(yè)企業(yè)IT治理起到更重要的作用。治理起到更重要的作用?！颈菊轮R要點本章知識要點】P.322第第13章章 IT項目監(jiān)理與審計項目監(jiān)理與審計單擊此處編輯母版文本樣式第二級第三級第四級第五級 4/3

3、6 學(xué)習(xí)完本章后，應(yīng)當(dāng)掌握如下知識：學(xué)習(xí)完本章后，應(yīng)當(dāng)掌握如下知識：（1）IT項目工程監(jiān)理與審計的重要性。項目工程監(jiān)理與審計的重要性。（2）信息系統(tǒng)工程監(jiān)理資質(zhì)和）信息系統(tǒng)工程監(jiān)理資質(zhì)和IT審計資質(zhì)。審計資質(zhì)。（3）IT項目工程監(jiān)理的定位、范圍、依據(jù)和內(nèi)容。項目工程監(jiān)理的定位、范圍、依據(jù)和內(nèi)容。（4）IT項目監(jiān)理實施的項目監(jiān)理實施的4個階段。個階段。（5）信息系統(tǒng)審計的分類與流程。）信息系統(tǒng)審計的分類與流程。（6）基于）基于COBIT的的IT項目審計。項目審計。（7）IT項目工程監(jiān)理與審計的區(qū)別。項目工程監(jiān)理與審計的區(qū)別?！颈菊轮R要點本章知識要點】P.322第第13章章 IT項目監(jiān)理與審計項

4、目監(jiān)理與審計單擊此處編輯母版文本樣式第二級第三級第四級第五級 5/36陷入沉思之中的周總陷入沉思之中的周總n周總是海天動力的技術(shù)總監(jiān)，具有豐富的企業(yè)周總是海天動力的技術(shù)總監(jiān)，具有豐富的企業(yè)生產(chǎn)管理和新產(chǎn)品開發(fā)經(jīng)驗。他主持的生產(chǎn)管理和新產(chǎn)品開發(fā)經(jīng)驗。他主持的IT項目出項目出現(xiàn)了問題，他陷入沉思之中。現(xiàn)了問題，他陷入沉思之中。n通過調(diào)研分析，他果斷地將監(jiān)理和審計引入企通過調(diào)研分析，他果斷地將監(jiān)理和審計引入企業(yè)信息化建設(shè)中，較好的解決了由于變更控制不業(yè)信息化建設(shè)中，較好的解決了由于變更控制不到位所產(chǎn)生的成本提高、進度逾期等問題。到位所產(chǎn)生的成本提高、進度逾期等問題。【案例案例13-1】P.323第第

5、13章章 IT項目監(jiān)理與審計項目監(jiān)理與審計單擊此處編輯母版文本樣式第二級第三級第四級第五級 6/36信息系統(tǒng)工程監(jiān)理是指信息系統(tǒng)工程監(jiān)理是指依法依法設(shè)立且具備設(shè)立且具備相應(yīng)相應(yīng)資質(zhì)資質(zhì)的信息系統(tǒng)工程監(jiān)理單位，受業(yè)的信息系統(tǒng)工程監(jiān)理單位，受業(yè)主單位主單位委托委托，依據(jù)依據(jù)國家有關(guān)法律法規(guī)、國家有關(guān)法律法規(guī)、技術(shù)標(biāo)準(zhǔn)和信息系統(tǒng)工程監(jiān)理技術(shù)標(biāo)準(zhǔn)和信息系統(tǒng)工程監(jiān)理合同合同，對信，對信息系統(tǒng)工程項目實施的息系統(tǒng)工程項目實施的監(jiān)督監(jiān)督管理。管理。13.1 信息系統(tǒng)工程監(jiān)理信息系統(tǒng)工程監(jiān)理P.323察看并加以管理察看并加以管理第第13章章 IT項目監(jiān)理與審計項目監(jiān)理與審計單擊此處編輯母版文本樣式第二級第三級

