軟件研發(fā)項(xiàng)目管理的審計(jì)研究
作者: 來源: 文字大小:[大][中][小]
企業(yè)運(yùn)營及管理越來越依賴于信息技術(shù),同時(shí)監(jiān)管機(jī)構(gòu)對企業(yè)風(fēng)險(xiǎn)管理的要求也越來越明確,對包括軟件研發(fā)項(xiàng)目管理在內(nèi)的信息系統(tǒng)規(guī)劃、建設(shè)及運(yùn)行進(jìn)行審計(jì)成為檢驗(yàn)企業(yè)風(fēng)險(xiǎn)管理充分性與有效性的重要手段。因此我選擇軟件研發(fā)項(xiàng)目管理的審計(jì)過程和方法作為碩士論文的研究對象,并在2009年3月14日順利通過答辯。本論文在對軟件研發(fā)項(xiàng)目風(fēng)險(xiǎn)管理和信息系統(tǒng)審計(jì)方法進(jìn)行理論研究的基礎(chǔ)上,重點(diǎn)對軟件研發(fā)項(xiàng)目管理的審計(jì)過程及方法進(jìn)行了深入的研究。
首先,在COSO全面風(fēng)險(xiǎn)管理模型的基礎(chǔ)上提出了軟件研發(fā)風(fēng)險(xiǎn)管理框架,對軟件研發(fā)項(xiàng)目管理審計(jì)的過程進(jìn)行了明確,并按照軟件研發(fā)項(xiàng)目管理過程的六個(gè)階段(項(xiàng)目啟動(dòng)、需求分析、軟件設(shè)計(jì)、編碼及測試、試運(yùn)行及發(fā)布、項(xiàng)目收尾)給出了軟件研發(fā)項(xiàng)目管理的風(fēng)險(xiǎn)控制矩陣,明確了各階段的控制目標(biāo)、風(fēng)險(xiǎn)描述、最佳控制實(shí)踐及相應(yīng)的測試方法,為對軟件研發(fā)項(xiàng)目管理過程進(jìn)行評價(jià)提供了基礎(chǔ)。
接著,本論文又給出了軟件研發(fā)項(xiàng)目管理水平的定量評價(jià)模型,該評價(jià)模型從軟件研發(fā)項(xiàng)目管理過程及管理結(jié)果(項(xiàng)目進(jìn)度、項(xiàng)目成本和項(xiàng)目質(zhì)量目標(biāo)的實(shí)現(xiàn)程度)兩個(gè)方面對軟件研發(fā)項(xiàng)目管理情況進(jìn)行整體評價(jià),按照評價(jià)得分情況將軟件研發(fā)項(xiàng)目管理水平分為五個(gè)等級。
最后,本文通過案例研究的方式對軟件研發(fā)項(xiàng)目管理審計(jì)流程、方法和評價(jià)模型的科學(xué)性和實(shí)用性進(jìn)行了實(shí)證。
1、項(xiàng)目啟動(dòng)
軟件研發(fā)項(xiàng)目管理的審計(jì)作為一個(gè)審計(jì)項(xiàng)目其項(xiàng)目啟動(dòng)的過程與傳統(tǒng)的審計(jì)項(xiàng)目類似。在信息系統(tǒng)審計(jì)項(xiàng)目的啟動(dòng)階段主要是對審計(jì)對象、審計(jì)范圍進(jìn)行確定并據(jù)此制定審計(jì)計(jì)劃、組成審計(jì)團(tuán)隊(duì)。