6、第四級第五級 7/36從項目監(jiān)理公司的角度來看，信息系統(tǒng)工程從項目監(jiān)理公司的角度來看，信息系統(tǒng)工程監(jiān)理的工作職責(zé)是完成用戶方的委托，對監(jiān)理的工作職責(zé)是完成用戶方的委托，對IT項項目建設(shè)實施進行監(jiān)督管理。目建設(shè)實施進行監(jiān)督管理。監(jiān)督管理的主要任務(wù)包括：監(jiān)督管理的主要任務(wù)包括：n協(xié)助甲方組織協(xié)助甲方組織IT項目的招標(biāo)、評標(biāo)活動；項目的招標(biāo)、評標(biāo)活動；n協(xié)助甲方與中標(biāo)單位簽訂協(xié)助甲方與中標(biāo)單位簽訂IT項目的開發(fā)合同；項目的開發(fā)合同；n根據(jù)甲方的授權(quán)，監(jiān)督并管理開發(fā)合同的履行；根據(jù)甲方的授權(quán)，監(jiān)督并管理開發(fā)合同的履行；n根據(jù)監(jiān)理合同的要求，為甲方提供技術(shù)服務(wù)；根據(jù)監(jiān)理合同的要求，為甲方提供技術(shù)服務(wù)；n

7、監(jiān)理合同終止后，向甲方提交監(jiān)理工作報告。監(jiān)理合同終止后，向甲方提交監(jiān)理工作報告。13.1 信息系統(tǒng)工程監(jiān)理信息系統(tǒng)工程監(jiān)理P.323第第13章章 IT項目監(jiān)理與審計項目監(jiān)理與審計單擊此處編輯母版文本樣式第二級第三級第四級第五級 8/3613.1 信息系統(tǒng)工程監(jiān)理信息系統(tǒng)工程監(jiān)理13.1.1 信息系統(tǒng)工程監(jiān)理概述信息系統(tǒng)工程監(jiān)理概述P.3231）我國信息系統(tǒng)工程監(jiān)理的發(fā)展我國信息系統(tǒng)工程監(jiān)理的發(fā)展項目的成功需要一個站在公正立場上的第三項目的成功需要一個站在公正立場上的第三方機構(gòu)對工程實施的過程進行質(zhì)量把關(guān)和管理方機構(gòu)對工程實施的過程進行質(zhì)量把關(guān)和管理協(xié)調(diào)。協(xié)調(diào)。我國信息工程監(jiān)理開始邁向科學(xué)化、專

8、業(yè)化我國信息工程監(jiān)理開始邁向科學(xué)化、專業(yè)化和規(guī)范化和規(guī)范化 。信息系統(tǒng)工程監(jiān)理工程師將逐步成為國民經(jīng)信息系統(tǒng)工程監(jiān)理工程師將逐步成為國民經(jīng)濟和社會信息化的指導(dǎo)者和執(zhí)法人。濟和社會信息化的指導(dǎo)者和執(zhí)法人。第第13章章 IT項目監(jiān)理與審計項目監(jiān)理與審計單擊此處編輯母版文本樣式第二級第三級第四級第五級 9/3613.1 信息系統(tǒng)工程監(jiān)理信息系統(tǒng)工程監(jiān)理13.1.1 信息系統(tǒng)工程監(jiān)理概述信息系統(tǒng)工程監(jiān)理概述P.3242）信息系統(tǒng)工程監(jiān)理的資質(zhì)管理）信息系統(tǒng)工程監(jiān)理的資質(zhì)管理 國家重大信息化國家重大信息化工程實行招標(biāo)制和工程實行招標(biāo)制和工程監(jiān)理制，工程工程監(jiān)理制，工程監(jiān)理承擔(dān)單位必須監(jiān)理承擔(dān)單位必須具有

9、相關(guān)資質(zhì)具有相關(guān)資質(zhì) 。 監(jiān)理單位資質(zhì)等監(jiān)理單位資質(zhì)等級劃分從綜合條件、級劃分從綜合條件、業(yè)績、監(jiān)理能力和業(yè)績、監(jiān)理能力和人才實力四個方面人才實力四個方面進行區(qū)分進行區(qū)分 。表表13-1 13-1 信息系統(tǒng)工程監(jiān)理單位資質(zhì)等級監(jiān)理能力對照簡表信息系統(tǒng)工程監(jiān)理單位資質(zhì)等級監(jiān)理能力對照簡表第第13章章 IT項目監(jiān)理與審計項目監(jiān)理與審計單擊此處編輯母版文本樣式第二級第三級第四級第五級 10/3613.1 信息系統(tǒng)工程監(jiān)理信息系統(tǒng)工程監(jiān)理13.1.1 信息系統(tǒng)工程監(jiān)理概述信息系統(tǒng)工程監(jiān)理概述P.3253） IT項目工程監(jiān)理的相關(guān)知識項目工程監(jiān)理的相關(guān)知識 n目標(biāo)：目標(biāo)：加強溝通，保證項目的關(guān)鍵技術(shù)指標(biāo)

10、在項目實加強溝通，保證項目的關(guān)鍵技術(shù)指標(biāo)在項目實施過程中處于施過程中處于受控受控狀態(tài)狀態(tài)。n定位定位 ：依據(jù)國家有關(guān)法律法規(guī)、技術(shù)標(biāo)準(zhǔn)和依據(jù)國家有關(guān)法律法規(guī)、技術(shù)標(biāo)準(zhǔn)和IT項目工項目工程監(jiān)理合同，對程監(jiān)理合同，對IT項目工程項目實施監(jiān)督管理，以保證項目工程項目實施監(jiān)督管理，以保證IT項目工程的順利實施，達到項目工程的順利實施，達到預(yù)定預(yù)定的目標(biāo)。的目標(biāo)。 n范圍范圍 ：監(jiān)理單位應(yīng)根據(jù)建設(shè)單位的意愿來監(jiān)理單位應(yīng)根據(jù)建設(shè)單位的意愿來商定商定監(jiān)理監(jiān)理范圍和業(yè)務(wù)內(nèi)容范圍和業(yè)務(wù)內(nèi)容 。n依據(jù)依據(jù) ：國家的政策、法律法規(guī)、技術(shù)標(biāo)準(zhǔn)、國家的政策、法律法規(guī)、技術(shù)標(biāo)準(zhǔn)、行業(yè)行業(yè)規(guī)規(guī)范以及合同的法律法規(guī)。范以及合

11、同的法律法規(guī)。第第13章章 IT項目監(jiān)理與審計項目監(jiān)理與審計單擊此處編輯母版文本樣式第二級第三級第四級第五級 11/3613.1 信息系統(tǒng)工程監(jiān)理信息系統(tǒng)工程監(jiān)理13.1.2 IT項目監(jiān)理的主要內(nèi)容項目監(jiān)理的主要內(nèi)容P.326n四控制：四控制：質(zhì)量、進度、成本和變更控制；質(zhì)量、進度、成本和變更控制；n三管理：三管理：合同管理、信息管理和安全管理；合同管理、信息管理和安全管理；n一協(xié)調(diào)：一協(xié)調(diào)：協(xié)調(diào)相關(guān)單位及人員間的工作關(guān)系。協(xié)調(diào)相關(guān)單位及人員間的工作關(guān)系。第第13章章 IT項目監(jiān)理與審計項目監(jiān)理與審計單擊此處編輯母版文本樣式第二級第三級第四級第五級 12/3613.1 信息系統(tǒng)工程監(jiān)理信息系統(tǒng)

12、工程監(jiān)理13.1.3 IT項目監(jiān)理的實施項目監(jiān)理的實施P.330IT項目工程監(jiān)項目工程監(jiān)理從承接監(jiān)理業(yè)理從承接監(jiān)理業(yè)務(wù)、簽訂委托監(jiān)務(wù)、簽訂委托監(jiān)理合同開始，到理合同開始，到竣工驗收、出具竣工驗收、出具監(jiān)理報告結(jié)束。監(jiān)理報告結(jié)束。包括準(zhǔn)備階段、包括準(zhǔn)備階段、立項階段、實施立項階段、實施階段和驗收階段。階段和驗收階段。 圖圖13-4 13-4 項目監(jiān)理流程圖項目監(jiān)理流程圖第第13章章 IT項目監(jiān)理與審計項目監(jiān)理與審計單擊此處編輯母版文本樣式第二級第三級第四級第五級 13/3613.2 IT項目審計項目審計P.332IT項目審計是指對項目審計是指對IT項目的規(guī)劃、開發(fā)、實施、運項目的規(guī)劃、開發(fā)、實施