信息系統(tǒng)審計(jì)項(xiàng)目或者是作為內(nèi)部控制審計(jì)項(xiàng)目的子項(xiàng)目或者是作為某次專項(xiàng)審計(jì)而出現(xiàn)。在確定進(jìn)行信息系統(tǒng)審計(jì)后,首先任命審計(jì)項(xiàng)目負(fù)責(zé)人,審計(jì)項(xiàng)目負(fù)責(zé)人應(yīng)熟悉審計(jì)方法論,對審計(jì)標(biāo)準(zhǔn)、審計(jì)活動(dòng)的組織十分了解,同時(shí)具有較強(qiáng)的項(xiàng)目管理能力。由于審計(jì)對象本身的專業(yè)性比較強(qiáng),不少組織將自己的信息系統(tǒng)審計(jì)項(xiàng)目外包,在這種情況下,審計(jì)項(xiàng)目負(fù)責(zé)人需要與外包單位簽訂審計(jì)協(xié)議,對審計(jì)項(xiàng)目的相關(guān)內(nèi)容進(jìn)行規(guī)范。
在審計(jì)項(xiàng)目啟動(dòng)階段,最重要的是確定審計(jì)目標(biāo),審計(jì)目標(biāo)或者是為了滿足監(jiān)管要求,或者是為了提高被審計(jì)單位的信息系統(tǒng)風(fēng)險(xiǎn)管控水平。審計(jì)項(xiàng)目負(fù)責(zé)人需要與審計(jì)發(fā)起者共同協(xié)商確定審計(jì)目標(biāo)。軟件研發(fā)項(xiàng)目管理的審計(jì)目標(biāo)一般是為了發(fā)現(xiàn)軟件研發(fā)管理過程中存在的問題,對軟件研發(fā)項(xiàng)目風(fēng)險(xiǎn)管理中存在的薄弱環(huán)節(jié)提出改進(jìn)意見和建議,以加強(qiáng)對軟件研發(fā)項(xiàng)目的管理,從根本上保證軟件研發(fā)項(xiàng)目的成功。
審計(jì)范圍需要根據(jù)審計(jì)目標(biāo)結(jié)合被審計(jì)對象的實(shí)際情況確定。軟件研發(fā)項(xiàng)目管理是一個(gè)完整的過程,實(shí)際審計(jì)過程中既可以對軟件研發(fā)項(xiàng)目管理的全過程進(jìn)行審計(jì),也可以選擇組織認(rèn)為問題比較嚴(yán)重的某幾個(gè)環(huán)節(jié)進(jìn)行審計(jì)。同時(shí)軟件研發(fā)項(xiàng)目管理體現(xiàn)在具體的軟件研發(fā)項(xiàng)目中,為了能對組織的軟件研發(fā)項(xiàng)目管理狀況有一個(gè)整體的印象,需要對多個(gè)軟件研發(fā)項(xiàng)目的管理過程進(jìn)行審計(jì)。因此對軟件研發(fā)項(xiàng)目管理進(jìn)行審計(jì),既可以針對單個(gè)軟件研發(fā)項(xiàng)目進(jìn)行,也可以對企業(yè)軟件研發(fā)項(xiàng)目管理的整體情況進(jìn)行評價(jià)。
根據(jù)確定的審計(jì)目標(biāo)和審計(jì)范圍,信息系統(tǒng)審計(jì)項(xiàng)目負(fù)責(zé)人需要制定審計(jì)計(jì)劃,編制審計(jì)方案,準(zhǔn)備審計(jì)工具等。信息系統(tǒng)項(xiàng)目審計(jì)計(jì)劃包括審計(jì)進(jìn)度計(jì)劃、人員組織計(jì)劃等,審計(jì)進(jìn)度計(jì)劃應(yīng)合理設(shè)置審計(jì)項(xiàng)目的里程碑,如審計(jì)項(xiàng)目啟動(dòng)、初步調(diào)研、現(xiàn)場審計(jì)、審計(jì)分析、審計(jì)報(bào)告編制等,根據(jù)審計(jì)發(fā)起人確定的最終項(xiàng)目完成時(shí)間或者審計(jì)內(nèi)容合理安排各階段的進(jìn)度;審計(jì)組人員主要包括審計(jì)項(xiàng)目負(fù)責(zé)人、審計(jì)師、項(xiàng)目管理專家、資深軟件研發(fā)工程師、文檔管理員等,需要根據(jù)相關(guān)人員的時(shí)間安排合理確定人員調(diào)配計(jì)劃,必要時(shí)還可能外聘相關(guān)專業(yè)人員參加。