13、、運行和維護等各個環(huán)節(jié)進行評價，確保其符合企業(yè)經(jīng)營行和維護等各個環(huán)節(jié)進行評價，確保其符合企業(yè)經(jīng)營目標(biāo)的過程；目標(biāo)的過程；IT項目審計是客觀獲取、評價與項目審計是客觀獲取、評價與IT項目相關(guān)事項，項目相關(guān)事項，對組織已建立的控制標(biāo)準(zhǔn)與風(fēng)險程度進行評估，并將對組織已建立的控制標(biāo)準(zhǔn)與風(fēng)險程度進行評估，并將最終結(jié)果向使用者進行公布的過程。最終結(jié)果向使用者進行公布的過程。通過對通過對IT項目工程建設(shè)各環(huán)節(jié)的評估，確保其符合項目工程建設(shè)各環(huán)節(jié)的評估，確保其符合項目建設(shè)的預(yù)定目標(biāo)，并與企業(yè)經(jīng)營目標(biāo)和項目建設(shè)的預(yù)定目標(biāo)，并與企業(yè)經(jīng)營目標(biāo)和IT策略保策略保持一致。持一致。第第13章章 IT項目監(jiān)理與審計項目監(jiān)理

14、與審計單擊此處編輯母版文本樣式第二級第三級第四級第五級 14/3613.2 IT項目審計項目審計13.2.1 IT 審計概述審計概述P.333 信息技術(shù)及其運行環(huán)境方面不斷的變化、企業(yè)對信信息技術(shù)及其運行環(huán)境方面不斷的變化、企業(yè)對信息技術(shù)的息技術(shù)的依賴性依賴性不斷增強，都對不斷增強，都對IT相關(guān)相關(guān)風(fēng)險的管理風(fēng)險的管理提出了更高的要求；提出了更高的要求；外部的法律環(huán)境也要求更加嚴格地外部的法律環(huán)境也要求更加嚴格地控制信息控制信息。與與IT相關(guān)聯(lián)的風(fēng)險管理，正在作為相關(guān)聯(lián)的風(fēng)險管理，正在作為企業(yè)治理企業(yè)治理的一個的一個關(guān)鍵部分而加以理解，關(guān)鍵部分而加以理解，怎樣合理的評價怎樣合理的評價IT風(fēng)險成

15、為風(fēng)險成為IT項目領(lǐng)域的新課題，項目領(lǐng)域的新課題，IT審計在這種環(huán)境中審計在這種環(huán)境中應(yīng)運而生應(yīng)運而生。第第13章章 IT項目監(jiān)理與審計項目監(jiān)理與審計單擊此處編輯母版文本樣式第二級第三級第四級第五級 15/3613.2 IT項目審計項目審計13.2.1 IT 審計概述審計概述P.333信息時代競爭的加劇、信息流的電子傳播信息時代競爭的加劇、信息流的電子傳播方式使市場對及時了解相關(guān)信息的需求越來方式使市場對及時了解相關(guān)信息的需求越來越多，現(xiàn)有財務(wù)報告模式的局限性日漸突出。越多，現(xiàn)有財務(wù)報告模式的局限性日漸突出。 今天的利益相關(guān)者要求今天的利益相關(guān)者要求“即需即取即需即取”的、的、格式化的數(shù)據(jù)來幫

16、助他們更好的進行投資決格式化的數(shù)據(jù)來幫助他們更好的進行投資決策，商業(yè)信息的在線和實時披露是不可扭轉(zhuǎn)策，商業(yè)信息的在線和實時披露是不可扭轉(zhuǎn)的必然趨勢。的必然趨勢。 1） IT審計的重要意義審計的重要意義 第第13章章 IT項目監(jiān)理與審計項目監(jiān)理與審計單擊此處編輯母版文本樣式第二級第三級第四級第五級 16/3613.2 IT項目審計項目審計13.2.1 IT 審計概述審計概述P.333信息時代的財務(wù)報告模式將會是以企業(yè)的業(yè)信息時代的財務(wù)報告模式將會是以企業(yè)的業(yè)績評估為基礎(chǔ)，在線的、實時的信息披露。績評估為基礎(chǔ)，在線的、實時的信息披露。在新經(jīng)濟環(huán)境中，要求信息系統(tǒng)審計師能夠在新經(jīng)濟環(huán)境中，要求信息系

17、統(tǒng)審計師能夠以在線、實時的信息為基礎(chǔ)提供鑒證，通過多以在線、實時的信息為基礎(chǔ)提供鑒證，通過多種方式來保護公眾利益、提供鑒證服務(wù)并滿足種方式來保護公眾利益、提供鑒證服務(wù)并滿足投資公眾對決策有用信息的訪問需要投資公眾對決策有用信息的訪問需要。1）IT審計的重要意義審計的重要意義 第第13章章 IT項目監(jiān)理與審計項目監(jiān)理與審計單擊此處編輯母版文本樣式第二級第三級第四級第五級 17/3613.2 IT項目審計項目審計13.2.1 IT 審計概述審計概述P.333信息化投資占企業(yè)整體投資的比例信息化投資占企業(yè)整體投資的比例越來越大，企業(yè)中越來越多的業(yè)務(wù)流越來越大，企業(yè)中越來越多的業(yè)務(wù)流程都建立在程都建立

18、在IT系統(tǒng)之上；系統(tǒng)之上；管理業(yè)務(wù)就是管理管理業(yè)務(wù)就是管理IT，兩者不，兩者不可割裂可割裂。 1）IT審計的重要意義審計的重要意義 第第13章章 IT項目監(jiān)理與審計項目監(jiān)理與審計單擊此處編輯母版文本樣式第二級第三級第四級第五級 18/3613.2 IT項目審計項目審計13.2.1 IT 審計概述審計概述P.334當(dāng)人們開始更多的關(guān)注當(dāng)人們開始更多的關(guān)注IT項目的安全性、保項目的安全性、保密性、完整性及其實現(xiàn)企業(yè)目標(biāo)的效率、效果，密性、完整性及其實現(xiàn)企業(yè)目標(biāo)的效率、效果，真正意義的真正意義的IT項目風(fēng)險評估與審計才開始出現(xiàn)。項目風(fēng)險評估與審計才開始出現(xiàn)。隨著電子商務(wù)的全球普及，隨著電子商務(wù)的全球

19、普及，IT項目的審計對項目的審計對象、范圍及內(nèi)容將逐漸擴大，采用的技術(shù)也將象、范圍及內(nèi)容將逐漸擴大，采用的技術(shù)也將日益復(fù)雜。日益復(fù)雜。1）IT審計的重要意義審計的重要意義 第第13章章 IT項目監(jiān)理與審計項目監(jiān)理與審計單擊此處編輯母版文本樣式第二級第三級第四級第五級 19/3613.2 IT項目審計項目審計13.2.1 IT 審計概述審計概述P.335信息系統(tǒng)審計師（信息系統(tǒng)審計師（CISA）是指一批專家級的人士；）是指一批專家級的人士；CISA既通曉信息系統(tǒng)的軟件、硬件、開發(fā)、運營、既通曉信息系統(tǒng)的軟件、硬件、開發(fā)、運營、維護、管理和安全，又熟悉業(yè)務(wù)運營管理的核心要義；維護、管理和安全，又熟

20、悉業(yè)務(wù)運營管理的核心要義；CISA能夠利用規(guī)范和先進的審計技術(shù)，對信息系統(tǒng)能夠利用規(guī)范和先進的審計技術(shù)，對信息系統(tǒng)的安全性、穩(wěn)定性和有效性進行審計、檢查、評價和的安全性、穩(wěn)定性和有效性進行審計、檢查、評價和改造。改造。2）IT審計資質(zhì)認證審計資質(zhì)認證 第第13章章 IT項目監(jiān)理與審計項目監(jiān)理與審計單擊此處編輯母版文本樣式第二級第三級第四級第五級 20/3613.2 IT項目審計項目審計13.2.1 IT 審計概述審計概述P.335 擁有擁有CISA資格證書是持證人專業(yè)能力的展示，并成資格證書是持證人專業(yè)能力的展示，并成為專業(yè)程度的衡量基礎(chǔ)。為專業(yè)程度的衡量基礎(chǔ)。 隨著對信息系統(tǒng)審計、控制與安全

21、專業(yè)人士需求量隨著對信息系統(tǒng)審計、控制與安全專業(yè)人士需求量的增長，的增長，CISA已成為全球范圍內(nèi)個人與公司機構(gòu)不可已成為全球范圍內(nèi)個人與公司機構(gòu)不可或缺的認證。或缺的認證。 CISA資格證書代表持證人以卓越的能力服務(wù)于公司資格證書代表持證人以卓越的能力服務(wù)于公司并致力于信息系統(tǒng)審計、控制與安全領(lǐng)域。并致力于信息系統(tǒng)審計、控制與安全領(lǐng)域。2）IT審計資質(zhì)認證審計資質(zhì)認證 第第13章章 IT項目監(jiān)理與審計項目監(jiān)理與審計單擊此處編輯母版文本樣式第二級第三級第四級第五級 21/3613.2 IT項目審計項目審計13.2.1 IT 審計概述審計概述P.335注冊信息系統(tǒng)審計師資格考試包括信息系統(tǒng)審計流