在確定了審計(jì)目標(biāo)、審計(jì)范圍,制定了審計(jì)計(jì)劃和審計(jì)方案之后,應(yīng)組織召開審計(jì)項(xiàng)目啟動(dòng)會(huì)議,除了審計(jì)項(xiàng)目組人員之外,還應(yīng)邀請被審計(jì)單位負(fù)責(zé)人參加項(xiàng)目啟動(dòng)會(huì)議。在信息系統(tǒng)審計(jì)項(xiàng)目啟動(dòng)會(huì)議上,審計(jì)項(xiàng)目負(fù)責(zé)人應(yīng)對審計(jì)目標(biāo)、審計(jì)范圍、審計(jì)計(jì)劃進(jìn)行介紹,為了保證審計(jì)的效果,對審計(jì)方案應(yīng)有選擇地向被審計(jì)單位介紹。審計(jì)項(xiàng)目啟動(dòng)會(huì)議的目的是為了統(tǒng)一審計(jì)組人員的認(rèn)識,同時(shí)得到被審計(jì)單位的支持。
2、信息調(diào)研
對軟件研發(fā)項(xiàng)目管理進(jìn)行審計(jì),需要對被審計(jì)單位軟件研發(fā)項(xiàng)目管理的現(xiàn)狀進(jìn)行調(diào)研,重點(diǎn)了解被審計(jì)單位項(xiàng)目的組織情況、項(xiàng)目管理的過程、項(xiàng)目管理內(nèi)容以及項(xiàng)目管理的有關(guān)制度、流程,收集軟件研發(fā)項(xiàng)目管理相關(guān)的過程文檔。信息調(diào)研的目的是為了在熟悉被審計(jì)單位軟件研發(fā)項(xiàng)目管理現(xiàn)狀的基礎(chǔ)上,為編制風(fēng)險(xiǎn)控制矩陣,制定控制測試計(jì)劃提供素材。為了提高工作效率,使被審計(jì)單位更好地配合審計(jì)項(xiàng)目的工作,審計(jì)項(xiàng)目組應(yīng)擬定“需被審計(jì)單位提供的文檔資料清單”。
對軟件研發(fā)項(xiàng)目管理的主要調(diào)研內(nèi)容如下:
1)、被審計(jì)單位項(xiàng)目治理架構(gòu);
2)、被審計(jì)單位項(xiàng)目管理的組織架構(gòu)及職能分工;
3)、被審計(jì)單位頒布的有關(guān)項(xiàng)目管理的制度、流程、指南等;
4)、被審計(jì)單位軟件研發(fā)項(xiàng)目管理的過程及存在的問題;
5)、被審計(jì)單位軟件研發(fā)項(xiàng)目風(fēng)險(xiǎn)管理的過程及存在的問題;
6)、被審計(jì)單位三年內(nèi)完成或正在進(jìn)行的軟件研發(fā)項(xiàng)目清單;
7)、上述軟件研發(fā)項(xiàng)目的項(xiàng)目立項(xiàng)、需求分析、設(shè)計(jì)、編碼、測試及投產(chǎn)等階段相關(guān)的技術(shù)文檔和項(xiàng)目管理文檔;
8)、以往軟件研發(fā)項(xiàng)目管理審計(jì)的審計(jì)底稿;
9)、三年內(nèi)的與軟件研發(fā)項(xiàng)目管理相關(guān)的外部審計(jì)與內(nèi)部審計(jì)報(bào)告;
3、控制矩陣編制