22、注冊信息系統(tǒng)審計師資格考試包括信息系統(tǒng)審計流程和信息系統(tǒng)相關(guān)知識內(nèi)容：程和信息系統(tǒng)相關(guān)知識內(nèi)容：信息系統(tǒng)審計程序信息系統(tǒng)審計程序信息系統(tǒng)的管理、計劃與組織信息系統(tǒng)的管理、計劃與組織信息技術(shù)基礎(chǔ)設(shè)施與操作實務(wù)信息技術(shù)基礎(chǔ)設(shè)施與操作實務(wù)信息資產(chǎn)的保護信息資產(chǎn)的保護災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計劃災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計劃應(yīng)用系統(tǒng)開發(fā)、獲得、實施與維護應(yīng)用系統(tǒng)開發(fā)、獲得、實施與維護業(yè)務(wù)處理流程評價與風(fēng)險管理業(yè)務(wù)處理流程評價與風(fēng)險管理2）IT審計資質(zhì)認證審計資質(zhì)認證 第第13章章 IT項目監(jiān)理與審計項目監(jiān)理與審計單擊此處編輯母版文本樣式第二級第三級第四級第五級 22/3613.2 IT項目審計項目審計13.2.1

23、IT 審計概述審計概述P.336信息系統(tǒng)戰(zhàn)略規(guī)劃與組織審計信息系統(tǒng)戰(zhàn)略規(guī)劃與組織審計n 技術(shù)基礎(chǔ)平臺審計技術(shù)基礎(chǔ)平臺審計n 信息資產(chǎn)保護審計信息資產(chǎn)保護審計n 持續(xù)性管理與災(zāi)難恢復(fù)審計持續(xù)性管理與災(zāi)難恢復(fù)審計IT項目審計項目審計3）信息系統(tǒng)審計的分類）信息系統(tǒng)審計的分類 第第13章章 IT項目監(jiān)理與審計項目監(jiān)理與審計單擊此處編輯母版文本樣式第二級第三級第四級第五級 23/3613.2 IT項目審計項目審計13.2.2 信息系統(tǒng)審計的流程信息系統(tǒng)審計的流程P.3371）企業(yè)信息系統(tǒng)策略和流程分析）企業(yè)信息系統(tǒng)策略和流程分析 圖圖13-5 13-5 信息系統(tǒng)策略及流程分析信息系統(tǒng)策略及流程分析 第

24、第13章章 IT項目監(jiān)理與審計項目監(jiān)理與審計單擊此處編輯母版文本樣式第二級第三級第四級第五級 24/3613.2 IT項目審計項目審計13.2.2 信息系統(tǒng)審計的流程信息系統(tǒng)審計的流程P.3382）建立基于風(fēng)險的審計評估表）建立基于風(fēng)險的審計評估表 表表13-2 13-2 基于風(fēng)險的審計評估表基于風(fēng)險的審計評估表第第13章章 IT項目監(jiān)理與審計項目監(jiān)理與審計單擊此處編輯母版文本樣式第二級第三級第四級第五級 25/3613.2 IT項目審計項目審計13.2.2 信息系統(tǒng)審計的流程信息系統(tǒng)審計的流程P.3383）確定審計的技術(shù)和步驟）確定審計的技術(shù)和步驟 表表13-3 13-3 審計測試方法一覽表

25、審計測試方法一覽表 第第13章章 IT項目監(jiān)理與審計項目監(jiān)理與審計單擊此處編輯母版文本樣式第二級第三級第四級第五級 26/3613.2 IT項目審計項目審計13.2.2 信息系統(tǒng)審計的流程信息系統(tǒng)審計的流程P.3394）形成審計底稿和審計報告的初稿）形成審計底稿和審計報告的初稿 表表13-4 13-4 審計底稿模板審計底稿模板第第13章章 IT項目監(jiān)理與審計項目監(jiān)理與審計單擊此處編輯母版文本樣式第二級第三級第四級第五級 27/3613.2 IT項目審計項目審計13.2.2 信息系統(tǒng)審計的流程信息系統(tǒng)審計的流程P.3395）審計發(fā)現(xiàn)的解決和跟進）審計發(fā)現(xiàn)的解決和跟進當(dāng)審計完成并發(fā)現(xiàn)一些風(fēng)險隱患后