在這個(gè)階段,審計(jì)項(xiàng)目組首先應(yīng)對軟件研發(fā)項(xiàng)目管理每個(gè)階段的控制目標(biāo)進(jìn)行明確,這些控制目標(biāo)一般是根據(jù)風(fēng)險(xiǎn)管理控制措施對保證項(xiàng)目目標(biāo)達(dá)成的角度來確定的。軟件研發(fā)項(xiàng)目每個(gè)階段的風(fēng)險(xiǎn)管理控制目標(biāo)一般都是固定的,必要時(shí)應(yīng)根據(jù)被審計(jì)單位軟件研發(fā)項(xiàng)目管理的實(shí)際情況進(jìn)行修訂。對應(yīng)軟件研發(fā)項(xiàng)目各個(gè)階段的管理控制目標(biāo),審計(jì)項(xiàng)目組應(yīng)根據(jù)項(xiàng)目管理的最佳實(shí)踐,結(jié)合監(jiān)管部門的有關(guān)要求,明確每個(gè)階段的最佳風(fēng)險(xiǎn)控制措施。
對收集到的被審計(jì)單位軟件研發(fā)項(xiàng)目管理相關(guān)資料的基礎(chǔ)上,結(jié)合現(xiàn)場訪談?wù){(diào)研的結(jié)果,對應(yīng)軟件研發(fā)的各個(gè)階段列出被審計(jì)單位現(xiàn)有的風(fēng)險(xiǎn)管理控制措施。按照控制目標(biāo)、最佳控制實(shí)踐,對被審計(jì)單位現(xiàn)有軟件研發(fā)項(xiàng)目管理的控制措施進(jìn)行差距分析,明確被審計(jì)單位軟件研發(fā)項(xiàng)目管理過程的風(fēng)險(xiǎn)大小,對風(fēng)險(xiǎn)比較大的控制措施應(yīng)作為下一階段控制測試的重點(diǎn)。
對軟件研發(fā)項(xiàng)目管理控制目標(biāo)、最佳控制措施、現(xiàn)有控制措施以及軟件研發(fā)項(xiàng)目風(fēng)險(xiǎn)管理控制的差距以風(fēng)險(xiǎn)控制矩陣的形式記錄。
4、控制測試及分析
對風(fēng)險(xiǎn)控制的審計(jì)主要是從控制措施的充分性和有效性進(jìn)行分析,從而確定被審計(jì)單位軟件研發(fā)項(xiàng)目管理的狀況。所謂控制措施的充分性主要是指組織根據(jù)軟件研發(fā)項(xiàng)目管理過程風(fēng)險(xiǎn)分析的結(jié)果,確定了軟件研發(fā)項(xiàng)目管理的風(fēng)險(xiǎn)管理策略,并在此基礎(chǔ)據(jù)上制定了合適的軟件研發(fā)項(xiàng)目管理流程、制度。如果這些管理制度、流程能夠有效落實(shí),那么組織的軟件發(fā)研發(fā)項(xiàng)目管理將能夠滿足有關(guān)要求,保證軟件研發(fā)項(xiàng)目目標(biāo)的實(shí)現(xiàn)。
對于軟件研發(fā)項(xiàng)目管理過程控制措施的充分性,審計(jì)人員利用自己的知識、經(jīng)驗(yàn)通過分析就可以得出結(jié)論。對于軟件研發(fā)項(xiàng)目管理過程控制措施的有效性驗(yàn)證則需要通過控制測試來實(shí)現(xiàn)。在風(fēng)險(xiǎn)控制矩陣中,按照軟件研發(fā)項(xiàng)目的不同階段分別列出了現(xiàn)有項(xiàng)目管理過程存在風(fēng)險(xiǎn)的對應(yīng)控制措施,審計(jì)人員需要根據(jù)不同控制措施的實(shí)際情況,制定控制測試方案,來檢查這些控制措施是否在實(shí)際的軟件研發(fā)項(xiàng)目管理過程中得到了有效落實(shí)。
5、審計(jì)報(bào)告及建議
在完成對被審計(jì)單位軟件研發(fā)項(xiàng)目管理過程的控制測試及分析后,需要將審計(jì)發(fā)現(xiàn)、審計(jì)結(jié)論及建議等有關(guān)內(nèi)容按照規(guī)范的格式形成審計(jì)報(bào)告。在最后審閱審計(jì)工作底稿的基礎(chǔ)上,審計(jì)項(xiàng)目負(fù)責(zé)人召開審計(jì)小組的內(nèi)部會(huì)議,對記錄的審計(jì)發(fā)現(xiàn)、結(jié)論和建議進(jìn)行充分的討論,評估發(fā)現(xiàn)問題的重要性并決定是否予以報(bào)告。
對軟件研發(fā)項(xiàng)目管理的審計(jì)結(jié)論既可以在定性分析的基礎(chǔ)上給出,也可以進(jìn)行定量分析后給出。定性分析主要由審計(jì)項(xiàng)目組按照軟件研發(fā)項(xiàng)目管理的不同階段,對控制測試的結(jié)果進(jìn)行分析,進(jìn)而形成對被審計(jì)單位軟件研發(fā)項(xiàng)目管理的整體印象。定量分析主要是通過對軟件研發(fā)項(xiàng)目各階段以及每個(gè)階段的主要控制目標(biāo)進(jìn)行賦值,然后進(jìn)行加權(quán)匯總,然后根據(jù)總體得分情況確定被審計(jì)單位軟件研發(fā)項(xiàng)目管理的等級水平。在實(shí)際的審計(jì)項(xiàng)目中,對小型的審計(jì)項(xiàng)目一般采用定性分析的方式,對比較復(fù)雜的審計(jì)項(xiàng)目一般采用定量分析和定性分析相結(jié)合的方式。
審計(jì)建議的基礎(chǔ)是審計(jì)人員在對被審計(jì)單位軟件研發(fā)項(xiàng)目管理審計(jì)中的發(fā)現(xiàn)和結(jié)論,它們要求采取措施糾正存在的問題或改進(jìn)操作。對于軟件研發(fā)項(xiàng)目管理的審計(jì)來說,審計(jì)人員應(yīng)為被審計(jì)單位提出軟件研發(fā)項(xiàng)目管理的改進(jìn)建議,改進(jìn)建議應(yīng)符合被審計(jì)單位的實(shí)際情況,具有一定的可操作性。
通常,正式的最終書面審計(jì)報(bào)告應(yīng)該包括背景介紹,審查范圍,意見或評價(jià),發(fā)現(xiàn)的問題、建議和結(jié)論,被審查者的評論等幾個(gè)方面的內(nèi)容。審計(jì)報(bào)告要在現(xiàn)場審計(jì)實(shí)施完成后及時(shí)予以編寫,并在語法、風(fēng)格和技術(shù)上給予恰當(dāng)?shù)目紤],達(dá)到客觀,簡潔、及時(shí)并富有建設(shè)性的標(biāo)準(zhǔn)。
6、后續(xù)監(jiān)督
在內(nèi)部審計(jì)實(shí)務(wù)中,作為完整審計(jì)過程的一個(gè)階段,后續(xù)監(jiān)督意味對報(bào)告中反映的問題進(jìn)行跟蹤檢查,確認(rèn)管理層針對已報(bào)告的審計(jì)發(fā)現(xiàn)和建議所采取的行動(dòng)是否適當(dāng)、有效和及時(shí)的過程。《內(nèi)部審計(jì)專業(yè)實(shí)務(wù)標(biāo)準(zhǔn)》指出,內(nèi)部審計(jì)人員應(yīng)該進(jìn)行后續(xù)跟蹤,以確定對已報(bào)告的審計(jì)發(fā)現(xiàn)是否采取了恰當(dāng)?shù)募m正措施:確定糾正的措施是否已經(jīng)實(shí)施并正在取得預(yù)期的效果,或者是確定企業(yè)管理當(dāng)局(或董事會(huì)審計(jì)委員會(huì))是否對已報(bào)告的發(fā)現(xiàn)已經(jīng)承擔(dān)了不采取糾正的風(fēng)險(xiǎn)。