26、，應(yīng)對發(fā)當(dāng)審計完成并發(fā)現(xiàn)一些風(fēng)險隱患后，應(yīng)對發(fā)現(xiàn)的問題進行反饋；現(xiàn)的問題進行反饋；反饋的對象包括：流程的操作人員、高層管反饋的對象包括：流程的操作人員、高層管理人員和企業(yè)的審計委員會。理人員和企業(yè)的審計委員會。提出建議，在與企業(yè)溝通探討后對解決方案提出建議，在與企業(yè)溝通探討后對解決方案進行確認，并跟蹤解決的效果。進行確認，并跟蹤解決的效果。第第13章章 IT項目監(jiān)理與審計項目監(jiān)理與審計單擊此處編輯母版文本樣式第二級第三級第四級第五級 28/3613.2 IT項目審計項目審計13.2.3 基于基于COBIT的的IT項目審計項目審計P.339信息及其相關(guān)技術(shù)控制目標(biāo)信息及其相關(guān)技術(shù)控制目標(biāo)(COB

27、IT) 是一個是一個IT治理的模型，是進行治理的模型，是進行IT審計的重要依據(jù)。審計的重要依據(jù)。COBIT在上世紀在上世紀90年代早期由國際信息系統(tǒng)審年代早期由國際信息系統(tǒng)審計協(xié)會（計協(xié)會（ISACA）提出，目前已成為國際上公）提出，目前已成為國際上公認的認的IT管理與控制框架。管理與控制框架。COBIT已在世界一百多個國家的重要組織與企已在世界一百多個國家的重要組織與企業(yè)中運用，指導(dǎo)這些組織有效地利用信息資源、業(yè)中運用，指導(dǎo)這些組織有效地利用信息資源、管理與信息相關(guān)的風(fēng)險。管理與信息相關(guān)的風(fēng)險。第第13章章 IT項目監(jiān)理與審計項目監(jiān)理與審計單擊此處編輯母版文本樣式第二級第三級第四級第五級 2

28、9/3613.2 IT項目審計項目審計13.2.3 基于基于COBIT的的IT項目審計項目審計P.339COBIT提供了一提供了一個全面的涉及公司個全面的涉及公司層面和整體運營的層面和整體運營的控制框架?？刂瓶蚣?。它通過尋求支撐它通過尋求支撐業(yè)務(wù)目標(biāo)或需求，業(yè)務(wù)目標(biāo)或需求，尋求需要由尋求需要由IT過程過程來管理的來管理的IT相關(guān)資相關(guān)資源聯(lián)合應(yīng)用的結(jié)果源聯(lián)合應(yīng)用的結(jié)果的信息，逐步接近的信息，逐步接近理想的理想的IT控制?？刂啤?圖圖13-6 COBIT13-6 COBIT概念框架概念框架第第13章章 IT項目監(jiān)理與審計項目監(jiān)理與審計單擊此處編輯母版文本樣式第二級第三級第四級第五級 30/361

29、3.2 IT項目審計項目審計13.2.3 基于基于COBIT的的IT項目審計項目審計P.341在審計過程中，通常把在審計過程中，通常把IT項目建設(shè)分為：可行性研項目建設(shè)分為：可行性研究和立項階段、項目規(guī)劃階段、實質(zhì)性開發(fā)階段、驗究和立項階段、項目規(guī)劃階段、實質(zhì)性開發(fā)階段、驗收維護階段。收維護階段。項目的安全管理與有效溝通是貫穿在整個項目的建項目的安全管理與有效溝通是貫穿在整個項目的建設(shè)過程中的。設(shè)過程中的。4個階段、個階段、2個管理在項目建設(shè)中的個管理在項目建設(shè)中的34個個IT過程是否過程是否符合企業(yè)預(yù)定目標(biāo)，成為項目成功的關(guān)鍵。符合企業(yè)預(yù)定目標(biāo)，成為項目成功的關(guān)鍵。審計人員在項目審計的過程中

30、應(yīng)該進行全面分析和審計人員在項目審計的過程中應(yīng)該進行全面分析和綜合評估。綜合評估。第第13章章 IT項目監(jiān)理與審計項目監(jiān)理與審計單擊此處編輯母版文本樣式第二級第三級第四級第五級 31/3613.2 IT項目審計項目審計13.2.4 IT項目工程監(jiān)理與項目工程監(jiān)理與IT項目審計的區(qū)別項目審計的區(qū)別 P.348實施范圍的區(qū)別實施范圍的區(qū)別 目的與目標(biāo)的區(qū)別目的與目標(biāo)的區(qū)別 服務(wù)對象的不同服務(wù)對象的不同 持續(xù)時間的不同持續(xù)時間的不同 采用的技術(shù)與方法的區(qū)別采用的技術(shù)與方法的區(qū)別 第第13章章 IT項目監(jiān)理與審計項目監(jiān)理與審計單擊此處編輯母版文本樣式第二級第三級第四級第五級 32/36P.349l I

31、T項目監(jiān)理與審計是信息技術(shù)發(fā)展的產(chǎn)物，隨著組項目監(jiān)理與審計是信息技術(shù)發(fā)展的產(chǎn)物，隨著組織對信息系統(tǒng)依賴度越來越高，織對信息系統(tǒng)依賴度越來越高，IT項目工程監(jiān)理與審項目工程監(jiān)理與審計將在企業(yè)計將在企業(yè)IT治理起到更重要的作用。治理起到更重要的作用。l IT項目工程監(jiān)理是指依法設(shè)立且具備相應(yīng)資質(zhì)的項目工程監(jiān)理是指依法設(shè)立且具備相應(yīng)資質(zhì)的IT項目監(jiān)理單位，受業(yè)主委托，依據(jù)法律法規(guī)、技術(shù)標(biāo)項目監(jiān)理單位，受業(yè)主委托，依據(jù)法律法規(guī)、技術(shù)標(biāo)準(zhǔn)和工程監(jiān)理合同，對準(zhǔn)和工程監(jiān)理合同，對IT工程項目實施的監(jiān)督管理。工程項目實施的監(jiān)督管理。lIT項目工程監(jiān)理是組織外包于獨立第三方的管理業(yè)項目工程監(jiān)理是組織外包于獨立第

32、三方的管理業(yè)務(wù)，其工作職能包括規(guī)劃與組織、協(xié)調(diào)與溝通、控制、務(wù)，其工作職能包括規(guī)劃與組織、協(xié)調(diào)與溝通、控制、監(jiān)督與評價監(jiān)督與評價4個方面?zhèn)€方面 。IT項目監(jiān)理分為準(zhǔn)備階段、立項目監(jiān)理分為準(zhǔn)備階段、立項階段、實施階段和驗收階段項階段、實施階段和驗收階段4個階段。個階段。 【小結(jié)小結(jié)】第第13章章 IT項目監(jiān)理與審計項目監(jiān)理與審計單擊此處編輯母版文本樣式第二級第三級第四級第五級 33/36P.349l信息系統(tǒng)審計是客觀獲取、評價與信息系統(tǒng)相關(guān)事項，并對企信息系統(tǒng)審計是客觀獲取、評價與信息系統(tǒng)相關(guān)事項，并對企業(yè)已建立的控制標(biāo)準(zhǔn)與風(fēng)險程度進行評估業(yè)已建立的控制標(biāo)準(zhǔn)與風(fēng)險程度進行評估,并將最終結(jié)果向使用

33、并將最終結(jié)果向使用著進行公布的過程。著進行公布的過程。l信息系統(tǒng)審計的流程包括企業(yè)信息系統(tǒng)策略和流程分析、建立信息系統(tǒng)審計的流程包括企業(yè)信息系統(tǒng)策略和流程分析、建立基于風(fēng)險的審計評估表、確定審計的技術(shù)和步驟、形成審計報告基于風(fēng)險的審計評估表、確定審計的技術(shù)和步驟、形成審計報告初稿和審計發(fā)現(xiàn)的解決和跟進初稿和審計發(fā)現(xiàn)的解決和跟進5個步驟。個步驟。l信息系統(tǒng)的審計分為信息系統(tǒng)戰(zhàn)略規(guī)劃與組織審計、技術(shù)基礎(chǔ)信息系統(tǒng)的審計分為信息系統(tǒng)戰(zhàn)略規(guī)劃與組織審計、技術(shù)基礎(chǔ)平臺審計、信息資產(chǎn)保護審計、持續(xù)性管理和災(zāi)難恢復(fù)審計和平臺審計、信息資產(chǎn)保護審計、持續(xù)性管理和災(zāi)難恢復(fù)審計和IT項目審計。項目審計。lCOBIT是一個是一個IT治理的模型，是進行治理的模型，是進行IT審計的重要依據(jù)，它通審計的重要依據(jù)，它通過尋求支撐業(yè)務(wù)目標(biāo)或需求的信息